Blog

Other languagesHrvatska Hrvatska   

Dobra praksa konfiguracije firewall-a

Evo laganog štiva koje ima za cilj da optimizuje konfiguraciju vašeg firewall-a (bez obzira na proizvođača – da ne bude kako samo mislimo o proizvodima iz sopstvenog portfolia).

Pristup uređaju

  1. Isključite sve protokole koje nemate nameru da koristite (telnet, SNMP, API…)
  2. Isključite sve management protokole na WAN strani
  3. Ako baš morate da ostavite management dostupan sa WAN-a, barem limitirajte sa kojih adresa je dostupan
  4. Promenite portove za management sa defaultnih na neke „visoke“ (ephemeral range)
  5. Disable-ujte „admin“ user-a, i koristite neko custom ime

Logovanje

  1. Smanjite lokalno logovanje na minimum, koristite remote opcije
  2. Ne duplirajte logove (ako imate syslog, nije vam porteban SNMP trap i email alerting)
  3. Logujte samo onaj saobraćaj koji vam treba (violations)

Up-to-date definicije

  1. Ukoliko firewall podržava push update definicija, koristiti ovaj mehanizam
  2. Ukoliko firewall ne podržava push, dovoljno je proveravati nove definicije na 3-4 sata

 

Firmware

  1. Ukoliko nemate razlog, ne update-ujte firmware (bugfix, nova mogućnost koja vam je potrebna,…)
  2. Ukoliko morate da odradite upgrade, prvo se dobro spremite za isti. Pročitajte changelog, posebno delove koji se odnose na bugfix-ove, ali sa još većom pažnjom pročitajte deo koji se odnosi na poznate bug-ove. Rešiti jedan problem a dobiti još 3 nije baš dobar rezultat.
  3. Napravite plan upgrade-a. Backup postojeće konfiguracije, snapshot trenutne verzije sistema na disk radi lakšeg rollback-a (većina uređaja ovo podržava). Dobro izučite downgrade proceduru i pripremite sve prerekvizite za nju.
  4. Planirajte vremenski interval u skladu sa najgorim mogućim scenariom, a to je da se firewall ne podigne nakon upgrade-a (ukoliko nemate HA ili spare)
  5. Napravite detaljan plan testiranja nakon upgrade-a. Ovo je možda i najbitniji deo pripreme, jer ukoliko previdite nešto, a korisnici budu onemogućeni da rade normalno, nećete imati luksuz da radite bez pritiska. Takođe, uvek postoji opcija da ste nešto prevideli i u samom changelog-u ili otkrili novi bug.

Polise/Pravila

  1. Interface grupišite u zone. Praviti jednu polisu za WAN zonu umesto polise za svaki od uplink-ova je administrativno mnogo lakše i preglednije.
  2. Polise grupišite od vrha ka dnu i to: specifičnije > opšte, a zatim korišćenije > manje korišćene. Ovo je komplikovano ukoliko imate dosta polisa, pa sortiranje radite po grupama. Prvo grupišete specifične polise, pa onda unutar svake grupe sortirate prema broju pogodaka. Na samo dno liste stavljajte „catch-all“ polise. Pojedini firewall-i imaju opciju dodavanja separatora između polisa što višestruko olakšava život.  
  3. Pokušajte da budete što precizniji u svakoj polisi. Korišćenje „all/any/0.0.0.0/0“ pogotovo u outbound smeru je ogroman propust. Uvek pokušajte da što bolje opišete firewall-u šta želite da postignete polisom, jer time podižete i sigurnost i smanjujete mogućnost „hvatanja“ saobraćaja koji niste planirali.
  4. Inspekcije ka lokacijama za koje znate da su bezbedne (npr online banking) isključite. Na kraju krajeva, neka i antivirus na računaru radi nešto.

SSL Inspekcija

  1. Većina firewall-a ima 2 moda inspekcije. Matching sertifikata prilikom handshake-a i potpunu SSL dekripciju. Prvi mod koristite za sve klase ssl saobraćaja za koje vam ne treba vidljivost unutra. Primer je zdravstvo, državni portali itd odnosno za destinacije koje imaju male šanse da budu maliciozne. Ovu opciju možete koristiti i kao dodatni layer sigurnosti na DNS filter. Ukoliko dođe do pogrešne klasifikacije domena na DNS listi, SSL inspekcija može da reši ovaj propust (pogotovo kada je reč o kategorijama koje branite).
  2. Potpunu SSL inspekciju primenjujete samo za saobraćaj koji ste profilisali kao dozvoljen (uz prethodno navedene izuzetke). Ovde morate voditi računa o problemima koji se odnose na resurse koji koriste certificate pinning i HSTS. Česta greška koju sam sretao je da administratori gurnu sav saobraćaj u ovaj vid inspekcije i firewall bukvalno počne da „umire“. Dakle, full/deep inspekciju radite samo nad destinacionim portom 443 (kada pričamo o WEB saobraćaju) .
Treba Vam ponuda ili pomoć pri izradi rešenja? Tražite partnera za implementaciju?

Kontaktirajte nas!