Porządkowanie firewalli

Nie ma znaczenia, ile firma wyda na ochronę sieci. Jeśli administrator sieci nie dopilnuje konfiguracji zapory sieciowej, całe nakłady niewiele dadzą. Warto poznać najlepsze praktyki konfiguracji firewalli.

Sieć i działające w niej usługi nie są statyczne, więc również reguły zapory sieciowej nie powinny takie być. Wraz ze zmianami korporacyjnych zasad, wymagań prawnych czy wycofywaniem z użycia zbędnych aplikacji, trzeba dokonywać rewizji konfiguracji firewalli. To dobry sposób na wyeliminowanie zbędnych furtek dostępu do korporacyjnej sieci.

Firewalle służą ochronie dostępu do sieci lokalnej przed szkodliwym ruchem sieciowym, ale czasem mogą również nie przepuszczać uprawnionego ruchu aplikacji, które wymagają dostępu do firmowej sieci. Administrator musi więc mieć pewność, że nie zablokował całkiem dostępu na firewallu. Równie ważne jest bowiem przepuszczanie właściwego ruchu, jak i blokowanie wrogiego. Podstawą dobrej konfiguracji reguł firewalla jest więc określenie gwarantowanych tras dostępu. W ten sposób możliwe będzie prowadzenie właściwej działalności biznesowej i utrzymywanie szkodliwego ruchu poza siecią.

Zobacz również:

Przechowywanie danych z sysloga

Zbieranie danych jest bardzo istotne, jeśli chce się dokładnie zrozumieć, co dzieje się w firmowej sieci. Jest bardzo przydatne w przypadku próby optymalizacji ustawień firewalla, np. ułatwia wykrycie wąskich gardeł. Dlatego warto zbierać dane zapisywane w syslogu przez zaporę sieciową, ponieważ te dane dostarczą wielu cennych informacji, które przydadzą się w dalszych pracach nad konfiguracją reguł firewalla. Zapisywanie danych z sysloga można skonfigurować tak, aby odbywało się automatycznie w określonych odstępach czasu.

Powtarzające się lub zbędne reguły

Wydajność to istotny aspekt bezpieczeństwa. Dlatego ważne jest, aby zapora, np. nie powtarzała tych samych czynności. Wymaga to usunięcie powtarzających się reguł. Jednak najpierw warto uporządkować nieco terminologię:

• zacieniona reguła (shadowed rule) – reguła o szerszym zakresie działania w całości pokrywa węższą regułę znajdującą się dalej w łańcuchu reguł;

• nadmiarowa reguła (redundant rule) – reguła, która jest duplikatem innej reguły.

Nadmiarowe czy zacienione reguły mogą powodować, że nie zostaną wdrożone inne istotne reguły oraz obniżają wydajność firewalla. Tego typu reguły można zidentyfikować, dokonując analizy logicznej reguł firewall.

Z punktu widzenia bezpieczeństwa problem stanowią również zbędne reguły, np. utworzone dla nieużywanych już aplikacji czy w celach przeprowadzenia jakichś testów. Są to niepotrzebne furtki umożliwiające dostęp do firmowych zasobów. Hakerzy często wykorzystują fakt, że administratorzy nie usuwają niepotrzebnych reguł i poprzez pozostawione luki włamują się do sieci.

Aby ograniczyć problemy ze zbędnymi czy zduplikowanymi regułami, należy podjąć następujące środki. Po pierwsze ograniczyć przydzielanie dostępu tylko do niezbędnego minimum. Po drugie, przejrzeć istniejące reguły i zmodyfikować te, które nadają zbyt szeroki dostęp, dostosowując je do obowiązujących zasad. Po trzecie, usuwanie reguł powiązanych z wycofaną z użycia aplikacją powinno być obowiązującą zasadą. Bardzo pomocna w usuwaniu zbędnych reguł jest też ich dokumentacja, pod warunkiem, że została przygotowana. Zapory sieciowe nie mają wbudowanych funkcji zarządzania zmianami, więc dokumentowanie ich konfiguracji nigdy nie stało się niestety powszechną praktyką.

W wykryciu nieużywanych reguł pomogą również dane z syslogu. Jeśli od dłuższego czasu przechodzący przez firewall ruch nie spełnił warunków jakiejś reguły, można z dużym prawdopodobieństwem przyjąć, że taka reguła jest zbędna i można ją usunąć. Ewentualnie, taka reguła być może wymaga modyfikacji i rozszerzenia.

Pełen przegląd zapór sieciowych warto wykonać dwa razy do roku. Niektóre normy, np. PCI, wręcz wymagają od firm z niektórych branż wykonywania takich przeglądów. Taki przegląd ma też istotne znacznie dla używanych reguł. Przegląd ustawień zapory sieciowej umożliwia wykrycie wielu ewentualnych problemów.

Wyszukiwanie źródeł problemów wyłącznie wśród reguł firewalla to nie wszystko. Administratorzy mają tendencję do koncentrowania się na kontrolowaniu reguł, tymczasem istotna jest również analizy konfiguracji samego firewallla.

Ruch wychodzący

Zbyt wielu administratorów sieci pamięta tylko o tym, żeby chronić sieć przed dostępem z zewnątrz. Obecny krajobraz IT jest natomiast kształtowany przez zagrożenia rozprzestrzeniające się z zainfekowanych urządzeń końcowych. Atakujący mogą je wykorzystać do zbierania poufnych informacji, do eskalacji ataku czy rozsyłania spamu. To wystarczający powód, by filtrować również ruch wychodzący z firmowej sieci. Niektórzy eksperci zalecają wręcz, by realizację tego zadania rozpocząć od wprowadzenia reguły blokującej cały ruch wychodzący, a następnie dodawać wyjątki. Reguły ruchu wychodzącego powinny definiować zarówno źródłowe adresy IP, jak i docelowe.

W wielu zaporach sieciowych fabryczna reguła dla ruchu wychodzącego przepuszcza każdy pakiet z poprawnym źródłowym adresem IP. To zbyt liberalne podejście i administrator powinien stworzyć listę podsieci, z których komputery są uprawnione do komunikacji z zewnętrznymi maszynami. Warto też blokować ruch wychodzący z docelowymi adresami IP znajdującymi się na czarnych listach DROP (Don’r Route or Peer) lub BGP. Listę takich sieci prowadzi, m.in. Spamhaus.


TOP 200