Když změníte konfiguraci brány firewall, je důležité zvážit možná bezpečnostní rizika, abyste předešli budoucím problémům. Zabezpečení je složité téma a může se případ od případu lišit, ale tento článek popisuje osvědčené postupy pro konfiguraci pravidel brány firewall pro obvod.
Blokovat ve výchozím nastavení
Ve výchozím nastavení blokovat veškerý provoz a explicitně povolit pouze konkrétní provoz na známé služby. Tato strategie poskytuje dobrou kontrolu nad provozem a snižuje možnost narušení v důsledku nesprávné konfigurace služby.
Tohoto chování dosáhnete konfigurací posledního pravidla v seznamu řízení přístupu tak, aby byl odepřen veškerý provoz. Můžete to udělat explicitně nebo implicitně v závislosti na platformě.
Povolit konkrétní provoz
Pravidla, která používáte k definování přístupu k síti, by měla být co nejkonkrétnější. Tato strategie je principem nejmenšího privilegia a vynucuje kontrolu nad síťovým provozem. Zadejte v pravidlech co nejvíce parametrů.
Brána firewall vrstvy 4 používá pro pravidlo přístupu následující parametry:
- Zdrojová IP adresa (nebo rozsah IP adres)
- Cílová IP adresa (nebo rozsah IP adres)
- Cílový port (nebo rozsah portů)
- Protokol provozu (TCP, ICMP nebo UDP)
Zadejte co nejvíce parametrů v pravidle používaném k definování přístupu k síti. Existují omezené scénáře, kde je any se používá v kterémkoli z těchto polí.
Uveďte zdrojové IP adresy
Pokud má být služba přístupná všem na internetu, pak libovolná zdrojová IP adresa je správná volba. Ve všech ostatních případech byste měli zadat zdrojovou adresu.
Je přijatelné povolit všem zdrojovým adresám přístup k vašemu HTTP serveru. Není přijatelné povolit všem zdrojovým adresám přístup k portům pro správu serveru nebo databázovým portům. Následuje seznam běžných portů pro správu serveru a databázových portů:
Porty pro správu serveru:
- Linux®SSH:Port 22
- Windows® RDP:Port 3389
Databázové porty:
- SQL® Server:Port 1433
- Oracle®:Port 1521
- MySQL®:Port 2206
Buďte konkrétní, kdo může dosáhnout těchto portů. Když je nepraktické definovat zdrojové IP adresy pro správu sítě, můžete zvážit jiné řešení, jako je vzdálený přístup VPN jako kompenzační kontrola umožňující požadovaný přístup a ochranu vaší sítě.
Zadejte cílovou IP adresu
Cílová IP adresa je IP adresa serveru, na kterém běží služba, ke které chcete povolit přístup. Vždy určete, který server nebo servery jsou přístupné. Konfigurace cílové hodnoty any by mohlo vést k narušení zabezpečení nebo ohrožení serveru nepoužívaného protokolu, který by mohl být standardně přístupný. Cílové adresy IP s cílovou hodnotou any lze použít, pokud je firewallu přiřazena pouze jedna IP adresa. Hodnota any lze také použít, pokud chcete veřejnou i servicenet přístup k vaší konfiguraci.
Určete cílový port
Cílový port odpovídá dostupné službě. Tato hodnota tohoto pole by nikdy neměla být any . Služba, která běží na serveru a ke které je třeba přistupovat, je definována a je třeba povolit pouze tento port. Povolení všech portů ovlivní zabezpečení serveru tím, že povolí slovníkové útoky a také zneužití jakéhokoli portu a protokolu, který je na serveru nakonfigurován.
Nepoužívejte příliš širokou škálu portů. Pokud se používají dynamické porty, firewally někdy nabízejí zásady kontroly, které je bezpečně umožňují.
Příklady nebezpečných konfigurací
Tato část popisuje nebezpečné příklady pravidel brány firewall, ale také ukazuje některá alternativní dobrá pravidla, která je třeba dodržovat při konfiguraci pravidel brány firewall.
permit ip any any - Umožňuje veškerý provoz z jakéhokoli zdroje na libovolném portu do libovolného cíle. Toto je nejhorší typ pravidla řízení přístupu. Je to v rozporu jak s bezpečnostními koncepty odepření provozu ve výchozím nastavení, tak se zásadou nejmenších oprávnění. Cílový port by měl být vždy specifikován a cílová IP adresa by měla být specifikována, pokud je to praktické. Pokud není aplikace vytvořena pro příjem klientů z internetu, jako je webový server, měla by být zadána zdrojová IP adresa. Dobrým pravidlem by bylo permit tcp any WEB-SERVER1 http .
permit ip any any WEB-SERVER1 - Umožňuje veškerý provoz z jakéhokoli zdroje na webový server. Měly by být povoleny pouze konkrétní porty; v případě webového serveru porty 80 (HTTP) a 443 (HTTPS). V opačném případě je správa serveru zranitelná. Dobrým pravidlem by bylo permit ip any WEB-SERVER1 http .
permit tcp any WEB-SERVER1 3389 - Umožňuje přístup RDP z libovolného zdroje na webový server. Je nebezpečné umožnit všem přístup k vašim portům pro správu. Uveďte konkrétní, kdo má přístup ke správě serveru. Dobrým pravidlem by bylo permit tcp 12.34.56.78 3389 WEB-SERVER1 (kde 12.34.56.78 je IP adresa počítače správce na internetu).
permit tcp any DB-SERVER1 3306 - Umožňuje MySQL přístup z libovolného zdroje do databáze. Databázové servery by nikdy neměly být vystaveny celému internetu. Pokud potřebujete, aby databázové dotazy běžely přes veřejný internet, zadejte přesnou zdrojovou IP adresu. Dobrým pravidlem by bylo permit tcp 23.45.67.89 DB-SERVER1 3306 (kde 23.45.67.89 je IP adresa hostitele na internetu, který potřebuje přístup k databázi). Osvědčeným postupem by bylo povolit databázový provoz přes VPN a nikoli ve formě čistého textu na veřejném internetu.
Pokud potřebujete pomoc s implementací těchto osvědčených postupů, kontaktujte tým podpory Rackspace.