Προηγμένη ρύθμιση παραμέτρων τείχους προστασίας σε διακομιστές

Informatec Digital » Πόροι » Προηγμένη ρύθμιση παραμέτρων τείχους προστασίας σε διακομιστές

Μάστερ το προηγμένη διαμόρφωση τείχους προστασίας σε διακομιστές Δεν είναι πλέον μόνο θέμα των μεγάλων εταιρειών. Κάθε εταιρεία που λαμβάνει σοβαρά υπόψη την κυβερνοασφάλεια πρέπει να κατανοήσει πώς να τμηματοποιεί το δίκτυο, να ορίζει ζώνες, να δημιουργεί λεπτομερείς κανόνες και να αξιοποιεί στο έπακρο τόσο το περιμετρικό τείχος προστασίας όσο και το ίδιο το τείχος προστασίας των Windows σε κάθε υπολογιστή και διακομιστή.

Σε όλο αυτόν τον οδηγό θα δείτε, με αρκετή λεπτομέρεια, πώς Τείχη προστασίας επόμενης γενιάς (NGFW)Πώς να σχεδιάσετε ζώνες (LAN, WAN, DMZ, VLAN), τι είδους κανόνες να εφαρμόσετε (πρόγραμμα, θύρα, πρωτόκολλο, IP…), πώς να αξιοποιήσετε το Τείχος προστασίας των Windows με προηγμένη ασφάλειαΠοιος είναι ο ρόλος των εργαλείων όπως το SimpleWall και ποιες βέλτιστες πρακτικές πρέπει να ακολουθηθούν για να αποτραπεί η μετατροπή ολόκληρης αυτής της δομής σε ένα μη διαχειρίσιμο χάος;

Τείχη προστασίας επόμενης γενιάς σε διακομιστές: πολύ περισσότερα από το φιλτράρισμα θυρών

Τα τείχη προστασίας επόμενης γενιάς, όπως π.χ. FortiGate NGFWΣυνδυάζουν προηγμένες λειτουργίες δικτύωσης και βαθιά ασφάλεια σε μία μόνο συσκευή. Δεν ανοίγουν ή κλείνουν απλώς θύρες. Αναλύουν την κίνηση σε επίπεδο εφαρμογής, επιθεωρούν κρυπτογραφημένο περιεχόμενο και ενσωματώνονται με σύνθετες αρχιτεκτονικές cloud, LAN, WLAN και απομακρυσμένης πρόσβασης.

Στην περίπτωση του FortiGate, η καρδιά του συστήματος είναι FortiOSΈνα συγκεκριμένο λειτουργικό σύστημα που ενοποιεί τις πολιτικές ασφαλείας και τις λειτουργίες δικτύου: ενσωματωμένο SD-WAN, καθολικό ZTNA, έλεγχος κυκλοφορίας σε ασύρματα και ενσύρματα δίκτυα και κεντρική διαχείριση χάρη στο FortiManager.

Επιπλέον, αυτές οι ομάδες βασίζονται σε ιδιόκτητη αρχιτεκτονική ASIC (αποκλειστικά τσιπ) για την επιτάχυνση της επιθεώρησης και της αποκρυπτογράφησης πακέτων χωρίς να καταστρέφεται η απόδοση ή να αυξάνεται η κατανάλωση ενέργειας, ακόμη και όταν το δίκτυο βρίσκεται υπό μεγάλο φόρτο και υπάρχουν εκατοντάδες ή χιλιάδες ταυτόχρονες συνεδρίες.

Η προστασία από απειλές ενισχύεται με το Υπηρεσίες FortiGuardτα οποία προσθέτουν τεχνητή νοημοσύνη για την ανίχνευση κακόβουλου λογισμικού, ύποπτης κίνησης, exploits και στοχευμένων επιθέσεων, εντάσσοντας τα πάντα στην έννοια του Fortinet Security Fabric: ενός fabric ασφαλείας που περιλαμβάνει δίκτυο, τερματικά σημεία και cloud για να ανταποκρίνεται με συντονισμένο τρόπο σε περιστατικά.

Σχεδιασμός ζώνης τείχους προστασίας και τμηματοποίηση δικτύου σε διακομιστές

Πριν ξεκινήσετε να δημιουργείτε κανόνες σαν να μην υπάρχει αύριο, πρέπει να σχεδιάσετε το... αρχιτεκτονική χωροταξίας και τμηματοποίηση δικτύουΌσο πιο επίπεδο είναι το φιλέ, τόσο πιο εύκολο είναι για έναν επιτιθέμενο να κινηθεί πλευρικά μόλις μπει μέσα.

Το πρώτο βήμα είναι να αναγνωρίσετε βασικά περιουσιακά στοιχεία και υπηρεσίεςΔιακομιστές ιστού, βάσεις δεδομένων, εσωτερικές εφαρμογές, συσκευές σημείου πώλησης, τηλεφωνικά κέντρα VoIP, δίκτυα επισκεπτών κ.λπ. Ανάλογα με την κρισιμότητά τους και την έκθεσή τους, ομαδοποιούνται σε διαφορετικές λογικές ζώνες.

Μια τυπική πρακτική είναι η δημιουργία ενός Αποστρατιωτικοποιημένη Ζώνη (DMZ) Για διακομιστές που παρέχουν υπηρεσίες απευθείας στο Διαδίκτυο (email, VPN, εφαρμογές web, δημόσιες πύλες κ.λπ.), αυτά τα συστήματα πρέπει να είναι απομονωμένα τόσο από το εξωτερικό δίκτυο όσο και από το πιο ευαίσθητο εσωτερικό δίκτυο, περιορίζοντας όσο το δυνατόν περισσότερο την κίνηση που μπορεί να ρέει μεταξύ διαφορετικών περιοχών.

Οι διακομιστές που είναι προσβάσιμοι μόνο εντός του οργανισμού βρίσκονται στο εσωτερικές περιοχές διακομιστήΑυτά με τη σειρά τους διαχωρίζονται από το δίκτυο χρηστών, το δίκτυο διαχείρισης και οποιοδήποτε εργαστηριακό ή δοκιμαστικό περιβάλλον. Για να είναι αυτό πρακτικό, είναι σύνηθες να χρησιμοποιούνται διακόπτες με υποστήριξη για VLAN για να διατηρηθεί ο διαχωρισμός και στο επίπεδο 2.

Σε περιβάλλοντα IPv4, όλα τα εσωτερικά δίκτυα πρέπει να χρησιμοποιούν ιδιωτικές σειρές (RFC1918) και βασίζονται σε μηχανισμούς NAT για πρόσβαση στο Διαδίκτυο. Η μετάφραση συνήθως εκτελείται στο περιμετρικό τείχος προστασίας, το οποίο επίσης επιβάλλει πολιτικές εισερχόμενης και εξερχόμενης κυκλοφορίας για κάθε συγκεκριμένη ζώνη.

Λίστες ελέγχου πρόσβασης (ACL) και κανόνες μεταξύ ζωνών

Μόλις οριστούν οι ζώνες και αντιστοιχιστούν στις διεπαφές ή τις υποδιεπαφές του τείχους προστασίας, ήρθε η ώρα να... ACL (Λίστες Ελέγχου Πρόσβασης)ποιοι είναι οι κανόνες που αποφασίζουν ποια κυκλοφορία επιτρέπεται και ποια απορρίπτεται μεταξύ αυτών των ζωνών.

Η ιδέα είναι να οριστεί, για κάθε διεπαφή ή υποδιεπαφή, ένα σύνολο κανόνων που είναι όσο το δυνατόν πιο απλοί. συγκεκριμένο και λεπτομερές Πιθανές απαιτήσεις περιλαμβάνουν: IP ή υποδίκτυο πηγής, IP ή υποδίκτυο προορισμού, πρωτόκολλο (TCP, UDP, ICMP, κ.λπ.), εμπλεκόμενες θύρες και ενέργεια (επιτρέπεται ή απαγορεύεται). Όσο λιγότερο γενικοί είναι οι κανόνες, τόσο λιγότερα κενά ασφαλείας θα υπάρχουν.

Μια καλή πρακτική είναι να τερματίζετε κάθε ACL με έναν κανόνα «αρνούμαι τα πάντα» έμμεσαΑυτό λειτουργεί ως δίχτυ ασφαλείας: εάν ένα πακέτο δεν ταιριάζει με κανέναν προϋπάρχοντα κανόνα δικαιωμάτων, μπλοκάρεται. Από εκεί και πέρα, δημιουργούνται πολύ συγκεκριμένες εξαιρέσεις για τις ροές που πραγματικά χρειάζονται.

Συνιστάται επίσης να απενεργοποιήσετε το δημόσια πρόσβαση σε διεπαφές διαχείρισης του τείχους προστασίας (HTTP, HTTPS, SSH, κ.λπ.), επιτρέποντας τη διαχείριση μόνο από πολύ συγκεκριμένα εσωτερικά δίκτυα ή μέσω ενός ασφαλούς VPN διαχείρισης.

Τα σύγχρονα NGFW μπορούν να επεκταθούν πέρα ​​από τα port και IP, αξιοποιώντας έλεγχος εφαρμογώνΚατηγορίες ιστού, IPS και προηγμένη ανάλυση αρχείων (sandboxing). Εάν έχετε ήδη πληρώσει για αυτές τις λειτουργίες, είναι λογικό να τις ενεργοποιήσετε και να τις διαμορφώσετε σε κρίσιμες ροές εργασίας, ειδικά σε εκείνες που διασχίζουν την περίμετρο.

Επιτρεπτικό τείχος προστασίας έναντι περιοριστικού τείχους προστασίας σε διακομιστές

Ένα βασικό σημείο κατά τον σχεδιασμό μιας πολιτικής τείχους προστασίας (είτε περιμετρικά είτε λειτουργικού συστήματος) είναι η απόφαση για το εάν θα ξεκινήσει από μια θέση επιτρεπτικός ή περιοριστικός.

Σε μία επιτρεπτικό τείχος προστασίας Ο απόλυτος έμμεσος κανόνας είναι "επιτρέψτε τα πάντα". Μόνο ό,τι ορίζεται ρητά από τους κανόνες άρνησης αποκλείεται. Αυτή η προσέγγιση χρησιμοποιείται συνήθως σε αξιόπιστα τοπικά δίκτυα (LAN) ή σε υπολογιστές που έχουν ρυθμιστεί ως "ιδιωτικό δίκτυο" στα Windows.

Σε μία περιοριστικό τείχος προστασίας Συμβαίνει το αντίθετο: ο απόλυτος κανόνας είναι "απόρριψη όλων". Μόνο η κυκλοφορία που ταιριάζει με τους ρητούς κανόνες άδειας επιτρέπεται να διέλθει. Αυτή η φιλοσοφία είναι κοινή στη διεπαφή δικτύου ευρείας περιοχής (WAN), σε τείχη προστασίας όπως το pfSense ή εταιρικά NGFW και σε συσκευές που έχουν ρυθμιστεί ως "δημόσιο δίκτυο".

Τα Windows, για παράδειγμα, χρησιμοποιούν από προεπιλογή περιοριστική πολιτική για τις εισερχόμενες συνδέσεις (μπλοκάρει οτιδήποτε δεν επιτρέπεται ρητά) και ανεκτική πολιτική για τα έξοδα (Επιτρέπει τα πάντα εκτός από αυτά που έχετε αποκλείσει.) Αυτό μπορεί να ρυθμιστεί από τις προηγμένες ιδιότητες του τείχους προστασίας.

Τι μπορεί πραγματικά να προσφέρει το Τείχος προστασίας των Windows σε διακομιστές;

El Τείχος προστασίας των Windows με προηγμένη ασφάλεια Είναι πολύ πιο ισχυρό από ό,τι νομίζουν πολλοί. Μπορεί να ελέγχει την εισερχόμενη και εξερχόμενη κίνηση, να φιλτράρει κατά διεύθυνση IP, θύρα, πρωτόκολλο, υπηρεσία, διεπαφή δικτύου, τύπο προφίλ (τομέας, ιδιωτικό, δημόσιο) και σε ορισμένες περιπτώσεις ακόμη και κατά χρήστη ή ομάδα.

Μεταξύ των δυνατοτήτων του, ξεχωρίζουν οι εξής: φιλτράρισμα πακέτων Σε χαμηλό επίπεδο, δημιουργεί λεπτομερή αρχεία καταγραφής (τα οποία στη συνέχεια μπορούν να αναλυθούν με το Event Viewer ή να αποσταλούν σε ένα SIEM), ανιχνεύει δημόσια δίκτυα για να εφαρμόσει αυτόματα ένα αυστηρότερο προφίλ και ενσωματώνεται με άλλα επίπεδα ασφαλείας, όπως το Windows Defender.

Για μικρές επιχειρήσεις και πολλά περιβάλλοντα διακομιστών, ένας καλά διαμορφωμένος διακομιστής μπορεί να είναι περισσότερο από αρκετόΕιδικά όταν συνδυάζεται με ισχυρό λογισμικό προστασίας από ιούς και ορθές πρακτικές διαχείρισης. Ωστόσο, είναι σημαντικό να γνωρίζετε τους περιορισμούς του: δεν υποκαθιστά ένα περιμετρικό NGFW ή ένα αποκλειστικό IPS.

Ως αδύνατα σημεία, θα πρέπει να αναφερθεί ότι το τείχος προστασίας των Windows δεν προσφέρει αυτήν τη δυνατότητα από προεπιλογή. βαθιά επιθεώρηση πακέτων Με προηγμένες υπογραφές, δεν μπλοκάρει εγγενώς την τηλεμετρία του συστήματος, οι ειδοποιήσεις του είναι διακριτικές (ελάχιστα σας ειδοποιεί για νέες συνδέσεις) και ο τρόπος με τον οποίο μπορείτε να συμβουλευτείτε τα αρχεία καταγραφής δεν είναι φιλικός προς το χρήστη για μη τεχνικούς χρήστες.

Πρόσβαση στο Τείχος προστασίας των Windows με προηγμένη ασφάλεια

Για να διαχειριστείτε τις ρυθμίσεις του τείχους προστασίας για προχωρημένους σε ένα περιβάλλον Τομέας Active DirectoryΙδανικά, θα πρέπει να συνεργαστεί κανείς με GPO (Αντικείμενα πολιτικής ομάδας)Είναι απαραίτητο να ανήκετε στην ομάδα διαχειριστών τομέα ή να έχετε ανατεθειμένα δικαιώματα στα GPO.

Από την κονσόλα διαχείρισης πολιτικής, μπορείτε να περιηγηθείτε Πολιτικές > Ρύθμιση παραμέτρων υπολογιστή > Ρυθμίσεις των Windows > Ρυθμίσεις ασφαλείας > Τείχος προστασίας των Windows με προηγμένη ασφάλειαΕκεί, μπορούν να οριστούν κοινοί κανόνες για τους υπολογιστές-πελάτες και τους διακομιστές που είναι συνδεδεμένοι στον τομέα.

Εάν είναι περίπου έναν μόνο διακομιστή ή τοπικό υπολογιστήΑπλώς χρειάζεστε δικαιώματα διαχειριστή σε αυτήν τη συσκευή. Ο πιο γρήγορος τρόπος για να ανοίξετε την κονσόλα είναι να πατήσετε ΕΝΑΡΞΗ και να πληκτρολογήσετε wf. msc και πατήστε Enter. Θα ανοίξει η κονσόλα του Τείχους προστασίας των Windows με προηγμένη ασφάλεια για αυτόν τον υπολογιστή.

Η κύρια οθόνη εμφανίζει το κανόνες εισερχόμενων συνδέσεων, κανόνες εξερχόμενων συνδέσεων, κανόνες ασφάλειας σύνδεσης και τη διαμόρφωση των διαφορετικών προφίλ (τομέας, ιδιωτικό, δημόσιο), μαζί με μια περιοχή παρακολούθησης όπου είναι ορατοί μόνο οι ενεργοί κανόνες.

Προφίλ, καθολικές πολιτικές και προεπιλεγμένη συμπεριφορά

Ο πίνακας ιδιοτήτων του τείχους προστασίας ελέγχει τις καθολικές επιλογές για κάθε προφίλ δικτύου (τομέας, ιδιωτικός, δημόσιος). Αυτές οι επιλογές καθορίζουν τον τρόπο συμπεριφοράς του τείχους προστασίας όταν ένας προσαρμογέας δικτύου σχετίζεται με έναν συγκεκριμένο τύπο δικτύου.

Για κάθε προφίλ, μπορείτε να αποφασίσετε εάν το τείχος προστασίας είναι ενεργοποιημένο. ενεργοποίηση ή απενεργοποίησηΕάν οι εισερχόμενες συνδέσεις που δεν ταιριάζουν με κανέναν κανόνα αποκλείονται ή επιτρέπονται, και το ίδιο ισχύει και για τις εξερχόμενες συνδέσεις.

Μπορούν επίσης να ρυθμιστούν παράμετροι όπως οι ακόλουθες: ειδοποιήσεις κατά τον αποκλεισμό ενός προγράμματος, η τοποθεσία όπου το αρχεία καταγραφής τείχους προστασίας, το μέγιστο μέγεθος αυτών των αρχείων καταγραφής και η ειδική μεταχείριση της κίνησης που προστατεύεται από σήραγγες IPsec VPN, η οποία γενικά θεωρείται πιο αξιόπιστη.

Στο τμήμα του Εποπτεία Εμφανίζονται όλοι οι ενεργοί κανόνες, συμπεριλαμβανομένων εκείνων από τα Αντικείμενα Πολιτικής Ομάδας (GPO) και εκείνων που ορίζονται τοπικά. Αυτό είναι το σημείο όπου μπορείτε να δείτε ποιοι κανόνες είναι πραγματικά ενεργοί και με ποιες παραμέτρους, και από εκεί μπορείτε να ανοίξετε και να τροποποιήσετε τις ιδιότητές τους.

Κανόνες εισόδου και εξόδου: κατεύθυνση κυκλοφορίας

Όταν εργάζεστε με κανόνες στο τείχος προστασίας των Windows, ένα από τα πιο συνηθισμένα λάθη είναι σύγχυση της κατεύθυνσης της κυκλοφορίαςΟι εισερχόμενοι κανόνες ισχύουν για τα πακέτα που φτάνουν στον υπολογιστή, ενώ οι εξερχόμενοι κανόνες ισχύουν για τα πακέτα που φεύγουν από τον υπολογιστή και προορίζονται για άλλο μηχάνημα.

Εάν ο στόχος είναι η αποτροπή συνδέσεων από το Διαδίκτυο σε έναν διακομιστή, θα είναι απαραίτητο να δημιουργήσετε ή να τροποποιήσετε κανόνες εισόδουΕάν, από την άλλη πλευρά, ο στόχος είναι να αποτραπεί η σύνδεση μιας υπηρεσίας ή προγράμματος διακομιστή με το εξωτερικό, πρέπει να ληφθούν μέτρα σχετικά με αυτό. κανόνες εξόδου.

Κάθε καταχώρηση στη λίστα υποδεικνύει εάν ο κανόνας είναι ενεργοποιημένος (εικονίδιο με πράσινο σημάδι επιλογής) ή απενεργοποιημένος. Οι απενεργοποιημένοι κανόνες δεν επηρεάζουν την κυκλοφορία, παρόλο που εξακολουθούν να είναι ορισμένοι. Είναι σύνηθες να υπάρχουν πολλοί προκαθορισμένοι κανόνες των Windows που υπάρχουν αλλά δεν είναι ενεργοί μέχρι να χρειαστούν.

Για να καταλάβετε καλά το ροή πηγής/προορισμού και τοπική/απομακρυσμένη θύρα Αυτό είναι απαραίτητο για να αποφευχθεί η δημιουργία κανόνων που δεν εφαρμόζονται ποτέ ή που ανοίγουν περισσότερο από όσο είναι πραγματικά απαραίτητο, κάτι πολύ συνηθισμένο κατά τη διαμόρφωση σύνθετων υπηρεσιών.

Τύποι κανόνων στο Τείχος προστασίας των Windows

Ο Οδηγός Νέου Κανόνα Τείχους Προστασίας των Windows προσφέρει τέσσερις κύριες κατηγορίες: πρόγραμμα, θύρα, προκαθορισμένο και προσαρμοσμένοΚάθε ένα έχει σχεδιαστεί για διαφορετικό σενάριο και είναι σημαντικό να επιλέξετε προσεκτικά ανάλογα με το τι θέλετε να επιτύχετε.

Κανόνες πρόγραμμα εστιάζουν σε ένα συγκεκριμένο εκτελέσιμο· αυτά των λιμάνι Φιλτράρουν κατά αριθμό θύρας TCP ή UDP. προκαθορισμένος Απλοποιούν τη διαχείριση γνωστών υπηρεσιών των Windows και εξατομικευμένη Επιτρέπουν πολύ λεπτομερή ρύθμιση συνδυάζοντας πολλά κριτήρια ταυτόχρονα.

Σε όλες τις περιπτώσεις, ο οδηγός ολοκληρώνεται ρωτώντας ποια ενέργεια θέλουμε να εφαρμόσουμε (επιτρέπεται, επιτρέπεται μόνο εάν είναι ασφαλές με IPsec ή αποκλείεται) και σε ποια προφίλ δικτύου θα εφαρμοστεί αυτός ο κανόνας (τομέας, ιδιωτικό, δημόσιο). Τέλος, ένα όνομα και μια περιγραφή ώστε να μπορεί να αναγνωριστεί εύκολα αργότερα.

Σε κρίσιμους διακομιστές, αξίζει να αφιερώσετε χρόνο για να τεκμηριώσετε σωστά τους κανόνες, υποδεικνύοντας ποια υπηρεσία προστατεύει και γιατί υπάρχειέτσι ώστε σε μελλοντικούς ελέγχους ή αλλαγές να μην υπάρχει καμία αμφιβολία για τη χρησιμότητά του.

Κανόνες ανά πρόγραμμα: λεπτομερής έλεγχος συγκεκριμένων υπηρεσιών

Κανόνες τύπου πρόγραμμα Αποτελούν έναν βολικό τρόπο για τον έλεγχο της κίνησης μιας εφαρμογής χωρίς να χρειάζεται να απομνημονεύσετε όλες τις θύρες που χρησιμοποιεί. Μπορούν να εφαρμοστούν τόσο στην εισερχόμενη όσο και στην εξερχόμενη κίνηση.

Στον οδηγό, επιλέξτε την επιλογή "Αυτή η διαδρομή προγράμματος" και καθορίστε την εκτελέσιμη διαδρομήΕίναι δυνατό να χρησιμοποιήσετε μεταβλητές περιβάλλοντος για να διασφαλίσετε ότι ο κανόνας εφαρμόζεται σωστά, ακόμη και αν το πρόγραμμα είναι εγκατεστημένο σε διαφορετικές διαδρομές σε διαφορετικούς υπολογιστές.

Σε διακομιστές που φιλοξενούν υπηρεσίες εντός svchost.exe Για άλλα κοντέινερ πολλαπλών υπηρεσιών, είναι δυνατό να προσαρμόσετε τον κανόνα ώστε να εφαρμόζεται μόνο σε συγκεκριμένες υπηρεσίες, επιλέγοντας την υπηρεσία με το σύντομο όνομά της. Αυτό σας επιτρέπει να διαφοροποιήσετε, για παράδειγμα, την επισκεψιμότητα μιας συγκεκριμένης υπηρεσίας RPC εντός της ίδιας διεργασίας.

Συνιστάται ιδιαίτερα να συνδυάσετε έναν κανόνα προγράμματος με περιορισμούς στην καρτέλα του Πρωτόκολλα και θύρεςκαθορίζοντας ρητά ποιες θύρες μπορεί να ακούσει ή να χρησιμοποιήσει η εφαρμογή. Εάν προσπαθήσετε να ανοίξετε μια διαφορετική θύρα, το τείχος προστασίας θα την μπλοκάρει.

Κανόνες θύρας: κλασικό φιλτράρισμα TCP/UDP

Κανόνες τύπου λιμάνι Σας επιτρέπουν να επιτρέπετε ή να αποκλείετε την κυκλοφορία με βάση τον τοπικό ή απομακρυσμένο αριθμό θύρας και το πρωτόκολλο (κυρίως TCP ή UDP). Μπορούν να χρησιμοποιηθούν τόσο για κανόνες εισερχόμενης όσο και για εξερχόμενης αλληλογραφίας.

Σε έναν τυπικό εισερχόμενο κανόνα για το άνοιγμα, για παράδειγμα, του Θύρα TCP 21Επιλέγεται το TCP, υποδεικνύεται η ένδειξη "συγκεκριμένες τοπικές θύρες" και εισάγεται το 21. Μπορούν να καθοριστούν πολλαπλές θύρες που χωρίζονται με κόμματα (π.χ., 21,20,22) ή εύρη όπως 5000-5100, ακόμη και με ανάμειξη μεμονωμένων θυρών και εύρων στον ίδιο κανόνα.

Στη συνέχεια, αποφασίζετε για την ενέργεια (επιτρέπεται, επιτρέπεται εάν είναι ασφαλές, αποκλείεται) και τα προφίλ στα οποία θα εφαρμοστεί. Είναι ένας απλός τρόπος για να ανοίξετε ορισμένες τυπικές υπηρεσίες (HTTP, HTTPS, RDP, κ.λπ.) χωρίς να εμβαθύνετε στις λεπτομέρειες συγκεκριμένων προγραμμάτων.

Στην περίπτωση της κανόνες εξόδουΗ πιο συνηθισμένη πρακτική είναι να καθορίσετε την απομακρυσμένη θύρα, καθώς αυτός είναι ο προορισμός στον οποίο επιχειρεί να συνδεθεί ο διακομιστής. Μια τυπική περίπτωση χρήσης θα ήταν να αποκλειστεί όλη η εξερχόμενη κίνηση προς ύποπτες θύρες ή να περιοριστεί η επικοινωνία ορισμένων εφαρμογών μόνο σε πολύ συγκεκριμένες θύρες.

Προκαθορισμένοι και προσαρμοσμένοι κανόνες

ο προκαθορισμένους κανόνες Ομαδοποιούν έτοιμες διαμορφώσεις για κοινές υπηρεσίες των Windows (Κοινή χρήση αρχείων και εκτυπωτών, Απομακρυσμένη επιφάνεια εργασίας κ.λπ.). Απλώς επιλέξτε την υπηρεσία, υποδείξτε αν θα την επιτρέψετε ή θα την αποκλείσετε, επιλέξτε προφίλ και είστε έτοιμοι.

Αυτή η επιλογή είναι βολική όταν θέλετε να ενεργοποιήσετε ή να περιορίσετε γρήγορα μια εσωτερική υπηρεσία χωρίς να χρειάζεται να διερευνήσετε ποιες θύρες και πρωτόκολλα χρησιμοποιεί σε κάθε περίπτωση. Στο παρασκήνιο, το σύστημα δημιουργεί αρκετούς συγκεκριμένους κανόνες που καλύπτουν αυτήν την υπηρεσία.

ο προσαρμοσμένοι κανόνες Αυτά είναι τα πιο ολοκληρωμένα και προσφέρουν τον μέγιστο έλεγχο. Σας επιτρέπουν να καθορίσετε όλες τις παραμέτρους: πρόγραμμα (ή όλα τα προγράμματα), τύπο υπηρεσίας, πρωτόκολλο IP (με μια λίστα TCP, UDP, ICMPv4, ICMPv6, GRE, IPv6-Route, κ.λπ.), συνδυασμό τοπικών και απομακρυσμένων θυρών, διευθύνσεις IP προέλευσης και προορισμού (συμπεριλαμβανομένων εύρους και υποδικτύων) και πρόσθετες συνθήκες.

Σε πρωτόκολλα όπως το ICMPv4 ή το ICMPv6, μπορείτε να επιλέξετε εάν θα Υποστηρίζουν όλους τους τύπους ICMP ή μόνο ορισμένα μηνύματα (αίτημα ηχούς, απάντηση ηχούς, υπέρβαση χρόνου κ.λπ.). Μπορείτε ακόμη και να ορίσετε συγκεκριμένους τύπους και κωδικούς που δεν εμφανίζονται στη γενική λίστα.

Επίσης, κατά τον ορισμό διευθύνσεων IP στην ενότητα πεδίου εφαρμογής, ο οδηγός επιτρέπει προσθήκη ολόκληρων εύρων ή υποδικτύων (για παράδειγμα, 192.168.10.0/24) για να περιορίσετε περαιτέρω τις συσκευές που μπορούν να χρησιμοποιήσουν αυτόν τον κανόνα, τόσο τοπικά όσο και απομακρυσμένα.

Κανόνες εισερχόμενου ICMP σε διακομιστές

Το αν θα επιτραπεί ή όχι η κυκλοφορία ICMP σε έναν διακομιστή είναι μια στρατηγική απόφαση. εισερχόμενος κανόνας ICMP Επιτρέπει στη συσκευή να ανταποκρίνεται σε pings και σε ορισμένα μηνύματα διαγνωστικού ελέγχου δικτύου, κάτι που είναι πολύ χρήσιμο για διαχειριστικές εργασίες, αλλά μπορεί επίσης να παρέχει πληροφορίες σε έναν εισβολέα.

Για να δημιουργήσετε έναν κανόνα εισερχόμενου ICMP στο τείχος προστασίας των Windows, ανοίξτε την κονσόλα για προχωρημένους, μεταβείτε στη διεύθυνση Κανόνες εισόδου και δημιουργείται ένας νέος προσαρμοσμένος κανόνας. Στην ενότητα προγράμματος, συνήθως επιλέγετε "Όλα τα προγράμματα".

Στην οθόνη πρωτοκόλλου, επιλέξτε ICMPv4 ή ICMPv6 Αυτό εξαρτάται από τη στοίβα δικτύου που χρησιμοποιείται. Εάν εργάζεστε με IPv4 και IPv6, θα χρειαστεί να δημιουργήσετε έναν κανόνα για το καθένα. Η επιλογή προσαρμογής σάς επιτρέπει να επιλέξετε τους συγκεκριμένους τύπους ICMP που θέλετε να επιτρέψετε (μόνο αίτημα ηχούς/απάντηση ηχούς ή ένα ευρύτερο σύνολο).

Στη συνέχεια, ορίζονται το πεδίο εφαρμογής (ποιες IP μπορούν να υποβληθούν σε ping), η ενέργεια (συνήθως η δυνατότητα σύνδεσης) και τα προφίλ δικτύου όπου θα τεθεί σε ισχύ ο κανόνας. Τέλος, στον κανόνα εκχωρείται ένα περιγραφικό όνομα για εύκολη αναγνώριση.

Κανόνες εισερχόμενων και εξερχόμενων υπηρεσιών ή προγραμμάτων

Σε ορισμένα σενάρια, η επιθυμία είναι να αφήσουμε ένα Συγκεκριμένη υπηρεσία, ακρόαση εισερχόμενης κίνησης σε οποιαδήποτε θύρα χρειάζεται ή ακριβώς το αντίθετο: να εμποδίσει ένα πρόγραμμα να επικοινωνήσει με τον έξω κόσμο μέσω οποιασδήποτε θύρας.

Για το εισερχόμενο μέρος, δημιουργείται ένας προσαρμοσμένος κανόνας, επιλέγεται η "Αυτή η διαδρομή προγράμματος" και καθορίζεται το εκτελέσιμο αρχείο της υπηρεσίας. Αυτό μπορεί στη συνέχεια να προσαρμοστεί έτσι ώστε ο κανόνας να ισχύει μόνο για υπηρεσίες που φιλοξενούνται σε αυτό το εκτελέσιμο αρχείο, επιλέγοντας την υπηρεσία με το σύντομο όνομά της.

Υπάρχει ακόμη και η επιλογή ρύθμισης του τύπος SID υπηρεσίας χρησιμοποιώντας την εντολή sc sidtype Αυτό επηρεάζει τον τρόπο με τον οποίο μπορεί να χρησιμοποιηθεί η υπηρεσία εντός των κανόνων του τείχους προστασίας. Η αλλαγή της σε ΠΕΡΙΟΡΙΣΜΕΝΗ μπορεί να αποτρέψει την εκκίνησή της, επομένως θα πρέπει να γίνεται προσεκτικά και μόνο όταν απαιτείται αυτός ο τύπος προστασίας.

Για το εξερχόμενο μέρος, η διαδικασία είναι παρόμοια, αλλά δημιουργώντας ένα κανόνας εξόδουΑν θέλετε να αποκλείσετε εντελώς την πρόσβαση αυτού του προγράμματος στο Διαδίκτυο, ορίστε τη διαδρομή προς το εκτελέσιμο αρχείο, ορίστε την ενέργεια σε "Αποκλεισμός της σύνδεσης" και επιλέξτε τα προφίλ που θέλετε να περιορίσετε.

Ειδικές διαμορφώσεις για θύρες RPC και δυναμικές θύρες

Οι υπηρεσίες που χρησιμοποιούν RPC (Κλήση Απομακρυσμένης Διαδικασίας) Αυτή η κίνηση μπορεί να είναι ιδιαίτερα ευαίσθητη επειδή χρησιμοποιεί δυναμικές θύρες που εκχωρεί το σύστημα κατά τον χρόνο εκτέλεσης. Για να επιτραπεί αυτή η κίνηση με ελεγχόμενο τρόπο μέσω του τείχους προστασίας των Windows, είναι συνήθως απαραίτητο να δημιουργηθούν δύο συγκεκριμένοι κανόνες.

Ο πρώτος κατευθύνεται προς Υπηρεσία Εκχώρησης Τελικού Σημείου RPC, που βρίσκεται στο %systemroot%\system32\svchost.exe. Ο κανόνας προσαρμόζεται ώστε να εφαρμόζεται στην υπηρεσία RpcSs, το TCP ορίζεται ως το πρωτόκολλο και η επιλογή "RPC Endpoint Mapper" επιλέγεται για την τοπική θύρα.

Ο δεύτερος κανόνας δημιουργείται για το Υπηρεσία δικτύου με δυνατότητα RPC που θέλουμε να επιτρέψουμε, καθορίζοντας τη διαδρομή προς το εκτελέσιμο αρχείο που το φιλοξενεί και συσχετίζοντάς το με τη συγκεκριμένη υπηρεσία. Σε αυτήν την περίπτωση, επιλέγονται οι "δυναμικές θύρες RPC" για την τοπική θύρα.

Και στους δύο κανόνες, το πεδίο εφαρμογής (επιτρεπόμενες διευθύνσεις IP), η ενέργεια (επιτρέπεται η σύνδεση) και τα προφίλ προσαρμόζονται στη συνέχεια. Με αυτόν τον τρόπο, μόνο οι συσκευές και οι υπηρεσίες που πληρούν αυτές τις προϋποθέσεις μπορούν να επωφεληθούν από την προώθηση θυρών RPC.

Καταγραφή, έλεγχος και αντιμετώπιση προβλημάτων τείχους προστασίας των Windows

Όταν κάτι δεν λειτουργεί όπως θα έπρεπε, το αρχείο καταγραφής του τείχους προστασίας και τα συμβάντα ελέγχου είναι τα πρώτη πηγή πληροφοριώνΣυνιστάται να έχετε ρυθμίσει σωστά τη συλλογή αρχείων καταγραφής προτού τη χρειαστείτε.

Στις ιδιότητες του τείχους προστασίας, στην καρτέλα κάθε προφίλ, μπορείτε να προσαρμόσετε το διαδρομή αρχείου καταγραφήςΤο μέγιστο μέγεθος σε KB και το εάν καταγράφονται τα πακέτα που έχουν χαθεί, οι επιτυχημένες συνδέσεις ή και τα δύο. Σε περιβάλλοντα διακομιστών, είναι συνήθως καλή ιδέα να καταγράφονται και τα δύο για να έχετε μια σαφή εικόνα.

Από την άλλη πλευρά, με το εργαλείο γραμμής εντολών auditpol.exe Μπορούν να ενεργοποιηθούν συγκεκριμένες υποκατηγορίες ελέγχου, όπως αλλαγές πολιτικής, έτσι ώστε το σύστημα να δημιουργεί λεπτομερή συμβάντα όταν τροποποιούνται οι πολιτικές του τείχους προστασίας ή του IPsec.

Όταν διερευνάται ένα πρόβλημα, είναι χρήσιμο να καταγράφεται η κατάσταση του δικτύου με netstat -ano > netstat.txt και η λίστα των διεργασιών με λίστα εργασιών > λίστα εργασιών.txtΔιασταυρώνοντας το PID των διεργασιών στη λίστα εργασιών με τις ενεργές συνδέσεις στο netstat, είναι δυνατό να διαπιστωθεί ποιο πρόγραμμα χρησιμοποιεί μια συγκεκριμένη θύρα.

Σε πολύπλοκα σενάρια, η Microsoft παρέχει σενάρια όπως TSS.ps1 για τη συλλογή προηγμένων ιχνών του Μηχανισμού Φιλτραρίσματος των Windows (WFP), τα οποία στη συνέχεια συσκευάζονται σε ένα αρχείο ZIP και μπορούν να αναλυθούν ή να υποβληθούν σε τεχνική υποστήριξη.

Εξωτερικά εργαλεία: SimpleWall και τείχη προστασίας τρίτων κατασκευαστών

Το ενσωματωμένο τείχος προστασίας των Windows λειτουργεί καλά, αλλά συχνά παραβλέπεται. μια πιο διαισθητική διεπαφή και σαφείς ειδοποιήσεις όταν μια εφαρμογή επιχειρεί πρόσβαση στο διαδίκτυο για πρώτη φορά. Εδώ μπαίνουν στο παιχνίδι οι λύσεις τρίτων κατασκευαστών.

Μία από τις ελαφριές επιλογές ανοιχτού κώδικα για τα Windows είναι SimpleWallΒασίζεται στην Πλατφόρμα Φιλτραρίσματος των Windows (WFP), αλλά δεν τροποποιεί απευθείας το Τείχος Προστασίας των Windows. Αντίθετα, δημιουργεί τους δικούς του κανόνες μέσω του WFP για να ελέγχει ποιες εφαρμογές έχουν πρόσβαση.

Μεταξύ των χαρακτηριστικών του είναι ένα απλό πρόγραμμα επεξεργασίας κανόνωνΕσωτερικές λίστες για τον αποκλεισμό τηλεμετρίας και κατασκοπείας των Windows, αρχεία καταγραφής αποκλεισμένων πακέτων, συμβατότητα IPv6 και υποστήριξη για υπηρεσίες συστήματος και εφαρμογές του Microsoft Store.

Το SimpleWall σάς επιτρέπει να δημιουργείτε μόνιμους ή προσωρινούς κανόνες (οι οποίοι εξαφανίζονται μετά από επανεκκίνηση), να ενεργοποιείτε φίλτρα καθολικά και να ταξινομείτε προγράμματα ως επιτρεπόμενα, αποκλεισμένα ή σιωπηλά αποκλεισμένα. Ωστόσο, για να τεθούν σε ισχύ οι κανόνες σας, το ίδιο το SimpleWall πρέπει να εκτελείται στο παρασκήνιο.

Πέρα από το SimpleWall, ορισμένοι χρήστες επιλέγουν εμπορικά τείχη προστασίας με περισσότερες δυνατότητες: εις βάθος έλεγχο πακέτων, προρυθμισμένες λίστες anti-trace, sandboxing, ανάλυση συμπεριφοράς, προηγμένους γραφικούς πίνακες ελέγχου και βελτιωμένη ορατότητα στην εξερχόμενη κίνηση. Πολλά από αυτά τα προϊόντα ενσωματώνονται με το Τείχος προστασίας των Windows ή το αντικαθιστούν εν μέρει.

Απόδοση, πλεονεκτήματα και μειονεκτήματα της χρήσης τείχους προστασίας σε διακομιστές

Η χρήση ενός τείχους προστασίας, είτε σε επίπεδο περιμέτρου είτε σε επίπεδο λειτουργικού συστήματος, έχει μικρό αντίκτυπο. κόστος σε απόδοσηΕπειδή κάθε πακέτο δικτύου αναλύεται με βάση έναν ή περισσότερους κανόνες. Αυτό μπορεί να γίνει αντιληπτό σε εξοπλισμό με πολύ περιορισμένο ή πολύ παλιό υλικό. Ελέγξτε το Οδηγός βελτιστοποίησης διακομιστή Linux για τον μετριασμό των επιπτώσεων.

Ωστόσο, το πλεονέκτημα της ύπαρξης ενός πρώτο φράγμα άμυνας Είναι τεράστιο: μειώνει την έκθεση σε εξωτερικές επιθέσεις, ελέγχει ποιες εφαρμογές μπορούν να συνδεθούν από έξω, δημιουργεί χρήσιμα αρχεία καταγραφής για έλεγχο και προσαρμόζει το επίπεδο προστασίας ανάλογα με το αν βρίσκεστε σε αξιόπιστο δίκτυο ή σε δημόσιο δίκτυο.

Τα κύρια μειονεκτήματα, εκτός από τον αντίκτυπο στην απόδοση, είναι τα πολυπλοκότητα συντήρησης (ειδικά για άπειρους χρήστες) και την ψευδή αίσθηση ασφάλειας: ένα τείχος προστασίας δεν αντικαθιστά ένα καλό antivirus, τις ενημερώσεις συστήματος ή, φυσικά, την κοινή λογική του διαχειριστή.

Επιπλέον, η σωστή διαχείριση κανόνων απαιτεί χρόνο: αναθεώρηση των κανόνων που χρησιμοποιούνται στην πραγματικότητα, αφαίρεση παρωχημένων κανόνων, καταγραφή αλλαγών και επαλήθευση ότι δεν μένουν ακούσια ανοιχτά κενά κατά την εκτέλεση γρήγορων δοκιμών ή προσωρινών εξαιρέσεων.

Προηγμένες βέλτιστες πρακτικές για την ασφάλεια του τείχους προστασίας σε διακομιστές

Σε ένα σοβαρό περιβάλλον διακομιστή, δεν αρκεί απλώς να ορίσετε τέσσερις κανόνες και να τους ξεχάσετε. Υπάρχουν αρκετοί ορθών πρακτικών που βοηθούν στη διατήρηση του ελέγχου και στη μείωση των μακροπρόθεσμων κινδύνων.

Το πρώτο είναι να εφαρμοστεί το αρχή του ελάχιστου προνομίου (PoLP)Αυτό ισχύει τόσο για τους χρήστες όσο και για τους κανόνες. Αποφεύγει γενικούς κανόνες όπως "επιτρέπονται τα πάντα από οποιαδήποτε IP" και αντίθετα ορίζει κανόνες προσαρμοσμένους σε συγκεκριμένες IP ή υποδίκτυα, συγκεκριμένες θύρες και γνωστές εφαρμογές.

Ένα άλλο κλειδί είναι η συντήρηση του τείχους προστασίας και των στοιχείων του. πάντα ενημερωμένοΑυτό περιλαμβάνει την εφαρμογή ενημερώσεων κώδικα λειτουργικού συστήματος, υλικολογισμικού φυσικού τείχους προστασίας, υπογραφών IPS και τυχόν ενημερώσεων που κυκλοφορούν από τον προμηθευτή, κατά προτίμηση μετά από δοκιμές σε περιβάλλον δοκιμών.

Τέλος, είναι απαραίτητο να αναπτυχθεί αποτελεσματική παρακολούθηση και καταγραφήΣτείλτε τα αρχεία καταγραφής σε ένα SIEM, ορίστε ειδοποιήσεις για ύποπτα μοτίβα (για παράδειγμα, πολλά πακέτα που έχουν αποκλειστεί από την ίδια IP) και ελέγχετε περιοδικά τις αναφορές, όχι απλώς να τις συλλέγετε "για κάθε ενδεχόμενο".

Εκτός από το λογικό επίπεδο, το σωματική ασφάλεια Τα σημαντικά χαρακτηριστικά του τείχους προστασίας περιλαμβάνουν: εξοπλισμό σε κλειστά racks, περιορισμένη πρόσβαση στο τεχνικό δωμάτιο και αντίγραφα ασφαλείας ρυθμίσεων για γρήγορη επαναφορά σε περίπτωση που κάτι χαλάσει μετά από μια αλλαγή.

Πρόσθετα επίπεδα: φιλτράρισμα URL, VPN, IPS, QoS και έλεγχος εφαρμογών

Τα περισσότερα σύγχρονα NGFW σάς επιτρέπουν να ενεργοποιήσετε προηγμένες λειτουργίες που συμπληρώνουν το βασικό φιλτράρισμα πακέτων και τους κανόνες IP/θύρας.

El Φιλτράρισμα URL Σας επιτρέπει να ταξινομείτε ιστότοπους ανά κατηγορίες (κακόβουλο λογισμικό, κοινωνικά δίκτυα, περιεχόμενο για ενηλίκους, λήψεις P2P κ.λπ.) και να αποκλείετε όσους θεωρούνται ακατάλληλοι ή επικίνδυνοι, γεγονός που βοηθά τόσο στην ενίσχυση της ασφάλειας όσο και στην επιβολή πολιτικών αποδεκτής χρήσης.

ο VPNΕίτε πρόκειται για πρόσβαση από τοποθεσία σε τοποθεσία είτε για απομακρυσμένη πρόσβαση, τα VPN βασίζονται σε πρωτόκολλα όπως το IPsec ή το SSL/TLS για την κρυπτογράφηση της κίνησης μεταξύ γραφείων και απομακρυσμένων χρηστών. Τα τείχη προστασίας συνήθως ενσωματώνουν τον τερματισμό αυτών των VPN και εφαρμόζουν τις ίδιες πολιτικές ελέγχου στην κρυπτογραφημένη κίνηση όπως και στο υπόλοιπο δίκτυο.

Un Σύστημα Πρόληψης Εισβολών (IPS) Επιθεωρεί την κυκλοφορία σε πραγματικό χρόνο αναζητώντας γνωστά μοτίβα επιθέσεων ή παράξενη συμπεριφορά και μπορεί να αποκλείσει αυτόματα συνδέσεις που επιχειρούν να εκμεταλλευτούν τρωτά σημεία συστήματος ή εφαρμογών.

El έλεγχος εφαρμογών Παρέχει πολύ μεγαλύτερη ορατότητα από ό,τι απλώς η θύρα: σας επιτρέπει να αποφασίσετε ποιες συγκεκριμένες εφαρμογές (π.χ. Skype, Dropbox, εφαρμογές παιχνιδιών κ.λπ.) επιτρέπονται ή αποκλείονται, ακόμα και όταν χρησιμοποιούν τυπικές ή κρυπτογραφημένες θύρες.

Τελικά το Ποιότητα υπηρεσίας (QoS) Επιτρέπει την ιεράρχηση της κρίσιμης κίνησης (φωνή, τηλεδιάσκεψη, επιχειρηματικές εφαρμογές) έναντι άλλων λιγότερο σημαντικών ροών, αποτρέποντας την εκφύλιση μιας μαζικής λήψης ή δημιουργίας αντιγράφων ασφαλείας σε ένα δίκτυο ακατάλληλο για τον τελικό χρήστη.

Φροντίστε σχολαστικά προηγμένη διαμόρφωση τείχους προστασίας σε διακομιστέςΑπό τον σχεδιασμό ζωνών και τους λεπτομερείς κανόνες έως τη χρήση λειτουργιών επόμενης γενιάς, την καταγραφή, τον έλεγχο και εργαλεία όπως το SimpleWall ή το dedicated NGFW, κάνει τη διαφορά μεταξύ ενός δικτύου που «λίγο πολύ τα βγάζει πέρα» και μιας υποδομής πραγματικά προετοιμασμένης να αντέξει επιθέσεις, να αναπτυχθεί χωρίς να χάσει τον έλεγχο και να ανταποκριθεί στις τρέχουσες απαιτήσεις ασφαλείας.