Paplašināta ugunsmūra konfigurācija serveros

Informatec Digital » Resursi » Paplašināta ugunsmūra konfigurācija serveros

Apgūstiet uzlabota ugunsmūra konfigurācija serveros Tā vairs nav tikai lielu korporāciju problēma. Jebkuram uzņēmumam, kas nopietni uztver kiberdrošību, ir jāsaprot, kā segmentēt tīklu, definēt zonas, izveidot detalizētus noteikumus un maksimāli izmantot gan perimetra ugunsmūri, gan pašu Windows ugunsmūri katrā datorā un serverī.

Šajā rokasgrāmatā jūs diezgan detalizēti redzēsiet, kā Nākamās paaudzes ugunsmūri (NGFW)Kā izstrādāt zonas (LAN, WAN, DMZ, VLAN), kāda veida noteikumus piemērot (programma, ports, protokols, IP…), kā izmantot priekšrocības, ko sniedz Windows ugunsmūris ar papildu drošībuKāda loma ir tādiem rīkiem kā SimpleWall, un kāda labākā prakse būtu jāievēro, lai novērstu visas šīs struktūras pārvēršanos nekontrolējamā haosā?

Nākamās paaudzes ugunsmūri serveros: daudz vairāk nekā tikai portu filtrēšana

Nākamās paaudzes ugunsmūri, piemēram, FortiGate NGFWTie apvieno uzlabotas tīkla funkcijas un dziļu drošību vienā ierīcē. Tie ne tikai atver vai aizver portus; tie analizē datplūsmu lietojumprogrammu līmenī, pārbauda šifrētu saturu un integrējas ar sarežģītām mākoņa, LAN, WLAN un attālās piekļuves arhitektūrām.

FortiGate gadījumā sistēmas sirds ir FortiOSSpecifiska operētājsistēma, kas apvieno drošības politikas un tīkla funkcijas: integrēts SD-WAN, universāls ZTNA, datplūsmas kontrole bezvadu un vadu tīklos un centralizēta pārvaldība, pateicoties FortiManager.

Turklāt šīs komandas paļaujas uz patentēta ASIC arhitektūra (speciālas mikroshēmas), lai paātrinātu pakešu pārbaudi un atšifrēšanu, neapdraudot veiktspēju vai nepalielinot enerģijas patēriņu pat tad, ja tīkls ir ļoti noslogots un notiek simtiem vai tūkstošiem vienlaicīgu sesiju.

Aizsardzība pret draudiem tiek pastiprināta ar FortiGuard pakalpojumikas pievieno mākslīgo intelektu, lai atklātu ļaunprogrammatūru, aizdomīgu datplūsmu, ielaušanās kļūdas un mērķtiecīgus uzbrukumus, iekļaujot visu Fortinet drošības struktūras koncepcijā: drošības struktūra, kas aptver tīklu, galapunktus un mākoni, lai koordinēti reaģētu uz incidentiem.

Ugunsmūra zonas dizains un tīkla segmentācija serveros

Pirms sākat radīt noteikumus tā, it kā rītdienas nebūtu, jums ir jāizstrādā... zonu arhitektūra un tīkla segmentācijaJo plakanāks tīkls, jo vieglāk uzbrucējam ir pārvietoties sāniski, kad viņš ir nokļuvis iekšā.

Pirmais solis ir identificēt galvenie aktīvi un pakalpojumiTīmekļa serveri, datubāzes, iekšējās lietojumprogrammas, pārdošanas vietas ierīces, VoIP PBX, viesu tīkli utt. Atkarībā no to kritiskuma un iedarbības tie tiek grupēti dažādās loģiskajās zonās.

Standarta prakse ir izveidot DMZ (demilitarizētā zona) Serveriem, kas sniedz pakalpojumus tieši internetam (e-pasts, VPN, tīmekļa lietojumprogrammas, publiskie portāli utt.), šīm sistēmām jābūt izolētām gan no ārējā tīkla, gan no visjutīgākā iekšējā tīkla, pēc iespējas ierobežojot datplūsmas plūsmu starp dažādām zonām.

Serveri, kuriem var piekļūt tikai no organizācijas iekšienes, atrodas šeit: iekšējās serveru zonasTie savukārt ir atdalīti no lietotāju tīkla, pārvaldības tīkla un jebkuras laboratorijas vai testēšanas vides. Lai tas būtu praktiski, parasti tiek izmantoti slēdži, kas atbalsta VLAN saglabāt atdalīšanu arī 2. līmenī.

IPv4 vidēs visiem iekšējiem tīkliem jāizmanto privātie diapazoni (RFC1918) un paļaujas uz NAT mehānismiem, lai piekļūtu internetam. Tulkošana parasti tiek veikta perimetra ugunsmūrī, kas arī ievieš ienākošās un izejošās datplūsmas politikas katrai konkrētajai zonai.

Piekļuves kontroles saraksti (ACL) un starpzonu noteikumi

Kad zonas ir definētas un piešķirtas ugunsmūra saskarnēm vai apakšsaskarnēm, ir pienācis laiks... ACL (piekļuves kontroles saraksti)Kuri ir noteikumi, kas nosaka, kāda satiksme starp šīm zonām ir atļauta un kāda tiek noraidīta.

Ideja ir katrai saskarnei vai apakšsaskarnei definēt pēc iespējas vienkāršāku noteikumu kopumu. specifisks un detalizēts Iespējamās prasības ietver: avota IP adresi vai apakštīklu, mērķa IP adresi vai apakštīklu, protokolu (TCP, UDP, ICMP utt.), iesaistītās pieslēgvietas un darbību (atļaut vai aizliegt). Jo mazāk vispārīgi noteikumi, jo mazāk drošības nepilnību būs.

Laba prakse ir katru ACL beigt ar noteikumu netieši "noliegt visu"Tas darbojas kā drošības tīkls: ja pakete neatbilst nevienam iepriekš noteiktam atļaujas noteikumam, tā tiek bloķēta. Pēc tam tiek izveidoti ļoti specifiski izņēmumi plūsmām, kas faktiski ir nepieciešamas.

Ieteicams arī atspējot publiska piekļuve administrēšanas saskarnēm ugunsmūra (HTTP, HTTPS, SSH utt.) izmantošana, kas ļauj pārvaldīt tikai no ļoti specifiskiem iekšējiem tīkliem vai izmantojot drošu pārvaldības VPN.

Mūsdienu NGFW var pārsniegt portu un IP robežas, izmantojot lietojumprogrammu kontroleTīmekļa kategorijas, IPS un uzlabota failu analīze (smilškaste). Ja par šīm funkcijām jau esat samaksājis, ir lietderīgi tās aktivizēt un konfigurēt kritiskās darbplūsmās, īpaši tajās, kas šķērso perimetru.

Atļaujošs ugunsmūris salīdzinājumā ar ierobežojošu ugunsmūri serveros

Izstrādājot ugunsmūra politiku (neatkarīgi no tā, vai tā ir perimetra vai operētājsistēmas politika), galvenais ir izlemt, vai sākt ar konkrētu pozīciju. atļaujošs vai ierobežojošs.

Vienā atļaujošs ugunsmūris Galīgais netiešais noteikums ir "atļaut visu". Bloķēts tiek tikai tas, kas ir skaidri definēts ar liegšanas noteikumiem. Šī pieeja parasti tiek izmantota uzticamos lokālajos tīklos (LAN) vai datoros, kas operētājsistēmā Windows konfigurēti kā "privāti tīkli".

Vienā ierobežojošs ugunsmūris Notiek pretējais: galīgais noteikums ir "liegt visu". Tiek atļauta tikai tā datplūsma, kas atbilst skaidri noteiktiem atļaušanas noteikumiem. Šī filozofija ir izplatīta plaša apgabala tīkla (WAN) saskarnē, ugunsmūros, piemēram, pfSense vai korporatīvajos NGFW, un ierīcēs, kas konfigurētas kā "publiskais tīkls".

Piemēram, Windows pēc noklusējuma izmanto ierobežojoša politika ienākošajiem savienojumiem (bloķē visu, kas nav skaidri atļauts) un atļaujoša politika attiecībā uz izdevumiem (Tas atļauj visu, izņemot to, ko esat bloķējis.) To var pielāgot ugunsmūra papildu īpašībās.

Ko Windows ugunsmūris patiesībā var piedāvāt serveros?

El Windows ugunsmūris ar papildu drošību Tas ir daudz jaudīgāks, nekā daudzi cilvēki apzinās. Tas var kontrolēt ienākošo un izejošo datplūsmu, filtrēt pēc IP adreses, porta, protokola, pakalpojuma, tīkla saskarnes, profila veida (domēns, privāts, publisks) un dažos gadījumos pat pēc lietotāja vai grupas.

Starp tās iespējām izceļas šādas iespējas: pakešu filtrēšana Zemā līmenī tas ģenerē detalizētus žurnālus (kurus pēc tam var analizēt ar notikumu skatītāju vai nosūtīt uz SIEM), nosaka publiskos tīklus, lai automātiski lietotu stingrāku profilu, un integrējas ar citiem drošības slāņiem, piemēram, Windows Defender.

Maziem uzņēmumiem un daudzām serveru vidēm labi konfigurēts serveris var būt vairāk nekā pietiekošiIt īpaši apvienojumā ar spēcīgu pretvīrusu programmatūru un labu administrēšanas praksi. Tomēr ir svarīgi apzināties tā ierobežojumus: tas neaizstāj perimetra NGFW vai īpašu IPS.

Kā vājās vietas jāmin tas, ka Windows ugunsmūris pēc noklusējuma nepiedāvā šo funkciju. dziļa pakešu pārbaude Izmantojot uzlabotos parakstus, tas nebloķē sistēmas telemetriju, tā paziņojumi ir diskrēti (tas tik tikko brīdina par jauniem savienojumiem), un žurnālu apskates veids nav lietotājam draudzīgs lietotājiem bez tehniskām zināšanām.

Piekļuve Windows ugunsmūrim ar uzlabotu drošību

Lai pārvaldītu ugunsmūra papildu iestatījumus vidē, kurā Active Directory domēnsIdeālā gadījumā vajadzētu strādāt ar GPO (grupas politikas objekti)Ir svarīgi piederēt domēna administratoru grupai vai deleģēt atļaujas attiecībā uz GPO.

No politikas pārvaldības konsoles jūs varat pārvietoties pa Politikas > Datora konfigurācija > Windows iestatījumi > Drošības iestatījumi > Windows ugunsmūris ar papildu drošībuTur var definēt kopīgus noteikumus klientu datoriem un serveriem, kas pievienoti domēnam.

Ja tas ir par viens serveris vai lokāls datorsJums ir nepieciešamas tikai administratora privilēģijas šajā ierīcē. Ātrākais veids, kā atvērt konsoli, ir nospiest START un ierakstīt wf.msc un nospiediet taustiņu Enter. Tiks atvērta Windows ugunsmūra konsole ar šī datora papildu drošību.

Galvenajā ekrānā tiek parādīts ienākošo datu kārtulas, izejošo datu kārtulas, savienojuma drošības kārtulas un dažādu profilu (domēna, privātā, publiskā) konfigurāciju, kā arī uzraudzības apgabalu, kurā redzami tikai aktīvie noteikumi.

Profili, globālās politikas un noklusējuma darbība

Ugunsmūra īpašību panelis kontrolē katra globālās opcijas tīkla profils (domēns, privāts, publisks). Šīs opcijas nosaka, kā ugunsmūris darbojas, ja tīkla adapteris ir saistīts ar noteiktu tīkla tipu.

Katram profilam varat izvēlēties, vai ugunsmūris ir iespējots. ieslēgts vai izslēgtsVai ienākošie savienojumi, kas neatbilst nevienam noteikumam, tiek bloķēti vai atļauti, un tas pats attiecas uz izejošajiem savienojumiem.

Var pielāgot arī tādus parametrus kā tālāk norādītie. paziņojumi, bloķējot programmu, vieta, kur ugunsmūra žurnāli, šo žurnālu maksimālo izmēru un īpašo apstrādi ar datplūsmu, ko aizsargā IPsec VPN tuneļi, kas parasti tiek uzskatīta par uzticamāku.

Tajā Supervisión Tiek parādīti visi pašlaik aktīvie noteikumi, tostarp tie, kas iegūti no grupas politikas objektiem (GPO), un tie, kas definēti lokāli. Šeit var skatīt, kuri noteikumi faktiski ir aktīvi un ar kādiem parametriem, un no turienes var atvērt un modificēt to īpašības.

Iebraukšanas un izbraukšanas noteikumi: satiksmes virziens

Strādājot ar noteikumiem Windows ugunsmūrī, viena no visbiežāk pieļautajām kļūdām ir satiksmes virziena mulsināšanaIenākošo datu noteikumi attiecas uz paketēm, kas nonāk datorā; izejošo datu noteikumi attiecas uz paketēm, kas atstāj datoru un dodas uz citu ierīci.

Ja mērķis ir novērst savienojumus no interneta uz serveri, būs nepieciešams izveidot vai modificēt ieejas noteikumiNo otras puses, ja mērķis ir neļaut servera pakalpojumam vai programmai izveidot savienojumu ar ārēju tīklu, ir jāveic darbības. izejas noteikumi.

Katrs ieraksts sarakstā norāda, vai noteikums ir iespējots (zaļa atzīmes ikona) vai atspējots. Atspējotie noteikumi neietekmē datplūsmu, pat ja tie joprojām ir definēti. Bieži var atrast daudz iepriekš definētu Windows noteikumu, kas ir klātesoši, bet nav aktīvi, kamēr nav nepieciešami.

Lai labi saprastu, avota/mērķa plūsma un lokālais/attālais ports Tas ir svarīgi, lai izvairītos no tādu noteikumu izveides, kas nekad netiek piemēroti vai atver vairāk, nekā tas patiesībā nepieciešams, kas ir ļoti izplatīta parādība, konfigurējot sarežģītus pakalpojumus.

Noteikumu veidi Windows ugunsmūrī

Windows ugunsmūra jauno noteikumu vednis piedāvā četras galvenās kategorijas: programma, ports, iepriekš definēts un pielāgotsKatrs no tiem ir paredzēts atšķirīgam scenārijam, un ir svarīgi rūpīgi izvēlēties atkarībā no tā, ko vēlaties sasniegt.

Noteikumi par programma koncentrēties uz konkrētu izpildāmo failu; osta Tie filtrē pēc TCP vai UDP porta numura; iepriekš definēts Tie vienkāršo pazīstamu Windows pakalpojumu pārvaldību; un personalizēts Tie ļauj ļoti precīzi noregulēt, apvienojot vairākus kritērijus vienlaikus.

Visos gadījumos vednis noslēdzas, jautājot, kādu darbību vēlamies piemērot (atļaut, atļaut tikai tad, ja drošs ar IPsec, vai bloķēt) un uz kuriem tīkla profiliem šis noteikums attieksies (domēns, privāts, publisks). Visbeidzot, nosaukums un apraksts lai to vēlāk varētu viegli identificēt.

Kritiski svarīgos serveros ir vērts veltīt laiku noteikumu pienācīgai dokumentēšanai, norādot Kādu pakalpojumu tas aizsargā un kāpēc tas pastāv?lai turpmākajās revīzijās vai izmaiņās nerastos šaubas par tā lietderību.

Programmas noteikumi: konkrētu pakalpojumu precīza kontrole

Tipa noteikumi programma Tie ir ērts veids, kā kontrolēt lietojumprogrammas datplūsmu, neiegaumējot visas izmantotās pieslēgvietas. Tos var piemērot gan ienākošajai, gan izejošajai datplūsmai.

Vednī atlasiet opciju "Šis programmas ceļš" un norādiet izpildāmā ceļaVides mainīgos var izmantot, lai nodrošinātu, ka noteikums tiek piemērots pareizi pat tad, ja programma ir instalēta dažādos ceļos dažādos datoros.

Serveros, kuros tiek mitināti pakalpojumi svchost.exe Citiem vairāku pakalpojumu konteineriem ir iespējams pielāgot noteikumu, lai tas attiektos tikai uz konkrētiem pakalpojumiem, atlasot pakalpojumu pēc tā īsā nosaukuma. Tas ļauj, piemēram, atšķirt konkrēta RPC pakalpojuma datplūsmu viena procesa ietvaros.

Ir ļoti ieteicams apvienot programmas noteikumu ar ierobežojumiem cilnē Protokoli un portiskaidri norādot, kurus portus šī lietojumprogramma var klausīties vai izmantot. Ja mēģināsiet atvērt citu portu, ugunsmūris to bloķēs.

Portu noteikumi: klasiskā TCP/UDP filtrēšana

Tipa noteikumi osta Tie ļauj atļaut vai bloķēt datplūsmu, pamatojoties uz lokālā vai attālā porta numuru un protokolu (galvenokārt TCP vai UDP). Tos var izmantot gan ienākošajiem, gan izejošajiem noteikumiem.

Tipiskā ienākošo datu atvēršanas noteikumā, piemēram, TCP ports 21Tiek atlasīts TCP, norādītas "specifiskas lokālās ostas" un ievadīts skaitlis 21. Var norādīt vairākas ostas, atdalītas ar komatiem (piemēram, 21, 20, 22), vai diapazonus, piemēram, 5000–5100, pat apvienojot atsevišķas ostas un diapazonus vienā noteikumā.

Pēc tam jūs izvēlaties darbību (atļaut, atļaut, ja drošs, bloķēt) un profilus, kuros tā tiks piemērota. Tas ir vienkāršs veids, kā atvērt noteiktus standarta pakalpojumus (HTTP, HTTPS, RDP utt.), neiedziļinoties konkrētu programmu detaļās.

Gadījumā, ja izejas noteikumiVisizplatītākā prakse ir norādīt attālo portu, jo tas ir galamērķis, ar kuru serveris mēģina izveidot savienojumu. Tipisks lietošanas gadījums būtu bloķēt visu izejošo datplūsmu uz aizdomīgiem portiem vai ierobežot noteiktu lietojumprogrammu saziņu tikai ļoti noteiktos portos.

Iepriekš definēti un pielāgoti noteikumi

the iepriekš noteikti noteikumi Tie grupē gatavas konfigurācijas bieži izmantotajiem Windows pakalpojumiem (failu un printeru koplietošana, attālā darbvirsma utt.). Vienkārši izvēlieties pakalpojumu, norādiet, vai to atļaut vai bloķēt, atlasiet profilus, un viss ir izdarīts.

Šī opcija ir ērta, ja vēlaties ātri iespējot vai ierobežot iekšējo pakalpojumu, neizpētot, kuras pieslēgvietas un protokolus tas izmanto katrā gadījumā. Sistēma fonā izveido vairākus specifiskus noteikumus, kas attiecas uz šo pakalpojumu.

the pielāgoti noteikumi Šie ir visaptverošākie un piedāvā vislielāko kontroli. Tie ļauj norādīt visus parametrus: programmu (vai visas programmas), pakalpojuma veidu, IP protokolu (ar TCP, UDP, ICMPv4, ICMPv6, GRE, IPv6 maršruta u. c. sarakstu), lokālo un attālo portu kombināciju, avota un mērķa IP adreses (ieskaitot diapazonus un apakštīklus) un papildu nosacījumus.

Protokolos, piemēram, ICMPv4 vai ICMPv6, varat izvēlēties, vai Tie atbalsta visu veidu ICMP vai tikai noteiktus ziņojumus (atbalss pieprasījums, atbalss atbilde, pārsniegts laiks utt.). Varat pat definēt konkrētus veidus un kodus, kas neparādās vispārīgajā sarakstā.

Tāpat, definējot IP adreses darbības jomas sadaļā, vednis to atļauj pievienot veselus diapazonus vai apakštīklus (piemēram, 192.168.10.0/24), lai vēl vairāk sašaurinātu ierīču loku, kuras var izmantot šo noteikumu gan lokāli, gan attālināti.

ICMP ienākošo datu kārtulas serveros

Tas, vai atļaut ICMP datplūsmu uz serveri, ir stratēģisks lēmums. ienākošais ICMP noteikums Tas ļauj ierīcei reaģēt uz ping pieprasījumiem un noteiktiem tīkla diagnostikas ziņojumiem, kas ir ļoti noderīgi administratīviem uzdevumiem, bet var sniegt informāciju arī uzbrucējam.

Lai izveidotu ienākošo ICMP noteikumu Windows ugunsmūrī, atveriet papildu konsoli un dodieties uz Ieceļošanas noteikumi un tiek izveidots jauns pielāgots noteikums. Programmu sadaļā parasti izvēlaties “Visas programmas”.

Protokola ekrānā atlasiet ICMPv4 vai ICMPv6 Tas ir atkarīgs no izmantotā tīkla steka. Ja strādājat gan ar IPv4, gan IPv6, jums būs jāizveido noteikums katram no tiem. Pielāgošanas opcija ļauj atlasīt konkrētus ICMP veidus, kurus vēlaties atļaut (tikai atbalss pieprasījums/atbalss atbilde vai plašāks kopums).

Pēc tam tiek definēts darbības joma (kuras IP adreses var tikt pingotas), darbība (parasti savienojuma atļaušana) un tīkla profili, kuros noteikums stāsies spēkā. Visbeidzot, noteikumam tiek piešķirts aprakstošs nosaukums, lai to būtu vieglāk identificēt.

Ienākošo un izejošo pakalpojumu vai programmu noteikumi

Dažos gadījumos vēlme ir ļaut Konkrēts pakalpojums, klausieties ienākošo satiksmi jebkurā nepieciešamajā ostā vai tieši otrādi: neļaut programmai sazināties ar ārpasauli caur jebkuru portu.

Ienākošajai daļai tiek izveidots pielāgots noteikums, tiek atlasīts "Šis programmas ceļš" un norādīts pakalpojuma izpildāmais fails. Pēc tam to var pielāgot tā, lai noteikums attiektos tikai uz pakalpojumiem, kas tiek mitināti šajā izpildāmajā failā, izvēloties pakalpojumu pēc tā īsā nosaukuma.

Ir pat iespēja pielāgot pakalpojuma SID tips izmantojot komandu sc sidtype Tas ietekmē to, kā šo pakalpojumu var izmantot ugunsmūra noteikumu ietvaros. Mainot to uz RESTRICTED, var tikt traucēta tā palaišana, tāpēc tas jādara uzmanīgi un tikai tad, ja šāda veida aizsardzība ir nepieciešama.

Izejošajai daļai process ir līdzīgs, bet tiek izveidots izejas noteikumsJa vēlaties pilnībā bloķēt šīs programmas piekļuvi internetam, definējiet ceļu uz izpildāmo failu, iestatiet darbību uz "Bloķēt savienojumu" un izvēlieties profilus, kurus vēlaties ierobežot.

Īpašas RPC un dinamisko portu konfigurācijas

Pakalpojumi, kas tiek izmantoti RPC (attālās procedūras izsaukums) Šī datplūsma var būt īpaši jutīga, jo tā izmanto dinamiskos portus, ko sistēma piešķir izpildlaikā. Lai kontrolēti atļautu šo datplūsmu caur Windows ugunsmūri, parasti ir jāizveido divi īpaši noteikumi.

Pirmais dodas uz RPC galapunkta piešķiršanas pakalpojums, kas atrodas failā %systemroot%\system32\svchost.exe. Noteikums ir pielāgots, lai tas attiektos uz RpcSs pakalpojumu, kā protokols ir iestatīts TCP, un lokālajam portam ir izvēlēta opcija “RPC galapunkta kartētājs”.

Otrais noteikums ir izveidots priekš RPC iespējots tīkla pakalpojums ko vēlamies atļaut, norādot ceļu uz izpildāmo failu, kas to mitina, un arī saistot to ar konkrēto pakalpojumu. Šajā gadījumā lokālajam portam tiek izvēlēti "RPC dinamiskie porti".

Abos noteikumos tiek pielāgots darbības joma (atļautās IP adreses), darbība (savienojuma atļaušana) un profili. Tādā veidā tikai ierīces un pakalpojumi, kas atbilst šiem nosacījumiem, var izmantot RPC portu pāradresāciju.

Windows ugunsmūru reģistrēšana, auditēšana un problēmu novēršana

Ja kaut kas nedarbojas, kā paredzēts, ugunsmūra žurnāls un audita notikumi ir pirmais informācijas avotsIeteicams žurnālu kolekciju pareizi konfigurēt, pirms tā ir nepieciešama.

Ugunsmūra īpašībās, katra profila cilnē, varat pielāgot žurnālfaila ceļšMaksimālais lielums KB un tas, vai tiek reģistrētas pārtrauktās paketes, veiksmīgi savienojumi vai abi. Serveru vidē parasti ir ieteicams reģistrēt abus, lai iegūtu skaidru pārskatu.

No otras puses, ar komandrindas rīku auditpol.exe Var iespējot īpašas audita apakškategorijas, piemēram, politikas izmaiņas, lai sistēma ģenerētu detalizētus notikumus, kad tiek mainītas ugunsmūra vai IPsec politikas.

Izpētot problēmu, ir lietderīgi fiksēt tīkla stāvokli ar netstat -ano > netstat.txt un procesu saraksts ar uzdevumu saraksts > uzdevumu_saraksts.txtVeicot savstarpējas atsauces starp uzdevumu saraksta procesu PID un aktīvajiem savienojumiem netstat, ir iespējams noskaidrot, kura programma izmanto konkrētu portu.

Sarežģītos gadījumos Microsoft nodrošina skriptus, piemēram, TSS.ps1 lai apkopotu Windows filtrēšanas dzinēja (WFP) uzlabotas pēdas, kas pēc tam tiek iepakotas ZIP failā un var tikt analizētas vai iesniegtas tehniskajam atbalstam.

Ārējie rīki: SimpleWall un trešo pušu ugunsmūri

Windows iebūvētais ugunsmūris darbojas labi, taču tas bieži vien tiek palaists garām. intuitīvāks interfeiss un notīrīt paziņojumus, kad lietojumprogramma pirmo reizi mēģina piekļūt internetam. Šeit noder trešo pušu risinājumi.

Viena no vieglajām, atvērtā pirmkoda opcijām operētājsistēmai Windows ir SimpleWallTas balstās uz Windows filtrēšanas platformu (WFP), bet tieši nemaina Windows ugunsmūri. Tā vietā tas izveido savus noteikumus, izmantojot WFP, lai kontrolētu, kurām lietojumprogrammām ir piekļuve.

Starp tā funkcijām ir vienkāršs noteikumu redaktorsIekšējie saraksti Windows telemetrijas un spiegošanas bloķēšanai, bloķēto pakešu žurnāli, IPv6 saderība un atbalsts sistēmas pakalpojumiem un Microsoft Store lietotnēm.

SimpleWall ļauj izveidot pastāvīgus vai pagaidu noteikumus (kas pazūd pēc restartēšanas), aktivizēt filtrus globāli un klasificēt programmas kā atļautas, bloķētas vai klusībā bloķētas. Tomēr, lai jūsu noteikumi stātos spēkā, pašam SimpleWall ir jādarbojas fonā.

Papildus SimpleWall daži lietotāji izvēlas komerciālie ugunsmūri ar vairākām funkcijām: dziļa pakešu pārbaude, iepriekš konfigurēti pretizsekošanas saraksti, smilškastes tehnoloģija, uzvedības analīze, uzlaboti grafiskie informācijas paneļi un uzlabota izejošās datplūsmas pārskatāmība. Daudzi no šiem produktiem integrējas ar Windows ugunsmūri vai daļēji to aizstāj.

Ugunsmūru izmantošanas veiktspēja, priekšrocības un trūkumi serveros

Ugunsmūra izmantošanai gan perimetra, gan operētājsistēmas līmenī ir neliela ietekme izmaksas par veiktspējuTā kā katrs tīkla pakete tiek analizēta atbilstoši vienam vai vairākiem noteikumiem. Tas var būt pamanāms iekārtās ar ļoti ierobežotu vai ļoti vecu aparatūru. Pārbaudiet Linux servera optimizācijas rokasgrāmata lai mazinātu ietekmi.

Tomēr priekšrocība, ko sniedz pirmā aizsardzības barjera Tas ir milzīgs: tas samazina pakļautību ārējiem uzbrukumiem, kontrolē, kuras lietojumprogrammas var izveidot savienojumu no ārpuses, ģenerē noderīgus žurnālus auditēšanai un pielāgo aizsardzības līmeni atkarībā no tā, vai atrodaties uzticamā tīklā vai publiskā tīklā.

Galvenie trūkumi, izņemot ietekmi uz veiktspēju, ir šādi: apkopes sarežģītība (īpaši nepieredzējušiem lietotājiem) un maldīgā drošības sajūta: ugunsmūris neaizstāj labu antivīrusu, sistēmas atjauninājumus vai, protams, administratora veselo saprātu.

Turklāt pareiza noteikumu pārvaldība prasa laiku: jāpārskata, kas faktiski tiek lietots, jānoņem novecojuši noteikumi, jādokumentē izmaiņas un jāpārbauda, ​​vai, veicot ātrus testus vai pagaidu izņēmumus, netīšām netiek atstātas nepilnības.

Uzlabota labākā prakse ugunsmūra drošībai serveros

Nopietnā serveru vidē nepietiek tikai iestatīt četrus noteikumus un aizmirst par tiem. Ir vairāki labas prakses kas palīdz saglabāt kontroli un samazināt ilgtermiņa riskus.

Pirmais ir pielietot mazāko privilēģiju princips (PoLP)Tas attiecas gan uz lietotājiem, gan noteikumiem. Tas ļauj izvairīties no vispārīgiem noteikumiem, piemēram, "atļaut visu no jebkuras IP adreses", un tā vietā definē noteikumus, kas pielāgoti konkrētām IP adresēm vai apakštīkliem, konkrētām portiem un zināmām lietojumprogrammām.

Vēl viena svarīga lieta ir ugunsmūra un tā komponentu uzturēšana. vienmēr atjauninātsTas ietver operētājsistēmas ielāpu, fiziskā ugunsmūra programmaparatūras, IPS parakstu un visu pārdevēja izlaisto atjauninājumu lietošanu, vēlams, pēc testēšanas testa vidē.

Visbeidzot, ir svarīgi izvietot efektīva uzraudzība un reģistrēšanaNosūtiet žurnālus uz SIEM, definējiet brīdinājumus par aizdomīgiem modeļiem (piemēram, daudzas paketes, kas bloķētas no vienas IP adreses) un periodiski pārskatiet ziņojumus, nevis tikai apkopojiet tos "katram gadījumam".

Papildus loģikas slānim, fiziskā drošība Ugunsmūra svarīgākās funkcijas ietver: iekārtu izvietošanu slēgtos plauktos, ierobežotu piekļuvi tehniskajai telpai un konfigurācijas dublējumus, lai nodrošinātu ātru atiestatīšanu, ja pēc izmaiņām kaut kas sabojājas.

Papildu slāņi: URL filtrēšana, VPN, IPS, QoS un lietojumprogrammu kontrole

Lielākā daļa mūsdienu NGFW ļauj iespējot uzlabotas funkcijas, kas papildina pamata pakešu filtrēšanu un IP/porta noteikumus.

El URL filtrēšana Tas ļauj klasificēt tīmekļa vietnes pēc kategorijām (ļaunprogrammatūra, sociālie tīkli, pieaugušajiem paredzēts saturs, P2P lejupielādes utt.) un bloķēt tās, kas tiek uzskatītas par nepiemērotām vai bīstamām, kas palīdz gan stiprināt drošību, gan ieviest pieņemamas lietošanas politikas.

the VPNNeatkarīgi no tā, vai tā ir starpvietne vai attāla piekļuve, VPN izmanto tādus protokolus kā IPsec vai SSL/TLS, lai šifrētu datplūsmu starp birojiem un attāliem lietotājiem. Ugunsmūri parasti integrē šo VPN pārtraukšanu un šifrētajai datplūsmai piemēro tādas pašas kontroles politikas kā pārējam tīklam.

Un Ielaušanās novēršanas sistēma (IPS) Tā reāllaikā pārbauda datplūsmu, meklējot zināmus uzbrukumu modeļus vai dīvainu uzvedību, un var automātiski bloķēt savienojumus, kas mēģina izmantot sistēmas vai lietojumprogrammu ievainojamības.

El lietojumprogrammu kontrole Tas nodrošina daudz lielāku redzamību nekā tikai ports: tas ļauj jums izlemt, kuras konkrētas lietojumprogrammas (piemēram, Skype, Dropbox, spēļu lietojumprogrammas utt.) ir atļautas vai bloķētas, pat ja tās izmanto standarta vai šifrētus portus.

Visbeidzot, Pakalpojuma kvalitāte (QoS) Tas ļauj piešķirt prioritāti kritiskajai datplūsmai (balss, videokonferences, biznesa lietojumprogrammas) salīdzinājumā ar citām mazāk svarīgām plūsmām, novēršot masveida lejupielādes vai dublēšanas pārvēršanos tīklā, kas nav izmantojams gala lietotājam.

Rūpīgi rūpējieties par uzlabota ugunsmūra konfigurācija serverosSākot ar zonu un detalizētu noteikumu izstrādi un beidzot ar nākamās paaudzes funkciju, reģistrēšanas, auditēšanas un tādu rīku kā SimpleWall vai īpaša NGFW izmantošanu, tas viss rada atšķirību starp tīklu, kas "vairāk vai mazāk tiek galā", un infrastruktūru, kas ir patiesi gatava izturēt uzbrukumus, augt, nezaudējot kontroli, un atbilst pašreizējām drošības prasībām.