Политики безопасности компании при работе в Интернет
Шрифт:
Список контроля доступа для исходящего трафика. Для предупреждения организации атак типа «отказ в обслуживании» с подменой адресов разрешен доступ в Интернет только с IP-адресов компании. Весь трафик, направленный на «опасные» порты – NetBIOS, SNMP, TFTP, syslog, тоже удаляется:
no ip access-list extended Egress
ip access-list extended Egress
deny udp any any range 161 162
deny udp any any eq 69
deny tcp any any range 135 139
deny udp any any range 135 139
deny tcp any any eq 445
deny udp any any eq 514
permit tcp 70.70.70.0 0.0.255 any
permit udp 70.70.70.0 0.0.255 any
permit icmp any 70.70.70.0 0.0.0.255 source-quench
deny ip any any
Применение
interface hssi2/0
ip access-group Ingress in
no ip proxy-arp
ip accounting access-violations
interface Fa0/0
ip access-group Egress in
no cdp enable
no ip proxy-arp
ip accounting access-violations
4.3.3. Настройки внешних межсетевых экранов
Внешние межсетевые экраны позволяют построить эффективный периметр защиты компании от угроз из Интернета. Политика безопасности внешних межсетевых экранов основана на бизнес-требованиях и согласована с общей политикой информационной безопасности компании. В качестве внешнего межсетевого экрана выбран Check Point Firewall-1 NG FP3, выполняющийся на аппаратной платформе Nokia IP530 с операционной системой IPSO v.3.6. В табл. 4.2 описаны все важные компоненты сети компании, подлежащие защите с помощью указанного межсетевого экрана.
Таблица 4.2. Компоненты сети, подлежащие защите
Продолжение табл. 4.2
Окончание табл. 4.2
Очень важно корректно определить все интерфейсы на межсетевом экране и установки anti-spoofing в свойствах объектов. Если это будет неправильно сконфигурировано, то межсетевой экран может заблокировать некоторый трафик, который должен быть разрешен, или может неправильно отработать функция anti-spoofing, которая вызовет появление новых рисков. Табл. 4.3 используется для конфигурирования интерфейсов. Таблица 4.3. Пример интерфейса межсетевого экрана
Сервисы. В табл. 4.4 представлен список сервисов, которые необходимы для работы политики безопасности межсетевого экрана, некоторые из них были предустановлены, а некоторые пришлось создать.
Задание политики межсетевого экрана. Чтобы политика была простой для понимания, сначала было создано небольшое количество правил. При этом учитывалось, что Check Point Firewall-1, подобно большинству других межсетевых экранов, обрабатывает правила последовательно. Поэтому более детальные правила предшествуют общим и наиболее часто повторяющиеся правила находятся в начале общего списка правил.
Таблица 4.4. Сервисы, необходимые для работы политики безопасности межсетевого экранаБыл задан следующий порядок обработки трафика Firewall-1:
• anti-spoofing;
• свойства, маркированные как «First» в Global Properties;
• все правила по порядку, за исключением последнего;
• свойства, отмеченные как «Before Last» в Global Properties;
• последнее правило;
• свойства, маркированные «Last» в Global Properties;
• неявно заданное правило «Drop».На рис. 4.7 представлена реализованная политика межсетевого экрана. Как будет показано далее, все неявные правила межсетевого экрана были отключены на закладке Global Properties и созданы явные правила. Это позволило повысить защищенность межсетевого экрана.
Рис. 4.7. Правила безопасности межсетевого экрана
Задание правил безопасности межсетевого экрана. Опишем каждое правило в деталях.
Правило 1
Источник: источник в этом правиле группирует вместе оба IP-адреса физических интерфейсов межсетевого экрана и IP-адреса, используемые VRRP (IP protocol 112) на каждом интерфейсе, где он включен. Это новое требование Check Point NG, начиная с версии FP2, для нормального функционирования VRRP. FW-Front – это объект типа Gateway Cluster, оба межсетевых экрана входят в этот объект.
Получатель: VRRP multicast IP-адрес (244.0.0.18).
Сервис: VRRP (IP-protocol 112), IGMP (IP-protocol 2). Оба должны быть включены для функционирования VRRP в версиях Check Point NG FP2 и выше.
Журналирование: выключено (для уменьшения количества бесполезных записей в журнале).
Описание: правило разрешает функционирование VRRP между двумя межсетевыми экранами для обеспечения работы в режиме кластера. Это правило установлено первым, так как очень важно, чтобы VRRP функционировал надлежащим образом между двумя межсетевыми экранами для уменьшения любых асимметричных потоков трафика.Правило 2
Источник: сервер Check Point Management Console.
Получатель: модули межсетевого экрана Check Point (объект Gateway Cluster содержит оба модуля).
Сервис: FWl-In – группа, которая содержит все сервисы для управления межсетевыми экранами. Для управления Nokia IPSO используются SSH и HTTPS. HTTPS включается только при начальной загрузке Nokia и удаляется из правила после настройки Nokia.
Журналирование: включено, все действия по управлению журналируются.
Описание: правило разрешает доступ к Nokia IPSO и межсетевому экрану Check Point для управления только от сервера управления (Management Server). Это правило должно предшествовать правилу, которое запрещает весь трафик на интерфейсы межсетевого экрана.Правило 3
Источник: модули межсетевого экрана Check Point.
Получатель: сервер Check Point Management Console.
Сервис: FWl-Out – группа которая содержит все сервисы, требуемые для управления модулями межсетевых экранов.
Журналирование: включено.
Описание: правило разрешает трафик между модулями межсетевых экранов и сервером управления. Это правило должно предшествовать правилу, которое запрещает весь трафик, исходящий от интерфейсов межсетевого экрана.Правило 4
Источник: модули межсетевого экрана Check Point.
Получатель: сервер Check Point Management Console.
Сервис: FWl-log – протокол, который используется модулями межсетевых экранов для отправки журналов на сервер управления.
Журналирование: выключено.
Описание: правило разрешает трафик журналирования, направленный к серверу управления. Это правило указано отдельно от предыдущего, потому что более эффективно журналировать управляющий трафик без самого журналирующего трафика.