Чтение онлайн

на главную

Жанры

Политики безопасности компании при работе в Интернет

Петренко Сергей Александрович

Шрифт:

Список контроля доступа для исходящего трафика. Для предупреждения организации атак типа «отказ в обслуживании» с подменой адресов разрешен доступ в Интернет только с IP-адресов компании. Весь трафик, направленный на «опасные» порты – NetBIOS, SNMP, TFTP, syslog, тоже удаляется:

...

no ip access-list extended Egress

ip access-list extended Egress

deny udp any any range 161 162

deny udp any any eq 69

deny tcp any any range 135 139

deny udp any any range 135 139

deny tcp any any eq 445

deny udp any any eq 514

permit tcp 70.70.70.0 0.0.255 any

permit udp 70.70.70.0 0.0.255 any

permit icmp any 70.70.70.0 0.0.0.255 source-quench

deny ip any any

Применение

списков контроля доступа:

...

interface hssi2/0

ip access-group Ingress in

no ip proxy-arp

ip accounting access-violations

interface Fa0/0

ip access-group Egress in

no cdp enable

no ip proxy-arp

ip accounting access-violations

4.3.3. Настройки внешних межсетевых экранов

Внешние межсетевые экраны позволяют построить эффективный периметр защиты компании от угроз из Интернета. Политика безопасности внешних межсетевых экранов основана на бизнес-требованиях и согласована с общей политикой информационной безопасности компании. В качестве внешнего межсетевого экрана выбран Check Point Firewall-1 NG FP3, выполняющийся на аппаратной платформе Nokia IP530 с операционной системой IPSO v.3.6. В табл. 4.2 описаны все важные компоненты сети компании, подлежащие защите с помощью указанного межсетевого экрана.

Таблица 4.2. Компоненты сети, подлежащие защите

Продолжение табл. 4.2

Окончание табл. 4.2

Очень важно корректно определить все интерфейсы на межсетевом экране и установки anti-spoofing в свойствах объектов. Если это будет неправильно сконфигурировано, то межсетевой экран может заблокировать некоторый трафик, который должен быть разрешен, или может неправильно отработать функция anti-spoofing, которая вызовет появление новых рисков. Табл. 4.3 используется для конфигурирования интерфейсов. Таблица 4.3. Пример интерфейса межсетевого экрана

Сервисы. В табл. 4.4 представлен список сервисов, которые необходимы для работы политики безопасности межсетевого экрана, некоторые из них были предустановлены, а некоторые пришлось создать.

Задание политики межсетевого экрана. Чтобы политика была простой для понимания, сначала было создано небольшое количество правил. При этом учитывалось, что Check Point Firewall-1, подобно большинству других межсетевых экранов, обрабатывает правила последовательно. Поэтому более детальные правила предшествуют общим и наиболее часто повторяющиеся правила находятся в начале общего списка правил.

Таблица 4.4. Сервисы, необходимые для работы политики безопасности межсетевого экрана

Был задан следующий порядок обработки трафика Firewall-1:

• anti-spoofing;

• свойства, маркированные как «First» в Global Properties;

• все правила по порядку, за исключением последнего;

• свойства, отмеченные как «Before Last» в Global Properties;

• последнее правило;

• свойства, маркированные «Last» в Global Properties;

• неявно заданное правило «Drop».

На рис. 4.7 представлена реализованная политика межсетевого экрана. Как будет показано далее, все неявные правила межсетевого экрана были отключены на закладке Global Properties и созданы явные правила. Это позволило повысить защищенность межсетевого экрана.

...

Рис. 4.7.

Правила безопасности межсетевого экрана

Задание правил безопасности межсетевого экрана. Опишем каждое правило в деталях.

Правило 1

Источник: источник в этом правиле группирует вместе оба IP-адреса физических интерфейсов межсетевого экрана и IP-адреса, используемые VRRP (IP protocol 112) на каждом интерфейсе, где он включен. Это новое требование Check Point NG, начиная с версии FP2, для нормального функционирования VRRP. FW-Front – это объект типа Gateway Cluster, оба межсетевых экрана входят в этот объект.

Получатель: VRRP multicast IP-адрес (244.0.0.18).

Сервис: VRRP (IP-protocol 112), IGMP (IP-protocol 2). Оба должны быть включены для функционирования VRRP в версиях Check Point NG FP2 и выше.

Журналирование: выключено (для уменьшения количества бесполезных записей в журнале).

Описание: правило разрешает функционирование VRRP между двумя межсетевыми экранами для обеспечения работы в режиме кластера. Это правило установлено первым, так как очень важно, чтобы VRRP функционировал надлежащим образом между двумя межсетевыми экранами для уменьшения любых асимметричных потоков трафика.

Правило 2

Источник: сервер Check Point Management Console.

Получатель: модули межсетевого экрана Check Point (объект Gateway Cluster содержит оба модуля).

Сервис: FWl-In – группа, которая содержит все сервисы для управления межсетевыми экранами. Для управления Nokia IPSO используются SSH и HTTPS. HTTPS включается только при начальной загрузке Nokia и удаляется из правила после настройки Nokia.

Журналирование: включено, все действия по управлению журналируются.

Описание: правило разрешает доступ к Nokia IPSO и межсетевому экрану Check Point для управления только от сервера управления (Management Server). Это правило должно предшествовать правилу, которое запрещает весь трафик на интерфейсы межсетевого экрана.

Правило 3

Источник: модули межсетевого экрана Check Point.

Получатель: сервер Check Point Management Console.

Сервис: FWl-Out – группа которая содержит все сервисы, требуемые для управления модулями межсетевых экранов.

Журналирование: включено.

Описание: правило разрешает трафик между модулями межсетевых экранов и сервером управления. Это правило должно предшествовать правилу, которое запрещает весь трафик, исходящий от интерфейсов межсетевого экрана.

Правило 4

Источник: модули межсетевого экрана Check Point.

Получатель: сервер Check Point Management Console.

Сервис: FWl-log – протокол, который используется модулями межсетевых экранов для отправки журналов на сервер управления.

Журналирование: выключено.

Описание: правило разрешает трафик журналирования, направленный к серверу управления. Это правило указано отдельно от предыдущего, потому что более эффективно журналировать управляющий трафик без самого журналирующего трафика.

Поделиться:
Популярные книги

Замуж второй раз, или Ещё посмотрим, кто из нас попал!

Вудворт Франциска
Любовные романы:
любовно-фантастические романы
5.00
рейтинг книги
Замуж второй раз, или Ещё посмотрим, кто из нас попал!

Протокол "Наследник"

Лисина Александра
1. Гибрид
Фантастика:
фэнтези
попаданцы
аниме
5.00
рейтинг книги
Протокол Наследник

Сердце Дракона. Том 11

Клеванский Кирилл Сергеевич
11. Сердце дракона
Фантастика:
фэнтези
героическая фантастика
боевая фантастика
6.50
рейтинг книги
Сердце Дракона. Том 11

Вперед в прошлое!

Ратманов Денис
1. Вперед в прошлое
Фантастика:
попаданцы
5.00
рейтинг книги
Вперед в прошлое!

Шесть принцев для мисс Недотроги

Суббота Светлана
3. Мисс Недотрога
Фантастика:
фэнтези
7.92
рейтинг книги
Шесть принцев для мисс Недотроги

Хочу тебя любить

Тодорова Елена
Любовные романы:
современные любовные романы
5.67
рейтинг книги
Хочу тебя любить

Огни Аль-Тура. Желанная

Макушева Магда
3. Эйнар
Любовные романы:
любовно-фантастические романы
эро литература
5.25
рейтинг книги
Огни Аль-Тура. Желанная

Начальник милиции 2

Дамиров Рафаэль
2. Начальник милиции
Фантастика:
попаданцы
альтернативная история
5.00
рейтинг книги
Начальник милиции 2

Мастер...

Чащин Валерий
1. Мастер
Фантастика:
героическая фантастика
попаданцы
аниме
6.50
рейтинг книги
Мастер...

Сумеречный стрелок 8

Карелин Сергей Витальевич
8. Сумеречный стрелок
Фантастика:
городское фэнтези
попаданцы
альтернативная история
аниме
5.00
рейтинг книги
Сумеречный стрелок 8

Я до сих пор не князь. Книга XVI

Дрейк Сириус
16. Дорогой барон!
Фантастика:
юмористическое фэнтези
попаданцы
аниме
5.00
рейтинг книги
Я до сих пор не князь. Книга XVI

Обыкновенные ведьмы средней полосы

Шах Ольга
Любовные романы:
любовно-фантастические романы
5.00
рейтинг книги
Обыкновенные ведьмы средней полосы

Метаморфозы Катрин

Ром Полина
Фантастика:
фэнтези
8.26
рейтинг книги
Метаморфозы Катрин

Идеальный мир для Социопата

Сапфир Олег
1. Социопат
Фантастика:
боевая фантастика
рпг
постапокалипсис
6.17
рейтинг книги
Идеальный мир для Социопата