Я понимаю, что у каждой компании свои потребности и ситуация, но я ищу общие рекомендации по часто блокируемым службам и портам и другим политикам, которые нужно учитывать при настройке брандмауэра. Например, должен ли я блокировать все входящие (WAN -> LAN), за исключением того, что я знаю как безопасный? Есть ли определенные порты, о которых нужно беспокоиться внутри (LAN, WLAN, VPN)? Должен ли я разрешить ВСЕЙ доступ к ресурсам из VPN в LAN?
Я понимаю, что здесь много вопросов, но я ищу общие рекомендации по настройке межсетевого экрана / безопасности для малого бизнеса.
Это довольно широко, но я попробую. Все сводится к тому, чтобы узнать, кто что делает, и убедиться, что они все еще нуждаются в этом.
создавайте электронные таблицы для всего, что вы делаете. отслеживать, какие порты, когда он открылся, кто его просил и почему.
блокировать ВСЕ входящие по умолчанию. Любая услуга, которая должна быть предоставлена, должна быть одобрена, и вы должны знать об этом. Возможно, вы уже знаете о входящей почте, Интернете и т. Д. Откройте для них порты для определенных мест назначения, добавьте их в электронную таблицу. Другими словами, откройте порт 80 для своего веб-сервера, а не для любого другого хоста в сети (пока вы не узнаете почему).
заблокировать все исходящие. Открывайте порты для определенных служб (80, 443, DNS, NTP) по мере того, как вы узнаете о них / вас спросят. Открывайте порты с максимально возможными ограничениями для вашего бизнеса. Если почтовой службе нужен исходящий порт 25, откройте его, но не для каждого рабочего стола.
один раз в год проверяйте электронную таблицу и уточняйте у запрашивающего, что она все еще необходима
Возможно, сурово, но если вы с самого начала будете тщательно справляться с этим, у вас будет больше шансов узнать, что происходит. Имейте в виду, что это бизнес, а не ваша домашняя сеть, поэтому сотрудники могут иметь некоторые ограничения. Обратная сторона взлома может быть гораздо серьезнее.
Поскольку я работаю в малом бизнесе, я просто расскажу вам, что я сделал.
Все входящие сообщения начинаются как заблокированные, а порты открываются только по мере необходимости. В моем случае это включает выборочное открытие портов для внешней поддержки при необходимости и их повторное закрытие, когда они будут выполнены. На брандмауэре настроены задания cron для закрытия этих портов в определенный момент времени, на случай, если я не закрыл их вручную по какой-либо причине.
Практически все исходящие сообщения из нашей сети разрешены, за некоторыми исключениями. например Порт 25 (SMTP) открыт только для тех компьютеров, которым разрешено отправлять электронную почту напрямую, таких как сервер Exchange и система мониторинга. Последний не должен маршрутизироваться через сервер Exchange, потому что он вполне может пытаться сообщить мне, что Exchange не работает.
Это заметно отличается от более распространенной практики в более крупных организациях, где исходящие сообщения начинаются как заблокированные, а доступ открывается только по мере необходимости. Одна из причин различия заключается в используемом оборудовании. Например, наш брандмауэр не имеет возможности разрешить или запретить исходящий трафик на основе идентификатора пользователя, поэтому реализовать такие функции было бы намного сложнее.
Как правило, я бы:
По умолчанию блокировать все входящие соединения (плюс исходящие, об этом мне напомнил uSlackr).
Запустите программы брандмауэра на внутренних серверах и самих клиентах, а также установите брандмауэр по периметру на выделенном оборудовании (которое также может быть вашим VPN-сервером). Брандмауэр периметра вообще не поможет с внутренним трафиком, но значительно уменьшит количество ударов, которые ваши внутренние системы получают из внешнего мира.
Разрешить определенные входящие (и исходящие) подключения к портам / IP-адресам, которые должны предлагать (или использовать) услуги. Это может привести к тому, что большое количество портов будет разрешено на брандмауэре по периметру, но такая система, как Shorewall может упростить задачу, позволив, например, определить набор портов как «веб-трафик». Если внутренними клиентами / серверами являются Windows или OS X, то встроенные графические интерфейсы межсетевого экрана позволяют легче сказать «разрешить трафик для общего доступа к файлам и принтерам».
Если мы говорим о системе VPN вроде OpenVPN, Я бы использовал его только в особых случаях, которые не могут пройти через брандмауэр периметра и имеют решающее значение для ваших удаленных пользователей. OpenVPN позволяет вам определить каталог конфигурации клиента, в который вы можете поместить особые правила для конкретных пользователей. Например, мое правило позволяет мне подключаться к офисному принтеру за пределами офиса, но не открывает его для остальных пользователей VPN.
Общее руководство для большинства: Разрешите только то, что вам нужно, все остальное заблокируйте.
Это руководство очень высокого уровня, которое особенно применимо для входящих подключений.
Блокировка исходящий связи - вот где все становится интересно. Строгое толкование гласит, что вы должны сделать то же самое и для исходящего трафика; порты 80 и 443 для всех, DNS при необходимости. В контексте малого бизнеса это вряд ли будет политически приемлемым, поскольку вы, вероятно, знаете всех в этом бизнесе и безоговорочно верите, что они не злые. Если вы это сделаете, вы будете добавлять порты слева направо и сбоку в течение недель / месяцев, пока пользователи будут определять то, что им нужно.