Как правильно настроить межсетевой экран или Check Point Security Best Practices
Уверен, что у большинства системных администраторов или сетевых инженеров возникал вопрос:»Правильно ли я настроил межсетевой экран и что еще можно сделать для лучшей защиты? ». Естественно, в этом вопросе стоит опираться на различные руководства (PCI DSS, ISO, NIST и т.д.) и здравый смысл. Помощь более опытных коллег также приветствуется.
В рамках же данной статьи мы попробуем описать основные рекомендации или лучшие практики (best practices) по настройке межсетевых экранов. Это некий «чек-лист», следуя которому можно существенно повысить качество защиты сети. Руководство составлено специально для оборудования Check Point, однако оно также может быть использовано, как основа для самостоятельного аудита сети, построенной на оборудовании других вендоров (Cisco, Fortinet, Palo Alto и т.д.). Если вас это заинтересовало, то добро пожаловать под кат…
Compliance Blade
Вообще говоря, в случае с Check Point аудит «правильности» настроек можно выполнять в автоматическом режиме. Осуществляется это с помощью программного блейда Compliance, который активируется на менеджмент сервере:
Данный блейд выполняет следующие функции:
- Мониторинг программных блейдов в режиме 24/7
- Постоянный контроль за тем, чтобы система управления, программные блейды и шлюзы безопасности были настроены оптимально.
- Показывает неправильные настройки конфигурации и уязвимости в защите.
- Предоставляет рекомендации по укреплению безопасности.
- Уведомления в режиме реального времени
- Показывает, как изменение конфигурации повлияет на безопасность.
- Уведомляет об изменениях политик, негативно влияющих на безопасность.
- Обучает пользователей, какими будут последствия желаемых изменений.
- Готовые отчеты
- Переводит тысячи требований регуляторов на язык практических рекомендаций.
- Постоянная оценка совместимости с требованиями регуляторов (PCI DSS, ISO, NIST, DSD и так далее).
Оценка настроек:
Оценка соответствия требованиям регуляторов:
Оценка производительности отдельных шлюзов и блейдов:
Блейд Compliance поставляется бесплатно с подпиской на 1 год при покупке сервера управления (будь то физический appliance Smart-1 или виртуальная машина). Этого времени вполне достаточно для комплексной настройки средств защиты с последующей оценкой конфигураций. Таким образом, в первый год вы получаете бесплатный аудит сетевой безопасности (настроек Check Point).
Если вы еще ни разу не активировали данный блейд, то это весьма просто сделать в свойствах сервера управления (Management Server), как это было показано на картинке выше. После этого проинсталлировать политики и подождать некоторое время (в зависимости от размеров сети и количества шлюзов). С результатом оценки конфигураций можно ознакомиться на соответствующей вкладке Compliance в консоли SmartDashboard:
Стоит заметить, что дальнейшее использование блейда Compliance требует продления соответствующей подписки, цена которой не всегда соответствует бюджету малых и средних компаний.
Что же делать после окончания подписки?
Специально для таких случаев мы создали данное руководство, которое позволит в ручном режиме проверить «адекватность» и безопасность текущих настроек в соответствии с рекомендациями Check Point. При этом мы не будем рассматривать стандарты различных регуляторов (PCI DSS, ISO и т.д.), а лишь затронем лучшие практики (Best Practices) по настройке средств сетевой защиты.
Firewall Best Practices
1. Присутствует правило Management (название может отличаться):
Данное правило используется для доступа с сервера управления (Management Server) и компьютера администратора к шлюзу безопасности (Security Gateway). Остальным доступ должен быть запрещен.
2. Присутствует правило Stealth (название может отличаться):
Данное правило используется для блокирования любой попытки доступа к самому шлюзу, что делает его «невидимым» и исключает возможность несанкционированного доступа. Убедитесь, что это правило расположено ниже чем Management.
3. Присутствует правило Clean up rule (название может отличаться):
По умолчанию Check Point блокирует все соединения, которые явно не разрешены. Данное правило используется исключительно для логирования всех пакетов, которые и без этого были бы заблокированы. Правило должно быть самым последним в списке.
4. Присутствует правило Do Not Log (название может отличаться) для которого отключено логирование:
Данное правило используется для фильтрования «паразитного» широковещательного трафика. К такому трафику относятся: udp-high-ports (UDP ports > 1024–65535), domain-udp, bootp, NBT (NetBios), rip (список может отличаться, в зависимости от вашей сети). Логирование отключается намеренно, дабы не перегружать логи межсетевого экрана бесполезной информацией. Правило должно находиться как можно выше в списке (лучше первым).
5. В списках доступа в колонке источник (source) отсутствует значение Any, т.е. любой трафик. Всегда указывайте конкретный источник в правилах, будь то сеть или хост. За исключением правил Stealth, Clean up rule, Do Not Log.
6. Отсутствуют правила разрешающие весь трафик (any any accept).
7. Запрещен входящий Internet трафик для сегментов Бухгалтерии (Finance) и Отдела кадров (HR).
8. Запрещен FTP трафик из сети Internet в DMZ.
9. Отсутствуют неиспользуемые правила. В консоли SmartDashboard можно просматривать счетчик совпадений по каждому списку доступа:
Если счетчик показывает нулевое значение или последнее совпадение (Last hit) было более чем 6 месяцев назад, то рекомендуется удалить данное правило, дабы не перегружать общий список.
10. Для всех правил в поле Track выставлена опция Log. Кроме правила Do Not Log. Так вы сможете логировать все важные события исключая широковещательный трафик.
11. Для всех правил указано «адекватное» имя и присутствует комментарий, поясняющий назначение этого правила.
12. На всех шлюзах включено логирование.
В качестве Лог-сервера может выступать сервер управления (Management Server) либо другое стороннее решение (возможно использование SIEM или Log Management систем).
13. На всех шлюзах настроен резервный Лог-сервер. Это позволит сохранить важные сообщения в случае отказа основного Лог-сервера.
14. На всех шлюзах также включена функция локального хранения логов. Это позволит сохранить информацию о событиях в случае недоступности Лог-сервер.
15. На всех шлюзах настроено создание нового Лог-файла при достижении определенного размера старого.
Это значительно ускорит обработку логов (отображение, поиск). Вернуться к более старым логам можно будет переключив Лог-файл.
16. На всех шлюзах настроены уведомления сигнализирующие о заканчивающемся дисковом пространстве. Уровень срабатывания выбирается в зависимости от общего объема жесткого диска. Как правило порог выставляется в районе 50–100 МБайт.
17. На всех шлюзах настроено удаление старых Лог-файлов при заканчивающемся дисковом пространстве. Уровень срабатывания выбирается в зависимости от общего объема жесткого диска. Как правило порог выставляется в районе 50 МБайт.
18. На всех шлюзах настроены скрипты, которые выполняются перед удалением старых Лог-файлов.
С помощью данной функции можно убедиться, что созданы бэкапы логов.
19. В глобальных настройках включено логирование для «VPN packet handling errors», «VPN successful key exchange», «VPN configuration & key exchange errors», «Administrative notifications», «Packet is incorrectly tagged» и «Packet tagging brute force attack»:
20. На всех шлюзах включен Anti-Spoofing в режиме prevent (для всех интерфейсов):
21. В глобальных настройках (global properties) проверьте значения временных интервалов по умолчанию для stateful inspection:
В случае необходимости измените в соответствии с требованиями вашей сети.
22. Для полей «Drop out of state TCP packets», «Drop out of state ICMP packets» и «Drop out of state SCTP packets» включено Log on drop (смотри картинку выше).
23. В свойствах каждого шлюза включен счетчик Hit Count:
Это позволит видеть кол-во совпадений по каждому правилу (списку доступа) и удалять неиспользуемые.
24. В настройках оптимизации шлюза укажите максимальное количество конкурентных сессий.
Этот параметр зависит от модели шлюза и позволяет предотвратить перегрузку.
25. В глобальных настройках (global properties) пароли учетных записей пользователей (User Accounts) и администраторов (Administartor Accounts) истекают не позднее чем через 180 дней.
Также должно быть настроено оповещение об истекающем пароле.
26. При интеграции с Active Directory настроена смена пароля:
27. В глобальных настройках (global properties) активирована блокировка Администраторов. Учетная запись блокируется на 30 минут в случае 3-х неудачных попыток входа.
Также настроено уведомление о блокировке и сброс сессии управления, неактивной в течении 15 минут.
28. В свойствах шлюзов выставлена опция «Rematch connections».
Это позволит блокировать запрещенные соединения сразу после установки новой политики и не ждать окончания сессии.
29. Настроена синхронизация времени (NTP)
Это позволит видеть актуальную дату и время для всех событий (логов).
Таковы рекомендации Check Point по настройке блейда Firewall. Но думаю многие заметили, что большинство советов применимы и к другим вендорам. Подобные рекомендации есть по всем блейдам (IPS, DLP, Application Control, URL Filtering и т.д.), которые мы возможно рассмотрим в следующих статьях.