Возможные подходы к эксплуатации firewall’а
При эксплуатации и определении политики firewall’а следует решить, использовать ли firewall в виде отдельного аппаратно-программного средства (appliance) или в составе ОС. Хотя данное решение в большей степени определяется требованиями организации, должны быть рассмотрены следующие аспекты:
· В общем случае, аппаратно-программные firewall’ы являются более безопасными, чем те, которые реализованы в ОС. Аппаратно-программные firewall’ы не имеют уязвимостей, связанных с лежащей в их основе ОС. Они обычно реализуют технологию ASIC (Application-Specific Integrated Circuit); при этом ПО firewall’ов реализовано в виде firmware. Эти firewall’ы обычно более производительные, чем те, что реализованы в ОС.
· Преимуществом реализации firewall’ов в ОС является их масштабируемость. Если окружение потребует большей производительности, организация может купить более мощную систему, на которой будет выполняться ПО firewall’а. Большинство аппаратно-программных firewall’ов не имеют такой степени гибкости и масштабируемости.
· Самым большим недостатком реализации firewall’ов в ОС является потенциальное наличие уязвимостей в этой ОС, которые могут нарушить безопасность самого firewall’а. В большинстве случаев, когда коммерческие firewall’ы взламываются, этот взлом происходит из-за уязвимостей лежащей в их основе ОС.
Данное решение должно быть принято на основе цены, а также оценки возможных будущих требований.
Сопровождение firewall’а и управление firewall’ом
|
|
|
Для конфигурирования и последующего сопровождения firewall’а используется один из двух возможных механизмов. Первым механизмом является конфигурирование с помощью интерфейса командной строки, который дает возможность администратору конфигурировать firewall посредством вызова различных типов команд в командном режиме. Однако при использовании данной технологии администратор может сделать разного рода ошибки. Основное преимущество конфигурирования в командной строке состоит в том, что опытный администратор может сконфигурировать firewall и реагировать на опасные ситуации гораздо быстрее, чем с использованием графического интерфейса.
Второй (и более общий) механизм состоит в использовании графического интерфейса. Этот интерфейс, как правило, проще. В нем обычно существует возможность уведомлять администратора о необходимости конфигурировать дополнительные системы после истечения определенного времени. Основной проблемой, связанной с графическими интерфейсами, является точность (гранулированность) конфигурирования. Во многих современных firewall’ах существуют опции, которые есть у firewall’а, но они не могут быть сконфигурированы с использованием графического интерфейса. В этом случае должен использоваться интерфейс командной строки.
|
|
|
В обоих случаях следует иметь гарантии, что для всего сетевого трафика, предназначенного для системы управления firewall’ом, выполняются требования безопасности. Для интерфейсов, основанных на web, данная безопасность реализуется использованием неанонимного SSL с последующей аутентификацией пользователя по ID и паролю. Для собственных (не-web) интерфейсов обычно реализуется тот или иной способ шифрования транспорта. То, что все функции управления firewall’ом должны выполняться по безопасным каналам с использованием строгой аутентификации и шифрования, должно быть явно указано в политике.
Таблица настройки правил брандмауэров
| Application or Service | what is it? | TCP UDP | _local_ | remote | dire-ction | _зачем_? | Specific rules, ICMP | |||||
| DHCP | Dynamic Host Configuration Protocol. Автоматическая настройка IP и др. сетевых параметров | UDP | 68 | 67 | both | settings request +answer | ||||||
| DNS | Сервис соответствия доменного имени IP-адресу (RU-Board.com -> 207.44.160.93) | TCP, UDP | 1024-5000 | 53 | both | IP request + response | ||||||
| ntoskrnl .exe | Cистемный модуль ядра NT. Передача файлов из/в расшаренные папки | TCP UDP | 1024..5000 137. 138 | 139 137. 138 | out both | NetBIOS session service NetBios overTCP/IP |
| |||||
| ntoskrnl .exe | оно же через CIFS (Common Internet File System) | TCP, UDP | 445 | 445 | both | win2k+ аналог NetBIOS/TCP | поправьте меня, если я не прав | |||||
| browser | IE, Opera, Mozilla | TCP | 1024..5000 | 80, 443, 8080, 8100 | out | http(s) web-servers | ||||||
| FTP-clients | active mode | TCP TCP | 1024-5000 1024-5000 | 20 21 | in out | data transmission ftp requests | ||||||
| FTP-clients | passive mode. Соединения для данных инициируются клиентом | TCP | 1024-5000 | 21, 1024-65535 | out | FTP requests+ transmission | ||||||
| ICQ | internet messenger | TCP | 1024-5000 | 443 or 5190 | out | 443 - с шифрованием | можно обозначить IP login.icq.com = 64.12.161.153 | |||||
| IRC | internet messenger | TCP | ? 113 | 6660-6670 ? | out in | IRC connection IRC AUTH connection | ||||||
| почтовая программа-клиент (Outlook, The Bat и др.) | TCP | 1024-5000 | 25, 110, 143, 993, 995 | out | 25 - SMTP-сервер (отправка) 110 - POP3-сервер (прием) 143 - IMAP (замена POP3) 993 - secure IMAP 995 - secure POP3 | comment: почтовый сервер может использовать отличные от 25 и 110 порты. RTFM | ||||||
| Emule & Co | файлообменник | TCP | 4662,4711, 4712 any | any 1025-65535 | in out | response (?) request (?) | поправьте меня, если я не прав | |||||
| Emule & Co | файлообменник | UDP | 4665,4672, 4673 any | any 1025-65535 | in out | response (?) request (?) | поправьте меня, если я не прав | |||||
| Bittorent | качалка, hispeed Р2Р, с центральным сервером (трекер) | TCP | 1024-5000 6881-6889 | any (?) any (?) | out in | (?) (?) | ||||||
| Radmin Viewer | Remote Administrator | TCP | any | 4899 (or server-defined. RTFM) | out | connect to Radmin-server | ||||||
| Radmin Server | Remote server | TCP | 4899 (or serv-defined. RTFM) | any | both | connect to client | ||||||
| Languard & Co | сканеры сетей | TCP, UDP UDP | any any | any any | out in | скан - | Allow ICMP out | |||||
| Novel client | NetWare application (инфо) | TCP, UDP | 1024-65535 427 | 524 427 | out both | NCP Requests SLP Requests | ||||||
| MSN | Windows Messenger | TCP | 1024-65535 | 1863,6891-6901 | out | - | Block Incoming Fragment, Block Incoming Conection | |||||
| Time Sync | синхронизация времени | UDP | 123 | 123 | both | - | Block incoming fragment | |||||
| LAST RULE | Block any other connection | TCP UDP | any | any | any | все остальные пусть не лазят в сеть | ICMP block |
|
|
|
Дата добавления: 2021-12-10; просмотров: 14; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!