Deep Dive: Firewall Evaluation und Härtung
Was tun, wenn Ihre Firewall voller Löcher ist, wie ein Schweizer Käse?
#Firewall #Network as a Service #Deep Dive
Die Evaluation der Firewall ist eine der wichtigsten Aufgaben, die regelmässig durchgeführt werden sollte, um sicherzustellen, dass die Firewall das Netzwerk tatsächlich sichert und nicht nur als teurer Router fungiert. Vor kurzem habe ich einem Kunden geholfen, eine solche Sicherheitsbewertung mit anschliessender Härtung für einen Cluster von FortiGates 1800 mit FortiOS 6.2.9 durchzuführen.
Dabei ging es darum, etwaige Schwachstellen und den aktuellen Zustand des Geräts zu ermitteln, auf Risiken hinzuweisen und Richtlinienänderungen vorzunehmen. In diesem Artikel beschreibe ich die Methode, mit der ich den Zustand der Firewall analysiere, feststelle, was beachtet werden muss und wie das System optimiert werden kann. Sie werden eine Reihe nützlicher CLI-Befehle, GUI-Tricks, Empfehlungen, und Tipps finden, die zu schnellen Erfolgen führen.
Der Ansatz gilt für eigenständige und geclusterte Firewalls. In diesem Fall verwende ich eine VDOM-basierte FortiGate. Die Logik funktioniert für die meisten Geräte und bis zu einem gewissen Grad auch für andere Hersteller.
Wir beginnen mit der physischen Ebene und gehen dann zur Anwendung über. Es ist natürlich nicht möglich, alle Situationen abzudecken, aber am Ende sollten wir einen ziemlich objektiven Überblick über den Zustand des Geräts, mögliche Massnahmen und Möglichkeiten zur Verbesserung der Sicherheit haben.
1. Zustandskontrollen
Bei der ersten Prüfung geht es um den allgemeinen Systemzustand, der alle nachfolgenden Entscheidungen bestimmt, zum Beispiel welche Funktionen aktiviert werden können. Das Hauptdashboard bietet einen guten Überblick über die Ressourcennutzung. Sollte etwas nicht verfügbar sein, prüfen Sie System -> Feature Visibility. Die Daten sind nur 24 Stunden verfügbar. Im Falle von CLI liefern die folgenden Befehle grundlegende Informationen über den Zustand. Zur besseren Übersichtlichkeit habe ich die Ergebnisse gekürzt.
Hardware status:
FGT-VM64 (global) # get hardware status
Model name: FortiGate-1800F
ASIC version: CP9
ASIC SRAM: 64M
CPU: Intel(R) Xeon(R) W-3223 CPU @ 3.50GHz
Number of CPUs: 16
RAM: 24101 MB
Compact Flash: 28738 MB /dev/sda
Hard disk: not available
USB Flash: not available
Network Card chipset: FortiASIC NP7 Adapter (rev.)
Hardware Board ID: 000
Das Hardware-Design von FortiGate hängt vom jeweiligen Modell ab. Beachten Sie, dass verschiedene Netzwerkprozessor-Architekturen (NP) unterschiedliche Port-Layouts voraussetzen, zum Beispiel: Um die Plattform optimal zu nutzen, sollten Sie die Ports gemäss den folgenden Richtlinien anschliessen.
System status:
FGT-VM64 (global) # get system status
Version: FortiGate-1800F v6.2.9,build7197,210809 (GA)
. . .
Serial-Number: xxx
Operation Mode: NAT
. . .
Current HA mode: a-p, master
Cluster uptime: 56 days, 4 hours, 18 minutes, 7 seconds
. . .
System time: Thu Sep 2 14:51:49 2021
Die Softwareversion bietet eine Fülle von Informationen, zum Beispiel über Funktionen, Versionshinweise, Fehler und Upgrade-Informationen. Es ist immer eine gute Idee, diese bei der Evaluierung zu überprüfen.
Leistungsstatistiken:
FGT-VM64 (global) # get system performance status
CPU states: 0% user 0% system 0% nice 100% idle 0% iowait 0% irq 0% softirq
. . .
CPU15 states: 0% user 0% system 0% nice 100% idle 0% iowait 0% irq 0% softirq
Memory: 24680424k total, 3635676k used (14.7%), 20821580k free (84.4%), 223168k freeable (0.9%)
Average network usage: 48 / 32 kbps in 1 minute, 36 / 25 kbps in 10 minutes, 36 / 25 kbps in 30 minutes
Average sessions: 65 sessions in 1 minute, 52 sessions in 10 minutes, 49 sessions in 30 minutes
Average session setup rate: 1 sessions per second in last 1 minute, 0 sessions per second in last 10 minutes, 0 sessions per second in last 30 minutes
Average NPU sessions: 0 sessions in last 1 minute, 0 sessions in last 10 minutes, 0 sessions in last 30 minutes
Average nTurbo sessions: 0 sessions in last 1 minute, 0 sessions in last 10 minutes, 0 sessions in last 30 minutes
Virus caught: 0 total in 1 minute
IPS attacks blocked: 0 total in 1 minute
Uptime: 64 days, 23 hours, 10 minutes
Das vorliegende Resultat liefert Informationen, aus denen wir zum Beispiel auf den Datenfluss der Sitzungen (zum Beispiel des morgendlichen Mail-Downloads), die CPU- und Speicherauslastung sowie die Betriebszeit und grundlegenden IPS-Statistiken schliessen können.
Tipp:
Falls der Arbeitsspeicher auf über 80% ansteigt, besteht die Gefahr, dass der gesamte Datenverkehr durch einen eingebauten Schutzmechanismus namens «Conserve Mode» blockiert wird. Die Einstellungen können angepasst werden, dies wird jedoch nicht empfohlen.
Die Fehlersuche bei Speicherproblemen beginnt mit der Anzeige der 10 wichtigsten Daemons:
FGT-VM64 (global) # diag sys top 1 10
Run Time: 65 days, 20 hours and 31 minutes
0U, 0N, 0S, 100I, 0WA, 0HI, 0SI, 0ST; 24101T, 19137F
bcm.user 226 S < 5.5 0.4
hatalk 331 S < 1.0 0.0
forticron 313 S 0.5 0.1
ipshelper 366 S < 0.0 0.6
httpsd 25547 S 0.0 0.3
httpsd 23087 S 0.0 0.3
httpsd 23071 S 0.0 0.3
httpsd 23169 S 0.0 0.3
miglogd 304 S 0.0 0.3
cmdbsvr 275 S 0.0 0.2
Falls Sie einen erhöhten Wert für Sitzungen bemerken, überprüfen Sie FortiView -> All Sessions, um die Ursache zu erkennen, und überprüfen Sie auch die Funktionen Ihrer Plattform.
Falls die CPU-Auslastung hoch ist, können wir dies möglicherweise durch das Ändern der Betriebssystemversion, das Deaktivieren von Funktionen, die nicht verwendet werden, das Optimieren des Regelsatzes, das Anpassen von IPS- oder UTM-Funktionen, das Zurücksetzen von Daemons oder der gesamten Firewall beheben. Auf einige dieser Themen werde ich später in diesem Artikel eingehen.
Stromversorgung:
Zur Überprüfung der Stromversorgung können Sie den folgenden Befehl verwenden, der allerdings nur bei grösseren Modellen verfügbar ist:
FGT-VM64 (global) # execute sensor list
1 P5V_STBY_ADC alarm=0 value=4.9855 threshold_status=0
2 P5V_ADC alarm=0 value=4.9425 threshold_status=0
3 P12V_ADC alarm=0 value=12.07 threshold_status=0
Ein auf 1 gesetztes Warnsignal würde bedeuten, dass ein Problem vorliegt. Spannungsanomalien sind auch in den Protokollen sichtbar.
Falls Sie ein kleineres Modell wie zum Beispiel 100/200E mit einer redundanten Stromversorgung verwenden, können Sie zusätzliche Informationen abrufen mit:
# diag hard deviceinfo rps
Interface Check
Überprüfen Sie den Status der einzelnen Schnittstellen:
FGT-VM64 (global) # diagnose hardware deviceinfo nic port35
Description :FortiASIC NP7 Adapter
Driver Name :FortiASIC Unified NPU Driver
. . .
mtu :1500
. . .
==== Link Status ===============
Admin :Up
link_status :Up
Speed :10000
Duplex :Full
. . .
==== Host Counters =============
rx_pkts :10463855
. . .
tx_drop :0
tx_pkts :10848812
. . .
==== Netdev Counters ===========
Rx Pkts :10463855
SFPs:
Prüfen Sie, welche Art von SFPs verwendet werden:
FGT-VM64 (global) # get sys interface transceiver
Interface port17 – Transceiver is not detected.
. . .
Interface port35 – SFP/SFP+ (10.3G)
Vendor Name : FINISAR CORP.
Part No. : FTLX8574D3BCL
Serial No. : xxx
Interface port36 – SFP/SFP+ (10.3G)
Vendor Name : FINISAR CORP.
Part No. : FTLX8574D3BCL
Serial No. : yyy
Interface port37 – Transceiver is not detected.
Interface port38 – Transceiver is not detected.
Interface port39 – Transceiver is not detected.
Interface port40 – Transceiver is not detected.
Interface ha1 – SFP/SFP+ (10.3G)
Vendor Name : FINISAR CORP.
Part No. : FTLX8574D3BCL
Serial No. : aaa
Interface ha2 – SFP/SFP+ (10.3G)
Vendor Name : FINISAR CORP.
Part No. : FTLX8574D3BCL
Serial No. : bbb
Optical Optical Optical
SFP/SFP+ Temperature Voltage Tx Bias Tx Power Rx Power
Interface (Celsius) (Volts) (mA) (dBm) (dBm)
———— ———— ———— ———— ———— ————
port25 40.6 3.24 24.46 -2.6 -2.7
port35 29.7 3.29 8.79 -2.4 -3.3
port36 30.0 3.33 8.73 -2.5 -2.2
ha1 32.7 3.28 8.86 -2.4 -2.5
ha2 32.0 3.29 8.84 -2.4 -3.0
++ : high alarm, + : high warning, – : low warning, — : low alarm, ? : suspect.
HA status:
Wir können den Zustand des Clusters mit folgendem Befehl überprüfen:
FGT-VM64 (global) # get sys ha status
HA Health Status: OK
. . .
Mode: HA A-P
. . .
Configuration Status:
xxx(updated 2 seconds ago): in-sync
yyy(updated 4 seconds ago): in-sync
. . .
Master: xxx, HA operating index = 0
Slave : yyy, HA operating index = 1
Tipp:
In einem intakten Cluster synchronisieren die FortiGate-Firewalls Tabellen, wie:
o Sitzung
o Routing
o Beschleunigung
Die Synchronisierung erfolgt anhand von Prüfsummen, die anhand der Konfiguration berechnet werden. Im Falle von Synchronisationsproblemen können Sie die Prüfsummen mit diesem Befehl überprüfen, z. B. für VDOM root:
FGT-VM64 (global) # # diagnose sys ha checksum cluster | grep root
is_manage_master()=1, is_root_master()=1
root: 17 7c 14 49 67 8f 1a f6 09 a5 d7 05 7e bd 69 3e
root: 17 7c 14 49 67 8f 1a f6 09 a5 d7 05 7e bd 69 3e
is_manage_master()=0, is_root_master()=0
root: 17 7c 14 49 67 8f 1a f6 09 a5 d7 05 7e bd 69 3e
root: 17 7c 14 49 67 8f 1a f6 09 a5 d7 05 7e bd 69 3e
Das obige Ergebnis zeigt, dass es eine Übereinstimmung zwischen den Knoten für dieses VDOM gibt.
Dasselbe sollte für andere VDOMs gemacht werden und die Zeichenketten zum Beispiel in Notepad++ verglichen werden. Im Falle einer Diskrepanz ist der erfolgversprechendste Trick die manuelle Synchronisation.
2. Softwareversion
Sobald die grundlegenden Prüfungen dokumentiert sind, können wir mit dem logischen Teil der Bewertung fortfahren. Die Softwareversion ist aus verschiedenen Gründen wichtig: Sie bestimmt den Support des Herstellers, beschreibt Funktionen und Fehlerbehebungen und enthält Versionshinweise, aus denen Sie ersehen können, ob ein Upgrade sinnvoll ist und wie es durchzuführen ist. Manchmal können Sie aufgrund der Versionshinweise ein Downgrade in Erwägung ziehen, um beispielsweise Leistung oder Stabilität zu verbessern.
Die Überprüfung der Versionshinweise ist immer eine gute Idee, aber seien Sie nicht überrascht, wenn Sie feststellen, dass der Fehler, den Sie entdeckt und mit dem Fortinet-Support bestätigt haben, nicht in den offiziellen Hinweisen dokumentiert ist. Das ist mir einmal passiert, als der Slave-Knoten ARP-Antworten sendete und aufgrund eines Fehlers einen verzögerten Paketverlust verursachte. Dies war weder in den öffentlich zugänglichen Versionshinweisen noch in den behobenen Fehlern für den neueren Code dokumentiert.
Fortinet bietet ein hilfreiches Upgrade-Tool zur Überprüfung des Upgrade-Pfads. Es mag Sie überraschen, dass zum Beispiel für 600D (und andere Modelle) ein Upgrade von 6.0.0 auf 6.0.9 fünf Zwischen-Upgrades erfordert.
Upgrades sind in der Regel eine gute Idee. Manchmal sind sie sogar ein Muss. Palo Alto zum Beispiel verlangt, dass die Firewall mit der vorgeschlagenen Version läuft, da es sonst Probleme mit dem Support des Herstellers geben kann.
Network as a Service
Sehen Sie, wie wir Unternehmen mit unseren Netzwerkberatungsdiensten helfen.
Alle Hersteller bieten in neueren Versionen mehr Funktionen, die vor einem Upgrade geprüft werden sollten. Mit einem FortiGate 60D müssen Sie beispielsweise nicht unbedingt auf den neuesten Code aktualisieren, da dies die Leistung oder Stabilität beeinträchtigen kann. Wenn Sie den neuesten Code verwenden möchten, ist es am besten, nur die erforderlichen Funktionen zu aktivieren und alle anderen zu deaktivieren.
Abgesehen von den offiziellen Angaben gilt im Falle von Fortinet die ungeschriebene Faustregel, dass die ersten drei oder vier Versionen nicht verwendet werden sollten. Zum Beispiel sind die frühen Versionen 6.2 und 6.4 bekannt für unerwartete Verlangsamungen und Daemon-Abstürze, die aufwendige Massnahmen oder Rollbacks erfordern, um sie zu beheben.
Ich empfehle ein Upgrade, wenn:
- Ein Fehler, von dem eine Organisation betroffen ist, in einer neueren Version behoben ist;
- eine Funktion, die Sie benötigen, nur in der neueren Version verfügbar ist;
- die Verlängerung des Supportvertrags ein Upgrade verlangt.
3. Sicherheits-Rating
FortiGate verfügt über eine hilfreiche integrierte Funktion, die eine Zusammenfassung der verschiedenen Elemente und das von ihnen ausgehende Sicherheitsrisiko anzeigt und anschliessend Bewertungen und Empfehlungen abgibt. Die Funktion findet sich in Security Fabric -> Security Rating. Für erweiterte Funktionen des Tools ist eine zusätzliche Lizenz erforderlich, aber auch die integrierte Version hilft, einen Überblick zu bekommen. Sie ist intuitiv und strukturiert, so dass man zum Beispiel das Folgende schnell finden kann:
- Inaktive Regeln,
- Schwachstellen,
- Tipps zur Sicherheitsoptimierung,
- Lizenzinformationen,
- Möglichkeiten zur schnellen Behebung von Problemen.
Beachten Sie, dass nicht alles, was als kritisch eingestuft wird, auch wirklich schlecht ist. Das Tool sagt zum Beispiel, dass Sie niemals einen anderen Router oder ein anderes NAT-Gerät als FortiGate verwenden sollten, oder bezeichnet das Fehlen einer unnötigen Lizenz als kritisch. Lesen Sie den Bericht durch und nehmen Sie ihn mit Vorsicht zur Kenntnis, wenn Sie Ihr Urteil fällen.
Einige der Abhilfemassnahmen können automatisch angewendet werden, allerdings beschränken sich die Korrekturen in der Regel nur auf die sichersten oder relativ unbedeutenden Änderungen. Der Grossteil der Massnahmen sollte - zu Recht - manuell durchgeführt werden.
In diesem Stadium fahren wir mit der Dokumentation der Ergebnisse fort, wir können auch beschliessen, bereits Massnahmen zu ergreifen. Mein Ansatz ist der folgende:
- unbenutzte Objekte und Regeln sollten zuerst deaktiviert/gelöscht werden.
- alle neuen Regeln, die ich erstelle, beschreibe ich, füge Kommentare hinzu und lasse sie vorerst deaktiviert.
- Wenn ich mit der Struktur zufrieden bin, bespreche ich alles im Detail mit dem Kunden und beginne erst dann mit der Aktivierung der Regeln.
Auf diese Weise können wir Auswirkungen auf das Geschäft vermeiden, zum Beispiel bei der Aktivierung einer Regel mit App-, Web- oder IPS-Profil.
4. Firewall-Hygiene
Wie bereits erwähnt, werden alle nicht verwendeten Regeln im Menü Sicherheitsbewertung zusammengefasst. Das Tool zeigt das Datum an, an dem die Regeln zuletzt verwendet wurden. Das ist hilfreich, um zu entscheiden, welche Regeln deaktiviert und eventuell entfernt werden können.
Immer zielen, bevor man schiesst: Analysieren Sie die Regeln, bevor Sie etwas unternehmen. Es kann vorkommen, dass eine Regel monatelang nicht genutzt wurde - aus gutem Grund. Zum Beispiel kann die Erneuerung oder der Widerruf von Zertifikaten ein- oder zweimal pro Jahr erfolgen.
Es ist am besten, die ausgewählten Regeln zunächst zu deaktivieren, bevor sie gelöscht werden. Danach richten Sie sich selber eine Mahnung für den gewünschten Zeitraum ein, beispielsweise für einen Monat, und falls es keine Beschwerden gibt, löschen Sie die Regel nach Ablauf dieses Monats.
5. Unbenutzte Objekte
FortiGate ermöglicht es, ungenutzte Objekte schnell zu identifizieren, um sie zu entfernen. Zum Beispiel können Sie in Policy & Objects -> Addresses die Spalte Ref. filtern und auf 0 setzen, um nicht referenzierte Objekte anzuzeigen:
Wenn Sie FortiManager verwenden, ist dies ebenfalls einfach:
- Stellen Sie sicher, dass Sie sich im richtigen ADOM befinden;
- gehen Sie zu Policy & Objects;
- wählen Sie im Menü Tools die Option Unused Objects. Das Dialogfeld «Unbenutzte Objekte» wird angezeigt.
- Wenn Sie fertig sind, klicken Sie auf Schliessen.
6. Die berüchtigten "any-any"-Regeln
Sobald Sie unnötige Objekte entfernt haben und einen Überblick über den logischen Systemzustand haben, können Sie sich mit den Sicherheitsrichtlinien befassen. Ich werde mich in diesem Fall auf die IPv4-Richtlinien konzentrieren. Ich verwende den folgenden Ansatz:
- Aktivieren Sie zusätzliche Spalten wie Hit Counts, gesendete und empfangene Pakete, Status, Kommentare und Bytes:
- Die Hit Counts zeigen an, wie oft die Regel verwendet wurde, und sie sind grundlegend für das Design, d.h. dass spezifische und viel genutzte Regeln aus Leistungsgründen höher in der Hierarchie stehen sollten, weniger spezifische Regeln sollten niedriger positioniert werden. Es gibt viele Veröffentlichungen über die Handhabung der Regeln, einige sind offiziell, wie die von NIST.
- Gesendete und empfangene Pakete – zeigt auch an, ob die Verbindung gültig ist. Es kann Datenströme mit vielen gesendeten, aber 0 empfangenen Paketen geben - dies deutet auf einen Fehler im Regelsatz hin.
- Details des Datenflusses können zeigen, ob es Timeouts oder andere Indikatoren gibt - diese Informationen sind über den Abschnitt Logs & Report zugänglich.
- Ich filtere die Regeln so, dass die am stärksten ausgelasteten angezeigt werden und die Regeln mit "any" (Fortinet bezeichnet "any" als "all"), entweder in Quelle, Ziel oder Dienst.
- Status zeigt an, ob die Regel aktiv ist,
- Kommentare geben mehr Aufschluss über die Regel und können auch für Audits oder die Verfolgung von Änderungen nützlich sein,
- Bytes helfen bei der Anwendung von Filtern.
Ich beginne die Richtlinienanalyse mit der Überprüfung der Quell- und Zielschnittstellen (in diesem Fall gibt es keine Zonen), der Dienste und der verwendeten UTM-Funktionen. Die gefährlichsten Regeln sind diejenigen, die Verbindungen von den nicht vertrauenswürdigen Zonen zu den vertrauenswürdigen Zonen erlauben. Ich überprüfe sie zuerst. Es könnte historische Regeln geben, die nicht mehr benötigt werden. Das Ziel ist es, unerwünschte Zugangspunkte zu verstehen, zu sichern und zu beseitigen. Glücklicherweise gab es bei der Firewall, an der ich gearbeitet habe, kein solches Problem. Anschliessend können wir prüfen, wie die Verbindungen aus dem LAN gesichert sind. In dem von mir untersuchten Fall gab es eine ganze Reihe von Regeln mit einer Kombination aus:
- Hohe Anzahl von Treffern,
- hohe Datenmengen,
- fehlende oder inkonsistente UTM-Funktionen,
- "beliebig" als Quelle, Ziel oder Dienst.
Einige Ursachen für diese Situation waren die fehlende Strategie für die Firewall-Politik, unkontrolliertes Wachstum, Schattenregeln, mangelndes Änderungsmanagement und fehlendes Wissen. So fand ich beispielsweise einen Cisco-Switch hinter einer der Firewall-Schnittstellen. Bei näherer Betrachtung wurden 18 Netze mit SVIs auf einem Switch mit entweder /20 oder /21 oder /24 Subnetzmaske entdeckt. Alle diese Netze konnten ohne Einschränkung kommunizieren.
Um mich auf das Gespräch mit dem Kunden vorzubereiten, priorisierte ich die Probleme und konzentrierte mich auf kritische Beispiele. Ich filterte die Ausgabe, um nur die "any-any"-Regeln zu sehen, die mehr als 100 TB an Daten verarbeiteten, mit einigen oder keinen UTM-Funktionen, unabhängig von der Richtung.
Tipp:
Um die am stärksten ausgelasteten Regeln schnell zu sehen, können Sie Hit Count und Bytes als Spalten in der IP-Richtlinie hinzufügen. Dann können Sie die Regeln nach der Anzahl der Bytes filtern:
Standardmässig sollten die Regeln spezifisch sein, aber es gibt immer einen Bedarf an offeneren Regeln, bei denen es unmöglich ist, die Datenströme im Detail zu steuern. Dies gilt zum Beispiel für Benutzer, die über HTTPS auf das Internet zugreifen. Für diese können wir die Inline- oder explizite Proxy-Funktion in der Firewall aktivieren und UTM-Funktionen wie SSL-Entschlüsselung, Web, App, IPS oder AV nutzen. Denken Sie daran, dass die meisten Angriffe von innerhalb des Netzwerks erfolgen, daher sollte jeder übermässig offene Datenverkehr durch die oben genannten Funktionen geschützt werden.
Denken Sie an IPS. Es wird traditionell von der DMZ in Richtung LAN eingesetzt, aber neuere Implementierungen fördern IPS auch innerhalb des LAN, um eine zusätzliche Schicht für Endpunkte zu bieten.
Ich empfehle, die Konsistenz der Funktionen zu überprüfen. In FortiGate überschneiden sich zum Beispiel App und Web teilweise. In diesem Fall habe ich einige Funktionen untersucht, die in einem Profil erlaubt und in einem anderen blockiert waren, obwohl sie beide in derselben Regel verwendet wurden.
Die Konfiguration sollte vorhersehbar und leicht nachvollziehbar sein und sicherstellen, dass nicht-geschäftlicher oder riskanter Datenverkehr von der Firewall blockiert wird. Bevor Sie Änderungen an der Konfiguration vornehmen, sollten Sie intern überprüfen, ob es vielleicht bereits Richtlinien des InfoSec-Teams oder eines vergleichbaren Gremiums gibt, die festlegen, wie bestimmte Verkehrsarten zu behandeln sind.
Tipp:
Die Hit-Counter in FortiGate sind nützlich, um die am stärksten ausgelasteten Regeln zu identifizieren. Die Funktion funktioniert normalerweise, aber je nach Version kann es vorkommen, dass die Zähler nicht inkrementiert werden. Ich habe das meist bei speziellen Builds gesehen, die eigentlich nicht verwendet werden sollten, aber trotzdem manchmal eingesetzt werden, um bestimmte Probleme zu lösen.
Wenn Ihre Firewall von diesem Problem betroffen ist, können Sie versuchen, die Regel, die Sie analysieren möchten, über die betroffene Regel zu klonen. Das Löschen von Zählern kann ebenfalls hilfreich sein, aber bevor Sie dies tun, sollten Sie sich die Informationen aus den Zählern notieren. Das Klonen der Regel löscht die Zähler der neuen Regel.
7. Optimierung
Da die Beseitigung oder Reduzierung von Treffern mit dem Risiko eines Ausfalls verbunden ist, ist sie in der Regel ein Prozess. Die meisten Aktivitäten werden in Zusammenarbeit mit dem Kunden durchgeführt. Auf diese Weise können wir uns auf Details einigen, Risiken vermeiden und das Wissen teilen. In dem von mir untersuchten Fall war eine umfassende Neugestaltung nicht möglich, daher begann ich die Richtlinienhärtung mit den folgenden Schritten:
- Erstellen eines Backups und einer Baseline.
- Erfassen kritischer Infrastrukturgeräte wie AD, DNS, DHCP, Dateiserver, RADIUS oder Drucker.
- Verstehen Sie LAN, DMZ oder andere Zonen, notieren Sie den Zweck der Subnetze.
- Erfassen Sie geschäftskritische Anwendungen und erforderliche Ports - falls unbekannt, prüfen Sie die Protokolle.
- Zeichnen Sie Muster des kritischen Datenverkehrs auf.
- Analysieren Sie die Protokolle, prüfen Sie, ob alle zugewiesenen Subnetze genutzt werden, auf dieser Grundlage können wir eventuell Schnittstellen entfernen.
- Analysieren Sie die UTM-Funktionen und erstellen Sie gemeinsam mit dem Kunden neue Profile, um Konformität und Konsistenz zu gewährleisten.
- Einigung auf Richtlinienänderungen.
- Vorschlagen von Namenskonventionen.
- Fehlende Objekte erstellen.
- Extrahieren des wichtigen Datenverkehrs aus den "Any"-Regeln, Erstellen spezifischer neuer Regeln oberhalb der "Catch-All"-Regeln, neu erstellte Regeln werden bis zur Genehmigung durch den Kunden deaktiviert.
- Wo IPS anwendbar ist, wende ich es anfangs im Überwachungsmodus mit Schweregrad 5 an. Dann überprüfe ich regelmässig die Systemleistung, und nach der vereinbarten Zeit aktiviere ich es, um diese Art von Risiko tatsächlich zu blockieren; wir können auch andere Schweregrade vereinbaren.
- Sobald die spezifischeren Regeln aktiviert sind, setze ich in regelmässigen Abständen die Zähler der unerwünschten Regel zurück, um zu prüfen, wie die Dynamik der Zähler sich entwickelt.
- Wenn der Kunde zustimmt, besteht eine der neuesten Best Practices für Firewalls darin, sich stärker auf Benutzer und Anwendungen zu konzentrieren - um dies zu erreichen, können wir Benutzer- und Anwendungsbewusstsein aktivieren. Dies erfordert die Integration mit AD, was ein einfacher Prozess ist. Zu den Vorteilen gehören erhöhte Sicherheit, weniger Regeln und eine einfachere Durchsetzung von Richtlinien.
- Der Prozess wird so lange wiederholt, bis die Catch-All-Regel deaktiviert und gelöscht werden kann.
Vorsicht!
- Die Aktivierung von IPS und UTM kann die Sicherheit drastisch erhöhen, kann aber auch zu Funktionsausfällen führen, etwa bei VoIP oder zur Verknappung von Ressourcen, einschliesslich Arbeitsspeicher oder CPU. Wenden Sie die Änderungen immer schrittweise an.
- Die Aufzählung verschachtelter AD-Gruppen, die für die Benutzer- und Anwendungserkennung erforderlich ist, kann eine potenziell CPU-intensive Aufgabe sein.
Zusammengefasst:
- Erstellen Sie neue Regeln die über den unerwünschten stehen.
- Regeln sollten standardmässig spezifisch sein.
- Wenn die Regel nicht spezifisch sein kann - etwa Benutzer, die auf das Internet zugreifen - verwenden Sie UTM-Funktionen für die Sicherheit.
- Erwägen Sie den Einsatz von Benutzer- und Anwendungserkennung.
- Im Laufe der Zeit sollten Sie die Treffer so weit reduzieren, dass Sie die Regel deaktivieren können, ohne einen Ausfall zu riskieren.
8. Logs
Bei der Bewertung der Firewall wird auch analysiert, wie die Protokolle verwaltet werden sowie was und wie lange aufgezeichnet wird:
- Für den allgemeinen Datenverkehr wird empfohlen, Sitzungen zumindest an ihrem Ende zu protokollieren.
- Spezielle Sitzungen, beispielsweise zur Fehlerbehebung, zum DNS-Sinkholing oder zum Tunneln, müssen möglicherweise bereits bei der Sitzungseinleitung protokolliert werden.
- Regeln für besonders stark ausgelastete Sitzungen, wie etwa DNS-Abfragen, dürfen nicht protokolliert werden. Andernfalls können sie die Firewall überlasten oder unnötige Last auf dem Syslog-Server erzeugen.
- Reguläre Ablehnungsregeln sollten zu Beginn der Sitzung protokolliert werden.
- Implizite Verweigerungsregeln sollten zumindest während der Fehlersuche protokolliert werden.
- Die Speicherung von Protokollen auf der lokalen Festplatte wirkt sich auf die Leistung der Firewall, die Einrichtung des Offloads und die Datenaufbewahrung aus.
Die Datenaufbewahrung hängt vom Speicherort der Protokolle ab, also von der lokalen Festplatte oder dem Syslog-Server, wie FortiAnalyzer. Die Mindestempfehlung für einen Syslog-Server beträgt 30 Tage. Testen Sie, wie viel Festplattenspeicher und CPUs zur Unterstützung Ihres FortiAnalyzers benötigt werden, denn das Speichern und Parsen grosser Mengen von Protokollen ist sehr ressourcenintensiv.
9. Management-Zugang
Sobald die Richtlinienanpassungen vorgenommen worden sind, sollten wir sicherstellen, dass die Administratoren eine Verbindung zur Firewall von einer vertrauenswürdigen Quelle aus herstellen, in der Regel einer Jumpbox. Die Sicherheitsrichtlinie der Firewall sollte dies einschränken. Zusätzlich können Sie einen "vertrauenswürdigen Host" für den Benutzer "admin" definieren. Beispiel:
FGT-VM64 # config system admin
FGT-VM64 # (admin) edit admin
FGT-VM64 # (admin) set trusthost1 {IP}
Administrators should connect only over HTTPS, in case HTTP is used a redirect should be enabled:
FGT-VM64 # config system global
FGT-VM64 # (global) set admin-https-redirect
Sie können die administrative Sitzung durch folgende Anweisung auf 5 Minuten begrenzen:
FGT-VM64 # (global) set admin-lockout-duration 300
The default idle time is set to 5 minutes, max is 480 minutes.
FGT-VM64 # config system global
FGT-VM64 # (global) set admintimeout <value>
FGT-VM64 # (global) end
Ausserdem können Sie die Anzahl der Anmeldeversuche auf einen benutzerdefinierten Wert ändern, es wird jedoch empfohlen, den Standardwert (3) beizubehalten.
10. Das Betreuer-Account
Die Idee hinter dem Betreuer-Account ist es, den Zugriff auf die Firewall zu ermöglichen und das Passwort eines Admin-Accounts zurückzusetzen oder einen Factory Reset durchzuführen, auch wenn das Admin-Passwort unbekannt ist. Dies wirft die Frage nach einer Hintertür auf. Um diese Funktion zu nutzen, benötigen Sie ein Konsolenkabel, ein Terminal und die Seriennummer der Firewall. Diese KB illustriert die Schritte.
Wenn Sie sich Sorgen machen, dass eine solche Hintertür ein Risiko darstellt, können Sie die Funktion deaktivieren:
FGT-VM64 # config system global
FGT-VM64 # (global) set admin-maintainer disable
11. Schnittstellen
Das wichtige Element zwischen dem Internet und dem internen Netz sind die Firewall-Schnittstellen. Was auf ihnen aktiviert ist, wirkt sich auf die allgemeine Sicherheit aus. Prüfen Sie, welche Art von Zugriff auf die Schnittstellen erlaubt ist. Es wird empfohlen, für interne Schnittstellen, die als Gateways für interne Netze fungieren, aus Gründen der Fehlersuche Ping zu aktivieren. Externe Schnittstellen, die nicht für S2S VPN verwendet werden und für die IKE benötigt wird, sollten keinen Zugriff erhalten. Dies kann schnell erreicht werden durch:
FGT-VM64 # config system interface
FGT-VM64 # (interface) edit port1
FGT-VM64 # (port1) unset allowaccess
Die Management-Schnittstelle sollte den Zugriff auf das Notwendige beschränken: SSH (CLI) und HTTPS (GUI, mit HTTP-Redirect), SNMP (Management), FMG-Access (FortiManager), etc.
Schnittstellen zu internen Netzwerken werden aus Gründen der Ausfallsicherheit und Leistung häufig in Port Channels gebündelt. Prüfen Sie bei der Bewertung, ob dies der Fall ist und in welchem Zustand sie sich befinden.
12. Zusammenfassung
In dem von mir untersuchten Fall folgte auf die Bewertung eine Optimierung. Dabei wurde nicht nur die Sicherheit verbessert und unnötiges Rauschen beseitigt. Wir führten auch praktische Wissensaustausch-Sitzungen durch, bei denen die Kunden spezifische Fragen stellen konnten und vor und nach der Implementierung Unterstützung erhielten.
Da unsere Welt immer stärker digitalisiert wird, ist es wichtig, dass wertvolle Daten sicher sind. Wie Sie sehen, können all diese Bemühungen mühsam sein und eine Menge Untersuchungen, Disziplin und Zeit erfordern. Aber wie Dr. Ralf Speth, der CEO von Jaguar, einmal sagte: "Wenn Sie glauben, dass gutes Design teuer ist, versuchen Sie es mit schlechtem Design."
Es liegt auf der Hand, dass die Kosten, die entstehen, wenn das Unternehmensnetzwerk kompromittiert wird, oft nicht messbar sind. Bei UMB arbeiten wir mit unseren Kunden an massgeschneiderten Lösungen. Wenden Sie sich an uns, um herauszufinden, wie wir Ihnen helfen können, Ihre Netzwerksicherheit zu verbessern und Ihr Vertrauen zu stärken. Wir sind spezialisiert, aber nicht beschränkt auf Anbieter wie Juniper, Fortinet, Palo Alto und CheckPoint.
