02
פבר
11

ניתוח (חוקי) Firewall

לכאורה, התקנת Firewall ברשת שלכם מעלה את רמת האבטחה בארגון. אבל האם יש לכם מושג מה מוגדר ב – FW שלכם? האם אתם בטוחים שמוצר האבטחה הזה הנמצא בשער הגישה לרשת הארגונית אכן מספק אבטחה נאותה ולא חושף את הרשת? האם אתם מודעים לסיכונים השונים הקיימים ב – FW? 

למשל, כאשר מגדירים חוקים ב – FW, ישנה חשיבות לסדר החוקים. ייתכן וחוק מסוים, שאמור לחסום תעבורת תקשורת מסוכנת, אינו עושה זאת. ייתכן ומעל לחוק זה, נמצא חוק אחר שפותח שירות מסוים פנימה או החוצה.

בואו נבחן דוגמא:

Action

Service

Destination

Source

Rule

Accept

ANY

ANY

Developers

85

 

 

 

 

.

.

.

Drop

P2P

ANY

LAN_NW

97

נאמר שחוק 97 היה במקור מספר 22. החוק אמור למנוע מהמשתמשים המוגדרים באובייקט LAN_NW (כל העובדים בארגון) מלגלוש לאינטרנט בפורטים הידועים כ – P2P.

יום אחד התלוננו אנשי הפיתוח שהם לא מצליחים לפתח רכיבים חדשים באתר החברה. איש התקשורת החליט שחוק 22 הוא הגורם לבעיה והוריד אותו ל – 97.

עכשיו, אנשי אבטחת מידע לא מודעים לכך שהמפתחים מצו'טטים חופשי באינטרנט, למרות שמדיניות החברה אוסרת על כך.

עוד דוגמא: איש התקשורת פתח בלי לשים לב NetBios מרשת ה – DMZ לרשת הפנימית, במקום לאפשר NBT רק ברשת הפנימית.

דוגמא נוספת: חוק אחר מאפשר גישה מהאינטרנט בפורט 23 לרשת הפנימית. לא רעיון טוב.

לפני הרבה שנים, מישהו אמר לי שאפשר לעבור על סט החוקים ולמצוא חוקים בעיתיים כאלה. בארגונים גדולים, סט החוקים יכול להחיל 300 חוקים ואפילו הרבה יותר מזה. אי אפשר למצוא את הידיים והרגליים.

אז מה אפשר לעשות? אפשר לרכוש מוצר הנקרא Firewall Analyzer.

ישנן מספר חברות בשוק המציעות תוכנות כאלה. מערכות אלה מציגות בין השאר:

  • חוקים מסוכנים, לפי רמת סיכון (אדום, כתום, ירוק… או לפי ציון מספרי) והמלצות לתיקון
  • חוקים שאינם בשימוש וכדאי למחוק
  • חוקים חסומים שכדאי למחוק כדי למנוע הפעלתם בטעות
  • חוקים כפולים או חוקים המכילים חוקים אחרים
  • אחוז תעבורה של פורטים בתוך חוקים כדי לאפשר הסרת שירותים מיותרים
  • חוקים שלא מופעל עליהם לוגים
  • חוקים שאפשר להזיז למעלה או מטה כדי לבצע אופטימיזציה של מהירות תקשורת
  • ועוד

ישנם סיכונים נוספים, שאינם קשורים לסט החוקים, שהמערכת מציגה. למשל משתמשים המורשים להתחבר ב – VPN ושלא נעשה בהם שימוש זמן רב והגיע זמן לבטל אותם.

הכל נעשה בצורה גרפית מרשימה. המערכות האלה מאפשרות הקטנת סיכונים ע"י טיוב חוקים. אפשר להכין איתם דוחות גרפיים מרשימים למנהלים. ניתן גם להפיק דוחות עמידה ברגולציות כגון PCI. הכלי הזה מצוין גם כאשר נדרש לבצע חציצה של רשתות בתוך הארגון – לבנות VLANs חדשים. יחסית, המוצרים אינם יקרים מאוד.

 


4 Responses to “ניתוח (חוקי) Firewall”


  1. 02/02/2011 ב- 7:11

    זה מעניין שפיירוול הוא אולי רכיב האבטחה הקדום ביותר, שכיום מתייחסים אליו בזלזול אופנתי ("פיירוול זה לא אבטחת מידע", "לא בעיה לחדור פיירוול" וכן הלאה) ועדיין הוא מהווה רכיב ליבה שאי אפשר בלעדיו.
    מזה שנים אין יותר שום יכולת לאדם לנתח לוגית חוקי פירוול בעצמו. בארגון בינוני ומעלה יש מאות חוקים, חלק גדול אמנם מיותרים והם שרידים לעבר שאף אחד לא זוכר מה הם עושים. בארגונים גדולים יש יותר מפיירוול אחד (עבדתי בארגון שיש בו עשרות ועשרות VLANS), לעתים מחוברים לניהול מרכזי ולעתים לא. מערכת ניתוח חוקים היא הכרח אם רוצים להתייחס לפיירוול ככלי שגם עושה משהו ולא סתם עומד שם ברשת.
    לדעתי אלגוסק היא אחד הכלים הטובים שיש בתחום הזה ומאד נוח לעבוד עם המוצר.

  2. 02/02/2011 ב- 19:44

    ניב אתה צודק.
    מישהו מכיר מערכות פתוחות ו/או חיניות בנושא ?

  3. 26/02/2011 ב- 11:54

    בדיוק כתבתי על הנושא עם דגשים לביצוע ביקורת:
    http://so-secure.blogspot.com/2011/02/firewall.html
    הבלוג שלך נהדר ואני משכיל ממנו מאוד.
    לגבי הפוסט שלך אני מסכים עם כל מילה שכתבת..
    הבעיה היא אחרת..
    הרבה פעמים חוקי ANY TO ANY שנשארים מדיאגנוסטיקה,חוקים זמנים כאלו שאף אחד לא שם להם Expired,אנשים מתעצלים להגדיר קבוצות עבור SERVICES ספציפים ופותחים ANY ,אין עמדות ניהול מרכזיות,הרבה פעמים אתה יכול לנהל את הFIREWALL באמצעות ממש' WEB מכל הסגמנט ב-LAN כי מנהלי האבטחה עצלנים,אין הזדהות עם CERTIFICATE אלא רק עם USER+PASSWORD ,קבצי LOGS שנשמרים מקומית על המכשיר ולא מועברים לSYSLOG או SEIM ..
    הרבה מטעויות אפשר למנוע ע"י תכנון נכון של חוקים על הנייר תחילה ולא על ה-dashboard עצמו,מה שגם ב-FIREWALL רציני קיימת ורפיקציה של חוקים(כמו ב NGX)..
    לגבי הכלים מומלץ לחלק את זה ל -2:

    1.כלי ANALYZER כפי שהציגו פה שבודקים חוקים,לוגיקה וכו'…בד"כ הם כלים מסחריים המתאימים להמון רכיבי תקשורת ולא רק ל FW ספציפי אני אכתוב על זה בבלוג שלי עם הכלים שאני עובד איתם.
    2.כלי ריפורטינג-כמובן מהיצרן..לצ'קפוינט יש את הכלים שלהם,לסוניקוול יש את VIEWPOINT ,כנ"ל לפורטיגייט.

    ניב-אין מה לעשות וזה תמיד יהיה..אנשים לא אוהבים לעבוד BEST PRACTICE ,לא אוהבים לכתוב תיאור לכל חוק,לא אוהבים לתת תוקף לחוקים זמניים..רוצים שהכל יעבוד וללכת לבית….לכן אין להמעיט בחשיבות הביקורת.
    מה שגם לא תמיד יש מידור ולפעמים יותר מבנאדם 1 מתעסק ב-FW ככה שאין באמת פיקוח על הנעשה.


להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל

אתה מגיב באמצעות חשבון Google שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s


פברואר 2011
א ב ג ד ה ו ש
 12345
6789101112
13141516171819
20212223242526
2728  

%d בלוגרים אהבו את זה: