Quando modifichi una configurazione del firewall, è importante considerare i potenziali rischi per la sicurezza per evitare problemi futuri. La sicurezza è un argomento complesso e può variare da caso a caso, ma questo articolo descrive le migliori pratiche per la configurazione delle regole del firewall perimetrale.
Blocca per impostazione predefinita
Blocca tutto il traffico per impostazione predefinita e abilita in modo esplicito solo il traffico specifico verso servizi noti. Questa strategia fornisce un buon controllo sul traffico e riduce la possibilità di una violazione a causa di un'errata configurazione del servizio.
Si ottiene questo comportamento configurando l'ultima regola in un elenco di controllo di accesso per negare tutto il traffico. Puoi farlo in modo esplicito o implicito, a seconda della piattaforma.
Consenti traffico specifico
Le regole utilizzate per definire l'accesso alla rete dovrebbero essere il più specifiche possibile. Questa strategia è il principio del privilegio minimo e forza il controllo sul traffico di rete. Specificare quanti più parametri possibili nelle regole.
Un firewall di livello 4 utilizza i seguenti parametri per una regola di accesso:
- Indirizzo IP di origine (o intervallo di indirizzi IP)
- Indirizzo IP di destinazione (o intervallo di indirizzi IP)
- Porta di destinazione (o intervallo di porte)
- Protocollo del traffico (TCP, ICMP o UDP)
Specificare quanti più parametri possibile nella regola utilizzata per definire l'accesso alla rete. Ci sono scenari limitati in cui any viene utilizzato in uno di questi campi.
Specifica gli indirizzi IP di origine
Se il servizio deve essere accessibile a tutti su Internet, allora qualsiasi l'indirizzo IP di origine è l'opzione corretta. In tutti gli altri casi, dovresti specificare l'indirizzo di origine.
È accettabile abilitare tutti gli indirizzi di origine per accedere al tuo server HTTP. Non è accettabile consentire a tutti gli indirizzi di origine di accedere alle porte di gestione del server o alle porte del database. Di seguito è riportato un elenco di porte di gestione del server e di database comuni:
Porte di gestione del server:
- Linux®SSH:Porta 22
- Windows® RDP:porta 3389
Porte del database:
- SQL® Server:Porta 1433
- Oracle®:Porta 1521
- MySQL®:Porta 2206
Sii specifico su chi può raggiungere questi porti. Quando non è pratico definire gli indirizzi IP di origine per la gestione della rete, potresti considerare un'altra soluzione come una VPN di accesso remoto come controllo di compensazione per consentire l'accesso richiesto e proteggere la tua rete.
Specifica l'indirizzo IP di destinazione
L'indirizzo IP di destinazione è l'indirizzo IP del server che esegue il servizio a cui si desidera abilitare l'accesso. Specificare sempre quale o quali server sono accessibili. Configurazione di un valore di destinazione di any potrebbe portare a una violazione della sicurezza o alla compromissione del server di un protocollo inutilizzato che potrebbe essere accessibile per impostazione predefinita. Tuttavia, IP di destinazione con un valore di destinazione di any può essere utilizzato se al firewall è assegnato un solo IP. Il valore any può essere utilizzato anche se vuoi sia public che servicenet accedere alla tua configurazione.
Specifica la porta di destinazione
La porta di destinazione corrisponde al servizio accessibile. Questo valore di questo campo non dovrebbe mai essere any . Il servizio in esecuzione sul server a cui è necessario accedere è definito e solo questa porta deve essere consentita. L'autorizzazione di tutte le porte influisce sulla sicurezza del server consentendo attacchi con dizionario e exploit di qualsiasi porta e protocollo configurato sul server.
Evitare di utilizzare una gamma troppo ampia di porte. Se vengono utilizzate porte dinamiche, i firewall a volte offrono criteri di ispezione per consentirne il passaggio in modo sicuro.
Esempi di configurazioni pericolose
Questa sezione descrive esempi pericolosi di regole del firewall, ma mostra anche alcune buone regole alternative da seguire durante la configurazione delle regole del firewall.
permit ip any any - Consente tutto il traffico da qualsiasi fonte su qualsiasi porta a qualsiasi destinazione. Questo è il peggior tipo di regola di controllo degli accessi. Contraddice entrambi i concetti di sicurezza di negare il traffico per impostazione predefinita e il principio del privilegio minimo. La porta di destinazione dovrebbe essere sempre specificata e l'indirizzo IP di destinazione dovrebbe essere specificato quando possibile. L'indirizzo IP di origine deve essere specificato a meno che l'app non sia creata per ricevere client da Internet, ad esempio un server Web. Una buona regola sarebbe permit tcp any WEB-SERVER1 http .
permit ip any any WEB-SERVER1 - Consente tutto il traffico da qualsiasi fonte a un server web. Dovrebbero essere consentite solo porte specifiche; nel caso di un web server, le porte 80 (HTTP) e 443 (HTTPS). In caso contrario, la gestione del server è vulnerabile. Una buona regola sarebbe permit ip any WEB-SERVER1 http .
permit tcp any WEB-SERVER1 3389 - Consente l'accesso RDP da qualsiasi fonte al server web. È una pratica pericolosa consentire a tutti di accedere alle tue porte di gestione. Sii specifico su chi può accedere alla gestione del server. Una buona regola sarebbe permit tcp 12.34.56.78 3389 WEB-SERVER1 (dove 12.34.56.78 è l'indirizzo IP del computer dell'amministratore su Internet).
permit tcp any DB-SERVER1 3306 - Consente l'accesso MySQL da qualsiasi fonte al database. I server di database non dovrebbero mai essere esposti all'intera Internet. Se è necessario eseguire query di database su Internet pubblico, specificare l'indirizzo IP di origine esatto. Una buona regola sarebbe permit tcp 23.45.67.89 DB-SERVER1 3306 (dove 23.45.67.89 è l'indirizzo IP dell'host su Internet che deve accedere al database). Una best practice sarebbe quella di consentire il traffico del database su una VPN e non in chiaro su Internet pubblico.
Se hai bisogno di aiuto per implementare queste best practices, contatta il tuo team di supporto Rackspace.