Основы Интернет-безопасности: Брандмауэр
SSL сертификат является важной частью в системе безопасности Интернет магазинов, так как позволяет организовать безопасную передачу личных данных (например, регистрационных данных клиента, адрес доставки, платежную информацию и т.д.) от клиента к владельцу Интернет магазина. Но наличие SSL сертификата не исключает необходимость использовать и другие методы защиты, о которых мы и поговорим в новом блоке статей об основах безопасности в Интернете.
Сегодня мы начнем с темы «Брандмауэр», расскажем Вам, что это такое и на что следует обращать внимание при его использовании.
Межсетевые экраны необходимы не только для защиты стационарных информационных технологий. Они также важны для контроля приложений в сети, в облаках или на мобильных устройствах. Регулярные проверки и корректировки настроек межсетевого экрана необходимы не только потому что ландшафт ИТ постоянно меняется, но и в связи с постоянными изменением и усложнением киберугроз. Когда-то установленные правила фильтрации могут значительно отличаться от фактических потребности в защите без своевременной проверки и корректировки настроек, что позволяет мошенникам получить доступ к конфиденциальной информации. Насколько часто необходимо проверять настройки фаервола, зависит от уровня риска и изменений в существующей инфраструктуре ИТ.
Также следует помнить о том, что важно не только актуализировать конфигурацию, но и защищать протоколирование брандмауэра. Это значит, что протоколы следует шифровать и проверять по принципу двойного контроля, а также по возможности бережно хранить данные протоколирования.
Если же подключить систему брандмауэра между двумя маршрутизаторами фильтрации пакетов, этот метод будет называться "узел-бастион". Внешний маршрутизатор отвечает за фильтрацию IP трафика между бастионным узлом и Интернетом, в то время как внутренний маршрутизатор допускает только IP-трафик между внутренней сетью и узлом-бастионом. Такой метод защиты очень эффективен, но и достаточно затратен, так как в дополнение к двум маршрутизаторам, необходима и система брандмауэра. К тому же настройка такой системы может оказаться достаточно сложной. Хорошо управляемое и эффективное решение многие компании находят в использовании сервера брандмауэра, так как он включает следующие функции:
Второй частый сценарий – вывод из строя отдельных служб с той целью, чтобы другие пользователи не могли использовать определенный компьютер или порт. Эта форма электронного саботажа может привести к повреждению данных, а также к поломке устройства. Большинство нападений такого рода производятся путем перегрузки: мошенник перегружает систему или сеть, например, потоком сетевых запросов, сообщений или других процессов, в результате чего пользователь не может эффективно работать. Злоумышленник также может отключить, заменить или перенаправить некоторые службы. К сожалению, достаточно часто имена пользователей, пароли и идентификаторы передаются в незашифрованном виде в виде обычного текста, поэтому их легко прослушать в сети. Это также используют мошенники для кражи информации.
Сетевые технологии, такие как Ethernet или Token Ring, позволяют перехватить весь сетевой трафик в локальной сети. Как и в случае взлома, здесь также мошенники практически никогда не оставляют следов, так что кражу данных редко можно обнаружить.
Как правило, для конфигурации брандмауэра следует назначать минимальные права доступа и разрешения на соединение. Чем меньше круг лиц, имеющих доступ, тем ниже потенциальные риски безопасности. Рассмотрим кроме межсетевых экранов также брандмауэры для приложений, облачных технологий и мобильных устройств. При проверке следует смотреть не только на то, активны ли соответствующие файерволы, но и на то, правильно ли они сконфигурированы – в этом также поможет настройка формального процесса. Если в конфигурацию брандмауэра вносятся изменения, их нужно проверить и не в последнюю очередь задокументировать. Проверки необходимо проводить регулярно и в идеале оценивать протоколы по принципу двойного контроля. Если вы используете инструменты аудита брандмауэра, проверьте, может ли инструмент оптимизировать конфигурацию брандмауэра.
Кроме того следует проверить, действительно ли этот инструмент поддерживает все брандмауэры, с которыми работает ваша компания. Конфигурацию таких инструментов следует проверять в идеале в тестовой среде, давая ответы на следующие вопросы:
С течением времени накапливается множество правил и, особенно когда с одним и тем же брандмауэром работает несколько администраторов, у вас могут возникнуть проблемы с его производительностью, усложнится техобслуживание и возрастут угрозы безопасности. Поэтому важно следовать стандартам PCI-DSS, которые предполагают удаления ненужных правил и объектов. К таковым относится следующее:
Если устройство не отвечает на дальнейшие попытки связи, системе может исходить из того, что брандмауэр отказал и активировать резервное устройство. Также желательно соединить брандмауэр с модулем текущего контроля. Так вы сможете убедиться, что пакеты, которые брандмауэр должен блокировать, действительно блокируются. Также следует интегрировать механизм оповещения о неполадках и ошибках.
Сегодня мы начнем с темы «Брандмауэр», расскажем Вам, что это такое и на что следует обращать внимание при его использовании.
Что такое Брандмауэр?
Файрвол, фаервол, брандмауэр или межсетевой экран – все эти слова означают одно и то же: своеобразный барьер, который защищает всю сеть или отдельные ее части от передачи вредоносных пакетов и вторжения хакеров. Межсетевой экран устанавливается на стыке двух сетей, как правило, между всемирной паутиной и корпоративной сетью. Также существуют так называемые клиентские файрволы, которые устанавливаются на компьютер конечного пользователя и защищают только его. Межсетевые экраны могут использоваться как в виде аппаратных решений, так и в виде программного обеспечения. Файрвол проверяет весь входящий и исходящий трафик по определенным, ранее сконфигурированным критериям. Если передаваемые данные соответствуют этим критериям, фаервол их пропускает. Если не соответствуют – блокирует. Передаваемые данные фильтруются на основе следующих критериев:- Фильтрация адресов: проверяются адрес источника и приемника (отправителя и получателя), а также номера портов
- Фильтрация протоколов: проверяется тип сетевого трафика, например, HTTP или FTP
- Также проверяются атрибуты и статус отправляемых пакетов данных.
Конфигурация межсетвого экрана
Нет единственного ответа на вопрос о том, как правильно настроить брандмауэр. Необходимые настройки зависят от множества факторов и могут требовать изменений, например, когда добавляются новые приложения, устройства или пользователи, когда меняются права доступа в связи с поставленными задачами и ролями в бизнесе, когда начинают применяться облачные технологии и мобильные устройства.Межсетевые экраны необходимы не только для защиты стационарных информационных технологий. Они также важны для контроля приложений в сети, в облаках или на мобильных устройствах. Регулярные проверки и корректировки настроек межсетевого экрана необходимы не только потому что ландшафт ИТ постоянно меняется, но и в связи с постоянными изменением и усложнением киберугроз. Когда-то установленные правила фильтрации могут значительно отличаться от фактических потребности в защите без своевременной проверки и корректировки настроек, что позволяет мошенникам получить доступ к конфиденциальной информации. Насколько часто необходимо проверять настройки фаервола, зависит от уровня риска и изменений в существующей инфраструктуре ИТ.
Также следует помнить о том, что важно не только актуализировать конфигурацию, но и защищать протоколирование брандмауэра. Это значит, что протоколы следует шифровать и проверять по принципу двойного контроля, а также по возможности бережно хранить данные протоколирования.
Методы использования брандмауэра
Межсетевые экраны можно использовать по разным принципам. Самый простой – маршрутизатор, фильтрующий пакеты данных. В маршрутизаторе настраиваются различные фильтры пакетов, которые контролируют передачу данных на основе адреса отправителя и получателя, а также номера порта. Как правило, обычные IP-маршрутизаторы работают по этому методу. Так как это достаточно простая процедура, затраты на такой фаервол будут невелики. Тем не менее, использование одного только этого метода не дает достаточной защиты. Даже простой подделки IP-адреса будет достаточно, чтобы получить несанкционированный доступ.Если же подключить систему брандмауэра между двумя маршрутизаторами фильтрации пакетов, этот метод будет называться "узел-бастион". Внешний маршрутизатор отвечает за фильтрацию IP трафика между бастионным узлом и Интернетом, в то время как внутренний маршрутизатор допускает только IP-трафик между внутренней сетью и узлом-бастионом. Такой метод защиты очень эффективен, но и достаточно затратен, так как в дополнение к двум маршрутизаторам, необходима и система брандмауэра. К тому же настройка такой системы может оказаться достаточно сложной. Хорошо управляемое и эффективное решение многие компании находят в использовании сервера брандмауэра, так как он включает следующие функции:
- внутренний и внешний межсетевой экран,
- узел-бастион,
- сервер интернет-приложений.
Хакерские атаки на брандмауэр
Взлом - наиболее распространенный сценарий атак: хакер попадает в чужой компьютер и таким образом может отслеживать и изменять данные пользователей, идентификаторы и файлы. Зачастую взломы остаются незамеченными. Злоумышленникам удается пролезть в чужой компьютер, не оставляя следов.Второй частый сценарий – вывод из строя отдельных служб с той целью, чтобы другие пользователи не могли использовать определенный компьютер или порт. Эта форма электронного саботажа может привести к повреждению данных, а также к поломке устройства. Большинство нападений такого рода производятся путем перегрузки: мошенник перегружает систему или сеть, например, потоком сетевых запросов, сообщений или других процессов, в результате чего пользователь не может эффективно работать. Злоумышленник также может отключить, заменить или перенаправить некоторые службы. К сожалению, достаточно часто имена пользователей, пароли и идентификаторы передаются в незашифрованном виде в виде обычного текста, поэтому их легко прослушать в сети. Это также используют мошенники для кражи информации.
Сетевые технологии, такие как Ethernet или Token Ring, позволяют перехватить весь сетевой трафик в локальной сети. Как и в случае взлома, здесь также мошенники практически никогда не оставляют следов, так что кражу данных редко можно обнаружить.
Проверка межсетевого экрана
Хотя у каждой компании нужно работать над своими рисками, все же есть некоторые общие инструкции по конфигурации и общему использования брандмауэров. Так, в первую очередь необходимо настроить формальный процесс тестирования настроек и задания конфигурации брандмауэра. В этом процессе обязательно следует учитывать вышеупомянутые изменения в ландшафте ИТ.Как правило, для конфигурации брандмауэра следует назначать минимальные права доступа и разрешения на соединение. Чем меньше круг лиц, имеющих доступ, тем ниже потенциальные риски безопасности. Рассмотрим кроме межсетевых экранов также брандмауэры для приложений, облачных технологий и мобильных устройств. При проверке следует смотреть не только на то, активны ли соответствующие файерволы, но и на то, правильно ли они сконфигурированы – в этом также поможет настройка формального процесса. Если в конфигурацию брандмауэра вносятся изменения, их нужно проверить и не в последнюю очередь задокументировать. Проверки необходимо проводить регулярно и в идеале оценивать протоколы по принципу двойного контроля. Если вы используете инструменты аудита брандмауэра, проверьте, может ли инструмент оптимизировать конфигурацию брандмауэра.
Кроме того следует проверить, действительно ли этот инструмент поддерживает все брандмауэры, с которыми работает ваша компания. Конфигурацию таких инструментов следует проверять в идеале в тестовой среде, давая ответы на следующие вопросы:
- Будут ли поступать уведомления о неправильных настройках?
- Подходит ли инструмент для аппаратных и программных брандмауэров, которые вы используете?
- Можно ли на основании отчетов инструмента сделать значимые выводы?
- Надежно ли защищены эти отчеты от несанкционированного доступа?
Правила для фаервола: как навести порядок?
Как вы уже успели понять, список правил фильтрации – один из самых важных аспектов в работе брандмауэра. Поэтому важно этот перечень регулярно очищать от лишнего и приводить в соответствие с требованиями к безопасности на данный момент времени. Конечно, многое зависит от ваших личных обстоятельств, но есть и некоторые общие правила, которые подойдут всем.С течением времени накапливается множество правил и, особенно когда с одним и тем же брандмауэром работает несколько администраторов, у вас могут возникнуть проблемы с его производительностью, усложнится техобслуживание и возрастут угрозы безопасности. Поэтому важно следовать стандартам PCI-DSS, которые предполагают удаления ненужных правил и объектов. К таковым относится следующее:
- Очистка неиспользуемых, истекших и противоречивых правил
- Неиспользуемые соединения: если в правилах указаны неиспользуемые маршрутизаторы, и следует удалить
- Правила наименования: Запишите назначение правил и придерживайтесь их, чтобы они были понятны всем. Выбирайте для наименований логически понятные форматы, например, "Имя компьютера"_IP для узлов.
- Дубликаты: также следует удалить дубликаты объектов и правил, например, сервисы или узлы, неоднократно появляющиеся под разными названиями.
- Длинные наборы правил: постарайтесь разбивать длинные наборы правил на удобно читаемые части. Например, добавляйте максимум 20 правил в набор. Избегайте накладывания правил друг на друга, чтобы упростить их.
- Документация: следует документировать и хранить в безопасном месте правила, изменения, наименования и объекты.
- Политика соответствия: после определения политики, проверьте ее с помощью отчета об аудите.
- Приоритетность правил: часто используемые правила должны отображаться вверху списка. Многие брандмауэры обрабатывают пакеты на основе оптимизированных алгоритмов, для которых порядок указания правил не имеет значения. Если ваш маршрутизатор к ним не относится, вам следует отсортировать правила по приоритетности, чтобы не потерять обозримости.
- Разделение брандмауэра и VPN: разделите брандмауэры и сети VPN, чтобы VPN не влияла на производительность вашего брандмауэра.
- Обновление программного обеспечения: обновления программ часто имеют преимущества в безопасности, производительности и функционале. Чтобы злоумышленники не смогли использовать старые дыры в безопасности, обратите внимание на своевременное обновление брандмауэра.
- Интерфейс: Интерфейс брандмауэра должны быть согласованы с интерфейсами коммутатора и маршрутизатора, т.е. если ваш маршрутизатор работает в полудуплексном режиме, брандмауэр также следует настроить на полудуплексный режим. В идеале, брандмауэр и коммутатор должны иметь одинаковый режим дуплекса и одинаковую скорость.
Межсетевой экран вышел из строя: что делать?
Даже наилучшим образом настроенные правила не помогут, если брандмауэр вышел из строя. Такое отключение может длиться от нескольких минут до нескольких часов. К таким ситуациям необходимо подготовиться заранее: нужно не только иметь заменяющее устройство, но и убедиться в том, что замена включается автоматически в случае сбоя. Таким образом, вы можете иметь один межсетевой экран в настроенном и активном виде, в то время как второй будет находиться в режиме ожидания. Будет достаточно соединить оба устройства с помощью кабеля для аварийного переключения и настроить их таким образом, чтобы оба брандмауэра отправляли сообщения с заданным интервалом, например, каждые несколько секунд. Пропишите дальнейшие попытки связи на тот случай, если запрос связи остается неподтвержденным.Если устройство не отвечает на дальнейшие попытки связи, системе может исходить из того, что брандмауэр отказал и активировать резервное устройство. Также желательно соединить брандмауэр с модулем текущего контроля. Так вы сможете убедиться, что пакеты, которые брандмауэр должен блокировать, действительно блокируются. Также следует интегрировать механизм оповещения о неполадках и ошибках.
Заключение
Межсетевые экраны имеют важное значение для защиты вашего интернет-магазина от манипуляций, несанкционированного доступа и шпионажа. Благодаря возможности распределять права доступа, межсетевой экран защищает от несанкционированного доступа как изнутри сети, так и извне. Нежелательный трафик блокируется, так что брандмауэр также защищает вашу систему от вредоносных программ. В заключение можно сказать, что в идеале межсетевой экран выполняет следующие функции:- контролирует доступ к Интернету и сети,
- защищает трафик для входящих и исходящих соединений,
- активно отслеживает работу приложений,
- обеспечивает конфиденциальность,
- уведомляет о событиях, которые отклоняются от нормы и поэтому могут быть подозрительными.