Wenn Sie eine Firewall-Konfiguration ändern, ist es wichtig, potenzielle Sicherheitsrisiken zu berücksichtigen, um zukünftige Probleme zu vermeiden. Sicherheit ist ein komplexes Thema und kann von Fall zu Fall variieren, aber dieser Artikel beschreibt Best Practices für die Konfiguration von Perimeter-Firewall-Regeln.
Standardmäßig blockieren
Blockieren Sie standardmäßig den gesamten Datenverkehr und aktivieren Sie explizit nur bestimmten Datenverkehr zu bekannten Diensten. Diese Strategie bietet eine gute Kontrolle über den Datenverkehr und reduziert die Möglichkeit einer Verletzung aufgrund einer Dienstfehlkonfiguration.
Sie erreichen dieses Verhalten, indem Sie die letzte Regel in einer Zugriffssteuerungsliste so konfigurieren, dass der gesamte Datenverkehr verweigert wird. Je nach Plattform können Sie dies explizit oder implizit tun.
Bestimmten Datenverkehr zulassen
Die Regeln, die Sie verwenden, um den Netzwerkzugriff zu definieren, sollten so spezifisch wie möglich sein. Diese Strategie ist das Prinzip der geringsten Rechte , und erzwingt die Kontrolle über den Netzwerkverkehr. Geben Sie so viele Parameter wie möglich in den Regeln an.
Eine Layer-4-Firewall verwendet die folgenden Parameter für eine Zugriffsregel:
- Quell-IP-Adresse (oder Bereich von IP-Adressen)
- Ziel-IP-Adresse (oder Bereich von IP-Adressen)
- Zielport (oder Bereich von Ports)
- Protokoll des Datenverkehrs (TCP, ICMP oder UDP)
Geben Sie so viele Parameter wie möglich in der Regel an, die zum Definieren des Netzwerkzugriffs verwendet wird. Es gibt begrenzte Szenarien, in denen any in einem dieser Felder verwendet wird.
Quell-IP-Adressen angeben
Wenn der Dienst für jeden im Internet zugänglich sein soll, dann beliebig Quell-IP-Adresse ist die richtige Option. In allen anderen Fällen sollten Sie die Quelladresse angeben.
Es ist akzeptabel, allen Quelladressen den Zugriff auf Ihren HTTP-Server zu ermöglichen. Es ist nicht akzeptabel, allen Quelladressen den Zugriff auf Ihre Serververwaltungsports oder Datenbankports zu ermöglichen. Im Folgenden finden Sie eine Liste gängiger Ports für die Serververwaltung und Datenbankports:
Serververwaltungsports:
- Linux®SSH:Port 22
- Windows® RDP:Port 3389
Datenbankports:
- SQL®-Server:Port 1433
- Oracle® :Port 1521
- MySQL® :Port 2206
Geben Sie genau an, wer diese Ports erreichen kann. Wenn es unpraktisch ist, Quell-IP-Adressen für die Netzwerkverwaltung zu definieren, können Sie eine andere Lösung wie ein VPN für den Fernzugriff als Ausgleichskontrolle in Betracht ziehen, um den erforderlichen Zugriff zu ermöglichen und Ihr Netzwerk zu schützen.
Geben Sie die Ziel-IP-Adresse an
Die Ziel-IP-Adresse ist die IP-Adresse des Servers, auf dem der Dienst ausgeführt wird, für den Sie den Zugriff aktivieren möchten. Geben Sie immer an, auf welche Server bzw. Server zugegriffen werden kann. Konfigurieren eines Zielwerts von any kann zu einer Sicherheitsverletzung oder Serverkompromittierung eines ungenutzten Protokolls führen, auf das möglicherweise standardmäßig zugegriffen werden kann. Allerdings Ziel-IPs mit einem Zielwert von any kann verwendet werden, wenn der Firewall nur eine IP zugewiesen ist. Der Wert any kann auch verwendet werden, wenn Sie sowohl öffentliches als auch servicenet wünschen Zugriff auf Ihre Konfiguration.
Geben Sie den Zielport an
Der Zielport entspricht dem erreichbaren Dienst. Dieser Wert dieses Feldes sollte niemals any sein . Der Dienst, der auf dem Server läuft und auf den zugegriffen werden muss, ist definiert, und nur dieser Port muss zugelassen werden. Das Zulassen aller Ports wirkt sich auf die Sicherheit des Servers aus, da Wörterbuchangriffe sowie Exploits aller auf dem Server konfigurierten Ports und Protokolle zugelassen werden.
Vermeiden Sie die Verwendung eines zu großen Bereichs von Ports. Wenn dynamische Ports verwendet werden, bieten Firewalls manchmal Inspektionsrichtlinien an, um sie sicher durchzulassen.
Beispiele für gefährliche Konfigurationen
Dieser Abschnitt beschreibt gefährliche Beispiele für Firewall-Regeln, zeigt aber auch einige alternative gute Regeln, die Sie beim Konfigurieren von Firewall-Regeln befolgen sollten.
permit ip any any - Lässt den gesamten Datenverkehr von jeder Quelle an jedem Port zu jedem Ziel zu. Dies ist die schlechteste Art von Zugriffssteuerungsregel. Es widerspricht sowohl den Sicherheitskonzepten, den Datenverkehr standardmäßig zu verweigern, als auch dem Prinzip der geringsten Rechte. Der Zielport sollte immer angegeben werden, und die Ziel-IP-Adresse sollte angegeben werden, wenn dies praktikabel ist. Die Quell-IP-Adresse sollte angegeben werden, es sei denn, die App wurde entwickelt, um Clients aus dem Internet zu empfangen, z. B. einen Webserver. Eine gute Regel wäre permit tcp any WEB-SERVER1 http .
permit ip any any WEB-SERVER1 - Lässt den gesamten Datenverkehr von jeder Quelle zu einem Webserver zu. Es sollten nur bestimmte Ports zugelassen werden; bei einem Webserver die Ports 80 (HTTP) und 443 (HTTPS). Andernfalls ist die Verwaltung des Servers angreifbar. Eine gute Regel wäre permit ip any WEB-SERVER1 http .
permit tcp any WEB-SERVER1 3389 - Ermöglicht RDP-Zugriff von jeder Quelle auf den Webserver. Es ist eine gefährliche Vorgehensweise, jedem Zugriff auf Ihre Verwaltungsports zu gewähren. Geben Sie genau an, wer auf die Serververwaltung zugreifen kann. Eine gute Regel wäre permit tcp 12.34.56.78 3389 WEB-SERVER1 (wobei 12.34.56.78 ist die IP-Adresse des Computers des Administrators im Internet).
permit tcp any DB-SERVER1 3306 - Ermöglicht MySQL-Zugriff von jeder Quelle auf die Datenbank. Datenbankserver sollten niemals dem gesamten Internet ausgesetzt werden. Wenn Datenbankabfragen über das öffentliche Internet ausgeführt werden müssen, geben Sie die genaue Quell-IP-Adresse an. Eine gute Regel wäre permit tcp 23.45.67.89 DB-SERVER1 3306 (wobei 23.45.67.89 ist die IP-Adresse des Hosts im Internet, der Zugriff auf die Datenbank benötigt). Eine bewährte Methode wäre es, Datenbankdatenverkehr über ein VPN und nicht im Klartext über das öffentliche Internet zuzulassen.
Wenn Sie Hilfe bei der Implementierung dieser Best Practices benötigen, wenden Sie sich an Ihr Rackspace-Supportteam.