IT-Sicherheitsrichtlinie am Beispiel firewall- und DNS-Konfiguration

Der folgende Artikel ist ein Versuch, das Thema Sicherheitsrichtlinien am Beispiel von Firewall und DNS zu adressieren. Es kann in Ihrem Unternehmen ganz oder als Modell für die weitere Entwicklung verwendet werden.

Firewall

1.Die Firewall soll die Sicherheit Ihrer Organisation erhöhen, indem Sie:

 

  • Blockieren von Versuchen mit unbefugtem Zugriff (Kontrolle und Einschränkung des Zugriffs auf das interne Netzwerk).
  • Die Überwachung des Netzwerkverkehrs auf mehreren Ebenen (m.in. Firewall führt eine Überprüfung auf der Grundlage von IP-Adressen, Verbindungsrichtung und -status, Protokollen und Anwendungen, einzelnen Benutzern durch).
  • Erstellen von Sicherheitszonen und Modellieren der Verkehrsmerkmale zwischen ihnen.
  • Ausblenden der internen Organisation und Netzwerkstruktur.
  • Überwachung von Sicherheitszonen, um geeignete Alarme zu erzeugen.
  • Sammeln von Protokollen über Ereignisse und Bereitstellung von Statistiken und Berichten.

2. Bei agd.com ist der Verkehr von außen auf den Zugang zu seiner öffentlichen Firmenseite im Freien am Hafen 443 beschränkt. Der administrative Teil der Seite ist nur über das interne Netzwerk auf Port 8080 verfügbar. DNS ist am Port 53 verfügbar. Darüber hinaus wird innerhalb des Unternehmens eine Verbindung zu einem E-Mail-Server auf Port 110, Port 3306 für Datenbankverbindungen und eine Verbindung zu Port 2020 mit dem ssh-Dienst für die Remoteverwaltung des Servers geöffnet.

 

3. Das folgende Verfahren richtet sich an Netzadministratoren und darf nicht an Unbefugte weitergegeben werden:

 

  • Das detaillierte Iptables-Skript ist geheim und befindet sich in einem Safe im 8. Stock von Gebäude A. Wenden Sie sich an die Firewall-Konfiguration, wenn Sie Änderungen vornehmen. Die dazu befugte Person ist der Hauptverwalter des Netzwerks.

 

Die Firewall wird mit einem Skript für iptables konfiguriert, das wie folgt aussieht:

€!/bin/sh
##############################################################################
IPTABLES=iptables
PATH="/usr/sbin"
# Serveradresse 
SERVER="192.168.1.3"
 
# Adresse des Administratorcomputers 
ADMIN="192.168.1.10" 

# Die räumliche Adressierung unseres Netzwerks und die Karte, die wir bedienen 
WEW_NET="192.168.1.0/24"
WEW_DEV="eth0"
 
# Externe Adresse und Supportkarte
ZEW_NET="0/0"   
ZEW_DEV="eth1"
 
# TCP-Dienstleistungen, die wir durchlassen wollen  
TCP_IN="ssl,dns" Nr. 443, 53
TCP_OUT="ssl,dns" Nr. 443, 53
  
# UDP-Dienstleistungen, die wir durchlassen
UDP_IN="443"
UDP_OUT=""
 
# ICMP-Dienstleistungen, die wir übergeben wollen 
ICMP_IN=""
ICMP_OUT=""
 
#################################################################################
 
# Wir entfernen frühere Regeln
$IPTABLES -F INPUT
$IPTABLES -F FORWARD
$IPTABLES -F OUTPUT
 
# Festlegen einer Standardpolitik 
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT  
$IPTABLES -P FORWARD DROP
 
# Wir speichern unseren gesamten Datenverkehr in Protokollen 
$IPTABLES -A INPUT -j LOG -m limit --limit 15/hor              
$IPTABLES -A OUTPUT -j LOG -m limit --limit 15/hour
$IPTABLES -A FORWARD -j LOG -m limit --limit 15/hour
 
# Wir haben die Möglichkeit, Verbindungen zu 
modprobe ip_conntarck
modprobe ip_conntarck_ftp
 
# Wir lassen Antworten auf Pings aus
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
 
# Schutz vor Schlumpfangriffen 
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
 
# Wir schützen vor ICMP-Kommunikation Fehler 
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
 
# Einschließlich der Anmeldung von seltsamen Paketen (spoofed. source routed. redirects) 
echo "1" > /proc/sys/net/ipv4/conf/all/log_martians
 
# Wir akzeptieren kein IP-Datagramm mit der Option "Source Route"
echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
 
# Wir akzeptieren keine Pakete ICMP redict, wer kann unsere Routing-Boards ändern
echo "0" /proc/sys/net/ipv4/conf/all/accept_redirects
 
# Alle Karten werden keine Pakete von anderen Netzwerken als diese
# aus dem Routing-Board 
echo "1" /proc/sys/net/ipv4/conf/all/rp_filter
 
# Wir lassen Pakete auf unserem Computer laufen
# das heißt, wir entsperren Petle Return LOOPBACK
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
 
# Wir erlauben die Korrektur mit dem Protokoll im Passiv-on-Modus
$IPTABLES -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
  
# Wir entsperren Server-Dienste für andere, die von außen kommen
 
Nr. $IPTABLES -A INPUT -p tcp -s 0/0 --dport 443 -j ACCEPT 
Nr. $IPTABLES -A INPUT -p udp -s 0/0 --dport 443 -j ACCEPT 
 
$IPTABLES -A INPUT -p tcp -s 0/0 --sport 443 -j ACCEPT 
$IPTABLES -A INPUT -p udp -s 0/0 --sport 443 -j ACCEPT 
 
# Wir entsperren Dienstleistungen auf dem Verschluss für eine bestimmte IP-Adresse - KOMP siehe oben Definitionen TCP_IN, UDP_IN
 
$IPTABLES -A INPUT -p tcp -s $KOMP -m multiport --dport $TCP_IN -j ACCEPT
    $IPTABLES -A INPUT -p udp -s $KOMP -m multiport --dport $UDP_IN -j ACCEPT
 
Nr. $IPTABLES -A INPUT -p udp -s $KOMP --dport 137:139 -j ACCEPT
 
# Wir erlauben alles von einer bestimmten IP-Adresse – Verwaltung von dieser J-Adresse
 
$IPTABLES -A INPUT -s $KOMP -j ACCEPT # deshalb sind die oben genannten Regeln aus
 
# Zugang zu DNS
 
$IPTABLES -A INPUT -p tcp -s 0/0 --sport 53 -d $SERWER -j ACCEPT
$IPTABLES -A INPUT -p udp -s 0/0 --sport 53 -d $SERWER -j ACCEPT
 
$IPTABLES -A OUTPUT -p tcp -s $SERWER -d 0/0 --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p udp -s $SERWER -d 0/0 --dport 53 -j ACCEPT
  
# Wir schließen Pakete mit einer Festadresse, die auf unsere
 
$IPTABLES -A INPUT -i $WEW_DEV -s $SERWER -j DROP # Land Angriff
 
# Pakete mit nicht routinemäßigen, multicast und gebuchten Adressadressen
 
$IPTABLES -A INPUT -i $WEW_DEV -s 10.0.0.0/8 -j DROP #class A
$IPTABLES -A INPUT -i $WEW_DEV -s 172.16.0.0/12 -j DROP #class B
"$IPTABLES -A INPUT -i $WEW_DEV -s 192.168.0.0/16 -j DROP #class C - das ist es, was wir verwenden
$IPTABLES -A INPUT -i $WEW_DEV -s 224.0.0.0/4 -j DROP #multicast
$IPTABLES -A INPUT -i $WEW_DEV -d 224.0.0.0/4 -j DROP #multicast
$IPTABLES -A INPUT -i $WEW_DEV -s 240.0.0.0/5 -j DROP #reserved
$IPTABLES -A INPUT -i $WEW_DEV -s 127.0.0.0/5 -j DROP #lo
 

  • Wir speichern dieses Skript mit 700 Zugriffsrechten und starten es auf dem Server.
  • Wenn Sie dann das Firewall-Skript ausführen, aktivieren wir die Protokollspeicherung. Dazu geben wir am Ende der Datei /etc/syslog.conf den folgenden Code ein:
*.* /dev/tty12 
*.* /var/log/firewall
  • Wir starten den syslogd Dämon neu:
 Killall -HUP syslogd
  • Von diesem Zeitpunkt an haben wir alle Systemprotokolle in der Datei /var/log/firwall (auch auf Konsole 12 – alt+12).

4. Änderungen an der Firewallkonfiguration können nur vom Primäradministrator des Netzwerks vorgenommen werden. Dies geschieht durch einen Antrag von 43 Downloads bei Netzwerkadministratoren, der vom Chief IT-Manager genehmigt werden muss.

5. Änderungen an der Firewallkonfiguration können nur von den Lenkrädern der einzelnen IT-Abteilungen angefordert werden.

6. Wenn die Firewall gesperrt wird, sind die Netzwerkadministratoren dafür verantwortlich, sie zurückzusetzen oder im Extremfall auf den Backup-Server zu überstürzen.

7. Sie dürfen die Firewallkonfiguration nicht auf Anfrage einer nicht überprüften Person ändern.

8. Alle Betriebssystemupdates und verwendeten Anwendungen sollten installiert werden, sobald sie angezeigt werden. Beeinträchtigt diese Anleitung die Funktion kritischer Produktionssysteme, so sollten Aktualisierungen vorgenommen werden, sobald dies möglich ist.

9. September Die Validierung der Einstellungen sollte vierteljährlich von den Netzwerkadministratoren durchgeführt werden.

  • Er kann es mit dem nmap-Tool aus dem externen Netzwerk mit folgendem Befehl ausführen:
nmap -p 1-65535 -T4 -A -v firma.com -Pn
  • Das Ergebnis sollte wie folgt ausfallen:
Nmap-Scanbericht für agd.com (x.x.x.x)
Host is up (0.00047s latency).
Nicht gezeigt: 65533 gefilterte Ports
PORT STATE SERVICE VERSION
53/tcp open tcpwrapped
443/tcp geöffnet tcpwrapped
  • Im Falle einer Nichteinhaltung ist dies dem Hauptverantwortlichen des Netzes mitzuteilen, der für die Verwundbarkeit zuständig ist.

DNS

1. Die Sicherheit der DNS-Konfiguration beruht auf drei Grundprinzipien:

  • Der Server sollte jedem NUR mit einer domäne entsprechen, die er unterstützt.
  • Jede Frage nur mit einem von Ihnen betriebenen Netzwerk beantworten;
  • Ermöglicht die Übertragung Ihrer Domänen nur auf Ihre untergeordneten Server;

2. Änderungen an der dns-Konfiguration können nur vom Hauptadministrator des Netzwerks vorgenommen werden. Dies geschieht durch einen Antrag von 45 Downloads bei Netzwerkadministratoren, der vom Chief IT-Manager genehmigt werden muss.

3. Änderungen der DNS-Konfiguration können nur von den Führungskräften der einzelnen IT-Abteilungen beantragt werden.

4. Sie dürfen die Firewallkonfiguration nicht auf Anfrage einer nicht überprüften Person ändern.

5. Wenn dns unterbrochen wird, sind die Netzwerkadministratoren dafür verantwortlich, es zurückzusetzen oder im Extremfall auf den Backup-Server zu überstürzen.

6. Alle Betriebssystemupdates und verwendeten Anwendungen sollten installiert werden, sobald sie angezeigt werden. Beeinträchtigt diese Anleitung die Funktion kritischer Produktionssysteme, so sollten Aktualisierungen vorgenommen werden, sobald dies möglich ist.

7. Die folgende Konfiguration richtet sich an Netzwerkadministratoren und darf nicht an unbefugte Personen weitergegeben werden:

Bei agd.com basiert DNS auf binD dns und sieht wie folgt aus:

  • Definieren Sie vor dem globalen Abschnitt options in der Datei named.conf.options, wer den Server nach einer beliebigen Domäne abfragen kann:
Bevor Sie den globalen Abschnitt options in der Datei named.conf.options verwenden, müssen Sie definieren, wer den Server nach einer beliebigen Domäne abfragen kann.
  • Anschließend müssen Sie die Einstellungen festlegen, wer nach unserer Domain fragen kann:
Dann müssen Sie die Einstellungen einrichten, wer nach unserer Domain fragen kann
  • Besondere Aufmerksamkeit sollte der Allow Transfer-Richtlinie gewidmet werden, die alle Einträge in unserer Domain offenlegen kann. Wenn wir keine Backup-Server haben, blockieren wir diese Option wie im obigen Eintrag.
  • Der nächste Schritt besteht darin, die Korrektheit der Konfiguration zu prüfen.
    • Zu diesem Zweck können wir das Dig-Tool verwenden.
    • Wir überprüfen die Sperre, um unseren Server nach anderen Adressen zu befragen, indem wir dies aus einem anderen Netzwerk tun:
dig @ip_naszego_serwera jakieś_inne_ip 
  • Das Ergebnis der Maßnahme sollte wie folgt sein:
<>> DiG 9.3.2 <> > agd.com wp.pl
		 ; (1 Server gefunden)
		 ;; globale Optionen: printcmd
		 ;; Got answer:
		 ;; ->>HEADER<- opcode: QUERY, status: REFUSED, id: 65151
		 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
  • Wir prüfen die Möglichkeit, eine Domäne über einen externen Server zu übertragen:
dig agd.com AXFR
  • Das Ergebnis der Maßnahme sollte wie folgt sein:
<>> DiG 9.3.2 <> > agd.com AXFR
;; globale Optionen: printcmd
; Transfer gescheitert.
  • Im Falle einer Nichteinhaltung ist dies dem Hauptverantwortlichen des Netzes mitzuteilen, der für die Verwundbarkeit zuständig ist.

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Speichere in deinen Favoriten diesen permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert