使用防火墙和 DNS 配置的 IT 安全策略

By | |

以下文章试图使用防火墙和 DNS 示例讨论安全政策制定主题。 它可以在您的公司中全部使用,也可以作为进一步发展的模型。

防火墙

1。防火墙旨在通过使用:

 

  • 阻止未经授权的访问尝试(控制和限制对内部网络的访问)。
  • 对多个级别(m.in 的网络流量的检查基于 IP 地址、连接、协议和应用程序的方向和状态以及个人用户进行控制)。
  • 在它们之间创建安全区和模型交通特征。
  • 隐藏网络的内部组织和结构。
  • 监控安全区域以生成适当的警报。
  • 收集有关事件的日志,并提供创建统计数据和报告的机会。

2. 在 agd.com 外部流量仅限于访问其公共网站以外的港口443。 页面的管理部分仅可从端口 8080 上的内部网络获得。 dns 服务可在 53 号端口上提供。 此外,公司内部连接到端口 110 上的邮件服务器、用于数据库连接的端口 3306 以及连接到端口 2020 以 ssh 进行远程服务器管理。

 

(三) 有什么问题吗? 以下程序是针对网络管理员的,不得向未经授权的人员披露:

 

  • 详细的可 iptables 脚本是潜在的,位于 A 楼 8 楼的保险箱中。 如果更改防火墙配置,请使用它。 网络的主要管理员是受权这样做的人。

 

防火墙配置了一个脚本,可以看起来像这样:

#!/本/什
##############################################################################
IP 桌面+可出租性
路径="/乌斯/斯宾"
# 服务器地址
服务器="192.168.1.3"
 
# 管理员计算机地址
管理员="192.168.1.10"

# 我们网络的地址空间和我支持的卡
WEW_NET="192.168.1.0/24"
WEW_DEV="伦理"
 
# 退出地址 - 外部和服务卡
ZEW_NET="0/0"  
ZEW_DEV]"第1"
 
#TCP服务,我们希望通过 
TCP_IN"ssl,dns" # 443, 53
TCP_OUT"ssl,dns" # 443, 53
  
# Udp 服务, 通过
UDP_IN="443"
UDP_OUT="
 
#ICMP服务,我们希望通过
ICMP_IN="
ICMP_OUT="
 
#################################################################################
 
# 我们删除以前的法规
$IPTABLES-F输入
$IPTABLES -F 前进
$IPTABLES -F 输出
 
# 设置默认策略
$IPTABLES-P输入删除
$IPTABLES-P输出接受 
$IPTABLES-P前向下降
 
# 保存日志中的所有流量
$IPTABLES -输入 -j 日志 - m 限制 - 限制 15/hor             
$IPTABLES - 输出 - j 日志 - m 限制 - 限制 15/小时
$IPTABLES - 前进 - j 日志 - m 限制 - 限制 15/小时
 
# 加载以下链接的可能性
模组ip_conntarck
模组可ip_conntarck_ftp
 
# 关闭 ping 的答案
回声"1">/proc/sys/网络/ipv4/icmp_echo_ignore_all
 
# 防止蓝精灵攻击
回声"1">/proc/sys/网络/ipv4/icmp_echo_ignore_broadcasts
 
#我们保护ICMP错误通信
回声"1">/proc/sys/网络/ipv4/icmp_ignore_bogus_error_responses
 
# 启用奇怪的包的日志记录 (欺骗。源路由。重定向)
回声"1">/proc/sys/网络/ipv4/conf/所有/log_martians
 
#我们不接受具有"源路由"选项的IP数据图
回声"0">/proc/sys/网络/ipv4/conf/全部/accept_source_route
 
#我们不接受可以更改路由板的ICMP重述包
回声"0"/proc/sys/网络/ipv4/康夫/所有/accept_redirects
 
#所有卡将不会使用包从播种以外的
#来自路由数组
回声"1"/proc/sys/网络/ipv4/康夫/所有/rp_filter
 
#我们允许包裹在计算机周围运行
#即解锁宠物返回循环
$IPTABLES-输入-i lo-j接受
$IPTABLES -输出 -o lo - j 接受
 
# 我们允许在模式下被动地使用协议
$IPTABLES-输入-m状态-状态已建立,相关-j接受
  
# 解锁服务器上的其他来自外部的服务
 
#$IPTABLES - 输入 - p tcp - s 0/0 - 波特 443 - j 接受
#$IPTABLES - 输入 - p udp - s 0/0 - 波特 443 - j 接受
 
$IPTABLES - 输入 - p tcp - s 0/0 - 运动 443 - j 接受
$IPTABLES - 输入 - p udp - s 0/0 - 运动 443 - j 接受
 
# 为给定的 IP 地址解锁下水道服务 - COMP 参见上述TCP_IN定义,UDP_IN
 
#$IPTABLES - 输入 - p tcp - s $KOMP - m 多端口 - 波特 $TCP _in - j 接受 # 协议 tcp
    #$IPTABLES - 输入 - p udp - s $KOMP - m 多端口 - 波特 $UDP _in - j 接受 # 协议 udp
 
#$IPTABLES - 输入 - p udp - s $KOMP - 波特 137:139 - j 接受 # 协议 udp
 
#我们允许从给定的IP地址的一切-管理从这个地址J
 
$IPTABLES-输入-s$KOMP-j接受#因此上述规则关闭
 
# 访问 DNS
 
$IPTABLES - 输入 - p tcp - s 0 / 0 - 运动 53 - d $SERWER - j 接受
$IPTABLES - 输入 - p udp - s 0 / 0 - 运动 53 - d $SERWER - j 接受
 
#$IPTABLES - 输出 - p tcp - s $SERWER - d 0 / 0 - 波特 53 - j 接受
#$IPTABLES - 输出 - p udp - s $SERWER - d 0 / 0 - 波特 53 - j 接受
  
#我们关闭包,出生地址设置为我们的
 
$IPTABLES - 输入 - i $WEW_DEV - s $SERWER - j 滴 # 陆地攻击
 
# 带有非带车辙、多广播和保留地址的包
 
$IPTABLES - 输入 - i $WEW_DEV - s 10.0.0.0/8 - j 滴#class A
$IPTABLES - A 输入 - i $WEW_DEV - s 172.16.0.0/12 - j 滴#class B
# $IPTABLES - 输入 - i $WEW_DEV - s 192.168.0.0/16 - j 滴#class C - 这就是我们使用的
$IPTABLES - 输入 - i $WEW_DEV - s 224.0.0.0/4 - j 滴#multicast
$IPTABLES - 输入 - i $WEW_DEV - d 224.0.0.0/4 - j 滴#multicast
$IPTABLES - 输入 - i $WEW_DEV - s 240.0.0.0/5 - j 滴#reserved
$IPTABLES - 输入 - i $WEW_DEV - s 127.0.0.0/5 - j 滴#lo
  • 我们保存此脚本与 700 访问权限,并在服务器上运行。
  • 然后,当运行防火墙脚本时,您启用日志存储。 为此,请在/等/syslog.conf 文件的末尾键入以下代码:
*/开发/蒂蒂12
**/瓦尔/日志/防火墙
  • 重新启动赛斯洛格达蒙:
 # 杀人 - 胡普 · 西斯洛格德
  • 从现在开始,在 文件/var/日志/冷墙 (也在控制台12 – alt +12),我们将有所有的系统日志。

4。 防火墙配置的更改只能由主网络管理员进行。 这是通过请求网络管理员的 43 次下载来完成的,这些下载必须由其主管批准。

5。 防火墙配置的更改只能由各个 IT 部门的经理请求。

6。 如果防火墙挂起,网络管理员负责重置防火墙,或在极端情况下激增到备份服务器。

7。 不要根据未经验证的要求更改防火墙配置。

8。 应立即安装操作系统和所使用的应用程序的任何更新。 如果此语句干扰了关键生产系统的运行,应尽可能更新。

9个。 设置的验证应由网络管理员每季度进行一次审核。

  • 它可以使用外部网络命令中的 nmap 工具完成:
nmap-p 1-65535-T4-A-v firma.com-Pn
  • 结果如下:
agd.com 的 Nmap 扫描报告 (x.x.x.x)
主机已打开(0.00047s 延迟)。
未显示: 65533 过滤端口
端口状态服务版本
53/tcp 打开夹子
443/tcp 打开夹子
  • 如果存在违规行为,将此事实报告给负责造成漏洞的主要网络管理员。

dns

1。 DNS 配置安全基于三个基本原则:

  • 服务器应仅匹配任何只有他们支持的域的人员:
  • 仅在您支持的网络上回答每个问题:
  • 允许您仅将域转移到下游服务器;

2. Dns 配置更改只能由根网络管理员进行。 这是通过向网络管理员请求 45 次下载来完成的,这些下载必须获得首席 IT 经理的批准。

(三) 有什么问题吗? 只有各个 IT 部门的经理才能请求更改 DNS 配置。

4。 不要根据未经验证的要求更改防火墙配置。

5。 如果 dns 挂起,网络管理员负责重置网络,或在极端情况下激增到备份服务器。

6。 应立即安装操作系统和所使用的应用程序的任何更新。 如果此语句干扰了关键生产系统的运行,应尽可能更新。

7. 以下配置针对网络管理员,不得向未经授权的人员披露:

在dns agd.com 是基于BIND dns,看起来像这样:

  • 在指定.conf.选项的全球选项部分之前,您必须定义谁可以查询服务器的任何域:
在指定.conf.选项的全球选项部分之前,您必须定义谁可以查询服务器的任何域
  • 接下来,您需要为谁可以请求我们的域配置设置:
然后设置设置谁可以要求我们的域
  • 应特别注意允许转移指令,该指令可以显示我们域内的所有条目。 如果我们没有备份服务器,我们会阻止上述条目中的此选项。
  • 下一步是审核配置的正确性。
    • 为此,我们可以使用挖掘工具。
    • 我们检查从另一个网络对服务器进行其他地址的轮询阻止:
挖@ip_naszego_serwera jakieś_inne_ip
  • 操作的结果应类似于以下内容:
<>>迪格 9.3.2 <> > @agd.com wp.pl A
		 ;(发现1台服务器)
		 ;;全球选项:打印
		 ;;得到答案:
		 ;;->>头<- opcode: QUERY, status: REFUSED, id: 65151
		 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
  • 我们通过外部服务器检查域传输的可能性:
挖掘 agd.com 阿克弗尔
  • 行动的结果应类似于下列情况:
<>> 迪格 9.3.2 <> > agd.com AXFR
;;全球选项:打印
;传输失败。
  • 如果存在违规行为,将此事实报告给负责造成漏洞的主要网络管理员。

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Bookmark the permalink.

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注