Bent u belast met het onderhouden van de netwerkfirewall van uw organisatie? Dit kan een ontmoedigende taak zijn, vooral als het netwerk dat wordt beschermd door de firewall een diverse gemeenschap van clients, servers en andere netwerkapparaten heeft met unieke communicatievereisten.
Firewalls bieden een belangrijke verdedigingslaag voor uw netwerk en vormen een integraal onderdeel van uw algemene, diepgaande netwerkbeveiligingsstrategie. Als het niet goed wordt beheerd en geïmplementeerd, kan een netwerkfirewall gapende gaten in uw beveiliging achterlaten, waardoor hackers en criminelen in en uit uw netwerk kunnen komen.
Ken uw netwerk
Dus, waar begin je zelfs aan je poging om dit beest te temmen?
Als je er gewoon in duikt en begint te rommelen met toegangscontrolelijsten (ACL), zou je onbedoeld een of andere bedrijfskritieke server kunnen isoleren die je baas kwaad kan maken en je kan laten ontslaan.
Het netwerk van iedereen is anders. Er is geen panacee of remedie voor het maken van een hacker-proof netwerk firewall-configuratie, maar er zijn enkele aanbevolen praktische tips voor het beheren van de firewall van uw netwerk. Omdat elke organisatie uniek is, is de volgende richtlijn voor elke situatie misschien niet de "beste", maar het biedt u tenminste een startpunt om u te helpen uw firewall onder controle te krijgen zodat u niet verbrandt.
Vorm een controlepaneel voor firewallwisseling
Het vormen van een controlepaneel voor firewallwijzigingen bestaande uit vertegenwoordigers van gebruikers, systeembeheerders, managers en beveiligingspersoneel kan de dialoog tussen de verschillende groepen helpen vergemakkelijken en kan helpen conflicten te voorkomen, vooral als voorgestelde wijzigingen worden besproken en gecoördineerd met iedereen die mogelijk wordt beïnvloed door ze voorafgaand aan de verandering.
Elke gestemde stemming zorgt ook voor verantwoording wanneer er problemen met betrekking tot een specifieke firewallverandering optreden.
Gebruikers en beheerders waarschuwen voorafgaand aan wijzigingen in de firewallregels
Gebruikers, beheerders en servercommunicatie kunnen worden beïnvloed door wijzigingen in uw firewall. Zelfs schijnbaar kleine wijzigingen in firewallregels en ACL's kunnen grote gevolgen hebben voor de connectiviteit. Om deze reden is het het beste om gebruikers te wijzen op voorgestelde wijzigingen in firewallregels. Systeembeheerders moeten worden geïnformeerd welke wijzigingen worden voorgesteld en wanneer ze van kracht worden.
Als gebruikers of beheerders problemen ondervinden met voorgestelde wijzigingen in de firewallregels, moet voldoende tijd worden gegeven (indien mogelijk) zodat zij hun bezorgdheid kunnen uiten voordat wijzigingen worden aangebracht, tenzij zich een noodsituatie voordoet die onmiddellijke wijzigingen vereist.
Documenteer alle regels en gebruik opmerkingen om het doel van speciale regels uit te leggen
Het kan moeilijk zijn om het doel van een firewallregel te achterhalen, vooral wanneer de persoon die de regel oorspronkelijk heeft geschreven de organisatie heeft verlaten en u probeert uit te zoeken wie mogelijk wordt beïnvloed door de verwijdering van de regel.
Alle regels moeten goed gedocumenteerd zijn zodat andere beheerders elke regel kunnen begrijpen en bepalen of deze nodig is of moet worden verwijderd. Opmerkingen in regels moeten uitleggen:
- Het doel van de regel.
- De service waarvoor de regel is bedoeld.
- De gebruikers / servers / apparaten waarop de regel van toepassing is (voor wie is dit?).
- De datum waarop de regel is toegevoegd en het tijdskader dat de regel nodig is (of is dit een tijdelijke regel?).
- De naam van de firewallbeheerder die de regel heeft toegevoegd.
Vermijd het gebruik van "Any" in de "Allow" -regels van de firewall
In het artikel van Cyberoam met betrekking tot best practices voor firewallregels pleiten ze ervoor het gebruik van "Any" in de firewall-regels "Toestaan" te vermijden vanwege potentiële problemen met verkeer en stroombeheer. Ze wijzen erop dat het gebruik van "Any" onbedoeld het gevolg kan zijn van het toestaan van elk protocol door de firewall.
"Alles weigeren" eerst en vervolgens uitzonderingen toevoegen
De meeste firewalls verwerken hun regels sequentieel vanaf de bovenkant van de lijst met regels tot onderaan. De volgorde van de regels is erg belangrijk. U zult waarschijnlijk de regel "Weigeren Alles" als uw eerste firewallregel willen hebben. Dit is de belangrijkste van de regels en de plaatsing ervan is ook cruciaal. De regel 'Weigeren alles' in positie # 1 plaatsen, zegt in feite: "Houd eerst iedereen en alles buiten en dan bepalen we wie en wat we willen binnenlaten".
U wilt nooit een "Alles toestaan" -regel als uw eerste regel, want dat zou het doel van het hebben van een firewall verslaan, omdat u zojuist iedereen binnengelaten hebt.
Zodra u de regel "Weigeren alles" op zijn plaats hebt in positie # 1, kunt u beginnen met het toevoegen van uw toestemmingsregels eronder om specifiek verkeer in en uit uw netwerk te laten (ervan uitgaande dat uw firewall regels van boven naar beneden verwerkt).
Beoordeel regelmatig regels en verwijder ongebruikte regels op regelmatige basis
Om zowel prestatie- als veiligheidsredenen, wil je "voorjaarsvrij" je firewall periodiek uitsluiten. Hoe gecompliceerder en talrijker uw regels, hoe beter de prestaties worden beïnvloed. Als u regels heeft die zijn opgesteld voor werkstations en servers die niet eens in uw organisatie zijn geïnstalleerd, wilt u deze mogelijk verwijderen om uw regels te helpen verwerken en het totale aantal bedreigingsvectoren te verlagen.
Organiseer firewallregels voor prestaties
De volgorde van uw firewallregels kan een grote invloed hebben op de doorvoer van uw netwerkverkeer. eWEEk heeft een geweldig artikel over de beste werkwijzen voor het organiseren van uw firewallregels voor het maximaliseren van de verkeerssnelheid. Een van hun suggesties is om een deel van de lasten van uw firewall af te trekken door ongewenst verkeer via uw edge-routers te filteren.
