Cyberbezpieczeństwo
12 najczęstszych błędów konfiguracji UTM. Jak ich unikać?
Firewall to podstawowa bariera ochronna przed atakami sieciowymi i jedno z urządzeń, na których dofinansowanie można uzyskać w ramach programu Cyberbezpieczny Samorząd. „Nawet najbardziej zaawansowane urządzenie jest warte tyle, ile praca włożona w jego prawidłową konfigurację i utrzymanie” - komentuje inżynier Stormshield, europejskiego wytwórcy rozwiązań bezpieczeństwa IT. Ekspert opisuje najczęściej popełniane na tym etapie błędy i podpowiada, jak ich uniknąć, by nie narażać organizacji na problemy.
Materiał sponsorowany
Mądry specjalista przed szkodą
Rozwiązania klasy UTM (Unified Threat Management) to zaawansowane narzędzia zabezpieczające brzeg sieci. Urządzenia o tyle ważne, że pozostają pierwszą i najważniejszą barierą ochronną przed zagrożeniami. Aby sprostać specyficznym potrzebom administracji publicznej (obejmującym ochronę danych wrażliwych, zapobieganie zagrożeniom, potrzebę zgodności z regulacjami, a także wysoką dostępność i ciągłość działania), sprzęt tej kategorii oferuje szeroką gamę funkcji. Zapewnia on kompleksową ochronę przed zagrożeniami różnego typu, pochodzącymi zarówno z zewnątrz, jak i wewnątrz sieci. Znaczenie UTM podkreśla fakt, że w oparciu o to narzędzie rozpoczyna się budowę systemu bezpieczeństwa. By móc skorzystać z pełni ich możliwości należy odpowiednio zaplanować ochronę i prawidłowo je skonfigurować, rozpoczynając od interfejsów i routingu, a później przechodząc do konfiguracji polityk bezpieczeństwa.
„Niestety, w oparciu o własne doświadczenia mogę powiedzieć, że błędy na tym etapie są dość powszechne. Urządzenia klasy UTM są podstawowym elementem systemu bezpieczeństwa i choć z myślą o potrzebach użytkownika oferują one szeroką funkcjonalność, to trzeba pamiętać, że nawet najbardziej zaawansowany model jest wart tyle, ile praca włożona w jego konfigurację i utrzymanie. By móc spać spokojnie należy unikać podstawowych błędów, popełnianych często a jednocześnie dość prostych do wyeliminowania, co z pewnością będzie opłacalne” – mówi Aleksander Kostuch, inżynier Stormshield.
„Choć konfiguracja wymaga nakładu pracy, to taka »inwestycja<< owocuje zrozumieniem tego, co dzieje się w naszej sieci. Bezpieczeństwo to proces ciągły, wymagający dostosowania do zmieniających się zagrożeń i potrzeb organizacji. To ważne, by w sytuacji, gdy >>mleko się rozleje«, nie okazało się, że kluczowy dla sprawy błąd został popełniony przez specjalistę odpowiedzialnego za konfigurację” – dodaje ekspert.
12 najczęstszych błędów konfiguracji rozwiązań UTM. Jak ich unikać?
1. Brak aktualizacji oprogramowania
Błąd: Zagrożenia w cyberprzestrzeni nieustannie się zmieniają. Nieaktualizowane oprogramowanie firewalla może zawierać luki bezpieczeństwa, które mogą zostać wykorzystane przez atakujących.
Jak unikać: Bieżąca aktualizacja, to podstawa bezpieczeństwa. Ustaw automatyczne aktualizacje wszystkich dostępnych sygnatur. Zadbaj o stałe, wykupione wsparcie producenta. By zoptymalizować koszty, na etapie wyboru urządzenia można porównać całkowity koszt posiadania (TCO), obejmujący również wsparcie techniczne.
Regularnie sprawdzaj dostępność aktualizacji oprogramowania układowego – firmware. Zapoznaj się z opisanymi nowościami, co może Cię zainspirować do wdrożenia nowych funkcji, które się pojawiły, np. 2FA czy ZTNA. Jednak, przed zainstalowaniem zapoznaj się z dokumentacją „Release Notes”. Może okazać się, że niektóre z funkcji, które używasz zmienią się.
Przykład: Niewystarczające wobec bieżących realiów protokoły szyfrowania, w nowszej wersji oprogramowania mają zostać usunięte, np. 3DES i MD5. A Ty używasz ich w połączeniu tunelu szyfrowego z inną instytucją. W tej hipotetycznej sytuacji przed aktualizacją oprogramowania należy, wedle zaleceń, dostosować konfigurację tj. zmienić protokoły szyfrowania na skuteczniejsze, np. AES i SHA.
2. Niewłaściwe zarządzanie politykami dostępu wynikające z braku wiedzy produktowej lub doświadczenia
Błąd: Złe skonfigurowane reguły dostępu. Nadmiernie liberalne mogą prowadzić do nieautoryzowanego dostępu do sieci. Z kolei zbytnio restrykcyjne lub niewystarczające filtrowanie treści może prowadzić do problemów z produktywnością lub bezpieczeństwem. Brak szkoleń na temat urządzenia i zdanie się podczas konfiguracji jedynie na intuicję.
Jak unikać: Twórz polityki dostępu zgodnie z zasadą najmniejszych uprawnień (least privilege). Regularnie przeglądaj i aktualizuj reguły, aby były zgodne z aktualnymi potrzebami organizacji. Po załadowaniu nowej wersji firmware sprawdzaj jego nowe możliwości i korzystaj z nich, tam, gdzie będzie to zasadne. Może okazać się, że nowa funkcjonalność zwiększy bezpieczeństwo, ponieważ firewall pewne funkcje będzie mógł robić automatycznie, lub zainspiruje ona do zwiększenia bezpieczeństwa w sferach, których wcześniej nie były uwzględniane.
Geolokalizacja, reputacja IP, rozpoznawanie usług Webowych, blokowanie hostów pobranych z aktualnej bazy CERT prowadzonej przez NASK, wykrywanie podatności, QoS, Policy Base Routing, SDWAN to tylko niektóre z opcji konfiguracyjnych, z których można skorzystać podczas budowania reguł bezpieczeństwa.
Konfiguruj filtrowanie treści zgodnie z polityką instytucji. Regularnie aktualizuj i przeglądaj listy filtrów, aby były zgodne z aktualnymi potrzebami. Opisuj reguły bezpieczeństwa, bo choć dzisiaj wiesz co zrobiłeś, to jutro już niekoniecznie będziesz pamiętał po co dana reguła powstała. To zadanie jest nudnym złodziejem czasu, a dla inżyniera najciekawsze jest konfigurowanie, a nie opisywanie. Tutaj firewall nierzadko przychodzi z pomocą, ponieważ sam tworzy informację, kto, kiedy i z jakiego komputera tworzył daną regułę czy obiekt użyty w regule. Jednak, firewall nie zna intencji osoby instalującej i nie ma wiedzy o sieci. Dlatego warto te kluczowe informacje opisywać w systemie, bo za jakiś czas okaże się to zbawienne.
Dodatkowa porada: Polecam korzystanie ze szkoleń w autoryzowanym centrum szkoleniowym producenta. Da ono wiedzę, jak szybko i we właściwy sposób, wykorzystać pełny potencjał urządzenia.
3. Brak kopii zapasowych konfiguracji
Błąd: Utrata konfiguracji firewalla bez kopii zapasowej prowadząca do długotrwałych przestojów i problemów z zabezpieczeniami. Równocześnie, trzeba pamiętać, że zmiany w konfiguracji polityki bezpieczeństwa mogą być błędne, co powoduje, że odcinamy sobie dostęp do zasobów, do których mieliśmy go wcześniej. W takiej sytuacji naprawdę trudnym zadaniem jest ocena, na jakim etapie został popełniony błąd.
Jak unikać: Regularnie twórz i przechowuj bezpieczne kopie zapasowe konfiguracji firewalla. Testuj procedury przywracania konfiguracji, aby upewnić się, że są skuteczne. Skorzystaj z dobrodziejstw slotów konfiguracyjnych w firewall, gdzie bieżącą konfigurację możesz skopiować do nieużywanego slotu. W kryzysowej sytuacji możesz tę konfigurację aktywować.
Niektóre z firewalli potrafią wysyłać automatycznie kopie do chmury. To dobre rozwiązanie. Jeżeli urządzenie ulegnie awarii, a nie mamy zapewnionego systemu wysokiej dostępności z użyciem firewall w klastrze, to po uzyskaniu nowego urządzenia może pojawić się problem z załadowaniem aktualnej konfiguracji. Backup do chmury daje możliwość pobrania najnowszej wersji jej automatycznej kopii.
4. Zbyt skomplikowana konfiguracja
Błąd: Zbyt skomplikowane reguły i polityki mogą prowadzić do błędów konfiguracyjnych i trudności w zarządzaniu.
Jak unikać: Utrzymuj konfigurację prostą i przejrzystą. Dokumentuj wszystkie zmiany i przeprowadzaj regularne audyty konfiguracji. Sprawdzaj statystyki wykorzystywanych reguł. Może okazać się, że jakaś reguła nie była wykorzystywana i nie jest już potrzebna. Skasuj ją. Prostota jest lepsza i łatwiej nad nią zapanować. Ważne, aby konfiguracja była czytelna, a firewall komunikował się w Twoim języku ojczystym.
5. Brak segmentacji sieci
Błąd: Brak segmentacji może prowadzić do łatwego rozprzestrzeniania się zagrożeń w całej sieci. To firewall pozostaje centralnym punktem oparcia, które kontroluje sytuację, lecz jedynie tą, która przez niego przechodzi. Firewall potrafi blokować transmisję, jednak brak segmentów, zwiększa szanse na skuteczny atak, ponieważ Twoje zasoby nie były izolowane i firewall nie miał czego zablokować.
Jak unikać: Wdrażaj segmentację sieci, aby oddzielić różne strefy bezpieczeństwa (np. sieć biurowa, produkcyjna, gościnna, drukarki, serwery). Używaj VLAN-ów i twórz strefy DMZ (demilitarized zone) do izolacji krytycznych zasobów. Segmentację można tworzyć w oparciu o routing, jak i bridge. Nawet, gdy nie mamy oddzielnych adresacji sieci IP w segmentach, to podłączenie zasobów do różnych interfejsów wprowadza bezpieczeństwo pod względem pilnowania ruchu sieciowego regułami bezpieczeństwa oraz również pod względem zagrożeń ataków IPS jak i Antywirusa. Segmentacja jest bardzo praktyczna i zdecydowanie podnosi poziom bezpieczeństwa.
6. Brak monitoringu i logowania zdarzeń
Błąd: Niezbieranie i nieanalizowanie logów mogą skutkować niezauważonymi incydentami bezpieczeństwa.
Jak unikać: Włącz logowanie zdarzeń i ustaw regularne przeglądy logów. Korzystaj z systemów SIEM (Security Information and Event Management) do analizy i korelacji zdarzeń. Włącz automatyczne powiadamianie na skrzynkę e-mail o zagrożeniach, aby na bieżąco wiedzieć co się dzieje w Twojej sieci.
7. Niewłaściwe zarządzanie kontami administracyjnymi
Błąd: Używanie domyślnych kont administracyjnych lub niewłaściwe zarządzanie uprawnieniami użytkowników może stanowić poważne zagrożenie.
Jak unikać: Zmieniaj domyślne hasła, twórz unikalne konta administracyjne dla każdego użytkownika i przyznawaj uprawnienia zgodnie z zasadą „least privilege”. Korzystanie z różnych kont pozwala na skuteczne audytować zmiany wprowadzane w bezpieczeństwie i uprawnień.
8. Rozwiązanie SSO dla firewalli integruje polityki bezpieczeństwa ze względu na użytkowników z bazy danych Active Directory, co umożliwia wykorzystanie istniejącej infrastruktury do uwierzytelniania i rozpoznania użytkowników.
Błąd: Brak centralnego punktu zarządzania użytkownikami i logi tylko w oparciu o adresy IP/MAC mogą skutecznie utrudniać rozpoznawanie aktywności użytkowników.
Jak unikać: Włączenie SSO na firewallu przynosi znaczące korzyści zarówno dla administratorów IT, jak i użytkowników końcowych. Poprawia wygodę w kreowaniu reguł użytkowania, zwiększa bezpieczeństwo, usprawnia operacje administracyjne oraz ułatwia śledzenie i zgodność z regulacjami.
Dzięki centralizacji zarządzania dostępem i poświadczeniami SSO staje się kluczowym elementem efektywnego zarządzania bezpieczeństwem sieci w administracji samorządowej. Od tego momentu użytkownicy są rozpoznawalni dla administratora i kierownictwa bez względu na ich adresy IP, czy nazwy komputerów, ale po nazwie użytkownika.
Monitorowanie i logowanie aktywności użytkowników w różnych systemach ułatwia prowadzenie audytów bezpieczeństwa. Zarządzanie poświadczeniami ułatwia pojedyncze logowanie, przy czym reguły bezpieczeństwa mogą być tworzone indywidualnie dla użytkownika lub grupy użytkowników.
9. Niewłaściwe konfiguracje VPN
Błąd: Błędy w konfiguracji VPN mogą prowadzić do nieautoryzowanego dostępu do sieci wewnętrznej.
Jak unikać: Stosuj silne metody uwierzytelniania oraz staraj się używać certyfikatów cyfrowych zamiast haseł. Regularnie monitoruj połączenia. Odnawiaj certyfikaty na czas.
10. Ignorowanie alertów bezpieczeństwa
Błąd: Ignorowanie alertów generowanych przez firewall może prowadzić do przegapienia istotnych incydentów bezpieczeństwa.
Jak unikać: Konfiguruj odpowiednie powiadomienia i regularnie przeglądaj alerty. Warto włożyć trochę pracy w odrzucanie komunikatów typu „false positives”. Dzięki temu otrzymamy mniej niemającego znaczenia spamu, a więcej komunikatów istotnych z punktu widzenia bezpieczeństwa. Ustal procedury reagowania na incydenty i przeprowadzaj regularne ćwiczenia.
11. Problemy związane z wydajnością firewall
Błąd: Zwiększające się z czasem natężenie ruchu sieciowego może przekraczać możliwości firewalla. Nadmierne obciążenie procesora może wynikać z intensywnych procesów inspekcji ruchu, takich jak filtrowanie treści, skanowanie antywirusowe i inspekcja głębokiego pakietu (DPI) dla coraz większej liczby pakietów. Zmieniające się wymagania nowego firmware, które wprowadza coraz więcej zaawansowanych form zabezpieczenia również może powodować zwiększenie utylizacji zasobów firewall jak procesor czy pamięć RAM.
Jak unikać: Od małych urządzeń dla lokalnych urzędów po rozwiązania dla dużych, złożonych sieci - producenci firewalli oferują modele dostosowane do różnych wymagań. Rozwiązania firewall są skalowalne, co oznacza, że mogą rosnąć wraz z potrzebami chronionej organizacji, na przykład urzędu gminy lub jednostek podległych.
Planując swoje bezpieczeństwo warto postawić na urządzenie, które umożliwia skalowanie i zwiększenie wydajności za pomocą licencji. W przypadku wzrostu obciążenia sieci można łatwo przejść na wyższy model w serii, który oferuje lepszą wydajność i większą przepustowość, bez konieczności ponoszenia wydatków na nowy sprzęt. Oprogramowanie oraz pierwotna konfiguracja pozostają, co jak pokazuje doświadczenie, ma duże znaczenie.
12. Brak dokumentacji sieci
Błąd: Liczba i intensywność zmian oraz konieczność rozwiązywania bieżących problemów nie sprzyjają tworzeniu dokumentacji sieci. Przecież, dobrze znamy zarządzaną sieć, więc po co tracić cenny czas. Inną niekorzystną sytuacją jest brak uaktualniania tego ważnego dokumentu.
Jak unikać: Bieżąca dokumentacja sieci pozwala na łatwe zrozumienie struktury i połączeń w sieci. Bez niej staje się to trudniejsze, zwłaszcza w złożonych środowiskach. Identyfikacja problemów w sieci może zająć więcej czasu, co prowadzi do dłuższych przestojów. Brak mapy sieci może utrudnić szybkie zlokalizowanie urządzeń, które wymagają interwencji. Brak zapisów konfiguracyjnych może prowadzić do niespójności i błędów podczas wprowadzania zmian.
Bez dokumentacji istnieje możliwość przypadkowego tworzenia duplikatów adresów IP, VLAN-ów i innych zasobów sieciowych. Planowanie rozbudowy sieci bez pełnej wiedzy o jej obecnej strukturze i wykorzystaniu zasobów jest trudne i ryzykowne.
Brak dokumentacji utrudnia ocenę aktualnych potrzeb i prognozowanie przyszłych wymagań. Trudniej jest identyfikować urządzenia w sieci i wykrywać nieautoryzowane modyfikacje. Dlatego wprowadź standardy i procedury dokumentacyjne, które obejmują wszystkie aspekty sieci, takie jak topologia, konfiguracje urządzeń, polityki bezpieczeństwa i plany awaryjne. Upewnij się, że dokumentacja jest aktualizowana po każdej zmianie w sieci.
Do rysowania wykorzystuj specjalistyczne narzędzia, ponieważ jeden rysunek mówi więcej niż tysiąc słów, a ponadto można go łatwiej modyfikować. Trud włożony w wykonanie dokumentacji ułatwi przeprowadzanie regularnych audytów, skróci czasu rozwiązywania problemów, zmniejszy ryzyka błędów konfiguracyjnych, ułatwi w planowaniu rozbudowy oraz poprawi bezpieczeństwo.
Niech to będzie integralna część procedur zarządzania zmianami, która efektywnie pomoże pracy w zespołu IT.