5 قدم برای بهینه سازی پیکربندی فایروال شما

95% از نفوذهایی که در فایروال ها رخ می دهد به خاطر پیکر بندی های نادرست می باشد. در اینجا نحوه رسیدگی به مشکلات اصلی آورده شده است

optimize firewall

فایروال ها یک قسمت اصلی از امنیت شبکه است، گارتر می گوید: 95% نقض فایروال به خاطر پیکربندی های نادرست می باشد. من در شغل خود به اشتباهات بسیاری در پیکر بندی فایروال ها برخورده ام، که بیشتر آنها هم به آسانی قابل اجتناب هستند. در اینجا پنج مرحله ساده که می تواند به شما در بهینه سازی تنظیمات کمک کند آورده شده است:

سیاست های پیکر بندی خاص با حداقل حق ویژه را تنظیم کنید. فایروال ها اغلب با سیاست های فیلترینگ گسترده ای نصب می شوند،  به ترافیک از هر منبع به هر مقصد اجازه می دهند. علت این است تیم Network Operations دقیقا نمی داند چه چیزی نیاز است بنابراین با این قانون گسترده شروع می کند و سپس به عقب کار می کند. با این حال، واقعیت این است که ، به علت فشار زمان یا به سادگی به عنوان اولویت مربوط نیست، آنها هرگز دور تعریف سیاست های فایروال نیستند، شبکه شما را در حالت همیشه در معرض خطر رها می کنند.

شما باید اصل حداقل حق ویژه را دنبال کنید که دادن حداقل سطح حق ویژه ای است که کاربر یا سرویس برای عملکرد نرمال نیاز دارد است، بموجب آن صدمات ناشی از نفوذ محدود می شود. شما باید همچنین بطور درست و ایده آل مسیر دهی تمام جریان ها که برنامه های کاربردی شما واقعا نیاز دارند قبل از اینکه اجازه دسترسی را بدهید سندیت بدهید. همچنین ایده خوبی است که به طور منظم سیاست های فایروال خود را بازبینی کنید برای اینکه روند استفاده از برنامه های کاربردی را چک کنید و برنامه جدید را در شبکه شناسایی کنید و اینکه چه اتصالی واقعا نیاز دارند.

تنها سرویس های مورد نیاز را اجرا کنید. اغلب شرکتهایی را می یابیم که سرویس فایروال را اجرا می کنند که به آن نیازی ندارند یا دیگر استفاده نمی شود، مانند مسیریابی پویا، که آن هم به طور معمول نباید به عنوان بهترین روش و سرورهای “rogue” DHCP در توزیع شبکه ISPها در امنیت دستگاه ها فعال باشد ، که به طور بلقوه می تواند منجر به دسترسی پذیری مسائل به عنوان نتیجه ناسازگاری IP  شود. همچنین به طور شگفت آوری تعدادی از دستگاه ها را می بینیم که استفاده از پروتکل های رمزگذاری مانند Telnet را مدیریت می کنند ، با وجود اینکه این پروتکل بیش از 30 سال قدمت دارد.

راه حل برای محکم کردن دستگاه ها و اطمینان حاصل کردن که پیکربندی ها سازگار هستند قبل از اینکه دستگاه ها به سوی محیطهای تولید توسعه داده شوند. این چیزی است که بسیاری از سازمان ها با آن کشمش دارند. بوسیله پیکربندی دستگاه های شما بر اساس عملکردی که واقعا می خواهید آنها را به انجام برسانند . اصل حداقل دسترسی را دنبال کنید ، قبل از استقرار، شما امنیت را بهبود خواهید داد و احتمال ترک تصادفی اجرای سرویس مخاطره آمیز روی فایروال خود کاهش می دهید.

استاندارد سازی مکانیسم احراز هویت. در طول کار، اغلب سازمانهایی پیدا کردم که از روترهای استفاده می کردند که استانداردهای شرکت را برای احراز هویت دنبال نمی کرد. یک مثال در این مورد بانک بزرگی بود که همه دستگاه ها در مرکز داده اولیه بوسیله مکانیسم احراز هویت مرکزی کنترل می شد، اما از مکانیسم مشابه برای شعبه راه دور استفاده نمی شد. با عدم اعمال استانداردهای احراز هویت شرکت های بزرگ،کارکنان در شعبه های راه دور می توانند به حساب های کاربری محلی با رمز های عبور ضعیف دسترسی پیدا کنند .

این سناریو امنیت را کاهش می دهد و فرصت های بیشتری برای حملات بوجود می آورد، برای اینکه این برای آنها آسانتر است تا به شبکه شرکتهای بزرگ از طریق شعبه های از راه دور آنها دسترسی یابند.

بنابراین شرکت ها باید اطمینان حاصل کنند که هر شعبه از راه دور در حال دنبال کردن مکانیسم یکسان  احراز هویت مرکزی برای بقیه شرکت است .

از کنترل های امنیتی درست برای تست داده ها استفاده کنید. سازمان ها تمایل به داشتن نظارت خوب دارند که حاکی از این است که سیستم های تست نباید به سیستم های تولید و جمع آوری داده های تولید متصل باشد ، اما اغلب این به اجرا گذاشته نشده است برای اینکه مردمی که در تست کردن کار میکنند دیدن تولید داده را دقیق ترین راه تست کردن می دانند. با این حال، وقتی که شما به سیستم های تست اجازه می دهید تا داده های تولید را جمع کنند، شما احتمالا داده ها را به محیطی در سطح امنیت پایین می آورید. این داده های می توانند بسیار حساس باشند و همچنین می تواند موضوع انطباق تنظیمی باشد. بنابراین اگر شما استفاده از داده تولید را در محیط تست انجام دادید، مطمئن شوید که کنترل های امنیتی صحیح مورد نیاز به وسیله طبقه بندی داده انجام داده اید.

همیشه خروجی امنیتی را بصورت گزارش ثبت کنید. در حالیکه گزارش گیری به درستی می تواند گران باشد، هزینه های نقض شدن یا عدم توانایی در ردیابی حمله ها هزینه بالاتری خواهد داشت. ضعف در ذخیره گزارش خروجی از دستگاه های امنیتی آنها، و انجام ندادن این کار به اندازه کافی دانه به دانه یکی از بدترین چیزها شما می توانید انجام دهید در دوره های امنیت شبکه؛ نه تنها به شما هشدار نمی دهد وقتی که زیر حمله هستید، به جز آن شما هیچ یا خیلی کم قابلیت ردیابی خواهید داشت هنگامیکه در حال اجرای کردن تحقیقات تقض ارسال هستید. با اطمینان داشتن که همه خروجی ها از دستگاههای امنیتی به درستی گزارش شده اند سازمان ها نه تنها زمان و پول بیشتری را ذخیره می کنند همچنین امنیت را بالا می برد، بوسیله انجام نظارت درست این در شبکه هایشان اتفاق می افتد.

شرکتها باید به طور مداوم به حالت امنیت فایروال نظارت کنند ، اما کسب و کارها با دنبال کردن این مراحل ساده می توانند برخی پیکربندی های نادرست اصلی اجتناب کنند و به طور کلی وضعیت امنیتی خود را بهبود بدهند.

www.networkworld.com/article/2980334/network-security/five-steps-to-optimize-your-firewall-configuration.html

 

You may also like...