ファイアウォールと DNS の構成を使用した IT セキュリティ ポリシー

次の記事では、ファイアウォールと DNS の例を使用して、セキュリティ ポリシー作成のトピックに取り組もうとします。 これは、全体で、またはさらなる開発のためのモデルとして、あなたの会社で使用することができます。

ファイアウォール

1.ファイアウォールは、次の機能を使用して組織のセキュリティを強化するように設計されています。

 

  • 不正アクセスの試行をブロックする(内部ネットワークへのアクセスを制御および制限する)。
  • 複数レベルでのネットワーク トラフィックの検査 (m.in ファイアウォールは、IP アドレス、接続の方向と状態、プロトコルとアプリケーション、個々のユーザーに基づいて制御を行います)。
  • 安全ゾーンを作成し、それらの間の交通特性をモデル化します。
  • ネットワークの内部組織と構造を非表示にします。
  • 安全ゾーンを監視して、適切なアラームを生成します。
  • イベントに関するログを収集し、統計やレポートを作成する機会を提供します。

2. agd.com 外部トラフィックは、ポート 443 の外部のパブリック Web サイトへのアクセスに制限されています。 このページの管理部分は、ポート 8080 の内部ネットワークからのみ使用できます。 DNS サービスはポート 53 で利用できます。 さらに、ポート 110 のメール サーバーへの社内接続、データベース接続用のポート 3306、およびリモート サーバー管理用のポート 2020 から ssh への接続が開かれています。

 

3. 次の手順は、ネットワーク管理者に対応しており、権限のない人物に開示してはなりません。

 

  • 詳細なiptablesスクリプトは潜在的で、建物Aの8階の金庫に位置しています。 ファイアウォールの構成を変更する場合に使用します。 ネットワークの主な管理者は、許可された人物です。

 

ファイアウォールは、次のような iptables 用のスクリプトで構成されています。

#!/ビン/sh
##############################################################################
IP テーブル=iptables
パス="/usr/sbin"
# サーバー アドレス
サーバー="192.168.1.3"
 
# 管理者のコンピュータ アドレス
管理者="192.168.1.10"

#私たちのウェブと私がサポートするカードのアドレススペース
WEW_NET="192.168.1.0/24"
WEW_DEV="eth0"
 
# 出口アドレス - 外部およびサービスカード
ZEW_NET="0/0"  
ZEW_DEV="eth1"
 
# 渡したい TCP サービス 
TCP_IN="ssl,dns" # 443, 53
TCP_OUT="ssl,dns" # 443, 53
  
# UDP サービスを通過します。
UDP_IN="443"
UDP_OUT=""
 
#私たちが渡したいICMPサービス
ICMP_IN=""
ICMP_OUT=""
 
#################################################################################
 
#私たちは、以前の規制を削除します
$IPTABLES -F 入力
$IPTABLES -F フォワード
$IPTABLES -F 出力
 
# デフォルトポリシーの設定
$IPTABLES -P 入力ドロップ
$IPTABLES -P 出力受け入れ 
$IPTABLES -P フォワード ドロップ
 
#ログにすべてのトラフィックを保存します
$IPTABLES -A 入力 -j ログ -m 制限 --limit 15/hor             
$IPTABLES -A 出力 -j LOG -m 制限 --15/時間
$IPTABLES -A FORWARD -j LOG -m 制限 --15/時間
 
#リンクに従う可能性をロード
モドプローブip_conntarck
モドプローブip_conntarck_ftp
 
#pingへの答えをオフにします
エコー "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
 
#スマーフ攻撃に対する保護
エコー "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
 
#ICMPエラー通信に対する保護を行いました
エコー "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
 
# 奇妙なパッケージのロギングを有効にする (スプーフィング. ソースルーティングされたリダイレクト)
エコー "1" > /proc/sys/net/ipv4/conf/all/log_martians
 
#私たちは、「ソースルート」オプションでIPデータグラムを受け入れません
エコー "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
 
#私たちは、ルーティングボードを変更することができるICMPの再起訴パッケージを受け入れません
エコー "0" /プロセス/システム/ネット/ipv4/conf/すべて/accept_redirects
 
#すべてのカードは、それら以外の播種からパッケージを使用されません
ルーティング・アレイからの#
エコー "1" /プロセス/システム/ネット/ipv4/conf/すべて/rp_filter
 
#私たちは、パッケージが私たちのコンピュータの周りに実行することを許可します
#つまり、ペトルリターンループバックのロックを解除します
$IPTABLES -A 入力 -i lo -j ACCEPT
$IPTABLES -A 出力 -o lo -j ACCEPT
 
#私たちは、モードでパッシブでプロトコルの使用を許可します
$IPTABLES -A 入力 -m 状態 --状態が確立されました。
  
#外部から来る他の人のためのサーバー上のサービスのロックを解除
 
#$IPTABLES -A 入力 -p tcp -s 0/0 --dport 443 -j ACCEPT
#$IPTABLES -A 入力 -p udp -s 0/0 --dport 443 -j ACCEPT
 
$IPTABLES -A 入力 -p tcp -s 0/0 --スポーツ 443 -j ACCEPT
$IPTABLES -A 入力 -p udp -s 0/0 --スポーツ 443 -j ACCEPT
 
#特定のIPアドレスの下水道サービスのロックを解除 - COMPは、TCP_INの上記の定義を参照してください、UDP_IN
 
#$IPTABLES -A INPUT -p tcp -s $KOMP -m マルチポート --dport $TCP_IN -j ACCEPT # プロトコル tcp
    #$IPTABLES -A INPUT -p udp -s $KOMP -m マルチポート --dport $UDP_IN -j ACCEPT # プロトコル udp
 
#$IPTABLES -A INPUT -p udp -s $KOMP --dport 137:139 -j ACCEPT # プロトコル udp
 
# 私たちは、特定のIPアドレスからすべてを許可します – このアドレスJからの管理
 
$IPTABLES -A -s -s $KOMP -j ACCEPT # したがって、上記のルールはオフです
 
# DNS へのアクセス
 
$IPTABLES -A 入力 -p tcp -s 0/0 --sport 53 -d $SERWER -j ACCEPT
$IPTABLES -A 入力 -p udp -s 0/0 --sport 53 -d $SERWER -j ACCEPT
 
#$IPTABLES -出力 -p tcp -s $SERWER -d 0/0 --dport 53 -j ACCEPT
#$IPTABLES -出力 -p udp -s $SERWER -d 0/0 --dport 53 -j ACCEPT
  
#私たちは、私たちのに設定された出生アドレスでパッケージを閉じます
 
$IPTABLES -i 入力 -i $WEW_DEV -s $SERWER -j DROP # 土地攻撃
 
# 非 rutove、マルチキャスト、および予約アドレスを持つパケット
 
$IPTABLES -i 入力 -i $WEW_DEV -s 10.0.0.0/8 -j DROP #class A
$IPTABLES -入力 -i $WEW_DEV -s 172.16.0.0/12 -j DROP #class B
# $IPTABLES -i -i $WEW_DEV -s 192.168.0.0/16 -j Drop #class C - これは私たちが使用するものです
$IPTABLES -i 入力 -i $WEW_DEV -s 224.0.0.0/4 -j DROP #multicast
$IPTABLES -i 入力 -i $WEW_DEV -d 224.0.0.0/4 -j DROP #multicast
$IPTABLES -i 入力 -i $WEW_DEV -s 240.0.0.0/5 -j DROP #reserved
$IPTABLES -i 入力 -i $WEW_DEV -s 127.0.0.0/5 -j DROP #lo
 

  • このスクリプトは 700 のアクセス権で保存し、サーバー上で実行します。
  • 次に、ファイアウォール スクリプトを実行するときに、ログストレージを有効にします。 これを行うには、/etc/syslog.conf ファイルの末尾に次のコードを入力します。
*.* /開発/tty12
*.* /var/ログ/ファイアウォール
  • syslogd デーモンを再起動します。
 # キルオール -HUP syslogd
  • これからファイル /var/log/firwall (コンソール 12 – alt +12でも) に、すべてのシステムログが記録されます。

4. ファイアウォール構成の変更は、メインネットワーク管理者のみが行うことができます。 これは、ネットワーク管理者から43件のダウンロードを要求することで行われ、これはチーフ・イット・マネージャーによって承認されなければなりません。

5. ファイアウォール構成の変更は、個々の IT 部門の管理者のみが要求できます。

6. ファイアウォールがハングする場合、ネットワーク管理者は、ファイアウォールのリセット、またはバックアップ サーバーへの急増の極端な場合に責任を負います。

7. 未確認の要求に基づいてファイアウォール構成を変更しないでください。

8. オペレーティング システムおよび使用するアプリケーションに対する更新プログラムは、表示された直後にインストールする必要があります。 このステートメントが重要な実動システムの動作を妨げる場合は、可能な限り更新を行う必要があります。

9. 設定の検証は、ネットワーク管理者が四半期ごとに監査する必要があります。

  • これは、外部ネットワークコマンドからnmapツールを使用して行うことができます。
nmap -p 1-65535 -T4 -A -v firma.com -Pn
  • 結果は次のようになります。
agd.com の Nmap スキャン レポート (x.x.x.x)
ホストがアップしています (0.00047s 遅延)。
表示されない: 65533 フィルタリングされたポート
ポート状態サービスのバージョン
53/tcp オープン tcp ラップ
443/tcp オープン tcp ラップ
  • コンプライアンス違反が発生した場合は、この事実を、この脆弱性の原因となるプライマリ ネットワーク管理者に報告してください。

dns

1. DNS 構成セキュリティは、次の 3 つの基本原則に基づいています。

  • サーバーは、サポートするドメインのみを持つすべてのユーザーと一致する必要があります。
  • サポートしているネットワーク上の各質問にのみ回答します。
  • ドメインをダウンストリーム サーバーにのみ転送できます。

2. DNS 構成の変更は、ルート ネットワーク管理者のみが行うことができます。 これは、ネットワーク管理者から 45 件のダウンロードを要求することで行われます。

3. 個々の IT 部門の管理者のみが、DNS 構成の変更を要求できます。

4. 未確認の要求に基づいてファイアウォール構成を変更しないでください。

5. DNS がハングする場合、ネットワーク管理者はネットワークのリセットを行うか、バックアップ サーバーに急増する極端な場合に責任を負います。

6. オペレーティング システムおよび使用するアプリケーションに対する更新プログラムは、表示された直後にインストールする必要があります。 このステートメントが重要な実動システムの動作を妨げる場合は、可能な限り更新を行う必要があります。

7. 次の構成はネットワーク管理者に対して行われ、権限のない人物に開示してはなりません。

DNS agd.com では、BIND dns に基づいており、次のようになります。

  • named.conf.options のグローバル オプション セクションの前に、任意のドメインについてサーバーに問い合わせることができるユーザーを定義する必要があります。
名前付き.conf.options のグローバル オプション セクションの前に、任意のドメインについてサーバーにクエリを実行できるユーザーを定義する必要があります。
  • 次に、ドメインを要求できるユーザーの設定を構成する必要があります。
次に、ドメインを要求できるユーザーの設定を設定します
  • 特に注意が転送を許可ディレクティブに支払われるべきです, 私たちのドメイン内のすべてのエントリを明らかにすることができます. バックアップサーバーがない場合は、上記のエントリのようにこのオプションをブロックします。
  • 次の手順では、構成の正確性を監査します。
    • この目的のために、我々は、掘削ツールを使用することができます。
    • 別のネットワークからサーバーにポーリングする際のブロックをチェックします。
掘る@ip_naszego_serwera jakieś_inne_ip 
  • アクションの結果は、次のようになります。
<>> ディグ 9.3.2 <> > @agd.com wp.pl A
		 ;(1 台のサーバーが見つかりました)
		 ;;グローバル オプション: 印刷cmd
		 ;;答えを得た:
		 ;;->>ヘッダー<- opcode: QUERY, status: REFUSED, id: 65151
		 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
  • 外部サーバーを介したドメイン転送の可能性をチェックします。
アクスフ agd.com 掘る
  • アクションの結果は、次のようになります。
<>> DiG 9.3.2 <> > agd.com AXFR
;;グローバル オプション: 印刷cmd
;転送に失敗しました。
  • コンプライアンス違反が発生した場合は、この事実を、この脆弱性の原因となるプライマリ ネットワーク管理者に報告してください。

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!).
Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

ブックマーク パーマリンク.

Podziel się swoją opinią na temat artykułu