Polityka bezpieczeństwa systemu IT na przykładzie konfiguracji Firewall i DNS

Poniższy artykuł jest próbą zaadresowania tematyki tworzenia polityki bezpieczeństwa na przykładzie systemu firewall i DNS. Może on zostać wykorzystany w Twojej firmie w całości lub jako wzór do dalszego rozwoju.

Firewall

1.  Firewall ma na celu zwiększenie bezpieczeństwa organizacji za pomocą: 

  • Blokowanie prób nieuprawnionego dostępu (kontrola i ograniczenie dostępu do sieci wewnętrznej). 
  • Inspekcja ruchu sieciowego na wielu poziomach (m.in. firewall prowadzi kontrolę na podstawie adresów IP, kierunku i stanu połączeń, protokołów i aplikacji, indywidualnych użytkowników). 
  • Tworzenie stref bezpieczeństwa i modelowanie charakterystyki ruchu między nimi. 
  • Ukrywanie wewnętrznej organizacji i struktury sieci. 
  • Monitorowanie stref bezpieczeństwa w celu generowania odpowiednich alarmów. 
  • Gromadzenie logów o zaistniałych zdarzeniach oraz zapewnienie możliwości tworzenia statystyk i raportów. 

2.   W firmie agd.com ruch z zewnątrz jest ograniczony do dostępu do swojej publicznej strony firmowej na zewnątrz na  porcie 443. Część administracyjna strony jest dostępna tylko z sieci wewnętrznej na porcie 8080. Usługa dns dostępna jest na porcie 53. Ponadto wewnątrz firmy otwarte jest połączenie do serwera pocztowego na porcie 110, port 3306 dla połączeń z bazą danych oraz połączenie do portu 2020 z usługą ssh umożliwiającą zdalną administrację serwerem.

3.    Poniższa procedura skierowana jest do administratorów sieci i nie wolno jej ujawniać osobom nieuprawnionym:

  • Szczegółowy skrypt iptables jest utajniony i znajduje się w sejfie na 8 piętrze budynku A. Należy po niego sięgnąć w przypadku wprowadzania zmian w konfiguracji firewall. Osobą do tego upoważnioną jest główny administrator sieci.

Firewall skonfigurowany jest za pomocą skryptu dla iptables który wygląda następująco:

  • Skrypt ten zapisujemy z prawami dostępu 700 i uruchamiamy na serwerze.
  • Następnie po uruchomieniu skryptu firewall włączamy przechowywanie logów. W tym celu wpisujemy na koniec pliku /etc/syslog.conf następujący kod:
  • Restartujemy demona syslogd:
  • Od tego momentu w pliku /var/log/firwall (także na konsoli 12 – alt+12) będziemy mieli wszystkie logi systemowe.

4. Zmiany w konfiguracji firewalla mogą być wprowadzane tylko przez głównego administratora sieci. Odbywa się to poprzez wniosek 43 do pobrania u administratorów sieci, który musi zostać zatwierdzony przez głównego kierownika działu IT. 

5. O zmiany w konfiguracji firewall mogą wnioskować tylko kierownicy poszczególnych działów IT. 

6. W przypadku zawieszenia się firewalla administratorzy sieci odpowiedzialni są za jego zresetowanie, bądź też w skrajnym przypadku przepięcia na zapasowy serwer.

7. Nie wolno wprowadzać zmian w konfiguracji firewall na podstawie prośby ze strony osoby niezweryfikowanej. 

8. Wszelkie aktualizacje systemu operacyjnego i używanych aplikacji powinny być instalowane, gdy tylko się pojawią. Jeżeli instrukcja ta koliduje z działaniem krytycznych systemów produkcyjnych, aktualizacje powinny być dokonane, kiedy tylko pojawi się taka możliwość. 

9. Audyt poprawności ustawień powinien przeprowadzany być raz na kwartał przez administratorów sieci. 

  • Może on go wykonać za pomocą narzędzia nmap z sieci zewnętrznej komendą:
  • Wynik powinien być następujący:
  • W przypadku niezgodności należy zgłosić ten fakt głównemu administratorowi sieci który odpowiedzialny jest za wyprowadzenie podatności.



DNS

1. Bezpieczeństwo konfiguracji DNS opiera się na trzech podstawowych zasadach:

  • Serwer powinien odpowiadać każdemu TYLKO o obsługiwanej przez siebie domeny;
  • Odpowiadać na każde pytanie TYLKO obsługiwaną przez siebie siecią;
  • Pozwala transferować swoje domeny TYLKO swoim serwerom podrzędnym;
2. Zmiany w konfiguracji dns mogą być wprowadzane tylko przez głównego administratora sieci. Odbywa się to poprzez wniosek 45 do pobrania u administratorów sieci, który musi zostać zatwierdzony przez głównego kierownika działu IT.

3. O zmiany w konfiguracji dns mogą wnioskować tylko kierownicy poszczególnych działów IT. 

4. Nie wolno wprowadzać zmian w konfiguracji firewall na podstawie prośby ze strony osoby niezweryfikowanej. 5. W przypadku zawieszenia się dns administratorzy sieci odpowiedzialni są za jego zresetowanie, bądź też w skrajnym przypadku przepięcia na zapasowy serwer. 6. Wszelkie aktualizacje systemu operacyjnego i używanych aplikacji powinny być instalowane, gdy tylko się pojawią. Jeżeli instrukcja ta koliduje z działaniem krytycznych systemów produkcyjnych, aktualizacje powinny być dokonane, kiedy tylko pojawi się taka możliwość.

7. Poniższa konfiguracja skierowana jest do administratorów sieci i nie wolno jej ujawniać osobom nieuprawnionym:

W firmie agd.com DNS opiera się o usługę BIND dns i wygląda następująco:

  • Przed sekcją globalną options w pliku named.conf.options należy zdefiniować kto może odpytywać serwer o dowolną domenę:
  • Następnie należy skonfigurować ustawienia dotyczące tego kto może pytać o naszą domenę: 
  • Szczególną uwagę należy zwrócić na dyrektywę allow transfer, która może ujawnić wszystkie wpisy w naszej domenie. Jeżeli nie posiadamy zapasowych serwerów to blokujemy tą opcję jak we wpisie powyżej.
  • Kolejnym krokiem jest przeprowadzenie audytu poprawności konfiguracji. 
    • W tym celu przeprowadzenia możemy skorzystać z narzędzia dig.
    • Sprawdzamy blokadę odpytywania naszego serwera o inne adresy, robiąc to z innej sieci:
  • wynik działania powinien być podobny do poniższego:
  • Sprawdzamy możliwość transferu domeny przez zewnętrzny serwer:
  • Wynik działania powinien być podobny do poniższego:
  • W przypadku niezgodności należy zgłosić ten fakt głównemu administratorowi sieci który odpowiedzialny jest za wyprowadzenie podatności.
Dodaj do zakładek Link.

Podziel się swoją opinią na temat artykułu