web-dev-qa-db-ja.com

ファイアウォールのルールを改訂する場合、最終的な検討事項に信頼性/顧客満足度をどのように追加しますか?

脆弱性評価のために、ファイアウォールの構成ルールセットに関するセキュリティの考慮事項を報告する必要がある場合は、ルールセットの監査後に、分析されたルールに関するセキュリティ上の懸念に関するレポートを作成します。

このレポートでは、ルールセットの何が間違っているか、および構成に関するセキュリティ上の考慮事項を記述する必要があります。

たとえば、ルールで出力フィルタリングが見つからない場合は、ネットワークからなりすましが可能であるため、問題であると言えます。

この種の監査とレポートの後に、あなたの仕事に信頼性と顧客満足度を追加するためにどのソースを使用しますか?

セキュリティ業界で広く受け入れられている検討事項によって、この検討事項がお客様自身の検討事項ではないことをクライアントに示すために、検討事項を議論するためにどのような信頼できる情報源、ベストプラクティスなどを使用しますか?

6
boos

サードパーティのファイアウォール評価ツールの結果を使用して、説得力をさらに高めることを検討してください。

ニッパーは比較的安価で機能します: http://www.titania.co.uk/index.php?option=com_content&view=article&id=48&Itemid=59

Nipper [...]専門のセキュリティ専門知識を必要とせずに、独自のネットワークスイッチ、ルーター、ファイアウォールの独自の包括的なセキュリティ監査を実行します。

他にもいくつかのファイアウォール評価ツールがありますが、価格はすぐに高くなります。

ここで利用可能なベンチマークテンプレートを確認してください インターネットセキュリティセンター 。例: http://www.cisecurity.org/tools2/Cisco/CIS_Cisco_Firewall_Benchmark_v2.0.pdf
多くの優れた情報とレポートを書くための準備ができたコピー。

注:Nessusの多くのCISテンプレートはNessus監査ファイルにコード化されているため、Nessusスキャンをすばやく実行して、デバイス構成をCISベンチマークと比較できます。

4
Tate Hansen

私はファイアウォールのレビューを正当化する必要があると感じたことはありません。 「Webキャストプレゼンテーションに使用されている共有ラップトップで電信送金アプリケーションを使用できないと表示されている場所を見せてください」などの応答をクライアントに返してきましたが、ファイアウォールを正当化するのは少し簡単です。ルールは次のとおりです正当に必要とされていないものはリスクであり、このリスクを軽減するための費用の増加はごくわずかですルールを既存のファイアウォールシステムに追加するだけなので、それを行うためのあなたの費用は、私と議論するためのあなたの費用よりも少ないです;)

いずれにしても、予期しないトラフィックは、構成の誤りまたは妥協のいずれかです。そのプリンシパルなしですべてのルールをそれ自体で正当化する必要がある場合、なぜ(私のクライアントとして)そもそもファイアウォールがあるのですか?

私は、人々がフォートノックスシステムから始めて、利益のために高すぎるものをはがして、草地のパッチから始めて、適切と思われるように壁を構築する必要があることを人々に理解させようと考え始めています。私がそれを始めるとき、私はこの質問を引用します(そしてあなたはそれに+1を与えます)。

4
Jeff Ferland

膨大な数のセキュリティガイダンスと出版物に裏打ちされているため、私は常に人々に使用を促すように努めていますが、ファイアウォールに穴を開けずに始め、すべてのポートを正当化するようビジネスに働きかけることです。

それらの正当化は「アプリケーションxの場合、送信元ポートyから宛先ポートzアウトバウンドへの接続が必要」である必要があり、レビュー日、テストケースなどを含めることができます。セキュリティは、リスクの高いポートの影響を通知し、それらが「任意の許可」タイプのルールを要求します。

これにより、ビジネスで必要なポートのリストに対してファイアウォールを確認できるため、作業がはるかに簡単になります。ビジネス上の正当化が提供され、承認されるまで、余分な穴はすべてブロックする必要があります。

4
Rory Alsop