各ビジネスには独自のニーズと状況があることを理解していますが、ファイアウォールを構成するときに探すべき、一般的にブロックされるサービスとポート、およびその他のポリシーに関する一般的なガイドラインを探しています。たとえば、安全であることがわかっているものを除いて、着信するすべてのもの(WAN-> LAN)をブロックする必要がありますか?内部で気になる特定のポート(LAN、WLAN、VPN)はありますか? VPNからLANへのリソースへのすべてのアクセスを許可する必要がありますか?
ここにはたくさんの質問があることを理解していますが、私が探しているのは、中小企業向けのファイアウォール/セキュリティを設定するための一般的なガイドラインです。
これはかなり広いですが、私はそれを試してみます。それは、誰が何をしているのかを知り、彼らがまだそれを必要としていることを確認することになります
行うすべてのスプレッドシートを開始します。どのポートがいつ開かれたか、誰がそれを要求したか、そしてその理由を追跡します。
デフォルトでは、すべてのインバウンドをブロックします。入ってくる必要のあるサービスはすべて承認されるべきであり、あなたはそれを知っている必要があります。インバウンドメール、Webなどについてはすでに知っているかもしれません。これらの特定の宛先へのポートを開き、スプレッドシートに追加します。つまり、ポート80を、ネットワーク上の他のホストではなく、Webサーバーに対して開きます(理由がわかるまで)。
アウトバウンドのすべてをブロックします。特定のサービス(80、443、DNS、NTP)について学習したり、質問されたりしたときに、それらのポートを開きます。ビジネスケースのために可能な限り制限的にポートを開きます。メールサービスにアウトバウンドポート25が必要な場合は、それを開きますが、すべてのデスクトップに対してではありません。
年に1回、スプレッドシートを確認し、それがまだ必要であることを要求者に確認します
ドラコニアンかもしれませんが、最初からしっかりと管理すれば、何が起こっているのかを知る可能性が高くなります。これはビジネスであり、ホームネットワークではないため、従業員がいくつかの制限を設けてもかまいません。侵入のマイナス面はもっと深刻かもしれません。
私は中小企業で働いているので、私が何をしたかを簡単に説明します。
すべてのインバウンドはブロックされた状態で開始され、ポートは必要な場合にのみ開かれます。私の場合、必要に応じて外部サポート用にポートを選択的に開き、完了したら再び閉じます。何らかの理由で手動でポートを閉じていない場合に備えて、特定の時間にこれらのポートを閉じるようにファイアウォールで構成されたcronジョブがあります。
いくつかの例外を除いて、ほぼすべての発信がネットワークから許可されています。例えばポート25(SMTP)は、Exchangeサーバーや監視システムなど、電子メールの直接送信が許可されているマシンに対してのみ開かれています。後者は、Exchangeがダウンしていることを通知しようとしている可能性があるため、Exchangeサーバーを経由してルーティングできない必要があります。
これは、アウトバウンドがブロックされた状態で開始され、アクセスが必要な場合にのみ開かれる、大規模な組織でのより一般的な方法とは著しく異なります。違いの理由の1つは、使用されている機器によるものです。たとえば、ファイアウォールにはユーザーIDに基づいて送信を許可または拒否する方法がないため、このような機能を実装することははるかに困難です。
原則として、私は次のようにします。
デフォルトですべてのインバウンド接続をブロックします(さらにアウトバウンド、uSlackrによってそのことを思い出しました)。
内部サーバーとクライアント自体でファイアウォールプログラムを実行し、専用ハードウェア(VPNサーバーの場合もあります)に境界ファイアウォールを設置します。境界ファイアウォールは、内部のみのトラフィックにはまったく役立ちませんが、内部システムが外部から受けるハンマーの量を大幅に削減します。
サービスを提供(または使用)する必要があるポート/ IPへの特定のインバウンド(およびアウトバウンド)接続を許可します。これにより、境界ファイアウォールで許可するポートが多数作成される場合がありますが、 Shorewall のようなシステムでは、たとえば、ポートのセットを「Webトラフィック」として定義できるため、作業が簡単になる場合があります。内部クライアント/サーバーがWindowsまたはOSXの場合、組み込みのファイアウォールGUIを使用すると、「ファイルとプリンターの共有にトラフィックを許可する」と簡単に言うことができます。
OpenVPN のようなVPNシステムについて話している場合、境界ファイアウォールを通過せず、リモートユーザーにとって重要な特定の場合にのみ使用します。 OpenVPNを使用すると、 特定のユーザー向けの特定のルール を配置できるクライアント構成ディレクトリを定義できます。たとえば、私のルールでは、オフサイトからオフィスプリンターに接続することは許可されていますが、他のVPNユーザーには開かれていません。
ほとんどの人のための一般的なガイダンスは、必要なものだけを許可し、他のすべてをブロックします。
これは非常に高レベルのガイドであり、特にインバウンド接続に適用できます。
ブロッキングアウトバウンド接続は物事が面白くなるところです。最も厳密な解釈では、アウトバウンドについても同じことを行う必要があります。すべての人にポート80と443、必要に応じてDNS。中小企業のコンテキストでは、ビジネスのすべての人を知っていて、彼らが悪ではないと暗黙のうちに信頼している可能性があるため、これは政治的に受け入れられない可能性があります。その場合、ユーザーが必要なものを特定するので、ポートを左右左右に数週間/数か月間追加することになります。