Когда требуется удаленный доступ для администрирования брандмауэра, он должен осуществляться только с других хостов внутренней сети организации. Такой внутренний удаленный доступ требует усиленной аутентификации, такой как одноразовые пароли и смарт-карты. Удаленный доступ по небезопасным сетям, таким как Интернет, требует использования сквозного шифрования всего трафика соединения и усиленной аутентификации.
Высокий риск
Все администрирование брандмауэра должно осуществляться только с локального терминала - работа с брандмауэром путем удаленного доступа запрещена. Физический доступ к терминалу брандмауэра разрешен только администратору брандмауэра и администратору архивных копий.
Брандмауэры никогда не должны использоваться как сервера общего назначения. Единственными зарегистрированными пользователями на брандмауэре могут быть только администратор брандмауэра и администратор архивных копий. Кроме того, только эти администраторы должны иметь привилегии для модификации загрузочных модулей программ на нем.
Только администратор брандмауэра и администраторы архивных копий должны иметь логины на брандмауэре организации. Любая модификация системных программ на брандмауэре должна осуществляться администратором или администратором архивных копий с разрешения ответственного за сетевые сервисы (или начальника отдела автоматизации).
Для обеспечения возможности восстановления после сбоя или стихийного бедствия, брандмауэр, как и любой другой сетевой хост, должен иметь политику относительно создания архивных копий. Для всех файлов данных, а также системных файлов конфигурации должен иметься некоторый план создания архивных копий.
Для брандмауэра (его системных программ, конфигурационных файлов, баз данных и т.д.) должны создаваться ежедневные, еженедельные и ежемесячные архивные копии, чтобы в случае сбоя можно было восстановить данные и файлы конфигурации. Архивные копии должны храниться в безопасном месте на носителе, с которого можно только считать информацию, чтобы их случайно не затерли, которое должно быть заперто, чтобы носители были доступны только соответствующим сотрудникам.
Другой альтернативой будет иметь запасной брандмауэр, сконфигурированный как основной, и поддерживаемый в холодном резерве, чтобы в случае сбоя основного, запасной мог быть включен и использован вместо него, пока основной брандмауэр восстанавливается.
По крайней мере один брандмауэр должен быть сконфигурирован и держаться в холодном резерве, чтобы в случае сбоя брандмауэра, он мог быть включен вместо него для защиты сети.
Коммерческие сети часто требуют взаимодействия с другими коммерческими сетями. Такие соединения могут осуществляться по выделенным линиям, частным глобальным сетям, или общественным глобальным сетям, таким как Интернет. Например, многие правительства штатов используют выделенные линии для соединения с региональными офисами в штате. Многие компании используют коммерческие глобальные сети для связи своих офисов в стране.
Участвующие в передаче данных сегменты сетей могут находиться под управлением различных организаций, у которых могут быть различные политики безопасности. По своей природе сети таковы, что общая сетевая безопасность равна безопасности наименее безопасного участка сети. Когда сети объединяются, должны быть определены взаимосвязи по доверию во избежание уменьшения безопасности всех других сетей.
Надежные сети определяются как сети, у которых имеется одинаковая политика безопасности или в которых используются такие программно-аппаратные средства безопасности и организационные меры, которые обеспечивают одинаковый стандартный набор сервисов безопасности. Ненадежные сети - это те сети, не реализован такой стандартный набор сервисов безопасности, или где уровень безопасности является нестабильным или неизвестным. Самой безопасной политикой является позволять соединение только с надежными сетями. Но бизнес может потребовать временного соединения с деловыми партнерами или удаленными сайтами, при котором будут использоваться ненадежные сети.
Высокий риск
Все соединения сети организации с внешними сетями должны быть утверждены ответственным за сетевые сервисы и находиться под его контролем. Должны разрешаться соединения только с теми внешними сетями, для которых был произведен анализ и установлено, что в них имеются необходимые программно-аппаратные средства безопасности и применяются необходимые организационные меры. Все соединения с утвержденными сетями должны проходить через брандмауэры организации.
Средний риск - низкий риск
Все соединения сети организации с внешними сетями должны быть утверждены ответственным за сетевые сервисы. Все соединения с утвержденными внешними сетями должны проходить через брандмауэр организации.
Чтобы уменьшить вред от такого большого уязвимого места, все соединения с внешними сетями и логины пользователей, работающих с ними, должны периодически проверяться, и удаляться, если они больше не нужны.
Системные журналы соединений с внешними сетями должны просматриваться еженедельно. Все логины, использующие такие соединения, которые больше не используются в течение месяца, должны быть отключены. Ответственный за сетевые сервисы должен опрашивать начальников отделов каждый квартал на предмет необходимости таких соединений. Если соединение с той или иной сетью больше не нужно, и ответственный за сетевые сервисы извещен об этом, все логины и параметры, связанные с этим соединением, должны быть удалены в течение одного рабочего дня.
Виртуальные частные сети позволяют надежной сети взаимодействовать с другой надежной сетью по небезопасной сети, такой как Интернет. Так как некоторые брандмауэры имеют возможности создания VPN, необходимо определить политику для создания VPN.
Любое соединение между брандмауэрами по общественным глобальным сетям должно использовать механизм шифрованных виртуальных частных сетей для обеспечения конфиденциальности и целостности данных, передаваемых по глобальным сетям. Все VPN-соединения должны быть утверждены ответственным за сетевые сервисы и находиться под его контролем. Также должны быть созданы соответствующие средства распределения и администрирования ключей шифрования перед началом эксплуатации VPN. VPN на основе брандмауэров могут быть созданы в виде нескольких различных конфигураций. Глава 5 содержит информацию о различных уровнях доверия и приводит образцы политик безопасности для VPN.
В Интернете доменная служба имен обеспечивает средства для отображения между доменными именами и IP-адресами, например отображает имя server1.acme.com в адрес 123.45.67.8. Некоторые брандмауэры могут быть сконфигурированы так, что будут являться еще и основным, вторичным или кэширующим DNS-серверами.
Принятие решения относительно администрирования DNS-сервиса вообще-то не относится к области безопасности. Многие организации используют услуги третьей организации, такой как провайдер Интернета, для администрирования своей DNS. В этом случае брандмауэр может быть использован как кэширующий сервер DNS для улучшения производительности, при этом вашей организации не надо будет самой поддерживать базу данных DNS.
Если организация решила иметь свою базу данных DNS, брандмауэр может функционировать еще и как DNS-сервер. Если брандмауэр должен быть сконфигурирован как DNS-сервер (основной, вторичный, кэширующий), необходимо, чтобы также были предприняты другие меры безопасности. Одним из преимуществ использования брандмауэра еще и как DNS-сервера является то, что он может быть сконфигурирован так, что будет скрывать информацию о внутренних хостах сайта. Другими словами, когда брандмауэр выступает в роли DNS-сервера, внутренние хосты получают полную информацию о внутренних и внешних данных DNS. А внешние хосты, с другой стороны, не имеют доступа к информации о внутренних машинах. Для внешнего мира все соединения с любым хостом внутренней сети кажутся исходящими от брандмауэра. Если информация о хостах скрыта от доступа извне, атакующий не будет знать имен хостов и внутренних адресов, предоставляющих те или иные сервисы Интернету.
Политика безопасности для скрытия DNS-информации может иметь следующий вид:
Если брандмауэр должен работать как DNS-сервер, то он должен быть сконфигурирован так, чтобы скрывать информацию о сети, чтобы данные о внутренних хостах не предоставлялись внешнему миру.
Для предотвращения неавторизованной модификации конфигурации брандмауэра должна иметься некоторая форма гарантий целостности. Обычно для рабочей конфигурации системы вычисляются контрольные суммы или криптографические хэш-функции, которые хранятся потом на защищенном носителе. Каждый раз, когда конфигурация брандмауэра модифицируется авторизованным на это человеком (обычно администратором брандмауэра), необходимо обновить контрольные суммы файлов и сохранить их на сетевой файловой системе или на дискетах. Если проверка целостности системы покажет, что конфигурация брандмауэра была изменена, то сразу станет ясно, что система была скомпрометирована.
Данные для проверки целостности брандмауэра должны обновляться при каждой модификации конфигурации брандмауэра. Файлы с этими данными должны храниться на носителе, защищенном от записи или выведенном из оперативного использования. Целостность системы на брандмауэре должна регулярно проверяться, чтобы администратор мог составить список файлов, которые были модифицированы, заменены или удалены.