Важно, чтобы правила работы с брандмауэром и параметры его конфигурации были хорошо документированы, своевременно обновлялись и хранились в безопасном месте. Это будет гарантировать, что при невозможности связаться с администратором брандмауэра или при его увольнении, другой опытный человек сможет после прочтения документации быстро осуществить администрирование брандмауэра. В случае проникновения такая документация также поможет восстановить ход событий, повлекших за собой этот инцидент с безопасностью.
Физический доступ к брандмауэру должен строго контролироваться во избежание несанкционированных изменений конфигурации брандмауэра или его состояния, а также для того, чтобы нельзя было наблюдать за работой брандмауэра. Кроме того, должна иметься пожарная и другая сигнализация и система создания архивных копий, позволяющие гарантировать бесперебойную работу брандмауэра.
Брандмауэр организации должен находиться в отдельном помещении, доступ в которое разрешен только ответственному за сетевые сервисы, администратору брандмауэра и администратору архивных копий брандмауэра.
Комната, в которой находится брандмауэр, должна быть оборудована пожарной сигнализацией и кондиционером для того, чтобы можно было гарантировать ее нормальное состояние. Размещение и состояние огнетушителей должны регулярно проверяться. Если имеются источники бесперебойного питания, то брандмауэр должен быть обязательно подключен к одному из них.
Уведомление об инциденте - это процесс, посредством которого определенные аномальные события фиксируются в журналах и сообщаются администратору брандмауэра. Требуется политика, в которой определялись бы типы записей в журналах об особых событиях и порядок действий при появлении подобных записей. Это должно быть согласовано с общим порядком действий при инциденте с безопасностью. Следующие правила уместны для всех сред.
Брандмауэр должен конфигурироваться так, чтобы создавались ежедневные, еженедельные и ежемесячные отчеты, для того чтобы при необходимости можно было проанализировать сетевую активность.
Журналы брандмауэра должны анализироваться каждую неделю для выявления следов атак.
Администратора брандмауэра должен уведомляться в любое время об атаке с помощью электронной почты, пейджера, или других средств, чтобы он мог сразу же предпринять необходимые контрмеры.
Брандмауэр должен обнаруживать попытки сканирования или зондирования, чтобы не происходило утечки защищаемой информации за пределы брандмауэра. Аналогичным образом он должен блокировать работу всех типов программ, которые, как известно, представляют угрозу безопасности сети (таких как ActiveX и Java) для усиления безопасности сети.
При выявлении факта проникновения, брандмауэр должен быть отключен и переконфигурирован. Если необходимо отключить брандмауэр, может понадобиться также отключиться от Интернета или перейти на запасной брандмауэр - внутренние системы не должны быть подключены к Интернету напрямую. После переконфигурации брандмауэр должен быть включен снова и запущен в работу. Требуются правила восстановления брандмауэра до рабочего состояния после проникновения.
Если произошло проникновение, администратор брандмауэра отвечает за переконфигурацию брандмауэра для защиты всех использовавшихся уязвимых мест. Брандмауэр должен быть восстановлен в исходное состояние, чтобы сеть находилась под защитой. На время восстановления должен использоваться запасной брандмауэр.
Часто необходимо произвести обновление программного обеспечения брандмауэра и его аппаратной части для того, чтобы его производительность была оптимальной. Администратор брандмауэра должен быть осведомлен о всех аппаратных и программных ошибках, а также о доработках программ, осуществляемых производителем брандмауэра. Если обновление необходимо, следует принять определенные предосторожности, чтобы сохранялся высокий уровень безопасности. Ниже приведены примеры политик безопасности для обновлений:
Для оптимизации производительности брандмауэра следует выполнять все рекомендации производителя в отношении мощности процессора и объема оперативной памяти.
Администратор брандмауэра должен производить оценку возможностей каждой новой версии программного обеспечения брандмауэра на предмет необходимости установки доработок. Все модификации исполняемого кода (патчи), рекомендованные производителем брандмауэра, должны делаться оперативно .
Аппаратные и программные компоненты должны получаться из источников, рекомендованных производителем. Все доработки специфических программ брандмауэра должны получаться у самого производителя. Для получения программ не должен использоваться NFS. Рекомендуемыми методами являются использование CD-ROMа, проверенного на вирусы, или FTP-сервера на сайте производителя.
Администратор брандмауэра должен быть подписан на список рассылки производителя брандмауэра или другим способом получать информацию от производителя о всех требуемых доработках. Перед применением доработки к брандмауэру администратор должен удостовериться у производителя, что доработка нужна. После доработки брандмауэр должен быть протестирован на предмет правильности работы перед началом эксплуатации.
Из-за постоянного появления новых технологий и тенденции организаций вводить новые сервисы, политика безопасности для брандмауэра должна регулярно пересматриваться. Если сеть изменилась, это надо делать обязательно.
Большинство брандмауэров предоставляют большие возможности по протоколированию трафика и сетевых событий. Некоторыми из событий, имеющих отношение к безопасности, которые должны фиксироваться в журналах брандмауэра, являются: аппаратные и дисковые ошибки, подключения и отключения пользователей, продолжительности соединений, использование привилегий администратора, входящий и выходящий почтовый трафик, попытки установления TCP-соединений, типы входящего и выходящего трафика прокси-серверов.
Все организации должны использовать как минимум политику для уровня с низким риском. Для среднего риска надо добавить части с пометкой "Средний риск", а для высокого - части с пометкой "Высокий риск" и "Средний риск".
Низкий риск
Пользователь
Все пользователи, которым требуется доступ к Интернету, должны делать это, используя одобренное организацией программное обеспечение и через Интернет-шлюзы организации.
Между нашими частными сетями и Интернетом установлен брандмауэр для защиты наших компьютеров. Сотрудники не должны пытаться обойти его при соединении с Интернетом с помощью модемов или программ для сетевого тунеллирования.
Некоторые протоколы были блокированы или их использование ограничено. Если вам требуется для выполнения ваших обязанностей какой-то протокол, вы должны обратиться к начальнику вашего отдела и ответственному за безопасное использование Интернета.
Начальник отдела
Должен быть помещен брандмауэр между сетью компании и Интернетом для того, чтобы предотвратить доступ к сети компании из ненадежных сетей. Брандмауэр должен быть выбран ответственным за сетевые сервисы, он же отвечает за его сопровождение.
Все остальные формы доступа к Интернету (такие как модемы) из сети организации, или сетей, подключенных к сети организации, должны быть запрещены.
Все пользователи, которым требуется доступ к Интернету, должны делать это с помощью одобренных организацией программ и через шлюзы с Интернетом.
Сотрудник отдела автоматизации
Все брандмауэры при аварийном завершении должны делать невозможным доступ ни к каким сервисам, и требовать прибытия администратора брандмауэра для восстановления доступа к Интернету.
Маршрутизация источника должна быть запрещена на всех брандмауэрах и внешних маршрутизаторах.
Брандмауэр должен отвергать трафик из внешних интерфейсов, который имеет такой вид, будто он прибыл из внутренней сети.
Брандмауэр должен вести детальные системные журналы всех сеансов, чтобы их можно было просмотреть на предмет выявления нештатных ситуаций в работе.
Для хранения журналов должен использоваться такой носитель и место хранения, чтобы доступ к ним ограничивался только доверенным персоналом.
Брандмауэры должны тестироваться перед началом работы и проверяться на предмет правильности конфигурации.
Брандмауэр должен быть сконфигурирован так, чтобы он был прозрачен для выходящих соединений. Все входящие соединения должны перехватываться и пропускаться через брандмауэр, если только противное решение явно не принято ответственным за сетевые сервисы.
Должна постоянно вестись подробная документация на брандмауэр и храниться в безопасном месте. Такая документация должна включать как минимум схему сети организации с IP-адресами всех сетевых устройств, IP-адреса машин у провайдера Интернета, таких как внешние сервера новостей, маршрутизаторы, DNS-сервера и т.д., и другие параметры конфигурации, такие как правила фильтрации пакетов и т.д. Такая документация должна обновляться при изменении конфигурации брандмауэра.
Средний риск
Пользователь
Для удаленного доступа к внутренним системам организации требуется усиленная аутентификация с помощью одноразовых паролей и смарт-карт.
Начальник отдела
Администраторы брандмауэра и другие руководители, ответственные за компьютерную безопасность, должны регулярно пересматривать политику сетевой безопасности (не реже чем раз в три месяца). При изменении требований к работе в сети и сетевым сервисам политика безопасности должна быть обновлена и утверждена заново. При необходимости внесения изменений администратора брандмауэра отвечает за реализацию изменений на брандмауэре и модификацию политики.