Tento dokument je přeložený z angličtiny. Je možné, že po přeložení a publikování tohoto dokumentu byla původní anglická verze aktualizovaná.Společnost Symantec nezaručuje úplnost překladu v celém rozsahu.
Řešení:
Úvod
Když se počítače v soukromé síti připojují k internetu, fyzicky svou síť propojují s bezpočtem jiných neznámých sítí. I když většina připojení pro počítač nebo síť neznamená žádnou hrozbu, v sítích protiprávně operují jedinci jako hackeři a osoby s úmyslem uškodit, kteří se mohou pokusit infiltrovat vaši síť skrze nechráněné počítače. Úspěšný útok může kompromitovat tajné informace, uškodit produktivitě a následně poškodit reputaci a hodnotu značky.
Brány firewall instalované na koncových počítačích chrání proti takovým útokům vytvořením bariéry mezi počítačem a vnějšími sítěmi, včetně internetu. Tento dokument se zabývá ochranou před síťovými hrozbami (klientskou bránou firewall), součástí aplikace Symantec™ Endpoint Protection, konkrétně jejím účelem, prvky zásady brány firewall, způsobem zpracování pravidel brány a doporučenými praktikami pro implementaci brány firewall do vaší sítě.
Problematika konfigurace klientské brány firewall
Brány firewall jsou jen tak dobré, jako zásady, které vynucují. Špatně konstruovaná zásada může jednoduše vpustit útočníky, zatímco důvěryhodným zdrojům bude bránit v přístupu k nutným zdrojům. Před konfigurací klientské brány firewall byste měli vědět, jakým způsobem zpracovává pravidla, jak efektivně vytvářet pravidla (silné zabezpečení při zachování výkonu) a jak brána spolupracuje s ostatními součástmi aplikace Symantec Endpoint Protection.
Co je aplikace Symantec Endpoint Protection 11.0 a Ochrana před síťovými hrozbami?
Aplikace Symantec Endpoint Protection 11.0 chrání koncová výpočetní zařízení před viry, hrozbami a riziky a poskytuje ochranu ve třech úrovních. Tyto úrovně jsou ochrana před síťovými hrozbami, aktivní ochrana před hrozbami a ochrana před viry a spywarem. Ochrana před síťovými hrozbami pomocí pravidel a signatur zabraňuje hrozbám v přístupu do počítače. Aktivní ochrana před hrozbami určí a zmírní hrozby na základě jejich chování. Ochrana před viry a spywarem určí a zmírní pomocí signatur společnosti Symantec hrozby, které získaly nebo se snaží získat přístup k vašim počítačům. Brána firewall klienta Symantec Endpoint Protection vytváří bariéru mezi počítačem a vnější sítí. Klientská brána firewall zabraňuje neoprávněným uživatelům v přístupu k počítačům a sítím připojeným k internetu, zjišťuje možné útoky hackerů, chrání osobní informace a eliminuje nežádoucí zdroje síťového provozu. Brána firewall také chrání před síťovými hrozbami a malwarem, který se snaží v sítích množit, jako například roboti. Všechny informace, které přicházejí do nebo odcházejí z klientského počítače, musí projít klientskou bránou firewall, která přezkoumá všechny datové pakety. Brána firewall blokuje pakety, které nesplňují určená kritéria zabezpečení.
Zásady brány firewall
Zásady brány firewall obsahují jedno nebo několik pravidel, která společně povolují nebo blokují přístup uživatelů k síti. Zásady brány firewall obsahují následující prvky:
- pravidla brány firewall,
- stavová kontrola,
- číslo priority pravidla,
- typ řízení,
- výchozí pravidla brány firewall,
- inteligentní filtrování provozu,
- ochrana NetBIOS a Token Rings,
- nastavení režimu Skrytí.
Pravidla brány firewall
Pravidla pro bránu firewall řídí způsob, jakým má být chráněn klientský počítač před nebezpečným příchozím i odchozím provozem a činností škodlivých aplikací. Pravidla brány firewall mohou počítač učinit neviditelným ostatním uživatelům internetu, chránit vzdálené uživatele před útoky hackerů a bránit hackerům v přístupu k podnikové síti prostřednictvím nechránených počítačů takříkajíc „zadními vrátky“.
Inteligentní filtry provozu povolí určité typy provozu, které jsou vyžadovány ve většině sítí, jako například komunikace DHCP, DNS a WINS. Příklady nastavení provozu a režimu Skrytí umožňujících další funkce provozu jsou například ochrana na úrovni ovladačů, ochrana NetBIOS, provoz prostřednictvím adaptéru token ring, obrácené vyhledávání domény DNS a nastavení režimu Skrytí. Pravidlo brány firewall obecně popisuje podmínky, podle nichž má být povoleno nebo blokováno připojení k síti.
Použijte následujících součástí brány k určení kritérií pro pravidlo brány:
- Aktivační události – K aktivačním událostem patří aplikace, hostitelé, protokoly a síťové adaptéry. Definice aktivačních událostí můžete kombinovat, čímž vytvoříte složitější pravidla, jako například identifikaci určitého protokolu ve vztahu k určité cílové adrese. Při vyhodnocování pravidel musí mít všechny aktivační události hodnotu Pravda, aby došlo k pozitivní shodě. Pokud některá z aktivačních událostí nemá ve vztahu k aktuálnímu paketu hodnotu pravda, pravidlo nelze aplikovat.
Použijte následujících součástí brány k určení kritérií pro pravidlo brány:
- Parametry podmínek – Parametry podmínek nepopisují aspekt síťového připojení. Namísto toho určují kritéria používaná k určení aktivního stavu pravidla. Parametry podmínek jsou volitelné a pokud nejsou definovány, nemají žádný význam. Když tyto parametry definovány jsou, vnímaný stav pravidla je přímo ovlivněn. Můžete vytvořit plán nebo určit stav spořiče obrazovky, který určuje, zda má pravidlo být považováno za aktivní, nebo neaktivní. Brána firewall nezhodnocuje neaktivní pravidla, pokud obdrží pakety.
- Parametry akce – Parametry akce určují, jaké akce mají být podstoupeny při splnění podmínky pravidla. Je-li pravidlo vybráno jako odpověď na přijatý paket, jsou provedeny všechny akce. Paket je povolen nebo zamítnut a přihlašování se může jevit jako konfigurované.
Stavová kontrola
Brána firewall používá stavovou kontrolu. Stavová kontrola je proces sledující aktuálně povolená připojení. Jedinečná kombinace cílových adres IP, portů a aplikací je identifikována jako připojení.
Klient provádí rozhodnutí o toku provozu na základě informací o připojení. Když se nově přijatý paket shoduje s existujícím povoleným připojením, není podroben procesu kontroly pravidla. Je povolen automaticky. Co je důležitější, stavová kontrola umožňuje zjednodušení základny pravidel. Pro provoz zahájený pouze v jednom směru není třeba vytvářet pravidla povolující provoz v obou směrech. Mezi příklady klientského provozu standardně iniciovaného v jednom směru patří protokoly Telnet (port 23), HTTP (port 80), HTTPS (port 443) a FTP (port 21). Pro tyto protokoly vytvořte pouze odchozí pravidlo – odpověď je klientem Symantec Endpoint Protection povolena automaticky.
Způsob prioritizace pravidel brány firewall
Každému pravidlu v tabulce brány firewall je automaticky přiřazeno číslo priority. Číslo pravidla určuje pořadí zpracování pravidel. Brána firewall klienta Symantec Endpoint Protection zpracovává sadu pravidel v sekvenčním pořádku počínaje pravidlem číslo jedna.
Závažnost pravidla (0 až 15) určuje, jak důležité pravidlo při spuštění je:
- kritická,
- závažná,
- méně závažná,
- informativní.
Pravidla nejsou žádným způsobem logicky kombinována a brána firewall neimplementuje algoritmus nejlepší shody. Tento scénář činí navrhování sady pravidel a řešení potíží jednoduššími, protože není třeba zvažovat logiku výběru pravidel v širší souvislosti, než je jednoduché porovnávání s provozem.
Sada pravidel brány firewall je rozdělena modrou čarou:
Správci systému s plným přístupem k řízení mohou upravovat pravidla s nejvyšší prioritou, která jsou umístěna nad modrou čarou.
Klienti se smíšeným řízením mohou někdy upravovat pravidla s nižší prioritou, která se nacházejí pod modrou čarou.
Typ řízení
Pravidla jsou zařazena do kategorií jako pravidla serveru nebo pravidla klienta: Pravidla serveru jsou vytvářena v serveru pro správu a stahována do klienta. Pravidla klienta jsou ta, která uživatel vytváří na klientovi.
Následuje popis vztahu mezi úrovní řízení uživatele klienta a interakcemi uživatele s pravidly brány firewall:
- Při řízení serveru klient dostává pravidla serveru, ale uživatel je nemůže zobrazit. Uživatel nemůže ani vytvářet pravidla klienta.
- Při smíšeném řízení klient dostává pravidla serveru a uživatel je může zobrazit v dialogovém okně Pravidla brány firewall. Uživatel může také vytvářet pravidla, která jsou sloučena s existujícími pravidly. Pravidla klienta jsou však umístěna pod modrou čáru a mají nižší prioritu.
- Při řízení klienta má klient úplnou kontrolu. Při udělování smíšeného řízení nebo řízení klienta uživatelům je vhodné dbát opatrnosti.
U klientů se smíšeným řízením zpracovává brána firewall pravidla serveru a klienta v určitém pořadí. Pravidla serveru s vysokou prioritou jsou zpracována jako první. Poté jsou zpracována pravidla klientů a naposledy pravidla serveru s nízkou prioritou.
Při nastavování klienta na smíšené řízení dbejte opatrnosti, protože uživatel smí vytvořit pravidlo klienta povolující veškerý provoz, které bude mít přednost před všemi pravidly serveru pod modrou čarou.
Výchozí pravidla brány firewall
Brána firewall je instalována s výchozími pravidly klasifikovanými jako Povolit, Zamítnout, Blokovat a protokolovat nebo Pouze protokol.
Pravidla Povolit zahrnují fragmentované pakety a bezdrátový protokol Wireless EAPOL (Wireless Extensible Authentication Protocol Over LANS). Protokol Wireless EAPOL je aktuálně definován pro sítě LAN podobné Ethernetu včetně bezdrátové technologie 802.1x, a také pro adaptéry LAN token ring (včetně FDDI). Je povolen také ovladač MS Remote Access and Routing ARP Driver, všechny odchozí komerční aplikace, odchozí pakety ping, pong, tracert a komunikace VPN.
Pravidla Zamítnout zahrnují blokování protokolu IPv6, IPv6 over IPv4, místního sdílení souborů a Vzdálené správy
Protokolovací pravidla zahrnují: Neprotokolovat provoz při vysílání a vícesměnovém vysílání, blokovat a protokolovat provoz IP a blokovat veškerý další provoz.
Inteligentní filtrování provozu
Inteligentní filtry provozu umožňují použití nezbytných síťových služeb bez toho, aby pravidla tyto služby výslovně povolovala.
Inteligentní filtry jsou standardně povoleny a jsou definovány pro tyto služby:
Inteligentní filtry se vyhodnotí před vyhodnocováním sady pravidel, což znamená, že jsou povoleny všechny pakety, které odpovdají aktivnímu výskytu inteligentního filtru. Všechny ostatní jsou zamítnuty. Požadavek DHCP, DNS nebo WINS musí pocházet z klientského počítače a k odpovědi musí dojít v předem definovaném pětisekundovém období. Server odešle odpověď a ověří se, jestli je typ odpovědi platný ve vztahu k původnímu požadavku klienta.
Inteligentní protokol Smart DHCP umožňuje normální vysílání zpráv DHCP, aniž by bylo definováno pravidlo. Klientské zprávy DHCP musí být konfigurovány tak, aby automaticky získaly adresu IP.
Jak mechanismus inteligentního filtru zpracovává výměnu zpráv DHCP:
- Klient nejdříve podá zprávu o zjištění vysílání DHCP. Odeslání této zprávy způsobí vytvoření nového inteligentního filtru.
- Server musí odpovědět nabídkou (OFFER) v rámci relevantního okna pěti sekund. Mějte na paměti, že každé připojení inteligentního filtru vyprší během pěti sekund.
- Klient poté vyšle zprávu s požadavkem vysílání DHCP, která vytvoří další inteligentní filtr, a server musí odpovědět potvrzením (ACKNOWLEDGEMENT) v rámci relevantního okna pěti sekund.
Rozhraní, přes které jsou přenášeny požadavky DNS, musí být konfigurováno v nastavení TCP/IP s primárním a volitelně i sekundárním serverem DNS. Pověření primárního a sekundárního serveru lze manuálně konfigurovat, nebo obdržet pomocí adresování DHCP. Jsou povoleny pouze požadavky zahájené klientem a adresované konkrétnímu primárnímu nebo sekundárnímu serveru DNS. Jakýkoli jiný požadavek DNS je automaticky zamítnut.
Inteligentní protokol Smart WINS umožňuje použití služby WINS. Požadavky WINS musí být konfigurovány pro používání zjišťování WINS v rozšířených nastaveních protokolu TCP/IP. Na rozdíl od serverů DNS, které jsou omezeny na určení primárního a sekundárního serveru, lze definovat jakékoli množství serverů WINS. Jsou povoleny pouze požadavky zahájené klientem a adresované předdefinovanému serveru WINS. Jakýkoli jiný požadavek WINS je automaticky zamítnut. Zjišťovací požadavek klienta způsobí přidání nového inteligentního filtru do seznamu, který definuje pětisekundové okno pro odpověď ve vztahu ke konkrétnímu požadavku. Vyžádaný server musí odpovědět a odpověď musí být přijata v rámci určeného časového období. Obsah odpovědi je ověřen také proti původnímu požadavku. Neplatné odpovědi jsou ignorovány.
Ochrana NetBIOS a Token Rings
V klientském počítači můžete povolit nastavení provozu, které zjišťuje a blokuje provoz komunikující prostřednictvím ovladačů, protokolu NetBIOS a funkce token ring. Můžete rovněž konfigurovat nastavení zjišťující provoz, který používají méně zjevné formy útoků.
K nastavením provozu patří:
- Standardně je povolená možnost Povolit ochranu na úrovni ovladače. Když je tato možnost povolena, jakýkoli ovladač protokolu přistupující k síti se jeví jako síťová aplikace. Ovladače protokolů lze dynamicky blokovat a povolovat. Mějte na paměti, že možnost Povolit ochranu NetBIOS není standardně povolena. Když je tato možnost povolena, zásada brány firewall brání klientovi v příjmu paketů NetBIOS na portech UDP 88, UDP 137, UDP 138, TCP 135, TCP 139, TCP 445 a TCP 1026, pocházejících od počítačů umístěných v jiné podsíti.
- Možnost Povolit provoz token ring je standardně povolená. Když klienti komunikují přes adaptér token ring, tato možnost musí být povolena v zásadě brány firewall, aby klient mohl přistupovat k síti.
- Možnost Povolit obrácené vyhledávání domény DNS je standardně povolena. Když klient obdrží paket IP s neznámou adresou IP, tato možnost umožňuje odeslání zpětného požadavku DNS, který se pokusí o zjištění názvu domény.
- Možnost Povolit opatření proti falšování adresy MAC je standardně zakázána. Když je tato možnost povolena, Opatření proti falšování adresy MAC chrání počítač před resetováním tabulky adres MAC jiným počítačem.
Nastavení režimu Skrytí
Při konfiguraci nastavení režimu Skrytí závisí problémy s kompatibitou na povolených nastaveních. Některá nastavení mohou způsobovat nesprávné vykreslování webových stránek. Jiná nastavení mohou způsobit blokování veškerého provozu, pokud je instalována nekompatibilní síťová karta. Na rozdíl od Nastavení provozu jsou všechna Nastavení režimu Skrytí zakázána.
Konfigurovat můžete následující nastavení režimu Skrytí:
- Povolit procházení webu v režimu Skrytí: Toto nastavení zjišťuje veškerý provoz prostřednictvím protokolu HTTP na portu 80 z webového prohlížeče a odebírá informace jako název prohlížeče, číslo verze, operační systém a referenční webovou stránku. Toto nastavení brání webovým stránkách v zjišťování, jaký operační systém a prohlížeč klient používá.
- Povolit resekvencování TCP: Toto nastavení zabraňuje vetřelci využít schopnosti zfalšovat adresu IP počítače náhodným generováním čísel sekvence protokolu TCP.
- Povolit maskování otisku operačního systému: Toto nastavení zabraňuje programům zjišťovat operační systém počítače, na kterém je spuštěn software klienta Symantec Endpoint Protection. Toto nastavení pracuje nejlépe, je-li povolena změna posloupnosti portů TCP. Klient změní hodnotu TTL (Time-To-Live) a identifikační hodnotu paketů TCP/IP, aby bylo zabráněno identifikaci operačního systému jinými programy pomocí signatur paketů.
Pořadí zpracování pravidel
Následuje pořadí zpracování všech prvků Ochrany před síťovými hrozbami. K těmto prvkům patří nastavení provozu a režimu Skrytí:
- Nejdříve jsou zpracovány vlastní signatury prevence narušení.
- Dále jsou zpracována nastavení prevence narušení, nastavení provozu a nastavení režimu Skrytí
- Poté jsou zpracovány Inteligentní filtry provozu a pravidla brány firewall.
- Nakonec jsou zpracována prověřování portů a signatury systému prevence narušení stažené přes službu LiveUpdate.
Prevence narušení
Systém prevence narušení (IPS) je po bráně firewall druhou úrovní zabezpečení klienta. Systém prevence narušení je založený na síti a funguje na každém počítači s nainstalovaným klientem a aktivovaným systémem prevence narušení. Je-li zjištěn známý útok, může jej zablokovat jedna i více technologií prevence narušení.
Klient obsahuje inteligentní signatury útoku, které mají lepší schopnost zabránit vniknutí. Klient obsahuje také stavový modul, který sleduje veškerý příchozí a odchozí provoz. Standardně obsahuje také modul prevence narušení a odpovídající sadu signatur útoku.
V závislosti na zvolených nastaveních prevence narušení můžete blokovat určité typy útoků na klienta. Pokud například chcete povolit modul signatur systému prevence narušení Symantec a vlastní modul signatur systému prevence narušení, musíte povolit nastavení Povolit prevenci narušení.
Konfigurovat můžete následující nastavení prevence narušení:
- Povolit prevenci narušení – Automaticky zjišťuje a blokuje síťové útoky. Pokud toto nastavení nepovolíte, klient bude ignorovat možné signatury útoku.
- Povolit zjištění útoku denial of service – Zjišťování identifikující známé útoky na základě více paketů.
- Povolit zjištění prověřování portů – Sleduje všechny příchozí pakety blokované některým pravidlem zabezpečení.
- Automaticky blokovat adresu IP útočníka – Blokuje síťový provoz od útočníka po konfigurovatelnou dobu (standardně 10 minut)
Mějte na paměti, že když klienta nastavíte na smíšené řízení, je třeba tato nastavení povolit také v dialogovém okně Nastavení řízení klienta/serveru.
Doporučení – Aplikace zásad brány firewall v síti
Než aplikujete zásadu brány firewall na celou síť, měli byste ji nejdříve aplikovat na malou podsíť klientů, která může reprezentovat zbytek vaší sítě. Je-li to možné, měli byste zásadu nejdříve použít v testovacím prostředí. Aplikace Symantec Endpoint Protection poskytuje výchozí zásadu brány firewall jako základ, na kterém můžete stavět. Ve většině případů je třeba výchozí zásadu brány firewall upravit, aby se přizpůsobila architektuře vaší sítě a zásadám zabezpečení vaší společnosti.
Používání stavové kontroly bránou firewall zjednodušuje vytváření a údržbu pravidel a umožňuje klientským počítačům uskutečňovat nutná připojení a přitom být chráněny. Součásti zásady brány firewall, které nejsou postaveny na pravidlech brány, také chrání klientské počítače. K těmto součástem patří prevence narušení a inteligentní filtry provozu.
Když jste připraveni aplikovat zásadu brány firewall na vaši síť, řiďte se následujícími kroky:
- zajistěte ochranu prevencí narušení;
- aplikujte zásadu brány firewall na malou podsíť počítačů;
- sledujte síťový provoz pomocí protokolů;
- vylaďte zásady na základě informací o síti nashromážděných v protokolech;
- aplikujte upravenou zásadu na celou síť.
Povolení a konfigurace prevence narušení
Bez ohledu na způsob konfigurace jiných funkcí ochrany před síťovými hrozbami můžete chránit klienty a servery před mnohými síťovými útoky povolením prevence narušení. Prevence narušení je efektivním způsobem, jak blokovat známé útoky. Jelikož jsou pro nové útoky vytvářeny signatury, můžete počítače chránit aktualizací signatur systému prevence narušení pomocí služby LiveUpdate. Dále můžete vytvářet vlastní signatury prevence narušení, které jsou bránou firewall zpracovány jako první.
Aplikace zásady brány firewall
Výchozí zásada brány firewall může potenciálně blokovat provoz, který je nezbytný pro vykonávání pracovních aktivit vaší společnosti. Abyste se této možnosti vyhnuli, měli byste výchozí zásadu upravit tak, aby byla méně přísná.
Toho můžete dosáhnout provedením některé z následujících úprav:
- Změňte některá nebo všechna výchozí pravidla Blokovat na Povolit a ujistěte se, že možnost Protokolování těchto pravidel je nastavena na hodnotu Zapsat do protokolu provozu, aby pokaždé, když se provoz shoduje s těmito pravidly, byla informace zaprotokolována.
- Vytvořte nové pravidlo (Povolující pravidlo) a nastavte je na možnost Povolit a Zapsat do protokolu provozu. Přesuňte toto Povolující pravidlo v tabulce brány firewall nahoru, aby bylo zpracováno první.
Sledování síťového provozu
Po aplikaci upravené zásady můžete z konzoly aplikace Symantec Endpoint Protection Manager sledovat a analyzovat provoz procházející klientskými počítači. Z protokolů provozu můžete určit, který provoz by měl být povolen či blokován v závislosti na aplikaci, denní době či službě.
Vyladění zásady brány firewall
Po prostudování informací v protokolech provozu je můžete použít k úpravě zásady. Zásadu brány firewall můžete zpřísnit nebo uvolnit také konfigurováním Nastavení provozu a režimu Skrytí, které umožňuje nebo zabraňuje některým typům síťového provozu.
Obecně můžete zásadu zpřísnit zabráněním aplikacím v přístupu k síti nebo ve spuštění. Toho lze dosáhnout vytvářením vlastních pravidel brány firewall pro konkrétní aplikace. Existují však omezení, jelikož pravidla blokující přístup jistých aplikací k síti nezabraňují v jejich spuštění. Tento výsledek nemusí být tím, co jste měli v úmyslu.
Jiná metoda, kterou můžete vyzkoušet a která může být účinnější, používá zásadu Řízení aplikací. Pomocí zásady Řízení aplikací můžete blokovat spouštění aplikací.
Postupně byste měli zásadu krok po kroku zpřísňovat. Můžete například v jednom kroku blokovat vždy jednu nebo dvě aplikace a otestovat zásadu znovu. Nedochází-li k problémům, můžete pokračovat ve zpřísňování zásady dle potřeby.
Zavedení upravené zásady brány firewall do celé sítě
Po dokončení úprav zásady brány firewall na základě informací o síti z protokolů provozu a testování v prostředí můžete zásadu zavést do celé sítě s dobrým pocitem, že brána firewall vaše klientské počítače chrání, přičemž jim umožňuje nutný síťový provoz.
Dodatečné zdroje
Další informace o bráně firewall a řízení aplikací klienta Symantec Endpoint Protection najdete v Příručce správce aplikace Symantec Endpoint Protection a Příručce klienta aplikace Symantec Endpoint Protection.
Referenční odkazy
Tento dokument je k dispozici v těchto jazycích:
VYTISKNOUT TOTO ŘEŠENÍ
JAK HODNOTÍTE TOTO ŘEŠENÍ