防火墙审计的基本方法附步骤
防火墙审计的基本方法和步骤
(1)审前检查
在开始审计防火墙前,要把防火墙的四周网络环境,保护对象,安全要求搞清楚。还要收集一些必需的资料为后边的步骤做准备。起码要获得最新的以下方面的情报: 防火墙四周地区网络的流程图(包含内部和外面) 路由器的设置
防火墙及四周设施在网络上的名字和IP地点
防火墙网络连结状况(防火墙每个网络界面的IP和周边设施)
相关防火墙的最基本信息,比方生产厂家,版本,质量保障合同,管理员的姓名,24小时技术支持的电话号码,等等。
防火墙使用单位的安全(SecurityPolicy)。在国内还一定搞清楚国家和法律要求。 防火墙的管理制度(书面)。要认真检查责任制,改正控制过程(changecontrolprocess),维修和厂家销后支持的门路及过程,等等。
防火墙的安装、使用、升级、保护、及平时管理记录。 这一步其实是为整个审计工作做准备。假如缺乏以上任何一个方面的情报,一定在审计报告中建议相关人员补上。最难补的是安全。但是一个单位假如没有一个哪怕是很简单的安全,信息安全就只好是儿戏,充其量是某种缓兵之计。假如缺失防火墙记录,能补的尽量补上,补不上的就从此刻开始严格地做记录。依据笔者的经验,好多单位在这第一步就出问题。比方,根本没有任何的防火墙管理制度或保护日记。即便有,也是基本空白。防火墙的管理界面放到高危险区,防火墙的Internet端口接入的网络开关(NetworkSwitch)上接入了几个未登记的机器,等等。但假如这第一步没有问题,后边的问题也不会太多。
(2) 查察防火墙的配置、环境、和运转状况
下一步就是查察防火墙的配置、环境、和运转状况。这此中包含逻辑的和物理的状况要检查的起码应包含以下几个方面:
防火墙的硬件设置(这主若是查办理器的数量及速度,硬件防火墙免查这一项)。 防火墙的操作系统及版本(硬件防火墙免查操作系统及版本)。 防火墙的网卡设置速度。其速度跟网络开关的速度能否严格般配?
防火墙的日记是存在哪里的(存在自己的硬驱仍是另一计算机的硬驱)?假如存在此外一台计算机上,那么是如何保护日记的(能否加密)?保留多长时间?有没有把日记备份到磁带上?
假如防火墙的日记是存到自己的硬驱里,那么硬驱总合有多大储存空间?还剩多少储存空间?假如只剩有极少的空间,那么要赶忙想方法。
看一看防火墙的内存(RAM)使用状况。看看能否常常处于满负荷状态。假如是,就要在审计报告中建议考虑增添内存。
看一看防火墙的办理器使用状况。看看能否常常处于满负荷状态。假如是,就要在审计报告中建议改换机器。
关于软件防火墙,能否是按期将所有数据(包含操作系统)备份到磁带上? 防火墙有没有failover设置?假如有,怎么测试它能否真的管用? 有没有紧迫状况应急方案?对方案有没有进行按期的实战训练?
相关防火墙的文件能否是胡乱堆在哪个桌子上任人翻看?防火墙是放在哪里的?机房温度能否太高?防火墙的散热电扇能否在转?摸摸防火墙能否是烫手?机房的门能否是大敞开欢迎各方旅客?机房有没有防火报警器?防火墙能否是随意堆在另一台计算机上边一碰就倒?所
防火墙审计的基本方法附步骤
有的电缆能否用标签明确地说明网络界面及IP?电缆能否是吊在空中一不当心就会把人绊倒?电源能否是稳压的?有没有断电保护?机房地面能否是防静电的?机房的垃圾桶里面能否是有防火墙的表示图、半截烟头、香蕉皮?一个随意乱丢机密文件、在机房抽烟、饱张口福、想入非非的防火墙管理员是难以胜任的。
上边除第一个环节外,其余任何一个环节出问题,都有可能致使严重的结果。像防火墙操作系统的版本,假如仍是SunSolaris2.6,就是个大问题。因为Sun(升阳企业)早就停止支持Solaris2.6,其实不再为其写任何补丁了。这就是说,假如某黑客发现了一个新的SunSolaris2.6的破绽,SunSolaris2.6的用户将毫无措施。
(3) 认识防火墙的自己安全状况
下一步就是认识防火墙的自己安全状况。防火墙是用来保护网络的,自然第一要有能力保护自己。自己不保的防火墙等于是纵火墙。在这方面起码要把以下几点搞清楚: 关于软件防火墙,查察防火墙的操作系统终究有没有依据生产厂家的规定,安装足够的安全补丁。假如没有,那么将缺乏的补丁一一列出来。
查察防火墙自己的补丁–能否有依据生产厂家的规定,把安全补丁装够。假如没有,那么将缺乏的补丁一一列出来。假如是硬件防火墙,那么就要查察防火墙的 Firmware版本。而后查对生产厂家的最新版本。假如防火墙的Firmware确版本不是最新的,那么就要在审计报告中把这个问题写上去。
有多少人被受权进行防火墙的管理?他们是使用各自的用户名进入防火墙管理界面,仍能否共享一个用户名?有没有一张表示图表示这些人的权限?他们能否被要求按期改换口令?能否同意使用柔弱口令?防火墙日记能否记详尽记录每个管理员的进入系统的时间、输错口令的次数、被拒绝进入的次数,退出系统的时间,等等。
有没有“后门”能够避开各种安全控制,进入防火墙。这是比较困难的。因为防火墙管理员一般不会说出这一类奥密。要做些研究,包含向生产厂家咨询。特别是要向生产厂家探询系统安装时第一个使用的用户名及口令。而后看看那个用户名和口令能否是在系统安装好后已改正。
防火墙管理是从哪台计算机进行操作的?那台计算机能否是有屏幕保护以防备外人任意操作?能否是谁都能够躲在后边偷看一把?打开键盘底下,能否是写了一行口令?
一般地说,防火墙的管理是远程操作的。那么,我们要认识这一远程操作过程能否从头至尾加密。能够试一试用Telnet远程登录。还要搞清楚能否是任何IP都能够同意进行远程管理。假如是,必定要在审计报告中要求对IP 加严格的。
关于软件防火墙,还要认真检查操作系统的设置。能否是有任何剩余的系统过程(services)在运转?各用户口令能否认期改变?能否同意使用柔弱口令?能否有齐备的操作系统安整日记?等等。
(4) 检查防火墙的规则
此刻我们要进入审计的中心部分:检查防火墙的规则(ruleset)。这是防火墙审计过程中最困难、最复杂,最费时的一步。 每一条防火墙的规则的产生或改正,都需要有详尽的说明,写清楚是谁要求增添和改正的,原由安在,增添或改正的日期,以实时限等。我们第一
防火墙审计的基本方法附步骤
要把所有的规则从防火墙调出(几乎所有品牌的防火墙都有这项功能),而后打印出来。下边就要一条一条地去查察能否有说明……假如任何一条规则后边没有加说明,那么就要在审计报告中建议防火墙管理员补上。
而后,我们要检查防火墙的第一条规则。防火墙的第一条规则就是拒绝全部数据流进入(“blockall”)。这一步极少出问题。 下边的工作,就是要把所有时限并过时了的规则列在一同。这一步的目的就是防备那些应急策略变为永远策略。假如防火墙管理员关于每一条规则都做了详尽的说明,这一步就很快能够达成。达成这一步能够为下一步减少很多工作量。找出了所有的过时了的规则后,最后目的是要把它们删除,或许把它们变为永远性的(在不违犯安全的前提下)。假如防火墙管理员不可以供给很好的说明,这一步就没法达成。下一步就要多一些工作量。要把这个问题写在审计报告上,以防再次出现。
而后我们要一条一条地去核实防火墙规则的有效性。所谓有效性,是指两个方面。其一是指每一条规则能否需要存在。最简单的做法,就是核实每一条规则的起点和终点能否还存在。比方说一条规则要从内部IP192.168.24.20到外面IP201.30.33.11打开TCP端口3105,使企业某人能够参加某个网上会议。但是认真一检查,IP201.30.33.11已封闭多时。也就是说这一条规则无效,一定删除,或许改到正确的IP上。有效性又是指每一条规则能否能够做要做的事情。还以上边的例子,若是两个IP都处于工作状态,但是企业里这个参加网上会议的人总是诉苦不可以观看对方的视频讲解。只好够看静态的图象。检查原由,TCP端口3105是打开了,但是对方的系统要求把UDP端口也打开,才能看到视频。这条规则须经改正,加开UDP端口3105.
防火墙规则安全性的涵义较广。接受过特意培训的防火墙管理员一般是知道如何防止使用不安全的规则。但是现实中有好多复杂的状况,略不留意就会使一条规则成为一个安全隐患。安全性方面大部分问题都是把“洞”开得太大,或开在不应开的地方。举个例子,假定在DMZ上有几十台互联网服务器(WebServer)在昼夜运转。平时管理和监督这些服务器是经过一台设在内部网的Tivoli服务器来履行的。但是Tivoli服务器和DMZ上的几十台互联网服务器之间有一层防火墙挡着。依据IBM的技术文件,这就要在这一层防火墙开很多端口才行。有些还必需是双向的(bi-directional)。假如真听了IBM的话,那防火墙的安全性就大打折扣。因为攻破DMZ是相对来说较简单的事。攻破了DMZ,又有这么多端口大门敞开,攻入内部网络就不太费事了。解决这个问题的方法,是关掉这些端口,在DMZ上安装一个Tivoli数据中转服务器,而后只需在防火墙上开两个单向端口就行了。安全性还反应在能否履行单位的安全方面。比方说,某单位的安全规定严禁随意安装SMTP服务器。但是某部门妙想天开,要试验一下让客户能够自己开启用自己注册域名的Email帐户发送电子邮件的可行性。因为大家深知SMTP的危险性,就决定把它装在DMZ上,内外各有一层防火墙作屏障。但是因为SMTP端口在防火墙上已打开,并且因为是试验的缘由,对四周八方的邮件转发(MailRelay)的申请一概不拒。这一端口一开,立刻被世界上众多的垃圾邮件发送装置自动扫描到。几小时后不计其数的垃圾邮件就潮水般地涌过来,找寻免费服务。但是那个防火墙后边的SMTP服务器却说不可以,因为你们都不可以经过我的身份鉴识。但那不计其数的垃圾邮件发送装置不论这一套。这个失败了,那个又来碰试运气。这样一来,这台SMTP服务器一天到晚在被狂轰滥炸。炸几下其实不会致使任何严重结果。问题是网络被堵塞。事实上,这个问题在国内比较严重。好多SMTP服务器根本没有任何防备垃圾邮件功能。它们深受国际垃圾邮件大佬们的喜爱。解决这个问题很简单:在审计报告中建议:严格依据单位的
防火墙审计的基本方法附步骤
安全做事,撤消这种的不安全的SMTP服务器。中国的详细国情是,国家有严格规定阻拦特定的IP流通。那么这也是要查的一项。
最后,我们要保证防火墙规则的合理性。合理的防火墙规则应没有重复,没有交叠,它们之间也不相互矛盾。这方面的问题在多人管理的防火墙上许多。要把重复的,相互交叠的,还有相互矛盾的规则列出来,在审计报告中建议改正它们。
上边几件事做好了,防火墙的一团乱线就理清了,人为造成的破绽堵住了。在美国好多单位有人仅凭做好这件事情,就会获得上边的奖励。因为它解决了好多实质问题。
(5)使用扫描测试工具
上边几个环节,都是由经验丰富的人去做的。此刻我们能够轻松一点了:让傻瓜机器去帮点忙。这就是对防火墙进行破绽扫描(VulnerabilityScan)。这一类时兴的安全软件工具市场上起码已有一打。有些的确很好。要注意的是,对防火墙的每一个网络界面都要扫描一番,不要遗漏任何一个。假如你有更时兴的穿透试验(PenetrationTest)软件,自然也不如拿过来用用。你手中的百般武艺尽能够拿来大显神通。笔者还建议,对用来做防火墙管理的计算机也不如扫描一番,比方说看看能否有人已送了一个特洛伊木马去常驻。假如把寄存防火墙日记的那台计算机也扫描一番,也不算过分。把所有扫描结果写到审计报告上。有一点要注意的是,不论你用何种方法对防火墙进行扫描,必定要把时间,扫描工具或人使用的IP都正确地记下来。在下一步的审计防火墙的日记时,必定要看看防火墙日记有没有把遇到的攻击照实记录下来。有的防火墙设置有警报。要看看警报系统能否正常工作。
(6)审计防火墙的日记
国内对这方面已有许多介绍。这里就不打算重复了。这方面的软件也许多。我想提示两点:第一,关于软件防火墙,别忘了也审计防火墙操作系统的日记。假如一台防火墙也用来做VPN,那么也要注意相关VPN上各项活动的日记(一般来说这种VPN没有的日记)。假如一台防火墙也用来做代理服务器(Proxy),那么也要审计代理服务器的日记。审计代理服务器的日记耗资时间,用软件工具能够大大提升效率。第二,审计防火墙的日记,其实不仅仅是一个技术问题,有时也可能会引出人事,法律,隐私等问题。它在某种程度上能够监督追踪职工上班时的网上行为。它可能致使职工丢饭碗,也可能裸露职工的工作效率,情绪,嗜好。审计防火墙的日记,最好由两人查察同一日记,以防任何一人隐瞒任何问题。但关于审计的结果,要严加保密。假如审计结果涉及到人事、法律方面的问题,要把原始凭证妥当保留好,以便复核。只有原始日记才能用于法律凭证。在防火墙的审计报告中要隐去涉嫌人名。
(7)对防火墙实行攻击测试
最后的一步,就是对防火墙实行攻击测试(PenetrationTesting),以测试防火墙的真切安全性。
这需要最慎重从事。这是只有专家才能做的事情。不一样的专家因为经验和手段不一样,会得出不一样的结果。称职的这种专家人数极少。假如没有条件,这一步能够省略。
对防火墙的审计工作自己,大概就是这些步骤。但要把工作有头有尾,还有一件大事要做,这就是要把审计报告写出来。这是能够自动化的。把上述讲的所有结果列在一张表格上。而后给每一方面进行打分。打好分后把分数最低和最高的那几条写到总结里去。对需要更正的地方,提出相对的建议。而后再把几个大方面的结果画几张五彩缤纷的大饼图。最后再搞几个附录之类的。报告就做出来了。防火墙的审计报告,要以简单了然的方式和格式,让客
防火墙审计的基本方法附步骤
户看得懂,知道如何去更正错误,防止再出错误。这就要把复杂的事情弄简单调些。
常有的防火墙审计检查表
防火墙 安全审查
被审查部门 序号 审查项目 防火墙安全策略审查 1 审查人员 审查步骤/方法 检查防火墙安全策略的设置能否合理: 1. 检查防火墙能否只开放了一定要开放的端口; 2. 检查防火墙能否严禁了所有不用要开 放的端口; 3. 检查防火墙能否设置了防DOS攻击安全策略; 4. 检查防火墙能否设置了抗扫描安全措施。 防火墙采纳何种应用模式(透明、NAT、路由),能否采纳了必需的NAT、PAT措施隐 蔽服务器及内部网络构造 检查防火墙操作系统能否为最新版本、能否安装相应的安全补丁。 审查日期 审查结果 陪伴人员 增补说明 备注 2 防火墙应用模 式安全审查 防火墙 软件检查 防火墙管理检查 3 4 1. 检查防火墙的经过什么方式进行管理,能否为安全的管理方式 2. 检查防火墙能否依据权限不一样进行 分级管理 3. 检查防火墙的口令设置状况,口令设置能否知足安全要求 1. 检查防火墙的日记设置能否合理,能否有所有拒绝数据包的记录日记。 2. 检查防火墙的日记保留状况,所记录的日记能否有连续性; 3. 检查防火墙日记的查察状况,网络安全管理员能否依据防火墙管理制度对防火墙进行平时保护 防火墙日记检查 5