Межсетевое экранирование
         

Встраивание firewall’ов в ОС


Другим ключевым фактором успешного управления окружением firewall’а является согласованность платформы. Firewall’ы должны быть реализованы на системах, содержащих встроенные ОС, которые специальным образом урезаны и усилены для приложений безопасности, например, представляют собой так называемый "бастионный хост". Firewall’ы никогда не должны размещаться на системах, которые имеют какие-либо опции, позволяющие проводить инсталляцию.

Конфигурирование ОС firewall’а должно быть основано на принципе оставления минимального множества возможностей. Все ненужные функциональности ОС, особенно компиляторы, редакторы и другие инструментальные средства разработки должны быть удалены до того как firewall начнет функционировать. Все необходимые patches ОС должны быть применены перед инсталляцией компонент firewall’а.

Конфигурирование ОС не должно абсолютно полагаться на модификации, сделанные в процессе инсталляции firewall’а. Программы инсталляции firewall’а основаны на минимально необходимых установках; дополнительные пакеты или модули при инсталляции могут быть не удалены или не запрещены.

Процедура укрепления, используемая при инсталляции, должна основываться на свойствах конкретной ОС, лежащей в основе. Должны быть выполнены следующие действия:

  • Любые неиспользуемые сетевые протоколы должны быть удалены из ОС, на которой выполняется firewall. Неиспользуемые сетевые протоколы могут потенциально использоваться для получения доступа к firewall’у. Запрещение неиспользуемых протоколов гарантирует, что атаки на firewall, использующие технологии инкапсуляции протокола, не будут эффективны.
  • Любые неиспользуемые сетевые сервисы или приложения должны быть удалены или запрещены. Неиспользуемые приложения часто применяются для атаки на firewall’ы, потому что многие администраторы небрежно относятся к модификации установок по умолчанию для управления доступом firewall’а. Кроме того, неиспользуемые сетевые сервисы и приложения обычно выполняются, используя конфигурации по умолчанию, которые, как правило, намного менее безопасны, чем реальные конфигурации.
  • Любые неиспользуемые пользовательские или системные аккаунты должны быть удалены или запрещены. Данная проблема специфична для каждой ОС, так как все ОС различаются в терминах, в которых представлены аккаунты по умолчанию.
  • Применение всех соответствующих patches ОС также является критичным. Так как patches и hot fixes обычно адресованы для решения проблем, относящихся к безопасности, они должны быть интегрированы в процесс построения firewall’а. Patches всегда должны быть протестированы на непроизводственной системе перед тем, как ставить их на производственную систему.
  • Неиспользуемые физические сетевые интерфейсы должны быть удалены с сервера.



Содержание раздела