防火牆入門 主講:王慶祥 2007/12/19 2007/12/26
Fortigate 400之過去現在與未來 緣起:三年前的一項國教課重大採購案 時空環境的改變,對FG400所產生的影響 接下來將面臨的問題 CPU 高utilization的韌體更新 WebGuard除役 網路電話 接下來將面臨的問題 Licence即將到期 更新FortiOS的教育訓練
FortiGate – 400 Supports high-availability (HA) configuration LCD Display Command-Line 4 User Definable Removable Hard Drive Supports high-availability (HA) configuration 4 User-definable ports & zones Integrated logging (removable 20 GB hard drive) Terminates PPTP and L2TP traffic on any configured port/interface Ideal for enterprises that can benefit from multi-zone applications
ISMS建置計畫 教育體系資訊安全責任分級。 教育體系資通安全管理系統(Information Security Management System, ISMS)建置與驗證機制說明。 Fortigate 400防火牆可以協助支援哪些工作?
網管人員可能面臨的問題 學校連上網路的設備逐年累加,公眾IP已不敷使用 筆記型電腦氾濫,需要管理嗎?該怎麼管? 電腦一多,網路連線速率就越來越慢 學務系統架構在網際網路服務的基礎上,會有哪些風險?該怎麼避免?
網管人員可能面臨的問題 無線基地台造成安控風險,如何設限避免成為校內網路的漏洞。 電腦病毒、惡意軟體一大堆,班級電腦沒有更新病毒碼,一上網就中了木馬。 有些服務是明碼傳輸,若是從校外連回學校,要怎麼確保安全? 如何防範網路剪刀手的惡意阻斷?
網管人員可能面臨的問題 垃圾郵件滿天飛,若是無法避免,該怎麼減少困擾? 有些電腦開啟通訊埠、沒有定期update系統漏洞,該怎麼處理會比較好? 即時通訊到底適不適合開放?Foxy呢? Log的格式不易判讀,怎麼知道使用者對於網路的存取記錄?
何謂防火牆? 防火牆 : 兩個不同網路間的安全閘道 追蹤及控制網路的連線 可以對每一個網路連線選擇允許,拒絕,丟棄,加密,紀錄等動作 Internet “允許資料往Internet” 防火牆 : 兩個不同網路間的安全閘道 追蹤及控制網路的連線 可以對每一個網路連線選擇允許,拒絕,丟棄,加密,紀錄等動作 “拒絕來自Internet 的資料” 企業網路
防火牆運作模式 – 如何架設Fortigate? Route / NAT mode 1. Fortigate和ATU-R該用何種網路線介接?(平行線或跳接線) 2. Fortigate和Switch該用何種網路線介接?(平行線或跳接線)
FG400 – NAT/Route
NAT( Network Address Translation)轉址運作原理 192.172.1.1-192.172.1.254 219.22.165.1 Public IP Address(es) Internal IP Addresses Internet 企業網路 將企業內部使用的保留位址轉換為合法位址 隱藏內部主機的真實位址,被免遭受攻擊 可以讓企業內部使用更多的主機
NAT ( Network Address Translation)轉址運作原理 Internet 1.1.1.1 1.1.2.1 NAT .1 .5 Http-Server .5 192.168.1.0 SrcIP DstIP Prot SrcPort DstPort Data 192.168.1.5 1.1.2.5 6 12345 80 Get SrcIP DstIP Prot SrcPort DstPort Data 1.1.1.1 1.1.2.5 6 54321 80 Get 防火牆Policy (啓動NAT). 將內部來源IP轉址成FG外部網路介面IP, Fortigate會記錄NAT 轉址表. 將內部來源IP轉址成FG所定義IP pool中的IP, Fortigate會記錄NAT轉址表. RFC1918: Indicates Private IP Networks. 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16
Route路由運作原理 防火牆policy (不啓動NAT). FG只檢查路由表,根據路由表將封包送往所指定的位址,而不變動來源IP或來源埠 Internet 1.1.1.1 1.1.2.1 Route .1 .5 Http-Server .5 1.1.3.0 SrcIP DstIP Prot SrcPort DstPort Data 1.1.3.5 1.1.2.5 6 12345 80 Get SrcIP DstIP Prot SrcPort DstPort Data 1.1.3.5 1.1.2.5 6 12345 80 Get 防火牆policy (不啓動NAT). FG只檢查路由表,根據路由表將封包送往所指定的位址,而不變動來源IP或來源埠
防火牆運作模式 Transparent mode 1. 介於router和switch間, 或 2. 介於ATU-R和Router間 無論是route/NAT或是transparent 模式, 通過的封包都會由Fortigate進行封包檢查
FG400 – Transparent
Transparent 通透模式運作原理 防火牆policy 沒有NAT或路由,FG單純地檢查經過的封包 Internet 1.1.1.1 1.1.2.1 Trans .1 .5 Http-Server .5 1.1.1.0 SrcIP DstIP Prot SrcPort DstPort Data 1.1.1.5 1.1.2.5 6 12345 80 Get SrcIP DstIP Prot SrcPort DstPort Data 1.1.1.5 1.1.2.5 6 12345 80 Get 防火牆policy 沒有NAT或路由,FG單純地檢查經過的封包
學校連上網路的設備逐年累加,公眾IP已不敷使用 採用DHCP,動態配發IP 針對內部網路,採行NAT的機制,減少Public IP的需求。 可在DHCP上設定網卡位址(mac address)與IP的對應,以便使用記錄的稽核。 針對某些FTP Server會限制來源的連線數,可在對外網路設定Virtual IP因應。
筆記型電腦氾濫,需要管理嗎?該怎麼管? 有設備就一定要管,只是看管理的範圍和尺度。 可設定IP mac綁定(Binding),避免Power User藉由更改IP逃避稽核,或是規避防火牆的控管規則。
電腦一多,網路連線速率就越慢 由於ethernet採用CSMACD,因此上網設備一多,封包踫撞的情形就愈明顯,可利用Switch Hub稍微緩解。 適當將校園網路進行區段切割(segment),可有效紓解,進一步配合防火牆策略,可強化整體安全。
學務系統架構在網際網路服務的基礎上,會有哪些風險?該怎麼避免? 學務系統主機應該單純服務,除了HTTPd、mySQLd之外,非必要的daemon與xwindow都不要安裝,設定好iptables開於特定對象,並自動進行系統yum更新。 啟用port443,以安全加密通道傳輸。 將SFS主機置於防火牆內部,採PAT提供對外服務。
無線基地台造成安控風險,如何設限避免成為校內網路的漏洞。 針對校外高手,隱藏SSID、鎖定mac通常用意不大,可使用WEP或WPA,增強實體接取的安全強度。 http://sectools.org/crackers.html 可配合防火牆進行使用者身份認證,當認證通過後記錄使用者上線log,再開放存取服務。
電腦病毒、惡意軟體一大堆,班級電腦沒有更新病毒碼,一上網就中了木馬。 定期教育訓練與資安宣導仍有其必要性。 郵件的寄出(SMTP)與收取(POP3、IMAP),甚至Webmail附件,都必須經過閘道防毒管控。 參考校內流量,在FG400可在負荷的範圍內,進行HTTP、FTP、IMAP、POP3、SMTP、IM、NNTP等過濾分析。
有些服務是明碼傳輸,若是從校外連回學校,要怎麼確保安全? 對於居家辦公的老師,可透過VPN連線,以保障網路傳輸的過程,不被中途攔截並解析封包內容。 針對一般網頁應用,啟用FG400的SSL VPN的Web mode就已足夠,若是針對特殊應用需求,則可設定Tunnel mode,以獲得最大的彈性。
如何防範網路剪刀手的惡意阻斷? 網路剪刀手(Netcut)是可以從網路取得的tools,利用ARP Spoof的手法,變更特定電腦或是閘道器上的ARP快取,以達到阻斷連線的目的。 建立FG400的Static ARP table,可確保ARP資料的正確性。
垃圾郵件滿天飛,若是無法避免,該怎麼減少困擾? 這是一個棘手的問題,或可考慮Google Apps,將Email的服務委外處理。 使用縣府配發的垃圾郵件過濾設備,沒錢的單位可利用軟體式nopam,亦可有不錯的效果) 利用FG400的簡易比對機制(特定來源、黑白名單…) 可購買FG400 AntiSPAM的授權,做進一步防範。
有些電腦開啟通訊埠、沒有定期update系統漏洞,該怎麼處理會比較好? 系統更新(Windows Update)和更新病毒碼一樣重要,可配合辦理教育訓練。 使用FortiAnalyzer,定期對內部環境進行掃瞄,藉以發現可能的弱點,明確處理已知間題。
即時通訊到底適不適合開放?Foxy呢? IM管控一直是見仁見智的措施,必要時可進行攔阻,甚至側錄通訊內容(最好事先告知同仁再設定)。 Foxy等P2P的軟體,在實際使用層面上,通常是弊大於利(侵犯智慧財產權),最好不要在具有敏感性資料的電腦上執行。 可加以阻斷,或是利用sniffer找出特徵。
Log的格式不易判讀,怎麼知道使用者對於網路的存取記錄? 網路相關記錄建議保存半年以上。 搭配FortiReport或是採購FortiAnalyzer,以滿足需求。
與防火牆有關的控制項 分享其它所面臨的風險與威脅 保障資訊資產的C I A,搭配ISO27001的附錄控制項,思考防火牆所能發揮的功用。 機密性(Confidentiality):使資訊不可用或不揭露給未經授權之個人、個體或過程的性質。 完整性(Integrity):保護資產的準確度和完全性的性質。 可用性(Availability):經授權個體因應需求之可存取及可使用的性質。
FG400操作界面
FG400操作界面
FG400操作界面
FG400操作界面
FG400操作界面
Fortigate 管理介面 透過CLI (command line Interface), 如: console, telnet, ssh. 透過WEB GUI (Graphic User Interface), 如: Internet Explorer 使用http 或 https (SSL).
制定防火牆規則 Firewall -> Policy -> Create New
制定防火牆規則 Source interface 選 inernal Destination interface 選 external Source 和 Destination 都選 all 若FG為Route/NAT, 則視客戶 環境是否需要作NAT, 若FG為 Transparent模式,則不會有 NAT選項 按”OK”建立防火牆政策 在FG-60,FG-100 機型內,則已預建了一條如上的防火牆政策,且已啓動了防毒的功能 (但會在後面章節修改,這個預建的政策不建議直接使用)
制定防火牆規則 若防火牆架設在網路環境上,無論是Route/NAT或是Transparent模式,此時會阻擋由防火牆外部到內部的流量.
實險操作練習 需要輸入帳號密碼才可連到Internet 設定防毒(AntiVirus),避免從網路下載病毒 網路競賽,限定只能連上特定網站 網路查資料比賽,禁止使用yahoo知識家 建立VPN
進階課程內容 韌體升級、備份和還原設定 DHCP服務設定、利用Expect實作IP與MAC綁定 入侵偵測與啟用網路攻擊特徵判定 韌體升級、備份和還原設定 DHCP服務設定、利用Expect實作IP與MAC綁定 入侵偵測與啟用網路攻擊特徵判定 整合LDAP進行使用者認證 建立VPN 弱點掃瞄 事件記錄與通知