Podkast 22T15 Firewall Przed Routerem

WERSJA TEKSTOWA

Cześć, witam Cię w dzisiejszym odcinku mojego podkastu. Dzisiejszy temat to Firewalle i ich miejsce, ustawienia, względem routera. To pytanie otrzymałem ostatnio pod jednym z filmów więc chętnie dzisiaj na nie odpowiem.

Jeżeli chodzi o umieszczenie Firewalli, to zasadniczo najczęściej umieszcza się je przed routerem. Tzn. na samym styku z jakąś siecią mniej zabezpieczoną typowo internet, tak, żeby można było wprowadzić jakieś początkowe reguły bezpieczeństwa. Jeśli ta sieć jest większa, to mamy najczęściej za tym Firewallem strefę DMZ, czyli strefę, która ma styk z publiczną siecią a jednocześnie ma drugą warstwę Firewalli. Pomiędzy DMZ-em a wewnętrzną siecią jest kolejny Firewall, klaster Firewalli. Tak, żeby można było odpowiednio ograniczyć ruch pomiędzy urządzeniami, które mogą być dostępne z Internetu a tymi, które są w naszej wewnętrznej sieci. Czyli w tej sieci najbardziej zabezpieczonej. Tej, która ma mieć najwyższy poziom zaufania.

Najczęściej się posługujemy takimi pojęciami jak poziom bezpieczeństwa czy zaufania tej sieci i idziemy bardziej na zewnątrz od naszych kluczowych, krytycznych systemów, to stawiamy kolejną warstwę Firewalli, tak, żeby można było ograniczyć wymagany dostęp do minimum. Dlatego, że jeżeli mamy jakiś serwer, załóżmy www, w naszym DMZ-cie albo jakiś inny publiczny zasób, który ma mieć dostęp od zewnątrz, np VPN, to chcemy, żeby minimalna ilość systemu w tym DMZ-cie istniała. W przypadku połączenia pomiędzy takim koncentratorem VPN-owym a wewnętrznym systemem np domeną – najczęściej uwierzytelniamy użytkowników w oparciu o konta domenowe – to wtedy instalujemy dodatkowo (to też rekomendacja Microsoftu) taki kontroler w trybie read-only w DMZ-cie. Tak, żeby można było aktualizować dane od naszej wewnętrznej naszej sieci do DMZ-u i posiadać tam informacje o użytkownikach. Tak, żeby można było spinać VPN-a do naszej sieci wewnętrznej a jednocześnie, żeby od strony DMZ-u nie można było nawiązać połączenia do systemu wewnętrznego.

Jest to taka podstawowa zasada zabezpieczania naszych zasobów w modelu stopniowym. Jeśli mamy mniejszą sieć to najczęściej nie mamy tylu funduszy, aby zrobić Firewall zewnętrzny oddzielający internet od DMZ-u i DMZ od sieci wewnętrznej. Tu, w zależności od możliwości – jeżeli mamy możliwość tylko zabezpieczenia jednego miejsca i tworzymy taki DMZ to możemy taki Firewall użyć jednocześnie w formie routera i na nim kreować sobie DMZ boczną nogą i reguły, które dotyczą przychodzenia ruchu z Internetu do DMZ-u i reguły, które dotyczą ruchu od DMZ do wewnętrznej sieci lub od wewnętrznej sieci do DMZ-u. Możemy to wykonać na jednym urządzeniu, jeśli nasze środki są ograniczone. Natomiast jeżeli mamy całkowicie małą lokalizację lub jest to bardzo mała firma i nie ma nawet jakiś specjalnie dedykowanych Firewalli, to możemy na routerze lub na UTM-ie, który jednocześnie pełni rolę routera i Firewalla, takie reguły kreować.

To, co ja najczęściej widzę to jest właśnie używanie UTM-ów, jeśli chodzi o najmniejsze instalacje, czyli już posiadanie jakiejś funkcjonalności Firewalla, najczęściej nawet bardziej zaawansowanego niż warstwa trzecia, czwarta. Czyli jeśli są to UTM-y to dziś już bardzo często oferują również reguły aplikacyjne. Dzięki temu możemy sobie zabezpieczyć różne warstwy naszej komunikacji. Podstawą jest oczywiście zrozumienie co mamy jako zasoby wewnętrzne, co umieszczamy w DMZ-cie i co udostępniamy do sieci publicznej. Gdy jesteśmy w stanie to zidentyfikować i wyznaczyć, to jesteśmy również w stanie wymyśleć reguły, które nam implementują tą naszą koncepcję bezpieczeństwa i separacji ruchu.

Jeśli tylko możemy, to oczywiście mając taką pełną wiedzę, co z czym ma się połączyć, ograniczamy do minimum ilość dostępnego ruchu, czyli np zakres portów, zakres adresów IP. W przypadku warstwy wyższej protokoły, czy to ma być http, https, czy jakieś inne usługi, które wewnętrznie świadczymy.

Mam nadzieję, że to wyjaśnia pytanie, które otrzymałem. Jeżeli będziesz miał jakieś inne pytanie, z tego zakresu lub innego, oczywiście pisz śmiało w komentarzu. Jak tylko będę miał taką informację to chętnie na te pytania odpowiem. Na dziś Ci dziękuję i do usłyszenia już za tydzień.