Biztonságos távelérés, belső hálózatunk biztonsága

Mostanában számos kérdést kaptunk vállalati ügyfelektől, döntéshozóktól hálózati biztonság, biztonságos távelérés témakörében. Ezúttal ezt a témát próbáljuk meg kicsit jobban körüljárni. Választ kaphatunk arra hogyan tudjuk akár fillérekből is nagyvállalati szintre növelni a biztonságot, egyúttal felhívjuk a figyelmet számtalan buktatóra is. A téma most különösen aktuális, amikor a pandémiás időszakban a támadók első számú célpontjaivá éppen a távoli elérésű dolgozók váltak.

Elsőként kezdeném is ezzel a témával, a home office-ban dolgozó felhasználóval. A cyber bűnözők rendszerint nagyon rafinált és okos emberek. A régi számítástechnikai megoldásoktól ma már elérkeztünk olyan védelmi szintre a vállalatok esetében, ami komoly kihívások elé állítja a behatolókat, akik természetesen mindig mindenhol a leggyengébb pontot keresik meg és első körben azt támadják. Ez a leggyengébb pont pedig legtöbbször maga a felhasználó. Adathalász próbálkozások, zsaroló levelek tömegei landolnak minden pillanatban az e-mail fiókokban vagy pattannak le a spamszűrőről. Rengeteg ilyen sajnos célba is ér és a 2020-as év tapasztalatai alapján azt mondhatom egyre több és több jár ezek közül sikerrel. Ilyenkor ugye valamelyik jelszavát a gyanútlan dolgozó megadja egy harmadik félnek, így adott esetben megszerzik a hozzáférést munkáltatója valamelyik rendszeréhez. Ez ellen egyetlen igazán jó megoldás az oktatás, ezt jellemzően nagyvállalatok meg is teszik rendszeresen, ezért fizetnek embereket vagy cégeket, akik megtartják időről-időre az oktatást és tesztelik is néha a felhasználókat. Az adathalász spam levelek ellen pedig lehet spamszűrőkkel és olyan vírusvédelemmel is védekezni, ami a tipikus jelekről felismeri ezeket, pl. mikor a levélben található link más, mint ami a képernyőn megjelenik.

A tavalyi évvel kezdődően elindult egy “cyber pandémia” is, az otthoni gépeket célzó támadások. Mivel sokan home office-ba kényszerültek, tartósan távolról dolgoznak, amihez nem minden cég tud biztosítani megfelelő eszközöket, így sok esetben a munkavállaló a saját gépén dolgozik, amihez kap valamilyen szoftveres megoldást a munkáltatótól. Ez lehet egy VPN kliens program vagy sok esetben a Windows saját VPN kliense. Azt már sokkal nehezebben ellenőrzik a cég biztonsági emberei, hogy a gép milyen állapotban van, pl. a gyerek, aki lehet egy órával előtte játszott rajta kikapcsolta a vírusirtót, hogy a kedvenc játékát egy trójai vírusos crack segítségével aktiválni tudja, esetleg vírusvédelem sincs a gépen, miközben a számára kiadott VPN hozzáférés segítségével be lehet jutni a cég belső hálózatába. Szerintem nem kell magyaráznom milyen probléma hegyeket görget ez minden résztvevő elé, a munkáltató nehezen szólhat bele a magán gép dolgaiba, sokszor nem csak hardveres, vagy szoftveres, de még elegendő humán erőforrás (rendszergazda munkaidő) sem áll rendelkezésére ahhoz, hogy ezeket a nehezen felügyelhető külsős gépeket megfelelően, naprakészen védeni tudja. Nagyon nehéz erre bármilyen ajánlást megfogalmazni, mindenképpen ki kell alakítani cégre szabottan egy IT biztonsági protokollt, a felhasználókat oktatni kell a felmerülő problémákra, és a cég lehetőségeihez mérten hardveres, szoftveres erőforrásokkal is segíteni kell a védelmet. Jobb helyeken adnak egy VPN képes routert, ami magától felcsatlakozik a céges hálóra, ezen az előre konfigurált eszközön pedig számos biztonsági megoldás is fut, és csak az erre rákötött géppel lehet a vállalati hálózatba csatlakozni. A szoftveres VPN kliens már egy sokkal problémásabb megoldás, amellé mindenképpen javasolt valamilyen központilag felügyelt védelmi megoldást is telepíteni. Ilyen lehet egy felhő technológiás vírus- és egyéb védelem, vagy az általunk is használt központi konzolos GData Business megoldások, amikor a cég szerverén, egy központi felületen ellenőrizhető a rendszergazda által a védelem állapota. Offline kapcsolat esetén a definíciós fájlokat közvetlenül a gyártótól is le tudja tölteni, amikor online kapcsolatba lép (tehát a felhasználó VPN-en keresztül dolgozik), akkor pedig jelent a központ felé. Egy időközben problémássá váló gép csatlakozását ez önmagában nem akadályozza még meg, de a gép biztonsági állapota már ellenőrizhetővé válik központilag. Természetesen költségekkel jár, további licencek beszerzését igényli, de viszonylag olcsón és könnyen kivitelezhető.

Mindezeken felül fontos megemlíteni a normál, békeidőben is fontos biztonsági intézkedéseket. Erről a korábbi, zsarolóvírusos cikkben már tettem említést, a jelszó protokollról lesz szó. A gyártók nem véletlen akarnak minket arra kényszeríteni, hogy nehezen megjegyezhető, bonyolult és hosszú jelszavakat kelljen megjegyeznünk. Nem ellenünk, hanem értünk van. A csak kis vagy csak nagybetűkből álló, számoktól és egyéb karakterektől mentes jelszavakat mai technikával már sok esetben brute force módszerekkel fel lehet törni. A kis és nagybetűk, számok kombinálása és egy kellően hosszú jelszó megkövetelése hatványozottan megnöveli az ehhez szükséges időt. Javasolt a gyári felhasználói fiókok, rendszergazda és vendég tiltása is, így a felhasználónevet is ki kell először találni a támadáshoz. A rendszeres jelszócserét pedig szintén javasolt a felhasználóktól kikényszeríteni, ami pedig az adathalászoktól védi a rendszerünket. Ha kitudódik egy jelszó, akkor is legkésőbb a jelszó lejáratával már nem lesz felhasználható.

A következő fejezet pedig szóljon akkor a mostanában legtöbb kérdést kiváltó kérdéskörről, a belső hálózat biztonságáról és lássuk azt is miben segíthet nekünk egy vállalati tűzfal. Kezdeném a hétköznapi kisvállalati hálózatok felépítésével és a benne rejlő veszélyek bemutatásával. Egy átlagos kis cég hálózata rendszerint egy kisvállalati SOHO (Small Office-Home Office) router megoldással csatlakozik az internethez. A külső eléréshez szükséges portokat ezzel az eszközzel egyszerűen továbbítják a belső hálózaton lévő, fix IP címes eszköz irányába. Ilyen lehet pl. egy (vagy több) webes felülettel rendelkező NAS, vagy egy kamera felvevő (DVR) egység, mert a kameráinkat szeretnénk a telefonunkról is elérni bárhol és bármikor. Ehhez portokat irányítunk be az eszköz irányába. Sokszor a fizikai hálózatot csak ez a WIFI-s router biztosítja, ha kevés a port akkor egy olcsó, pár ezer forintért kapható switch ad nekünk további csatlakozási lehetőségeket. Nos, első körben például nincs lehetőségünk a SOHO router-en a port továbbítások szűrésére forrás IP cím alapján. Egy vállalati tűzfal esetében megadható, hogy a portot csak akkor továbbítsa, hogyha a kapcsolatot kezdeményező cím ez és ez vagy éppen mindenhonnan engedélyezzük, csak adott helyekről, országokból nem. Ehhez lehet GeoDB alapú szűréseket alkalmazni. Ha pl. lekapcsoljuk a térképről Dél-Amerikát, Oroszországot, Kínát és Ázsia egy részét, ahonnan garantáltan nem kell majd soha kapcsolódnunk a céges hálózatra, amik a világon tapasztalt támadások kb. 2/3-áért felelősek, ezeket meg is előztük vele. Ezek ellen már nem is kell tovább foglalkoznunk. Aztán jön az, hogy a SOHO és a “buta” (management felülettel nem rendelkező) eszközökön nincs lehetőség VLAN-ok (virtuális alhálózatok) kialakítására. Van ahol több router-rel, több fizikai hálózatra bontva van ez megoldva, szintén lehet egy jó megoldás, de messze nem az igazi. A fentebb felvázolt esetben pl. a távoli eléréshez használt NAS-unk kint kell legyen a neten, ha annak szoftverében található egy olyan sebezhetőség amivel az azon futó linuxos rendszerbe valaki be tud jutni az egész rendszerünket feltörhetik miatta. Gondoljunk bele, a belső hálózaton lényegesen védtelenebbek vagyunk, ott számos olyan szolgáltatásunk futhat, amit sose szeretnénk a netre tenni, pl. a fájlmegosztásaink. Ha köztük bármelyik a mindenki csoporttal van megosztva (nagyon gyakran találkozunk ilyennel) az azonnal hozzáférhető is egy sebezhetőségnek köszönhetően. Ha azonban továbbiakat is találnak már mennek is tovább eszközről-eszközre, szolgáltatásról-szolgáltatásra és szép lassan az egész rendszerünk megnyílhat előttük. Itt érdemes felhívni a figyelmet a különböző hardver elemek firmware-ének és szoftvereinek rendszeres frissítéseire is. Az ilyen jellegű sebezhetőség ellen pedig a leghatékonyabb védelem a DMZ. Ilyenkor lényegében egy elszeparált zónát hozunk létre a nyilvánosan elérni kívánt eszköz számára, egy külön virtuális hálózatra helyezzük el, aminek a forgalmát a tűzfalunkon keresztül szabályok útján kontrolláljuk. Tehát pl. a NAS-unkról indítva kéréseket semmit ne lehessen a belső hálózatban elérni, fordítva igen, az internet irányába pedig működjenek a szükséges portok. Ugyanígy egy külön hálózatra le lehet választani a kamerákat (sajnos nem mindig támogatott az eszközökön a VLAN), és csak a kamerát elérni kívánó gépről engedni hozzáférést, így a belső hálózatról nem lehet próbálkozni sem a kamerákon, fordított irányban viszont minden kiinduló kapcsolatot letiltunk, így egy esetleges sebezhetőséget kihasználva a támadó annak az eszköznek a szoftverébe bejut, de a belső hálózatra már onnan nem lát rá. Ugyanígy megtehetjük a WIFI-vel is, hogy a vállalati gépeket egy jobban védett, akár központi hitelesítéses (tehát nem kulcsos) WIFI megoldásra csatlakoztatjuk, míg a vendégeket egy teljesen elszeparált VLAN-ban, csak az internet irányába engedjük ki és semmire nem láthatnak rá a hálózatunkon. Természetesen ezt a belső hálózatot is van lehetőség többfelé, akárhány részre bontani.

Végül essen szó a biztonságos távelérésről is. A VLAN-okhoz hasonlóan lehetőség van többféle VPN példányok konfigurálására, ezek különböző címzést kapnak és ezekhez tudunk szabályokat definiálni. A hitelesítés pedig történhet akár központi címtárból is LDAP vagy Radius segítségével, így a név/jelszó cserét egy helyen a VPN szolgáltatásra is meg lehet oldani. A különböző példányokat pedig ilyen esetben úgy állítjuk be, hogy az egyiknek szinte korlátlan hozzáférése van a hálózati erőforrásokhoz, és/vagy minden VLAN-ra rálát (ez jellemzően a rendszergazdai vagy ügyvezetői VPN), az átlagos dolgozó pedig munkakörei alapján csak a munkájához szükséges erőforrásokhoz kap a tűzfalon hozzáférést. Tehát pl. ha van több szerver és valakinek elegendő csak az egyikhez hozzáférnie, akkor az Ő VPN-jén nem engedélyezzük annak az IP című gépnek az elérését. Ha valaki mégis feltörné a VPN-jét és be tudna vele csatlakozni, akkor is az az adott gép védett maradna. Ilyen VPN-ből pedig tetszőleges számút le lehet gyártani, mindegyiket egyedi beállításokkal. Akár még vendég felhasználót is beengedhetünk egy szolgáltatást elérni valamelyik gépen, akkor csak annak az adott gépnek az IP címét kell engedélyezni, vagy csak adott gépnek az IP címét és az azon futó adott szolgáltatásnak a portját, mert ezt is lehet még tovább finomítani. Természetesen ilyenkor is fontos, ahogy fentebb írtam, a távolról elérni kívánt gép ha így engedünk hozzáférni távolról potenciális veszélyforrást, akkor egy DMZ-ben, külön privát hálózatban legyen elkülönítve, ha valamelyik vendég rossz szándékkal akárhogy bejut az egy szem szerverre, akkor arról ne lásson rá a hálózat többi részére.

Technikailag az ilyen típusú hálózatok kialakításához management felülettel rendelkező eszközök kellenek, a tűzfal és a hálózati switch-ek is kell tudják ezt kezelni. A SOHO eszközökön ezzel szemben csak egyetlen hálózat van, a fentebb leírtakból egyet sem lehet alkalmazni. Pontosabban a vendég WIFI megoldására a jobb router-ek adnak könnyen alkalmazható megoldásokat, de ezek kétes biztonságúak, nem VLAN alapú megoldások szoktak lenni, szimplán a címzéssel szoktak bűvölni ugyanazon fizikai hálózaton. Ettől függetlenül ha más lehetőségünk nincs, érdemes lehet azt a funkciót is kiaknázni. Egy egyszerűbb web managed típusú switch manapság már könnyedén elérhető bárki számára, nem csak egy cég életében nem tétel, de sokszor még magánemberek is otthonra megveszik, mert nem csak biztonságosabb, de stabilabb megoldásokat is nyújtanak. Maga a tűzfal, ami ezeket nekünk összefogni képes már nagyon sok féle megoldásban és felállásban elérhető, számos brand gyártó hardveres megoldása közül választhatunk, ezeknek még külön extra biztonsági lehetőségei is vannak (pl. együttműködik a kliensoldali vírusvédelemmel, teljes biztonsági megoldást nyújt, lehetőség van újabb generációs tűzfalmegoldások használatára, ahol már nem csak port szinten zajlik a szűrés, de azon belül, protokoll szinten is, stb.), a legtöbb helyen azonban az ingyenesen elérhető linuxos megoldások is nagy előrelépést jelenthetnek. Érdemes tehát megfontolni cégvezetőként, mert nem jelentenek manapság akkora ráfordítást egy cég életében, viszont a hálózatunk biztonságán rengeteget lehet vele fejleszteni.

Ügyfelek, akik a mi tűzfalmegoldásainkat választották

A PfSense tűzfalmegoldásokkal kapcsolatos cikk kiegészítéseként szerepeljen itt ez a rövid esettanulmány gyűjtemény, a benne szereplő cégek megnevezése nélkül, a kialakított infrastruktúrák főbb jellemzőivel.

PfSense

Egy igazi nagyvállalati infrastruktúra

Kezdjük mindjárt a legnagyobb művünkkel. 2017. végén kaptunk megbízást egy vidéki cégtől, hogy megoldást találjunk a szerver rendszerük gondjaira. Egy hatalmas projekt részeként egy komoly nagykapacitású Dell szervert vásároltak, ami a vidéki internet sávszélességek miatt egy budai szerver parkba került elhelyezésre. Itt alakítottuk ki a központi szerver rendszert, tartományvezérlőt és fájl szervert, SAP adatbázis szervert és egy terminal server kiszolgálót (RDS-t), aminek eléréséhez elengedhetetlen volt egy nagy megbízhatóságú és magas biztonsági szintet nyújtó tűzfal megoldás. A választás ezúttal is a PfSense-re esett, a pesti központban szorítottunk neki helyet a nagy Dell szerveren virtuális gép formájában, ami Hyper-V alapokon fut immáron közel másfél éve, megbízhatóan. A központi telephelyre aztán IPSec alapú site-to-site VPN megoldással összekapcsoltuk a hálózatokat, így elérhetővé vált a címtár, az SAP és néhány tűzfalas trükknek, illetve DNS beállításnak köszönhetően a terminal server szolgáltatásait is kizárólag az IPSec kapcsolaton keresztül érik el. A rendszerbe becsatlakozó bolt hálózat mind a 4 telephelyére beszerzésre került egy Dell Optiplex desktop gép, új i3-as processzorral (a hardveres kriptográfiai képességei miatt), 4GB memóriával és az elérhető legkisebb, 500GB-os merevlemezzel. A központban gigabites sávszélesség áll rendelkezésre, a telephelyeken jellemzően 20-50MBit közötti kapcsolatok, így a központi tűzfal és a telephelyeken lévők is megbírkóznak a legmagasabb AES típusú titkosítás mellett is a feladatokkal. Mivel egy telephely kivételével (ahol a másodlagos domain controller lakik) nem áll rendelkezésre a címtár, ezért az üzletek telephelyein különféle DNS trükköket (feltételes továbbítás, host és domain override, stb.) kellett alkalmazni, hogy mindenhol működőképes legyen a tartományi bejelentkezés.

Telephelyek közti VPN megoldás

A második legnagyobb

Nemrégiben kaptunk felkérést szintén egy nagyobb vidéki cégünktől, ahol a rekord 640 napos uptime-mal rendelkező tűzfalunk üzemelt eddig, hogy építsünk nekik valami hasonlót, mint a másik ügyfélnél, mert több telephelyes céggé alakulnak. A megoldásuk nagyon hasonló a másik vidéki cégéhez, egy pesti szerver parkban elhelyezett gépen virtualizálva található meg a központi PfSense rendszer, ahova a többi telephely tűzfalai csatlakoznak be IPSec megoldással, a központban lévő szerverek pedig szintén egy virtuális Hyper-V LAN-on találhatóak, ahol csak a PfSense tűzfalon keresztül lehet őket elérni. Emellett náluk még jelen van kétféle OpenVPN konfiguráció is, illetve a másik cikkben már részletezett geográfiai szűréseket is alkalmazzuk.

Tűzfal URL szűréssel

Egyik ügyfelünknél a már megszokott geográfiai szűrés mellett szerették volna a felhasználók gépein a netezést is szigorítani, letiltani például a közösségi oldalakat és egyéb nem kívánatos szolgáltatásokat. Mivel már korábban is fix IP-vel rendelkeztek a hálózaton a gépek, ezért a squid+squidguard csomagok használata mellett döntöttünk, amivel egy transzparens proxy megoldást alkottunk. Ezen beállításra került egy VIP és egy nem VIP csoport, amikbe belepakoltuk a fix IP címeket és ez alapján legyártottuk az ügyfél kérésére az URL szűrési szabályokat.

Vidéki önkormányzat törvényi megfeleléssel

Egy vidéki hivatalban a korábban kiadott törvényi előírásoknak megfelelően kellett kialakítani a hálózat biztonságát. Természetesen a PfSense rendszer tudásában minden szigorú feltételnek meg tudott felelni, még ha nem kevés munkaidőt is igényelt egy ilyen bonyolult rendszer kialakítása. Köszönhetően a számos VLAN-nak, a nagyon szigorú tűzfalszabályoknak, a Radius-alapú WIFI hálózat követelményeinek, a pluszban beszerelt 4db hálózati kártyán futó összesen kb. 8 hálózati szegmensnek.

Komoly OpenVPN szerver hardveres tűzfal mellett

Szintén egy vidéki ügyfelünknél került beüzemelésre egy komoly titkosítással bíró OpenVPN szerver, ahol a PfSense Hyper-V virtuális gépként fut, rajta összesen 5db VPN konfigurációval. Ezek közül 2 a régi mobileszközök komptibilitásának biztosítására lazább titkosítással, helyi adatbázisból történő hitelesítéssel működik. A másik 3 esetében LDAP alapú hitelesítést alkalmaztunk, ahol az Active Directory címtárban lévő különböző biztonsági csoportok tagsága alapján dönti el a rendszer egy-egy felhasználóról, hogy engedélyezi-e számára a hálózathoz való hozzáférést. A csatlakozást követően mind az 5 OpenVPN elérés esetében külön hálózati szegmenseket hoztunk létre, amelyekből a forgalom korlátozásra került, aszerint hogy melyik hálózatból érkezik a kliens csak a neki szükséges szervereket és portokat éri el.

Boldog ügyfél

A legtöbb ügyfelünk tehát sima csomagszűrő tűzfalként, vagy OpenVPN szerverként használja ezt a megoldást, ugyanakkor a fentiekből is látszik, hogy komoly, nagyvállalati megoldásokat is lehet belőle építeni némi szaktudás birtokában. Gyakran felesleges pénzkidobás megvenni a méregdrága nagyvállalati megoldásokat, mert a szükséges vagy a használandó szolgáltatások ugyanolyan minőségben elérhetőek ingyenes, Unix alapú tűzfalrendszereken is. Forduljon hozzánk bizalommal hogyha olcsó, de megbízható és biztonságos megoldásra vágyik vagy csak szeretné cégének megtalálni a legoptimálisabb megoldást.

Profi vállalati tűzfal fillérekért a FlashCom-tól

PfSense

Jelenlegi cikkemet annak apropóján írom, hogy nemrégiben egy ügyfelünknél hatalmas szerveres fejlesztési munkákat végeztünk el, ennek részeként pedig a 2017. májusában beüzemelt tűzfalukat időszerű volt már frissítenünk. Ritkaság ilyet látni, hogy egy rendszer ilyen stabil legyen, a 640 napja egy vidéki ügyfélnél hagyott linuxos (FreeBSD alapú) tűzfalrendszerünk, ami nagyon sok ügyfélnél bizonyított és bizonyít jelen pillanatban is egyetlen újraindítás nélkül élt meg közel 2 évet! Számos konfigurációs feladat merült fel rajta az elmúlt 2 évben, de ezeket mindet átvészelte újraindítás nélkül, ami hatalmas teljesítmény a 21. század hardver és szoftver hibákkal tarkított mindennapjaiban.

PfSense tűzfal uptime

Természetesen hiába a linuxos alaprendszer híres megbízhatósága, ehhez a teljesítményhez megbízható hardver megoldás is kellett. Jelen esetben egy belépőszintű, gyakorlatilag a desktop gépek kategóriájához sorolható Dell PowerEdge T20-as szerver adta a “vasat” a rendszer alá, amely korábban szerverként már néhány évet üzemelt náluk, így legalább akkora dícséret illeti ezért, amekkora a rajta futó tűzfalrendszert.

Dell T20 szerver

Nagyon sok ilyen tűzfal gépünk fut kint jelenleg is ügyfeleknél, ezekhez nagyon sok esetben vagy egy ügyfél által korábban kiselejtezett, de még megbízható gépet használtunk, vagy egy megbízható brand desktop gépet (Dell vagy HP) rendeltünk számukra két (vagy több) hálózati kártyával. Erre kerül rá aztán a sokak számára ismerősen hangzó PfSense alaprendszer, amihez társul 25 év szakmai tapasztalata és a végeredmény egy 20-25 ezer forintból felépülő vállalati tűzfalmegoldás, ami tudásában még nagyobb vállalatoknak is megfelelő választás lehet. Néhány kompromisszummal még a nagy IT biztonsági multik által kínált céleszközök szintjét is el lehet vele érni. Azért csak kompromisszumokkal, mert azért mégis csak egy ingyenes tűzfalrendszer, aminek nyilván vannak gyengéi is, mint például a kliens oldali vírusvédelem hiánya vagy a spam-ek elleni védelemhez, illetve a profi URL szűrésekhez használható tudásbázis, amit a nagy gyártók kemény díjakért kínálnak nekünk készen. Még ez is elérhető itt, de nem annyira profin, nem annyira naprakészen és nem annyira konyhakészen. Emellett egyes gyártók (mint pl. Fortinet vagy Sonicwall) nem Unix alapú rendszerekkel dolgoznak, illetve nem Intel alapú hardvermegoldásokkal, ami szintén szűkíti a támadási lehetőségek körét. Itt jelen esetben a FreeBSD-hez vagyunk kötve, ami abban az esetben lehet érdekes, hogyha az alap operációs rendszer miatt válik valami törhetővé. Ne feledjük azért, hogy a nagy brand gyártók legtöbb terméke (pl. Cisco) is Unix alapokon nyugszik. Így ezek a termékek ugyanúgy tartalmazzák az esetleges Unix sérülékenységeket. A hátrányok ezzel nagyjából el is fogytak, nézzük azt mit tud adni nekünk.

Egyrészt lehetőségünk van vastag VPN (erősen titkosított) megoldások használatára, akár komoly titkosítású OpenVPN szerverről, akár telephelyek közti IPSec-ről legyen szó, de nem kell lemondanunk a különböző malware-ek elleni védelemről sem, mert a feketelista alapú szűrések mellett lehetőségünk van geográfiai alapú IP szűrésre is, de letöltehetőek különböző proxy modulok, vírusvédelem, URL szűrés, vagy éppen behatolás érzékelő rendszerek is. Szinte csak a képzelet szab határt, na meg persze a hardver, az alap modulok használatához ugyanis egy ősrégi PC is elég akár, de ha komoly titkosítással bíró VPN rendszert akarunk üzemeltetni, akkor a sávszélesség, illetve a redundancia igény függvényében akár egész komoly hardverre is szükségünk lehet. Ahogyan a bevezetőből is látszik, ha rászánunk egy kis extra keretet, akkor egy brand szerver segítségével bármelyik nagy gyártó tűzfal megoldásával vetekedő rendszerünk lehet, annak az árnak a töredékéből.

A megfelelő hardver kiválaszása, a szoftver megfelelő telepítése és konfigurálása természetesen nem egyszerű feladat, de kellő tapasztalattal és szakértelemmel bárki számára elérhető megoldás lehet. A korábbi, IT biztonsággal foglalkozó cikkeinkben (Gondolatok az IT biztonságról – Social engineering, Gondolatok az IT biztonságról 2. – egy majdnem bekövetkezett katasztrófa története) mindben szóba került már ez a megoldási alternatíva. Sok cég életében akkor jött el egy ilyen rendszer bevezetésének ötlete, amikor már egy katasztrófán vagy nehéz helyzeten átestek. Érdemes ezt megelőzni és ajánlatot kérni a kialakításra, mert rengeteg bajtól tud minket megóvni.

Milyen egyéb hozzáadott értékeket nyújtunk mi?

Természetesen a felvázolt szerepkörök, a nyújtandó szolgáltatások alapján segítünk kapacitást tervezni és kiválasztani a feladathoz a megfelelő hardvert. A hálózat kialakításnál ezt követően lehetőség szerint két hálózati kártyát (WAN és LAN) használunk, ahol a megfelelő hálózati eszköz ellátottság esetén VLAN-okkal növeljük tovább a biztonságot. A legtöbb tűzfalunkon kialakításra kerül megfelelő titkosítású OpenVPN elérés, illetve adott esetben site-to-site VPN megoldásként IPSec VPN megoldások. Egy külön tűzfalcsomag telepítésével megvalósítjuk a legtöbb helyen a malware szűrést feketelisták alapján, illetve a geográfiai szűrést az ügyféllel egyeztetve. Itt érdemes megállni pár szóra. Ennek a szűrőnek az a lényege, hogy akár országokra bontva tudjuk IP cím alapján korlátozni a bejövő kapcsolatokat. Vannak ún. illegális tevékenységektől erősen fertőzött országok a világban, ha ezek teljes kikapcsolására lehetőségünk van, akkor töredékére tudjuk csökkenteni egy sikeres támadás esélyét. Tehát például ha lekapcsolható teljes Dél-Amerika, Afrika, Oroszország és Ázsia nagy része, akkor ezzel önmagában harmadára szorítottuk vissza a lehetséges támadások számát. Innentől semmilyen hálózati kapcsolatot nem engedélyez a tűzfalunk a hálózatunk irányába. A szabályokat ügyfeleinkkel közösen szoktuk meghozni, mivel ebben az esetben a rendszer távoli elérése sem lesz lehetséges később ezekből az országokból, hacsak az oda utazó felhasználó ezt külön nem kéri az utazás előtt.

PfSense tűzfalrendszer virtuális gépen? Miért ne?

Ugyan sokan félnek ettől a fajta kialakítástól, de nem kell. Több ügyfelünknél évek óta futnak Microsoft Hyper-V alapú virtualizáció segítségével ilyen tűzfal gépek, amelyekre ugyanúgy igaz, hogy sosem kell őket újraindítani, csak ha nagy release frissítést végzünk rajta. Ez esetben viszont hardvert sem kell külön vásárolni a célra, mindössze szorítani neki helyet egy nagyobb “vason”.

PfSense

Tűzfalrendszereinket rengetegen használják a legkülönbözőbb feladatokra, a legösszetettebbtől az egyszerű csomagszűrésig. A legtöbb ilyen tűzfalunkról, a cégek megnevezése nélkül ebben az esettanulmányunkban olvashat részleteket.