浅谈防火墙审计(4)
2016-08-30 01:05
导读:上面除第一个环节外,其它任何一个环节出题目,都有可能导致严重的后果。像防火墙操纵系统的版本,假如还是SunSolaris2.6,就是个大题目。由于Sun(升
上面除第一个环节外,其它任何一个环节出题目,都有可能导致严重的后果。像防火墙操纵系统的版本,假如还是SunSolaris2.6,就是个大题目。由于Sun(升阳公司)早就停止支持Solaris2.6,并不再为其写任何补钉了。这就是说,假如某黑客发现了一个新的SunSolaris2.6的漏洞,SunSolaris2.6的用户将毫无举措。
(3)下一步就是了解防火墙的自身安全状况。防火墙是用来保护网络的,当然首先要有能力保护自己。自身不保的防火墙即是是纵火墙。在这方面至少要把以下几点搞清楚:
对于软件防火墙,查看防火墙的操纵系统究竟有没有按照生产厂家的规定,安装足够的安全补钉。假如没有,那么将缺少的补钉逐一列出来。
查看防火墙本身的补钉–是否有按照生产厂家的规定,把安全补钉装够。假如没有,那么将缺少的补钉逐一列出来。假如是硬件防火墙,那么就要查看防火墙的Firmware版本。然后核对生产厂家的最新版本。假如防火墙的Firmware确版本不是最新的,那么就要在审计报告中把这个写上往。
有多少人被授权进行防火墙的治理?他们是使用各自的用户名进进防火墙治理界面,还是否共享一个用户名?有没有一张示意图表明这些人的权限?他们是否被要求定期更换口令?是否答应使用脆弱口令?防火墙日志是否记具体记录每个治理员的进进系统的时间、输错口令的次数、被拒尽进进的次数,退出系统的时间,等等。
有没有“后门”可以避开种种安全控制,进进防火墙。这是比较困难的。由于防火墙治理员一般不会说出这一类秘密。要做些,包括向生产厂家询问。特别是要向生产厂家打听系统安装时第一个使用的用户名及口令。然后看看那个用户名和口令是不是在系统安装好后已更改。
(科教论文网 lw.NsEac.com编辑整理)
防火墙治理是从哪台机进行操纵的?那台计算机是不是有屏幕保护以防止外人随意操纵?是不是谁都可以躲在后面偷看一把?翻开键盘底下,是不是写了一行口令?
一般地说,防火墙的治理是远程操纵的。那么,我们要了解这一远程操纵过程是否自始至终加密。可以试试用Telnet远程登录。还要搞清楚是不是任何IP都可以答应进行远程治理。假如是,一定要在审计报告中要求对IP加严格的限制。
对于软件防火墙,还要仔细检查操纵系统的设置。是不是有任何多余的系统过程(services)在运行?各用户口令是否定期改变?是否答应使用脆弱口令?是否有完备的操纵系统安全日志?等等。
(4)现在我们要进进审计的核心部分:检查防火墙的规则(ruleset)。这是防火墙审计过程中最困难、最复杂,最费时的一步。
每一条防火墙的规则的产生或更改,都需要有具体的注释,写清楚是谁要求添加和修改的,原因何在,添加或更改的日期,以及时限等。我们首先要把全部的规则从防火墙调出(几乎所有品牌的防火墙都有这项功能),然后打印出来。下面就要一条一条地往查看是否有注释……假如任何一条规则后面没有加注释,那么就要在审计报告中建议防火墙治理员补上。
然后,我们要检查防火墙的第一条规则。防火墙的第一条规则就是拒尽一切数据流进进(“blockall”)。这一步极少出题目。
下面的工作,就是要把所有时限并过期了的规则列在一起。这一步的目的就是防止那些应急策略变成永久策略。假如防火墙治理员对于每一条规则都做了具体的注释,这一步就很快可以完成。完成这一步可以为下一步减少很多工作量。找出了所有的过期了的规则后,终极目的是要把它们删除,或者把它们变成永久性的(在不违反安全政策的条件下)。假如防火墙治理员不能提供很好的注释,这一步就无法完成。下一步就要多一些工作量。要把这个题目写在审计报告上,以防再次出现。
(科教作文网http://zw.ΝsΕac.cOM编辑)
然后我们要一条一条地往核实防火墙规则的有效性。所谓有效性,是指两个方面。其一是指每一条规则是否需要存在。最简单的做法,就是核实每一条规则的出发点和终点是否还存在。比如说一条规则要从内部IP192.168.24.20到外部IP201.30.33.11打开TCP端口3105,使公司某人可以参加某个网上会议。但是仔细一检查,IP201.30.33.11已封闭多时。也就是说这一条规则无效,必须删除,或者改到正确的IP上。有效性又是指每一条规则是否能够做要做的事情。还以上面的例子,假如两个IP都处于工作状态,但是公司里这个参加网上会议的人总是抱怨不能观看对方的实况样品电视解说。只可以看静态的图象。检查原因,TCP端口3105是打开了,但是对方的系统要求把UDP端口也打开,才能看到电视。这条规则须经修改,加开UDP端口3105.
