Menu

Polska

GRANDMETRIC Sp. z o.o.
ul. Metalowa 5, 60-118 Poznań, Poland
NIP 7792433527
+48 61 271 04 43
info@grandmetric.com

Szwecja

Drottninggatan 86
111 36 Sztokholm
+46 762 041 514
info@grandmetric.com

UK

Grandmetric LTD
Office 584b
182-184 High Street North
London
E6 2JA
+44 20 3321 5276
info@grandmetric.com

US Region

Grandmetric LLC
Lewes DE 19958
16192 Coastal Hwy USA
EIN: 98-1615498
+1 302 691 94 10
info@grandmetric.com

  • en
  • pl
  • se
  • Konfiguracja firewalla: Jak poprawnie to zrobić? Unikaj tych błędów i zabezpiecz swoją sieć

    Konfiguracja firewalla: Jak poprawnie to zrobić? Unikaj tych błędów i zabezpiecz swoją sieć

    Date: 25.03.2025



    Firewall to kluczowy komponent infrastruktury bezpieczeństwa IT. Ale nawet najlepszy sprzęt i najbardziej zaawansowane funkcje nie ochronią sieci, jeśli zostaną źle skonfigurowane. W rzeczywistości najwięcej zagrożeń wynika nie z braku zapory ogniowej, ale z jej nieprawidłowego użycia. W tym artykule przyglądamy się najczęstszym błędom w konfiguracji firewalli, dzieląc je na dwie główne kategorie: zaniedbania (czyli braki w konfiguracji, dokumentacji i utrzymaniu) oraz błędy konfiguracyjne. Obie grupy prowadą do realnych zagrożeń, które można (i trzeba) skutecznie eliminować. 

    Część I: Zaniedbania, które otwierają drzwi atakującym 

    Tu niespodzianek nie będzie. W tej części pokażę, jakie zaniedbania napotykamy podczas audytów infrastruktury. Niby wszyscy wiedzą, żeby ich nie popełniać, a jednak wraz z rosnącymi potrzebami i przeciążonymi zespołami IT łatwo do nich doprowadzić.  

    1. Brak dokumentacji konfiguracji

    Bez dokumentacji nie ma przejrzystości, a bez przejrzystości nie ma kontroli. Administratorzy działają po omacku, nie wiedząc, jakie reguły już istnieją i czemu służą. To prowadzi do powielania polityk, tworzenia niespójności i problemów podczas incydentów. Dodatkowo brak dokumentacji oznacza brak zgodności z regulacjami takimi jak NIS2, ISO 27001 czy PCI-DSS. Brak historii zmian w regułach utrudnia również analizę incydentów bezpieczeństwa, bo nie wiadomo, kto i kiedy wprowadzał modyfikacje. 

    Dokumentowanie polityk, ich celu, zakresu i czasu obowiązywania to podstawa, chociaż nie znam inżyniera, który pałałby miłością do tworzenia kolejnych dokumentów. Na szczęście można to sobie nieco ułatwić wykorzystując skrypty do eksportu i analizy reguł.  

    Jak prowadzić dokumentację firewalli? Checklista. 

    • Dokumentuj każdą regułę: cel, zakres IP, porty i powód wdrożenia.  
    • Używaj dedykowanych systemów do zarządzania konfiguracją, które mogą automatycznie dokumentować zmiany, np:  
    • Wykorzystaj kontrolę wersji do śledzenia zmian. Tu sprawdzi się GIT lub inne narzędzie do wersjonowania.  
    • Regularnie przeglądaj i aktualizuj dokumentację, żeby wyeliminować zbędne lub przestarzałe reguły. 
    • Wykorzystuj Change Management. Każda zmiana powinna być zatwierdzona i udokumentowana w systemie ticketowym (np. Jira, ServiceNow). 

    2. Brak logowania i monitoringu zdarzeń z firewalla 

    Zapora sieciowa, która nie rejestruje ruchu, jest praktycznie niewidomy. Bez logów nie zidentyfikujesz ani nie wyjaśnisz incydentu. Ruch wychodzący do serwerów C2, brute-force na SSH, skanowanie portów – wszystko to pozostanie niezauważone. Logi powinny być wysyłane do SIEM-a (np. Splunk, Graylog) i podlegać analizie. Ustawienie poziomów logowania i alertowanie to minimum. 

    Choć trudno w to uwierzyć, organizacje często polegają jedynie na domyślnych ustawieniach firewalla, które mogą nie rejestrować wszystkich kluczowych zdarzeń. Bez systematycznej analizy logów trudno jest zidentyfikować ataki takie jak skanowanie portów, próby nieautoryzowanego dostępu czy anomalie w ruchu sieciowym. Od strony proceduralnej, normy ISO 27001, NIS2, GDPR, PCI-DSS wymagają przechowywania logów jako potencjalnych dowodów w audytach.  

    Jak logować zdarzenia na firewallu? 

    • Włącz logowanie w firewallu i skonfiguruj logowanie ruchu dozwolonego i blokowanego.  
    • Przekieruj logi do systemów SIEM (np. Splunk, Graylog, ELK, Wazuh itp).  
    • Konfiguruj alerty na podejrzane zdarzenia (np. krytyczne, ostrzeżenia, informacyjne, debug). 
    • Regularnie analizuj logi pod kątem anomalii. Dostosuj retencję logów do wymaga prawnych dostepnych zasobów.

    3. Brak aktualizacji oprogramowania i/lub sygnatur bezpieczeństwa 

    Nieaktualne firewalle to nie tylko zagrożenie, ale i realny koszt. Urządzenie z firmware’em sprzed trzech lat może zawierać znane podatności z dostępnym kodem exploitującym. Przyczyny: zakończenie wsparcia producenta (End of Support czy End of Life), brak procedury aktualizacji, brak środowiska testowego. To samo dotyczy aktualizacji sygnatur. 

    Z bardziej prozaicznych konsekwencji warto wymienić ryzyko, że starsze sygnatury mechanizmów IPS/IDS mogą nie wykrywać nowych zagrożeń, a niezałatane błędy – powodować awarie firewalla, błędną obsługę reguł czy niestabilność systemu. 

    Dlatego regularne przeglądy CVE, harmonogramy patchowania i testowanie – to absolutna konieczność. 

    Trochę o zagrożeniach związanych ze zbytnim poleganiem na wbudowanych funkcjach firewalla mówił Marcin w naszym firmowym podcaście. To dobre rozszerzenie tego artykułu. 

    Jak aktualizować firewall? 

    • Regularnie sprawdzaj dostępne aktualizacje. Możesz to zrobić na oficjalnych stronach i w repozytoriach producentów. Sygnatury IPS sprawdzaj codziennie, a aktualizacje firmware’u przeprowadzaj jak tylko pojawi się nowa wersja.
    • Zautomatyzuj proces aktualizacji, jeśli to możliwe. Poprawki bezpieczeństwa wdrażaj w zaplanowanych oknach serwisowych, ale pamiętaj tez o tym, że poprawki mogą wpłynąć na działanie sieci produkcyjnej. 
    • Wdrażaj aktualizacje w etapach. Na początku w mniej krytycznych obszarach sieci, a później w całej infrastrukturze.  
    • Testuj nowe wersje w środowisku testowym przed wdrożeniem. Testowanie na produkcji to kiepski pomysł. 
    • Monitoruj zagrożenia i CVE powiązane z Twoim firewallem np. za pomocą NIST NVD, Exploit DB czy Threat Intelligence oraz informacji dostarczanych przez zespół PSIRT producenta. 
    • Przed każdą aktualizacją stwórz kopię zapasową. W razie problemów będzie można łatwo wrócić do poprzedniej wersji.  

    4. Brak kopii zapasowych konfiguracji 

    Firewall bez backupu to bomba z opóźnionym zapłonem. Po błędnej aktualizacji, awarii sprzętu lub zmianie konfiguracji może nie da się go szybko przywrócić. Jeśli firewall jest kluczowym elementem infrastruktury, jego awaria może skutkować nie tylko obniżeniem poziomu zabezpieczeń, ale wręcz całkowitym brakiem łączności.  

    Kopie zapasowe powinny być automatyczne, szyfrowane, przechowywane zdalnie i testowane. Backup przed każdą istotną zmianą to standard. 

    Jak wdrożyć politykę backupu na firewallu? 

    • Skonfiguruj harmonogram automatycznych backupów na firewallu. 
    • Przechowuj więcej niż jedną kopię. Zachowanie kilku ostatnich pozwala cofnąć się do stabilnej konfiguracji. 
    • Przechowuj kopie w innym miejscu niż firewall (np. serwer FTP/SFTP, system backupu, chmura). 
    • Testuj odtwarzanie. Regularne przywracaj konfigurację na środowisku testowym w celu sprawdzenia poprawności odtwarzania. 
    • Rób backup przed każdą większą zmianą np. aktualizacją firmware’u, zmianą reguł lub polityk bezpieczeństwa. 
    • Szyfruj i chroń backup przed nieautoryzowanym dostępem.  

    Część II: Błędy konfiguracyjne firewalla, które narażają sieć 

    I tak doszliśmy do drugiego typu błędów, czyli tych, które nie wynikają z zaniedbania, ale z braku wiedzy o tym, jak poprawnie konfigurować poszczególne funkcje lub jak wykorzystac ich potencjał do zabezpiecznia styku z Internetem.

    1. Zbyt skomplikowana lub niespójna konfiguracja 

    Regułami, których nie da się zrozumieć, nie da się też zarządzać. Gdy polityki są tworzone ad hoc, bez jasnych zasad i przeglądów, pojawiają się luki w zabezpieczeniach oraz konflikty reguł. Przykłady? Szerokie reguły typu „ANY-ANY” otwierające niekontrolowany dostęp, niepotrzebne wyjątki umożliwiające nieautoryzowany ruch, czy blokady, które kolidują z działaniem krytycznych usług.  

    Zbyt duża liczba nieoptymalnych reguł wpływa też na wydajność firewalla i utrudnia jego zarządzanie. Brak spójności oznacza chaos, a chaos w systemie bezpieczeństwa to przepis na incydent. Organizacje zobowiązane do zgodności z normami takimi jak ISO 27001, NIS2 czy PCI-DSS powinny szczególnie zadbać o przejrzyste i jednolite polityki dostępu, z regularnym przeglądem i dokumentowaniem każdej zmiany. 

    Firewall powinien być logiczny, podzielony na strefy i czytelny. Użycie grup, komentarzy, zasada „najpierw restrykcyjne” – to podstawa.  

    Jak uprościć konfigurację firewalla? 

    • Analizuj reguły (np. co kwartał), aby eliminować przestarzałe i nieużywane wpisy. 
      • Wyeliminuj duplikaty i nakładające się reguły. 
      • Wykonaj optymalizację kolejności reguł (najbardziej restrykcyjne na górze, ogólne na dole). 
      • Regularnie sprawdzaj zgodność reguł z wewnętrznymi politykami i wymaganiami prawnymi. 
      • Wykorzystaj firewall policy hit counters do identyfikacji reguł, które nie są używane. 
      • Używaj reguł wraz z harmonogramem, automatyczne wyłączenie polityki po zadanym czasie ułatwi czyszczenie firewalla z nie potrzebnych polityk. 
    • Ustal standardy dla polityk bezpieczeństwa
      • Stosuj jednolite schematy nazewnictwa dla reguł (np. „Allow_HTTP_Internal_to_DMZ”). 
      • Zdefiniuj jednoznaczne polityki dla różnych stref sieciowych (LAN, DMZ, WAN). 
      • Stosuj zasadę najmniejszych uprawnień (Least Privilege)
    • Segmentuj sieć
      • Wykorzystaj obiekty, grupy adresów IP i grupy portów zamiast pojedynczych wpisów. 
      • Automatyzuj zarządzania regułami. Wykorzystaj narzędzia takie jak Ansible, Terraform, Firepower Management Center (Cisco), Panorama (Palo Alto) czy Check Point SmartConsole. 
    • Trzymaj porządek w dokumentacji (tak, wiem, to nudne, ale konieczne). 
      • Wykorzystaj system ticketowy (np. JIRA, ServiceNow) do śledzenia zmian. Stosuj politykę Change Management, gdzie każda zmiana przechodzi przez etap testów i akceptacji. 
      • Testuj i waliduj nowe reguły. Przeprowadzaj symulację wpływu nowych reguł na ruch sieciowy przed ich wdrożeniem. 
    • Stosuj testy penetracyjne w celu wykrycia potencjalnych luk w konfiguracji. 
    automatyzacja konfiguracji ansible

    2. Niewłaściwe przydzielanie uprawnień 

    Jeśli wszyscy mogą wszystko, to znaczy, że nikt nie kontroluje niczego. Za szerokie uprawnienia prowadza do eskalacji, przypadkowych błędów i trudnych do wykrycia zmian. Nadmierne uprawnienia dla użytkowników lub brak separacji ról zwiększa ryzyko zarówno celowych, jak i przypadkowych naruszeń bezpieczeństwa.  

    RBAC, least privilege, audyty i logowanie operacji administracyjnych to absolutne minimum, jesli chcecie być zgodni z normami bezpieczeństwa, które wymagają stosowania zasady najmniejdzych uprawnień (Least Privilege). 

    Jak poprawnie zarządzać uprawnieniami firewalla? 

    • Stosuj zasadę najmniejszych uprawnień (Least Privilege). Przydzielaj użytkownikom wyłącznie te uprawnienia, które są niezbędne do wykonywania ich obowiązków. 
    • Wdróż Role-Based Access Control (RBAC). Zdefiniuj role w systemie (np. administrator, operator, audytor) i przypisz uprawnienia na ich podstawie. 
    • Podziel role w taki sposób, aby jedna osoba nie mogła jednocześnie zatwierdzać i wdrażać zmian (np. podział na konfigurację i przegląd logów). 
    • Stosuj mechanizmy MFA (wieloskładnikowego uwierzytelnianie) dla kont administracyjnych. 
    • Regularnie (co najmniej raz na kwartał) przeglądaj role i uprawnienia, aby usuwać niepotrzebne dostępy. 
    • Rejestruj i monitoruj działania administratorów. Loguj wszystkie operacje wykonywane na firewallu i analizuj je w systemie SIEM. 
    • Kontroluj dostęp na podstawie czasu i lokalizacji. Ogranicz logowanie administratorów do określonych adresów IP i godzin pracy. 
    • Szyfruj i bezpieczne przechowuj dane uwierzytelniające – np. w narzędziach typu PAM (Privileged Access Management). 

    3. Brak segmentacji sieci. Błąd podstawowy, ale nieodosobniony.

    Płaska przestrzeń adresowa to raj dla malware’u. Brak podziału na VLAN-y i brak polityk między segmentami to zaproszenie do lateral movement. Bez segmentacji trudno monitorować, ograniczać i izolować. Rozwiązanie? VLAN-y, strefy na firewallu, mikrosegmentacja i zasada najmniejszych uprawnień. 

    Jak wdrożyć segmentację sieci? 

    • Podziel sieć na VLAN-y. Dzięki temu uzyskasz separację ruchu wewnętrznego na podstawie funkcji (np. VLAN dla użytkowników, VLAN dla serwerów, VLAN dla IoT). 
    • Określ strefy bezpieczeństwa na firewallu. Zdefiniuj polityki dostępu między segmentami (np. DMZ, LAN, WAN, OT). 
    • Stosuj zasadę najmniejszych uprawnień (Least Privilege). Dzięki temu ograniczysz dostęp do usług na podstawie rzeczywistych potrzeb użytkowników i systemów. 
    • Stosuj firewalle wewnętrzne (Internal Segmentation Firewall, ISFW), czyli filtrowanie ruchu między VLAN-ami. 
    • Korzystaj z mikrosegmentacji, czyli wirtualnego ograniczania dostępu na poziomie aplikacji. Możesz w tym celu wykorzystać Cisco TrustSec, VMware NSX czy Zero Trust Network Access. 
    • Monitoruj ruchu między segmentami. Pomoże Ci w tym wykorzystanie systemów IDS/IPS lub SIEM do analizy logów z segmentów sieci. 
    • Regularnie sprawdzaj, czy polityki dostępu są skuteczne i zgodne z wymaganiami organizacji. 
    Konfiguracja VLAN na Cisco

    4. Brak dwustopniowego uwierzytelniania do firewall oraz VPN 

    Hasło to za mało. W przypadku wycieku lub złamania hasła atakujący może uzyskać pełną kontrolę nad infrastrukturą sieciową. W dobie phishingu i credential stuffing brak MFA to jak otwarte drzwi. Wszystkie dostępy administracyjne i VPN powinny wymagać uwierzytelniania dwuskładnikowego (np. Duo, RSA, aplikacje TOTP). 

    Jak wdrożyć MFA dla firewalla i VPN? Checklista krok po kroku. 

    1. Wdrożenie MFA dla firewalla 
      • Jeśli firewall wspiera natywne MFA, należy je aktywować (np. FortiGate, Palo Alto, Cisco ASA). 
      • Jeśli nie, warto zintegrować firewall z usługą LDAP/RADIUS i wymusić MFA przez system IAM (np. Azure AD, Okta, Duo Security). 
    2. Wdrożenie MFA dla VPN 
      • Skonfiguruj dwustopniowe uwierzytelnianie na poziomie serwera VPN. 
      • Użyj aplikacji mobilnych do generowania kodów (Google Authenticator, Microsoft Authenticator, Duo Security). 
      • Wykorzystaj tokeny sprzętowe (YubiKey, RSA SecurID) lub certyfikaty cyfrowe. 
    3. Integracja z centralnym systemem zarządzania tożsamością (IAM) 
      • Połącz z Active Directory, Azure AD, Okta, Keycloak, FreeIPA itp. 
      • Egzekwuj polityki MFA dla określonych ról i urządzeń. 
      • Egzekwuj MFA przy dostępie z zewnętrznych lokalizacji. 
      • Wymagaj dodatkowej autoryzacji dla logowania spoza zaufanej sieci firmowej. 
    4. Monitorowanie i testowanie 
      • Ustaw alerty na nieudane próby logowania oraz nietypowe lokalizacje. 
      • Regularnie weryfikuj, czy wszystkie konta administracyjne mają włączone MFA. 
      • Testuj skuteczności zabezpieczeń np. przez Red Teaming lub audyty SOC. 

    5. IPS niedostosowany do potrzeb sieci 

    Intrusion Prevention System (IPS) to kluczowy element zabezpieczeń sieciowych, który może wykrywać i blokować podejrzane aktywności. Musi być dostosowany do ruchu sieciowego. Zbyt czuły generuje fałszywe alarmy (False Positives), zbyt łagodny przepuszcza ataki. Wdrożenie zaczyna się od trybu monitorowania, potem tuning i dopiero tryb prewencji. Integracja z SIEM, aktualizacje sygnatur, analiza incydentów – wszystko ma znaczenie.  

    Jak dostosować IPS do infrastruktury sieciowej? 

    1. Przeanalizuj ruch sieciowy przed wdrożeniem w celu identyfikacji typowych wzorców ruchu. Stwórz na ich podstawie profil normalnego ruchu w sieci. 
    2. Wyłącz nieużywane sygnatury, jeżeli ma to wpływ na wydajność firewall. 
    3. Ustaw priorytety dla reguł, oparte na aktualnym krajobrazie zagrożeń (np. CVE, kampanie malware). 
    4. Analizuj logi, by eliminować fałszywe alarmy przed przejściem do aktywnego blokowania.  
    5. Regularnie aktualizuj sugnatury i polityki IPS. Pobieraj automatycznie aktualizacje z baz producenta firewalla. Analizuj też nowe zagrożenia i ręcznie dodawaj niestandardowe reguły (np. IOC). 
    6. Twórz wyjątki dla kluczowych systemów. Jeśli IPS powoduje problemy z legalnymi usługami, konieczne może być utworzenie wyjątków na podstawie źródłowego/docelowego IP, portów czy aplikacji. Pamiętaj o testowaniu wyjątków przed ich wdrożeniem w środowisku produkcyjnym. 
    7. Zintegruj IPS z innymi systemami. Np. przesyłaj logi IPS do systemu SIEM w celu analizy korelacji z innymi zdarzeniami. 
    8. Testuj, czy Twój IPS działa poprawnie. Możesz użyć narzędzi takich jak Scapy, Metasploit, czy Atomic Red Team.
    Ebook Porównanie Next-Generation Firewall PL

    6. Brak hardeningu urządzenia 

    Firewall, jako krytyczny komponent ochrony sieci, sam również wymaga ochrony. Brak odpowiedniego hardeningu naraża go na ataki, błędy konfiguracyjne i nieautoryzowany dostęp. Najczęstszym zagrożeniem jest dostępność interfejsu administracyjnego z poziomu Internetu – atakujący mogą wówczas próbować brute-force, wykorzystać podatności w panelu zarządzania lub przejąć urządzenie przez domyślne dane logowania. Częstym problemem są też nieużywane, ale aktywne usługi takie jak SNMP, Telnet czy SSH – jeśli nie są odpowiednio zabezpieczone lub po prostu niepotrzebne, stanowią otwartą furtkę.  

    Hardening to również wprowadzenie ograniczeń logowania (czas, adres IP), zmiana domyślnych kont i haseł, aktywacja MFA, aktualizacje oprogramowania oraz wdrożenie mechanizmów monitorowania i ochrony sesji administracyjnych. Zaniedbanie tych kwestii skutkuje nie tylko podatnością urządzenia, ale często umożliwia przejęcie kontroli nad całą infrastrukturą – a to już nie błąd, to katastrofa. 

    Jak przeprowadzić hardening firewalla? 

    1. Uporządkuj dostęp do firewalla 
      • Ogranicz dostęp do panelu administracyjnego do określonych adresów IP lub VPN.  
      • Jeśli dostęp z Internetu jest konieczny – użyj MFA i zabezpiecz połączenia certyfikatami. 
      • Zmień domyślne poświadczenia. User „admin” hasło „admin” to pierwsze, co sprawdzą atakujący. 
      • Ogranicz czasu trwania sesji administracyjnych. 
      • Wdróż listy kontroli dostępu (ACL) do ograniczenia ruchu do firewalla. 
      • Wyłącz zbędne usługi. Jeśli SSH jest konieczne – ogranicz dostęp do określonych adresów IP i wymuś użycia kluczy zamiast haseł. 
    2. Loguj aktywności 
      • Przesyłaj logi do systemu SIEM/Syslog. 
      • Regularnie analizuj próby logowania i wykrywaj anomalie. 
      • Skonfiguruj IPS do monitorowania ataków na interfejs zarządzania. 
    3. Bądź na bieżąco 
      • Ustal politykę aktualizacji firmware’u firewalla (np. kwartalne przeglądy i testy poprawek) i się jej trzymaj! Po zidentyfikowaniu krytycznej podatności, skróć czas aktualizacji do minimum.
      • Subskrybuj biuletyny bezpieczeństwa producenta firewalla. 
      • Wykonuj regularne audyty konfiguracji firewalla. 
    4. Wykonuj testy penetracyjne w celu sprawdzenia skuteczności zabezpieczeń. 

    7. Omijanie testowania konfiguracji 

    Jednym z najpoważniejszych i wciąż niedocenianych zaniedbań jest brak systematycznego testowania konfiguracji firewalla. Naiwnością jest myślenie, że instalacja firewalla automatycznie rozwiązuje wszystkie problemy z bezpieczeństwem. Tymczasem, bez sprawdzania działania reguł i polityk w praktyce, nawet najlepiej wyglądająca konfiguracja może okazać się bezużyteczna.  

    Jak skutecznie testować konfigurację firewalla? 

    Testowanie obejmuje kilka poziomów. Pierwszy to manualne audyty konfiguracji, w których administratorzy analizują polityki i usuwają zbędne wpisy. Kolejny poziom to automatyczne audyty za pomocą specjalistycznych narzędzi, które wskazują niespójności i potencjalne luki. Dalej mamy testy penetracyjne oraz analizę podatności z użyciem narzędzi takich jak Nmap, Nessus czy Metasploit, pozwalające sprawdzić, czy firewall skutecznie blokuje ataki. Wreszcie testy wydajnościowe przy użyciu generatorów ruchu (np. Ixia, Spirent, Cisco T-rex), by zidentyfikować wpływ reguł na przepustowość oraz testy środowiskowe – przeprowadzane w kontrolowanym środowisku przed wdrożeniem zmian na produkcję.  

    Wszystkie te działania powinny być wsparte analizą logów i zintegrowane z polityką zarządzania zmianą (Change Management).  

    Testowanie to nie luksus – to standard, bez którego firewall staje się tylko atrapą bezpieczeństwa. 

    Fortigate firewall case study new

    8. Brak dekrypcji ruchu szyfrowanego 

    Współczesna sieć to w większości ruch szyfrowany – HTTPS, TLS, SSL. Jeśli firewall nie wykonuje inspekcji SSL, traci zdolność do wykrywania i blokowania zagrożeń ukrytych w zaszyfrowanym kanale. To poważny problem, bo malware, phishing czy komunikacja z serwerami Command and Control mogą przebiegać właśnie przez zaszyfrowane połączenia. Brak dekrypcji to również brak możliwości egzekwowania polityk DLP – dane mogą wyciekać kanałami, których firewall nie rozumie.  

    Co więcej, systemy IDS/IPS są bezradne wobec zaszyfrowanych exploitów, a kontrola aplikacji staje się nieskuteczna. Również polityki dostępu, takie jak blokada określonych metod HTTP, nie mogą być skutecznie egzekwowane bez analizy treści żądań. Organizacja, która nie inwestuje w funkcję SSL inspection lub nie wdraża jej świadomie (z uwzględnieniem wyjątków dla np. bankowości online), de facto rezygnuje z widoczności i kontroli nad ruchem, który stanowi dziś większość transmisji w sieci. To jak prowadzenie monitoringu wideo w firmie, ale z wyłączoną kamerą przy wejściu głównym. 

    Jak wdrożyć dekrypcję ruchu szyfrowanego? 

    1. Włącz SSL/TLS Inspection na firewallu. Zwróć uwagę, że masz do dyspozycji dwa tryby inspekcji: Forward Proxy, czyli dekrypcja ruchu wychodzącego z sieci (np. użytkowników przeglądających strony internetowe) i Inbound Inspection – dekrypcja ruchu przychodzącego do serwerów organizacji (np. strony WWW hostowane lokalnie). Jak to wygląda na popularnych modelach firewalli? 
      • FortiGate – Deep SSL Inspection 
      • Palo Alto Networks – SSL Forward Proxy / SSL Inbound Inspection 
      • Cisco Firepower – SSL Decryption 
      • pfSense – Squid + SSL Inspection 
    2. Użyj własnego certyfikatu CA (Certificate Authority). Firewall generuje własny certyfikat CA i importuje go na urządzenia końcowe (stacje robocze, serwery). W środowiskach korporacyjnych możesz wymusić takie działanie przez GPO (Group Policy Objects) w Active Directory, lub bezpośrednio z firewall. Urządzenia mobilne wymagają ręcznej instalacji certyfikatu (alternatywnie możesz zastosować w ich przypadku MDM). 
    3. Skonfiguruj wyjątki (Bypass). Niektóre usługi powinny być wyłączone z inspekcji (np. bankowość, aplikacje rządowe, usługi chmurowe z certyfikatem pinning). Lista wyjątków powinna być znana administratorom i regularnie aktualizowana. 
    4. Zapewnij wydajne zasoby sprzętowe. Dekrypcja ruchu wymaga dużej mocy obliczeniowej, co może znacząco obciążyć firewall. Warto rozważyć dedykowane akceleratory sprzętowe lub rozłożenie ruchu na kilka urządzeń. 
    5. Monitoruj i analizuj ruch. Po wdrożeniu dekrypcji należy monitorować logi pod kątem błędów certyfikatów i ewentualnych problemów z kompatybilnością aplikacji. 

    9. Brak profili bezpieczeństwa na filtrowanym ruchu lub ich niewłaściwe zastosowanie 

    Niewłaściwe zastosowanie profili bezpieczeństwa w urządzeniach ochrony sieci (np. firewallach, IPS, systemach DLP) może prowadzić do różnych luk w bezpieczeństwie, zarówno przez nadmierne, jak i niewystarczające filtrowanie ruchu. Dobrze skonfigurowane profile są kluczowe dla skutecznej obrony przed zagrożeniami, podczas gdy błędna konfiguracja może spowodować niechciane konsekwencje, takie jak blokowanie legalnego ruchu lub pozostawienie sieci otwartą na ataki. Dodatkowo mogą bezcelowo obciążać firewall. 

    Jak wdrożyć odpowiednie profile bezpieczeństwa? 

    1. Zacznij od analizy potrzeb i ryzyk. Przed skonfigurowaniem profili należy dokładnie zrozumieć, jakie aplikacje, usługi i użytkownicy wymagają dostępu do sieci oraz jakie zagrożenia mogą występować w organizacji. Następnie należy zidentyfikować ryzyka związane z nieautoryzowanym dostępem, używaniem niebezpiecznych aplikacji i wyciekiem danych. 
    2. Przypisz zasady do grup użytkowników i segmentów sieci. Zaprojektuj segmenty w sieci, które wymagają różnych poziomów ochrony (np. użytkownicy zdalni, goście, pracownicy). Samych użytkowników pogrupuj ze względu na ich role (np. administratorzy będą mieli inne dostępy niż standardowi użytkownicy). Dla urządzeń mobilnych wytycz osobne polityki ze względu na ryzyko związane z ich połączeniem z zewnętrznymi sieciami.  
    3. Skonfiguruj profile, które określają, jakie porty mogą być używane w danej sieci. Przydzielaj profil bezpieczeństwa dla różnych rodzajów usług (HTTP, FTP, SSH), aby zablokować nieautoryzowane usługi. 
    4. Zdefiniuj zasady dla profili aplikacyjnych. Używaj technologii Application Control, które blokują nieautoryzowane aplikacje P2P, komunikatory czy narzędzia do tunellingu. Warto używać dedykowanych baz sygnatur aplikacji – np. w FortiGate, Cisco i Palo Alto istnieją wbudowane bazy danych aplikacji, które umożliwiają filtrowanie ruchu na podstawie wykrytych aplikacji. Polityki dla aplikacji pozwolą Ci kontrolować, które aplikacje mogą korzystać z sieci.  
    5. Regularnie przeglądaj i aktualizuj profile

    Z firewallami jest jak z pasami bezpieczeństwa 

    Działają, ale tylko jeśli są poprawnie założone. Firewall może być niezwykle skuteczny, ale wymaga wiedzy, dyscypliny i systematycznego podejścia. Eliminacja zaniedbań, precyzyjna konfiguracja, audyty i dokumentacja to nie dodatki – to fundament. Bo jak pokazały przykłady powyżej, największym wrogiem sieci nie jest atakujący, tylko złudne poczucie bezpieczeństwa. 

    Jeśli nie masz pewności, czy zaawansowane firewalle w Twojej organizacji spełniają swoją rolę i do tego działają w zgodzie z najlepszymi praktykami i politykami bezpieczeństwa, warto umówić się na audyt bezpieczsństwa infrastruktury. Regularnie przeprowadzamy takie audyty dla naszych klientów.

    Do poduszki: 

    1. Hardening firewalla cisco od NSA https://media.defense.gov/2023/Aug/02/2003272858/-1/-1/0/CTR_CISCO_FIREPOWER_HARDENING_GUIDE.PDF
    2. Network Infrastructure Security Guide NSA https://media.defense.gov/2022/Jun/15/2003018261/-1/-1/0/CTR_NSA_NETWORK_INFRASTRUCTURE_SECURITY_GUIDE_20220615.PDF
    3. NIST guidelines on firewall and firewall policies 

    Autor

    Jakub Grzelski

    Senior Systems Engineer | Network&Security • Delivery & Maintenance

    Komentarze są niedostępne
    Grandmetric: Network & Security