В повечето случаи, администраторите използваме комбинация от редица инструменти, за да повишим сигурността на нашата инфраструктура – от традиционни решения, като антивирусен софтуер и защитна стена на изхода на мрежата, до по-иновативни, като IDR, XDR и NGFW. В условията на криза обаче, не всички разполагат с нужния ресурс.
Как да си осигурите добра защита ако бюджетът ви е орязан
Често неглижираме вградените инструменти, сред които е и Windows Firewall. Обзалагам се, че повечето от вас дори не са поглеждали правилата му. Доскоро аз също попадах в това число – използвах Windows Firewall единствено в случаите, когато трябва да разреша трафика на определено приложение.
Ще се съгласите, че приемаме вградените инструменти за даденост и не им обръщаме особено внимание. Добрите практики в информационната сигурност и по-точно методологията на многопластовата защита (Defence-in-depth) обаче сочат, че с всеки един слой добавяме още една защита, която би могла да попречи на злонамерените лица при опит за експлоатиране на вътрешната ни инфраструктура.
Какво по-добро средство от вградения Windows Firewall – добавяме още един слой защита без да инвестираме допълнително.
Решение, което си струва да опитате
Наскоро попаднах на един много интересен случай, при който е постигнато доста добро ниво на защита на крайните станции, чрез използването на AD, GPO и Windows Firewall. Постигнато е:
- Централизирано управление на правилата в Windows Firewall чрез GPO
- Високо ниво на сигурност, базирано на Block by default т.е. трафик, за който няма създадено правило в Windows Firewall, се блокира
- Задължително удостоверяване преди да се разреши комуникацията към критичните услуги
- Криптиране на протоколите, които изпращат информацията в чист вид
- Използване на сигурни шифри при криптирането на комуникацията
- Игнориране на локалните Firewall настройки – така сте сигурни, че тази политика ще се приложи на всички машини
Като краен резултат получавате изолация на ниво работна станция, което прави много по-трудно зловредното движение в мрежата (Lateral movement). Освен това, протоколи, които изпращат информацията в чист вид ще бъдат криптирани, което би предотвратило атаки от типа човек по средата (man-in-the-middle). Постигнато е и подсигуряване на RDP (Remote Desk Protocol), един от най-често експлоатираните протоколи при атаки от криптовирус (ransomware), като достъпът до него е възможен само чрез успешно удостоверяване чрез Kerberos.
При това, тези, както и други защитни механизми са възможни с използването само и единствено на вградения Windows Firewall!
ВНИМАНИЕ! Екипът на Freedomonline.bg не е автор на гореописаната тема и не носи отговорност за евентуални негативни последствия от прилагането на описаните конфигурации. Всяка инфраструктура е индивидуална и уникална – възможно е само част от предложенията или дори една конкретна настройка да бъде приложима за вас. Нека всеки да използва това, което смята, че ще му бъде полезно в неговата ежедневна работа. При всички положения, екипът на Freedomonline.bg съветва, преди да подходите към имплементирането на каквато и да е била конфигурация, от този или от друг източник, първо да я тествате в контролирана среда, която да се доближава максимално до реалната ви среда. По този начин ще избегнете разминавания между очаквания и постигнатия резултат.