Quali sono alcuni dei passaggi che potrebbero essere utilizzati per indurire un router perimetrale (rivolto verso Internet) dagli attacchi di utenti potenzialmente malintenzionati?
Ci sono tre cose utili da fare quando indurisci un router perimetrale.
Aggiorna regolarmente il firmware sul router. I router non sono diversi da altri dispositivi con software in esecuzione su di essi. Sono suscettibili alle vulnerabilità. Il firmware in esecuzione sui router dovrebbe essere aggiornato se ci sono aggiornamenti.
Elimina pacchetti non necessari. I router possono essere suscettibili agli attacchi DDoS se ricevono più pacchetti che possono gestire. Regole di elaborazione complesse come l'ispezione deep packet possono peggiorare questo. Elimina tutti i pacchetti che tentano di raggiungere indirizzi IP o porte non consentiti prima di eseguire un controllo complesso su di essi.
Fondamentalmente dovresti evitare che qualsiasi pacchetto proveniente da internet raggiunga la CPU dello switch, ad eccezione degli host consentiti, quindi in pratica questo può essere fatto con il criterio, che funziona a livello di hardware, prima di raggiungere lo switch. Tale politica dovrebbe funzionare, è necessario raccogliere i numeri IP pubblici dello switch, diciamo che 192.168.0.1/30 VLAN 10 si connette a Internet e 10.0.0.0/24 VLAN 20 è con i server, quindi in questo modo può applicare la seguente politica. La cosa migliore è negare tutto e consentire solo host specifici di cui hai bisogno, piuttosto che essere seriamente stabile e sicuro.
Questa è una politica semplificata con una catena per l'ingresso e l'uscita:
# 192.168.0.2/30 - other router (VLAN10)
# 192.168.0.1/30 - your router (VLAN10)
# 10.0.0.0/24 - servers (VLAN20)
# 10.0.0.10/24 - you (VLAN20)
#Allow Broadcast only on VLAN20, so you dont have malicious broadcast from other router
From Any To ff:ff:ff:ff:ff:ff VLAN 20 Permit
#Allow Multicast only on VLAN20, if you need it for VRRP you can add the rule for VLAN10
From Any To 224.0.0.0/4 VLAN 20 Permit
#Anti-spoofing rules for your servers
From 10.0.0.0/24 to 0.0.0.0/0 VLAN20 Permit
From 0.0.0.0/0 to 10.0.0.0/24 VLAN20 Permit
#Allow accessing (e.g. pinging the other router) for your admin
From 10.0.0.10/32 to 192.168.0.0/30 Permit
From 192.168.0.0/30 to 10.0.0.10/32 Permit
#Block any other VLAN to VLAN communication
From 10.0.0.0/8 to 10.0.0.0/8 Deny
From 192.168.0.0/16 to 192.168.0.0/16 Deny
From 10.0.0.0/8 to 192.168.0.0/16 Deny
From 192.168.0.0/16 to 10.0.0.0/8 Deny
#Allow internet for 10.0.0.0/24, this allows packets from and to internet go thru VLAN10
From 10.0.0.0/24 to 0.0.0.0/0 Permit
From 0.0.0.0/0 to 10.0.0.0/24 Permit
#Deny them all, this includes access to VLAN10
From 0.0.0.0/0 to 0.0.0.0/0 Deny
Con questo, gli altri non saranno in grado di eseguire il tranceroute o il ping del tuo switch. Ma allo stesso tempo, sei molto meglio protetto con il potenziale rifiuto dei servizi, dato che il tuo sistema operativo è isolato. Questo è buono in alcuni scenari.
Inoltre, alcuni switch hanno contatori hardware, quindi consentono solo un numero limitato di pacchetti dall'host specificato per raggiungere la CPU. In questo modo la regola potrebbe essere quella di contare TUTTI i pacchetti che arrivano da Internet (eccetto la tua macchina amministrativa) e di limitare TUTTI (da qualsiasi host) ad es. 10 pacchetti al secondo. Questo sarebbe utile per ICMP, quindi puoi ancora traceroute.
From Any to 192.168.0.1/32 Protocol ICMP Limit 10 packets / second
From Any to 192.168.0.1/32 Protocol ICMP Allow
From 192.168.0.1/32 to Any Protocol ICMP Allow
Leggi altre domande sui tag hardening