Normalizzazione delle regole di Windows Advanced Firewall

Question

Normalizzazione delle regole di Windows Advanced Firewall

#1 da (1 voti)

2

Come posso normalizzare al meglio le nostre regole di Windows Advanced Firewall mentre implemento la segmentazione della rete? Voglio che siano il più chiaro e conciso possibile a fini di controllo. I pochi esempi che ho visto sono incentrati su regole firewall definite localmente o su dozzine di criteri di gruppo.

Ho pensato che avrebbe avuto senso estrapolare le mie regole endpoint in tre ampie categorie, proprio come fa l'Open PCI Scoping Toolkit e creando solo quattro regole generali.

I gruppi sarebbero:

L1: PCI servers and workstations
L2: Support servers and IS workstations
L3: General users and tertiary servers

I quattro set di regole sarebbero:

L1->L1
L1|L2|L3->L2
L2->L1
L2->L3

Penso che da qui dovrei essere in grado di elencare semplicemente tutti i servizi che potrebbero essere installati e in esecuzione su un determinato livello per garantire l'accesso come descritto sopra.

L1: SQL, IIS, SMB
L2: SQL, IIS, APP1, APP2, etc

C'è qualche problema di sicurezza nel definire solo quattro serie di regole come descritto usando questi tre livelli?

windows firewalls pci-dss ipsec

posta Tim Brigham 01.03.2013 - 22:33

fonte

1 risposta

Leggi altre domande sui tag windows firewalls pci-dss ipsec

I file Jasper possono essere utilizzati come shell per attaccare applicazioni web java? Aprire un account e-mail da un solo sistema particolare?

score 1 · Answer 1

Come QSA PCI precedente , non raccomanderei l'utilizzo del firewall di Windows integrato per segmentare l'ambiente del titolare della carta. Il motivo è che questo controllo si applica solo agli host basati su Windows che ricevono l'oggetto Criteri di gruppo, a mio parere il controllo non fornirà una copertura adeguata per l'intero ambiente del titolare della carta.

Dal punto di vista della copertura, ci si basa su un controllo solo di Windows. Pertanto, a meno che non sia in atto un controllo separato per impedire a un computer non Windows di ottenere un indirizzo IP (ad es., NAC), è possibile avere un OS X o un altro dispositivo non Windows sulla rete con accesso ai dati del titolare della carta.

Da un punto di vista della completezza, si presume che ogni computer Windows di ambito verrà aggiunto al dominio e riceverà l'oggetto Criteri di gruppo appropriato. Pertanto, supponendo che le regole del firewall siano limitate dalle singole sottoreti (ad es. 192.168.1.0/24), esiste la possibilità che un computer Windows che NON riceve GPO risieda in una sottorete che ha accesso all'ambiente del titolare della carta.

Il mio suggerimento sarebbe di utilizzare un firewall adeguato con una capacità di ispezione dei pacchetti stateful per segmentare correttamente la rete.

Nota: questa è la mia interpretazione, un'altra QSA PCI potrebbe avere una diversa interpretazione del tuo approccio (che è uno dei problemi del PCI).