¿Qué estrategias deberían implementarse para los firewalls de hardware de hoteles comunes?
En términos generales, las inspecciones de rutina de los firewalls de hardware se centran principalmente en los siguientes contenidos: 1. Archivo de configuración del firewall de hardware No importa cuán completo y riguroso considere al instalar el firewall de hardware, una vez que el firewall de hardware se pone en uso En el entorno de uso real, la situación cambia en cualquier momento. Las reglas del firewall de hardware cambian y se ajustan constantemente, y los parámetros de configuración también cambiarán de vez en cuando. Como administrador de seguridad de red, lo mejor es escribir un conjunto de políticas de seguridad que modifiquen las configuraciones y reglas del firewall y las implementen estrictamente. La configuración del firewall de hardware involucrada debe ser lo más detallada posible, como qué tráfico está permitido y qué servicios requieren servidores proxy.
En la política de seguridad se deben indicar los pasos para modificar la configuración del firewall del hardware, como qué autorizaciones deben modificarse, quién puede realizar dichas modificaciones, cuándo se pueden realizar las modificaciones, cómo registrar estas modificaciones. , etc. La política de seguridad también debe especificar la división de responsabilidades. Por ejemplo, si una persona realiza cambios específicos, otra persona es responsable de registrar y una tercera persona verifica y prueba si las configuraciones modificadas son correctas. Una política de seguridad detallada debe garantizar que las modificaciones a las configuraciones del firewall de hardware estén programadas y evitar errores y vulnerabilidades de seguridad causadas por modificaciones de configuración.
2.Uso del disco del firewall de hardware Si se mantienen registros en el firewall de hardware, es importante verificar el uso del disco del firewall de hardware. Si no se mantiene el registro, resulta aún más importante comprobar el uso del disco del firewall de hardware. Cuando se conservan los registros, es probable que un crecimiento anormal en el uso del disco indique un problema con el proceso de borrado de registros, que es relativamente fácil de manejar. Si el uso del disco aumenta anormalmente sin mantener registros, significa que el firewall del hardware puede haber sido comprometido por alguien que instaló una herramienta Rootkit.
Por lo tanto, los administradores de seguridad de la red primero deben comprender el uso del disco del firewall en circunstancias normales y, en base a esto, establecer una línea base de inspección. Una vez que el uso del disco del firewall de hardware excede esta línea base, significa que el sistema ha encontrado problemas de seguridad u otros problemas y requiere una inspección adicional.
3. Carga de CPU del firewall de hardware De manera similar al uso del disco, la carga de la CPU también es un indicador importante para juzgar si el sistema de firewall de hardware está funcionando normalmente. Como administrador de seguridad, debe comprender el valor normal de la carga de CPU del sistema de firewall de hardware. Un valor de carga demasiado bajo no significa necesariamente que todo sea normal, pero un valor de carga excesivamente alto indica que debe haber un problema con el. sistema de cortafuegos. Es probable que una carga excesiva de la CPU se deba a problemas como un ataque DoS al firewall del hardware o una desconexión de la red externa.
4. Programas demonio de los sistemas de firewall de hardware En funcionamiento normal, cada firewall tiene un conjunto de programas demonio, como programas de servicio de nombres, programas de registro del sistema, programas de distribución de red o programas de autenticación, etc. Durante las inspecciones de rutina, debe verificar si todos estos programas se están ejecutando. Si descubre que algunos programas del asistente no se están ejecutando, debe verificar más a fondo qué causa que estos programas del asistente no se ejecuten y qué programas del asistente aún se están ejecutando.
5. Archivos del sistema No hay más de tres situaciones en las que se pueden cambiar archivos clave del sistema: modificaciones realizadas por los gerentes de manera decidida y planificada, como modificaciones causadas por actualizaciones planificadas del sistema por parte de los gerentes; ocasionalmente Modificaciones a archivos del sistema; modificaciones a archivos por parte de un atacante.
Verifique periódicamente los archivos del sistema y verifique los registros de modificación de archivos del sistema para detectar ataques al firewall de manera oportuna. Además, también se debe enfatizar que es mejor incluir registros de modificaciones de archivos del sistema en la modificación de la política de configuración del firewall de hardware.
6. Registro de excepciones El registro del firewall de hardware registra información sobre todas las comunicaciones permitidas o denegadas y es la principal fuente de información sobre el estado operativo del firewall de hardware. Debido a la gran cantidad de datos en este registro, la verificación de los registros de excepciones normalmente debería ser un proceso automatizado. Por supuesto, el administrador debe determinar qué tipo de eventos son eventos anormales. Solo cuando el administrador define eventos anormales y los registra, el firewall del hardware conservará los registros correspondientes para referencia futura.
Es posible que las inspecciones de rutina en los seis aspectos anteriores no detecten de inmediato todos los problemas y peligros ocultos que puede encontrar el firewall de hardware, pero las inspecciones persistentes son muy importantes para el funcionamiento estable y confiable del firewall de hardware. Si es necesario, los administradores también pueden utilizar escáneres de paquetes para confirmar si la configuración del firewall de hardware es correcta o no. Incluso pueden ir más allá y utilizar escáneres de vulnerabilidades para simular ataques y evaluar las capacidades del firewall de hardware.