Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

Relaterede dokumenter
IT-sikkerhed som et byggeprojekt?

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant

Undgå DNS Amplification attacks

Opbygning af firewall regler. Overvejelser med mere

Forår Firewalls

Hackingens 5 faser. Kim Elgaard, Solution Engineer, Dubex A/S. 21. marts 2017

Produktspecifikationer Hosted Firewall Version 2.5

Undersøgelsesrapport. Målrettede forsøg på hacking af den danske energisektor

Sikker Drift. Inventio.IT s Sikker Drift sikrer proaktivt driften af dine medarbejders arbejdsstationer og virksomhedens IT.

Sikker Drift. Inventio.IT s Sikker Drift sikrer proaktivt driften af dine medarbejders arbejdsstationer og virksomhedens IT.

Teknisk beskrivelse til TDC Managed Firewall

1. Ledelsens udtalelse

OPSÆTNING AF VPN TIL KUNDER

Cisco ASA Vejledning. Opsætning af DMZ-zone

Basal TCP/IP fejlfinding

- Hvad er det, hvad gør det og hvordan kan du beskytte dig?

Reducér risikoen for falske mails

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

Navision Stat 9.1. Installationsvejledning til NS CIS Invoker. Overblik. Side 1 af 8. ØSY/TJO/CPS Dato

Projektopgave Operativsystemer I

Xenapps/Citrix klient opsætningsvejledning til Integra driftløsningen. Xenapps/Citrix basisport. Xenapps/Citrix Service. Xenapps/Citrix XML service

FleeDa (DBK Fleetmap Database) Installationsvejledning til installation af VPN og FleeDa klient på egen PC (Juli 2017)

Bilag 3.1 til samarbejdsaftalen IT backend-samarbejdet. Service Level Agreement (SLA) vedrørende IT-Backend. mellem Gymnasiefællesskabet

Security as a Service hvorfor, hvornår og hvordan. Gorm Mandsberg, gma@dubex.dk Aarhus,

Service Level Agreement (SLA)

-Krav til klinikkens udstyr (hardware/netværk mm.)

Opsætning af FTP- og webserver 22. januar 2007

TCP & UDP. - de transportansvarlige på lag 4. Netteknik 1

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

FIREWALL AUDIT. FORTROLIGT & PERSONLIGT Side 1 af 34

It-sikkerhedsstrategi i kommuner hvad giver mening at varetage internt og hvad kan outsources?

Cisco ASA Introduktion & vejledning. Opsætning af DMZ-zone

IT- SIKKERHED. De 20 CIS Kontroller til øget sikkerhed

Netværksmålinger. - en introduktion! Netteknik. TCP - IP - Ethernet

Status fra Sikkerhedsfronten. Jens Borup Pedersen DK-CERT/DeiC

LUDUS WEB. Installations- og konfigurations-vejledning. Den 7. april J.nr.: 4004 V

Bilag 10 Nuværende IT-installation

ProjectWise Explorer Installations Guide

Det Danske Filminstitut byder velkommen til vores UDP Server. Pligtaflevering - Version 2.0

STOFA VEJLEDNING SAFESURF INSTALLATION

Konkrete erfaringer - kan infrastrukturen beskytte mod Malware/APT? Og hvad gør man når der har været ubudne gæster?

Distributed Denial-of-Service (DDoS) Attack - og hvordan man forsvarer sig imod det. Bo Lindhøj Artavazd Hakhverdyan May 21, 2012

Netværksmålinger. - en introduktion! Netteknik

Logning en del af en godt cyberforsvar

Router U270 funktionsbeskrivelse

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

1 Hvad skal man gøre, når man er blevet hacket - eller har mistanke om, at man er hacket?

KMD s tilgang til cybertrussler. Public

Netværksovervågning og -administration

Kundecase: Sådan skaber Blue Coat s løsninger værdi hos Haldor Topsøe

STUXNET. Ondsindet angreb på SCADA server Hvad er nyt og hvordan sker dette? Johan Peder Møller

Sikkerhedspolitik Version d. 3. oktober 2013

DANMARKS NATIONALBANK REVISION AF CYBERARK. Sikkerhed og Revision 2019

Leverandørstyring: Stil krav du kan måle på

Digital skriftlig aflevering med Lectio Censormodul Stedprøver installationsvejledning

22. juni 2010 KMD A/S DIAS 1. Infrastructure Optimization. Greve Kommune. Jesper Skov Hansen Løsningsarkitekt KMD A/S

Sektornet VPN. Log på Windows-domæne med Windows XP Pro

Softwareløsninger til dit netværk

Drift & fejlfinding. Netteknik 1. Drift & fejfinding på IT systemer. Mercantec på de større IT systemer! Hvad er drift af IT systemer?

Mariendal IT - Hostingcenter

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Teknisk guide til opsætning af SPF, DKIM og DMARC for at sikre optimale leveringsrater for s fra webcrm, ved brug af Mailjet.

VLAN, Trunk & VTP. VLAN: Virtual Local Area Network

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

Transkript:

Revision af firewall Jesper B. S. Christensen Sikkerhed og Revision 6/7 September 2018

Jesper B. S. Christensen Senior Consultant Deloitte, Risk Advisory, Cyber Secure (dem I ikke har hørt om før) IT-Ingeniør, Etisk Hacker Kernekompetencer: IT sikkerhed Web og interne netværk Penetration Testing Netværk Wifi Infrastruktur Angreb på webapplikationer Speciale i ransomware 20-09-2016 22

Hvad er en firewall? Definition Et system til monitorering og styring af indkommende og udgående netværkstrafik. Formål Firewall en beskytter mod ondsindet eller uhensigtsmæssig trafik. Producenter Juniper, FortiGate, Cisco, pfsense, Check Point og mange flere. 3

Hvad er en firewall? Definition Et system til monitorering og styring af indkommende og udgående netværkstrafik. Formål Firewall en beskytter mod ondsindet eller uhensigtsmæssig trafik. Producenter Juniper, FortiGate, Cisco, pfsense, Check Point og mange flere. 4

Typer af firewalls Typisk benyttes der tre typer firewalls: 1) Web application, 2) Host based og 3) network based. 1. Web application firewall, benyttes på web applikationer og analyserer trafikken for identificerer potentielle angreb og trusler som eksempelvis SQLi, XSS, med mere. 2. Host based er på enheder som eksempelvis en arbejds-pc og monitorer trafikken til og fra arbejds-pc en. (F.eks. Windows Defender) 3. Network based er sat op på netværket og overvåger og kontrollere trafikken der går til og fra netværks segmenter, f.eks. en organisations interne netværk og internettet. 5

Typer af firewalls Typisk benyttes der tre typer firewalls: 1) Web application, 2) Host based og 3) network based. 1. Web application firewall, benyttes på web applikationer og analyserer trafikken for identificerer potentielle angreb og trusler som eksempelvis SQLi, XSS, med mere. 2. Host based er på enheder som eksempelvis en arbejds-pc og monitorer trafikken til og fra arbejds-pc en. (F.eks. Windows Defender) 3. Network based er sat op på netværket og overvåger og kontrollere trafikken der går til og fra netværks segmenter, f.eks. en organisations interne netværk og internettet. Der findes forskellige metoder for hvordan en firewall operer: Packet filtering: hvor kommer trafikken fra og hvor skal den hen? Stateful inspection: er kommunikationen startet fra organisationens netværk? Application layer: Stemmer applikations dataen overens med protokol og port? En web application firewall foretager kun dette tjek og kan normalt gøre det bedre end en network based firewall 6

Hvorfor skal en firewall revideres løbende? 7

Hvorfor skal en firewall revideres løbende? Den er et kritisk element af infrastrukturen Sikre og dokumenterer perimetersikkerheden Vigtigt ekstra lag for en holistisk beskyttelse af en organisation Der er ofte flere/mange personer med adgang som løbende foretager ændringer (stor risiko for fejl) Vigtigt at holde fingeren på pulsen for at opretholde sikkerhedsniveauet Kontrollere om der er opstået sikkerhedshuller siden sidst (der opdages hele tiden nye) Der laves måske ofte ændringer, som ved forkert udførelse kan kompromittere sikkerheden. (ANY-ANY-ANY incidents sker ) Kontroller at firewallens opsætning stemmer overens med organisationens sikkerhedspolitik Kan hjælpe business continuity i tilfælde af cyber incidents ved at have foretaget reviews af processer og procedurer Kan benyttes til kunder til ved potentielle databreaches vil en korrekt firewall ofte være et minimumskrav for beskyttelse personoplysninger. 8

Revisionen Forskellige elementer i revisionen Indhent dokumentation for nuværende setup sikkerhedspolitik, interne procedurer, netværksdiagrammer, IP oversigter, oversigt over fysiske lokationer, information om patch niveau og hardware etc. 9

Revisionen Forskellige elementer i revisionen Indhent dokumentation for nuværende setup sikkerhedspolitik, interne procedurer, netværksdiagrammer, IP oversigter, oversigt over fysiske lokationer, information om patch niveau og hardware etc. Gennemgå kontroller omkring firewall en Kontroller for adgangsstyring (logisk/fysisk, brugeroprettelser (brugere tildeles kun adgang på baggrund af godkendte arbejdsbetingede behov etc.), opsætning og styring kodeord, logs etc.), kontroller for ændringsstyring (change management, alle ændringer til firewall en bør være underlagt risikovurdering, godkendelse, test, planer for fallback, dokumentation) 10

Revisionen Forskellige elementer i revisionen Indhent dokumentation for nuværende setup sikkerhedspolitik, interne procedurer, netværksdiagrammer, IP oversigter, oversigt over fysiske lokationer, information om patch niveau og hardware etc. Gennemgå kontroller omkring firewall en Kontroller for adgangsstyring (logisk/fysisk, brugeroprettelser (brugere tildeles kun adgang på baggrund af godkendte arbejdsbetingede behov etc.), opsætning og styring kodeord, logs etc.), kontroller for ændringsstyring (change management, alle ændringer til firewall en bør være underlagt risikovurdering, godkendelse, test, planer for fallback, dokumentation) Gennemgå opsatte regler Alle opsatte regler skal gennemgås, godkendes og dokumenteres med forretningsmæssigt behov, risikovurdering, ejer/brugere der anvender den pågældende regel, hvilke enheder i netværket påvirkes af reglen, hvilke porte etc. omfatter den enkelte regel, er reglerne i den korrekte rækkefølge?. Tilpasning af den faktiske opsætning på baggrund af resultatet 11

Revisionen Forskellige elementer i revisionen Indhent dokumentation for nuværende setup sikkerhedspolitik, interne procedurer, netværksdiagrammer, IP oversigter, oversigt over fysiske lokationer, information om patch niveau og hardware etc. Gennemgå kontroller omkring firewall en Kontroller for adgangsstyring (logisk/fysisk, brugeroprettelser (brugere tildeles kun adgang på baggrund af godkendte arbejdsbetingede behov etc.), opsætning og styring kodeord, logs etc.), kontroller for ændringsstyring (change management, alle ændringer til firewall en bør være underlagt risikovurdering, godkendelse, test, planer for fallback, dokumentation) Gennemgå opsatte regler Alle opsatte regler skal gennemgås, godkendes og dokumenteres med forretningsmæssigt behov, risikovurdering, ejer/brugere der anvender den pågældende regel, hvilke enheder i netværket påvirkes af reglen, hvilke porte etc. omfatter den enkelte regel, er reglerne i den korrekte rækkefølge?. Tilpasning af den faktiske opsætning på baggrund af resultatet Test og scanning Sårbarheds scan af firewall og host etc., kontroller resultatet op imod forventningerne/godkendte regler, opfølgning på resultater 12

Revisionen Forskellige elementer i revisionen Indhent dokumentation for nuværende setup sikkerhedspolitik, interne procedurer, netværksdiagrammer, IP oversigter, oversigt over fysiske lokationer, information om patch niveau og hardware etc. Gennemgå kontroller omkring firewall en Kontroller for adgangsstyring (logisk/fysisk, brugeroprettelser (brugere tildeles kun adgang på baggrund af godkendte arbejdsbetingede behov etc.), opsætning og styring kodeord, logs etc.), kontroller for ændringsstyring (change management, alle ændringer til firewall en bør være underlagt risikovurdering, godkendelse, test, planer for fallback, dokumentation) Gennemgå opsatte regler Alle opsatte regler skal gennemgås, godkendes og dokumenteres med forretningsmæssigt behov, risikovurdering, ejer/brugere der anvender den pågældende regel, hvilke enheder i netværket påvirkes af reglen, hvilke porte etc. omfatter den enkelte regel, er reglerne i den korrekte rækkefølge?. Tilpasning af den faktiske opsætning på baggrund af resultatet Test og scanning Sårbarheds scan af firewall og host etc., kontroller resultatet op imod forventningerne/godkendte regler, opfølgning på resultater Vedligeholdelse og overvågning Når firewall en er skåret til kræves der stram styring af change management fremadrettet. Der bør foretages realtidsmonitorering af trafikken for at identificerer mistænkelig opførsel, eller som minimum indsamling af log filer som løbende analyseres. Sikre at der disaster recovery/backup planer for firewallen i tilfælde af nedbrud, f.eks. Redundant/hotswap firewall eller SLA med leverandør. 13

Almindelige problemer Brugerstyring - brug af standard brugernavn og kodeord eller delte Administrator brugere 14

Almindelige problemer Brugerstyring - brug af standard brugernavn og kodeord eller delte Administrator brugere Adgang fra internettet til interne databaser 15

Almindelige problemer Brugerstyring - brug af standard brugernavn og kodeord eller delte Administrator brugere Adgang fra internettet til interne databaser Out of date firewall OS (Meget udbredt) 16

Almindelige problemer Brugerstyring - brug af standard brugernavn og kodeord eller delte Administrator brugere Adgang fra internettet til interne databaser Out of date firewall OS (Meget udbredt) 17

Almindelige problemer Brugerstyring - brug af standard brugernavn og kodeord eller delte Administrator brugere Adgang fra internettet til interne databaser Out of date firewall OS (Meget udbredt) Tilladt adgang til management af Firewallen (ekstra slemt når det er over HTTP eller Telnet og der mangler Brute Force beskyttelse) 18

Almindelige problemer Brugerstyring - brug af standard brugernavn og kodeord eller delte Administrator brugere Adgang fra internettet til interne databaser Out of date firewall OS (Meget udbredt) Tilladt adgang til management af Firewallen (ekstra slemt når det er over HTTP eller Telnet og der mangler Brute Force beskyttelse) Reglerne uden logning og manglende opsamling (og analyse) af Logfiler fra firewallen. 19

Almindelige problemer Brugerstyring - brug af standard brugernavn og kodeord eller delte Administrator brugere Adgang fra internettet til interne databaser Out of date firewall OS (Meget udbredt) Tilladt adgang til management af Firewallen (ekstra slemt når det er over HTTP eller Telnet og der mangler Brute Force beskyttelse) Reglerne uden logning og manglende opsamling (og analyse) af Logfiler fra firewallen. Adgang fra Gæstenetværk ind i på produktions- eller administrative netværk. 20

Almindelige problemer Brugerstyring - brug af standard brugernavn og kodeord eller delte Administrator brugere Adgang fra internettet til interne databaser Out of date firewall OS (Meget udbredt) Tilladt adgang til management af Firewallen (ekstra slemt når det er over HTTP eller Telnet og der mangler Brute Force beskyttelse) Reglerne uden logning og manglende opsamling (og analyse) af Logfiler fra firewallen. Adgang fra Gæstenetværk ind i på produktions- eller administrative netværk. Ubegrænset adgang mellem interne netværkssegmenter (Ransomware udnytter det effektivt!) 21

Almindelige problemer Brugerstyring - brug af standard brugernavn og kodeord eller delte Administrator brugere Adgang fra internettet til interne databaser Out of date firewall OS (Meget udbredt) Tilladt adgang til management af Firewallen (ekstra slemt når det er over HTTP eller Telnet og der mangler Brute Force beskyttelse) Reglerne uden logning og manglende opsamling (og analyse) af Logfiler fra firewallen. Adgang fra Gæstenetværk ind i på produktions- eller administrative netværk. Ubegrænset adgang mellem interne netværkssegmenter (Ransomware udnytter det effektivt!) Fuld adgang ud af netværket på TCP og UDP (og ICMP og DNS men disse er næsten kun for hackere) 22

Almindelige problemer Brugerstyring - brug af standard brugernavn og kodeord eller delte Administrator brugere Adgang fra internettet til interne databaser Out of date firewall OS (Meget udbredt) Tilladt adgang til management af Firewallen (ekstra slemt når det er over HTTP eller Telnet og der mangler Brute Force beskyttelse) Reglerne uden logning og manglende opsamling (og analyse) af Logfiler fra firewallen. Adgang fra Gæstenetværk ind i på produktions- eller administrative netværk. Ubegrænset adgang mellem interne netværkssegmenter (Ransomware udnytter det effektivt!) Fuld adgang ud af netværket på TCP og UDP (og ICMP og DNS men disse er næsten kun for hackere) Reglerne mangler dokumentation og kommentarer 23

Almindelige problemer Brugerstyring - brug af standard brugernavn og kodeord eller delte Administrator brugere Adgang fra internettet til interne databaser Out of date firewall OS (Meget udbredt) Tilladt adgang til management af Firewallen (ekstra slemt når det er over HTTP eller Telnet og der mangler Brute Force beskyttelse) Reglerne uden logning og manglende opsamling (og analyse) af Logfiler fra firewallen. Adgang fra Gæstenetværk ind i på produktions- eller administrative netværk. Ubegrænset adgang mellem interne netværkssegmenter (Ransomware udnytter det effektivt!) Fuld adgang ud af netværket på TCP og UDP (og ICMP og DNS men disse er næsten kun for hackere) Reglerne mangler dokumentation og kommentarer Any regler 24

Almindelige problemer Brugerstyring - brug af standard brugernavn og kodeord eller delte Administrator brugere Adgang fra internettet til interne databaser Out of date firewall OS (Meget udbredt) Tilladt adgang til management af Firewallen (ekstra slemt når det er over HTTP eller Telnet og der mangler Brute Force beskyttelse) Reglerne uden logning og manglende opsamling (og analyse) af Logfiler fra firewallen. Adgang fra Gæstenetværk ind i på produktions- eller administrative netværk. Ubegrænset adgang mellem interne netværkssegmenter (Ransomware udnytter det effektivt!) Fuld adgang ud af netværket på TCP og UDP (og ICMP og DNS men disse er næsten kun for hackere) Reglerne mangler dokumentation og kommentarer Any regler Manglende eller forkert konfigureret anti-spoofing 25

Almindelige problemer Brugerstyring - brug af standard brugernavn og kodeord eller delte Administrator brugere Adgang fra internettet til interne databaser Out of date firewall OS (Meget udbredt) Tilladt adgang til management af Firewallen (ekstra slemt når det er over HTTP eller Telnet og der mangler Brute Force beskyttelse) Reglerne uden logning og manglende opsamling (og analyse) af Logfiler fra firewallen. Adgang fra Gæstenetværk ind i på produktions- eller administrative netværk. Ubegrænset adgang mellem interne netværkssegmenter (Ransomware udnytter det effektivt!) Fuld adgang ud af netværket på TCP og UDP (og ICMP og DNS men disse er næsten kun for hackere) Reglerne mangler dokumentation og kommentarer Any regler Manglende eller forkert konfigureret anti-spoofing Firewalls blokerer for meget (business impact) 26

Almindelige problemer Brugerstyring - brug af standard brugernavn og kodeord eller delte Administrator brugere Adgang fra internettet til interne databaser Out of date firewall OS (Meget udbredt) Tilladt adgang til management af Firewallen (ekstra slemt når det er over HTTP eller Telnet og der mangler Brute Force beskyttelse) Reglerne uden logning og manglende opsamling (og analyse) af Logfiler fra firewallen. Adgang fra Gæstenetværk ind i på produktions- eller administrative netværk. Ubegrænset adgang mellem interne netværkssegmenter (Ransomware udnytter det effektivt!) Fuld adgang ud af netværket på TCP og UDP (og ICMP og DNS men disse er næsten kun for hackere) Reglerne mangler dokumentation og kommentarer Any regler Manglende eller forkert konfigureret anti-spoofing Firewalls blokerer for meget (business impact) Åben for DNS alt for mange steder. (En af Hackernes fortrukne måder at lave C2 på) 27

Så er firewallen alt? Det korte svar: Nej. 28

Så er firewallen alt? Det korte svar: Nej. Det længere svar: Firewallen er overhovedet ikke alt. 29

Så er firewallen alt? Det korte svar: Nej. Det længere svar: Firewallen er overhovedet ikke alt. Firewallen giver et ekstra lag sikkerhed. 30

Så er firewallen alt? Det korte svar: Nej. Det længere svar: Firewallen er overhovedet ikke alt. Firewallen giver et ekstra lag sikkerhed. Der eksisterer stadig problemer som: Awareness, f.eks. Phishing og låsning af arbejds PC er Målrettede Phishing angreb. (Meget effektive) BEC/CEO fraud Netværks og domæne konfigurationer Sikring og overvågning af de enkelte maskiner og servere Wi-Fi opsætning Kodeordspolitikker Patch management procedure Manglende SIEM Exfiltrering af data Generel fysisk sikkerhed 31

Så er firewallen alt? Det korte svar: Nej. Det længere svar: Firewallen er overhovedet ikke alt. Firewallen giver et ekstra lag sikkerhed. Der eksisterer stadig problemer som: Awareness, f.eks. Phishing og låsning af arbejds PC er Målrettede Phishing angreb. (Meget effektive) BEC/CEO fraud Netværks og domæne konfigurationer Sikring og overvågning af de enkelte maskiner og servere Wi-Fi opsætning Kodeordspolitikker Patch management procedure Firewallen er ofte bare et mindre bump på vejen under et Red Team men hvis de har segmenteret det interne netværk rigtigt puha, så bliver det en lang nat - Deloitte, Red Team Manager Manglende SIEM Exfiltrering af data Generel fysisk sikkerhed 32

Jesper B. S. Christensen jeschristen@deloitte.dk 3093 4418

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback