نسبيًا مؤخرًا ، قمنا بنشر دورة مصغرة للوصول مفتوحًا "
نقطة تفتيش إلى أقصى حد ". هناك حاولنا باختصار ومع الأمثلة النظر في الأخطاء الأكثر شيوعًا في تكوين Check Point من وجهة نظر أمن المعلومات. في الواقع ، أخبرنا ما هي الإعدادات الافتراضية سيئة وكيفية "تشديد الجوز". تلقى الدورة التدريبية (بشكل غير متوقع بالنسبة لنا) مراجعات جيدة للغاية. بعد ذلك ، تلقينا عدة طلبات للحصول على "ضغط" قصير لهذه المادة -
قائمة مرجعية لإعدادات الأمان . قررنا أن هذه فكرة جيدة ، وبالتالي ننشر هذه المقالة.
قبل البدء ، أود التركيز على شيئين:
- قائمة التحقق هذه ليست وثيقة أو دليلًا مكتفًا ذاتيًا. هذا هو الحد الأدنى الضروري فقط من الفحوصات التي من المستحسن القيام بها. لا يمكن الحصول على توصيات (موسعة) إضافية إلا بعد فحص مفصل للبنية التحتية.
- ستكون قائمة المراجعة مناسبة ليس فقط لأصحاب Check Point . يواجه بائعون آخرون مشكلات مماثلة في الإعدادات الافتراضية: Fortigate و PaloAlto و Cisco FirePower و Kerio و Sophos ، إلخ.
والآن قائمة المراجعة نفسها مع بعض التعليقات على كل بند:
1) تمكين HTTPS التفتيش
تحدثت عن أهمية فحص HTTPS في
الدرس الثاني ، "تحقق من نقطة إلى الحد الأقصى". بدون هذا الخيار ، تتحول NGFW العزيزة إلى فتحة كبيرة في محيط الشبكة.
2) يتم حظر الموارد والتطبيقات غير المرغوب فيها (تصفية التطبيقات وعنوان URL)
عند Check Point ، تكون النصالتان مسؤولتان عن ذلك - التحكم في التطبيق وتصفية عنوان URL. الشيء نفسه تقريبا مع البائعين الآخرين مع وجود اختلافات طفيفة. الهدف الرئيسي من هذه الوظائف هو تقليل مساحة الهجوم عن طريق منع الوصول إلى الموارد أو التطبيقات التي قد تكون خطرة. لسبب ما ، على الرغم من وجود فئات مُعدة مسبقًا (Anonymizer ، و Botnets ، والمخاطر الحرجة ، والتطفل ، والمخاطر العالية ، والتصيد الاحتيالي ، والإدارة عن بعد ، والمحتوى اللطيف ، والمحتوى التجسس / المواقع الضارة ، وتكتيكات التخفي ، وما إلى ذلك) ، لا يستخدم الأشخاص هذه القيود . من الأفضل منع مثل هذه الأشياء على مستوى الشبكة وعدم إحضار عمليات فحص حركة المرور باستخدام تدابير حماية أكثر تطوراً (IPS ، ومكافحة الفيروسات ، ومكافحة بوت ، ومحاكاة التهديدات). سيؤدي هذا إلى تجنب الإيجابيات الخاطئة ويوفر لك أداء البوابة. فحص فئات المواقع والتطبيقات التي يمكن أن تحظرها البوابة ، ثم راجع سياسة الوصول مرة أخرى. هناك مساعدة جيدة هنا هي SmartEvent ، والتي يمكنها إنشاء تقرير عن حركة مرور المستخدم.
3) حظر تنزيل الملفات غير المرغوب فيها (التوعية بالمحتوى)
تحدثت عن هذا في
الدرس الثالث . في Check Point ، تكون شفرة التوعية بالمحتوى مسؤولة عن هذه الميزة. بالنسبة للبائعين الآخرين ، ربما يسمح لك ذلك بإجراء وحدة مكافحة فيروسات أو DLP. معنى هذا الإجراء هو حظر أنواع الملفات غير المرغوب فيها عمداً. هل يحتاج المستخدمون حقًا إلى تنزيل ملفات exe؟ ماذا عن النصوص؟ لماذا تحقق من هذه الملفات والأمل في موثوقية البوابة الخاصة بك ، إذا كان يمكنك حظرها كمحتوى غير لائق؟ انخفاض الحمل على NGFW ومستوى أعلى من الأمن. في بعض الأحيان قد لا يعلم المستخدم أنه بدأ تنزيل شيء ما (تنزيل الخلفية). راجع سياستك ، وحظر على الأقل الملفات القابلة للتنفيذ.
4) تقوم مكافحة الفيروسات بإجراء فحص كامل للملفات (مكافحة الفيروسات - الفحص العميق)
هذا ينتهك تماما جميع البائعين. في الإعدادات الافتراضية ، تفحص برامج مكافحة الفيروسات المتدفقة إما تجزئة الملف أو البايتات القليلة الأولى فقط. لحماية كافية هذا ليس كافيا. تعديل الفيروس ليس بالأمر الصعب. للقبض عليهم ، تحتاج إلى فحص عميق. عند Check Point ، يكون خيار
الفحص العميق مسؤولاً عن هذا. لكن كن حذرا. لا تقم بتمكين هذه الميزة لجميع الملفات تمامًا. إذا كان لديك بوابة "ضعيفة" ، فقد يزيد الحمل أكثر من اللازم. استخدم التفتيش العميق للملفات الأكثر خطورة (والتي يتم تنزيلها غالبًا): pdf و docx و xlsx و rtf و zip و rar و exe (إذا سمحت بتنزيلها) ، إلخ. انظر
الدرس الرابع لمزيد من التفاصيل.
5) يتم التحقق من المحفوظات ، يتم حظر تلك المحمية بكلمة مرور (مكافحة الفيروسات - مسح الأرشيف)
من المستغرب أن ينسى الكثيرون هذا الخيار. أعتقد أن الجميع يحتاج إلى التحقق من الأرشيف. ويجب أن يكون واضحًا للجميع أنه يجب حظر الأرشيفات بكلمة مرور. لا أرى أي سبب لرسم شيء أكثر تفصيلاً هنا. فقط تأكد من أن لديك تكوينه.
6) يتم تضمين محركات مسح إضافية (مكافحة الفيروسات - الحماية)
في ملف التعريف الافتراضي لمنع التهديدات (الأمثل) ، يتم تعطيل آليات التحقق الإضافية ، مثل:
النشاط الضار - التوقيعات ،
النشاط غير العادي - الأنماط السلوكية . لا تهمل هذه الإعدادات. كيف أدرجهم أظهرته في
الدرس الرابع .
7) يتم تحديث IPS مرة واحدة على الأقل في الأسبوع
في
الدرس الخامس ، حاولت أن أوضح مدى أهمية IPS لأمن الشبكة. وأحد الشروط الرئيسية لتحقيق الكفاءة هو وجود قاعدة "جديدة" للتوقيع. تأكد من تحديث IPS الخاص بك في كثير من الأحيان بما فيه الكفاية. توصيتي هي على الأقل كل ثلاثة أيام. كقاعدة عامة ، القيم الافتراضية أعلى بكثير (من أسبوع إلى شهر) لجميع البائعين تقريبًا.
8) يتم نقل IPS إلى طبقة منفصلة
نقطة أخرى مهمة. تأكد من وضع IPS في طبقة منفصلة. بهذه الطريقة فقط يمكنك الحصول على أقصى استفادة منه. قلت بشيء من التفصيل لماذا وكيف نفعل ذلك في
الدرس السادس من الدورة.
9) سياسات مختلفة لمنع التهديدات لقطاعات الشبكة المختلفة
تتضمن سياسات منع التهديدات شفرات مثل: مكافحة الفيروسات ، ومكافحة بوت ، IPS ، مضاهاة التهديد ، واستخراج التهديد. كما ذكرنا أعلاه ، يجب نقل IPS إلى طبقة منفصلة. يجب أن يكون هناك على الأقل سياستان - واحدة للجهاز العميل ، والآخر لأجهزة الخادم. في الوقت نفسه ، من الناحية المثالية ، يجب أن تتفكك السياسة أكثر ، لأن في كل شريحة يمكن أن يكون هناك أنواع مختلفة من الأجهزة وأنواع مختلفة من الخدمات. المهمة الأساسية هي تمكين آليات الحماية الضرورية فقط. ليس من المنطقي التحقق من توقيعات windows لحركة المرور المخصصة لمضيف Linux. الشيء نفسه ينطبق على ريش أخرى. تعد سياسة منع التهديدات المجزأة هي مفتاح الحماية الكافية.
10) استخدام وضع الانتظار
افتراضيًا ، يستخدم "منع التهديدات" وضع
الخلفية . هذا يعني أنه إذا كان الملف جديدًا ولم يكن هناك توقيع ضروري ، فيمكنه المرور أثناء إجراء فحص "متعمق" في الخلفية. هذا ليس بالضبط ما هو مطلوب عادة من العلاجات. لذلك ، تأكد من تمكين وضع التعليق في خصائص منع التهديدات (في الإعدادات العامة وإعدادات ملف التعريف).
11) السياسة الجغرافية المشكلة
هذه الوظيفة هي أيضا نسيان غير مستحق. يتيح لك هذا الخيار حظر أي حركة مرور (سواء الواردة والصادرة) لأي بلد لشبكتك. هل يحتاج المستخدمون لديك لزيارة بنغلاديش أو الكونغو؟ لكن المهاجمين يفضلون استخدام خوادم البلدان التي تم تطوير التشريعات فيها بشكل سيء من حيث جرائم الإنترنت. لن تؤدي السياسة الجغرافية المختصة إلى زيادة مستوى الأمان فحسب ، ولكن أيضًا تقليل الحمل على البوابة ، لأن هذا الأخير لا يجب أن تحقق كل شيء.
12) مضاهاة التهديد ممكن
نقطة واحدة ليست كافية هنا. من أجل الخير ، تحتاج إلى عمل قائمة مراجعة منفصلة لإعدادات مضاهاة التهديد. بعد إذن منك ، لن أفعل ذلك :) سأدرس توصية رئيسية واحدة - يجب تشغيل الشفرة. لسبب ما ، العديد من المسؤولين يعتبرون هذه الميزة غريبة لا لزوم لها. قم بتشغيل وضع الكشف على الأقل وشاهد التقرير خلال أسبوع. سوف تفاجأ. إذا كان مستوى الاشتراك الحالي لا يسمح باستخدام هذه الشفرة ، فيمكنك
طلب ترخيص تجريبي لمدة 30 يومًا.
13) مفقود كاذبة إيجابية
أخيرًا وليس آخرًا لقد كررت (ولم أتعب من التكرار) عدة مرات أن السلامة هي عملية مستمرة وليست نتيجة. لذلك ، حتى لو تم ضبطك جيدًا ، يجب عليك على الأقل التحقق من الفعالية والنتائج. هل تعمل الحماية وهل هناك أي أخطاء؟ أبسط مثال للقيام بذلك هو التحقق من سجلات الأمان بشكل دوري. تحقق من سجلات شفرات منع التهديدات. هل هناك اكتشاف الأحداث من درجة الخطورة مع ارتفاع أو الحرجة والثقة مع ارتفاع. مثال مرشح السجل:
product_family: (التهديد أو نقطة النهاية أو الجوال) والإجراء: الكشف والشدة: (حرج أو عالي) ومستوى الثقة: (متوسط-مرتفع أو مرتفع)
إذا رأيت السجلات التي تندرج تحت هذا الفلتر ، فقد فاتتك الشبكة التي كان عليك حظرها. إما أن تقوم بتكوين شيء بشكل غير صحيح ، أو أن علاجك لا يعمل كما ينبغي. تحقق دوريًا من هذه الأحداث ، أو قم بتكوين الإشعارات (وظيفة SmartEvent).
أفضل الممارسات
يمكنك العثور على معظم العناصر في الوثائق الرسمية لـ Check Point. لقد قمنا بالفعل بنشر مجموعة كاملة في مقالة "
تعليمات نقطة الفحص والوثائق المفيدة ". في حالتنا ، سيكون المصدر الرئيسي للمعلومات هو مجموعة مختارة من المقالات -
أفضل الممارسات و
ATRG . إذا كنت مالكًا سعيدًا لمنتجات Check Point ، فيجب عليك قراءة هذه المواضيع.
الخاتمة
مع هذا سننهي الشيكات "لعنة". إذا قمت بترتيب إعدادات البوابة الخاصة بك وفقًا لهذه القائمة ، فسيكون مستوى الأمان لديك أعلى من 80٪ من الشركات (إحصائيات من تجربة شخصية). أكرر أن هذه مجرد اختبارات أساسية. للحصول على توصيات متقدمة وأكثر تحديدًا ، تحتاج إلى تحليل شامل للإعدادات الحالية وهيكل الشبكة. يمكنك
هنا العثور على تقرير مثال (
تدقيق أمان نقطة التدقيق ) عن نتائج تدقيق الإعدادات هذا. إذا كنت ترغب في ذلك ، يمكنك الحصول على تقرير يتضمن توصيات وإرشادات محددة للتصحيحات.
يمكن العثور على مواد تدريبية إضافية في مجموعتنا أو
قناة التلغراف .
يمكنك إجراء تدقيق مجاني لإعدادات أمان Check Point
هنا.