Archiv pro štítek: firewall

Sophos UTM Essential Firewall Edition – konfigurace (2)

V minulém příspěvku jsem popisoval úvodní kroky instalace Sophos UTM 9.2, první čtyři kroky ze seznamu jsou již  za námi. Pokračujeme zde nyní bodem 5. konfigurace z webového rozhraní.

Installing the Software Appliance
——————————-

1. Download the ISO image found here: http://www.sophos.com/en-us/support/utm-downloads.aspx
2. Burn this image onto a CD.
3. Insert CD and boot the PC you wish to dedicate to Sophos UTM from the CD-ROM drive.
4. Follow the on-screen installation instructions. The Webadmin URL will be shown in the final step of the installation.
5. Point your browser to the web-based configuration tool (WebAdmin).
6. Follow the wizard to set up a basic configuration.
7. Upload the attached Sophos UTM Essential Firewall license file under Management >> Licensing.

Poslední obrazovka před restartem upozorňovala na adresu a port webového rozhraní (https://10.1.1.251:4444), ze kterého budeme firewall nadále spravovat. Tuto informaci uvidíme i na konzoli počítače, na kterém Sophos UTM běží: Pokračování textu Sophos UTM Essential Firewall Edition – konfigurace (2)

Sophos UTM Essential Firewall Edition – instalace (1)

V tomto seriálu se zaměřím na firewall Sophos UTM (unified threat management) – z mého pohledu hlavní kandidát na nástupce za Microsoft TMG (threat management gateway). Microsoft ukončil vývoj svého firewallu již před lety, u mnoha zákazníků stále slouží, ale nevyhnutelně zastarává a nemůže tak plně reagovat na vývoj požadavků zákazníků. Sophos UTM je v lecčems podobný MS TMG a chci se podívat, jak vlastně funguje.

Sophos dodává firewall v několika verzích včetně fyzického řešení (hardware appliances), virtualizovaného fw a čistě softwarové řešení. Základní informace: http://www.sophos.com/en-us/products/unified-threat-management.aspx

Test SW Sophos UTM Essential Firewall Edition

Kde najdu binární kód ke stažení a ověření funkce? Zde: http://www.sophos.com/en-us/support/resource-centers/unified/getting-started.aspx, ke stažení a instalaci na vlastním HW nebo ve virtuálním prostředí:

Testuji v openSUSE, Virtual Box a virtuální počítač má tyto parametry konfigurace stroje:

2 síťová rozhraní

  • externí síťová adresa je 10.0.0.251/24
  • interní síťová adresa je 10.1.1.251/24

Postup stažení – na stránce http://www.sophos.com/en-us/products/free-tools/sophos-utm-essential-firewall.aspx jsem si přečetl popis a úvodní informace, tlačítkem Get Started se vyvolá formulář na další stránce. Po zápisu požadovaných informací a odeslání přijde na zadanou adresu e-mail s instrukcemi a přiloženým licenčním souborem pro bezplatnou verzi.

Z e-mailu vybírám:

Pokračování textu Sophos UTM Essential Firewall Edition – instalace (1)

NetShell: výpis pravidel Firewallu

alt

NetShell je opravdu užitečný nástroj. Lze jej použít i v konzole SCOM pro vytvoření příkazu (Task) spuštěného na monitorovaném serveru. Pokud náš účet není administrátorem na onom vzdáleném serveru, může být problém vzdálené spuštění příkazu. Ne tak v případě použití Tasku – ten totiž běží v kontextu akčního účtu agenta (standardně je to systémový účet).

 

Aktuální sada pravidel se vypíše následujícím příkazem, výpis pouze pravidel pro příchozí spojení zajistí parametr dir=in:

netsh advfirewall firewall show rule name=all profile=domain    ‚ nebo

netsh advfirewall firewall show rule name=all profile=domain dir=in

Textový záznam o činnosti pro Windows Firewall

Nejprve nastavíme požadované parametry pomocí nástroje wf.msc (neboli Start | Administrative Tools | Windows Firewall with Advanced Security) Zobrazíme vlastnosti firewallu Properties (1,2)

winFw1

Pro každý profil, který přichází v úvahu a je v něm Firewall zapnutý (Domain, Private, Public) (3) upravíme co a kam se bude zaznamenávat, tlačítko Customize . . . (4)

image

Name: určuje umístění souboru, není problém změnit cestu i pojmenování, výchozí je – C:\Windows\system32\LogFiles\Firewall\pfirewall.log. Dále můžeme určit maximální velikost (Size limit (KB)) a vybrat, co se bude zaznamenávat:

  • zahozené pakety (dropped packets)
  • úspěšná připojení (successfull connections)

Ukončíme a uložíme zvolené nastavení – OK |OK.

Služba okamžitě začne soubor používat. Přesvědčíme se o tom – můžeme zobrazit obsah textového souboru se záznamy přímo z adresy, kterou jsme si zvolili: C:\Windows\system32\LogFiles\Firewall\pfirewall.log, nebo z prostředí výše uvedeného nástroje pro správu Firewalu, když ve stromové struktuře v levé části vybereme Monitoring:

wFmonitoring 

Formát uložených informací a příklad záznamů:

#Version: 1.5
#Software: Microsoft Windows Firewall
#Time Format: Local
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path
2010-10-06 18:19:02 ALLOW TCP 10.0.0.51 10.0.0.51 56247 1433 0 - 0 0 0 - - - SEND
2010-10-06 18:19:02 ALLOW TCP 10.0.0.51 10.0.0.51 56247 1433 0 - 0 0 0 - - - RECEIVE
. . .
2010-10-06 18:22:15 ALLOW TCP 10.0.0.51 10.0.0.50 56395 88 0 - 0 0 0 - - - SEND
. . .
2010-10-06 18:22:26 DROP UDP 10.0.0.1 10.0.0.255 137 137 78 - - - - - - - RECEIVE

Audit a monitorování firewallu ve Windows 2008

Podmínkou monitorování je zapnutí auditní služby pro příslušné kategorie/podkategorie. Kontrolní výpis nastavení pro kategorii Object Access, podkategorie Filtering Platform Connection příkazem auditpol /get /category:”object access” mi ukazuje, že audit není aktivní:

filteringPC

Příkazem auditpol /set /subcategory:“Filtering Platform Connection“ /success:enable /failure:enable nastavení změníme. Názvy kategorií a podkategorií jsou závislé na jazyce lokalizace serveru, proto je možné používat místo jmen jazykově nezávislý  GUID: auditpol /set /subcategory:“{0CCE9226-69AE-11D9-BED3-505054503030}“ /success:enable /failure:enable

Kontrolní výpis pak potvrdí, že změna byla provedena:

filteringPC1

V logu nás potom budou zajímat následující události:

Allowed and blocked connections:

  • 5154—Listen permitted
  • 5155—Listen blocked
  • 5156—Connection permitted
  • 5157—Connection blocked
  • 5158—Bind permitted
  • 5159—Bind blocked

Note Permitted connections do not always audit the ID of the associated filter. The FilterID for TCP will be 0 unless a subset of these filtering conditions are used: UserID, AppID, Protocol, Remote Port.

Čerpal jsem ze stránek MSDN: http://msdn.microsoft.com/en-us/library/bb309058(VS.85).aspx, které uvádějí GUID pro další kategorie a podkategorie a seznam generovaných událostí, které přicházejí pro tyto účely v úvahu.

K zobrazení událostí používám filtry v bezpečnostním logu, viz zde.

Důležitá poznámka: zapnutí auditu firewallu může způsobit generování vysokého počtu záznamů, takže je důležité po změně nastavení sledovat provoz nebo povolit audit pouze na nezbytně dlouhou dobu, např. při vyšetřování problémů.