Paketfiltrerande routrar kan avsevärt sänka en organisations risk från externa attacker genom att fungera som en första försvarslinje. Deras konfiguration är nyckeln till effektiviteten. Så här kan de konfigureras för att förbättra säkerheten:
1. Implicit förneka: Detta är den * mest avgörande * inställningen. Standardpolicyn bör alltid vara att förneka all trafik som inte uttryckligen är tillåten. Detta förhindrar att okänd eller oönskad trafik når interna nätverk. Varje regel som tillåter specifik trafik bör noggrant övervägas och motiveras.
2. Access Control Lists (ACLS): Dessa är kärnan i paketfiltrering. ACL:er definierar regler som anger vilka paket som är tillåtna eller nekas baserat på olika kriterier:
* Källa IP -adress: Blockera trafik från kända skadliga IP -adresser eller intervall (t.ex. kända botnät).
* Destination IP -adress: Begränsa åtkomst till interna servrar eller nätverk från obehöriga externa källor. Tillåt endast åtkomst till specifika tjänster på offentligt möta servrar.
* Källa och destinationsportar: Kontrollera vilka nätverkstjänster som är tillgängliga. Blockera till exempel alla inkommande anslutningar till port 23 (Telnet) eller port 3389 (RDP) såvida inte absolut nödvändigt.
* protokoll: Filter baserat på nätverksprotokollet (TCP, UDP, ICMP). Till exempel kan du blockera all ICMP -trafik (Ping) förutom väsentlig nätverksdiagnostik.
* paketinnehåll (djup paketinspektion - DPI): Även om det inte strikt paketfiltrering i traditionell mening, erbjuder vissa avancerade routrar DPI. Detta möjliggör inspektion av paketet nyttolast för skadligt innehåll (t.ex. nyckelord, specifika filtyper). Detta är beräkningsintensivt och kan påverka prestanda.
3. Statlighet: Anställ statlig paketinspektion (SPI). Detta går utöver enkel paketfiltrering genom att spåra tillståndet för nätverksanslutningar. Det tillåter returtrafik (t.ex. svar på legitima förfrågningar) samtidigt som de blockerar oönskade inkommande anslutningar. Detta förhindrar många former av attacker som SYN -översvämningar.
4. Försvar i djupet: Paketfiltrering på en router är bara ett lager av säkerhet. Det bör kompletteras med andra säkerhetsåtgärder som:
* brandväggar: Placera brandväggar både vid omkretsen och potentiellt internt för att ge ytterligare filtrering och skydd.
* intrångsdetektering/förebyggande system (IDS/IPS): Dessa system övervakar nätverkstrafik för skadlig aktivitet och kan vidta åtgärder för att blockera eller varna vid misstänkta händelser.
* virtuella privata nätverk (VPN): Använd VPN:er för att kryptera trafik mellan fjärranvändare och organisationens nätverk.
* Regelbundna uppdateringar och lappning: Håll router firmware och mjukvara uppdaterad för att hantera säkerhetssårbarheter.
5. Regelbunden granskning och uppdateringar: ACL:er är inte inställda. De behöver regelbunden granskning och uppdateringar för att återspegla förändringar i organisationens nätverksinfrastruktur, säkerhetshot och bästa praxis. Föråldrade eller dåligt konfigurerade ACL:er kan lämna sårbarheter.
Exempel ACL -regel (förenklad):
`Tillåt TCP någon värd 192.168.1.100 ekv. 80`
Denna regel tillåter TCP -trafik från alla källor IP -adress till destinationens IP -adress 192.168.1.100 på port 80 (HTTP). Detta är ett mycket enkelt exempel och behöver noggrant överväga dess konsekvenser i samband med en fullständig säkerhetsplan.
Viktig anmärkning: Felaktigt konfigurerade ACL:er kan störa legitim nätverkstrafik. Testning och noggrann planering är avgörande innan du implementerar några ändringar av ACL:er. Överväg att använda en iscenesättningsmiljö för att testa förändringar innan du distribuerar dem till produktion.
