Saat Anda mengubah konfigurasi firewall, penting untuk mempertimbangkan potensi risiko keamanan untuk menghindari masalah di masa mendatang. Keamanan adalah topik yang kompleks dan dapat bervariasi dari kasus ke kasus, tetapi artikel ini menjelaskan praktik terbaik untuk mengonfigurasi aturan firewall perimeter.
Blokir secara default
Blokir semua lalu lintas secara default dan secara eksplisit hanya aktifkan lalu lintas tertentu ke layanan yang dikenal. Strategi ini memberikan kontrol yang baik atas lalu lintas dan mengurangi kemungkinan pelanggaran karena kesalahan konfigurasi layanan.
Anda mencapai perilaku ini dengan mengonfigurasi aturan terakhir dalam daftar kontrol akses untuk menolak semua lalu lintas. Anda dapat melakukannya secara eksplisit atau implisit, bergantung pada platformnya.
Izinkan lalu lintas tertentu
Aturan yang Anda gunakan untuk menentukan akses jaringan harus sespesifik mungkin. Strategi ini adalah prinsip dengan hak istimewa paling rendah , dan memaksa kontrol atas lalu lintas jaringan. Tentukan parameter sebanyak mungkin dalam aturan.
Firewall lapisan 4 menggunakan parameter berikut untuk aturan akses:
- Alamat IP sumber (atau rentang alamat IP)
- Alamat IP tujuan (atau rentang alamat IP)
- Port tujuan (atau jangkauan port)
- Protokol lalu lintas (TCP, ICMP, atau UDP)
Tentukan parameter sebanyak mungkin dalam aturan yang digunakan untuk menentukan akses jaringan. Ada skenario terbatas di mana any digunakan di salah satu bidang ini.
Tentukan alamat IP sumber
Jika layanan harus dapat diakses oleh semua orang di Internet, maka apa saja alamat IP sumber adalah pilihan yang benar. Dalam semua kasus lain, Anda harus menentukan alamat sumber.
Ini dapat diterima untuk mengaktifkan semua alamat sumber untuk mengakses server HTTP Anda. Tidak dapat diterima untuk mengaktifkan semua alamat sumber untuk mengakses port manajemen server atau port database Anda. Berikut adalah daftar port manajemen server dan port database yang umum:
Port manajemen server:
- Linux®SSH :Port 22
- Windows® RDP:Port 3389
Port basis data:
- SQL® Server :Port 1433
- Oracle® :Port 1521
- MySQL® :Port 2206
Spesifik tentang siapa yang dapat mencapai port ini. Jika tidak praktis untuk menentukan alamat IP sumber untuk manajemen jaringan, Anda dapat mempertimbangkan solusi lain seperti VPN akses jarak jauh sebagai kontrol kompensasi untuk memungkinkan akses yang diperlukan dan melindungi jaringan Anda.
Tentukan alamat IP tujuan
Alamat IP tujuan adalah alamat IP server yang menjalankan layanan yang ingin Anda aktifkan aksesnya. Selalu tentukan server atau server mana yang dapat diakses. Mengonfigurasi nilai tujuan any dapat menyebabkan pelanggaran keamanan atau kompromi server dari protokol yang tidak digunakan yang mungkin dapat diakses secara default. Namun, IP tujuan dengan nilai tujuan any dapat digunakan jika hanya ada satu IP yang ditetapkan ke firewall. Nilai any juga dapat digunakan jika Anda ingin publik dan servicenet akses ke konfigurasi Anda.
Tentukan port tujuan
Port tujuan sesuai dengan layanan yang dapat diakses. Nilai bidang ini tidak boleh any . Layanan yang berjalan di server dan perlu diakses telah ditentukan, dan hanya port ini yang perlu diizinkan. Mengizinkan semua port memengaruhi keamanan server dengan mengizinkan serangan kamus serta eksploitasi port dan protokol apa pun yang dikonfigurasi di server.
Hindari menggunakan jangkauan port yang terlalu lebar. Jika port dinamis digunakan, firewall terkadang menawarkan kebijakan inspeksi untuk mengizinkannya lewat dengan aman.
Contoh konfigurasi berbahaya
Bagian ini menjelaskan contoh berbahaya dari aturan firewall, tetapi juga menunjukkan beberapa aturan alternatif yang baik untuk diikuti saat mengonfigurasi aturan firewall.
permit ip any any - Memungkinkan semua lalu lintas dari sumber mana pun di port mana pun ke tujuan mana pun. Ini adalah jenis aturan kontrol akses yang paling buruk. Ini bertentangan dengan konsep keamanan menolak lalu lintas secara default dan prinsip hak istimewa paling rendah. Port tujuan harus selalu ditentukan, dan alamat IP tujuan harus ditentukan jika praktis. Alamat IP sumber harus ditentukan kecuali aplikasi dibuat untuk menerima klien dari Internet, seperti server web. Aturan yang baik adalah permit tcp any WEB-SERVER1 http .
permit ip any any WEB-SERVER1 - Memungkinkan semua lalu lintas dari sumber mana pun ke server web. Hanya port tertentu yang diizinkan; dalam kasus server web, port 80 (HTTP) dan 443 (HTTPS). Jika tidak, manajemen server rentan. Aturan yang baik adalah permit ip any WEB-SERVER1 http .
permit tcp any WEB-SERVER1 3389 - Memungkinkan akses RDP dari sumber mana pun ke server web. Ini adalah praktik berbahaya untuk mengizinkan semua orang mengakses port manajemen Anda. Jadilah spesifik tentang siapa yang dapat mengakses manajemen server. Aturan yang baik adalah permit tcp 12.34.56.78 3389 WEB-SERVER1 (di mana 12.34.56.78 adalah alamat IP komputer administrator di Internet).
permit tcp any DB-SERVER1 3306 - Memungkinkan akses MySQL dari sumber apa pun ke database. Server basis data tidak boleh terpapar ke seluruh Internet. Jika Anda memerlukan kueri basis data untuk dijalankan di Internet publik, tentukan alamat IP sumber yang tepat. Aturan yang baik adalah permit tcp 23.45.67.89 DB-SERVER1 3306 (di mana 23.45.67.89 adalah alamat IP dari host di Internet yang membutuhkan akses ke database). Praktik terbaik adalah mengizinkan lalu lintas basis data melalui VPN dan bukan dalam teks yang jelas di Internet publik.
Jika Anda memerlukan bantuan untuk menerapkan praktik terbaik ini, hubungi tim dukungan Rackspace Anda.