E-book details

Bezpieczeństwo sieci firmowej. Kontrola ruchu wychodzącego

Bezpieczeństwo sieci firmowej. Kontrola ruchu wychodzącego

Marek Serafin

Ebook

Bezpieczeństwo sieci firmowej w dużym stopniu zależy od kontroli, jaką administrator ma nad połączeniami inicjowanymi przez komputery użytkowników. Jej brak umożliwia użytkownikom otwieranie adresów niebezpiecznych stron, pobieranie zainfekowanych plików, a w konsekwencji naruszenie bezpieczeństwa całej sieci. W dobie zmasowanych ataków typu ransomware wprowadzenie kontroli nad połączeniami wychodzącymi to absolutna konieczność.

Autor książki nakreśla w niej zagrożenia, a także omawia różne koncepcje blokady połączeń i filtracji stron WWW z wykorzystaniem dostępnych na rynku rozwiązań. Przedstawia zarówno darmowe narzędzia open source, na przykład Squid, E2guardian, OPNsense, jak i produkty komercyjne - Fortigate UTM czy Web Safety. To propozycja dla administratorów sieci w małych i średnich firmach, jak również w instytucjach, urzędach, szkołach i na uczelniach. Autor od lat zajmuje się administrowaniem sieciami i systemami komputerowymi, jego wcześniejsza pozycja, Sieci VPN. Zdalna praca i bezpieczeństwo danych, uzyskała status bestsellera.

Dzięki książce poznasz:

  • najlepsze praktyki zabezpieczania sieci
  • różne koncepcje filtrowania ruchu
  • metody blokowania niepożądanych połączeń
  • metody ochrony użytkowników przed niepożądaną treścią

ROZDZIAŁ 1. Wprowadzenie

  • 1.1. O co chodzi z tym ruchem wychodzącym?
  • 1.2. Czym jest tunel lub tunelowanie portów
  • 1.3. Dlaczego tunelowanie może być niebezpieczne?
  • 1.4. Tunelowanie TCP po ICMP
  • 1.5. Tunelowanie TCP po zapytaniach DNS
  • 1.6. Tunel OpenVPN przez serwer proxy
  • 1.7. Co robić, jak żyć?

ROZDZIAŁ 2. Blokada ruchu wychodzącego - o co w tym chodzi?

  • 2.1. Instalacja i konfiguracja routera linuksowego
  • 2.2. Konfiguracja sieci w routerze linuksowym
  • 2.3. iptables - linuksowy filtr pakietów
  • 2.4. Przełączanie konfiguracji
  • 2.5. Konfiguracja serwera DHCP
  • 2.6. Problem z podwójnym NAT-owaniem
  • Podsumowanie

ROZDZIAŁ 3. Instalacja i konfiguracja serwera proxy Squid

  • 3.1. Problem z szyfrowanymi stronami (TLS/SSL)
  • 3.2. Instalacja programu Squid
  • 3.3. Konfiguracja Squida
    • 3.3.1. Generujemy certyfikat dla Squida
  • 3.4. Pierwsze uruchomienie
  • 3.5. Import certyfikatu do przeglądarek
  • 3.6. Zabezpieczanie serwera Squid
    • 3.6.1. Blokada wybranych typów rozszerzeń plików na podstawie adresu URL
    • 3.6.2. Blokada wybranych typów plików na podstawie nagłówków odpowiedzi serwera (Content-Type oraz Content-Disposition)
    • 3.6.3. Blokada pobrań niektórych plików na podstawie wyrażenia regularnego adresu URL
    • 3.6.4. Blokada domen ze znakami narodowymi IDN
    • 3.6.5. Blokada stron na podstawie ich adresu URL
    • 3.6.6. Zaawansowana filtracja z wykorzystaniem serwera ICAP i programu antywirusowego ClamAV
  • 3.7. Wracamy do firewalla
    • 3.7.1. Zmiana polityki ruchu wychodzącego na blokuj
    • 3.7.2. Problem z aktualizacją wpisów dla zmiennych adresów IP
    • 3.7.3. Adresy, które powinniśmy odblokować
    • 3.7.4. Tryb transparentny serwera proxy
    • 3.7.5. Blokada ruchu wychodzącego na serwerach
  • 3.8. Graficzna reprezentacja logów
  • Podsumowanie

ROZDZIAŁ 4. E2Guardian jako dedykowany serwer proxy oraz serwer ICAP dla Squida

  • 4.1. Trochę o historii powstania DansGuardiana i jego odnogi E2Guardiana
  • 4.2. Instalacja programu E2Guardian
  • 4.3. Konfiguracja programu E2Guardian
  • 4.4. E2Guardian jako serwer ICAP
  • 4.5. E2Guardian w trybie transparentnym
  • 4.6. Żart primaaprilisowy - obracanie użytkownikom obrazków na stronach
  • Podsumowanie

ROZDZIAŁ 5. Bezpieczny DNS z wykorzystaniem programu Pi-hole

  • 5.1. Instalacja programu
  • 5.2. Konfiguracja Pi-hole
  • 5.3. Aktualizacja i pobieranie list
  • 5.4. Obsługa wyjątków
  • 5.5. Pi-hole jako serwer DHCP
  • 5.6. Dodawanie lokalnych wpisów DNS
  • Podsumowanie

ROZDZIAŁ 6. Diladele Web Safety

  • 6.1. Instalacja Web Safety
  • 6.2. Konfiguracja sieci - nadanie statycznego adresu IP
  • 6.3. Logowanie do panelu administracyjnego
  • 6.4. Import lub tworzenie certyfikatu rootCA
  • 6.5. Konfiguracja zasad filtracji połączeń
  • 6.6. Testujemy skonfigurowane ograniczenia
  • 6.7. Dostrajanie filtrów i konfiguracja wyjątków
  • 6.8. Konfigurujemy i testujemy dodatek YouTube Guard
  • 6.9. Konfigurujemy tryb transparentny
  • Podsumowanie

ROZDZIAŁ 7. OPNsense - zintegrowany firewall

  • 7.1. Instalacja systemu
  • 7.2. Pierwsze logowanie do GUI - kreator postinstalacyjny
  • 7.3. Testowanie połączenia
  • 7.4. Konfiguracja serwera DHCP
  • 7.5. Aktualizacja do najnowszej wersji
  • 7.6. Utworzenie lub import urzędu CA
  • 7.7. Konfiguracja serwera proxy (Squid)
  • 7.8. Instalacja i integracja skanera antywirusowego Clam-AV z serwerem proxy
  • 7.9. Zewnętrzne listy dostępu w serwerze proxy
  • 7.10. Włączenie dostępu przez SSH
  • 7.11. Dodajemy kolejne blokady
  • 7.12. Instalacja wtyczki Zenarmor - dodajemy firewall warstwy aplikacyjnej
  • 7.13. Konfiguracja wtyczki Zenarmor - tworzymy zasadę bezpieczeństwa
  • 7.14. System IDS i pozostałe funkcje
    • 7.14.1. IDS - tworzenie własnych reguł
  • 7.15. Dodatek Geo-IP do firewalla
  • Podsumowanie

ROZDZIAŁ 8. UTM na przykładzie FortiGate 60F

  • 8.1. Czym UTM różni się od zwykłego routera - zasada działania
  • 8.2. Wstępna konfiguracja urządzenia
  • 8.3. Zaczynamy zabawę z firewallem
  • 8.4. Włączamy profile zabezpieczeń w regule firewalla
    • 8.4.1. Weryfikacja działania skanera antywirusowego
    • 8.4.2. Włączamy SSL Deep Inspection, czyli rozszywamy protokół TLS
    • 8.4.3. Import własnego certyfikatu root CA
    • 8.4.4. Blokowanie programów wg kategorii
    • 8.4.5. Web Filter - blokowanie stron na podstawie kategorii
    • 8.4.6. Web Filter - blokowanie stron na podstawie adresu URL lub wyrażenia regularnego
    • 8.4.7. Tryb inspekcji flow-based vs proxy-based
    • 8.4.8. DNS filter, czyli filtracja w warstwie zapytań DNS
    • 8.4.9. File Filter - blokowanie pobrań wybranych typów plików
    • 8.4.10. System IPS - włączanie ochrony oraz tworzenie własnych sygnatur
    • 8.4.11. Sygnatury aplikacji
  • 8.5. Praktyczne przykłady z życia
    • 8.5.1. Chcemy zablokować Facebooka dla wszystkich z wyjątkiem działu marketingu
    • 8.5.2. Chcemy zablokować pobieranie plików EXE ze wszystkich stron z wyjątkiem zaufanych stron typu Microsoft itp.
    • 8.5.3. Dodajemy listę domen zaufanych instytucji do wyjątków inspekcji SSL
    • 8.5.4. Geo-IP, czyli blokujemy klasy z krajów potencjalnie niebezpiecznych
    • 8.5.5. Odblokowujemy wybrane programy w określonych godzinach i dniach tygodnia
    • 8.5.6. Blokujemy domeny zawierające znaki narodowe w nazwie (IDN)
  • 8.6. Podgląd logów
    • 8.6.1. Wysyłka logów do centralnego serwera Syslog
  • 8.7. FortiGate jako Web Application Firewall
    • 8.7.1. Przygotowanie reguły firewalla i profilu inspekcji SSL dla WAF
    • 8.7.2. Testujemy działanie WAF
  • 8.8. Analiza pakietów dochodzących do routera
  • 8.9. Polecenia dostępne w systemie FortiOS
  • Podsumowanie

ROZDZIAŁ 9. Konfiguracja przeglądarek do współpracy z serwerem proxy

  • 9.1. Ręczna konfiguracja proxy w przeglądarce
  • 9.2. Konfiguracja ustawień proxy za pomocą zasad grupy w środowisku Active Directory
  • 9.3. Ustawianie serwera proxy poprzez wpis rejestru
  • 9.4. Ustawianie serwera proxy poprzez plik autokonfiguracji (PAC)
  • 9.5. Ustawienia proxy dla lokalnego konta systemowego
  • 9.6. Import zaufanego urzędu certyfikacji (tzw. Root CA) w komputerach użytkowników
  • Podsumowanie

ROZDZIAŁ 10. Podsumowanie

  • 10.1. Bądź na bieżąco
  • 10.2. Uświadamiaj użytkowników
  • 10.3. Przygotuj regulamin korzystania ze służbowego komputera oraz sieci
  • 10.4. Sprawdzaj stan programów antywirusowych
  • 10.5. Ogranicz dostęp użytkownikom po VPN-ie
  • 10.6. Rozważ wymuszenie całego ruchu przez VPN
  • 10.7. Odseparuj Wi-Fi od sieci LAN
  • 10.8. Monitoruj połączenia VPN regułkami firewalla
  • 10.9. Rozważ przełączenie użytkowników z połączenia kablowego na Wi-Fi + VPN
  • 10.10. Dodaj 2FA (weryfikacja dwuskładnikowa) do połączeń VPN
  • 10.11. Podziel sieć na VLAN-y
  • 10.12. Zabezpiecz serwer plików
  • 10.13. Skonfiguruj Zasady ograniczeń oprogramowania w GPO
  • 10.14. Zablokuj możliwość pobierania plików
  • 10.15. Problem z Dropboxem (i z innymi dostawcami)
  • 10.16. Rób backupy ?
  • 10.17. Blokuj aplikacje zdalnego dostępu
  • 10.18. Monitoruj obciążenie łącza i innych parametrów
  • 10.19. Sprawdzaj cyklicznie reguły firewalla
  • 10.20. Nie zezwalaj na podłączanie swoich prywatnych laptopów/urządzeń do sieci wewnętrznej
  • 10.21. Usuwaj konta byłych pracowników
  • 10.22. Postaw centralny serwer logów
  • 10.23. Monitoruj liczbę sesji połączeń użytkownika

DODATEK A. OpenSSL - przydatne polecenia

DODATEK B. Filtry programu Wireshark oraz tcpdump

DODATEK C. Przelicznik maski podsieci

DODATEK D. Monitoring na ESP

  • Title: Bezpieczeństwo sieci firmowej. Kontrola ruchu wychodzącego
  • Author: Marek Serafin
  • ISBN: 978-83-289-0393-7, 9788328903937
  • Date of issue: 2023-06-06
  • Format: Ebook
  • Item ID: besifi
  • Publisher: Helion