Syv tips for å erstatte en brannmur

Brannmurer i maskinvare er ikke forskjellig fra andre redskaper av teknologi. De har begrenset levetid, og før eller senere må de byttes ut. Å gjøre overgangen fra en brannmur til en annen er i det minste en plage og i verste fall en sikkerhetsrisiko.

For små til mellomstore bedrifter er brannmuradministrasjon bare en av de mange hattene som bæres av "nettverks-" eller "system" -administratoren. Som et resultat er det mindre sannsynlig at en tekniker kjenner godt til internt i brannmuren. Vanligvis mottar en brannmur periodisk bruk - for eksempel når et nytt program kommer på nettet eller en ny server legges til gården. Denne sporadiske bruken er bra for den daglige driften, men den gir ikke komfortsonen for intensivt arbeid, for eksempel å bytte fra en leverandørs brannmur til en annen eller oppgradere fra en leverandørs avanserte modell til noe mer sofistikert.

Problemene som er involvert i å oppgradere en brannmur varierer fra grei til kompleks, men de er potensielt mange.

For eksempel er manualen for Cisco ASA 5505, vist i figur A, 114 sider. Det er ikke bare Cisco. En Amazon-anmelder av Welch-Abernathys 656 sider lange Essential Checkpoint Firewall (2004) forklarte at det var "flott for en nybegynneradministrator." Likevel vil brannmuroppgraderingsplikt sannsynligvis falle for oss vanlige dødelige. Etter en nylig oppgradering utført av et lite teknologifirma, intervjuet jeg firmaets systemadministrator, Rich Gallo. Han ga en lang liste over bekymringer, vist gruppert i syv kategorier i figur B.

Figur B

  1. Gallo var i stand til å overvinne dem, men utfordringene inkluderte sære håndtering av tidligere ubrukte eksterne IP-adresser av ISP Verizon og koordinering med et subnett til fjernkontor. Å ha to teknikere som jobbet gjennom problemene reduserte utvilsomt sjansen for feil i manuell flytting av brannmurregler for CheckPoint til Cisco.
  2. Hvert sett med applikasjoner hadde tilknyttede porter, IP-adresser og brukerlister. Der det var nødvendig, ble programledere kontaktet for å bekrefte gjeldende krav. Der det var mulig, ble timeplanene koordinert med perioder med lav utnyttelse.
  3. Brannmuroppgraderingen kan være en mulighet til å omorganisere kableruter, flytte brytere, justere båndbreddehåndtering eller omorganisere serverskap.
  4. En god testplan er en ikke-triviell affære som involverer testing av ikke bare tilkoblingsmuligheter, men også applikasjoner. For eksempel må publikumsvendte applikasjoner testes både fra nettverket og utenfor nettverket ved bruk av eksterne verktøy der det er nødvendig. Det er også forsvarlig å gjennomgå failover-planer og utvinningsplaner - bare i tilfelle.
  5. VPN-er er et spesielt tilfelle som kan påvirke brannmurreglene. I Gallos firma var det VPN-krav til stedet som trengte spesiell oppmerksomhet. Det var også klientspesifikke problemer, siden støtte var nødvendig for både x32- og x64-klienter, Mac-, Windows- og Linux-plattformer, og en blanding av brukerkjennskap til å sette opp en VPN. For eksempel ble det oppdaget at det var et kjent problem med Snow Leopard som ikke tillot at AnyConnect delte tunneler kunne fungere ordentlig. Administratorer vil gjøre det bra for å samle detaljer for innvendige og utenfor DNS-poster og delte nøkler i god tid før det regnes.
  6. Brannmurregler er kjernen i apparatets funksjoner, men de kan være representert veldig annerledes i den gamle brannmuren sammenlignet med den nye. Dette er et godt tidspunkt å dokumentere disse reglene, fjerne ubrukte regler og kjøre det nye settet med regler av applikasjonsledere. For eksempel kan en ny regel låse selve brannmuren - som per definisjon er en ny regel. Og regler bør gis i både et maskinlesbart, brannmurspesifikt format og i et transparent forståelig format. Det ene eller det andre kan være nødvendig for restitusjon etter en større hendelse.
  7. En ny brannmur vil påvirke loggførings- og varslingsprosesser. Planlegg å oppdatere varsler og logg lesere for å svare på nye varsler på måter som kan brukes av sikkerhetsanalytikeren (som kan være den samme personen som utfører oppgraderingen) og andre som er kjent med den nominelle oppførselen til støttede applikasjoner.

Det er mer - mye mer - til prosessen med å oppgradere en brannmur. Det kan være problemer med brannmurlisenser i å støtte DMZ-er, spesielle hensyn for håndtering av e-postservere, eller ytterligere logistikk for å støtte eksterne kontorer. Denne listen kan stimulere til å tenke på problemene du kan møte.

Hva er de vanligste "gotchasene" du fant når du oppgraderte en brannmur?

© Copyright 2021 | pepebotifarra.com