Bezpieczeństwo sieci firmowej. Kontrola ruchu wychodzącego - ebook

Bezpieczeństwo sieci firmowej w dużym stopniu zależy od kontroli, jaką administrator ma nad połączeniami inicjowanymi przez komputery użytkowników. Jej brak umożliwia użytkownikom otwieranie adresów niebezpiecznych stron, pobieranie zainfekowanych plików, a w konsekwencji naruszenie bezpieczeństwa całej sieci. W dobie zmasowanych ataków typu ransomware wprowadzenie kontroli nad połączeniami wychodzącymi to absolutna konieczność.

Autor książki nakreśla w niej zagrożenia, a także omawia różne koncepcje blokady połączeń i filtracji stron WWW z wykorzystaniem dostępnych na rynku rozwiązań. Przedstawia zarówno darmowe narzędzia open source, na przykład Squid, E2guardian, OPNsense, jak i produkty komercyjne - Fortigate UTM czy Web Safety. To propozycja dla administratorów sieci w małych i średnich firmach, jak również w instytucjach, urzędach, szkołach i na uczelniach. Autor od lat zajmuje się administrowaniem sieciami i systemami komputerowymi, jego wcześniejsza pozycja, Sieci VPN. Zdalna praca i bezpieczeństwo danych, uzyskała status bestsellera.

Dzięki książce poznasz:

• najlepsze praktyki zabezpieczania sieci
• różne koncepcje filtrowania ruchu
• metody blokowania niepożądanych połączeń
• metody ochrony użytkowników przed niepożądaną treścią

ROZDZIAŁ 1. Wprowadzenie

• 1.1. O co chodzi z tym ruchem wychodzącym?
• 1.2. Czym jest tunel lub tunelowanie portów
• 1.3. Dlaczego tunelowanie może być niebezpieczne?
• 1.4. Tunelowanie TCP po ICMP
• 1.5. Tunelowanie TCP po zapytaniach DNS
• 1.6. Tunel OpenVPN przez serwer proxy
• 1.7. Co robić, jak żyć?

ROZDZIAŁ 2. Blokada ruchu wychodzącego - o co w tym chodzi?

• 2.1. Instalacja i konfiguracja routera linuksowego
• 2.2. Konfiguracja sieci w routerze linuksowym
• 2.3. iptables - linuksowy filtr pakietów
• 2.4. Przełączanie konfiguracji
• 2.5. Konfiguracja serwera DHCP
• 2.6. Problem z podwójnym NAT-owaniem
• Podsumowanie

ROZDZIAŁ 3. Instalacja i konfiguracja serwera proxy Squid

• 3.1. Problem z szyfrowanymi stronami (TLS/SSL)
• 3.2. Instalacja programu Squid
• 3.3. Konfiguracja Squida
  • 3.3.1. Generujemy certyfikat dla Squida
• 3.4. Pierwsze uruchomienie
• 3.5. Import certyfikatu do przeglądarek
• 3.6. Zabezpieczanie serwera Squid
  • 3.6.1. Blokada wybranych typów rozszerzeń plików na podstawie adresu URL
  • 3.6.2. Blokada wybranych typów plików na podstawie nagłówków odpowiedzi serwera (Content-Type oraz Content-Disposition)
  • 3.6.3. Blokada pobrań niektórych plików na podstawie wyrażenia regularnego adresu URL
  • 3.6.4. Blokada domen ze znakami narodowymi IDN
  • 3.6.5. Blokada stron na podstawie ich adresu URL
  • 3.6.6. Zaawansowana filtracja z wykorzystaniem serwera ICAP i programu antywirusowego ClamAV
• 3.7. Wracamy do firewalla
  • 3.7.1. Zmiana polityki ruchu wychodzącego na blokuj
  • 3.7.2. Problem z aktualizacją wpisów dla zmiennych adresów IP
  • 3.7.3. Adresy, które powinniśmy odblokować
  • 3.7.4. Tryb transparentny serwera proxy
  • 3.7.5. Blokada ruchu wychodzącego na serwerach
• 3.8. Graficzna reprezentacja logów
• Podsumowanie

ROZDZIAŁ 4. E2Guardian jako dedykowany serwer proxy oraz serwer ICAP dla Squida

• 4.1. Trochę o historii powstania DansGuardiana i jego odnogi E2Guardiana
• 4.2. Instalacja programu E2Guardian
• 4.3. Konfiguracja programu E2Guardian
• 4.4. E2Guardian jako serwer ICAP
• 4.5. E2Guardian w trybie transparentnym
• 4.6. Żart primaaprilisowy - obracanie użytkownikom obrazków na stronach
• Podsumowanie

ROZDZIAŁ 5. Bezpieczny DNS z wykorzystaniem programu Pi-hole

• 5.1. Instalacja programu
• 5.2. Konfiguracja Pi-hole
• 5.3. Aktualizacja i pobieranie list
• 5.4. Obsługa wyjątków
• 5.5. Pi-hole jako serwer DHCP
• 5.6. Dodawanie lokalnych wpisów DNS
• Podsumowanie

ROZDZIAŁ 6. Diladele Web Safety

• 6.1. Instalacja Web Safety
• 6.2. Konfiguracja sieci - nadanie statycznego adresu IP
• 6.3. Logowanie do panelu administracyjnego
• 6.4. Import lub tworzenie certyfikatu rootCA
• 6.5. Konfiguracja zasad filtracji połączeń
• 6.6. Testujemy skonfigurowane ograniczenia
• 6.7. Dostrajanie filtrów i konfiguracja wyjątków
• 6.8. Konfigurujemy i testujemy dodatek YouTube Guard
• 6.9. Konfigurujemy tryb transparentny
• Podsumowanie

ROZDZIAŁ 7. OPNsense - zintegrowany firewall

• 7.1. Instalacja systemu
• 7.2. Pierwsze logowanie do GUI - kreator postinstalacyjny
• 7.3. Testowanie połączenia
• 7.4. Konfiguracja serwera DHCP
• 7.5. Aktualizacja do najnowszej wersji
• 7.6. Utworzenie lub import urzędu CA
• 7.7. Konfiguracja serwera proxy (Squid)
• 7.8. Instalacja i integracja skanera antywirusowego Clam-AV z serwerem proxy
• 7.9. Zewnętrzne listy dostępu w serwerze proxy
• 7.10. Włączenie dostępu przez SSH
• 7.11. Dodajemy kolejne blokady
• 7.12. Instalacja wtyczki Zenarmor - dodajemy firewall warstwy aplikacyjnej
• 7.13. Konfiguracja wtyczki Zenarmor - tworzymy zasadę bezpieczeństwa
• 7.14. System IDS i pozostałe funkcje
  • 7.14.1. IDS - tworzenie własnych reguł
• 7.15. Dodatek Geo-IP do firewalla
• Podsumowanie

ROZDZIAŁ 8. UTM na przykładzie FortiGate 60F

• 8.1. Czym UTM różni się od zwykłego routera - zasada działania
• 8.2. Wstępna konfiguracja urządzenia
• 8.3. Zaczynamy zabawę z firewallem
• 8.4. Włączamy profile zabezpieczeń w regule firewalla
  • 8.4.1. Weryfikacja działania skanera antywirusowego
  • 8.4.2. Włączamy SSL Deep Inspection, czyli rozszywamy protokół TLS
  • 8.4.3. Import własnego certyfikatu root CA
  • 8.4.4. Blokowanie programów wg kategorii
  • 8.4.5. Web Filter - blokowanie stron na podstawie kategorii
  • 8.4.6. Web Filter - blokowanie stron na podstawie adresu URL lub wyrażenia regularnego
  • 8.4.7. Tryb inspekcji flow-based vs proxy-based
  • 8.4.8. DNS filter, czyli filtracja w warstwie zapytań DNS
  • 8.4.9. File Filter - blokowanie pobrań wybranych typów plików
  • 8.4.10. System IPS - włączanie ochrony oraz tworzenie własnych sygnatur
  • 8.4.11. Sygnatury aplikacji
• 8.5. Praktyczne przykłady z życia
  • 8.5.1. Chcemy zablokować Facebooka dla wszystkich z wyjątkiem działu marketingu
  • 8.5.2. Chcemy zablokować pobieranie plików EXE ze wszystkich stron z wyjątkiem zaufanych stron typu Microsoft itp.
  • 8.5.3. Dodajemy listę domen zaufanych instytucji do wyjątków inspekcji SSL
  • 8.5.4. Geo-IP, czyli blokujemy klasy z krajów potencjalnie niebezpiecznych
  • 8.5.5. Odblokowujemy wybrane programy w określonych godzinach i dniach tygodnia
  • 8.5.6. Blokujemy domeny zawierające znaki narodowe w nazwie (IDN)
• 8.6. Podgląd logów
  • 8.6.1. Wysyłka logów do centralnego serwera Syslog
• 8.7. FortiGate jako Web Application Firewall
  • 8.7.1. Przygotowanie reguły firewalla i profilu inspekcji SSL dla WAF
  • 8.7.2. Testujemy działanie WAF
• 8.8. Analiza pakietów dochodzących do routera
• 8.9. Polecenia dostępne w systemie FortiOS
• Podsumowanie

ROZDZIAŁ 9. Konfiguracja przeglądarek do współpracy z serwerem proxy

• 9.1. Ręczna konfiguracja proxy w przeglądarce
• 9.2. Konfiguracja ustawień proxy za pomocą zasad grupy w środowisku Active Directory
• 9.3. Ustawianie serwera proxy poprzez wpis rejestru
• 9.4. Ustawianie serwera proxy poprzez plik autokonfiguracji (PAC)
• 9.5. Ustawienia proxy dla lokalnego konta systemowego
• 9.6. Import zaufanego urzędu certyfikacji (tzw. Root CA) w komputerach użytkowników
• Podsumowanie

ROZDZIAŁ 10. Podsumowanie

• 10.1. Bądź na bieżąco
• 10.2. Uświadamiaj użytkowników
• 10.3. Przygotuj regulamin korzystania ze służbowego komputera oraz sieci
• 10.4. Sprawdzaj stan programów antywirusowych
• 10.5. Ogranicz dostęp użytkownikom po VPN-ie
• 10.6. Rozważ wymuszenie całego ruchu przez VPN
• 10.7. Odseparuj Wi-Fi od sieci LAN
• 10.8. Monitoruj połączenia VPN regułkami firewalla
• 10.9. Rozważ przełączenie użytkowników z połączenia kablowego na Wi-Fi + VPN
• 10.10. Dodaj 2FA (weryfikacja dwuskładnikowa) do połączeń VPN
• 10.11. Podziel sieć na VLAN-y
• 10.12. Zabezpiecz serwer plików
• 10.13. Skonfiguruj Zasady ograniczeń oprogramowania w GPO
• 10.14. Zablokuj możliwość pobierania plików
• 10.15. Problem z Dropboxem (i z innymi dostawcami)
• 10.16. Rób backupy ?
• 10.17. Blokuj aplikacje zdalnego dostępu
• 10.18. Monitoruj obciążenie łącza i innych parametrów
• 10.19. Sprawdzaj cyklicznie reguły firewalla
• 10.20. Nie zezwalaj na podłączanie swoich prywatnych laptopów/urządzeń do sieci wewnętrznej
• 10.21. Usuwaj konta byłych pracowników
• 10.22. Postaw centralny serwer logów
• 10.23. Monitoruj liczbę sesji połączeń użytkownika

DODATEK A. OpenSSL - przydatne polecenia

DODATEK B. Filtry programu Wireshark oraz tcpdump

DODATEK C. Przelicznik maski podsieci

DODATEK D. Monitoring na ESP