Вопрос или проблема
Мы используем внешний сканер (Qualys) для сканирования наших внешних активов. У нас есть межсетевой экран перед внешними активами, но он настроен на белый список для сканера, чтобы внешние активы проходили углубленное сканирование. Однако межсетевой экран также настроен на блокировку входящих запросов на временную метку ICMP, которые сканер все еще может отправлять и получать запрос на временную метку от внешних активов за межсетевым экраном.
Мы консультировались с поставщиком, который провел некоторые сканирования и анализы с их стороны и ответил, что целевой ответ не может быть контролируем ответом сканирования Qualys. Временная метка ICMP является активным QID, что означает, что она помечается только на основе целевого ответа. И да, я вижу ответ на временную метку с фактическими ответами временной метки для сканируемых активов. Так что мне интересно, не упускаю ли я что-то здесь. Прошу прощения заранее, если это кажется глупым вопросом 🙂 Любая помощь будет очень полезна.
Ответ зависит от того, как реализован белый список на межсетевом экране.
Если IP-адрес сканера находится в белом списке, это будет иметь приоритет над блокировкой ICMP.
Я рекомендую проверить порядок правил межсетевого экрана и убедиться, что правило белого списка стоит перед правилом на блокировку.
Ответ или решение
ICMP Timestamp and Firewall Configuration: Анализ Проблемы
Введение
Ситуация, описанная вами, касается конфигурации брандмауэра, который должен защищать ваши внешние активы и ограничивать нежелательные запросы. Несмотря на то, что брандмауэр настроен для блокировки входящих запросов на отметку времени ICMP, ваше сканирование с использованием Qualys демонстрирует, что такие запросы обрабатываются, и ответ все еще поступает от активов за брандмауэром. Давайте подробно рассмотрим возможные причины и решения данной проблемы.
1. Степень реализации правил брандмауэра
Как было упомянуто в вашем запросе, важным фактором является порядок правил на брандмауэре. Если правило, разрешающее доступ для IP-адреса сканера, приоритетнее правила, блокирующего ICMP-запросы, это объясняет, почему сканер все равно получает ответы.
- Приоритет правил: Убедитесь, что правило, разрешающее доступ только для IP-адреса вашего сканера, расположено выше или на одном уровне с правилом, блокирующим ICMP-запросы. В большинстве систем контроля доступа правила обрабатываются в порядке их расположения, и первое соответствующее правило применяется.
2. Обработка ICMP на уровне сети
Некоторые сетевые технологии могут обеспечивать дополнительный уровень обработки пакетов, который можно не учесть на уровне брандмауэра.
- Шлюз/Роутеры: Убедитесь, что на всех промежуточных устройствах (шлюзах, роутерах) также настроены соответствующие правила блокировки ICMP. Иногда, даже если брандмауэр настроен должным образом, предварительная обработка трафика может привести к утечке определенных типов пакетов.
3. Логи и мониторинг
Важно регулярно проводить анализ логов брандмауэра и сетевых устройств, чтобы понять, как обрабатываются пакеты и возможно ли улучшение конфигурации.
- Логи запросов: Проверьте логи брандмауэра на предмет ICMP-запросов, чтобы подтвердить их получение и ответ. Это поможет вам понять, на каком этапе происходит обработка и где система допускает возможности обхода правил.
4. Уязвимости системы
Если все вышеописанные меры не дают результатов, возможно, имеет место уязвимость в вашей системе.
- Обновления и патчи: Убедитесь, что ваша система брандмауэра обновлена до последней версии и все известные уязвимости исправлены. Патчи часто содержат исправления для новых видов атак, которые могут эксплуатировать неправильные конфигурации.
Заключение
Ваш вопрос не является глупым, напротив, он поднимает важные аспекты безопасности управления, которые требуют внимательного анализа. Понимание работы вашей системы и правильная настройка правил брандмауэра — это ключевые компоненты в обеспечении безопасности ваших активов. Рекомендуется регулярно проводить аудит конфигурации брандмауэра и мониторинг состояния сети, чтобы гарантировать защиту от ненадежных ICMP-запросов и других угроз.