Brána firewall je bezpečnostní zařízení sítě, které sleduje příchozí a odchozí provoz sítě a rozhoduje, zda povolit nebo blokovat konkrétní provoz na základě definované sady pravidel zabezpečení. SD-WAN Orchestrator podporuje konfiguraci bezstavových a stavových bran firewall pro profily a Edge.

Další informace o bráně firewall naleznete v tématu Přehled brány firewall.

Konfigurace brány firewall profilu

Konfigurace brány firewall profilu pomocí nového uživatelského rozhraní systému Orchestrator:
  1. V podnikovém portálu přejděte do nabídky Konfigurace (Configure) > Profily (Profiles). Na stránce Profily (Profiles) se zobrazí existující profily.
  2. Chcete-li nakonfigurovat profil, klikněte na odkaz k profilu nebo klikněte na odkaz Zobrazit (View) ve sloupci Brána firewall (Firewall) profilu.
  3. Klikněte na kartu Firewall (Brána firewall).
  4. Na kartě Brána firewall (Firewall) můžete konfigurovat následující funkce zabezpečení a brány firewall zařízení Edge:
    Pole Popis (Description)
    Přístup k Edge (Edge Access) Umožňuje nakonfigurovat profil pro přístup k Edge. Pro větší zabezpečení Edge v nastavení brány firewall musíte zvolit správnou možnost pro podpůrný přístup, přístup ke konzole, přístup k portu USB, přístup k SNMP a přístup k místnímu webovému uživatelskému rozhraní. Tím zabráníte jakémukoli uživateli se zlými úmysly v přístupu k Edge. Ve výchozím nastavení jsou přístup k podpoře, přístup ke konzole, přístup SNMP a přístup k místnímu webovému uživatelskému rozhraní z bezpečnostních důvodů deaktivovány. Další informace naleznete v tématu Konfigurace přístupu k Edge.
    Stav brány firewall (Firewall Status) Umožňuje zapínat nebo vypínat pravidla brány firewall, konfigurovat nastavení brány firewall a seznamy ACL pro všechny Edge spojené s profilem.
    Poznámka: Ve výchozím nastavení je tato funkce aktivována. Funkci brány firewall pro Profily můžete deaktivovat vypnutím možnosti Stav brány firewall (Firewall Status).
    Předávání syslogu Ve výchozím nastavení je funkce Předávání syslogu (Syslog Forwarding) pro podnik deaktivována. Chcete-li shromažďovat vázané události produktu SD-WAN Orchestrator a protokoly brány firewall pocházející z Zařízení SD-WAN Edge podniku do jednoho nebo více centralizovaných vzdálených kolektorů syslog (serverů), musí podnikový uživatel aktivovat tuto funkci na úrovni podniku. Pokud budete chtít nakonfigurovat detaily kolektoru Syslog pro každý segment v rámci SD-WAN Orchestrator, viz Konfigurace nastavení syslogu pro profily pomocí nového uživatelského rozhraní systému Orchestrator.
    Poznámka: Detaily protokolování brány firewall IPv4 a IPv6 můžete sledovat na IPv4 serveru syslog.
    Pravidla brány firewall (Firewall Rules) Zobrazí se stávající předdefinovaná pravidla brány firewall. Můžete kliknout na možnost + NOVÉ PRAVIDLO (+ NEW RULE) a vytvořit nové pravidlo brány firewall. Další informace naleznete v tématu Konfigurace pravidla brány firewall pomocí nového uživatelského rozhraní systému Orchestrator. Chcete-li odstranit existující pravidla brány firewall, zaškrtněte pole před pravidly a klikněte na možnost ODSTRANIT (DELETE). Pokud chcete duplikovat pravidlo brány firewall, vyberte pravidlo a klikněte na možnost KLONOVAT (CLONE).
    Stavová brána firewall (Stateful Firewall) Ve výchozím nastavení je funkce stavové brány firewall pro podnikovou síť deaktivována. SD-WAN Orchestrator vám umožňuje nastavit časový limit relace pro navázané a nenavázané toky TCP, UDP a další toky na úrovni profilu. Volitelně můžete také přepsat nastavení stavové brány firewall na úrovni Edge. Další informace naleznete v tématu Konfigurace nastavení stavové brány firewall.
    Ochrana sítě a před floodingem (Network & Flood Protection) Chcete-li zabezpečit veškeré pokusy o připojení v podnikové síti, VMware SD-WAN Orchestrator vám umožní nakonfigurovat nastavení sítě a ochrany před floodingem na úrovních profilu a Edge za účelem ochrany před různými druhy útoků. Další informace naleznete v tématu Konfigurace nastavení sítě a ochrany před floodingem.

Konfigurace přístupu k Edge

Chcete-li přiřadit přístup k Edge k profilu, proveďte následující kroky:
  1. V SD-WAN Orchestrator přejděte do nabídky Konfigurovat (Configure) > Profily (Profiles) > Brána firewall (Firewall).
  2. V části Zabezpečení Edge (Edge Security) klikněte na ikonu rozbalení Přístup k Edge (Edge Access).
  3. Můžete konfigurovat jednu nebo více následujících možností pro Přístup k Edge (Edge Access) a kliknout na možnost Uložit změny (Save Changes):
    Pole Popis (Description)
    Přístup k protokolu Edge Je-li tato funkce aktivována, je protokolován veškerý přístup k Edge, včetně úspěšných a neúspěšných pokusů.
    Podpůrný přístup (Support Access)

    Vyberte možnost Povolit následující IP adresy (Allow the following IPs) a explicitně uveďte IP adresy, ze kterých bude SSH moci přistupovat k této lokalitě Edge. Adresy IPv4 i IPv6 můžete zadat oddělené čárkou (,).

    Jako výchozí je nastaven režim Zakázat vše (Deny All).

    Přístup ke konzole (Console Access) Chcete-li aktivovat přístup k Edge prostřednictvím fyzické konzole (sériový port nebo port VGA), vyberte možnost Povolit (Allow). Ve výchozím nastavení je po aktivaci zařízení Edge vybrána možnost Zakázat (Deny) a přihlášení do konzoly je deaktivováno.
    Poznámka: Kdykoli se změní nastavení přístupu do konzoly z  Povolit (Allow) na Zakázat (Deny) nebo naopak, je třeba Edge ručně restartovat.
    Vynutit vlastní test spuštění Po aktivaci deaktivuje nezdařený samoobslužný test spuštění zařízení Edge. Zařízení Edge můžete obnovit spuštěním továrního resetu a opětovnou aktivací zařízení Edge.
    Přístup k portu USB

    Vyberte možnost Povolit (Allow), chcete-li aktivovat přístup k portu USB na zařízeních Edge, případně možnost Zakázat (Deny), chcete-li přístup deaktivovat.

    Tato možnost je k dispozici pouze pro modely Edge 510 a 6x0.

    Poznámka: Vždy při změně nastavení přístupu k portu USB z  Povolit (Allow) na Zakázat (Deny) nebo naopak je nutné restartovat zařízení Edge ručně, pokud máte k Edge přístup a pokud je Edge na vzdáleném místě, restartujte zařízení Edge pomocí SD-WAN Orchestrator. Pokyny naleznete v tématu Vzdálené akce pomocí nového uživatelského rozhraní systému Orchestrator.
    Přístup SNMP (SNMP Access) Umožňuje přístup k Edge ze směrovaných rozhraní / WAN přes SNMP. Vyberte jednu z následujících možností:
    • Zakázat vše (Deny All) – Ve výchozím nastavení je přístup SNMP deaktivován pro všechna zařízení připojená k Edge.
    • Povolit všechny sítě LAN (Allow All LAN) – umožňuje přístup SNMP všem zařízením připojeným k Edge přes síť LAN.
    • Povolit následující IP adresy (Allow the following IPs) – umožňuje explicitně specifikovat IP adresy, ze kterých můžete přistupovat k Edge přes SNMP. Jednotlivé adresy IPv4 nebo IPv6 oddělte čárkou (,).
    Přístup k místnímu webovému uživatelskému rozhraní (Local Web UI Access) Umožňuje přístup k Edge ze směrovaných rozhraní / WAN přes místní webové uživatelské rozhraní. Vyberte jednu z následujících možností:
    • Zakázat vše (Deny All) – Ve výchozím nastavení je přístup k místnímu webovému uživatelskému rozhraní deaktivován pro všechna zařízení připojená k Edge.
    • Povolit všechny sítě LAN (Allow All LAN) – umožňuje přístup k místnímu webovému uživatelskému rozhraní všem zařízením připojeným k Edge přes síť LAN.
    • Povolit následující IP adresy (Allow the following IPs) – umožňuje explicitně specifikovat IP adresy, ze kterých můžete přistupovat k Edge přes místní webové uživatelské rozhraní. Jednotlivé adresy IPv4 nebo IPv6 oddělte čárkou (,).
    Číslo portu místního webového uživatelského rozhraní (Local Web UI Port Number) Zadejte číslo portu místního webového uživatelského rozhraní, ze kterého máte přístup k Edge. Výchozí hodnota je 80.
Pokud chcete přepsat nastavení přístupu k Edge pro konkrétní Edge, použijte možnost Povolit potlačení Edge (Enable Edge Override) dostupnou na stránce Brána firewall Edge (Edge Firewall).

Konfigurace nastavení stavové brány firewall

Chcete-li nakonfigurovat nastavení stavové brány firewall na úrovni profilu, proveďte následující kroky:
  1. V SD-WAN Orchestrator přejděte do nabídky Konfigurovat (Configure) > Profily (Profiles) > Brána firewall (Firewall).
  2. V části Konfigurace brány firewall (Configure Firewall) zapněte přepínač Stavová brána firewall (Stateful Firewall) a poté klikněte na ikonu rozbalení. Ve výchozím nastavení jsou relace časového limitu používány pro adresy IPv4.
  3. Můžete konfigurovat následující nastavení stavové brána firewall a kliknout na možnost Uložit změny (Save Changes):
    Pole Popis (Description)
    Stanovený časový limit toku TCP (v sekundách) (Established TCP Flow Timeout (seconds)) Nastavuje časový limit neaktivity (v sekundách) pro navázané toky TCP, po jehož uplynutí již tyto toky nebudou platné. Přípustný rozsah hodnot je od 60 sekund do 15 999 999 sekund. Výchozí hodnota je 7440 sekund.
    Nestanovený časový limit toku TCP (v sekundách) (Non Established TCP Flow Timeout (seconds)) Nastavuje časový limit neaktivity (v sekundách) pro nenavázané toky TCP, po jehož uplynutí již tyto toky nebudou platné. Přípustný rozsah hodnot je od 60 sekund do 604 800 sekund. Výchozí hodnota je 240 sekund.
    Časový limit toku UDP (v sekundách) (UDP Flow Timeout (seconds)) Nastavuje časový limit neaktivity (v sekundách) pro toky UDP, po jehož uplynutí již tyto toky nebudou platné. Přípustný rozsah hodnot je od 60 sekund do 15 999 999 sekund. Výchozí hodnota je 300 sekund.
    Jiný časový limit toku (v sekundách) (Other Flow Timeout (seconds)) Nastavuje časový limit neaktivity (v sekundách) pro ostatní toky, jako je ICMP, po jehož uplynutí již tyto toky nebudou platné. Přípustný rozsah hodnot je od 60 sekund do 15 999 999 sekund. Výchozí hodnota je 60 sekund.
    Poznámka:

    Nakonfigurované hodnoty časového limitu se použijí pouze v případě, že je využití paměti pod částečným limitem. Částečný limit odpovídá čemukoli pod 60 procenty souběžných toků podporovaných platformou, pokud jde o využití paměti.

Konfigurace nastavení sítě a ochrany před floodingem

VMware SD-WAN umožňuje detekci a ochranu proti následujícím typům útoků za účelem boje proti zneužití ve všech fázích jejich působení:
  • Útok typu denial-of-Service (DoS) (Denial-of-Service (DoS) attack)
  • Útoky založené na protokolu TCP – neplatné příznaky TCP, útoky na TCP typu LAND a fragmenty paketu TCP SYN
  • Útoky založené na protokolu ICMP – útoky typu Ping Of Death na ICMP a fragmenty ICMP
  • Útoky na bázi IP adresy – neznámý protokol IP adresy a možnosti nezabezpečené IP adresy
Typ útoku Popis (Description)
Útok typu denial-of-Service (DoS) (Denial-of-Service (DoS) attack)

Útok typu denial-of-Service (DoS) (Denial-of-Service (DoS) attack) je druh útoku na zabezpečení sítě, který zahlcuje cílová zařízení obrovským množstvím falešných dat, takže dojde k zahlcení cíle, který zpracovává tento falešný příchozí provoz a nemůže zpracovávat běžný provoz. Cílem může být brána firewall, síťové zdroje, ke kterým brána firewall řídí přístup, nebo specifická hardwarová platforma nebo operační systém samostatného hostitele. Útok DoS se pokouší vyčerpat zdroje cílového zařízení, takže cílové zařízení nebude dostupné pro legitimní uživatele.

Existují dvě obecné metody útoků DoS: flooding služeb nebo selhání služeb. K floodingu dojde, když systém obdrží příliš mnoho dat pro server do vyrovnávací paměti, což způsobí jeho zpomalení a nakonec zastavení. Ostatní útoky DoS jednoduše zneužívají chyby, které způsobují selhání cílového systému nebo služby. Během těchto útoků je odeslán vstup, který využívá chyb v cíli, které následně způsobí selhání nebo závažnou destabilizaci systému.

Neplatné příznaky TCP (Invalid TCP Flags)
K útoku s neplatným příznakem TCP dochází, když má paket TCP chybnou nebo neplatnou kombinaci příznaku. Zranitelné cílové zařízení se z důvodu neplatných kombinací příznaku TCP zhroutí, a proto je doporučujeme filtrovat. Ochrana proti neplatným příznakům TCP chrání před:
  • Pakety, které nemají v záhlaví protokolu TCP nastavené žádné příznaky, například SYN, FIN, ACK atd.
  • Záhlavími protokolu TCP s kombinovanými příznaky SYN a FIN, což jsou ve skutečnosti vzájemně se vylučující příznaky
útok typu LAND na TCP (TCP Land);

Útok LAND je útok DoS na vrstvu 4, ve kterém je vytvořen paket TCP SYN, což znamená, že zdrojová IP adresa a port jsou stejné jako cílová IP adresa a port, a ty jsou nastaveny tak, aby odkazovaly na otevřený port na cílovém zařízení. Zranitelné cílové zařízení obdrží tuto zprávu a odpoví na cílovou adresu, takže paket bude odesílán v nekonečné smyčce. Kapacita procesoru je tak beze zbytku využita, což způsobuje selhání nebo zamrznutí ohroženého cílového zařízení.

Fragment paketu TCP SYN (TCP SYN Fragment)

Internetový protokol (IP) zapouzdřuje segment SYN protokolu TCP (Transmission Control Protocol) v paketu IP za účelem iniciace připojení TCP a vyvolá v odezvě segment SYN/ACK. Vzhledem k tomu, že je paket IP malý, neexistuje žádný oprávněný důvod pro jeho fragmentaci. Fragmentovaný paket SYN je anomální a tedy podezřelý. V rámci útoku fragmentu paketu TCP SYN je cílový server nebo hostitel zahlcen fragmenty paketu TCP SYN. Hostitel zachytí fragmenty a čeká na doručení zbývajících paketů, aby mohl paket znovu sestavit. Floodingem serveru nebo hostitele prostřednictvím připojení, která nemohou být dokončena, se vyrovnávací paměť hostitele přeplní, a proto nelze navázat žádné další legitimní připojení. Tím dojde k poškození operačního systému cílového hostitele.

Útok typu Ping Of Death na ICMP (ICMP Ping of Death)

Útok typu Ping Of Death na ICMP (Internet Control Message Protocol) provádí útočník, který odešle několik chybných nebo škodlivých pingů do cílového zařízení. Ačkoli jsou pakety ping pro kontrolu dostupnosti hostitelů v síti obecně malé, útočník může použít větší, než je jejich maximální velikost 65 535 bajtů.

Při přenosu nebezpečného velkého paketu od škodlivého hostitele je paket během přenosu fragmentován, a pokud se cílové zařízení pokusí fragmenty IP znovu sestavit, výsledek překročí maximální povolenou velikost. To může způsobit přetečení paměti, která byla paketu původně přidělena, a dojde k selhání, zamrznutí nebo restartu systému, protože ten nebude schopen takto velké segmenty zpracovávat.

Fragment ICMP (ICMP Fragment)

Útok fragmentací ICMP je běžným útokem DoS, který se týká zahlcení podvodnými fragmenty ICMP, které nemohou být na cílovém serveru defragmentovány. Protože defragmentace může proběhnout pouze po obdržení všech fragmentů, dočasné uložení těchto falešných fragmentů zabírá paměť a může vyčerpat dostupné paměťové zdroje ohroženého cílového serveru, v důsledku čehož se server stane nedostupným.

Neznámý protokol IP adresy (IP Unknown Protocol)

Aktivace ochrany proti neznámému protokolu IP adresy zablokuje pakety IP s polem protokolu obsahujícím číslo ID protokolu 143 nebo vyšší, protože jejich nesprávné zpracování by mohlo vést k selhání koncového zařízení. Opatrným přístupem tak je zablokování takových paketů IP, aby se do chráněné sítě vůbec nedostaly.

Možnosti zabezpečení IP adresy (IP Insecure Options)

Útočníci někdy konfigurují pole s možnostmi IP v paketu IP nesprávně, což vyprodukuje nekompletní nebo nesprávně formátovaná pole. Útočníci používají tyto poškozené pakety k ohrožení zranitelných hostitelů v síti. Zneužití této chyby zabezpečení může potenciálně umožnit spuštění libovolného kódu. Tato chyba zabezpečení může být zneužita po zpracování paketu, který obsahuje specifickou možnost vytvořené IP adresy v záhlaví IP paketu. Aktivace ochrany před možnostmi nezabezpečené IP adresy zablokuje přenosové pakety IP s nesprávně formátovaným polem možností IP adresy v záhlaví paketu IP.

Chcete-li nakonfigurovat nastavení sítě a ochrany před floodingem, postupujte následovně:
  1. V SD-WAN Orchestrator přejděte do nabídky Konfigurovat (Configure) > Profily (Profiles) > Brána firewall (Firewall).
  2. V části Konfigurace brány firewall (Configure Firewall) se ujistěte, že jste zapnuli funkci Stavová brána firewall (Stateful Firewall).
  3. Klikněte na ikonu rozbalení Nastavení sítě a ochrany před floodingem (Network & Flood Protection). Ve výchozím nastavení se pro adresy IPv4 používá nastavení sítě a ochrany před floodingem.
  4. Můžete konfigurovat následující nastavení sítě a ochrany před floodingem a kliknout na možnost Uložit změny (Save Changes):
    Pole Popis (Description)
    Mezní hodnota nového připojení (New Connection Threshold) (počet připojení za sekundu) Maximální počet nových připojení, která jsou povolena z jediného zdroje IP adresy za sekundu. Přípustný rozsah hodnot je od 10 % do 100 %. Výchozí hodnota je 25 %.
    Seznam zakázaných položek (Denylist) Zaškrtnutím tohoto pole aktivujete blokování IP adresy zdroje, který porušuje mezní hodnotu pro nová připojení tím, že odesílá nadměrný provoz, buď z důvodu špatné konfigurace sítě, nebo útoků uživatelů se zlými úmysly.
    Poznámka: Nastavení možnosti Prahová hodnota nového připojení (počet připojení za sekundu) (New Connection Threshold (connections per second)) nebude fungovat, dokud je vybrán Seznam zakázaných položek (Denylist).
    Doba rozpoznávání (v sekundách) (Detect Duration (seconds)) Doba před zablokováním IP adresy zdroje, po kterou bude provoz z tohoto zdroje přijímán.

    Pokud hostitel odesílá nadměrný provoz s požadavky o nové připojení (skenování portu, přenos TCP SYN atp.), který přesáhl maximální počet připojení povolených za sekundu (CPS) za tuto nastavenou dobu, bude odmítnut až po uplynutí této doby, a nikoli okamžitě, jakmile překročí povolenou hodnotu CPS pro zdroj. Pokud je například maximální možná hodnota CPS 10 s detekcí po dobu 10 sekund, bude hostitel odmítnut v případě, že bude odesílat provoz v objemu vyšším, že 100 požadavků za 10 sekund.

    Přípustný rozsah hodnot je od 10 sekund do 100 sekund. Výchozí hodnota je 10 sekund.
    Trvání seznamu zakázaných položek (v sekundách) (Denylist Duration (seconds)) Doba trvání, po kterou je IP adresa porušujícího zdroje zablokovaná. Přípustný rozsah hodnot je od 10 sekund do 86 400 sekund. Výchozí hodnota je 10 sekund.
    Útoky založené na protokolu TCP (TCP Based Attacks) Podporuje ochranu před těmito útoky založenými na protokolu TCP podle zaškrtnutých polí:
    • Neplatné příznaky TCP (Invalid TCP Flags)
    • útok typu LAND na TCP (TCP Land);
    • Fragment paketu TCP SYN (TCP SYN Fragment)
    Útoky založené na ICMP (ICMP Based Attacks) Podporuje ochranu před těmito útoky založenými na protokolu ICMP podle zaškrtnutých polí:
    • Útok typu Ping Of Death na ICMP (ICMP Ping of Death)
    • Fragment ICMP (ICMP Fragment)
    Útoky na bázi IP adresy (IP Based Attacks) Podporuje ochranu před těmito útoky na bázi IP adresy podle zaškrtnutých polí:
    • Neznámý protokol IP adresy (IP Unknown Protocol)
    • Možnosti zabezpečení IP adresy (IP Insecure Options)