测试防火墙系统
此练习来自CERT® Security Improvement Modules(安全改进模型公司)
计划中的测试项目包括路由,包过滤,日志和报警记录按计划执行情况以及当防火墙系统随着测试逐步失效后的恢复计划。
测试的关键点必须包括:
硬件(处理器、硬盘、内存、网卡等等)
操作系统软件(引导进入、控制台(console access)等等)
防火墙软件
网络连接设备(电缆、交换机、集线器等等)
防火墙配置软件
- 路由规则
-包过滤规则和相关的日志及报警记录选项
为什么这是重要的呢?
测试你的防火墙和校验它是否完全运行正常可以增加你对防火墙按照设计运行的信心。你将明了系统中的某一组件失效时的类型以及当该组件失效时所需的恢复技术。这样当防火墙系统偶然发生失效时,你的反应和恢复技术已经得到了足够的锻炼,它已仅仅是你日常工作的一部分。
防火墙的安全问题主要来自于对防火墙系统的错误配置。知道了这些,你就需要把配置测试防护墙系统自身(如同所有的路由记录、包过滤。日志容量一样)作为你的主要工作项目。
如何去做呢?
先做一个测试计划
你要计划测试两方面:防火墙系统的运行和系统中执行的策略
系统的运行:作一列表,列出所有一旦失效后会明显影响防火墙既定目标的可替
换的系统组件。
对于每一组件,作一小列表,列出组件失效后对防火墙操作则可能的影响。对组件不太可能出现的故障或出现故障对防火墙运行影响不大的组件作出强调
对于每一相关的故障模式
-设计一个直接能引起故障或模仿发生故障的测试场景。
--设计能够使故障影响最小化的减缓策略。
一个测试场景的例子是假想运行防火墙的主机系统发生的不可恢复的硬件故障,使包转发无法进行,例如可能发生的网卡故障。该故障可通过从插槽上拔下网卡来进行模拟测试。
一个恢复策略的例子是维持一个完整的防护墙冗余系统,当故障发生时用最短时间切换到冗余主机,使故障期间的包传递受到的影响最小。
测试安装在系统中的策略更加困难。完全测试IP包过滤配置是不切实际的;因为有太多的可能性。我们推荐你使用分块(分界)测试来替代完全测试。在这些测试中,你要确定包过滤规则的分块(分界)界限同时确定针对每一分块界限的测试实例(意译)。对于每一(IP包过滤)规则都要确认规则中的所有界限。一般来说,对于规则中的每一强制参数都把它化作一到两个界限。被分块的区间是多种包的属性空间。例如,一条规则允许从任意主机访问你的Web服务器80端口的TCP包,它将检查三个属性(协议,目标地址,和目标端口),这类分区的属性空间就分成了三块:到Web服务器小于80端口TCP包,等于80端口的包,和大于80端口的包。
对于每一分区你要做出进行持续测试通讯的规划。你要校验防火墙在所定区间内拒绝或转发的所有通讯。把包的属性空间进行分块的目的也就是(确认)在一个单一区间所有被拒绝或转发的通讯。
对于复合预定规则,这可能是一个乏味的过程,也可能无法执行(测试)。如果测试无法执行,要求大家(集体对规则)进行讨论,让任意一人对其他人解释每一条规则都作了些什么。
测试计划需要包括:测试案例,配置,和对测试路由配置、包过滤规则(包括特定服务测试)、日志和报警选项的期望结果。
对防火墙系统作整体测试(例如软硬件故障恢复,足够的日志文件大小(空间??),日志的适当归档,执行监视器)
在一般和异常情况的练习中,你都需要对你打算使用的工具进行描述(例如扫描器、监视器、漏洞检测工具),同时测试你打算使用的工具。
要求测试工具:
如果你的防火墙产品不包含的话,你可以自己拓展使用防火墙测试工具。
防火墙测试工具包括的类型有:
网络通讯制造器(例如SPAK (Send PAcKets), ipsend, or Ballista)
网络监视器(例如tcpdump and Network Monitor)
端口扫描器(例如 strobe and
漏洞检测工具(从各个厂商有一系列的各种商业工具)
入侵检测系统如NFR2 (Network Flight Recorder) 和Shadow3。
提到检测入侵信号[Allen 00],特定的执行“鉴别系统特征数据和协助检测可疑行为信号”和持续使用“辅助检测入侵信号的工具”
在你的测试环境测试防火墙的功能。
建立一个测试配置,用你的防火墙系统连接两个孤立的主机,一个扮演外部环境角色,另一个扮演内部主机角色。遵照图 8-1 “测试环境”。确认内部主机的默认网关设定为测试的防火墙系统。如有可能使用支持集中日志的结构(推荐),把内部主机和日志主机都放在内部网,以便你可以测试日志选项,如果日志在防火墙主机上记录,你可以把内部主机直接连到防火墙主机上。
在内部和外部同时使用扫描器和网络嗅探器,从两个方向捕捉所有通讯(从内向外,从外向内)。
执行以下步骤:
停止包过滤。
发包测试所有的路由规则,使之穿过防火墙。
通过检查防火墙日志和扫描结果来确认包被正确路由。
打开包过滤。
发送网络通讯,对所有可能的原地址及目标地址、穿过的端口、和所有的协议,进行适当的采样。
确认需要锁定(拒绝)的包被锁定。例如,如果所有的UDP包被锁定,确认没有任何包通过。确认期望通过的包都通过。通过检查防火墙日志和扫描结果得出结论。
扫描确认你的防火墙系统开放和关闭的端口,运行正常。
测试所有的网络通讯被记录,校验与包过滤相关的日志选项符合操作要求。
此练习来自CERT® Security Improvement Modules(安全改进模型公司)
计划中的测试项目包括路由,包过滤,日志和报警记录按计划执行情况以及当防火墙系统随着测试逐步失效后的恢复计划。
测试的关键点必须包括:
硬件(处理器、硬盘、内存、网卡等等)
操作系统软件(引导进入、控制台(console access)等等)
防火墙软件
网络连接设备(电缆、交换机、集线器等等)
防火墙配置软件
- 路由规则
-包过滤规则和相关的日志及报警记录选项
为什么这是重要的呢?
测试你的防火墙和校验它是否完全运行正常可以增加你对防火墙按照设计运行的信心。你将明了系统中的某一组件失效时的类型以及当该组件失效时所需的恢复技术。这样当防火墙系统偶然发生失效时,你的反应和恢复技术已经得到了足够的锻炼,它已仅仅是你日常工作的一部分。
防火墙的安全问题主要来自于对防火墙系统的错误配置。知道了这些,你就需要把配置测试防护墙系统自身(如同所有的路由记录、包过滤。日志容量一样)作为你的主要工作项目。
如何去做呢?
先做一个测试计划
你要计划测试两方面:防火墙系统的运行和系统中执行的策略
系统的运行:作一列表,列出所有一旦失效后会明显影响防火墙既定目标的可替
换的系统组件。
对于每一组件,作一小列表,列出组件失效后对防火墙操作则可能的影响。对组件不太可能出现的故障或出现故障对防火墙运行影响不大的组件作出强调
对于每一相关的故障模式
-设计一个直接能引起故障或模仿发生故障的测试场景。
--设计能够使故障影响最小化的减缓策略。
一个测试场景的例子是假想运行防火墙的主机系统发生的不可恢复的硬件故障,使包转发无法进行,例如可能发生的网卡故障。该故障可通过从插槽上拔下网卡来进行模拟测试。
一个恢复策略的例子是维持一个完整的防护墙冗余系统,当故障发生时用最短时间切换到冗余主机,使故障期间的包传递受到的影响最小。
测试安装在系统中的策略更加困难。完全测试IP包过滤配置是不切实际的;因为有太多的可能性。我们推荐你使用分块(分界)测试来替代完全测试。在这些测试中,你要确定包过滤规则的分块(分界)界限同时确定针对每一分块界限的测试实例(意译)。对于每一(IP包过滤)规则都要确认规则中的所有界限。一般来说,对于规则中的每一强制参数都把它化作一到两个界限。被分块的区间是多种包的属性空间。例如,一条规则允许从任意主机访问你的Web服务器80端口的TCP包,它将检查三个属性(协议,目标地址,和目标端口),这类分区的属性空间就分成了三块:到Web服务器小于80端口TCP包,等于80端口的包,和大于80端口的包。
对于每一分区你要做出进行持续测试通讯的规划。你要校验防火墙在所定区间内拒绝或转发的所有通讯。把包的属性空间进行分块的目的也就是(确认)在一个单一区间所有被拒绝或转发的通讯。
对于复合预定规则,这可能是一个乏味的过程,也可能无法执行(测试)。如果测试无法执行,要求大家(集体对规则)进行讨论,让任意一人对其他人解释每一条规则都作了些什么。
测试计划需要包括:测试案例,配置,和对测试路由配置、包过滤规则(包括特定服务测试)、日志和报警选项的期望结果。
对防火墙系统作整体测试(例如软硬件故障恢复,足够的日志文件大小(空间??),日志的适当归档,执行监视器)
在一般和异常情况的练习中,你都需要对你打算使用的工具进行描述(例如扫描器、监视器、漏洞检测工具),同时测试你打算使用的工具。
要求测试工具:
如果你的防火墙产品不包含的话,你可以自己拓展使用防火墙测试工具。
防火墙测试工具包括的类型有:
网络通讯制造器(例如SPAK (Send PAcKets), ipsend, or Ballista)
网络监视器(例如tcpdump and Network Monitor)
端口扫描器(例如 strobe and
漏洞检测工具(从各个厂商有一系列的各种商业工具)
入侵检测系统如NFR2 (Network Flight Recorder) 和Shadow3。
提到检测入侵信号[Allen 00],特定的执行“鉴别系统特征数据和协助检测可疑行为信号”和持续使用“辅助检测入侵信号的工具”
在你的测试环境测试防火墙的功能。
建立一个测试配置,用你的防火墙系统连接两个孤立的主机,一个扮演外部环境角色,另一个扮演内部主机角色。遵照图 8-1 “测试环境”。确认内部主机的默认网关设定为测试的防火墙系统。如有可能使用支持集中日志的结构(推荐),把内部主机和日志主机都放在内部网,以便你可以测试日志选项,如果日志在防火墙主机上记录,你可以把内部主机直接连到防火墙主机上。
在内部和外部同时使用扫描器和网络嗅探器,从两个方向捕捉所有通讯(从内向外,从外向内)。
执行以下步骤:
停止包过滤。
发包测试所有的路由规则,使之穿过防火墙。
通过检查防火墙日志和扫描结果来确认包被正确路由。
打开包过滤。
发送网络通讯,对所有可能的原地址及目标地址、穿过的端口、和所有的协议,进行适当的采样。
确认需要锁定(拒绝)的包被锁定。例如,如果所有的UDP包被锁定,确认没有任何包通过。确认期望通过的包都通过。通过检查防火墙日志和扫描结果得出结论。
扫描确认你的防火墙系统开放和关闭的端口,运行正常。
测试所有的网络通讯被记录,校验与包过滤相关的日志选项符合操作要求。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
