АНБ США представило рекомендациипо настройке и усилению безопасности систем Cisco Firepower Threat Defense (FTD). Руководство направлено на помощь системным и сетевым администраторам в процессе настройки брандмауэров нового поколения (Next Generation Firewalls, NGFW).
Системы Cisco FTD обеспечивают комплексную защиту, включающую контроль и видимость приложений (Application Visibility and Controls, AVC), фильтрацию URL, идентификацию и аутентификацию пользователей, защиту от вредоносных программ и функцию предотвращения вторжений. Грамотная конфигурация этих систем способствует повышению общей безопасности организации.
В своем докладе специалисты NSA акцентируют внимание на следующих ключевых практиках:
- Реализация контроля доступа: такая конфигурация создает детализированный контроль трафика, снижая риски неавторизованного доступа и блокируя нежелательный трафик.
- Внедрение политик предотвращения вторжений: политики контролируют трафик в системах IDS и IPS, основываясь на шаблонах базовых политик Cisco Talos.
- Имплементация политик SSL: такие политики контролируют процесс проверки и дешифрации зашифрованного трафика внутри устройства.
- Внедрение политик по вредоносным программам и файлам: такие политики контролируют типы файлов, которые могут быть разрешены, заблокированы или проинспектированы при проходе трафика через устройство.
- Активация безопасных настроек VPN: при создании VPN с устройством важно использовать безопасные протоколы и сильные алгоритмы шифрования.
- Укрепление защиты FXOS (Firewall Xtensible Operating System): FXOS – это операционная система, используемая в устройствах Firepower. При этом образ FTD устанавливается поверх контейнера. Для минимизации рисков эксплуатации рекомендуется регулярно обновлять FXOS до последней версии.
АНБ подготовило полный отчет о лучших практиках, которым стоит следовать во время конфигурации и внедрения сетевых устройств. Организациям рекомендуется использовать предложенное руководство и внедрять предлагаемые меры, чтобы повысить уровень своей сетевой безопасности и снизить вероятность кибератак.