Scala di implementazione
Questa guida utilizza due scale:
|
Impatto (vantaggio per la sicurezza) |
A. MAGGIORE |
B. SIGNIFICATIVO |
C. MINORE |
|
Sforzo (da implementare) |
1. BASSO |
2. MEDIO |
3. ALTO |
Esempi di scala
Ad esempio, gli elementi che sono categorizzati:
|
Impatto |
Sforzo |
|
A. MAGGIORE |
1. BASSO |
sono altamente consigliati, in quanto sono facili da implementare e offrono un elevato livello di sicurezza.
Mentre gli elementi che sono:
|
Impatto |
Sforzo |
|
C. MINORE |
3. ALTO |
sarà utile, ma è necessario farlo solo in un ambiente ad alto rischio o se sei un po' paranoico!
Rimuovere i componenti aggiuntivi IPFire non utilizzati
|
Impatto |
Sforzo |
|
B. SIGNIFICATIVO |
1. BASSO |
Se hai installato componenti aggiuntivi in IPFire che non utilizzi più, rimuovili.
Questo ridurrà la superficie di attacco del tuo sistema IPFire.
- Disinstallare i componenti aggiuntivi che non si utilizzano con PakFire nella WUI
Non abilitare IPv6
|
Impatto |
Sforzo |
|
B. SIGNIFICATIVO |
1. BASSO |
IPv6 è disabilitato per impostazione predefinita in IPFire. Per motivi di sicurezza, si consiglia di non abilitarlo.
Sebbene IPv6 possa rappresentare il futuro dell'indirizzamento su Internet, oggi la maggior parte degli ISP che offrono servizi Internet fissi fornisce ancora un indirizzo IPv4. IPv6 consente a tutti i dispositivi della rete di essere visibili da Internet. Per molto tempo si è pensato che la ricerca di dispositivi nella rete non fosse praticabile, a causa dell'elevato numero di indirizzi possibili. Tuttavia, è stato recentemente dimostrato che esistono modi intelligenti per aggirare questo problema .
- Non abilitare IPv6, a meno che tu non comprenda tutte le implicazioni del suo utilizzo
- Evitate di utilizzare contemporaneamente IPv4 e IPv6 "dual-stack". Questo espone il sistema a più potenziali bug di sicurezza rispetto all'utilizzo di una sola delle due versioni IP.
Non ospitare servizi dalla tua rete
|
Impatto |
Sforzo |
|
B. SIGNIFICATIVO |
2. MEDIO |
Ospita servizi come server di posta elettronica e web in un ambiente cloud e non sulla tua connessione Internet. Questo eviterà che la tua rete diventi un bersaglio (poiché non saranno visibili servizi interessanti) e ridurrà significativamente le possibilità che un attacco vada a buon fine.
- Rendi la tua rete un obiettivo più piccolo e meno interessante non ospitando alcun servizio su di essa.
- Se hai davvero bisogno di ospitare servizi dalla tua rete, assicurati di seguire le best practice utilizzando una DMZ e configurando i pinhole DMZ .
Non eseguire IPFire in una macchina virtuale
|
Impatto |
Sforzo |
|
B. SIGNIFICATIVO |
N / A |
Sebbene IPFire funzioni efficacemente su una macchina virtuale, è consigliabile eseguire qualsiasi software di sicurezza (come un router firewall) su una macchina fisica separata. L'esecuzione di IPFire su una macchina fisica elimina la possibilità che un'altra macchina virtuale o l'ambiente di virtualizzazione possano essere compromessi e, a loro volta, compromettere il IPFire firewall o causare un denial of service consumando risorse (rete, disco, CPU o memoria).
- Se possibile, per motivi di sicurezza, eseguire IPFire su un computer fisico
IPFire viene solitamente utilizzato in una posizione di fiducia come gateway Internet e, se compromesso, sarà difficile difendere il resto della rete.
Blocca Tor
|
Impatto |
Sforzo |
|
A. MAGGIORE |
1. BASSO |
Se non lo usi, blocca il traffico Tor perché il malware può usarlo per scopi di comando e controllo.