Что фильтрует трафик между компьютером и сетью
Фильтрация трафика – ограничительная мера, которая обеспечивает контроль доступа пользователей к определенным сетевым ресурсам. Используется как инструмент безопасности и отслеживания деятельности человека в сети. Высокая активность интернет пользователей и большие потоки информации требуют обработки, анализа входящих и исходящих данных. Для этих целей предназначены SWG-решения, которые используют технологии классификации и фильтрации трафика, исходя из его содержимого. Они способны блокировать отдельные ссылки, которые попали в реестр, но при этом сохранять доступ к домену или к IP-адресу.
Что такое фильтрация трафика в сети, зачем нужна?
Обработка, анализ и пропуск информационных потоков осуществляется согласно установленным и настроенным заранее правилам безопасности. В случае несоответствия потоков одному или нескольким пунктам происходит блокировка передачи информации. Типичными сетевыми параметрами, которые подвергаются анализу и оценке на угрозу, считаются:
IP-адреса. Любое устройство в интернете обладает собственным уникальным адресом. При фильтровании угроз от IP-адреса учитываются конкретные цифровые коды, их диапазон, исключение или добавление в список разрешенных.
Порты. Представляют собой точки, предоставляющие доступ приложениям к инфраструктуре сетевого подключения. Тем самым регулируются права использования тех или иных приложений, сервисов.
Доменное имя. Контроль ведется по адресу сайта, путём запрета прохождения цифровых потоков с домена, ограничивая тем самым нежелательный (опасный) контент.
Протокол. Устанавливается в настройках файрвола, чтобы пропускать трафик какого-то одного протокола или прекращать доступ к одному из них.
Фильтрация интернет-трафика работает в нескольких направлениях. Считается обязательным элементом корпоративной сети, где одновременно находится много сотрудников онлайн. С помощью фильтрации решаются следующие задачи:
предотвращение нерационального использования ресурсов и рабочего времени. Блокировка внешних сайтов, чатов, игр сохраняет дисциплину и рабочую обстановку среди персонала, не давая поводов для отвлечения от своих обязанностей;
защита корпоративной сети от внешних угроз. Внутренняя информация и базы данных часто подвергаются атакам со стороны вирусов, ботов, мошенников, шпионских программ. Фильтрация информационных потоков снижает риски утечки, порчи данных, поддерживает заданный уровень безопасности.
Виды, способы фильтрации сетевого трафика
Для осуществления фильтрования интернет-потоков используются готовые решения, которые в автоматическом режиме разрешают или блокируют определенную информацию. Для этого используют ряд способов:
- аппаратно-программные комплексы. Представлены специальными коммутаторами, которые устанавливают отдельно. Характерны для крупных организаций и корпораций, имеющих дело со множеством интернет потоков;
- специализированные решения, например, Solar webProxy. Считаются прогрессивным и удобным решением для защиты и управления трафиком. Получили большую популярность в различных сферах бизнеса, испытывающих необходимость в информационной защите;
- браузеры. Простейшее решение для домашнего использования. Минимальный уровень защиты. Простые и ограниченные настройки безопасности дают только базовый уровень защиты от очевидных и известных угроз.
Системы фильтрации трафика используют множественные механизмы для проверки потоков. Также существенным различием и показателем уровня безопасности считается вид фильтрации. Принято выделять следующие варианты:
Международный уровень. Представляет централизованный подход к выполнению фильтрации DNS-запросов на государственном уровне. Самый надёжный и дорогостоящий вид, дающий полный контроль над ситуацией.
Провайдерский уровень. Используется перечень запрещённых сайтов, утвержденный государственными службами. Считается надежным и “работающим” решением.
Шлюзовый уровень. Используется для локального фильтрования организациями. Отдельно приобретается специализированное программное обеспечение, прикрепляется специалист или организация, обеспечивающие обслуживание оборудования. Этот вид обладает широкими настройками, сохраняет быстроту работы в интернете.
Пользовательский уровень. Требует ручной установки, настройки дополнительного ПО на локальный компьютер. Оправдано в случае домашней или малой локальной сети, где требования безопасности минимальные.
Основные составляющие организации фильтрации трафика
Для того чтобы обеспечить полноценную защиту информационных ресурсов компании и оптимальную работу имеющихся систем, используются комплексные решения ПО и оборудования. Чтоб добиться результата, необходимо реализовать следующие моменты:
наладить регулярное и безопасное соединение между пользователями, внутренними ресурсами, внешними сетями;
создать единый технологический комплекс защиты, который обеспечит мерами безопасности локальные сети подразделений компании;
настроить иерархическую защиту, для осуществления безопасности разных сегментов данных по их “важности”.
Чтобы успешно провести фильтрацию входящего трафика и защитить корпоративное соединение от взлома и внешних угроз, используют готовые схемы фильтрации. Например:
аппаратно-программный межсетевой экран;
маршрутизатор дополненный собственным фильтром;
комбинированный маршрутизатор, работающий по линии протекции, согласно спискам доступа;
операционная система, укомплектованная специальными утилитами, которые выполняют пакетную фильтрацию.
Описанная схема фильтрования трафика показала свою эффективность и достаточный уровень безопасности для регулярного её использования, в качестве базового решения. Дополнительное ПО, установленное в операционной системе, выполняет функции маршрутизации, проверки цифрового потока. Тем самым достигается стабильная работа корпоративной сети, удовлетворяющая требованиям безопасности.
Что такое SWG-решения, как применяются для фильтрования?
SWG-системы рассматриваются в качестве передового инструмента для изучения и управления интернет-трафиком. Они способны находить, идентифицировать, дифференцировать, переправлять, блокировать пакеты с определенными данными, которые были пропущены стандартными инструментами для фильтрования.
Где не обойтись без фильтрования трафика?
Средства фильтрации трафика успешно решают ряд задач одновременно, что делает их актуальным решением для любой компании, чья деятельность связана с регулярным пользованием интернета. Фильтрование пригодится для:
Предотвращения возможных утечек данных. Важно в случае работы с конфиденциальными данными. Фильтрование каналов связи способствует минимизации рисков взлома и утечки информации.
Администрирования локальной сети. Управление правами доступами, паролями, добавлением и удалением пользователей, делегированием доступа, с использованием фильтрования, все это упрощает многие процессы и уменьшает бреши в защите.
Для контроля и ограничения действий пользователя. Действующие запреты и ограничения на внешний трафик, отказ в посещении заблокированных сайтов и приложений, помогут пользователям сосредоточиться на основной работе, повысят дисциплину.
Фильтрация сетевого трафика в компании – один из ключевых моментов в создании высокопроизводительных, безопасных, надежных каналов связи с внутренними ресурсами для работников корпоративных сетей. Это устоявшийся стандарт, который доказал свою актуальность и полезность.
Solar Dozor – DLP-система с фокусом на человеке
Предотвращает утечки информации, анализирует действия пользователей и помогает проводить расследования
Роутер (router) в переводе с английского дословно означает маршрутизатор. Но, как всегда, дословный перевод не всегда отражает реальность. Модели «роутеров для доступа в Интернет», предлагаемые большинством вендоров, по факту представляют собой межсетевой экран, сочетающий и простые функции вроде фильтрации по MAC, и «продвинутые» анализаторы, например, контроль приложений (Application Patrol).
Так что же такое маршрутизатор, межсетевой экран, и где их можно встретить?
Antimalware
Исторически под этим названием понимают классический антивирус, но в последнее время область применения данного механизма защиты значительно расширена и включает в себя не только защиту от вирусов, но и от другого вредоносного кода, включая фишинговые приложения, небезопасные скрипты и так далее.
В качестве «движка» (engine) в межсетевых шлюзах Zyxel используются локальные сигнатуры от BitDefender и облачные от McAfee.
Функции межсетевого экрана
Sandbox
Традиционно из самых больших проблем сетевой безопасности является постоянное распространение новых вирусов.
Выше уже описывались другие средства защиты: IPS и антивирус (antimalware) для защиты сетей. Однако эти две функции не всегда эффективны против новых модификаций вредоносного кода. Зачастую приходится сталкиваться с мнением о том, что антивирус «на потоке» способен определить только очень простые и широко известные угрозы, в первую очередь полагаясь на записи в антивирусных базах. Для более серьезных случаев требуется поведенческий анализ. Грубо говоря, нужно создать для предполагаемого вредоносного кода комфортные условия и попробовать его запустить.
Как раз «Песочница» (Sandbox) — это и есть виртуализированная, изолированная и безопасная среда, в которой запускаются неизвестные файлы для анализа их поведения.
«Песочница» работает следующим образом:
Когда файл проходит через вирусную программу, она сначала проверяет базу данных защиты от вредоносных программ.
Если файл неизвестен, его копия перенаправляется в Sandbox.
Эта служба проверяет файл и определяет, является ли он нормальным, подозрительным или опасным.
По результатам проверки «Песочница», размещенная в облаке, получит новую информацию об этом новом элементе и сохранить её в своей базе данных для аналогичных случаев. Таким образом, облачная архитектура не только делает его общедоступным, но и позволяет постоянно обновлять в режиме реального времени.
В свою очередь, база данных защиты от вредоносных программ регулярно синхронизируется с «Песочницей», чтобы поддерживать ее в актуальном состоянии и блокировать новые вредоносные вирусы в режиме реального времени.
Content Filtering
Говоря про контентную фильтрацию, в данном случае мы будем иметь в виду ZYXEL Content Filtering 2.0, который служит для управления и контроля доступа пользователей к сети.
Механизм наблюдения Zyxel Content Filtering 2.0 изучает особенности поведения пользователей в Интернет. Это позволяет оперативно сканировать принимаемую информацию из глобальной сети.
Проще говоря, данная система повышает уровень безопасности, блокируя доступ к опасным и подозрительным веб-сайтам и предотвращает загрузку с них вредоносного кода. В целях стандартизации и унификации настроек можно применять политики, например, для точно настраиваемой блокировки и фильтрации.
Если говорить об изменениях (собственно, почему «2.0»), то в новой версии Content Filtering были внесены несколько существенных изменений, в частности:
Переход на Content Filtering 2.0 происходит через загрузку соответствующего микрокода.
Отдельно стоит сказать о пополнении информационной базы. За счет обработки более 17 миллиардов транзакций каждый день, выполняемых 600 миллионами пользователей из 200 стран, пополняется глобальная база данных, и с каждым новым «знанием» повышается степень защиты системы. Стоит также отметить, что >99% контролируемого контента уже содержится в локальном кэше, что позволяет быстрее обрабатывать поступающие запросы.
Таблица 1. Security Service Content Filtering 2.0 — Схема применения.
Заключение
В данной статье мы рассмотрели, что такое межсетевой экран, для чего он используется и каких видов бывает. В современном мире в аппаратной реализации чаще всего можно встретить межсетевые экраны нового поколения. Подобные решения можно арендовать в Selectel.
Application Patrol
Данная служба работает на 7 уровне OSI и проверяет популярные сетевые приложения, включая социальные сети, игры, бизнес-приложения совместно с моделью их поведения.
В Zyxel Application Patrol применяется модуль Deep Packet Inspection (DPI) для контроля использование сети. Данный модуль распознает 19 категорий приложений, что позволяет адаптировать протоколы управления с учетом конкретных приложений и их поведения.
Среди механизмов защиты можно отметить: назначение приоритетов для приложений, контроль полосы пропускания для каждого приложения, блокировка нежелательных приложений. Данные меры не только повышают уровень безопасности, но и улучшают работу сети в целом, например, через запрет нецелевого использования полосы пропускания.
Основой для идентификации приложений служат специальные сигнатуры, полученные благодаря анализу данных, модели поведения и так далее. Собранная информация хранится в база данных Zyxel и содержит данные о большом количестве различных приложений, включая особенности их поведения, генерируемый трафик и так далее. База данных постоянно обновляется.
Контроль состояния сеансов на уровне МЭ
Межсетевой экран с контролем состояния сеансов анализирует всю активность пользователей от начала и до конца — каждой установленной пользовательской сессии. На основе этих данных он определяет типичное и нетипичное поведение пользователя. Если поведение в рамках сессии показалась ему нетипичной, МЭ может заблокировать трафик.
Получается, решение об одобрении или блокировке входящего трафика принимается не только на основании заданных администратором правил, но и с учетом контекста — сведений, полученных из предыдущих сессий. Брандмауэры с отслеживанием состояния сеансов считаются гораздо более гибкими, чем классические межсетевые экраны.
Пользователям Nix* и BSD* систем
Сказанное ниже будет полезно не только пользователем открытых ОС, но и тем, кто хочет более подробно разобраться в том как, собственно, происходит организация фильтрации сетевого трафика.
Все открытые ОС имеют в своем составе netfilter, правила фильтрации сетевого трафика которого выполняется либо в командной строке, либо правкой конфигурационных файлов.
Что же можно реализовать при помощи этого приложения?
-
, а также протоколы передачи данных
- заблокировать или разблокировать определенные хосты, MAC и IP адреса
- настроить NAT (раздачу интернета в локальной сети)
- защититься от DdoS атак, брутфорса и спуфинга
- ограничить сетевую активность приложениям, пользователям и т.д
Как видно, возможностей у пользователя Nix* систем больше и связано это именно с открытостью самого netfilter, а также полного контроля над конфигурационным файлом.
Основной утилитой, которая используется для управления фильтром является iptables и именно на ее примере и рассмотрим настройку.
По умолчанию, правила фильтрации при первом запуске отсутствуют. Примеры с самыми простыми настройками (примерно соответствующими политике безопасности Windows) имеются в дополнительных файлах с расширением, как правило, .example, simple и т. д.
Самый простой пример фильтрации трафика:
-A INPUT -m conntrack —ctstate RELATED,ESTABLISHED -j ACCEPT
Разрешает входящий трафик для уже установленного соединения, но при этом может параллельно пройти и «левый» трафик. Для того, чтобы его отсечь необходимо добавить:
sudo iptables -A INPUT -m conntrack —ctstate INVALID -j DROP
Таким образом создано первое и второе правила фильтрации трафика. Полное описание можно посмотреть в инструкции по настройке iptables или подобного софта.
▍7.4.2.1. Команды
Вот основные опции, предназначенные для работы с цепочками:
- -L chain : выводит правила в цепочке. Обычно эту опцию используют с опцией -n для отключения разрешения имён (например, команда iptables -n -L INPUT выведет правила, относящиеся ко входящим пакетам).
- -N chain : создаёт новую цепочку. Новые цепочки создают, преследуя множество целей, в том числе — для тестирования новых сетевых служб и для предотвращения сетевых атак.
- -X chain : удаляет пустую или неиспользуемую цепочку (например — iptables -X ddos-attack ).
- -A chain rule : добавляет правило в заданную цепочку. Помните о том, что правила обрабатываются, начиная с головы цепочки, учитывайте это, добавляя к цепочкам новые правила.
- -I chain rule_num rule : вставляет правило перед правилом, заданным с помощью аргумента rule_num . Как и в случае с опцией -A , помните о порядке обработке правил, добавляя в цепочку новое правило.
- -D chain rule_num (или -D chain rule ): удаляет правило из цепочки. Первый вариант использования идентифицирует удаляемое правило по номеру (команда iptables -L --line-numbers позволяет вывести эти номера). Второй вариант позволяет идентифицировать правило по его содержимому.
- -F chain : сбрасывает цепочку (удаляет из неё все правила). Например, для того, чтобы удалить все правила, связанные с исходящими пакетами, можно воспользоваться командой iptables -F OUTPUT . Если при использовании этой опции не указаны конкретные цепочки, будут удалены все правила в таблице.
- -P chain action : позволяет задать действие по умолчанию, или «политику» для заданной цепочки. Обратите внимание на то, что только стандартные цепочки могут иметь политику. Например, для того, чтобы по умолчанию отбрасывать весь входящий трафик, можно воспользоваться командой iptables -P INPUT DROP .
Аппаратный межсетевой экран
Аппаратный МЭ – это, как правило, специальное оборудование, составляющие которого (процессоры, платы и т.п.) спроектированы специально для обработки трафика.
Работает они на специальном ПО — это необходимо для увеличения производительности оборудования. Примерами аппаратного межсетевого экрана выступают такие устройства, как Cisco ASA, FortiGate, Cisco FirePower, UserGate и другие.
Аппаратные МЭ более мощные по сравнению с программными, однако это влияет на стоимость решений. Нередко она в разы выше, чем у программных аналогов.
E-mail security
Данная служба включает в себя антиспам и проверку на фишинговые вложения.
В качестве инструментов в настройках "Anti-Spam" доступно:
- «белый список» — "White List", чтобы определять и пропускать полезную почту от доваренных отправителей.
- «черный список» — "Black List" для выявления и обработки спама;
- также возможна проверка электронной почты на наличие в «черных списках» DNS (DNSBL),
Примечание. DNSBL — это базы данных, где указываются домены и IP адреса подозрительных серверов. Существует большое число серверов DNSBL которые отслеживают IP адреса почтовых серверов, имеющих репутацию источников спама и заносят их в свои базы данных.
Что такое система фильтрации сетевого трафика и зачем она необходима?
Фильтрация трафика предполагает (и реализует) организацию от различного вида web-угроз — начиная от простого «прощупывания» системы до атак, организуемых с целью похищения информации.
Казалось бы — что можно похитить с домашней станции? Да те же данные банковских карт оплаты, ведь все большее количество пользователей совершает покупки в сети, не задумываясь о том, что данные, введенные во время совершения транзакции остаются в системе. А опытному взломщику, проникнув в систему не составит большого труда «слить» их и использовать по своему усмотрению. А еще есть конфиденциальная переписка, фотографии и т. д.
Наличие системы фильтрации трафика обеспечит:
- защиту от ddos-атак, спуфинга, «нулевого дня», скрытой установки шпионских программ и т.п
- обнаружение и защиту от слежения за активностью пользователя
- защиту от посещения зараженных сайтов
- блокирование посещения нежелательных сайтов или ссылок на них
- защиту от проникновения извне
Если сравнить страницы сайтов, разработанные, скажем, даже 3-5 лет назад и сейчас, то мы увидим, что количество кода увеличилось и, причем, весьма значительно. Да, расширение и утяжеление страниц необходимо, особенно в свете того, что страницы стали динамическими, ориентированными на работу с различными, в том числе и мобильными устройствами, а также предоставляют большое количество онлайн-сервисов.
Именно наличие массивного кода позволяет злоумышленнику незаметно разместить всего несколько строк (в простых случаях) для атаки, причем работа этого кода может остаться незаметной.
Итак, как видно из всего вышесказанного — фильтрация трафика необходима. Пропуская безопасное содержимое, фильтр отсекает все (или почти все) внешние угрозы.
Правила МЭ
Сетевой трафик, проходящий через брандмауэр, сопоставляется с правилами, чтобы определить, пропускать его или нет.
Правило межсетевого экрана состоит из условия (IP-адрес, порт) и действия, которое необходимо применить к пакетами, подходящим под заданное условие. К действиям относятся команды разрешить (accept), отклонить (reject) и отбросить (drop). Эти условия указывают МЭ, что именно нужно совершить с трафиком:
Для лучшего понимания рассмотрим пример. Допустим, у нас есть три правила:
- Разрешить доступ всем IP-адресам, которые принадлежат отделу маркетинга, на 80-й порт.
- Разрешить доступ всем IP-адресам, которые принадлежат отделу системного администрирования.
- Отклонить доступ всем остальным.
Так выглядит правило разрешить доступ на 80-й порт всем сотрудникам отдела маркетинга на устройстве FortiGate.
Механизмы защиты межсетевых экранов
Теперь, когда мы обсудили отличия между маршрутизаторами и сетевыми экранами, а также между различными типами межсетевых экранов — самое время поговорить о методах поддержания требуемого уровня безопасности. Какие этапы защиты, через которые проходит трафик, помогают поддерживать сеть в безопасности?
Настройка фильтрации в роутере
Практически все роутеры имеют подобную, рассмотренной выше, настройку файервола. Плюсом является возможность прописать правила не в конфигурационных файлах, а используя web-интерфейс.
Для того, чтобы поставить защиту на роутер, необходимо найти вкладку «Файервол» и активировать его включение. После чего можно заняться более тонкой настройкой, например, открыв или закрыв определенные порты.
Так для серфинга необходимо оставить открытым 80 порт, для SSL соединения — 443.
Ниже представлен список наиболее востребованных в повседневной работе портов:
80-83, 443 — браузеры
25, 110, 143 — почта
Стоит отметить, что многие программы используют нестандартные порты, поэтому их открытие необходимо контролировать вручную.
И в заключение список портов, которые можно закрыть:
135-139 — net bios
113, 5000, 5554, 9996, 18350 — наиболее часто атакуемые.
После настроек файервола в Windows скриншот отключенного файервола — малость неразумно. Что касается закрытия портов — правильно закрывать внутрь всё вообще, так как система пользователя по умолчанию не содержит на себе служб, к которым кто-то должен подключаться извне. В общем списке исключением является торрент-клиент, у кого он установлен.
По поводу портов наружу — правильно открывать как минимум:
— 53 udp — DNS, иначе открытый интернет будет почти бесполезен;
— 80 tcp, 443 tcp — обычный веб-серфинг;
— 465 tcp, 993 tcp, 587 tcp — защищенная почта (соответственно SMTP/S, IMAP/S, POP3/S);
— если нет защищенной, тогда открывать 25 и 110 порты, соответственно SMTP и POP3, плюс порт для IMAP. В обоих случаях на клиенте надо включать SSL или TLS;
— если очень надо, то 3389 tcp — RDP, либо 22 tcp — SSH, смотря по тому, к какой системе пытаетесь подключиться;
— 1701 udp — L2TP-VPN, по нынешним временам довольно часто бывает нужен, либо 443 tcp для OpenVPN/SSL VPN;
— ICMP (отдельный протокол), для проверки доступности (ping, tracert/traceroute).
А ещё — странно, что пропущен важный пункт: Не работать из-под администратора (рута для *nix) в интернете!
У меня стоит антивирус Eset и мне рекомендовали вообще отключить фильтрацию Windows для лучшей работы антивируса. Получается, что это ставит компьютер под угрозу, а не помогает улучшить работу антивируса?
Представляем вашему вниманию продолжение перевода главы 7 книги «Kali Linux Revealed». В прошлый раз речь шла о политиках безопасности и о защите компьютеров и сетевых служб. Этот материал включает в себя перевод раздела 7.4, который посвящён файрволу и фильтрации пакетов.
SSL Inspection
Позволяет проверять трафик, зашифрованный по протоколу SSL для того, чтобы остальные профили МСЭ могли раскрывать пакеты и работать с SSL трафиком как с незашифрованным. Когда информационный поток защищен от внешнего доступа при помощи шифрования, то и проверить его не представляется возможным — для этого тоже нужен доступ к его содержанию. Поэтому на этапе проверки трафик расшифровывается, прочитывается системой контроля и повторно шифруется, после чего передается в пункт назначения.
С одной стороны, внешне это напоминает атаку man-in-middle, что выглядит как нарушение системы защиты. С другой стороны, SSL шифрование защищает не только полезную информацию, но и всевозможные нарушения корпоративной безопасности. Поэтому применение SSL Inspection на этапе санкционированной проверки выглядит весьма оправданным.
Межсетевой экран следующего поколения (NGFW)
Next-generation firewall (NGFW) – файрвол следующего поколения. Его ключевая особенность в том, что он может производить фильтрацию не только на уровне протоколов и портов, но и на уровне приложений и их функций. Это позволяет успешнее отражать атаки и блокировать вредоносную активность.
Также, в отличие от межсетевого экрана типа Unified threat management, у NGFW есть более детальная настройка политик безопасности и решения для крупного бизнеса.
Unified threat management, или универсальный шлюз безопасности
Такие межсетевые экраны включают в себя антивирус, брандмауэр, спамфильтр, VPN и систему IDS/IPS (системы обнаружения и предотвращения вторжений), контроль сеансов.
Основное преимущество данной технологии в том, что администратор работает не с парком различных устройств, а использует единое решение. Это удобно, так как производитель предусматривает централизованный интерфейс управления службами, политиками, правилами, а также дает возможность более «тонкой» настройки оборудования.
Архитектура UTM.
В UTM-устройство входят несколько видов процессоров:
- процессор общего назначения, или центральный процессор,
- процессор обработки данных,
- сетевой процессор,
- процессор обработки политик безопасности.
Процессор общего назначения похож на процессор, установленный в обычном ПК. Он выполняет основные операции на межсетевом экране. Остальные виды процессоров призваны снизить нагрузку на него.
Процессор данных отвечает за обработку подозрительного трафика и сравнения его с изученными угрозами. Он ускоряет вычисления, происходящие на уровне приложений, а также выполняет задачи антивируса и служб предотвращения вторжений.
Сетевой процессор предназначен для высокоскоростной обработки сетевых потоков. Основная задача заключается в анализе пакетов и блоков данных, трансляции сетевых адресов, маршрутизации сетевого трафика и его шифровании.
Процессор обработки политик безопасности отвечает за выполнение задач антивируса и служб предотвращения вторжений. Также он разгружает процессор общего назначения, обрабатывая сложные вычислительные задачи.
Программный межсетевой экран
Программный МЭ – это программное обеспечение, которое устанавливается на устройств, реальное или виртуальное.
Через такой межсетевой экран перенаправляется весь трафик внутрь рабочей сети. К программным относятся брандмауэр в Windows и iptables в Linux.
Программные МЭ, как правило, дешевле и могут устанавливаться не только на границах сети, но и на рабочих станциях пользователей. Из основных недостатков — более низкая пропускная способность и сложность настройки в ряде случаев.
Firewall
Данный сервис перешел «по наследству» от маршрутизаторов. При помощи файрвола отслеживаются и блокируются нежелательные адреса, закрываются порты, анализируются другие признаки пакетов, по которым можно «вычислить» нежелательный трафик. На этом этапе происходит отражения большого числа угроз, таких как попытки соединиться с общедоступными TCP портами, бомбардировка пакетами с целью выведения системы из строя и так далее.
7.4.2. Синтаксис команд iptables и ip6tables
Команды iptables и ip6tables используются для работы с таблицами, цепочками и правилами. Их опция - t table позволяет указать таблицу, с которой планируется работать (по умолчанию это таблица filter ).
Intrusion Detection/Prevention Service
Системы обнаружения вторжений Intrusion Detection System, IDS, давно нашли применение в межсетевых экранах. Данная функция предназначена для сетевого мониторинга, анализа и оповещения в случае обнаружения сетевой атаки. Механизм IDS основывается на определённом шаблоне и оповещает при обнаружении подозрительного трафика. К сожалению, IDS сами по себе не в состоянии остановить атаку, они лишь оповещают о ней.
А вот система предотвращения вторжений — Intrusion Prevention Service, IPS, является определенным шагом вперед и, помимо обнаружения нежелательного трафика, способна сама блокировать или отбрасывать нежелательные пакеты. Тем самым предотвращая попытки взлома или просто нежелательные события.
Для обеспечения работы IPS — используются специальные сигнатуры, благодаря которым можно распознавать нежелательный трафик и защищать сеть как от широко известных, так и от неизвестных атак. Помимо предотвращения вторжения и распространение вредоносного кода, IPS позволяет снизить нагрузку на сеть, блокируя опасный или попросту бесполезный трафик. База данных IPS включает информацию о глобальных атаках и вторжениях, собранную на публичных или специализированных закрытых сайтах, что позволяет обнаружить сетевые атаки при минимальном количестве ошибочных срабатываний.
Что такое межсетевой экран
Межсетевой экран (МЭ, брандмауэр или Firewall) представляет собой программно-аппаратный или программный комплекс, который отслеживает сетевые пакеты, блокирует или разрешает их прохождение. В фильтрации трафика брандмауэр опирается на установленные параметры — чаще всего их называют правилами МЭ.
Современные межсетевые экраны располагаются на периферии сети, ограничивают транзит трафика, установку нежелательных соединений и подобные действия за счет средств фильтрации и аутентификации.
Принцип работы межсетевого экрана
Организация фильтрации трафика
Есть несколько способов организовать фильтрацию интернет трафика на домашней станции.
Первый и самый простой — используя софт, предоставляемый самой операционной системой.
Пользователям Windows
На этапе установки этой операционной системы пользователю предлагается включить защиту, которую большинство установщиков игнорируют. Именно встроенный брандмауэр Windows позволяет обеспечить почти полную защиту трафика от внешних угроз.
Для включения и настройки фильтрации ip трафика необходимо перейти в само приложение в панели управления и выбрать пункт «Включение и отключение брандмауэра Windows».
О том, как создавать правила при помощи командной строки — тема отдельного разговора. Здесь же рассмотрим минимально необходимую настройку, позволяющую обеспечить минимальный, но действенный уровень безопасности.
Пользователю сразу же предлагается активировать рекомендуемые параметры, а также осуществить более тонкую настройку, например разрешить определенную сетевую активность для списка приложений. Для этого необходимо перейти на вкладку управления программами и отметить те, которым разрешаем обмениваться трафиком в сети.
Если перейти на вкладку дополнительных настроек, то можно дополнительно настроить правила подключения, создать свои правила и включить проверку подлинности.
В большинстве случаев такой настройки достаточно.
Маршрутизатор
В самом названии маршрутизатор заключена расшифровка его предназначения.
В классическом (академическом) представлении маршрутизатор нужен для трансляции пакетов между раздельными IP сетями. Это решает вопрос объединения разрозненных LAN и предотвращения роста широковещательного трафика в одной большой локальной сети разделением её на сегменты. Разумеется, для правильного перенаправления трафика необходимо знать, куда его отправлять, то есть выстраивать маршрут (автор благодарит «Капитана Очевидность» за точную формулировку).
Современные модели маршрутизаторов работают выше 3-го уровня модели OSI. Помимо трансляции IP пакетов из одной сети в другую, эти устройства часто имеют функции управления трафиком, например, возможность закрывать/открывать TCP или UPD порты, выполнять функции Port Address Translation, PAT (иногда называется Destination NAT, DNAT) и так далее. Также для работы некоторых протоколов необходимо, чтобы маршрутизатор умел работать как Application-level gateway, ALG, для обеспечения работы таких протоколов как: PPTP, IPsec, RTSP, SIP, H.323, SMTP, DNS, TFTP.
Маршрутизатором может быть и старый компьютер с настроенной таблицей маршрутов, и специализированное сетевое устройство, которое только и делает, что анализирует простейшие условия вроде списков ACL и перебрасывает пакеты из одной сети в другую.
В частности, маршрутизаторы в виде отдельных устройств применяются, если требуется не только логическое (VLAN) но и физическое разделение на подсети. Например, нужно отделить сеть кампуса, где живут студенты, от университетской сети, где идут исследования.
В современных локальных сетях вместо маршрутизаторов в виде отдельных устройств часто используются коммутаторы L3, позволяющие управлять VLAN, и соответственно, отдельными подсетями.
Пример из практики. Сеть небольшого предприятия, где в качестве ядра сети использовался Cisco Catalyst 3750. Согласно требованиям безопасности, коммутаторы уровня доступа были настроены по принципу: один коммутатор — одна подсеть — один VLAN. Для удешевления проекта выбрали свичи от 3Com. Проще говоря, каждый 3Com был подключен строго в одном VLAN и в одной подсети, а пакеты между подсетями ходили через Catalyst.
С задачей маршрутизацией между VLAN вполне справится L3 коммутатор Zyxel XGS4600-32. Помимо перенаправления пакетов он обладает ещё множеством полезных функций.
Рисунок 1. Коммутатор Zyxel XGS4600-32 L3 с функциями маршрутизатора.
Итоги
Сегодня мы поговорили о работе со встроенным в ядро Linux файрволом netfilter , обсудили особенности управления трафиком IPv4 и IPv6 с использованием команд iptables и ip6tables . Мы рассмотрели графическое средство для создания правил fwbuilder и показали, как автоматически задавать правила при загрузке системы. В следующий раз мы поделимся с вами переводом раздела 7.5, который посвящён мониторингу Kali Linux.
В тексте определим базовое понятие межсетевого экрана и на примерах рассмотрим его функции и виды.
7.4. Файрвол или фильтрация пакетов
Файрвол — это компьютерное оборудование, которое может быть представлено в виде программного, аппаратного, или программно-аппаратного комплекса. Файрвол обрабатывает входящие и исходящие сетевые пакеты (поступающие в локальную сеть или покидающие её) и пропускает лишь те из них, которые соответствуют неким предопределённым правилам.
Фильтрующий сетевой шлюз — это разновидность файрвола, который защищает всю сеть. Обычно его устанавливают на выделенном компьютере, настроенном как шлюз для сети. В результате этот компьютер может обрабатывать все пакеты, которые пересекают границу между сетью и внешним миром. Как вариант, локальный файрвол — это программная служба, которая работает на конкретной машине для того, чтобы ограничивать доступ к неким службам на этой машине, или, возможно, для предотвращения исходящих соединений, инициируемых нежелательным программным обеспечением, которое пользователь компьютера может, намеренно или случайно, установить.
В ядре Linux имеется встроенный файрвол netfilter . Требования различных сетей и пользователей неодинаковы, поэтому не существует стандартного подхода к настройке файрвола, позволяющего получить готовое решение на все случаи жизни. Управлять файрволом netfilter можно из пространства пользователя с помощью команд iptables и ip6tables . Разница между этими двумя командами заключается в том, что первая предназначена для сетей IPv4, вторая — для сетей IPv6. Так как оба стека протоколов, вероятно, будут в ходу ещё многие годы, оба инструмента следует использовать совместно. Кроме того, тут можно применить отличную программу fwbuilder , которая даёт графические инструменты для построения и представления правил фильтрации трафика.
Как бы вы ни решили настраивать netfilter — это стандартный файрвол Linux, поэтому взглянем поближе на то, как он работает.
IP Reputation
Это облачное расширение функций обычного файрвола и безусловный шаг вперед. Дело в том, что в обычной ситуации система ничего не знает об источнике или приемнике (в зависимости от типа трафика). Если это явно не прописано в правилах файрвола, например, «Запретить», то трафик будет проходить, пусть даже от самых вредоносных сайтов. Функция IP Reputation позволяет проверить, является ли IP-адрес подозрительным или «засветился» в той или иной базе данных по проверке репутации. Если со стороны базы данных поступили сведения о плохой репутации IP адреса, то появляется возможность для маневра: оставить прохождение трафика без изменений, запретить полностью или разрешить при определенном условии.
Проверка происходит быстро, потому что отправляется только сам IP адрес и короткий запрос, ответ также приходит в крайне лаконичной форме, что не оказывает сильного влияние на объем трафика.
7.4.4. Применение правил при каждой загрузке системы
Для того, чтобы применять правила файрвола каждый раз, когда система загружается, нужно зарегистрировать конфигурационный скрипт в директиве up файла /etc/network/interfaces . В следующем примере скрипт хранится по адресу /usr/local/etc/arrakis.fw .
В этом примере предполагается, что вы используете для настройки сетевых интерфейсов ifupdown . Если вы используете другие инструменты (вроде NetworkManager или systemd-networkd ), обратитесь к их документации для того, чтобы выяснить способы выполнения скрипта после включения интерфейса.
▍Логическое отрицание условий
Если поставить перед условием восклицательный знак, это приведёт к трансформации его в обратное условие. Например, восклицательный знак в условии опции -p позволяет построить выражение следующего вида: «любой пакет с протоколом, отличающимся от заданного». Этот механизм логического отрицания можно применить и к любым другим условиям.
Условие вида -s address или -s network/mask позволяет фильтровать пакеты по адресу их источника. Соответственно, условия -d address или -d network/mask позволяют системе реагировать на адреса пунктов назначения пакетов.
Условие вида -i interface реагирует на пакеты, которые приходят с указанного сетевого интерфейса. Условие -o interface позволяет отбирать пакеты, которые уходят на заданный интерфейс.
Условие --state state фильтрует пакеты по их состоянию в соединении (применение этого условия требует наличия модуля ядра ipt_conntrack для отслеживания соединений). Так, состояние NEW описывает пакет, запрашивающий новое соединение, ESTABLISHED — пакет, принадлежащий существующему соединению, RELATED — описывает пакет, инициирующий новое соединение, являющееся частью уже существующего соединения (анализ этого состояния полезен для соединений ftp-data в «активном» режиме протокола FTP).
У команд iptables и ip6tables есть множество опций, овладение ими требует серьёзного подхода к их изучению и опыта. Однако, одна из опций, которую вы будете использовать чаще всего — та, которая предназначена для блокировки нежелательного сетевого трафика от некоего хоста или диапазона хостов. Например, для того, чтобы «бесшумно» заблокировать входящий трафик с IP-адреса 10.0.1.5 и подсети класса C 31.13.74.0/24, нужно сделать следующее:
Считается полезным, для поддержания здоровой атмосферы в системе, убирать старые или неиспользуемые правила. Самый простой способ удаления правил iptables заключается в обращении к правилам по номеру строки, который можно получить с помощью опции --line-numbers . Однако, тут стоит проявлять осторожность, так как удаление правила приведёт к изменению номеров всех правил, расположенных ниже его в цепочке:
Существуют и более специфические условия, зависящие от общих условий, описанных выше. Подробнее об этом можно посмотреть в man ( iptables(8) и ip6tables(8) ).
Основные функции Next-generation firewall
Расскажем про основные функции безопасности для всех NGFW.
Deep Packet Inspection (DPI) – технология, выполняющая детальный анализ пакетов. В отличие от правил классического межсетевого экрана данная технология позволяет выполнять анализ пакета на верхних уровнях модели OSI. Помимо этого, DPI выполняет поведенческий анализ трафика, что позволяет распознавать приложения, которые не используют заранее известные заголовки и структуры данных.
Intrusion Detection System/ Intrusion Prevention System (IDS/IPS) — система обнаружения и предотвращения вторжений. Межсетевой экран блокирует и фильтрует трафик, в то время как IPS/IDS обнаруживает вторжение и предупреждает системного администратора или предотвращает атаку в соответствии с конфигурацией.
Антивирус. Обеспечивает защиту от вирусов и шпионского ПО в реальном времени, определяет и нейтрализует вредонос на различных платформах
Фильтрация по URL, или веб-фильтр, — возможность блокировки доступа к сайтам или другим веб-приложениям по ключевому слову в адресе.
Инспектирование SSL. Позволяет межсетевому экрану нового поколения устанавливать SSL-сессию с клиентом и сервером. Благодаря этому существует возможность просматривать шифрованный трафик и применять к нему политики безопасности.
Антиспам — функция, которая позволяет защитить корпоративных пользователей от фишинговых и нежелательных писем
Application Control. Используется для ограничения доступа к приложениям, их функциям или к целым категориям приложений. Все это задействует функции отслеживания состояния приложений, запущенных пользователем, в режиме реального времени.
Web Application Firewall — совокупность правил и политик, направленных на предотвращение атак на веб-приложения
Аутентификация пользователей — возможность настраивать индивидуальные правила под каждого пользователя или группу.
Sandboxing. Метод, при котором файл автоматически помещается в изолированную среду для тестирования, или так называемую песочницу. В ней можно инициализировать выполнение подозрительной программы или переход по URL, который злоумышленник может прикрепить к письму. Песочница создает безопасное место для установки и выполнения программы, не подвергая опасности остальную часть системы.
Изолированная защита очень эффективна в работе с так называемыми угрозами нулевого дня. Это угрозы, которые ранее не были замечены или не соответствуют ни одному известному вредоносному ПО. Несмотря на то, что обычные фильтры электронной почты могут сканировать электронные письма для обнаружения вредоносных отправителей, типов файлов и URL-адресов, угрозы нулевого дня появляются постоянно. Традиционные средства фильтрации могут их пропустить.
7.4.1. Как работает netfilter
Netfilter использует четыре таблицы, которые хранят правила, регулирующие три вида операций над пакетами:
- filter : касается правил фильтрации (принять, отклонить, или проигнорировать пакет);
- nat (Network Address Translation): касается трансляции адресов источника, получателя, или портов пакета;
- mangle : касается других изменений IP-пакетов (включая поля и параметры ToS — Type of Service);
- raw : позволяет выполнять ручные модификации пакетов до того, как они дошли до системы отслеживания соединения.
Таблица filter содержит три стандартные цепочки:
Рис. 7.1. Цепочки netfilter
Каждая цепочка представляет собой список правил. Каждое правило — это набор условий и действий, которые должны быть выполнены при соблюдении соответствующих условий. В процессе обработки пакета файрвол просматривает подходящую цепочку, правило за правилом, и, когда условия для некоего правила выполняются, он «перепрыгивает» (отсюда и опция -j — от слова «jump») к заданному действию для продолжения обработки пакета.
Наиболее распространённые шаблоны поведения стандартизированы, для них существуют выделенные действия. Выполнение одного из этих стандартных действий прерывает проход по цепочке, так как судьба пакета уже предопределена (это не касается упомянутых ниже исключений). Вот список действий netfilter :
Использование прокси в качестве межсетевого экрана
Прокси-сервер контролирует трафик на последнем уровне стека TCP\IP, поэтому иногда его называют шлюзом приложений. Принцип работы заключается в фильтрации данных на основании полей заголовков, содержимого поля полезной нагрузки и их размеров (помимо этого, задаются дополнительные параметры фильтрации).
Прокси-серверы осуществляют фильтрацию одного или нескольких протоколов. Например, наиболее распространенным прокси-сервером является веб-прокси, предназначенный для обработки веб-трафика.
Такие серверы используются для следующих целей:
- обеспечение безопасности — например, для защиты вашего веб-сайта или пользователей от посещения сторонних сайтов,
- повышение производительности сети,
- ускорение доступа к некоторым ресурсам в интернете и др.
Поскольку прокси-серверы предназначены для определенных протоколов/портов, они, как правило, имеют более глубокие и сложные средства управления, чем общие правила безопасности межсетевого экрана.
Помимо веб-прокси, существуют такие прокси-серверы, как DNS, FTP, telnet, SSH, SSL, и другие протоколы.
Основной функцией классического брандмауэра является отслеживание и фильтрация трафика на сетевом и транспортном уровнях модели OSI. В отличие от него прокси-сервер устанавливает связь между клиентом и сервером, тем самым позволяя производить проверку на прикладном уровне, фильтровать запросы на подключение и так далее.
Чаще всего прокси-сервер является дополнением к стандартному межсетевому экрану, а межсетевые экраны нового поколения уже включают в себя все функции прокси-сервера.
▍7.4.2.2. Правила
Каждое правило выражается в виде conditions -j action action_options . Если в одном и том же правиле описаны несколько условий, тогда итоговым критерием является объединение этих условий (по правилам логического И). Результат объединения, как минимум, налагает на правило те же ограничения, что и каждое отдельное условие.
Условие -p protocol соответствует полю протокола IP-пакета. Наиболее часто используемые значения для этого условия — tcp , udp , icmp , и icmpv6 . Это условие может быть дополнено условиями, касающимися TCP-портов, с помощью выражений вида --source-port port и --destination-port port .
Межсетевой экран
Обычный набор встроенных функций МСЭ (межсетевой экран): антивирус, IDP, патруль приложений — позволяет проверять трафик вплоть до 7 уровня OSI. Помимо этого, есть и другие возможности контроля, отсутствующие в обычных маршрутизаторах.
Разумеется, многие межсетевые экраны обладают стандартным «джентльменским набором» типичного маршрутизатора. Но «сила» МСЭ определяется наличием функций по фильтрации и управлению трафиком, а также усиленном аппаратным обеспечением для реализации этих задач.
Стоит отметить, что набор возможностей фильтрации того или иного устройства МСЭ вовсе не означает: «Чем больше функций смогли «накрутить», тем «лучше» межсетевой экран». Основной ошибкой было бы при покупке делать акцент на длине перечня всевозможных «фишек», без учета конкретного предназначения, конструктивных особенностей, параметров быстродействия и других факторов. Все должно быть строго дозировано и сбалансировано без перекосов в сторону «сверхбезопасности» или «суперэкономии».
И тут администратор сети сталкивается с первой проблемой. Если для SOHO сегмента не так уж сложно сформулировать типичный набор требований, то для корпоративного сегмента это требует дополнительной подготовки. Для лучшего удовлетворения нужд бизнеса существуют различные устройства — каждое под свою нишу. Например, для VPN Gateway набор функций по обеспечению безопасности, разумеется, играет большую роль, но основной задачей является все же создание и поддержание работоспособности VPN каналов. В качестве примера такого устройства можно привести ZyWALL VPN1000
Рисунок 2. Межсетевой экран VPN — ZyWALL VPN1000
А вот для Secure Gateway всевозможные фильтры, «Песочница» и другие виды проверок стоят на первом месте. В качестве примера такого специализированного устройства для повышения уровня защиты можно привести ZyWALL ATP800.
Рисунок 3. Межсетевой экран для обеспечения безопасности — ZyWALL ATP800.
Как видно из рисунков, внешний вид подобных устройств может быть весьма схож, а всё отличие заключается внутри — программном и аппаратном обеспечении. Более подробно об можно прочитать в статье «Для тех, кто выбирает межсетевой экран».
В итоге
Мы только поверхностно пробежали по небольшой части функций, которые отличают маршрутизатор от межсетевого экрана. Тем не менее, очевидно, что эти устройства имеют разное предназначение, функции, схемы использования. Эти особенности находят свое отражение как при проектировании новых сетей, так и при эксплуатации уже существующих.
Привет всем! Можно много и отвлеченно рассуждать о преимуществах развития всемирной паутины. Но вот о вопросах безопасности большинство пользователей почему-то не задумываются.
Да, развитие операционных систем предполагает установку разработчиками и более совершенных методов защиты. Но, как правило, они не задействованы на самом деле, учитывая тот факт, что большинство пользователей предпочитает «работу из коробки» – то есть на свежеустановленной системе без каких-либо дополнительных настроек.
А уж вопросами безопасности, как показали последние опросы пользователей, озадачивается и совсем малое количество.
В пределах одной статьи достаточно тяжело обозначить и рассмотреть все методы защиты. Но вот на теме хотя бы минимальной фильтрации трафика, а также как поставить защиту на вай фай роутер, стоит и необходимо остановиться подробнее.
Типы межсетевых экранов
МЭ делятся на два основных типа: аппаратные и программные.
7.4.3. Создание правил
Каждая операция создания правила требует одного вызова команды iptables или ip6tables . Ввод этих команд вручную может оказаться трудоёмкой задачей, поэтому обычно эти команды оформляют в виде скриптов, которые позволяют автоматически настраивать систему так, как это нужно, каждый раз при загрузке компьютера. Подобные скрипты можно писать вручную, но есть и более продвинутый способ, который заключается в использовании программы fwbuilder . Для её установки воспользуйтесь такой командой:
Принципы создания правил в программе просты. Сначала опишите все элементы системы, на которые будут распространены правила, которые вы хотите создать. Среди этих элементов можно отметить следующие:
- Сам файрвол с его сетевыми интерфейсами.
- Сеть и соответствующие ей диапазоны IP-адресов.
- Серверы.
- Порты, принадлежащие службам, работающим на серверах.
Поскольку во внимание принимается и IPv6, можно либо создать два самостоятельных набора правил, для IPv4 и IPv6, либо создать лишь один набор и позволить fwbuilder преобразовать правила в соответствии с адресами, назначенными объектам.
Рис. 7.2. Главное окно fwbuilder
Итогом работы с fwbuilder станет сгенерированный программой скрипт настройки файрвола в соответствии с заданными правилами. Модульная архитектура программы даёт возможность создавать скрипты, рассчитанные на различные системы, в том числе — iptables для Linux, ipf для FreeBSD и pf для OpenBSD.
▍Что такое ICMP?
Например, буфер приёма — это небольшая область памяти, предназначенная для хранения данных после приёма их из сети и до обработки ядром. Если эта память полностью заполнена, новые данные принять невозможно и ICMP сигнализирует о проблеме. В результате источник может снизить скорость передачи данных (которая, через некоторое время, в идеале, должна достигнуть уровня, обеспечивающего баланс между источником и приёмником).
Обратите внимание на то, что хотя сеть IPv4 может работать и без ICMP, поддержка протокола ICMP v6 совершенно необходима для сетей IPv6, так как этот протокол совмещает несколько функций, которые, в сетях IPv4, были распределены между ICMPv4, Internet Group Membership Protocol (IGMP), и Address Resolution Protocol (ARP). ICMPv6 посвящён стандарт RFC4443.
Аренда межсетевого экрана
Для чего нужен межсетевой экран и как он работает
Главная задача МЭ – это фильтрация трафика между зонами сети. Он может использоваться для разграничения прав доступа в сеть, защиты от сканирования сети компании, проведения сетевых атак. Проще говоря, межсетевой экран – это одно из устройств, при помощи которого обеспечивается сетевая безопасность компании.
Читайте также: