Firewall rule что это
ИТ База знаний
Полезно
— Онлайн генератор устойчивых паролей
— Онлайн калькулятор подсетей
— Руководство администратора FreePBX на русском языке
— Руководство администратора Cisco UCM/CME на русском языке
— Руководство администратора по Linux/Unix
Навигация
Серверные решения
Телефония
FreePBX и Asterisk
Настройка программных телефонов
Корпоративные сети
Протоколы и стандарты
Что такое Firewall?
Очень простыми словами
Sup! Сейчас я объясню тебе, что такое фаэрволл, он же брандмауэр и межсетевой экран. Давай сразу учиться говорить правильно!
Онлайн курс по Кибербезопасности
Изучи хакерский майндсет и научись защищать свою инфраструктуру! Самые важные и актуальные знания, которые помогут не только войти в ИБ, но и понять реальное положение дел в индустрии
Видео: Что такое Firewall? | Простыми словами за 5 минут
Почему он так странно называется?
Всё дело в том, что это название пришло в мир сетевых технологий откуда бы вы, думали? Из пожарной безопасности, где фаэрволлом называется стена здания, из негорючих материалов, предназначенная для препятствования распространению огня на соседние части здания или другие строения. Фаэрволл, наряду с коммутаторами и роутерами является активным сетевым устройством и обеспечивает безопасность инфраструктуры.
Он работает на 3 уровне модели OSI и защищает локальную сеть от неавторизованного доступа из внешних недоверенных сетей, таких как например этот ваш Интернет.
В Интернете полно ужасов, там много хакеров, вредоносных файлов и ресурсов, там постоянно кто-то кого-то пытается взломать и происходят всякие кибератаки. Мы же не хотим, чтобы всё это беспрепятственно проникало в нашу сеть? В то же время, мы хотим, чтобы нормальный трафик мог свободно как входить в нашу сеть, так и покидать её.
Тут нам и помогает Firewall. Он блокирует нежелательный трафик (как на вход, так и на выход) и пропускает разрешенный трафик.
Делает он это с помощью специальных правил, которые называются списками контроля доступа или ACL.
Рассмотрим простенький пример
Допустим сисадмин не нашёл ответа на свой вопрос в нашей базе знаний wiki.merionet.ru и решил заблочить её на фаэрволле для всего IT отдела, который живет в подсети 10.15.15.0/24.
Для этого он создал примерно такой ACL:
Теперь инженер Фёдор с адресом 10.15.15.5 не может прочитать как настроить BGP на нашем ресурсе. В тоже время для отдела разработки, живущего в подсети 10.15.20.0/24 таких запретов нет, поэтому разработчик Илья спокойно может читать наши статьи дальше.
Stateful фаэрволлы более крутые. Они понимают весь контекст траффика и следят за состоянием соединения.
Если Stateful фаэрволл получает пакет, он также проверяет метаданные этого пакета, такие как порты и IP-адреса, принадлежащие источнику и получателю, длину пакета, информацию уровня 3, флаги и многое другое. Таким образом, Stateful фаэрволл анализирует пакет в потоке и может принимать решения основываясь на множестве параметров.
Stateless фаэрволлы более простые, они исследуют каждый пришедший пакет изолированно и принимают решение на основании того, что сказано ACL. А на содержимое пакета и что было до него им пофиг.
Почти во всех остальных случаях фаэрволл защищает всю сеть. Таким образом, обеспечивается двойной уровень защиты, на уровне сети и на уровне хоста.
Кстати, если ты хочешь реально хочешь научиться общаться с сетевыми железками, освоить настройку сетевых протоколов и построить свою собственную сеть, то не пропусти наш большой курс по сетевым технологиям:
Кстати, еще, по промокоду PRIVET_YA_PODSYADU ты получишь скидку 10% на весь ассортимент нашего магазина shop.merionet.ru!
Онлайн курс по Кибербезопасности
Изучи хакерский майндсет и научись защищать свою инфраструктуру! Самые важные и актуальные знания, которые помогут не только войти в ИБ, но и понять реальное положение дел в индустрии
Как фаервол защищает компьютер?
Если вы интересуетесь, как обезопасить компьютер, который имеет выход в интернет, то вероятно задавались вопросом, что такое фаервол.
Фаервол (от английского firewall — противопожарная стена), он же брандмауэр (тот же перевод с немецкого brandmauer), он же межсетевой экран — компонент программного либо программно-аппаратного обеспечения, который фильтрует сетевой трафик, выполняет защитную функцию для фрагментов сети или отдельных узлов.
Его работа напоминает пункт пропуска на границе государства, либо пост охраны при входе на закрытую территорию.
Принцип работы
Брандмауэр можно представить как набор фильтров, через который последовательно проходит трафик. Каждый фильтр проверяет элементы потока на соответствие определенному правилу. Набор правил фильтрации(ruleset) определяет, какой пакет пересечет экран (операция allow – «разрешить»), а какой будет отброшен (операция deny – «отказать» без уведомления, что сервис недоступен, либо reject – «отклонить» с уведомлением).
Отбор пакетов происходит по одному из двух принципов:
Второй принцип дает большую безопасность ценой усложнения администрирования системы.
В зависимости от того, на уровне каких сетевых протоколов работает экран, его можно отнести к одному из следующих типов:
Для брандмауэров может создавать затруднения шифрованный либо тунеллированный трафик, который невозможно проанализировать на соответствие фильтрам. Для подобных случаев самым безопасным решением будет отбрасывать такие данные.
Далее рассмотрим персональные фаерволы, программы, которые устанавливаются на ПК для защиты от сетевых угроз.
Персональные брандмауэры работают по тем же принципам, что и межсетевые, но имеют ряд особенностей:
Примеры известных программ-фаерволов
Операционная система имеет встроенного защитника, а многие антивирусные программы имеют фаервол в составе, но это не помешает вам при желании выбрать, установить и настроить брандмауэр на своё усмотрение.
Популярные бесплатные фаерволы для Windows:
Как настроить брандмауэр для Windows?
Настройка фаервола — комплексная задача, для выполнения которой нужен багаж знаний. Необходимо проработать последовательный набор правил-фильтров, которые могли бы обеспечить защиту и в то же время не мешать работе полезных программ. Каждое правило имеет ряд свойств, и все они должны быть установлены грамотно.
Доступен ряд методов упрощения задачи:
Отдельно разберем, как разрешать доступ для отдельных приложений:
Как отключить брандмауэр в Windows?
При использовании другого полноценного фаервола встроенный можно выключить.
Самый быстрый способ — использовать командную строку:
Если потребуется, команда для включения выглядит так:
netsh advfirewall set allprofiles state on
-Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами.
-Метод защиты одной сети из другой сети. Firewall блокирует нежелательный доступ к защищенной сети, в то же время предоставляя защищенной сети доступ к сетям вне firewall
-Программа защищающая от атак из сети, фильтрует получаемую и отправляемую информацию
думаю хоть одно из определения понять можно)
При этом персональный файрвол обычно не предназначен для использования в качестве межсетевого экрана и не может осуществлять фильтрацию маршрутизируемых и/или транслируемых пакетов, фильтровать пакеты на основе адреса отправителя, использовать различные правила для различных сетевых интерфейсов (обычно в рамках модели персонального файрвола считается, что у компьютера единственный IP-адрес и единственный внешний сетевой интерфейс).
На сегодня одним из самых популярных из таких прогармм является Agnitum Outpost Firewall Pro. Программа на русском. работает незаметно. но каждый раз когда кто-то попытается получить доступ к вашим данным. а через Интернет это сделатьочень легко. то она отсекает, о чем сообщает вам. Либо если вы что-то меняете либо устанавливаете новые программы она спрашивает вас о том разрешаете ли вы установить такую-то программу или нет!
Правда иногда из-за усердной бдительности она принимает всякого рода патчики. кряки или кейгены за вредоносные программы и не дает их скачать или установить, поэтому вы можете их внести в список исключений, либо на время отключить, пока устанавливаете эти программы, иначе она удалит их.
А так, такая программа является обязательной при работе в офисах, в компаниях, чтобы доступ к важной информации был закрыт. А с учетом того, что сейчас в интернете полно программ которые взламывают вашу почту, аськи, или вконтакте, чтобы украсть пароль, прочитать содержимое вашей переписки, либо переговоров по аське. или вконтакте или одноклассниках, то установление файрволла обезопасит вас, и не даст возможность взломать, она заблокирует все попытки.
Так что это весьма полезная программа, но правда с ней нужно научиться правильно работать, вот почему предусмотрен режим обучения, когда сама программа учится у вас какая информация важная, а на какую можно не обращать внимания. Черз неделю десять дней она станет умной, потом в процессе работы вы сами научитесь ее правильно настраивать. После чего вы уже будете намного спокойней, и даже не замечать ее. пока кто-то да не попытается пробраться к вам. Обычно она пишет IP-адрес. по которому можно при желании узнать кто и откуда пытался это сдеалть. Но этим обычно занмиается компетентные органы. Так по IP можно рахыскать владельца письма.
Итак, давайте попробуем разобраться, что же такое firewall и зачем он нужен. Представьте себе, что ваш компьютер это ваша квартира. В квартире есть окна и двери. Я уверен, что все окна и двери вы держите на замке и не думаю, что вы были бы довольны, если бы каждый прохожий мог бы зайти к вам через открытую дверь или влезть через открытое окно. По аналогии, вы должны быть заинтересованы в том, чтобы никто чужой не смог просто так войти в ваш компьютер и взять что ему захочется или удалить какие нибудь важные для вас данные.
На окнах и дверях вашего дома есть замки, вы запираете их и чувствуете себя в безопасности. Если вам нужно выйти или впустить к себе знакомого, вы открываете двери и впускаете или выпускаете нужных вам людей. Установив фаервол, вы можете настроить его таким образом, чтобы он пропускал в интернет или запускал из интернета только те программы, которые вы ему разрешите. Все остальное будет блокировано как на вход так и на выход.
Что такое Firewall
Фактически вы ставите фильтр между вашим компьютером и интернет, который пропускает только нужное и важное для вас, все остальное фильтруется.
Согласно статистике, компьютер, на котором не установлен firewall и который находится в сети, остается не зараженным максимум 2 минуты. По истечении этого времени вы обязательно получите свою порцию вредоносных программ.
Не стоит бояться процедуры установки и настройки, хотя этот тип программ и нельзя назвать простым, большинство из них настраиваются автоматически. Вам нужно будет лишь нажимать на кнопку разрешить или запретить доступ определенной программе.
Создание домашней сети на базе устройств MikroTik: Часть 6 — Firewall защита доступа
Продолжение предыдущих статей по организации единой локальной сети.
В прошлых частях мы с Вами настроили единую локальную сеть через EoIP туннель построенном поверх OpenVPN.
К каким результатам мы пришли:
У нас встает вопрос безопасности нашей локальной сети, ведь китайские боты не спят и постоянно сканируют доступное сетевое пространство на наличие дыр и уязвимостей.
Имея статический IP мы подвержены риску быть взломанными. Т.к. наш статический IP доступен в интернете, он может подвергаться различного рода «атакам из вне».
Поэтому нам нужно сделать так, чтобы только мы могли подключаться к нашим роутерам и другим сервисам в локальной сети.
В принципе жесткую защиту мы делать не будем. У нас ведь не корпоративная сеть, а домашняя. Данной статьей мы попробуем закрыть самые распространенные пробелы в защите нашего роутера и локальной сети в общем. Не будем допускать банальных ошибок.
Организацию удаленного подключения мы рассмотрим в Седьмой статье т.к. эта статья получилась достаточно большой по наполнению.
Ну что, поехали…
За все операции обработки трафика в сетевых устройствах отвечает так называемый «Межсетевой экран» (Eng — Firewall)
Именно он определяет куда отправлять тот или иной пакет, как обрабатывать соединения и многое, многое другое…
Чтобы охватить весь спектр работы Firewall-а не хватит не только одной статьи, но и 10 или 20 статей точно. Настолько велики его возможности и вариации применения.
Кстати это касается не только MikroTik RouterOS, а принципа фильтрации трафика в общем в операционных системах (даже на Windows)!
Официальные данные на MikroTik Wiki: IP/Firewall/Filter [ENG]
Кратко пробежимся по основным вкладкам Firewall:
1 — Filter Rules — тут основные разрешающие и блокирующие правила.
2 — NAT — тут формируются перенаправления трафика.
3 — Mangle — тут происходит маркировка соединений и пакетов, отлов определенного вида трафика для дальнейшей его обработки.
Остальные вкладки пока рассматривать не будем, они нам не пригодятся.
4 — Raw — тут можно правилами отловить паразитный трафик и тем самым снизить нагрузку на CPU. Полезно для смягчения DOS атак.
5 — Service Ports — Для некоторых сетевых протоколов требуется прямое двустороннее соединение между конечными точками. Это не всегда возможно, поскольку трансляция сетевых адресов широко используется для подключения клиентов к сети. Это подменю позволяет настроить «помощники отслеживания соединений» для вышеупомянутых протоколов. Эти «помощники» используются для обеспечения правильного обхода NAT.
6 — Connections — тут отображаются все текущие соединения проходящие через маршрутизатор.
7 — Address List — тут списки адресов брандмауэра позволяют пользователю создавать списки IP-адресов, сгруппированных под общим именем. Затем фильтры брандмауэра, Mangle и NAT могут использовать эти списки адресов для сопоставления пакетов с ними.
8 — Layer7 Protocols — тут можно создавать шаблоны для поиска в потоках ICMP / TCP / UDP. L7 собирает первые 10 пакетов соединения или первые 2KB соединения и ищет шаблон в собранных данных.
Часть терминов может показаться непонятной, но в этом нет ничего страшного, мы будем работать только с первым пунктом Filter Rules. Хотя в нем тоже, очень много вариантов создания правил.
Сразу нужно оговориться, что полной безопасности Вам никто не обеспечит и это важно понимать! Но боятся не стоит, мы ведь не популярная корпорация за которой ведется промышленный шпионаж, нам достаточно превентивных мер ))))
Конфигурация по умолчанию:
На MikroTik Wiki представлена базовая конфигурация в таком виде: Basic universal firewall script [ENG]
Вы можете использовать её или нет )
Я делаю несколько по своему, возможно что-то тут не идеально, и Вы обладая большим опытом подскажите мне в комментариях, как сделать лучше ))
1. Перейдем к созданию правил в Firewall Filter Rules
1.1. Перво наперво нам нужно разрешить уже установленные(Established) и связанные(Related) соединения и сбросить некорректные(Invalid) соединения для проходящих (маршрутизируемых) пакетов в цепочке Forward и предназначенных локальной системе в цепочке Input.
Так мы снизим нагрузку на маршрутизатор обработав эти данные сразу.
Зачем повторно обрабатывать эти соединения если они уже и так установлены или неизвестны. Экономим ресурсы процессора. Т.е. эти правила будут в самом начале нашей таблицы.
1.2. Далее необходимо обеспечить защиту. Продолжим мы с Лимита входящих соединений.
Это даст нам некоторую защиту от DDoS атак.
1.3. Следом идет защита от SYN флуда.
Что это такое можно почитать тут: https://ru.wikipedia.org/wiki/SYN-флуд или в более профильных изданиях.
Защищать мы будем, как проходящий трафик, так и входящий трафик. Путем создания отдельной цепочки SYN-Protect
1.4. Защита от сканеров портов (PSD — Port Scan Detection).
На счет данного правила есть разные мнения, кто-то считает, что оно не нужно, кто-то, что нужно.
Я же предпочитаю немного себя подстраховать. Тем более, что благодаря данному правилу Address Lists заполняется какими-то забугорными IP адресами )
1.5. Защита WinBox порта от перебора.
Логика обработки тут следующая.
1. Когда мы подключаемся к роутеру на порт 8291, то мы имеет состояние соединения new, правило добавляет наш IP в список уровня 1
2. Если мы не авторизовались и отключились, а после снова пытаемся подключиться, то мы опять будем иметь состояние соединения new. При этом наш IP адрес уже будет в Списке 1
Соответственно наш IP попадет в список уровня 2 и т.д до тех пор пока нас не заблокирует Правило 13, и уже после этого Правило 12 не будет нам давать возможность новых подключений к роутеру по порту 8291.
3. А если мы авторизовались, то наше соединение перейдет из состояния new в состояние established и обработка соединения уже будет вестись самым верхним правилом 2, которое нам все разрешает.
По сути у злоумышленника может быть всего четыре возможности Авторизоваться у нас на роутере через порт WinBox
1.6. Защита OpenVPN порта от перебора.
Данная защита делается абсолютно аналогично пункту 1.5.
Единственным отличием будут названия OpenVPN вместо WinBox и входящий TCP порт 1194
Поэтому просто повторяем действия
Консольно:
1.7. Разрешающее правило для прохождения любого трафика по VPN туннелям.
1.8. Разрешающее правило для прохождения только нормальных PING запросов.
1.9. Запрещающее правило
Нормально закрытый Firewall должен обязательно обладать таким правилом. Иначе все бессмысленно.
Выше мы обрабатываем соединения и разрешаем только то, что нам необходимо. Все остальное блокируем.
Это намного правильней, чем Разрешить все и блокировать только нужное Вам. А всего, что нужно заблокировать Вы наверняка не знаете.
2. Для ленивых
Если Вы дочитали до конца, значит у Вас пытливый ум и Вы хорошо представляете с чем столкнулись. Вы молодец.
Еще раз хотелось бы обозначить, что данная конфигурация не является идеальной. Я просто старался показать некоторые способы фильтрации трафика. Вам решать, использовать это у себя простым копипастом или подумать и сделать лучше! Но я уверен, что моё решение тоже не плохое =)
Бонус:
Работая с Firewall на родительском hEx роутере, обнаружил большой объем заблокированного трафика.
Решил посмотреть, в чем дело, включил логирование в правилах и обнаружил интересную ситуацию.
Оказалось, что местный провайдер не закрыл широковещательный трафик службы имен NetBIOS Name Service — UDP порт 137 (Остальные порты и информация: https://ru.wikipedia.org/wiki/NetBIOS)
И какой-то «Сосед» воткнул интернет кабель в простой ПК с Windows, тем самым создав тот самый паразитный трафик. Такие запросы с одного ПК могут занимать около 30 кбит/сек на вашем WAN порту.
Думаю можно себе представить если таких ПК в сети будет 100-150. Написали провайдеру, а пока он латает свои дыры, добавил правило блокировки. Только не в Firewall Filter, а в Firewall Raw.
Данная таблица полезна для уменьшения нагрузки на CPU и позволяет блокировать трафик на этапе Prerouting-а
Вот это правило:
Бонус 2:
Всего хорошего на просторах Интернета 😉
Список всех статей в хронологическом порядке: История статей
UPD 11.10.2018:
Статья обновлена исходя из опыта эксплуатации и дальнейшего перехода на работу со Списками интерфейсов
Для понимания, что это такое, изучите статью MikroTik RouterOS – Списки интерфейсов “Interface List”
UPD 12.08.2019:
В начало статьи добавлена заметка. Ряд читателей почему-то думает, что эта статья это вся настройка Firewall и удивляется, что нет интернета 🙂
Будьте внимательней!
UPD 05.10.2019:
Для тех кого интересует финальный результат и более лучшая защита, то рекомендую после прочтения данной статьи перейти к статье: MikroTik : RouterOS : Стучимся к себе домой. Firewall Filter PortKnocking
UPD: 31.03.2020:
Добавлен «Бонус 2» с правилами для роутера за серым IP провайдера
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
Как управлять сетью — класс решений Firewall management. Часть 1. Skybox
Не можете разобраться, что происходит в сетевой инфраструктуре? Создание Access Control List (ACL) давно стало рутиной, но по-прежнему отнимает очень много времени? Приходится управлять несколькими межсетевыми экранами разных вендоров одновременно? Скоро придет аудитор, чтобы проверить, насколько написанные вами правила доступа соответствуют требованиям регулятора или отраслевому стандарту? Если вы узнали себя хоть в одном вопросе, этот текст для вас.
В общем, добро пожаловать под кат все ищущие унификации в анализе и контроле настроек межсетевых экранов (МСЭ) и сетевых устройств.
Это первая из трех статей цикла обзоров решений класса Firewall management, в котором мы рассмотрим решения Skybox Security, Tufin orchestration suite и AlgoSec.
В каждой более-менее крупной организации существуют (мне очень хочется в это верить) и даже иногда формализованы процессы управления состоянием сети (изменения на сетевых устройствах, изменения топологии сети, контроль доступности сервисов на уровне сети) и управления уязвимостями.
Однако администраторам ИБ и ИТ всё равно приходится сталкиваться с целым рядом проблем.
Проблема 1
Большое количество устройств и правил/политик
В настоящее время в ИТ-инфраструктуре большинства компаний эксплуатируется достаточно много сетевых устройств и межсетевых экранов. Общее количество правил фильтрации, списков контроля доступа и прочих настроек, связанных с обеспечением безопасности и контроля доступа к элементам инфраструктуры, исчисляется тысячами. Эти правила, списки и прочие объекты в процессе эксплуатации значительно разрастаются, начинают дублировать и перекрывать друг друга.
При этом управление оборудованием выполняется с помощью ряда консолей, что значительно усложняет получение единой наглядной картины эффективности действия правил доступа по всей сети. Поэтому оптимизация и анализ правил и прочих объектов в базах устройств доступа «вручную» совершенно неэффективны: через некоторое время вновь возникнет путаница.
Тут можно возразить, что ряд МСЭ проверяют правила до создания, чтобы найти «дублирующиеся» и «перекрывающие». А так на всех устройствах? А позволяют ли они пометить правило, которое специально создано как «дублирующееся» и «перекрывающее»?
Проблема 2 (тесно связана с проблемой 1)
Необходимо регулярно открывать новые доступы на существующих МСЭ, изменять настройки МСЭ
В целом после внедрения любого МСЭ и до момента его вывода из эксплуатации общий перечень выполняемых с этим МСЭ действий выглядит так:
Настройка правил доступа в процессе эксплуатации МСЭ.
Администрирование настроек МСЭ.
Оценка выполненных настроек и соответствия ACL требованиям отраслевых стандартов, лучшим практикам и рекомендациям вендоров МСЭ.
Ресертификация правил доступа (проверка «нужности» правила, продление срока его жизни или удаление).
Каждое действие требует определенного времени на выполнение, а самое главное — времени на трудоёмкий и порой непрозрачный процесс согласования изменений со всеми заинтересованными лицами. Очень часто процесс открытия доступов на сетевом оборудовании (даже если он не задокументирован) ведется в какой-либо внутренней тикет-системе, а это — плюс еще одна «консоль», в которой приходится работать ИТ- и ИБ-администраторам.
Проблема 3
Отсутствие актуальной схемы сети организации
Как бы сетевики ни старались, и как бы ИБэшники ни требовали, очень трудно поддерживать схему сети всей организации актуальной и в едином файле. Логичным выглядит внедрение какой-либо системы, которая сможет подключаться ко всем сетевым устройствам, считывать конфигурации и самостоятельно отрисовывать актуальную схему сети. Но вот найти такое решение, способное поддерживать все наиболее распространённые сетевые устройства, довольно трудно.
Проблема 4
Невозможно адекватно оценить риски изменения каких-либо настроек на сетевом оборудовании (как в правилах доступа, так и в настройках самого сетевого оборудования) ДО момента внесения этих настроек
Например, необходимо открыть доступ по определенному порту (ТСР:443) к определенному серверу (конкретный IP-адрес). Регламенты организации позволяют создавать такое правило, ИТ- и ИБ-администраторы не видят рисков, доступ открывается. Но никто не задумался, что, например, на целевом сервере стоит уязвимый IIS и открытие доступа к серверу по ТСР:443 создает дополнительный вектор для атак.
Проблема 5
Нет возможности проследить весь «путь» трафика
Если, когда нужно открыть доступы, между конечными устройствами (например, между двумя корпоративными серверами) находится больше 3-4 маршрутизирующих устройств, на которых помимо процессов маршрутизации выполняется еще и фильтрация трафика или даже его преобразование (NAT), после создания разрешающего правила требуется проверить, получили ли серверы нужные доступы или нет. И вот если этого доступа они не получили. сетевых администраторов ждёт головная боль: им придётся пытаться определить, на каком же сетевом устройстве трафик отбрасывается или направляется не в ту сторону.
Суммируя вышесказанное, для решения ежедневных задач ИТ- и ИБ-службам требуется инструмент, который позволит:
автоматизировать процесс управления политиками сетевого доступа;
проводить комплексный аудит конфигураций межсетевых экранов и сетевых устройств, в том числе проверять их на соответствие отраслевым стандартам и лучшим практикам информационной безопасности;
визуализировать и поддерживать в актуальном состоянии логическую карту сети организации (уровня L3 модели OSI);
и (опционально) аккумулировать информацию по уязвимостям ИТ-инфраструктуры, определять, насколько злоумышленник может использовать те или иные уязвимости ИТ-активов извне или из внутренней сети компании, а также управлять найденными уязвимостями;
моделировать изменения в существующей сетевой инфраструктуре.
Для решения подобного рода проблем существуют системы класса Firewall Management (FWM, хотя его еще называют Security Posture Management, Security Policy Management и даже Network Security Management).
Важно понимать, что FWM не является ни SIEM, ни NTA, ни Vulnerability scanner, ни чем-либо еще.
Решения этого класса модульные, в них каждый модуль выполняет свою функцию. Далее представлены модули, которые представляют собой основу всех решений направления FWM:
Модуль анализа МСЭ и сетевых устройств — основная неотъемлемая часть решений FWM — предназначена непосредственно для сбора и анализа конфигураций сетевых устройств и устройств безопасности всех основных производителей: Cisco, Check Point, Juniper, Palo Alto, Fortinet, McAfee, Forcepoint, VMware и др.
Сбор конфигураций осуществляется онлайн (информация собирается непосредственно с самих устройств) и/или офлайн (путем загрузки конфигурационных файлов сетевых устройств). При сборе онлайн производится ввод последовательности команд на просмотр (нет-нет, никаких изменений вноситься не будет) и вывод этих команд «забирается» FWM для дальнейшего разбора и анализа.
Также на основании полученных конфигураций строится динамическая карта сети. Эта карта позволяет увидеть, как устроена сеть, проверить доступность хостов между собой с отображением подробной информации, где и какие правила разрешают/запрещают доступ.
Анализ собранных конфигураций МСЭ позволяет:
Найти затененные и избыточные ACL: правила, которые не могут сработать из-за идентичного или более широкого правила, стоящего выше в ACL. Модуль позволяет обнаружить как простые случаи (широкое правило затеняет узкое), так и менее очевидные, когда оценивается влияние целой совокупности правил.
Провести анализ ACL МСЭ на соответствие тем или иным параметрам (например, ANY в двух и более полях правила).
Провести анализ конфигурации устройств на соответствие best practice от производителей.
Проверить соответствие настроенных правил стандартам и требованиям регуляторов (например, PCI DSS или NIST).
Все эти функции составляют некое «ядро» каждого решения класса FWM.
Модуль управления межсетевыми экранами позволяет автоматизировать процесс изменений на МСЭ на всех его этапах: формирования задачи, ее согласования, проектирования решения, внесения изменения, верификации результата. В итоге получаем тикет-систему, созданную специально для подобных задач. Например, на стадии согласования планируемых изменений сотрудник ИБ может запустить автоматическую проверку того, насколько эти изменения соответствуют настроенной политике ИБ, и на основании этого принимать решение о согласовании или отказе. На этапе проектирования администратор может получать рекомендации от модуля FWM о том, каким способом лучше выполнять изменение: на каком устройстве, какое правило добавить/изменить, и даже могут быть сформированы конкретные команды в терминах конечных устройств. К тому же есть возможность настроить систему и на автоматическое применение согласованных изменений на целевые МСЭ.
Но есть и принципиальные различия в назначении некоторых дополнительных модулей разных вендоров (т.е. эти модули не входят в «ядро» решений FWM, но обладают очень полезным сопутствующим функционалом):
Модуль управления приложениями (опциональный модуль) — предназначен для менеджеров корпоративных приложений. Модуль позволяет абстрагироваться от сетевых устройств и задать сетевые требования для распределенных приложений. Например, можно определить сегмент пользователей приложения, сервер приложения, сервер БД, сервер реплики БД, задать, по каким протоколам эти компоненты между собой общаются, и назвать эту конструкцию «интернет-магазин». Далее одним кликом можно сформировать заявку на предоставление необходимого доступа. В дальнейшем все изменения конфигураций сетевых устройств будут проверяться на предмет нарушения доступности приложения.
Модуль приоритизации уязвимостей (опциональный модуль) — обеспечивает контекстное управление уязвимостями. Этот модуль может «наложить» уязвимости на карту сети и определить, какие из найденных уязвимостей могут быть проэксплуатированы злоумышленником, а какие нет. Таким образом выполнится приоритизация уязвимостей, и администратор ИБ может ставить может ставить четкие задачи и адекватные сроки устранения уязвимостей для системных и сетевых администраторов, а не отправлять им необработанную «портянку» всех найденных в IT-инфраструктуре компании дыр.
В этом классе решений на российском рынке наиболее зрелые решения, по нашему скромному мнению, это AlgoSec, Skybox Security и Tufin. Есть и другие решения (из наиболее известных это FireMon Security Manager, ManageEngine Firewall Analyzer, RedSeal), но большого распространения в СНГ они пока что не получили.
Архитектура каждого из решений предельно проста:
коллекторы, выполняющие сбор информации с сетевых устройств и\или систем путем подключения к ним (ssh, telnet, API, подключение напрямую к базе данных и пр.) и выполнения необходимых команд (например, show conf, show routing и пр.). Всю собранную информацию коллекторы парсят и передают на сервер.
сервер, выполняющий сбор и аналитику информации от коллекторов, обеспечивающий интерфейс взаимодействия с администратором и выдающий отчетность.
Каждым решением можно управлять, используя браузер, в некоторых случаях потребуется устанавливать «толстый» клиент.
Схема лицензирования у вышеуказанных решений похожа: нужно лицензировать каждый загружаемый в решение актив (сетевое устройство, МСЭ и пр.).
Давайте теперь предметно разберём каждое из FWM-решений, обсудим специфику их работы и какие проблемы они позволяют решить ИТ и ИБ-администраторам.
Skybox Security
И чтобы эта статья не была похожа на мой диплом, полный воды, принесла как можно больше полезного, сразу предлагаю рассмотреть более детально решение Skybox Security.
Общая архитектурная схема Skybox Security
Skybox может взаимодействовать с большим количеством систем различных типов: межсетевые экраны, IPS, сетевые устройства уровня L3, балансировщики нагрузки, системы патч-менеджмента, системы Threat Intelligence, сканеры уязвимостей и пр. Актуальную информацию о возможных интеграциях Skybox можно найти тут. Обратите внимание, что Skybox умеет интегрироваться и с отечественными решениями: сканером уязвимостей MaxPatrol 8, криптошлюзами Dionix-NX, Континентом 3.9 ЦУС, а с недавних пор (немного похвастаюсь) при нашем содействии еще и с ViPNet Coordinator (for Linux и HW).
Функционал модулей Skybox Security
Network Assurance
Модуль Network Assurance (NA) предназначен для работы с сетевыми устройствами (L3) и может функционировать как самостоятельно, так и в комбинации с другими модулями. Он позволяет выполнять:
Сбор конфигураций со всех поддерживаемых сетевых устройств (L3) и автоматическое построение карты сети на основе данных из собранных конфигурационных файлов и сведений о маршрутизации (в том числе динамические протоколы!). Про карту сети в Skybox и ее назначение можно говорить долго и написать не одну статью. Если кратко, то каждая уважающая себя организация должна хорошо представлять, что она защищает (активы), а также какие есть уязвимые места в этих активах. Инвентаризация сети обычно выполняется CMDB-системами, информацию об уязвимостях приносят сканеры уязвимостей (например, MaxPatrol 8). Однако, чтобы понимать насколько те или иные уязвимости на конкретных активах ДЕЙСТВИТЕЛЬНО критичны, нужно знать может ли злоумышленник до них «дотянуться». Здесь как раз и может помочь Skybox – собрав всю информацию из CMDB (об активах), из сканеров уязвимостей (об уязвимостях на активах) и сетевого оборудования (маршруты, ACL, IPS-сигнатуры), Skybox может построить карту сети, наложить на нее найденные уязвимости в активах и подсказать какие уязвимости нужно закрыть в первую очередь (до которых потенциально может добраться нарушитель).
Пример карты сети в Skybox:
Контроль соответствия конфигураций сетевых устройств заданным стандартам конфигурирования и лучшим практикам производителей, включая локальные принятые правила конфигурирования (например, вы хотите убедиться, что ни на одном устройстве нет локальной учетной записи «administrator», или нужно убедиться, что на всех устройствах Cisco в сети организации установлен определенный NTP и т.д.);
Вычисление и визуализацию на карте сети возможных путей/маршрутов прохождения заданного типа трафика с демонстрацией разрешающих и запрещающих правил/настроек на всех промежуточных L3 устройствах сети для данного пути/маршрута (построив карту сети, Skybox может вычислить пути прохождения трафика самостоятельно и при соответствующем запросе пользователя может показать этот маршрут. При этом, если трафик где-то блокируется, Skybox укажет где именно трафик блокируется и каким именно ACL);
Создание политики сетевого доступа (сетевого сегментирования) и автоматический контроль ее исполнения как в масштабах всей модели сети, так и на уровне настроек отдельных устройств (например, у вас в сети есть сетевые зоны APP, DB, DMZ и другие, вам необходимо точно знать, что везде соблюдаются правила «Из DB в другие зоны запрещены исходящие подключения», «Из APP в DB разрешены исходящие подключения, но из APP в DMZ запрещены», «Из DMZ в APP разрешены исходящие подключения, но только по определенным портам» и пр. Можно эти формальные правила переложить в настройки (хоть регулярными выражениями, хоть обычным указанием зон и параметров взаимодействия этих зон) и внести в Skybox и далее он автоматизировано и регулярно будет выполнять проверку соответствия этим правилам). Пример политик на основе PCI DSS:
Firewall Assurance
Модуль Firewall Assurance (FA) предназначен для работы с межсетевыми экранами, и может функционировать как самостоятельно, так и в комбинации с другими модулями. Межсетевыми экранами для Firewall Assurance могут выступать как непосредственно сами МСЭ, так и другие поддерживаемые сетевые устройства, использующие списки доступа (ACL) и сигнатуры IPS. Модуль осуществляет постоянный мониторинг всех МСЭ на соответствие политикам, оптимизирует правила на этих МСЭ, осуществляет непрерывный мониторинг настроек межсетевых экранов. FA позволяет выполнять:
Автоматический сбор конфигураций МСЭ и непрерывный мониторинг настроек, включая отслеживание всех изменений на МСЭ;
Оптимизацию списков доступа в МСЭ:
2. Выявление редко используемых правил и объектов (если направить syslog из МСЭ в Skybox, на основе статистики использования тех или иных правил или объектов Skybox может выяснить какие именно объекты не используются на МСЭ. В том числе анализируется hitcount для каждого правила). Пример найденных неиспользуемых объектов;
Пример найденных редко используемых объектов:
3. Формирование рекомендаций по оптимизации правил (на основе собранной информации из hitcount каждого ACL и информации из syslog с МСЭ Skybox может предложить, как оптимизировать объект или правило или указать на то, что не используется вовсе);
Контроль соответствия конфигураций МСЭ заданным стандартам конфигурирования и лучшим практикам, включая локальные правила конфигурирования, а также указание причины несоответствия вплоть до конкретных правил на конкретных устройствах (аналогично похожему функционалу в модуле Network Assurance, но только для МСЭ);
Выявление правил, содержащих «any» в 2 или 3 полях, в поле «сервис» и т.д.;
Выявление настроек, противоречащих рекомендациям производителей с точки зрения безопасности;
Выявление настроек, разрешающих передачу паролей в открытом виде (подключение к CLI с использованием telnet) и т.д.;
Пример найденного нарушения политики «Any» в двух и более полях (всегда можно провалиться в каждое правило и увидеть его детали):
Пример встроенных политик написания ACL:
Change Manager
Change Manager (CM) является дополнением к модулю Firewall Assurance (FA), при этом количество лицензий CM всегда должно соответствовать FA. CM позволяет контролировать и автоматизировать процесс изменения правил доступа от заведения заявки до ее выполнения и гарантирует то, что все изменения произведены в полном соответствии с принятым регламентом предоставления сетевого доступа (Workflow). CM позволяет выполнять:
создание Workflow на изменение сетевого доступа за счет встроенной системы заявок или интеграции с внешними тикет-системами с использованием REST или SOAP API (Remedy, OTRS и пр.);
предоставление или изменение сетевого доступа;
периодический пересмотр правил сетевого доступа;
выявление изменений правил и настроек, выполненных без соответствующей заявки или согласования;
автоматическое выделение устройств, на которых необходимо произвести изменения;
формирование рекомендаций по вносимым изменениям конфигураций МСЭ при изменении сетевых доступов;
автоматическое применение планируемых изменений правил МСЭ (не для всех МСЭ, об этом ниже);
автоматическую оценку влияния планируемых изменений на политику сетевого доступа и безопасного конфигурирования, а также (в случае наличия модуля Vulnerability Control) на защищенность ИТ-активов (серверов, компьютеров, сетевых устройств) с точки зрения появления дополнительных уязвимостей, связанных с изменением.
Проще говоря, СМ позволяет визуализировать, оптимизировать процесс изменения ACL на МСЭ, формализовать процесс внесения изменений на МСЭ с отметками о согласовании всех заинтересованных лиц. Пример тикета в СМ (сверху как раз указан типовой Workflow: Request — Technical details — Risk Assessment — Implementation details — Verification. Таких Workflow может быть несколько — каждый под определенные задачи):
CM поддерживает изменение правил доступа на следующем оборудовании:
Добавление правила
Add Rule
Добавление объекта
Add Object
Изменение правила
Modify Rule
Изменение объекта
Modify Object
Удаление / отключение правила
Delete / Disable Rule
Управление глобальными объектами