Безопасность проекта может обрушиться, как в дженге, от одного халатно не закрытого порта. Тысячи ботов обшаривают интернет в поисках таких лазеек, чтобы угнать доступы. Для фильтрации трафика между зонами сети провайдеры внедряют межсетевые экраны (МЭ). Они помогают разграничивать права доступа, защищают от кибератак и сканирования. В пару к этому решению выпустили бесплатный базовый файрвол для всех пользователей.
Рассказываем, как это работает и в чем разница с нашим межсетевым экраном.
Когда вам достаточно базового файрвола
Как и базовая защита от DDoS, файрвол входит в список решений для выделенных публичных VLAN. Решение блокирует нежелательный трафик из публичных сетей и не позволяет ему добраться до серверов.
Инструмент позволяет небольшим проектам не переплачивать за лишнюю функциональность, но обеспечивает базовую безопасность.
Новый stateless-файрвол создается для публичных выделенных подсетей серверов (VLAN). Stateless означает, что файрвол, в отличие от межсетевого экрана Selectel, не поддерживает контроль состояний (stateful). Все изменения контролируются в ручном режиме. То есть, если порт был открыт для решения какой-то разовой задачи, он останется в таком статусе до внедрения новых правил.
Например, нужно развернуть тестовый сервер, чтобы показать клиенту наработки. Все хорошо, но дальше оказывается, что времени переносить dev на прод уже нет, и открытый порт кочует в релиз.
Может показаться, что за несколько дней боты не найдут временно открытый 3306 порт (один из основных в TCP/IP). Но в интернете около 4,2 миллиарда IPv4, а современные сканеры успевают считывать 10 млн портов в секунду. То есть все 3306 порты находятся за семь минут.
С одним базовым файрволом найти проблему можно только при случайном стечении обстоятельств. Это угроза уровня межсетевого экрана, который поддерживает мониторинг состояний. О том, как работает решение и почему межсетевой экран Selectel выгоднее вендорских решений, подробнее читайте здесь.
Как работает базовый файрвол
Базовый файрвол нужно создать самостоятельно, по умолчанию он не настроен. Для настройки добавьте правила и активируйте список. Если добавить и активировать первое правило, автоматически подключается базовое правило: весь трафик, который не разрешен, — запрещен. Этот принцип лежит в основе фильтрации трафика, поэтому удалить его нельзя. Порядок правил можно менять с помощью перетаскивания за иконку draggable.
Каждое новое правило выполняется в порядке очереди. Чем выше в списке правило, тем выше его приоритет. В правилах фильтрации можно указать как один CIDR подсети или один порт, так и список CIDR или диапазон/список портов.
При анализе входящего и исходящего трафика, базовый файрвол проверяет только заголовок каждого отдельного пакета на соответствие правилам. После проверки он решает, разрешать или отклонять эти пакеты. Всего можно задать 30 правил, по 15 для входящего и исходящего IPv4 трафика.
В панели управления есть несколько обязательных и необязательных полей, которые описывают, что файрволу делать с трафиком. Эти настройки отвечают за безопасность на пяти уровнях:
- протокол,
- порт отправителя (source port),
- порт назначения (destination port),
- IP-адрес отправителя (source address),
- IP-адрес назначения (destination address).
О том, как настроить базовый файрвол, можно посмотреть в документации Selectel.
Почему стоит использовать базовый файрвол
- Базовый файрвол позволяет снизить нагрузку на сеть за счет фильтрации нежелательного трафика и повышает производительность контроля пропускной способности.
- Можно организовать гибкое управление политиками доступа, используя иерархию и правила.
- Не обязательно быть сетевым администратором, чтобы настроить правила фильтрации и повысить безопасность своих ресурсов.
- Поддержка пяти самых популярных протоколов: gre, icmp, ipip, tcp, udp.
- Позволяет ограничить доступ к определенным сайтам в интернете со своих серверов.
- Дает возможность блокировать определенных пользователей или трафик, обеспечивая детальный контроль доступа на основе адресов, протоколов, типов трафика и т. д.
- Реализует возможность создания правил для групп подсетей и диапазонов портов.
- Есть возможность повысить прозрачность: используйте поле Описание. Наличие записи о назначении правила, дате создания и авторе облегчит управление списками контроля доступа.
Когда базовым решением уже нельзя ограничиваться
Межсетевой экран Selectel сегментирует сети с помощью виртуальных IP, фильтрует трафик по URL-адресам, создает группы по IP, портам, URL. Также он поддерживает возможность запускать правила на конкретный промежуток времени или составлять расписания работы правил.
Есть ряд сценариев, когда возможностей базового файрвола недостаточно и для обеспечения безопасности инфраструктуры нужно использовать более комплексное решение.
- С помощью межсетевого экрана Selectel можно настроить статическую и динамическую маршрутизацию, в том числе на основе политик (Policy-based routing). Также он заблокирует немаршрутизированные адреса. Помимо прочего, решение поддерживает NAT — механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов.
- Можно настроить под себя такие интерфейсы и службы, как DHCP (server, relay), NTP, SNMP, GRE, GIF, DNS-forwarder и DNS-resolver. Еще одна важная функция — ограничение полосы пропускания.
- Межсетевой экран поддерживает создание VPN-туннеля с использованием IPsec и OpenVPN.
- Решение восстанавливает конфигурацию из бэкапов. В межсетевом экране Selectel можно просматривать ARP-таблицы (Address Resolution Protocol), активные сетевые сокеты, утилизацию ресурсов процессора, количество трафика и статистики на интерфейсах. Решение также позволит снять дамп сетевого трафика, проверить соединение TCP-порта и т.д.
- Благодаря IPS умеет блокировать трафик с исходного адреса, сбрасывать соединение или менять содержание атаки (например, удалить из письма инфицированный файл и отправить его получателю уже очищенным).
Если компания привыкла работать с конкретным поставщиком, то в Selectel есть витрина межсетевых экранов с решениями UserGate, Fortinet FG, Cisco, Континент, CheckPoint.
Заключение
Используйте базовый файрвол для создания правил фильтрации трафика для выделенных VLAN. Если функциональности базового файрвола окажется недостаточно для решения бизнес-задач — посмотрите, как работает межсетевой экран Selectel. Инструмент обойдется дешевле вендорских (UserGate, Fortinet FG, Cisco, Континент 4, CheckPoint Quantum Spark) решений и не зависит от их лицензий.
Полезные материалы по теме
Комментарии (3)
NightAdmin
03.08.2023 17:46В базовом фаерволе есть возможность экспорта логов в SIEM?
warus
03.08.2023 17:46Какие логи у фаервола и зачем? Сообщения в случае ошибок на этапе написании правил понятно.
Чтоб nftables/iptables отключились, не встречал и не слышал, nftables/iptables это часть ядра, падение ядра ты никак не пропустишь.
А вот аудит через nmap необходим, но никак не логи фаервола.
Да и лог fail2ban необходим: warning, но и info ban было бы любопытно - сводку сколько вражин забанено в сутки, на локальную почту, почему по умолчанию так не сделано, вот вопрос.
Shaman_RSHU
Почему в опросе только Фортики и везде пытающийся пробиться userGate? Многие воздержатся, потому что используют Cisco ASA... CheckPoint.. PaloAlto... да их сотни...