Привет, Хабр!

Так получилось, что с появлением в компаниях и организациях служб, связанных с информационной безопасностью, простые сетевики и сисадмины начали получать требования и рекомендации о необходимости запретить доступ от пользователей до определенных веб‑ресурсов. Аналогично, и в обратном направлении: запретить трафик от тысячи IP из интернета до узлов предприятия внутри сети. Неважно, какую роль выполняет узел: работает в качестве сервера ВКС, VPN шлюза или веб‑сайта.

Вы, возможно, возмутитесь и скажете: «но это не касается сетевиков и сисадминов!» Однако, давайте взглянем правде в глаза: бóльшую часть «дорожной карты по ИБ» снова «скидывают» на сетевиков и сисадминов, а сами задания должны выполняться в кратчайшие сроки.

В этой статье расскажем, как всё настроить на шлюзах Zyxel серий ATP и USG Flex, почему был выбран режим «прозрачного файрволла», чем подошёл именно он и как его настроить для блокировки транзитного интернет‑трафика.

Оглавление:

  1. Введение

  2. Предложение

  3. Какое оборудование подойдёт? Отличия

  4. Настройка «прозрачного файрволла»

  5. Блокировка IP по рекомендациям ИБ

  6. Технические условия

  7. Итог

  8. Об авторе

1. Введение.

Начнём с того, что у обычного предприятия на границе сети есть узлы как:

  • гостевой Wi-Fi шлюз,

  • VPN шлюз,

  • какая-нибудь специфичная железка на аутсорсинге,

  • веб-сайт, ВКС и т.д.,

  • прокси-сервер.

Все они оснащены «белым» статическим IP‑адресом и выходят в интернет по стандартной схеме как на рис. 1.

Рис. 1 - Схема подключения узлов к интернету на границе сети.
Рис. 1 — Схема подключения узлов к интернету на границе сети.

От атак, нежелательных подключений из интернета каждый узел защищается «своими силами». Ограничение доступа пользователей, гостей до сайтов, веб‑ресурсов, находящихся в интернете тоже осуществляется «силами» узла, через который выходят в интернет.

В принципе всех всё устраивало до появления рекомендаций по ИБ, в которых требуют запретить доступ в интернет на нежелательные сайты, веб‑ресурсы по URL, IP от пользователей, гостей. Также требуют запретить по IP весь трафик из интернета до VPN шлюза, веб‑сайта. В рекомендациях присылают IP поштучно, но бывают списки из 3000, 9000 IP.

Нововведённая обязанность стала трудоёмкой, приходится пару раз в неделю блокировать по одному или нескольким IP на всех пяти устройствах из рис.1.

А если какое‑то нынешнее оборудование не позволяет блокировать URL и IP в силу ограниченного функционала или оно сложное, навыков и знаний не хватает работать с ним на «ты» или, как пример, одно из устройств на аутсорсинге и внести изменения не получится из‑за ограниченного функционала и много других причин.

Менять такое проблемное оборудование тоже не готовы в силу многих причин, это влечёт простаивание интернет‑процессов, настройку, отладку, переписывание правил исключений для особо важных персон. Вдруг новое оборудование «не заработает», представьте сколько «вони» будет.

Есть же правило такое «Работает? Не трогай».

Логично, возникает вопрос, как поступить в такой ситуации?

2. Предложение.


Выход есть. Как вар иант, разместить межсетевой экран (он же файрволл, брандмауэр), поддерживающий режим «прозрачного файрволла (transparent firewall)» между провайдером и коммутатором, рис. 2 (зелёные стрелки).

Рис.2 - Схема размещения прозрачного файрволла.
Рис.2 - Схема размещения прозрачного файрволла.

О прозрачных файрволлах много написано в интернете, например, тут.

И тогда получится по рекомендациям ИБ запретить трафик по IP из интернета одновременно до всех узлов предприятия и от них в интернет. Также появится возможность разрешить только из одной страны подключения до серверов предприятия как ВКС, VPN шлюз.

3. Какое оборудование подойдёт? Отличия

Подойдут межсетевые экраны ATP / USG Flex, они поддерживают режим прозрачного файрволла.

Ключевые отличия USG Flex между 50/50AX/100/100W/100AX/200/500/700:
  • в пропускной способности и других количественных параметров (количество сессий, VLAN, VPN);

  • в наименовании и количестве физических портов;

  • окончания «W», «AX» означают наличие встроенного модуля Wi‑Fi антенн (модель с «W» поддерживает стандарты 802.11 a/b/g/n/ac. Модель с AX получила поддержку 802.11ax, сохранив поддержку 802.11 a/b/g/n/ac). Отличия по спецификациям радио  ТУТ стр. 10;

  • биллинг есть только у 200/500/700;

  • Device HA (кластеризация межсетевых экранов для высокой отказоустойчивости) есть только у USG Flex 500/700;

  • у USG Flex 50/50AX отсутствуют сервисы безопасности (UTM Security), биллинг (Hotspot Management), контроллер Wi‑Fi и другой функционал. Это можно уточнить в спецификациях. Для USG Flex 50/50AX ТУТ. Для USG Flex 100/100W/100AX/200/500/700 ТАМ.

Ключевые отличия ATP между 100/100W/200/500/700/800:
  • в пропускной способности и других количественных параметров (количество сессий, VLAN, VPN);

  • в наименовании и количестве физических портов;

  • окончание «W» означает наличие встроенного модуля Wi‑Fi антенн (модель с «W» поддерживает стандарты 802.11 a/b/g/n/ac);

  • у всех моделей отсутствует биллинг, который есть только у USG Flex 200/500/700;

  • Device HA (кластеризация межсетевых экранов для высокой отказоустойчивости) есть только у ATP 500/700/800.

Отличия между ATP и USG Flex:
  • У ATP нет биллинга (Hotspot Management), но есть гибридный режим работы антивируса. Это совместная работа локальных сигнатур и отправка хешей файлов в облако, которого нет у всех USG Flex.

  • Биллинг есть только у USG Flex 200/500/700, подробнее о биллинге тут.

Далее в статье настройки прозрачного файрволла производились на USG Flex 100W (версия ПО 5.38(ABWC.0)) в состоянии «из коробки». После распаковки шлюза из коробки обновите микропрограмму с последующим сбросом конфигурации, чтобы исключить влияние ранее внесённых случайных настроек. Не смущайтесь, что выбрана модель с Wi‑Fi. Wi‑Fi сразу будет отключён, USG Flex 100W ничем не отличается от обычного USG Flex 100. Просто в момент работы со статьёй рядом не было других моделей ATP и USG Flex.

4. Настройка «прозрачного файрволла»

Перед размещением файрволла как на рис. 2, сначала настроим порты P5 и P6 (можно другие, как удобно), которые будут «мостом» между провайдером и коммутатором на границе сети, но конфигрурировать его будем через порт P3, рис. 3.

Рис. 3 - Схема подключения портов USG Flex 100W.
Рис. 3 — Схема подключения портов USG Flex 100W.

У USG Flex 100W при подключении к портам P3, P4, P5 в дефолте IP управления обычно 192.168.1.1. После успешного подключения к веб‑интерфейсу первым делом проверяем, что Wi‑Fi модуль отключён, рис. 4 и индикаторы «2.4G» и «5G» не горят на лицевой панели.

Рис. 4 - Статус Wi-Fi модуля (серый - неактивен).
Рис. 4 — Статус Wi-Fi модуля (серый — неактивен).

Далее переходим к добавлению новой зоны, рис. 5.

Рис. 5 - Добавление новой зоны.
Рис. 5 — Добавление новой зоны.

У порта P5 всё отключаем, рис. 6.

Рис. 6 - Отключение порта P5 и его параметров.
Рис. 6 — Отключение порта P5 и его параметров.

Тоже самое проделываем с портом P6, рис. 7.

Рис. 7 - Отключение порта P6 и его параметров.
Рис. 7 — Отключение порта P6 и его параметров.

Далее переставляем кружочки, как на рис. 8.

Рис. 8 - Конфигурация портов.
Рис. 8 — Конфигурация портов.

Теперь создаём мост, в который добавим уже знакомые нам порты P5 (с именем Provaider) и P6 (с именем Segment) и присвоим зоне «ProzrFW», рис. 9.

Рис. 9 - Создание моста.
Рис. 9 — Создание моста.

Добавляем адресные объекты с белыми IP узлов, тех самых, которые перечислены на рис. 1. Пример добавления IP шлюза гостевого Wi‑Fi и сервера ВКС показан на рис. 10 и 11. Остальные узлы пропускаю, чтобы статья не получилась громоздкой.

Рис. 10 - Добавление адресного объекта белого IP шлюза гостевого Wi-Fi.
Рис. 10 — Добавление адресного объекта белого IP шлюза гостевого Wi-Fi.
Рис. 11 - Добавление адресного объекта белого IP сервера ВКС.
Рис. 11 — Добавление адресного объекта белого IP сервера ВКС.
Обратите внимание, что кроме IP, можно добавить адресный объект в виде GEOGRAPHY, FQDN (URL имя) и другие.
Рис. 11 — Добавление адресного объекта белого IP сервера ВКС.
Выбор типа адресного объекта.

Запланируем, что разрешим доступ к серверу ВКС только из одной страны с помощью адресного объекта «GEOGRAPHY» (функционал Гео IP). Добавим страну, как на рис. 12.

Рис. 12 - Добавление страны.
Рис. 12 — Добавление страны.

Если нужно разрешить доступ из нескольких стран, тогда создаёте несколько таких же адресных объектов, каждый с одной страной и потом объединяете в одну группу во вкладке «Группа адресов», рис. 13. Подробнее о географии (Гео IP) рассказывал в статье тут.

Рис. 13 - Объединение адресных объектов одного типа в одну группу адресов.
Рис. 13 — Объединение адресных объектов одного типа в одну группу адресов.

В политиках файрволла отключаем все политики, кроме LAN1_to_Device, чтобы не лишиться доступа к веб-интерфейсу файрволла, рис. 14. Так как зона назначения ZyWALL — это сам файрволл, его управление (Management).

Рис. 14 - Политики файрволла.
Рис. 14 — Политики файрволла.

Далее, шлюз гостевого Wi-Fi выпускаем в интернет добавлением новой политики, где источником трафика будет GostevoiWi-Fi (созданный на рис. 10), направляемый на любое назначение («any») в интернете. Файрволл работает в режиме stateful, поэтому нет необходимости создавать политики для разрешения ответного трафика к источнику. Всё отобразил на рис.15. Не забывайте указывать зону источника и зону назначения.

Рис. 15 - Разрешение доступа в интернет гостевому шлюзу Wi-Fi.
Рис. 15 — Разрешение доступа в интернет гостевому шлюзу Wi-Fi.

Подключения из интернета к шлюзу гостевого Wi‑Fi не разрешаем, а значит не создаём никаких политик в направлении  из интернета к шлюзу гостевого Wi‑Fi Трафик этого направления будет блокироваться политикой «Default» из рис. 14 в самом низу списка политик.

Доделаем разрешение доступа только из России до сервера ВКС на 443-й порт (сервис HTTPS) добавлением политики (рис. 16), в которой источником трафика будет ранее созданный адресный объект «Rossia» (рис. 12), а назначением у трафика будет «VKS» (рис. 11).

Рис. 16 - Разрешение доступа до ВКС из интернета только с российских IP.
Рис. 16 — Разрешение доступа до ВКС из интернета только с российских IP.

Таким образом, только из России смогут подключиться к ВКС на 443-й порт. На остальные порты не пропустит и трафик из других стран заблокируется благодаря политике «Default» из рис. 14 в самом низу списка политик.

А если ВКС работает с множеством других TCP/UDP портов?

Создаёте другие TCP/UDP порты, рис. 17, и ...

Рис. 17 - Создание сервиса (TCP/UDP порт).
Рис. 17 — Создание сервиса (TCP/UDP порт).

...объединяете в группу сервисов, рис. 18.

Рис. 18 - Объединение сервисов в группу сервисов.
Рис. 18 — Объединение сервисов в группу сервисов.

Потом эту группу выберете вместо «HTTPS» в «Сервисы» при создании/редактировании политики на рис. 16.

Итак, после проделанных настроек теперь можем разрешать/запрещать доступ в интернет от узлов предприятия с белыми IP и обратно из интернета до них. Наконец-то, не прибегаем к настройке каждого узла по отдельности, как делали до установки прозрачного файрволла.

5. Блокировка IP по рекомендациям ИБ.

Теперь о главном, почему статья создавалась. Это блокировка множества IP по рекомендациям, которые присылают подразделения ИБ. Блокировать можно тремя вариантами.

1-й вариант. Создаём адресный объект вручную как на рис. 10 и потом объединяем в одну группу адресных объектов (рис. 13). Если IP будет более сотни штук, процесс будет трудоёмким, поэтому можно перейти к 2-му варианту.

2-й вариант. Заранее приготовленную команду копипастим в консоль (веб-консоль,telnet, SSH или по консольному кабелю).

Для консоли текст команд для копипаста:

configure terminal
address-object BlokIPxxxx xxx.xxx.xxx.xxx
- это создание адресного объекта, где xxx.xxx.xxx.xxx - это IP. А хххх в "BlokIPxxxx" - порядковый номер адресного объекта от 0001 до 2000. Это необязательное условие, просто для удобства работы при добавлении новых объектов и деления по группам.
object-group address GruppaBlokIPxxx
- создание группы адресов или вход в ранее созданную группу адресов, где ххх - порядковый номер группы адресов.
address-object BlokIPxxxx
- присвоение адреса "BlokIPxxxx" группе адресов "GruppaBlokIPxxx"
exit
exit
write

Максимальное число адресных объектов зависит от модели.

С количеством и прочими параметрами можно ознакомиться в руководстве пользователя (приложение Б (английская "B").
  1. Модели ATP100/100W/200/500/700/800, стр.1177.

  2. Модели USG Flex 50/50AX, стр.919.

  3. Модели USG Flex 100/100W/100AX/200/500/700, стр.1226.

Для удобства, перенёс в таблицу значения максимального числа адресных объектов.

Модель

ATP100, 100W

ATP200

ATP500

ATP700

ATP800

Версия микропрограммы

5.38

5.38

5.38

5.38

5.38

Address object

300

300

1000

2000

2000

Address group

50

50

200

400

400

Maximum address object in one group

128

128

128

256

256

Модель

USG Flex 50, 50AX

USG Flex 100, 100W, 100AX

USG Flex 200

USG Flex 500

USG Flex 700

Версия микропрограммы

5.38

5.38

5.37

5.37

5.37

Address object

300

300

300

1000

2000

Address group

25

50

50

200

400

Maximum address object in one group

64

128

128

128

256

При исчерпании максимального числа адресных объектов переходите сразу к 3-му варианту, а если хватает, тогда после того, как будут готовы группы адресных объектов, переходим к созданию политик на примере рис. 19. Вторую, третью политики создаёте аналогично как на рис. 19, разница только в имени политики и в выборе другого источника (GruppaBlokIP002, GruppaBlokIP003 и т. д.).

Рис. 19 - Запрещение получения трафика от источника "GruppaBlokIP001" до всех (назначение "any").
Рис. 19 — Запрещение получения трафика от источника «GruppaBlokIP001» до всех (назначение «any»).
Или в консоли. Пример добавления двух политик:

configure terminal
secure-policy insert 1
- первая политика
name Blok-IP-001
from ProzrFW
to ProzrFW
sourceip GruppaBlokIP001
- первая группа адресных объектов
action deny
log
exit
secure-policy insert 2
- вторая политика
name Blok-IP-002
from ProzrFW
to ProzrFW
sourceip GruppaBlokIP002
- вторая группа адресных объектов
action deny
log
exit
exit
write

Политики действуют снизу вверх, поэтому все созданные политики с группами адресных объектов, создаваемые на примере по рис. 19, должны быть размещены в самом верху, рис. 20.

Рис. 20 - Расположение запрещающих политик.
Рис. 20 — Расположение запрещающих политик.

3-й вариант (не подходит для USG Flex 50/50AX). Репутационный фильтр → Внешний чёрный список узлов. Там можно загрузить txt файл с внешнего сервера или с Яндекс.Диска. В txt файл в реальном времени можно заносить новую порцию объектов. Максимальное количество объектов до 50000 шт. Подробнее тут. Также можно загружать отдельно список URL и отдельно список IP (всего можно загрузить 4 списка URL и 4 списка IP до 50000 записей каждый). Функционал платный, требуется подписка «Gold Security Pack».

6. Технические условия.

ВНИМАНИЕ! Некоторый функционал межсетевых экранов ATP/USG Flex обращается к внешним/внутренним ресурсам:

  • ГеоIP. Он собственную базу стран синхронизирует с онлайн базой в интернете по расписанию или вручную;

  • FQDN. При применении политик, профилей с URL именами, межсетевой экран обращается к DNS серверам для получения IP для запрашиваемого URL. Неважно где DNS сервер, в интернете или в внутренней ЛВС (зона LAN);

  • Репутационный фильтр. Внешний чёрный список (файл *.txt) загружает с внешнего HTTP сервера. Тоже неважно где он, в интернете или в внутренней сети;

  • Логирование и оповещение по электронной почте. Отправка логов на SysLog сервер и отправка писем на почтовый сервер.;

  • SecuReporter. Статистику трафика, логи и события отправляет на веб-узел secureporter.cloudcnm.zyxel.com. Тут целая статья про SecuReporter;

  • UTM Security (песочница, репутационный фильтр, предотвращение вторжений, антиспам, контентная фильтрация, совместное обнаружение и реагирование, инспекция SSL, двухфакторная аутентификация, синхронизация безопасности). Часть сервисов использует доступ в интернет для обновления сигнатур или проверки файлов.

Исходя из этих условий, интернет придётся подключить к WAN порту межсетевого экрана. Но, если не планируется применение функционала, требующего интернет, можно незанятый LAN порт (P3-P4) межсетевого экрана подключить к внутренней ЛВС для связи с серверами DNS, HTTP и SysLog. Где DNS нужен для FQDN, HTTP для загрузки внешнего чёрного списка и SysLog для получения логов.

На всякий случай подскажу, где прописываются IP DNS серверов на ATP/USG Flex для работы с FQDN, рис. 21. Если ваш межсетевой экран IP серверов DNS получил из динамического IP, то эту настройку можно пропустить.

Рис. 21 - Настройка DNS.
Рис. 21 — Настройка DNS.

Всё. Теперь можно установить прозрачный файрволл, как на рис. 2, где провайдер подключаем к P5, а коммутатор на границе сети с сегментом белых IP к P6.

7. Итог

Кроме блокировки трафика по IP, URL и странам по рекомендациям ИБ, вы бонусом получаете дополнительную возможность с помощью прозрачного файрволла:

  • ограничивать скорость/блокировать сетевые приложения (патруль приложений, подробнее тут);

  • ограничивать количество сессий;

  • ограничивать скорости трафика (функционал BWM);

  • проверка трафика средствами UTM security (песочница, репутационный фильтр, предотвращение вторжений, антиспам, контентная фильтрация, совместное обнаружение и реагирование, инспекция SSL, двухфакторная аутентификация, синхронизация безопасности). ВНИМАНИЕ! Сервисы McAfee: AS и CF (антиспам и контент-фильтры URL/DNS по категориям) временно не работают в РФ и РБ.

Мои предыдущие статьи:
Полезные ссылки:

8. Об авторе

Кто я? Меня зовут Александр. 19 год профессионально занимаюсь СКС и сетевым оборудованием. Обладаю большим опытом работы с сетевым оборудованием различных вендоров. Приветствую простоту и дружелюбность конфигурирования/мониторинга сетевого оборудования, ответственность вендора за качество выпускаемой продукции и готовность исправлять недостатки, чтобы не тормозили сдачу новых проектов в назначенные сроки. Меня можно встретить и лично пообщаться в Телеграме —  @NSanchez13 так что, если будут вопросы, комментарии, мнения — милости прошу.

Комментарии (3)


  1. SSLon
    23.05.2024 05:58

    Хм, я не смог найти функционал ip reputation в своём Zyxel USG Flex 500.

    Имеется только dns reputation


    1. Zyxel_South Автор
      23.05.2024 05:58

      Чтобы появился IP reputation, нужна лицензия Gold Security Pack.

      Артикулы можно найти тут.

      С полной версией IP reputation можно ознакомиться на https://atp500demo.zyxel.com.


      1. Zyxel_South Автор
        23.05.2024 05:58

        И тут можно найти.