Современные средства защиты информации довольно сложны и требуют от потребителя определенного набора специальных знаний. Данное обстоятельство с учетом бешеного ритма современной жизни заставляет людей постоянно откладывать «на потом» вопросы, связанные с безопасностью их данных, которые практически все время остаются без защиты.
В данной статье мы рассмотрим новый принцип построения межсетевых экранов, ориентированный на обычных людей, не имеющих специальных знаний в области информационной безопасности.
Устройства, реализующие рассмотренный ниже принцип, не требуют настройки, не мешают работе типовых клиентских приложений, устойчивы к деактивации по сети и обеспечивают гарантированный базовый уровень информационной безопасности. Демонстрацию их работы можно увидеть на видео в конце данной статьи.
Чего хочет пользователь от межсетевого экрана?
Попытаемся сформулировать типовые представления среднестатистического пользователя о межсетевых экранах.
Обычно про межсетевые экраны знают, что это устройства, способные защитить компьютер от несанкционированного доступа и атак по сети. Другим общераспространенным знанием является то, что межсетевые экраны очищают сетевой трафик, подобно фильтру, пропускающему легитимный и блокирующему вредоносный трафик. И, конечно, при всем при этом пользователю важно, чтобы, используя межсетевой экран, он был защищен, мог работать «как обычно», и ему не надо было бы ничего настраивать и ни за чем следить.
Таким образом, с точки зрения пользователя, межсетевой экран должен:
- Защищать компьютер от несанкционированного доступа и атак по сети (блокирование вредоносного трафика).
- Позволять работать «как обычно» (пропуск легитимного трафика).
- Не требовать конфигурирования и обслуживания.
Анализ задачи
Как удовлетворить данные потребности? Что считать вредоносным, и что считать легитимным трафиком? Что значит работать «как обычно»?
Для начала проанализируем типовую работу пользователя в корпоративной сети. Каждый пользователь создает на своем компьютере электронные документы, передает их коллегам по электронной почте, IM-мессенджерами, в системах электронного документооборота и т.д… Часть пользователей работает с серверами корпоративных информационных систем, и практически все пользуются корпоративным Интернет-доступом.
Что плохого может произойти с данными пользователя в корпоративной сети?
Их могут своровать не добропорядочные коллеги, используя стандартные механизмы сетевого доступа (общий доступ к файлам, системы удаленного администрирования и т.д.). Компьютер, содержащий уязвимое программное обеспечение, может быть атакован по сети, в результате чего важные файлы могут быть уничтожены или украдены, причем атака может производиться как коллегами, так и хакерами или вредоносным ПО, попавшим в корпоративную сеть.
Если провести исследование трафика легитимной работы пользователя и трафика типовых сетевых атак, то мы увидим одну очень важную закономерность: в подавляющем большинстве случаев на компьютере пользователя размещены клиентские части программных продуктов, которые при своей работе инициируют сетевые подключения к серверам, в то время как при вредоносном воздействии злоумышленник пытается сам установить соединение с атакуемым компьютером.
Это наблюдение позволяет нам сформулировать схему фильтрации трафика будущего межсетевого экрана: разрешать прохождение трафика только по соединениям, инициированным защищаемым компьютером, и блокировать весь остальной трафик.
Для того чтобы межсетевой экран мог понять, какие соединения инициируются защищаемым компьютером, в его настройках можно прописать адрес этого компьютера, но это сразу нарушает принцип неконфигурируемости устройства, поэтому такой вариант не подходит.
Альтернативой будет установка межсетевого экрана в разрыв между защищаемым компьютером и остальной сетью, тогда сторону, инициирующую соединение, можно будет сопоставить порту (сетевому интерфейсу), на который пришли соответствующие сетевые пакеты.
Таким образом техническое задание на устройство будет звучать так. Межсетевой экран должен:
- Подключаться в разрыв между защищаемым компьютером и остальной сетью.
- Обеспечивать транзит сетевого трафика только по соединениям, инициированным защищаемым компьютером. Весь остальной трафик должен быть отброшен.
Техническое решение
Рассмотрим один из возможных вариантов реализации технического задания.
В нашем случае это будет аппаратный межсетевой экран, содержащий два порта (сетевых интерфейса):
- «Внешний порт» – сетевой интерфейс, к которому подключается потенциально враждебная вычислительная сеть.
- «Внутренний порт» – сетевой интерфейс, к которому подключается защищаемый компьютер.
После подключения межсетевого экрана в разрыв между защищаемым компьютером и остальной сетью (потенциально враждебной) он сразу начинает фильтровать трафик, отбрасывая все сетевые пакеты, не принадлежащие сетевым соединениям, инициированным защищаемым компьютером, и делает это он следующим образом.
С точки зрения стека TCP/IP межсетевой экран подобного типа выглядит как неуправляемый коммутатор. Его порты, не имеющие IP и MAC адресов, логически объединены в мост, работающий по алгоритму IEEE 802.1D (transparent bridge). Однако, в отличии от обычного коммутатора данное устройство при принятии решения о транзите сетевого пакета между портами применяет также алгоритм многоуровневой фильтрации, при котором прохождение сетевого пакета возможно только в случае прохождения всех модулей фильтрации.
Дальнейшее рассмотрение логики работы будет основываться на том, что межсетевой экран построен на базе Linux-box и обладает стандартными возможностями работы со стеком TCP/IP.
В модуле фильтрации канального уровня (L2) производятся следующие действия:
- Для поступившего в устройство сетевого пакета по алгоритму IEEE 802.1D определяются порты источника и назначения.
- Сетевой пакет, пришедший с порта, который мы ранее обозначили как «Внутренний порт», помечается как «ВНУТРЕННИЙ».
- Сетевой пакет, пришедший с любого из интерфейсов и не содержащий в себе инкапсулированный IP- или ARP- пакет, отбрасывается.
Примечание. Модуль фильтрации L3 работает только с пакетами, принадлежащими стеку TCP/IP. Для устранения возможных утечек сетевые пакеты других стеков отбрасываются. - Сетевой пакет передается на модуль фильтрации сетевого уровня (L3).
- Если сетевой пакет вернулся с модуля фильтрации сетевого уровня (L3), то он передается в порт назначения и покидает межсетевой экран.
Модуль фильтрации сетевого уровня (L3) выполняет следующие действия:
- На постоянной основе ведет таблицу активных сетевых соединений, где для каждого соединения фиксируется информация о конечных точках (адреса, порты и т.д.), а также состояния, описывающие различные этапы жизненного цикла соединений «новое соединение», «установленное соединение» и др. (более подробно про отслеживание состояния соединений в Linux можно посмотреть тут).
Для осознания дальнейшего алгоритма важно понять, что как только какая-либо сторона послала запрос на соединение, то состояние записывается как «новое соединение». После того как сторона, получившая запрос, шлет пакет в ответ, состояние соединения принимает значение «установленное соединение». - Возвращает на модуль фильтрации канального уровня (L2) сетевые пакеты, удовлетворяющие следующим требованиям:
- сетевой пакет принадлежит установленному соединению;
- сетевой пакет имеет маркировку «ВНУТРЕННИЙ».
- Все остальные пакеты отбрасываются.
Как мы видим, рассмотренный алгоритм фильтрации не привязан к сетевым адресам или портам, а оперирует лишь направлением трафика и состоянием соединения, что позволяет использовать устройство без конфигурирования в IP-сети с любой адресацией.
Первые опыты и трудности
Собрав устройство, реализующее приведенный алгоритм, получили два результата: первый, и главный, что данный подход работает; второй, и не менее важный, что неопытный пользователь не сможет пользоваться подобным устройством, поскольку оказались не доступны многие базовые сетевые протоколы (DHCP, NetBIOS NS, WS-Discovery и др.), использующие широковещательные адреса. Возможны два варианта решения этой проблемы:
- добавить в исключения модулей фильтрации типовые протоколы, использующие широковещательные посылки;
- вообще не блокировать широковещательный трафик.
Первый вариант, возможно, более безопасный, но гораздо менее масштабируемый, был отброшен, поскольку нарушает принцип неконфигурируемости устройства. В разных вариантах использования устройства найдутся широковещательные протоколы, не добавленные в исключения, но нужные пользователям (например, некоторые протоколы сетевых компьютерных игр).
Поэтому было решено не блокировать широковещательный трафик. Попутно был также разрешен и трафик с групповой адресацией (multicast), поскольку данный тип трафика также широко используется, например, в ОС Windows для обнаружения конфликтов IP-адресов.
Защита подсети
Учитывая то, что межсетевой экран не привязан к конкретным сетевым адресам и портам, стало интересно, можно ли с помощью подобного устройства защитить подсеть. Для этого была собрана следующая конфигурация:
Оказалось, что подобная схема также работает. Межсетевой экран защитил оба компьютера от подключений из внешней сети. После этого было решено попробовать собрать межсетевой экран, у которого несколько портов, отнесенных к «внутренним портам».
Для того, чтобы данная схема работала, в алгоритм фильтрации были внесены изменения, разрешающие транзит трафика между портами, отнесенными к внутренним портам, без ограничений. После этого работа в данной схеме стала идентична предыдущей.
Защита в беспроводных сетях (WiFi)
В беспроводных сетях в общем случае невозможно установить межсетевой экран в разрыв между двумя узлами, поскольку общий радиоэфир позволят узлам сети обращаться друг к другу непосредственно. Другой нюанс в том, что невозможно создать устройство, которое бы вообще не требовало конфигурирования при подключении к беспроводной сети, поскольку в зоне нахождения может находиться несколько беспроводных сетей, и в общем случае неизвестно, какая именно нужна пользователю.
Поэтому изначальный принцип неконфигурируемости устройства был упразднен, и в экспериментальный образец была добавлена возможность настройки беспроводной сети. С точки зрения структуры устройства изменения получились довольно небольшими, проводной интерфейс, который ранее обозначался как «Внешний порт», был заменен на беспроводной интерфейс, и в результате получилась следующая схема.
В остальном функционирование экрана и его защитные функции остались без изменений.
Опытная эксплуатация
Окончив лабораторные эксперименты, решили опробовать данный принцип экранирования на практике. Для этого было собрано несколько экспериментальных образцов и роздано коллегам, работающим офисными служащими в ряде организаций.
После года опытной эксплуатации было установлено, что практически все типовые офисные программы: MS Office, 1C: Предприятие, браузеры, IM-мессенджеры, VoIP, электронная почта, системы видеонаблюдения и даже игры работают через устройство, реализующее рассматриваемый принцип фильтрации, без проблем. Исключение составили ряд программ, имеющих нестандартную систему защиты от не лицензионного копирования, при которой сервер лицензий требует подключения к защищаемому компьютеру.
Выводы
Приведенный в статье принцип межсетевого экранирования позволяет решить поставленные в начале статьи задачи. Устройство, построенное по данному принципу, не требует настройки и может быть внедрено неквалифицированным пользователем за считанные секунды. За счет того что порты устройства не имеют сетевых адресов, устройство «невидимо» (stealth) для остальной сети и не может быть удалённо деактивировано.
Безусловно приведенный принцип межсетевого экранирования не является панацеей от всех атак, но в то же время он обеспечивает базовый уровень безопасности, который тем или иным образом должен быть достигнут практически в любых сценариях. В то же время данный принцип мало применим для защиты серверов и других узлов сети, требующих обеспечения входящих подключений, но данные задачи выходят за рамки деятельности обычных пользователей.
По большому счету приведенный принцип межсетевого экранирования может быть реализован
не только в аппаратно, но и в виде программного межсетевого экрана или даже виртуальной машины.
Демо-видео к статье (RuTube)
Комментарии (57)
dmitry_ch
28.11.2016 11:39+2Для поступившего в устройство сетевого пакета по алгоритму IEEE 802.1D определяются порты источника и назначения.
802.11d — это же про STP?
P.S. А в чем новизна вашего решения, которое не требует настроек? Кроме того, где в вашей схеме возможность доступа снаружи ко внутренним ресурсам? Да, если вы еще NAT добавите, получите самый банальный домашний роутер, вроде тех, что раздают провайдеры.imbasoft
28.11.2016 12:11-1STP включен в IEEE 802.1D в 2004 году, сам стандарт идет из 90-х годов прошлого века. Если обратится к его официальной публикации то его можно там увидеть.
Новизна данного решения как раз в том, что оно не требует настройки. Вы можете подойти к любому компу, подключить устройство в разрыв и комп перестанет быть доступен по сети.
Данное устройство специально создано таким образом, чтобы нельзя было обратится снаружи к внутренним ресурсам (о чем отмечено в самой статье). Если нужно защищать сервера, то необходимо будет использовать другие устройства, либо менять схему сетевого взаимодействия на back connect.
Если мы добавляем NAT — ломается IPSec, при применении данного девайса, это не произойдет.
Область применения данного устройства в домашних условия — защита старых роутеров от взлома, изоляция компов родителей от компьютеров детей, защита IoT подсетей.dmitry_ch
28.11.2016 12:15+1Про NAT — это я в шутку, чтобы показать, что даже D-Link делает боксы тоже «без настройки», но более функциональные.
Но я никак не пойму, это же у вас решение для фильтрации именно IP, правильно? А что делать с другими протоколами, у которых плохо с понятием «порта» (GRE, для примера)? Я уже не говорю о протоколах, которые «внезапно» меняют свои параметры (для примера — RFC4941), а также о протоколах, которые требуют ответа от клиента на другом порту, нежели мы открыли по правилу «что полетело изнутри наружу» (возьмите FTP, и проверьте его на всех режимах).
Честно говоря, начало у вас неплохое. Вам многое предстоит добавить в ваше решение, а потом, когда оно начнет работать более-менее в реальном мире, вторым заходом надо будет добавить еще и фильтрацию с привязкой к приложению (грубо, чтобы программа, которой до 25 порта нет доступа, до него не дотянулась; здесь уже можно будет и rate-limit-ы для разного типа трафика для каждого приложения добавить). Ну и, конечно, ALG вам нужно добавить, только с умом и без фанатизма.imbasoft
28.11.2016 13:11-2Но я никак не пойму, это же у вас решение для фильтрации именно IP, правильно? А что делать с другими протоколами, у которых плохо с понятием «порта» (GRE, для примера)? Я уже не говорю о протоколах, которые «внезапно» меняют свои параметры (для примера — RFC4941),
Подобное устройство позиционируется для защиты в локальной сети и предназначено для неопытных пользователей, либо для ситуаций когда требуется гарантированная безопасность от отключений. Фильтрация GRE и других протоколов выходит за рамки данной задачи.
а потом, когда оно начнет работать более-менее в реальном мире
Устройство успешно работает в реальном мире, Я сейчас ответ пишу с компа который им защищен и пользуюсь подобной защитой больше года, на работе и дома. Если бы оно не работало в реальном мире не стал бы писать пост на хабре. :)
Спасибо за ваши рекомендации внимательно посмотрю что из них можно взять для реализации защиты в целевом сегменте.
Немного из жизни. На заре своей ИТ/ИБ карьеры я столкнулся с Kaspersky Anti-hacker, его тогда называли «фаерволом для домохозяек». Поставил его себе на комп, он через некоторое время выдал мне сообщение «Программа Q хочет получить доступ к IP X по поту N» разрешать или нет?" На тот момент, подобное сообщение меня поставило в тупик…
Так вот, идея данного устройства в том, что для тивой работы пользователей в локальных сетях найдена схема фильтрации описывающая практически все их нужны без дополнительных вопросов.
У военных есть фраза: «пустил и забыл», про этот девайс можно сказать «подключил и забыл».dmitry_ch
28.11.2016 13:26Ну так файрволл, который умеет много, но часть настраивает автоматом, полезнее, чем тот, который в принципе что-то не умеет. Каспер (я не про реализацию) в этом смысле более application-aware, и способен, скажем, применить преднастроенные профили по логике «известным почтовым клиентам разрешаем ходить наружу на 25/tcp, 465/tcp, 587/tcp; другим программам — не разрешаем туда». Это для домохозяйки куда полезнее, чем если всем программам можно куда угодно наружу (чем ваш вариант и является): даже если у домохозяйки завелся вирус, он хотя бы не будет гадить в инете, чем в вашем варианте может заниматься любая программа.
То, что вы предложили, более-менее делается обычным NAT-ом (да-да, таблица с парами портов и т.д.), и в природе существует (более того, частью провайдеров нагло и безальтернативно применяется — они так IPv4 экономят) провайдерский NAT, который вас защитит почти на 100% безо всякого вашего черного ящика. И он, как раз, точно «включил и забыл», притом на стороне провайдера.
В вашем же решении добавляется задержка, плюс я не очень пойму, какой у бокса вашего адрес в сети: если он есть, т.е. ваш бокс — это «шлюз по умолчанию» для компов в сети, то сколько адресов для работы нам нужно от провайдера (либо больше одного, либо у вас там NAT)? Если же ваш бокс смотрит трафик «прозрачно», т.е. наблюдает пакеты на порту пассивно, то как он мешает работе «плохого» трафика (в рамках вашего уровня решения)?
P.S. Да, выше у меня описка вышла: написал 802.11d (и это неверно(, а ссылку дал на 802.1d (это как раз верно). Но 802.1d — это работа бриджей, там нет места для вашей фильтрации (точнее, вы можете фильтровать по признакам кадров L2, но какой в этом прок в виду работы в глобальной сети — не понятно). Расскажите еще раз эту логику, пожалуйста!imbasoft
28.11.2016 15:27Устройство позиционируется как средство защиты от внутреннего злоумышленика. Термин домохозяйке был применен для указания на неподготовленного пользователя, для которого «25/tcp, 465/tcp, 587/tcp» сродни заклинаниям древних шаманов. Все то вы указали имеет место быть, но как быть когда нужно защитить подсеть? Нужно будет ставить и настраивать программные FW на каждом узле, а если защищаемый узел это сетевой принтер или IP-видеокамера ил Arduino контролер?
То, что вы предложили, более-менее делается обычным NAT-ом
NAT NATу рознь, а если мы говорим про ip masquerade, то на его основе невозможно сделать некофигурируемое устройство, способное работать в сетях с любой адресацией.
С провайдерским NAT не все так просто. Если абонент провайдера подключается в IP-адресуемую сеть (вам по DHCP выдается IP-адрес), а для доступа в Интернет нужно поднять PPTP или L2TP соединение, то вы можете зайти в сетевое окружение, или просто NMAP посканить сетку и увидеть большое количество компов своих соседей не защищенных и доступных по сети.
Другой пример — сети студенческих общежитий. Компы объеденены в сетку и у каждого есть локальный IP адрес, а для выходя в И-нет стоит роутер, который Интернет NATит. В таком случае защищаемый комп будет также доступен для сетевого доступа для других компьютеров общежития.
Внутренним злоумышлеником в приведенных примерах будут компы соседей по Интернет-провайдеру и компы студенческой сети.
Я не очень пойму, какой у бокса вашего адрес в сети:
У него нет сетевых адресов ни IP ни MAC.
т.е. ваш бокс — это «шлюз по умолчанию» для компов в сети
Устройство в сети выглядит как неуправляемый коммутатор, оно не меняет адресацию.
Но 802.1d — это работа бриджей, там нет места для вашей фильтрации
Да, это так, иначе какой смысл писать о том, что уже есть :)
Расскажите еще раз эту логику, пожалуйста!
Всю логику я описал выше, но попробую кратко сказать тоже самое но другими словами.
На L2 мы отсеиваем все что не IP (например, если придет IPX/SPX он будет отброшен), а также определяем направление — либо пакет движется из внешней сети к защищаемому компу, либо от защищаемого компа во внешнюю сеть.
Далее передаем на L3 смотрим направление движения пакета. Если он движется во внешнюю сеть — пропускаем. Если он движется к защищаемому компу, то смотрим принадлежит ли он уже установленному соединению, если да то пропускаем, все остальное отбрасываем.dmitry_ch
28.11.2016 17:01+1Т.е.
1) вы выбрали из L2-пакетов то, что нам «подходит», остальное отбросили?
2) на L3 приняли то или иное решение, и решение это — кадр L2 пропустить или отбросить, так?
У вас будут проблемы в том, что из нескольких L2 кадров вам нужно собрать один L3 пакет (что дает задержку), и с тем, что часть протоколов не получится фильтровать прозрачно. За исключением этого — вроде как «да, ок», но это «лучше что-то, чем ничего». Вы ставите девайс по принципу диода, указав, что вот за этим портом — «внутри сети», вот за этим портом — «наружная сеть», и только эти отличаете направления?
И в результате, ценой задержек и зарубания всего, о чем вы не знали на момент создания девайса, вы фильтруете часть L2 пакетов, тем самым чистя L3-трафик? Примерно как ценой сброса с рельсов части пассажирских вагонов, вы боретесь с преступниками, которые могут ехать в одном из вагонов.
Причем, в этой аналогии, вы уже не сможете ни бороться с отрядом преступников (каждый из которых вполне мирный, но в сумме которые поежали делать свое черное дело совместно), ни удалить из потока пассажиров одного, который болеет чем-то неизлечимым.
И, да, трафик UDP вам скажет отдельное спасибо!imbasoft
29.11.2016 16:18Вы ставите девайс по принципу диода
Да, в точку, именно данный принцип понятен мало квалифицированным пользователем.
И в результате, ценой задержек
Проверил только что задержку (ping ya.ru) с установкой девайса и без. В обоих случаях 3 мс.
зарубания всего, о чем вы не знали
А что мы лишнего зарубили? Мы пропускаем IP и ARP трафик, в IP инкапсулируется все что нам надо. IPX/SPX, Apple talk в обычной жизни не встречаются. Для обеспечения их безопасности лучше искать другие решения.
И, да, трафик UDP вам скажет отдельное спасибо!
Не совсем понял, но c UDP проблем нет.dmitry_ch
29.11.2016 16:27Но что делать, если у вас один пакет уровня выше разрезан на два и более кадра L2? Вы их должны собрать, попутно где-то храня. При некотором потоке пакетов вы просто захлебнетесь (ОЗУ не хватит).
Пинг в этом смысле не показатель, там как раз пакетики маленькие. Пингуйте хост «снаружи» (даже шлюз или DNS провайдера) пингами по 10 или 100 Кбайт, тогда, возможно, будет разница. Да, процессоры нынче хороши, но ASIC не зря изобрели: почему-то без них долго и ресурсоемко гонять пакеты на скорости портов; то же и про ОЗУ, особенно про большой объем на хранение пакетов. В сумме ожидаю задержку.
И я не очень понимаю, как мы принимаем решение о фильтрации: если на L3 (и выше) нам что-то не нравится, мы убираем из очереди передачи кадры L2, которые несут этот контент L3?
UDP, не имея средств удостовериться, что информация до получателя дошла, может терять пакеты, и не знает об этом — я об этом.imbasoft
29.11.2016 16:56Попробую объяснить по другому.
В статье указано описание алгоритма, использующего в своей основе L2 filtering.
Он как раз и реализует IEEE 802.1D, ведет учет состояний и занимается сборкой пакетов. Об этом можно почитать в Интернете. Я просто не хотел привязывать читателей к конкретной реализации а просто донести сам алгоритма.
Суть именно нового принципа в том, что построено фукнционально законченная схема не требующая конфигурирования. Или по другому можно сказать, что приведен алгоритм программы написанной на L2 firewall.
grossws
29.11.2016 18:32На L2 мы отсеиваем все что не IP (например, если придет IPX/SPX он будет отброшен)
Что, и ARP тоже отбрасываете? А какой-нибудь STP?
imbasoft
29.11.2016 19:04На L2 ARP и IP проходят, сори не дописал. STP — банится, поскольку для клиентских компов он не нужен.
grossws
29.11.2016 19:07Т. е. вариант с внутренней подсетью за вашим устройством в общем случае не работает.
imbasoft
29.11.2016 19:21Тут можно запутаться в деталях. Защита подсети описана выше, в статье. Если внутри подсети будут VLAN или другие «не endpoint» протоколы, то с ними могут быть проблемы.
Устройство рассчитано для защиты endpoint, либо другим языком чистого IP.
avacha
28.11.2016 12:13+2не требует настройки и может быть внедрено неквалифицированным пользователем за считанные секунды
Хм. Если вы целитесь в SOHO-маркет, то вынужден Вас огорчить. Большинство SOHO-роутеров имеют подобный практически неконфигурируемый файрвол «по умолчанию». Подобный именно по идее «невмешательства пользователя.» Да, принцип работы у него немного другой — но результат похож.
Тем более, вектор атак сейчас несколько сместился — все больше атакующие стараются либо установить соединение изнутри защищаемой сети, используя для этого соц.инженерию, либо, простите, тупо пользуя метаспойт, либо вообще занимаясь типичным брутфорсом на открытых сервисах.
Единственный момент, который выгодно отличает Ваш подход — «прозрачность». В случае типичного дешевого маршрутизатора на родной прошивке встает вопрос — кто будет охранять охраняющего?
Я сознательно не рассматриваю защищенность стоковых SOHO роутеров от атак снаружи (ибо ее в общем-то нет.)
Дабы меня не запинали, прошу не рассматривать реализации *WRT и продукцию Mikrotik в одной колонке с типовым SOHO.imbasoft
28.11.2016 12:47-3Хм. Если вы целитесь в SOHO-маркет, то вынужден Вас огорчить. Большинство SOHO-роутеров имеют подобный практически неконфигурируемый файрвол «по умолчанию».
Это устройство не роутер, оно больше похоже на коммутатор. Принципиальным отличием внедрения роутера (маршрутизатора) от коммутатора в том, что для первого будет требоваться изменение IP-адресации защищаемой сети — разбиение сети на IP-подсети (маршрутизатор занимается транзитом трафика только между подсетями), для данного устройства этого требоваться не будет. Поэтому, если вы купите SOHO-роутер в ближайшем магазине и из коробке подключите его к защищаемому компьютеру, то последний с вероятностью 99% перестанет работать с сетью.
Тем более, вектор атак сейчас несколько сместился — все больше атакующие стараются либо установить соединение изнутри защищаемой сети
Для того, что установить исходящие соединение нужно внедрить вредонос на защищаемый компьютер. Нет вредоноса, нет исходящих соединений.
Если рассматривать защиту исходящих соединений силами сетевых устройств, то она не может быть решена в автоматическом (не конфигурируемом режиме). Существующие методы защиты: репутационные сервисы, анализаторы трафика закрывают проблему лишь частично и требуют постоянного обслуживания со стороны персонала.
Как уже было отмечено, межсетевой экран подобного типа не является панацеей. Для достижения комплексной защищенности он должен применяться с другими средствами защиты, по крайней мере с антивирусом.
С точки зрения позиционирования устройство хорошо справляется с защитой рабочих мест руководителей организаций, подсетей отделов (бухгалтерия, служба безопасности, служба ИБ и т… д.). Подобный уровень защищенности должен быть достигнуть на клиентских частях платежных систем (Интернет Клиент-Банк, АРМ КБР, Swift, ...). С помощью подобного подхода просто и быстро отделить технологические подсети: IoT контролеры, видеонаблюдение, СКУД.nApoBo3
28.11.2016 14:09+1С точки зрения позиционирования устройство хорошо справляется с защитой рабочих мест руководителей организаций, подсетей отделов (бухгалтерия, служба безопасности, служба ИБ и т… д.).
От кого? От ИТ персонала? Ничем ваша коробочка не поможет, элементарно логон скриптом инициализируем все необходимые соединения и получаем доступ.
Подобный уровень защищенности должен быть достигнуть на клиентских частях платежных систем (Интернет Клиент-Банк, АРМ КБР, Swift, ...).
И тут мимо. При атаке на клиентские рабочие места обычно используют зловредов или социальную инженерию.
С помощью подобного подхода просто и быстро отделить технологические подсети: IoT контролеры, видеонаблюдение, СКУД.
Т.е. технологические подсети у нас есть, а следовательно есть маршрутизатор, зачем нам еще одно устройство?
imbasoft
28.11.2016 16:04-1От кого? От ИТ персонала? Ничем ваша коробочка не поможет, элементарно логон скриптом инициализируем все необходимые соединения и получаем доступ.
Сценарий применения раскрыл в коментарии выше
И тут мимо. При атаке на клиентские рабочие места обычно используют зловредов или социальную инженерию.
Указанные вектора атаки имеют место быть, но они относятся к реализации других уязвимостей. Приведу пример. Если рассмотреть танк, то он может быть поражен как снарядом, так и химическим оружием, при этом утверждать что броня «это мимо» потому что есть хим. оружие не совсем корректно.
Разовью мысль на примере защиты платежных узлов.
Первым этапом защиты платежных рабочих станций — вывод с них всего «левого» софта и ограничение доступа в Интернет лишь нужными адресами, при этом локальную сеть компании часто считают доверенной и не защищают компьютеры от доступа из нее и эта ошибка дорого стоит.
Анализ атак на банки, проведенных в прошлом году и причинившие ущерб порядка 1 млрд. рублей показал, что злоумышленики, действовали следующим образом:
1. Используя соц. инжинерию троянят комп. одного из работников, получая плацдарм в сети.
2. С этого рабочего места они начинают развивать атаку, для этого они по характерным типовым именам ищут компьютер, выполняющие роль платежных узлов.
3. Параллельно с поиском они поднимают привелегии сначало до локального админа (mimikatz / WCE) а затем и до доменного.
4. После этого получают админ. доступ к целевой машине и проводят кражу.
Почему так получается?
1. Пароли локальных админов очень часто устанавливаются одинаковыми на всех компьютерах сети.
2. Домен админы, используют одну и туже учетную запись как для всех задач администрирования, в результате чего пароль может быть закэширован на одом из компов, уже скомпрометированным злоумышлеником.
3. Платежный компьютер доступен для доступа по сети.
Что нужно чтобы защитится — устранить ВСЕ указанные проблемы. Одним из надежных вариантов в данном случае будет вывести платежный комп из домена и закрыть его от доступа по сети.
Т.е. технологические подсети у нас есть, а следовательно есть маршрутизатор, зачем нам еще одно устройство?
Если вы админ, умеющий настраивать межсетевое экранирование, то в общем случае вы можете решить все проблемы имеющимися железками. В реальной жизни, взаимодействие работников внутри компаний довольно сложная вещь, и например при внедрении систем видеонаблюдения однажды столкнулся с ситуацией, когда ИТ затянуло сегментирование (отделение) технологической сети на полгода. В таких случаях нужны средства для быстрой и эффективной сегментацииnApoBo3
29.11.2016 14:50Как мне кажеться данная железка скорее вредна, чем полезна. Вернее вредна в силу ощущения мнимой безопасности и совершенно бесполезна с точки зрения реальной безопасности. С тем же успехом можно на сетевой кабель ферритовый фильтр надеть для спокойствия бухгалтера.
Если мы имеем полномочия на целевом компьютере, то железка от нас не защищает. Если мы не имеем полномочий на целевом компьютере, до его безопасность будет целиком и полностью зависеть от того, кто его настраивал, железка в разрезе дополнительной безопасности не прибавит.
По факту данная железка защищает только от не целевой( ботами ) атаки из пределов локальной сети. Данная задача вполне решается встроенными средствами ОС. Не говоря уже о том, что если злоумышленник, как вы предлагаете в примере, имеет права и на сетевом оборудовании и в домене, его квалификация позволит ему обойти и вашу железку. Как вариант, смотрим трафик на вышестоящем роутере и проводим подмену ip адреса на тот с которым соединение уже установлено.
когда ИТ затянуло сегментирование (отделение) технологической сети на полгода. В таких случаях нужны средства для быстрой и эффективной сегментации
Слабо себе представляю такую ситуацию. Т.е. на физическом или l2 уровне вам сегментацию сделали, а на l3 затягивали( что в общем случае заметно проще чем на l2 или физическом )?
Возможно я заблуждаюсь, но тогда хотелось бы увидеть реальную модель угроз в которое есть место такому железу и нет возможности закрыть угрозу с меньшими затратами без использования предложенного варианта.imbasoft
29.11.2016 16:05-1Про практическую безопасность в теории можно спорить до бесконечности.
Если есть желание могу дать тестовый образец «на похакать».
А вот про затраты это интересно. Возьмем например ИП, арендующего в офисном центре помещение. В помещении расположен офис, состоящий 4 компов и сетевой МФУ. Все узлы офиса подключены к неуправляемому коммутатору, а из бизнес центра приходит провод (up-link), с IP-адресуемой сетью, который подключается в коммутатор. В серверной бизнес центра, стоит роутер который NAT-ит всем арендаторам Интренет.
Задача защитить офисную подсеть от доступа со стороны других компаний БЦ.
Классический вариант.
1. Найти специалиста / пригласить лицензиата ФСТЭК, который установит и настроит МЭ / роутер.
2. Купить требуемое МЭ / роутер.
Вариант с данным девайсом
1. Купить его и установить самостоятельно.nApoBo3
29.11.2016 16:33Т.е. ваша железка имеет сертификат ФСТЭК, какой именно? Иначе не очень понятно к чему вы указали необходимость лицензиата ФСТЭК. И почему вашу железку не должен устанавливать он.
Рассмотрим ваш сценарий. Мы говорим о нулевой конфигурации. Т.е. ИП не надо будет вносить НИКАКИЕ настройки в среду и рабочие станции.
От сюда следует, что параметры сети он получает от бизнес центра.
Тут два варианта, бы считаем сеть бизнес центра часть периметра безопасности или не можем доверять его dhcp.
Т.е. или у них все безопасно и один арендатор и так не сможет ходить к другому и мы принимаем это как закрытую угрозу. Или мы не считаем, что угроза зарыта, тогда как быть с не доверенным dhcp?
На всякий случай напоминаю, любой, ну или почти любой, soho роутер из коробки обеспечивает не меньший уровень безопасности и настраивается не опытным пользователей по мануалу в два клика.imbasoft
29.11.2016 17:08-1Указал лицензиата ФСТЭК потому что внедрение и настройка средств защиты информации по Российскому законодательству лицензируемый вид деятельности, а оказание подобных услуг за деньги без лицензии уголовное преступление.
Про бизнес центр — да, подразумевалось что БЦ дает IP по DHCP. Атака Rogue DHCP может стать проблемой, но она имеет много демаскирующих признаков по которым может быть обнаружена.
SOHO роутер из коробки надо настраивать, хоть по мануалу, хоть без мануала. Причем неопытный пользователь для понимания «уверенный пользователь Excel» не сможет его настроить, или скажем так, я таких людей не видел.
Данный девайс настойки не требует. В этом его основная фишка.nApoBo3
29.11.2016 18:36Указал лицензиата ФСТЭК потому что внедрение и настройка средств защиты информации по Российскому законодательству лицензируемый вид деятельности, а оказание подобных услуг за деньги без лицензии уголовное преступление.
Можно ссылку. Не забывает, что в средствам защиты информации относятся только средства прошедшие соответствующую проверку.
Про бизнес центр — да, подразумевалось что БЦ дает IP по DHCP. Атака Rogue DHCP может стать проблемой, но она имеет много демаскирующих признаков по которым может быть обнаружена.
Демаскирующих для кого, для целевой аудитории вашего устройства?
SOHO роутер из коробки надо настраивать, хоть по мануалу, хоть без мануала. Причем неопытный пользователь для понимания «уверенный пользователь Excel» не сможет его настроить, или скажем так, я таких людей не видел.
Не хочу вас расстраивать но люди как-то справляются.imbasoft
29.11.2016 19:12Можно ссылку.
Структура законадательства:
1. ст. 12. п. 5.
Федеральный закон «О лицензировании отдельных видов деятельности»
2. ст. 171 УК РФ «Незаконное предпринимательство»
Не забывает, что в средствам защиты информации относятся только средства прошедшие соответствующую проверку.
К сожалению данная норма не установлена в действующем законадательстве.
Демаскирующих для кого, для целевой аудитории вашего устройства?
…
Не хочу вас расстраивать но люди как-то справляются.
Человек настраивает роутер, но не видит подмены DHCP?
Не хочу вас расстраивать но люди как-то справляются.
Отлично. Им тогда такой девайс не нужен.
grossws
29.11.2016 19:1499-ФЗ "О лицензировании отдельных видов деятельности" вообще забавен, он оговаривает лицензирование разработки и внедрения (но не эксплуатации) средств защиты конфиденциальной информации (в статье 12), но не оговаривает, что такое эта самая "конфиденциальная информация".
imbasoft
29.11.2016 19:22Согласен.
Но это вопрос к Госдуме, ходите на выборы, делайте правильный выбор :)
nApoBo3
28.11.2016 12:49+4Я может быть чего-то не понял, но что тут нового? Стандартная фильтрация по состоянию соединения, первые 10 строчек любого мана по iptable для периметра. Статья больше всего напоминает формальную работу, чтобы где-то на нее можно было поставить ссылки.
imbasoft
28.11.2016 13:15-4Новое в том, что вы берете устройство, подходите к любому компу, подключаете устройство в разрыв между компом и остальной сетью и компу нельзя подключится по сети, при этом вам не надо ничего настраивать на компьютере или межсетевом экране, причем подобную защиту нельзя отключить по сети.
nApoBo3
28.11.2016 14:02+1ОК. Какие направления атаки вы таким образом закрываете?
Использование данного устройства в домашней сети не имеет смысла, она «закрыта» роутером. В корпоративной скорее всего будет прямо запрещено. Остаются публичные сети.
Т.е. устройство должно «защитить» от атаки из публичной сети. Относительную защиту данное устройство даст только от ботов. Ничуть не хуже от них защитит дефолтрая настройка windows с автообновлениями. От атак на пользователя он не поможет никак, в них подключение обычно инициализирует атакуемый.
Hormiga
28.11.2016 13:22+1Я правильно понял, что по сути это — коммутатор третьего уровня с настроенными ACL на портах?
imbasoft
28.11.2016 13:47-1Не совсем, коммутаторы 3-го уровня в качестве параметров фильтрации используют IP-адреса в ACL, в приведенной схеме IP-адреса, как параметры фильтрации не используются, для этого применяется состояние соединения и направление его инициализации (определяемое по порту подключения).
В остальном, девайс похож на коммутатор.jcmvbkbc
28.11.2016 16:11+1в приведенной схеме IP-адреса, как параметры фильтрации не используются, для этого применяется состояние соединения
соединение — это пара IP-адресов/портов.grossws
29.11.2016 18:59В IP-пакете появились порты? Или вы имеете ввиду, что соединение — это транспортный протокол + пара адресов + пара портов? Но с понятием соединения сразу же возникают проблемы при обсуждении, например, udp, где нет явного состояния. Или, как вариант, ftp, где используется более одного tcp соединения..
imbasoft
29.11.2016 19:14В IP пакетах инкапсулируются протоколы более вышестоящих уровней, порты берутся от туда.
Для UDP соединением считается ответ на запрос поступивший с другой стороны.grossws
29.11.2016 19:20Т. е. условный MyCoolP over IP работать не будет (вопреки заявлению, что оно "просто работает"), высокоуровневый протокол типа ftp в active режиме работать не будет (напомню, что там порт для получения данных клиентом не инициирует подключения, а только слушает).
imbasoft
28.11.2016 16:15соединение — это пара IP-адресов/портов.
Важным атрибутом соединения являться его состояние — «новое», «установленное» и т. д.
xcore78
28.11.2016 16:43+1Скажите, а где новизна по сравнению с HOWTO 2002 года?
В заголовке вы лжёте: никаких «новых принципов» не открыто.
В продукте, который вы собираетесь продвигать, есть что-то, составляющее вашу личную интеллектуальную собственность? Расскажите об этом в комментариях.xcore78
28.11.2016 16:48p.s. мне стало интересно, и я полистал другие ваши публикации. С сетевой точки зрения как эта, так и статья про организацию доступа в Интернет очень слабые.
Попробуйте привлечь сетевого инженера для консультаций: даже если маркетинг — ваша единственная цель, он должен быть грамотным.
imbasoft
28.11.2016 17:38Скажите, а где новизна по сравнению с HOWTO 2002 года?
В заголовке вы лжёте: никаких «новых принципов» не открыто.
В указанном HOWTO приведен пример реализации bridge filtering для конкретной ситуации. Автор статьи рассказывает как его настроить, как сделать правила фильтрации для решения конкретных задач.
Причем для описания правил используются конкретные IP адреса и протоколы. Выдержка из документа:
pass in on $int_if proto tcp from any to 1.2.3.4 port = http keep state
Можно ли это применить для другой сети без изменения правил фильтрации? Нет, нельзя, а на изобретение bridge filtering я не претендую.
Новизна предложенного здесь подхода — в функционально законченной схеме фильтрации, не требующей указания конкретных сетевых адресов или номеров портов и которая позволяет защищать клиентские рабочие места в корпоративных сетях от типовых угроз. При этом сама схема фильтрации базируется на анализе направления трафика и учета состояния сетевых соединений, а этого в приведенной выше статье нет.
Данная статья не продвигает никаких продуктов. Она рассказывает о принципе (алгоритме) работы. Но для того, чтобы он был понятен приведена работа конкретного образца, схема организации которого является моей интеллектуальной собственностью.
Однако, если вы не занимаетесь продажей устройств, вы можете использовать подобную схему для своих частных нужд. Это не зависит от моих «хотелок», а закреплено в Российском законодательстве.
satandyh
28.11.2016 18:07+1Может я чего-то не понял. Но разве это супер отличается от работы, например, cisco ASA в режиме transparent?
Я не очень помню, но, вроде, даже на настройках по умолчанию asa работает так как вы описали. А раз так, то где же тут новизна, обещанная в статье?
imbasoft
28.11.2016 18:12ASA умеет работать в прозрачном режиме, равно как и многие другие межсетевые экраны, но подобную схему экранирования, по умолчанию, она не обеспечивает.
Повторюсь, новизна, заявленная в статье — в схеме фильтрации, реализовать данную схему можно различными путями.satandyh
29.11.2016 18:23+1Чукча не ленивый, чукча забывчивый. Потому чукча пошел и проверил.
Прошу не пинать только сильно за ссылки не из первоисточника да на нашем великом языке — дальше первой страницы гугла решил не ходить.
http://www.cisco.com/cisco/web/support/RU/10/100/100274_Transparent-firewall.pdf
http://ciscomaster.ru/content/cisco-asa-842-s-nulya-chast-3-asa-i-asdm
Прошу не писать такой кривды или пояснить отличия детально.imbasoft
29.11.2016 19:18CISCA ASA — transparent firewall, который нужно конфигурировать.
Рассматриваемый фаервол — неконфигурируемое устройство, которое выполняет только определенную задачу, в этом принципиальное отличие.
imbasoft
29.11.2016 15:26Уважаемые читатели Хабра, минусующие статью и комменты поделитесь пожалуйста в чем фишка?
В данной статье я поделился своей наработкой, постарался ее красиво и понятно оформить.
То что здесь написано плод сугубо моих изысканий нигде не сворованный и нигде не переписанный. Подход запатентован, но если вы не собираетесь зарабатывать на этом деньги, вы можете это свободно использовать,
еще раз подчеркну, это не просто мои хотелки, а действующее законодательство. По-моему все честно.
Да есть, способы достичь подобного функционала другими средствами, я этого не отрицаю и более того. специально многократно указываю это в статье и комментах, которые кстати тоже базируется на примерах из реальной жизни. Более того если вы опытный ИТ-специалист, вы сможете это сделать как угодно, хоть на ассемблере, хоть на Arduino, но это здорово, я рад за вас, но к сожалению не все такие как вы.
Вы пишите где новизна и это уже все есть. Ок, покажите где это есть. Дайте линк на реальное устройство, которое действительно делает тоже самое, а не является домыслом. Один из комментаторов приводит мануал по настройке и говорит что там одно и тоже. Но там не одно и тоже, Возможно, базируясь на данном мануале можно сделать похожу вещь, потому как описываемый принцип довольно прост. Но если следовать этой логике, тогда зачем на хабре постят программы? Читайте мануал по языку программирования там все написано. Так что ли?
По своей работе я постоянно сталкиваюсь с расследование инцидентов и видел довольно большое количество реальный сетей, админят которые специалисты с пачкой сертификатов.
Но когда смотришь поглубже правила фильтрации вида «any to any allow» встречается сплошь и рядом. Когда спрашиваешь у админов почему вы так делаете начинается разговор вида: «по best practice нужно сначала это, потом то, а вот соседний отдел нам этого не дал и вообще это наследие прежних админов и лучше не трогать иначе что-то сломается....» Ну так, если существующие best practice в реальной жизни приводят к «any allow», то значит с ними что-то не так…
Многие методики обеспечения информационной безопасности очень трудоемки, в то время информационных безопасников в подавляющем количестве реальных организации 0-1. Да-да, именно так. Причем в большинстве случаев задача обеспечения ИБ ложится на админов, но у админов другие должностные обязанности. Для них важно чтоб работало. А украдут или не украдут деньги это еще как повезет, и вообще к тому времени они могут уже уволится.
Возвращаясь к новизне. Новизна подхода в том, что можно сделать полностью не обслуживаемое и простое устройство с неизменным функционалом, что позволяет существенно снизить трудоемкость в обсуживании. Это устройство не защитит от всех возможных атак, но от тех для борьбы с которыми оно предназначено справится на 100%.
Почему важно снизить тудоемкомсть? Дело в том, что постепенно правила фильтрации реальных межсетевых экранов превращаются в помойку вида (allow any), которая как-то работает, но если в ней что-то подправить может что-то сломаться. Если мне не верите, откройте правила Windows Firewall компьютера, ОС на котором не переустанавливалась несколько лет годами. Чтобы этого не происходило за межсетевым экраном нужно регулярно следить, а в реальности это делается в лучшем случае когда вносятся изменения, либо не делается вообще. Потому как у начальника сегодня «Срочно, срочно, мегаважная задача и все что делалось до этого нужно бросить и делать только ее».
Поэтому если вы даете оценку, то делайте это хоть бы справедливо и аргументировано. Я с удовольствием прислушаюсь к конструктивной критике.nApoBo3
29.11.2016 16:56+2В статье вы претендуете на некоторое ноухау, при это самого ноухау нет.
Нормально когда ребенок приносит тебе машинку из пластеина, на которую без слез смотреть нельзя, а ты умиляешь и хвалишь его, он даже может сказать, что сам изобрел пятое колесо, и ты подивишься какой он умный.
Но аналогичная ситуация не дипломом проекте вызовет в лучшем случае смех.
А подобные вещи в виде маркетинга вызывают стойкое отторжение у квалифицированной публики, равно как и браслеты из циркония.
Наверно не стоит ожидать от технического ресурса одобрения продукта состоящего из одной строчки
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
imbasoft
29.11.2016 17:21Когда я писал статью то выбрал именно такое название, потому что описал файервол не требующий настройки. Поскольку все остальные файерволы требуют настройки, а этот нет я посчитал это новизной.
Отсутствие необходимости конфигурирования наряду с возможностью быстрого внедрения создает не технический эффект возможности применения устройства не специалистами для формирования базовой защиты.
По совокупности этих факторов и я по считал что это ноу-хау, поскольку других аналогичных решений или технологий я не видел, да и в комментариях к статье их не привели.
Спасибо, что раскрыли суть негатива, надо было выбрать другое название. Потому что для хабровчан что-то новое, это наверно только EM-drive :)xcore78
29.11.2016 18:01Расскажите (если это не является тайной), как происходит авто-определение защищаемого порта.
Потому что какие-то адреса в конфигурации все равно так или иначе должны появиться — пусть и автоматически (PoC для pf). Перезагрузку они могут не переживать, конфигурироваться по ТЗ не должны, но определенно пригодятся для задачи отслеживания established потоков (которые, разумеется, не ограничиваются TCP/IP).
imbasoft
29.11.2016 18:14Если речь про согласовании скорости Ethernet 10M/100M/1G… то это на откупе электроники железа.
Если речь идет про соотнесение того какой порт внутренний (доверенный), а какой нет, то это жестко прописывается в самой системе, например eth1 — внешний порт, eth2 — внутренний.
Дальше трафик маркируется, если пришел (source) из eth2, то он считается внутренний.
При экспериментах на девайсе, wireshark не показал никаких других адресов (IP, MAC), кроме тех что относятся узлам работающим через девайс.
Germanets
В чём отличия данного межсетевого экрана, либо его поведения, от стандартного Брандмауэра Windows с настройками по умолчанию? Кроме поддержки других ОС(в которых наверняка есть аналоги), аппаратной реализации, и отсутствия возможности каким-либо образом его настроить?
imbasoft
Windows Firewall — имеет по меньшей мере 3 профиля безопасности. Функционал данного устройства будет похож на работу WF с не измененным профилем «Общественная сеть», а вот профиль «Сеть предприятия» будет уже давать совсем другую картину.
Проблема при использовании Windows Firewall в том, что со временем, в моменты когда вы устанавливаете софт, в нем начинают накапливаться исключения, открывающие доступ к компьютеру по сети, при этом, исключения создаются на программу в целом, что может привести к тому, что малварь, переписав исполняемый файл добавленный в исключения получит доступ в сеть. Да и в целом, борьба малвари и программных средств защиты это бесконечный бой с переменным успехом то одной то другой стороны.
Другой проблемой при использовании WF, является то, что он может быть удаленно отключен (при работе машины в домене) и затем включен обратно. Поэтому нельзя говорить, что он обеспечивает гарантированную безопасность.
По сравнению с WF данный подход гарантирует базовый уровень безопасности, на который нельзя повлиять каким-либо образом.
Другим бонусом будет то, что с помощью подобного устройства можно быстро защитить подсеть небольшого отдела (например, бухгалтерии), где компьютеры будут доступны друг для друга, но недоступны из остальной сети
Germanets
В общем, получается всё очень спорно, если разбирать каждый случай отдельно, так как все вышеперечисленные проблемы либо остаются в обоих случаях, либо одинаково не решаются ни одной. Могу разобрать по пунктам, но я думаю и так понятно, что будет, сели мы не доверяем системному администратору(который вдруг решил отключить фаервол) или если вдруг у нас на компьютере и так появилась малварь.
Единственное, от чего может защитить такой фаервол — это от прямого сканирования извне, чего можно добиться, банально, NATом. Больших функциональности я в данном случае не вижу, и результат получается очень и очень спорным.
imbasoft
Приведенный принцип межсетевого экранирования не является панацеей, а то что он делает можно сделать и другими способами, но для того чтобы это сделать нужно иметь квалификацию, в то время как в данном случае можно просто подключить устройство.
С точки зрения безопасности особенность устройства в другом. Внешнее аппаратное устройство устойчиво к отключению по сети и обеспечивает защиту от входящих соединений, то есть одну из угроз мы закрыли.
Попадание малвари на защищаемый компьютер и открытие ей исходящих соединений в общем случае не решает ни одно средство защиты. Пример — 80% организаций, у которых были украдены деньги через Клиент-Банк имели на защищаемом компьютере действующий лицензионный антивирус. И что теперь не ставить антивирус вообще? Если поступить так, то количество пострадавших возрастет в геометрической прогрессии.
С точки зрения защиты от администраторов данное устройство может помочь, но не от всех возможных угроз. Если взять корпорат, то там существуют два типа админов:
1. Доменные администраторы 1-3 человека. Высокооплачиваемые сотрудники (100 +) имеют возможность создавать групповые политики и совершать любые действия в домене и на телекоммуникационном оборудовании компании. От них данный девайс не спасет, поскольку они могут протроянить целевой комп с помощью групповой политики.
2. Работники тех. поддержки 5-10 человек. Мало либо среднее оплачиваемые работники (40+), а иногда студенты. Обладают паролем локального администратора. От них данный девайс может защитить, поскольку они не обладают возможностью установки софта удаленно.
Едем дальше — предположим есть компания, в которой существует служба экономической безопасности (СЭБ). В общем случае у работников этой службы есть конфликт интересов с работниками ИТ, поскольку СЭБ должна следить за в том числе и за ИТ. При этом работники СЭБ обычно бывшие силовики МВД, ФСБ,… имеющие базовые ИТ знания, но не обладающие достаточным опытом для самостоятельной настройки средств защиты. Все компьютеры компании объедены в домен. По умолчанию доменными политиками межсетевой экран на рабочих станциях отключается. Получается что все рабочие материалы, хранящиеся на компьютерах работников данной службы доступны любому, кто знает пароль локального или доменного админа. Смена паролей администраторов это целая эпопея, на которую ИТ по своей воле не идет никогда.
Получается люди увольняются, а пароли не меняются годами…
Теперь посмотрим что будет если для защиты отдела СЭБ подключить данное устройство. Все, доменные админы и работники тех. поддержки потеряют доступ к компам отдела. Если злоумышленник домен. админ, то он с помощью групповых политик или логин скриптов может внедрить малварь и восстановить доступ, но это уже дополнительные действия, которые могут его выдать (например другому домен. админу) и на практике на это решаются не многие.
Если не применять данный девайс, то как защититься СЭБ? Приглашать внешних ИТ? Это деньги и расширение круга злоумышлеников…
Еще раз подчеркну, данное устройство не надо рассматривать как волшебную пилюлю от всех бед и лучшую чем любые другие решения. Его цель помочь мало квалифицированным пользователям выстроить базовую систему безопасности, эффективность которой всегда оценивается по отношению затрат к полученному результату.
Для того чтобы это понять приведу пример — замки на квартирах. У всех у нас квартира запирается на ключ, при этом для специалиста вскрыть ее не составляет труда — https://www.youtube.com/watch?v=uMvx0GtfEOk, но в то же время это не отменяет необходимости их применения.
Возвращась к СЭБ могут ли они защитится WF? Да могут, но это защита будет действовать до очередных изменений в настройках WF, за которыми им придется пристально следить и понимать что там меняется.
molnij
А где тут выигрывает ваше решение?
Малварь точно также инициирует запрос на внешний ресурс изнутри «защищенного» контура, после установки на машину пользователя. Дыры в браузерах точно также эксплуатируются после входа на зараженный сайт.
imbasoft
Мое решение больше ориентировано на борьбу с внутренним злоумышлеником. От малвари на компе не она, ни WF не защитят. Но в отличии от WF, при ее использовании установка софта (не малвари) не открывает дыры для подключения.