Русский
Русский
English
Статистика
Реклама

Фильтрация трафика

Туннель под безопасностью и брокеры сетевых пакетов

25.08.2020 20:14:31 | Автор: admin
В современных сетях с виртуализацией и автоматизацией широкое применение получило туннелирование трафика. Однако, туннелирование ориентировано на построение сети и обеспечение надежной передачи данных, а вопросы информационной безопасности и мониторинга обычно остаются за скобками. Проблема невидимости туннелированного трафика для систем информационной безопасности давно известная проблема уже в 2011 году было опубликовано RFC 6169 Security Concerns with IP Tunneling, указывающее на потенциальные риски применения туннелей. Непосредственно средства DPI не отстают от инфраструктуры и уже давно разбирают туннели и смотрят пользовательский трафик (когда это в целом технически возможно), однако, остается узкое место передача данных из инфраструктуры на эти системы.

image


Туннелирование и передача трафика в системы мониторинга и информаицонной безопасности


GTP, GRE, L2TP, PPPoE, VXLAN и другие аббревиатуры туннелей знакомы любому сетевому инженеру. Туннелирование трафика позволяет:

  • Обеспечить управление потоками данных за счёт построения сети на 3 уровне модели OSI
  • Связывать удаленные офисы в единую сеть с общими ресурсами
  • Упрощать администрирование сети за счёт разделения на уровень инфраструктуры и уровень пользователей
  • Строить единые сети на базе различных технологий
  • Обеспечивать мобильность пользователей (мобильные сети, миграция виртуальных машин в дата-центрах)

Но применение туннелей накладывает дополнительные требования и в части обеспечения информационной безопасности.

Большая часть систем информационной безопасности и системы мониторинга работают с копией трафика. При этом передача данных из инфраструктуры обеспечивается одним из трех способов:

  1. Пакеты дублируются посредством дополнительных функций сетевого оборудования и отправляются в выделенные (SPAN) порты
  2. В оптическую линию устанавливаются пассивные ответвители трафика (TAP), разделяющие оптическую мощность на две линии изначальному получателю и в систему DPI
  3. В инфраструктуру добавляется брокер сетевых пакетов, выполняющий функцию зеркалирвания пакетов, как и в случае с TAP изначальному получателю и в систему DPI

Как мы уже писали раннее в современной инфраструктуре SPAN-порты практически не используются: они не обеспечивают ни требуемую пропускную способность, ни гарантию передачи данных. Туннели только усугубляют проблему: критерием передачи в порт мониторинга может быть только поля внешнего заголовка (заголовка туннелей) и таким образом предварительная фильтрация по полям пользовательских пакетов (вложенным заголовкам) становится невозможной.

Чаще всего применяется комбинация из пассивных оптических ответвителей и брокеров сетевых пакетов.

image


TAP обеспечивают сохранение надежности сети, а брокеры сетевых пакетов обеспечение корректной передачи данных на системы DPI и оптимизацию их использования. Однако при использовании туннелирования это возможно только в одном случае если брокер сетевых пакетов поддерживает анализ туннельных конструкций и может распределять трафик на основании вложенных заголовков пакетов туннелированного трафика.

Фильтрация и классификация туннелированного трафика


Без возможности анализа брокером сетевых пакетов вложенных заголовков туннелированных пакетов бессмысленно говорить об оптимизации средств DPI. Фильтрация и классификация, позволяющие снизить нагрузку на системы DPI и уменьшить их количество, должны работать именно по полям пользовательского трафика (вложенных заголовков). Иначе отделить IP-адреса конкретных пользователей, требуемые протоколы или шифрованный трафик невозможно по внешним полям это будет просто туннель. Попытка очистить трафик на системы DPI от нецелевого по внешним полям только создаст дыру в безопасности целевой трафик проскользнет мимо информационной безопасности и мониторинга в туннеле.

image


В результате, при отсутствии функции анализа по вложенным заголовкам, для обеспечения безопасности или качественного мониторинга, весь трафик необходимо направлять на системы анализа. Покупать новые сервера и лицензии на дополнительную производительность, арендовать помещения для серверных и нанимать дополнительных сотрудников, которые будут этот парк обслуживать.

Балансировка туннелированного трафика


Еще более многогранна проблема балансировки туннелированного трафика. Во-первых, при распределении пользовательских пакетов между разными туннелями (в мобильных сетях, при резервировании с балансировкой нагрузки, да и просто при передаче прямого и обратного потока по разным туннелям) без анализа вложенных заголовков невозможно обеспечить целостность сессий пользовательского обмена.

image


Возьмём 2 сессии (AB-ВА и CD-DC) и передадим их через туннелированные каналы T1, T2 и T3. Допустим, речь идёт об абонентах мобильного оператора, гуляющих между базовыми станциями. Пакеты этих сессий окажутся в разных туннелях и при попадании туннелированного трафика на брокер сетевых пакетов есть 2 варианта их балансировки с сохранением целостности сессий:

  1. Балансировка по внешним заголовкам. Фактически брокер сетевых пакетов при этом разделит разные туннели между системами DPI: Т1 и Т3 в DPI 1, а Т2 в DPI 2. При этом пакеты запросов (AB) информационного потока AB-BA, инкапсулированные в туннели Т1 и Т2 для обеспечения мобильности абонента, оказываются в разных системах DPI, а пакеты ответов (BA) в туннелях Т2 и Т3, соответственно, попадут в DPI 1 и DPI 2. Аналогичная ситуация произойдет и с информационным потоком CD-DC. Большинство систем DPI для корректной работы требуют все данные информационного обмена. Декапсулируя трафик, каждая из систем DPI увидит обрывки информационного обмена, посчитает его не требующим обработки (как несостоявшегося) или обработает некорректно. Данная балансировка может быть интересна для мониторинга состояния отдельных участков инфраструктуры (когда в систему анализа на самом деле должны прийти именно все пакеты заданного туннеля), но для этого обычно используется фильтрация.
  2. Балансировка по вложенным заголовкам. Брокер сетевых пакетов для балансировки игнорирует внешние заголовки и распределяет пакеты между системами DPI с сохранением целостности сессий AB-BA и CD-DC. При этом для мониторинга состояния отдельных участков инфраструктуры можно настроить фильтрацию по внешним заголовкам. Таким образом каждое средство DPI получит цельный поток информационного обмена пользователей, а средства мониторинга все пакеты заданного туннеля.


Второй проблемой балансировки туннелированного трафика служит неравномерность загрузки туннелей. При мониторинге высоконагруженных каналов с небольшим количеством туннелей возникает проблема их неравномерной загрузки и потери пакетов в связи с превышением производительности выходного порта.

image


То есть, если сессии AB и CD по 10 Гбит/с каждая инкапсулированы в туннель T1, то получается 20 Гбит/с трафика (которые могут передаваться по интерфейсу 40GbE/100GbE или через агрегированные каналы LAG 10GbE). После копирования и попадания данного потока в брокер сетевых пакетов возникает необходимость разбалансировать этот трафик на несколько систем DPI по интерфейсам 10 GbE. Сделать это с сохранением целостности сессий используя внешние заголовки невозможно поток превысит пропускную способность выходного интерфейса и пакеты начнут теряться.

Балансировка по вложенным заголовкам обеспечивает возможность разделить поток на более мелкие без ущерба для целостности информационного обмена и качества работы систем DPI.

Балансировка фрагментированного туннелированного трафика


Отдельной проблемой при балансировке является фрагментация трафика, вызванная туннелированием: добавление туннельных заголовков приводит к превышению MTU и фрагментации пакетов.

image


Когда на вход туннелирующего устройства приходит пакет с размером равным MTU, то после добавления туннельных заголовков пакет начинает MTU превышать (на количество байт туннельного заголовка) и делится на фрагменты. Причём вложенный заголовок содержится только в первом фрагменте. В результате два пакета одной сессии (AB1 и AB2), попавшие в разные туннели (T1 с заголовком XY и T2 с заголовком XZ) превращаются в четыре пакета:

  • с внешним заголовком XY и вложенным заголовком AB
  • с внешним заголовком XY без признаков туннелирования
  • с внешним заголовком XZ и вложенным заголовком AB
  • с внешним заголовком XZ без признаков туннелирования

В данном случае без функции отслеживания фрагментов выбор будет между нарушением целостности информационного потока из-за распределения разных туннелей между разными системами DPI и нарушением целостности информационного потока из-за распределения разных фрагментов между разными системами DPI. Отслеживание фрагментов с балансировкой по вложенным заголовкам обеспечивает сохранение целостности даже в таких случаях.

Столкнувшиеся с указанными проблемами в большой части трафика понимают их и решают. Как обычно хуже всего, когда проблема касается менее 10% трафика она может быть незаметна и создается иллюзия, что всё в безопасности. А под безопасностью туннель.
Подробнее..

Обзор основного функционала Sophos XG Firewall (часть 1 Мониторинг и аналитика)

01.10.2020 10:13:11 | Автор: admin

Всем привет! В продолжение данной статьи хочу рассказать вам подробнее о функционале, который предлагает решение Sophos XG Firewall и познакомить с веб интерфейсом. Коммерческие статьи и документы это хорошо, но ведь всегда интересно, а как же решение выглядит в живую? Как все там устроено? Итак, приступим к обзору.

В данной статье будет показана первая часть функционала Sophos XG Firewall это Мониторинг и аналитика. Полный обзор выйдет как цикл статей. Идти мы будем, отталкиваясь от веб интерфейса Sophos XG Firewall и таблицы лицензирования



Центр управления безопасностью


И вот мы запустили браузер и открыли веб интерфейс нашего NGFW, мы видим приглашение ввести логин и пароль для входа в админку



Вводим логин и пароль, который мы задавали при первоначальной активации и попадаем в наш центр управления. Выглядит он так



Почти каждый из данных виджетов кликабелен. Можно провалиться в инцидент и посмотреть подробности.

Давайте разберем каждый из блоков, и начнем мы с блока System

Блок System




Данный блок отображает состояние машины в реальном времени. Если нажать на любую из иконок, то мы перейдем на страницу с более подробной информацией о состоянии системы



Если в системе есть проблемы, то данный виджет об этом просигнализирует, а на странице информации можно посмотреть причину



Переходя по вкладкам, можно получить больше информации о разных аспектах работы межсетевого экрана







Блок Traffic insight




Данный раздел дает нам представление о том, что происходит у нас в сети на данный момент и что происходило за последние 24 часа. Топ 5 веб категорий и приложений по трафику, сетевые атаки (срабатывание IPS модуля) и топ 5 заблокированных приложений.

Также, отдельно стоит выделить раздел Cloud Applications. В нем можно посмотреть наличие в локальной сети приложений, которые используют облачные сервисы. Общее их число, входящий и исходящий трафик. Если нажать на данный виджет, то мы провалимся на страницу информации по облачным приложениям, где сможем более подробнее посмотреть, какие облачные приложения есть в сети, кто ими пользуется и информацию о трафике



Блок User & device insights




В данном блоке показана информация о пользователях. Верхняя строчка показывает нам информацию о зараженных компьютерах пользователей, собирая информацию с антивируса от Sophos и передавая ее в Sophos XG Firewall. По этой информации Firewall может, при заражении, отключать компьютер пользователя от локальной сети или сегмента сети на L2 уровне блокируя все связи с ним. Более подробней о Security Heartbeat было в этой статье. Далее две строчки это контроль приложений и облачная песочница. Поскольку это отдельный функционал, в этой статье он не будет рассматриваться.

Стоит обратить внимание на два нижних виджета. Это ATP (Advanced Threat Protection) и UTQ (User Threat Quotient).

Модуль ATP блокирует соединения с C&C, управляющими серверами ботнет сетей. Если устройство в вашей локальной сети попало в ботнет сеть, то данный модуль сообщит об этом и не даст подключится к управляющему серверу. Выглядит это таким образом





Модуль UTQ присваивает каждому пользователю индекс безопасности. Чем больше пользователь старается перейти на запрещенные сайты или запустить запрещенные приложения, тем выше становится его рейтинг. Опираясь на эти данные, можно заранее провести обучение для таких пользователей не дожидаясь того, что, в конечном итоге, его компьютер будет заражен вредоносным ПО. Выглядит это так



Далее идет раздел общей информации об активных фаервольных правилах и горячие отчеты, которые можно быстро скачать в pdf формате



Перейдем к следующему разделу меню Current activities

Current activities




Начнем обзор с вкладки Live users. На данной странице мы можем посмотреть, кто из пользователей подключен на данный момент к Sophos XG Firewall, метод аутентификации, ip адрес машины, время подключения и объем трафика.

Live connections




На данной вкладке отображаются активные сессии в реальном времени. Данную таблицу можно фильтровать по приложениям, пользователям и IP адресам клиентских машин.

IPsec connections




На данной вкладке отображается информация о активных соединениях IPsec VPN

Вкладка Remote users


На вкладке Remote users находится информация о удаленных пользователях, которые подключились через SSL VPN



Также, на этой вкладке можно посмотреть трафик по пользователям в реальном времени и принудительно отключить любого пользователя.

Пропустим вкладку Reports, так как система отчетов в данном продукте очень объемна и требует отдельной статьи.

Diagnostics




Сразу открывается страница с разными утилитами поиска проблемы. В них входит Ping, Traceroute, Name lookup, Route lookup.

Далее идет вкладка с системными графиками загрузки железа и портов в реальном времени

System graphs




Затем вкладка, где можно проверить категорию веб ресурса

URL category lookup




Следующая вкладка Packet capture это, по сути, встроенный в веб интерфейс tcpdump. Можно также писать фильтры

Packet capture






Из интересного стоит отметить то, что пакеты преобразуются в таблицу, где можно отключать и включать дополнительные столбцы с информацией. Этот функционал очень удобен для поиска сетевых проблем, например можно быстро понять какие правила фильтрации применились на реальный трафик.



На вкладке Connection List можно посмотреть все существующие коннекты в реальном времени и информацию по ним

Connection List





Заключение


На этом мы закончим первую часть обзора. Мы рассмотрели только самую малую часть имеющегося функционала и вообще не касались модулей защиты. В следующей статье разберем встроенный функционал отчетности и фаервольные правила, их виды и назначения.

Спасибо за уделенное время.

Если у Вас будут вопросы по коммерческой версии XG Firewall, Вы можете обращаться к нам компанию Фактор груп, дистрибьютору Sophos. Достаточно написать в свободной форме на sophos@fgts.ru.
Подробнее..

Удаленная работа или обзор VPN в Sophos XG Firewall

07.10.2020 18:18:13 | Автор: admin


Всем привет! Данная статья будет посвящена обзору функционала VPN в продукте Sophos XG Firewall. В предыдущей статье мы разбирали, как получить бесплатно данное решение по защите домашней сети с полной лицензией. Сегодня мы поговорим о функционале VPN который встроен в Sophos XG. Я постараюсь рассказать, что умеет данный продукт, а также приведу примеры настройки IPSec Site-to-Site VPN и пользовательского SSL VPN. Итак, приступим к обзору.

Первым делом посмотрим на таблицу лицензирования:



Более подробно о том, как лицензируется Sophos XG Firewall можно прочитать тут:
Ссылка
Но в данной статье нас будут интересовать только те пункты, которые выделены красным.

Основной функционал VPN входит в базовую лицензию и приобретается только один раз. Это пожизненная лицензия и она не требует продления. В модуль Base VPN Options входит:

Site-to-Site:

  • SSL VPN
  • IPSec VPN

Remote Access (клиентский VPN):

  • SSL VPN
  • IPsec Clientless VPN (с бесплатным пользовательским приложением)
  • L2TP
  • PPTP

Как видим, поддерживаются все популярные протоколы и типы VPN соединений.

Также, в Sophos XG Firewall есть еще два типа VPN соединений, которые не включены в базовую подписку. Это RED VPN и HTML5 VPN. Данные VPN соединения входят в подписку Network Protection, а это значит, чтобы использовать данные типы необходимо иметь активную подписку, в которую, также входит и функционал защиты сети IPS и ATP модули.

RED VPN это проприетарный L2 VPN от компании Sophos. Данный тип VPN соединения имеет ряд преимуществ по сравнению с Site-to-site SSL или IPSec при настройке VPN между двумя XG. В отличии от IPSec, RED туннель создает виртуальный интерфейс на обоих концах туннеля, что помогает при траблшуте проблем, и в отличии от SSL, данный виртуальный интерфейс полностью настраиваемый. Администратор имеет полный контроль над подсетью внутри RED туннеля, что позволяет проще решать проблемы маршрутизации и конфликты подсетей.

HTML5 VPN или Clientless VPN Специфический тип VPN, позволяющий прокидывать сервисы через HTML5 прямо в браузере. Типы сервисов, которые можно настроить:

  • RDP
  • Telnet
  • SSH
  • VNC
  • FTP
  • FTPS
  • SFTP
  • SMB

Но стоит учесть, что данный тип VPN применяется, только, в особых случаях и рекомендуется, если есть возможность, использовать типы VPN из списков выше.

Практика


Разберем на практике, как настроить несколько из данных типов туннелей, а именно: Site-to-Site IPSec и SSL VPN Remote Access.

Site-to-Site IPSec VPN


Начнем с того, как настроить Site-to-Site IPSec VPN туннель между двумя Sophos XG Firewall. Под капотом используется strongSwan, что позволяет подключиться к любому маршрутизатору с поддержкой IPSec.

Можно использовать удобный и быстрый wizard настройки, но мы пойдем общим путем, чтобы на основе данной инструкции можно было совместить Sophos XG с любым оборудованием по IPSec.

Откроем окно настроек политик:



Как мы видим, существуют уже предустановленные настройки, но мы будем создавать свою.





Настроим параметры шифрования для первой и второй фазы и сохраним политику. По аналогии, делаем такие же действия на втором Sophos XG и переходим к настройке самого IPSec туннеля



Вводим название, режим работы и настраиваем параметры шифрования. Для примера будем использовать Preshared Key



и укажем локальные и удаленные подсети.



Наше соединение создано



По аналогии, делаем такие же настройки на втором Sophos XG, за исключением режима работы, там поставим Initiate the connection



Теперь у нас есть два настроенных туннеля. Далее, нам надо их активировать и запустить. Делается это очень просто, надо нажать на красный кружок под словом Active чтобы активировать и на красный кружок под Connection, чтобы запустить коннект.
Если мы видим такую картинку:


Значит наш туннель работает корректно. Если второй индикатор горит красным или желтым, значит что-то неправильно настроили в политиках шифрования или локальных и удаленных подсетях. Напомню, что настройки должны быть зеркальными.

Отдельно хочу выделить, что можно из IPSec туннелей создавать Failover группы для отказоустойчивости:



Remote Access SSL VPN


Перейдем к Remote Access SSL VPN для пользователей. Под капотом крутится стандартный OpenVPN. Это позволяет пользователям подключаться через любой клиент, который поддерживает .ovpn конфигурационные файлы (например, стандартный клиент подключения).

Для начала, надо настроить политики OpenVPN сервера:



Указать транспорт для подключения, настроить порт, диапазон ip адресов для подключения удаленных пользователей



Также, можно указать настройки шифрования.

После настройки сервера, приступаем к настройке клиентских подключений.



Каждое правило подключения к SSL VPN создается для группы или для отдельного пользователя. У каждого пользователя может быть только одна политика подключения. По настройкам, из интересного, для каждого такого правила можно указать, как отдельных пользователей, кто будет использовать данную настройку или группу из AD, можно включить галочку, чтобы весь трафик заворачивался в VPN туннель или указать доступные для пользователей ip адреса, подсети или FQDN имена. На основе данных политик будет автоматически создан .ovpn профайл с настройками для клиента.



Используя пользовательский портал, пользователь может скачать как .ovpn файл с настройками для VPN клиента, так и установочный файл VPN клиента со встроенным файлом настроек подключения.



Заключение


В данной статье мы вкратце пробежались по функционалу VPN в продукте Sophos XG Firewall. Посмотрели, как можно настроить IPSec VPN и SSL VPN. Это далеко не полный список того, что умеет данное решение. В следующих статьях постараюсь сделать обзор на RED VPN и показать, как это выглядит в самом решении.

Спасибо за уделенное время.

Если у Вас будут вопросы по коммерческой версии XG Firewall, Вы можете обращаться к нам компанию Фактор груп, дистрибьютору Sophos. Достаточно написать в свободной форме на sophos@fgts.ru.
Подробнее..

Категории

Последние комментарии

  • Имя: Макс
    24.08.2022 | 11:28
    Я разраб в IT компании, работаю на арбитражную команду. Мы работаем с приламы и сайтами, при работе замечаются постоянные баны и лаги. Пацаны посоветовали сервис по анализу исходного кода,https://app Подробнее..
  • Имя: 9055410337
    20.08.2022 | 17:41
    поможем пишите в телеграм Подробнее..
  • Имя: sabbat
    17.08.2022 | 20:42
    Охренеть.. это просто шикарная статья, феноменально круто. Большое спасибо за разбор! Надеюсь как-нибудь с тобой связаться для обсуждений чего-либо) Подробнее..
  • Имя: Мария
    09.08.2022 | 14:44
    Добрый день. Если обладаете такой информацией, то подскажите, пожалуйста, где можно найти много-много материала по Yggdrasil и его уязвимостях для написания диплома? Благодарю. Подробнее..
© 2006-2024, personeltest.ru