Привет, Хабр!
Так получилось, что с появлением в компаниях и организациях служб, связанных с информационной безопасностью, простые сетевики и сисадмины начали получать требования и рекомендации о необходимости запретить доступ от пользователей до определенных веб‑ресурсов. Аналогично, и в обратном направлении: запретить трафик от тысячи IP из интернета до узлов предприятия внутри сети. Неважно, какую роль выполняет узел: работает в качестве сервера ВКС, VPN шлюза или веб‑сайта.
Вы, возможно, возмутитесь и скажете: «но это не касается сетевиков и сисадминов!» Однако, давайте взглянем правде в глаза: бóльшую часть «дорожной карты по ИБ» снова «скидывают» на сетевиков и сисадминов, а сами задания должны выполняться в кратчайшие сроки.
В этой статье расскажем, как всё настроить на шлюзах Zyxel серий ATP и USG Flex, почему был выбран режим «прозрачного файрволла», чем подошёл именно он и как его настроить для блокировки транзитного интернет‑трафика.
Оглавление:
1. Введение.
Начнём с того, что у обычного предприятия на границе сети есть узлы как:
гостевой Wi-Fi шлюз,
VPN шлюз,
какая-нибудь специфичная железка на аутсорсинге,
веб-сайт, ВКС и т.д.,
прокси-сервер.
Все они оснащены «белым» статическим IP‑адресом и выходят в интернет по стандартной схеме как на рис. 1.
От атак, нежелательных подключений из интернета каждый узел защищается «своими силами». Ограничение доступа пользователей, гостей до сайтов, веб‑ресурсов, находящихся в интернете тоже осуществляется «силами» узла, через который выходят в интернет.
В принципе всех всё устраивало до появления рекомендаций по ИБ, в которых требуют запретить доступ в интернет на нежелательные сайты, веб‑ресурсы по URL, IP от пользователей, гостей. Также требуют запретить по IP весь трафик из интернета до VPN шлюза, веб‑сайта. В рекомендациях присылают IP поштучно, но бывают списки из 3000, 9000 IP.
Нововведённая обязанность стала трудоёмкой, приходится пару раз в неделю блокировать по одному или нескольким IP на всех пяти устройствах из рис.1.
А если какое‑то нынешнее оборудование не позволяет блокировать URL и IP в силу ограниченного функционала или оно сложное, навыков и знаний не хватает работать с ним на «ты» или, как пример, одно из устройств на аутсорсинге и внести изменения не получится из‑за ограниченного функционала и много других причин.
Менять такое проблемное оборудование тоже не готовы в силу многих причин, это влечёт простаивание интернет‑процессов, настройку, отладку, переписывание правил исключений для особо важных персон. Вдруг новое оборудование «не заработает», представьте сколько «вони» будет.
Есть же правило такое «Работает? Не трогай».
Логично, возникает вопрос, как поступить в такой ситуации?
2. Предложение.
Выход есть. Как вар иант, разместить межсетевой экран (он же файрволл, брандмауэр), поддерживающий режим «прозрачного файрволла (transparent firewall)» между провайдером и коммутатором, рис. 2 (зелёные стрелки).
О прозрачных файрволлах много написано в интернете, например, тут.
И тогда получится по рекомендациям ИБ запретить трафик по IP из интернета одновременно до всех узлов предприятия и от них в интернет. Также появится возможность разрешить только из одной страны подключения до серверов предприятия как ВКС, VPN шлюз.
3. Какое оборудование подойдёт? Отличия
Подойдут межсетевые экраны ATP / USG Flex, они поддерживают режим прозрачного файрволла.
Ключевые отличия USG Flex между 50/50AX/100/100W/100AX/200/500/700:
в пропускной способности и других количественных параметров (количество сессий, VLAN, VPN);
в наименовании и количестве физических портов;
окончания «W», «AX» означают наличие встроенного модуля Wi‑Fi антенн (модель с «W» поддерживает стандарты 802.11 a/b/g/n/ac. Модель с AX получила поддержку 802.11ax, сохранив поддержку 802.11 a/b/g/n/ac). Отличия по спецификациям радио ТУТ стр. 10;
биллинг есть только у 200/500/700;
Device HA (кластеризация межсетевых экранов для высокой отказоустойчивости) есть только у USG Flex 500/700;
у USG Flex 50/50AX отсутствуют сервисы безопасности (UTM Security), биллинг (Hotspot Management), контроллер Wi‑Fi и другой функционал. Это можно уточнить в спецификациях. Для USG Flex 50/50AX ТУТ. Для USG Flex 100/100W/100AX/200/500/700 ТАМ.
Ключевые отличия ATP между 100/100W/200/500/700/800:
в пропускной способности и других количественных параметров (количество сессий, VLAN, VPN);
в наименовании и количестве физических портов;
окончание «W» означает наличие встроенного модуля Wi‑Fi антенн (модель с «W» поддерживает стандарты 802.11 a/b/g/n/ac);
у всех моделей отсутствует биллинг, который есть только у USG Flex 200/500/700;
Device HA (кластеризация межсетевых экранов для высокой отказоустойчивости) есть только у ATP 500/700/800.
Отличия между ATP и USG Flex:
У ATP нет биллинга (Hotspot Management), но есть гибридный режим работы антивируса. Это совместная работа локальных сигнатур и отправка хешей файлов в облако, которого нет у всех USG Flex.
Биллинг есть только у USG Flex 200/500/700, подробнее о биллинге тут.
Далее в статье настройки прозрачного файрволла производились на USG Flex 100W (версия ПО 5.38(ABWC.0)) в состоянии «из коробки». После распаковки шлюза из коробки обновите микропрограмму с последующим сбросом конфигурации, чтобы исключить влияние ранее внесённых случайных настроек. Не смущайтесь, что выбрана модель с Wi‑Fi. Wi‑Fi сразу будет отключён, USG Flex 100W ничем не отличается от обычного USG Flex 100. Просто в момент работы со статьёй рядом не было других моделей ATP и USG Flex.
4. Настройка «прозрачного файрволла»
Перед размещением файрволла как на рис. 2, сначала настроим порты P5 и P6 (можно другие, как удобно), которые будут «мостом» между провайдером и коммутатором на границе сети, но конфигрурировать его будем через порт P3, рис. 3.
У USG Flex 100W при подключении к портам P3, P4, P5 в дефолте IP управления обычно 192.168.1.1. После успешного подключения к веб‑интерфейсу первым делом проверяем, что Wi‑Fi модуль отключён, рис. 4 и индикаторы «2.4G» и «5G» не горят на лицевой панели.
Далее переходим к добавлению новой зоны, рис. 5.
У порта P5 всё отключаем, рис. 6.
Тоже самое проделываем с портом P6, рис. 7.
Далее переставляем кружочки, как на рис. 8.
Теперь создаём мост, в который добавим уже знакомые нам порты P5 (с именем Provaider) и P6 (с именем Segment) и присвоим зоне «ProzrFW», рис. 9.
Добавляем адресные объекты с белыми IP узлов, тех самых, которые перечислены на рис. 1. Пример добавления IP шлюза гостевого Wi‑Fi и сервера ВКС показан на рис. 10 и 11. Остальные узлы пропускаю, чтобы статья не получилась громоздкой.
Обратите внимание, что кроме IP, можно добавить адресный объект в виде GEOGRAPHY, FQDN (URL имя) и другие.
Запланируем, что разрешим доступ к серверу ВКС только из одной страны с помощью адресного объекта «GEOGRAPHY» (функционал Гео IP). Добавим страну, как на рис. 12.
Если нужно разрешить доступ из нескольких стран, тогда создаёте несколько таких же адресных объектов, каждый с одной страной и потом объединяете в одну группу во вкладке «Группа адресов», рис. 13. Подробнее о географии (Гео IP) рассказывал в статье тут.
В политиках файрволла отключаем все политики, кроме LAN1_to_Device, чтобы не лишиться доступа к веб-интерфейсу файрволла, рис. 14. Так как зона назначения ZyWALL — это сам файрволл, его управление (Management).
Далее, шлюз гостевого Wi-Fi выпускаем в интернет добавлением новой политики, где источником трафика будет GostevoiWi-Fi (созданный на рис. 10), направляемый на любое назначение («any») в интернете. Файрволл работает в режиме stateful, поэтому нет необходимости создавать политики для разрешения ответного трафика к источнику. Всё отобразил на рис.15. Не забывайте указывать зону источника и зону назначения.
Подключения из интернета к шлюзу гостевого Wi‑Fi не разрешаем, а значит не создаём никаких политик в направлении из интернета к шлюзу гостевого Wi‑Fi Трафик этого направления будет блокироваться политикой «Default» из рис. 14 в самом низу списка политик.
Доделаем разрешение доступа только из России до сервера ВКС на 443-й порт (сервис HTTPS) добавлением политики (рис. 16), в которой источником трафика будет ранее созданный адресный объект «Rossia» (рис. 12), а назначением у трафика будет «VKS» (рис. 11).
Таким образом, только из России смогут подключиться к ВКС на 443-й порт. На остальные порты не пропустит и трафик из других стран заблокируется благодаря политике «Default» из рис. 14 в самом низу списка политик.
А если ВКС работает с множеством других TCP/UDP портов?
Создаёте другие TCP/UDP порты, рис. 17, и ...
...объединяете в группу сервисов, рис. 18.
Потом эту группу выберете вместо «HTTPS» в «Сервисы» при создании/редактировании политики на рис. 16.
Итак, после проделанных настроек теперь можем разрешать/запрещать доступ в интернет от узлов предприятия с белыми IP и обратно из интернета до них. Наконец-то, не прибегаем к настройке каждого узла по отдельности, как делали до установки прозрачного файрволла.
5. Блокировка IP по рекомендациям ИБ.
Теперь о главном, почему статья создавалась. Это блокировка множества IP по рекомендациям, которые присылают подразделения ИБ. Блокировать можно тремя вариантами.
1-й вариант. Создаём адресный объект вручную как на рис. 10 и потом объединяем в одну группу адресных объектов (рис. 13). Если IP будет более сотни штук, процесс будет трудоёмким, поэтому можно перейти к 2-му варианту.
2-й вариант. Заранее приготовленную команду копипастим в консоль (веб-консоль,telnet, SSH или по консольному кабелю).
Для консоли текст команд для копипаста:
configure terminal- это создание адресного объекта, где xxx.xxx.xxx.xxx - это IP. А хххх в "BlokIPxxxx" - порядковый номер адресного объекта от 0001 до 2000. Это необязательное условие, просто для удобства работы при добавлении новых объектов и деления по группам.
address-object BlokIPxxxx xxx.xxx.xxx.xxx
object-group address GruppaBlokIPxxx
address-object BlokIPxxxx
exit
exit
write
Максимальное число адресных объектов зависит от модели.
С количеством и прочими параметрами можно ознакомиться в руководстве пользователя (приложение Б (английская "B").
Для удобства, перенёс в таблицу значения максимального числа адресных объектов.
Модель | ATP100, 100W | ATP200 | ATP500 | ATP700 | ATP800 |
Версия микропрограммы | 5.38 | 5.38 | 5.38 | 5.38 | 5.38 |
Address object | 300 | 300 | 1000 | 2000 | 2000 |
Address group | 50 | 50 | 200 | 400 | 400 |
Maximum address object in one group | 128 | 128 | 128 | 256 | 256 |
Модель | USG Flex 50, 50AX | USG Flex 100, 100W, 100AX | USG Flex 200 | USG Flex 500 | USG Flex 700 |
Версия микропрограммы | 5.38 | 5.38 | 5.37 | 5.37 | 5.37 |
Address object | 300 | 300 | 300 | 1000 | 2000 |
Address group | 25 | 50 | 50 | 200 | 400 |
Maximum address object in one group | 64 | 128 | 128 | 128 | 256 |
При исчерпании максимального числа адресных объектов переходите сразу к 3-му варианту, а если хватает, тогда после того, как будут готовы группы адресных объектов, переходим к созданию политик на примере рис. 19. Вторую, третью политики создаёте аналогично как на рис. 19, разница только в имени политики и в выборе другого источника (GruppaBlokIP002, GruppaBlokIP003 и т. д.).
Или в консоли. Пример добавления двух политик:
configure terminal- первая политика
secure-policy insert 1
name Blok-IP-001
from ProzrFW
to ProzrFW
sourceip GruppaBlokIP001
action deny
log
exit
secure-policy insert 2
name Blok-IP-002
from ProzrFW
to ProzrFW
sourceip GruppaBlokIP002
action deny
log
exit
exit
write
Политики действуют снизу вверх, поэтому все созданные политики с группами адресных объектов, создаваемые на примере по рис. 19, должны быть размещены в самом верху, рис. 20.
3-й вариант (не подходит для USG Flex 50/50AX). Репутационный фильтр → Внешний чёрный список узлов. Там можно загрузить txt файл с внешнего сервера или с Яндекс.Диска. В txt файл в реальном времени можно заносить новую порцию объектов. Максимальное количество объектов до 50000 шт. Подробнее тут. Также можно загружать отдельно список URL и отдельно список IP (всего можно загрузить 4 списка URL и 4 списка IP до 50000 записей каждый). Функционал платный, требуется подписка «Gold Security Pack».
6. Технические условия.
ВНИМАНИЕ! Некоторый функционал межсетевых экранов ATP/USG Flex обращается к внешним/внутренним ресурсам:
ГеоIP. Он собственную базу стран синхронизирует с онлайн базой в интернете по расписанию или вручную;
FQDN. При применении политик, профилей с URL именами, межсетевой экран обращается к DNS серверам для получения IP для запрашиваемого URL. Неважно где DNS сервер, в интернете или в внутренней ЛВС (зона LAN);
Репутационный фильтр. Внешний чёрный список (файл *.txt) загружает с внешнего HTTP сервера. Тоже неважно где он, в интернете или в внутренней сети;
Логирование и оповещение по электронной почте. Отправка логов на SysLog сервер и отправка писем на почтовый сервер.;
SecuReporter. Статистику трафика, логи и события отправляет на веб-узел secureporter.cloudcnm.zyxel.com. Тут целая статья про SecuReporter;
UTM Security (песочница, репутационный фильтр, предотвращение вторжений, антиспам, контентная фильтрация, совместное обнаружение и реагирование, инспекция SSL, двухфакторная аутентификация, синхронизация безопасности). Часть сервисов использует доступ в интернет для обновления сигнатур или проверки файлов.
Исходя из этих условий, интернет придётся подключить к WAN порту межсетевого экрана. Но, если не планируется применение функционала, требующего интернет, можно незанятый LAN порт (P3-P4) межсетевого экрана подключить к внутренней ЛВС для связи с серверами DNS, HTTP и SysLog. Где DNS нужен для FQDN, HTTP для загрузки внешнего чёрного списка и SysLog для получения логов.
На всякий случай подскажу, где прописываются IP DNS серверов на ATP/USG Flex для работы с FQDN, рис. 21. Если ваш межсетевой экран IP серверов DNS получил из динамического IP, то эту настройку можно пропустить.
Всё. Теперь можно установить прозрачный файрволл, как на рис. 2, где провайдер подключаем к P5, а коммутатор на границе сети с сегментом белых IP к P6.
7. Итог
Кроме блокировки трафика по IP, URL и странам по рекомендациям ИБ, вы бонусом получаете дополнительную возможность с помощью прозрачного файрволла:
ограничивать скорость/блокировать сетевые приложения (патруль приложений, подробнее тут);
ограничивать количество сессий;
ограничивать скорости трафика (функционал BWM);
проверка трафика средствами UTM security (песочница, репутационный фильтр, предотвращение вторжений, антиспам, контентная фильтрация, совместное обнаружение и реагирование, инспекция SSL, двухфакторная аутентификация, синхронизация безопасности). ВНИМАНИЕ! Сервисы McAfee: AS и CF (антиспам и контент-фильтры URL/DNS по категориям) временно не работают в РФ и РБ.
Мои предыдущие статьи:
Настройка сервиса авторизации гостевой Wi-Fi сети
Делаем гостевую сеть Wi-Fi сеть в ВУЗе, часть 2. Функции для гостевой Wi-Fi сети
Как блокировал контент для взрослых
Сервис Гео-IP по версии Zyxel: зачем нужен, функциональность, как настроить?
Университет: как техперсоналу получить полный доступ в интернет в любой точке сети
Университет: как разрешить доступ к сайту по URL в любой точке сети
Полезные ссылки:
8. Об авторе
Кто я? Меня зовут Александр. 19 год профессионально занимаюсь СКС и сетевым оборудованием. Обладаю большим опытом работы с сетевым оборудованием различных вендоров. Приветствую простоту и дружелюбность конфигурирования/мониторинга сетевого оборудования, ответственность вендора за качество выпускаемой продукции и готовность исправлять недостатки, чтобы не тормозили сдачу новых проектов в назначенные сроки. Меня можно встретить и лично пообщаться в Телеграме — @NSanchez13 так что, если будут вопросы, комментарии, мнения — милости прошу.