Прозрачный файрволл на межсетевых экранах Zyxel
Привет, Хабр!
Так получилось, что с появлением в компаниях и организациях служб, связанных с информационной безопасностью, простые сетевики и сисадмины начали получать требования и рекомендации о необходимости запретить доступ от пользователей до определенных веб-ресурсов. Аналогично, и в обратном направлении: запретить трафик от тысячи IP из интернета до узлов предприятия внутри сети. Неважно, какую роль выполняет узел: работает в качестве сервера ВКС, VPN шлюза или веб-сайта.
Вы, возможно, возмутитесь и скажете: «но это не касается сетевиков и сисадминов!» Однако, давайте взглянем правде в глаза: бóльшую часть «дорожной карты по ИБ» снова «скидывают» на сетевиков и сисадминов, а сами задания должны выполняться в кратчайшие сроки.
В этой статье расскажем, как всё настроить на шлюзах Zyxel серий ATP и USG Flex, почему был выбран режим «прозрачного файрволла», чем подошёл именно он и как его настроить для блокировки транзитного интернет-трафика.
Оглавление:
Введение.
Предложение.
Какое оборудование подойдёт? Отличия.
Настройка «прозрачного файрволла».
Блокировка IP по рекомендациям ИБ.
Технические условия.
Итог.
Об авторе.
1. Введение.
Начнём с того, что у обычного предприятия на границе сети есть узлы как:
гостевой Wi-Fi шлюз,
VPN шлюз,
какая-нибудь специфичная железка на аутсорсинге,
веб-сайт, ВКС и т.д.,
прокси-сервер.
Все они оснащены «белым» статическим IP-адресом и выходят в интернет по стандартной схеме как на рис. 1.
Рис. 1 — Схема подключения узлов к интернету на границе сети.
От атак, нежелательных подключений из интернета каждый узел защищается «своими силами». Ограничение доступа пользователей, гостей до сайтов, веб-ресурсов, находящихся в интернете тоже осуществляется «силами» узла, через который выходят в интернет.
В принципе всех всё устраивало до появления рекомендаций по ИБ, в которых требуют запретить доступ в интернет на нежелательные сайты, веб-ресурсы по URL, IP от пользователей, гостей. Также требуют запретить по IP весь трафик из интернета до VPN шлюза, веб-сайта. В рекомендациях присылают IP поштучно, но бывают списки из 3000, 9000 IP.
Нововведённая обязанность стала трудоёмкой, приходится пару раз в неделю блокировать по одному или нескольким IP на всех пяти устройствах из рис. 1.
А если какое-то нынешнее оборудование не позволяет блокировать URL и IP в силу ограниченного функционала или оно сложное, навыков и знаний не хватает работать с ним на «ты» или, как пример, одно из устройств на аутсорсинге и внести изменения не получится из-за ограниченного функционала и много других причин.
Менять такое проблемное оборудование тоже не готовы в силу многих причин, это влечёт простаивание интернет-процессов, настройку, отладку, переписывание правил исключений для особо важных персон. Вдруг новое оборудование «не заработает», представьте сколько «вони» будет.
Есть же правило такое «Работает? Не трогай».
Логично, возникает вопрос, как поступить в такой ситуации?
2. Предложение.
Выход есть. Как вариант, разместить межсетевой экран (он же файрволл, брандмауэр), поддерживающий режим «прозрачного файрволла (transparent firewall)» между провайдером и коммутатором, рис. 2 (зелёные стрелки).
Рис. 2 — Схема размещения прозрачного файрволла.
О прозрачных файрволлах много написано в интернете, например, тут.
И тогда получится по рекомендациям ИБ запретить трафик по IP из интернета одновременно до всех узлов предприятия и от них в интернет. Также появится возможность разрешить только из одной страны подключения до серверов предприятия как ВКС, VPN шлюз.
3. Какое оборудование подойдёт? Отличия.
Подойдут межсетевые экраны ATP / USG Flex, они поддерживают режим прозрачного файрволла.
Ключевые отличия USG Flex между 50/50AX/100/100W/100AX/200/500/700:
в пропускной способности и других количественных параметров (количество сессий, VLAN, VPN);
в наименовании и количестве физических портов;
окончания «W», «AX» означают наличие встроенного модуля Wi-Fi антенн (модель с «W» поддерживает стандарты 802.11 a/b/g/n/ac. Модель с AX получила поддержку 802.11ax, сохранив поддержку 802.11 a/b/g/n/ac). Отличия по спецификациям радио ТУТ, стр. 10;
биллинг есть только у 200/500/700;
Device HA (кластеризация межсетевых экранов для высокой отказоустойчивости) есть только у USG Flex 500/700;
у USG Flex 50/50AX отсутствуют сервисы безопасности (UTM Security), биллинг (Hotspot Management), контроллер Wi-Fi и другой функционал. Это можно уточнить в спецификациях. Для USG Flex 50/50AX ТУТ. Для USG Flex 100/100W/100AX/200/500/700 ТАМ.
Ключевые отличия ATP между 100/100W/200/500/700/800:
в пропускной способности и других количественных параметров (количество сессий, VLAN, VPN);
в наименовании и количестве физических портов;
окончание «W» означает наличие встроенного модуля Wi-Fi антенн (модель с «W» поддерживает стандарты 802.11 a/b/g/n/ac);
у всех моделей отсутствует биллинг, который есть только у USG Flex 200/500/700;
Device HA (кластеризация межсетевых экранов для высокой отказоустойчивости) есть только у ATP 500/700/800.
Отличия между ATP и USG Flex:
У ATP нет биллинга (Hotspot Management), но есть гибридный режим работы антивируса. Это совместная работа локальных сигнатур и отправка хешей файлов в облако, которого нет у всех USG Flex.
Биллинг есть только у USG Flex 200/500/700, подробнее о биллинге тут.
Далее в статье настройки прозрачного файрволла производились на USG Flex 100W (версия ПО 5.38(ABWC.0)) в состоянии «из коробки». После распаковки шлюза из коробки обновите микропрограмму с последующим сбросом конфигурации, чтобы исключить влияние ранее внесённых случайных настроек. Не смущайтесь, что выбрана модель с Wi-Fi. Wi-Fi сразу будет отключён, USG Flex 100W ничем не отличается от обычного USG Flex 100. Просто в момент работы со статьёй рядом не было других моделей ATP и USG Flex.
4. Настройка «прозрачного файрволла».
Перед размещением файрволла как на рис. 2, сначала настроим порты P5 и P6 (можно другие, как удобно), которые будут «мостом» между провайдером и коммутатором на границе сети, но конфигрурировать его будем через порт P3, рис. 3.
Рис. 3 — Схема подключения портов USG Flex 100W.
У USG Flex 100W при подключении к портам P3, P4, P5 в дефолте IP управления обычно 192.168.1.1. После успешного подключения к веб-интерфейсу первым делом проверяем, что Wi-Fi модуль отключён, рис. 4 и индикаторы »2.4G» и »5G» не горят на лицевой панели.
Рис. 4 — Статус Wi-Fi модуля (серый — неактивен).
Далее переходим к добавлению новой зоны, рис. 5.
Рис. 5 — Добавление новой зоны.
У порта P5 всё отключаем, рис 6.
Рис. 6 — Отключение порта P5 и его параметров.
Тоже самое проделываем с портом P6, рис. 7.
Рис. 7 — Отключение порта P6 и его параметров.
Далее переставляем кружочки, как на рис. 8.
Рис. 8 — Конфигурация портов.
Теперь создаём мост, в который добавим уже знакомые нам порты P5 (с именем Provaider) и P6 (с именем Segment) и присвоим зоне «ProzrFW», рис. 9.
Рис. 9 — Создание моста.
Добавляем адресные объекты с белыми IP узлов, тех самых, которые перечислены на рис. 1. Пример добавления IP шлюза гостевого Wi-Fi и сервера ВКС показан на рис. 10 и 11. Остальные узлы пропускаю, чтобы статья не получилась громоздкой.
Рис. 10 — Добавление адресного объекта белого IP шлюза гостевого Wi-Fi.
Рис. 11 — Добавление адресного объекта белого IP сервера ВКС.
Обратите внимание, что кроме IP, можно добавить адресный объект в виде GEOGRAPHY, FQDN (URL имя) и другие.
Выбор типа адресного объекта.
Запланируем, что разрешим доступ к серверу ВКС только из одной страны с помощью адресного объекта «GEOGRAPHY» (функционал Гео IP). Добавим страну, как на рис. 12.
Рис. 12 — Добавление страны.
Если нужно разрешить доступ из нескольких стран, тогда создаёте несколько таких же адресных объектов, каждый с одной страной и потом объединяете в одну группу во вкладке «Группа адресов», рис. 13. Подробнее о географии (Гео IP) рассказывал в статье тут.
Рис. 13 — Объединение адресных объектов одного типа в одну группу адресов.
В политиках файрволла отключаем все политики, кроме LAN1_to_Device, чтобы не лишиться доступа к веб-интерфейсу файрволла, рис. 14. Так как зона назначения ZyWALL — это сам файрволл, его управление (Management).
Рис. 14 — Политики файрволла.
Далее, шлюз гостевого Wi-Fi выпускаем в интернет добавлением новой политики, где источником трафика будет GostevoiWi-Fi (созданный на рис. 10), направляемый на любое назначение («any») в интернете. Файрволл работает в режиме stateful, поэтому нет необходимости создавать политики для разрешения ответного трафика к источнику. Всё отобразил на рис. 15. Не забывайте указывать зону источника и зону назначения.
Рис. 15 — Разрешение доступа в интернет гостевому шлюзу Wi-Fi.
Подключения из интернета к шлюзу гостевого Wi-Fi не разрешаем, а значит не создаём никаких политик в направлении из интернета к шлюзу гостевого Wi-Fi. Трафик этого направления будет блокироваться политикой «Default» из рис. 14 в самом низу списка политик.
Доделаем разрешение доступа только из России до сервера ВКС на 443-й порт (сервис HTTPS) добавлением политики (рис. 16), в которой источником трафика будет ранее созданный адресный объект «Rossia» (рис. 12), а назначением у трафика будет «VKS» (рис. 11).
Рис. 16 — Разрешение доступа до ВКС из интернета только с российских IP.
Таким образом, только из России смогут подключиться к ВКС на 443-й порт. На остальные порты не пропустит и трафик из других стран заблокируется благодаря политике «Default» из рис. 14 в самом низу списка политик.
А если ВКС работает с множеством других TCP/UDP портов?
Создаёте другие TCP/UDP порты, рис. 17, и …
Рис. 17 — Создание сервиса (TCP/UDP порт).
…объединяете в группу сервисов, рис. 18.
Рис. 18 — Объединение сервисов в группу сервисов.
Потом эту группу выберете вместо «HTTPS» в «Сервисы» при создании/редактировании политики на рис. 16.
Итак, после проделанных настроек теперь можем разрешать/запрещать доступ в интернет от узлов предприятия с белыми IP и обратно из интернета до них. Наконец-то, не прибегаем к настройке каждого узла по отдельности, как делали до установки прозрачного файрволла.
5. Блокировка IP по рекомендациям ИБ.
Теперь о главном, почему статья создавалась. Это блокировка множества IP по рекомендациям, которые присылают подразделения ИБ. Блокировать можно тремя вариантами.
1-й вариант. Создаём адресный объект вручную как на рис. 10 и потом объединяем в одну группу адресных объектов (рис. 13). Если IP будет более сотни штук, процесс будет трудоёмким, поэтому можно перейти к 2-му варианту.
2-й вариант. Заранее приготовленную команду копипастим в консоль (веб-консоль, telnet, SSH или по консольному кабелю).
Для консоли текст команд для копипаста:
configure terminal— это создание адресного объекта, где xxx.xxx.xxx.xxx — это IP. А хххх в «BlokIPxxxx» — порядковый номер адресного объекта от 0001 до 2000. Это необязательное условие, просто для удобства работы при добавлении новых объектов и деления по группам.
address-object BlokIPxxxx xxx.xxx.xxx.xxx
object-group address GruppaBlokIPxxx
address-object BlokIPxxxx
exit
exit
write
Максимальное число адресных объектов зависит от модели.
С количеством и прочими параметрами можно ознакомиться в руководстве пользователя (приложение Б (английская «B»).
Модель | ATP100, 100W | ATP200 | ATP500 | ATP700 | ATP800 |
Версия микропрограммы | 5.38 | 5.38 | 5.38 | 5.38 | 5.38 |
Address object | 300 | 300 | 1000 | 2000 | 2000 |
Address group | 50 | 50 | 200 | 400 | 400 |
Maximum address object in one group | 128 | 128 | 128 | 256 | 256 |
Модель | USG Flex 50, 50AX | USG Flex 100, 100W, 100AX | USG Flex 200 | USG Flex 500 | USG Flex 700 |
Версия микропрограммы | 5.38 | 5.38 | 5.37 | 5.37 | 5.37 |
Address object | 300 | 300 | 300 | 1000 | 2000 |
Address group | 25 | 50 | 50 | 200 | 400 |
Maximum address object in one group | 64 | 128 | 128 | 128 | 256 |
При исчерпании максимального числа адресных объектов переходите сразу к 3-му варианту, а если хватает, тогда после того, как будут готовы группы адресных объектов, переходим к созданию политик на примере рис. 19. Вторую, третью политики создаёте аналогично как на рис. 19, разница только в имени политики и в выборе другого источника (GruppaBlokIP002, GruppaBlokIP003 и т.д.).
Рис. 19 — Запрещение получения трафика от источника «GruppaBlokIP001» до всех (назначение «any»).
Или в консоли. Пример добавления двух политик:
configure terminal— первая политика
secure-policy insert 1
name Blok-IP-001
from ProzrFW
to ProzrFW
sourceip GruppaBlokIP001
action deny
log
exit
secure-policy insert 2
name Blok-IP-002
from ProzrFW
to ProzrFW
sourceip GruppaBlokIP002
action deny
log
exit
exit
write
Политики действуют снизу вверх, поэтому все созданные политики с группами адресных объектов, создаваемые на примере по рис. 19, должны быть размещены в самом верху, рис. 20.
Рис. 20 — Расположение запрещающих политик.
3-й вариант (не подходит для USG Flex 50/50AX). Репутационный фильтр → Внешний чёрный список узлов. Там можно загрузить txt файл с внешнего сервера или с Яндекс.Диска. В txt файл в реальном времени можно заносить новую порцию объектов. Максимальное количество объектов до 50000 шт. Подробнее тут. Также можно загружать отдельно список URL и отдельно список IP (всего можно загрузить 4 списка URL и 4 списка IP до 50000 записей каждый). Функционал платный, требуется подписка «Gold Security Pack».
6. Технические условия.
ВНИМАНИЕ! Некоторый функционал межсетевых экранов ATP/USG Flex обращается к внешним/внутренним ресурсам:
ГеоIP. Он собственную базу стран синхронизирует с онлайн базой в интернете по расписанию или вручную;
FQDN. При применении политик, профилей с URL именами, межсетевой экран обращается к DNS серверам для получения IP для запрашиваемого URL. Неважно где DNS сервер, в интернете или в внутренней ЛВС (зона LAN);
Репутационный фильтр. Внешний чёрный список (файл *.txt) загружает с внешнего HTTP сервера. Тоже неважно где он, в интернете или в внутренней сети;
Логирование и оповещение по электронной почте. Отправка логов на SysLog сервер и отправка писем на почтовый сервер.;
SecuReporter. Статистику трафика, логи и события отправляет на веб-узел secureporter.cloudcnm.zyxel.com. Тут целая статья про SecuReporter;
UTM Security (песочница, репутационный фильтр, предотвращение вторжений, антиспам, контентная фильтрация, совместное обнаружение и реагирование, инспекция SSL, двухфакторная аутентификация, синхронизация безопасности). Часть сервисов использует доступ в интернет для обновления сигнатур или проверки файлов.
Исходя из этих условий, интернет придётся подключить к WAN порту межсетевого экрана. Но, если не планируется применение функционала, требующего интернет, можно незанятый LAN порт (P3-P4) межсетевого экрана подключить к внутренней ЛВС для связи с серверами DNS, HTTP и SysLog. Где DNS нужен для FQDN, HTTP для загрузки внешнего чёрного списка и SysLog для получения логов.
На всякий случай подскажу, где прописываются IP DNS серверов на ATP/USG Flex для работы с FQDN, рис. 21. Если ваш межсетевой экран IP серверов DNS получил из динамического IP, то эту настройку можно пропустить.
Рис. 21 — Настройка DNS.
Всё. Теперь можно установить прозрачный файрволл, как на рис. 2, где провайдер подключаем к P5, а коммутатор на границе сети с сегментом белых IP к P6.
7. Итог
Кроме блокировки трафика по IP, URL и странам по рекомендациям ИБ, вы бонусом получаете дополнительную возможность с помощью прозрачного файрволла:
ограничивать скорость/блокировать сетевые приложения (патруль приложений, подробнее тут);
ограничивать количество сессий;
ограничивать скорости трафика (функционал BWM);
проверка трафика средствами UTM security (песочница, репутационный фильтр, предотвращение вторжений, антиспам, контентная фильтрация, совместное обнаружение и реагирование, инспекция SSL, двухфакторная аутентификация, синхронизация безопасности). ВНИМАНИЕ! Сервисы McAfee: AS и CF (антиспам и контент-фильтры URL/DNS по категориям) временно не работают в РФ и РБ.
Мои предыдущие статьи: Полезные ссылки:
8. Об авторе
Кто я? Меня зовут Александр. 19 год профессионально занимаюсь СКС и сетевым оборудованием. Обладаю большим опытом работы с сетевым оборудованием различных вендоров. Приветствую простоту и дружелюбность конфигурирования/мониторинга сетевого оборудования, ответственность вендора за качество выпускаемой продукции и готовность исправлять недостатки, чтобы не тормозили сдачу новых проектов в назначенные сроки. Меня можно встретить и лично пообщаться в Телеграме — @NSanchez13, так что, если будут вопросы, комментарии, мнения — милости прошу.
