Межсетевые экраны DFL-700 и DFL-1100 Карагезов Владислав, консультант по проектам

Основы сетевой безопасности Характеристики DFL-700/1100 Обзор Web-интерфейса Демонстрация настроек DFL-700/1100 Обзор

Типы межсетевых экранов Существуют три типа межсетевых экранов: Первый тип: Фильтрация пакетов Второй тип: Proxy servers Третий тип: Stateful Inspection

Межсетевые экраны на основе фильтрации пакетов Access Control List (ACL) Source/Destination IP Тип протокола (TCP, UDP) Source/Destination Port Проверка пакета на соответствие ACL в порядке следования правил Поддерживается большинством маршрутизаторов

Плюсы: Высокая производительность и масштабируемость. Минусы: Не анализируется информация протоколов более высокого уровня. Нет возможности отслеживать контекст соединения. Пакетные фильтры могут выбирать один из двух вариантов действия для исходящих соединений: оставить полностью открытым верхний диапазон портов (выше, чем 1023). Это позволяет устанавливать соединения с динамически назначаемым портом, но одновременно подвергнет угрозе внутреннюю сеть. Можно полностью закрыть верхние порты для защиты внутренней сети – но это полностью заблокирует другие службы.

Прокси-сервер используется для работы от имени приложения Трафик направляется на прокси-сервер, который работает как агент для взаимодействия между внутренним приложением и внешним сервисом Прокси-сервер выполняет действия – разрешение или запрещение прохождения трафика – на основе политик, заданных администратором Как правило, каждое приложение (или несколько приложений) используют собственный прокси-сервер, рассчитанный на работу именно с этим приложением (напр. Squid для HTTP и FTP) Работает на уровне 7 модели OSI, т.о. обработка запросов весьма медленна Межсетевые экраны на основе прокси-сервера

Плюсы: Межсетевые экраны на основе прокси-сервера обеспечивают больший уровень безопасности, проверяя все прикладные уровни пакета. Минусы: Нарушаются модель клиент-сервер - каждое соединение клиент-сервер требует двух соединений: одно от клиента к межсетевому экрану и другое от межсетевого экрана к клиенту. Такой подход снимает ограничения пакетного фильтра, обеспечивая функцию принятия решения информацией о приложении, но значительно увеличивает затраты на производительность.

Межсетевые экраны с контролем состояния Stateful Inspection Т.к. ряд протоколов работают без установки соединения (например, UDP), МСЭ обрабатывает пакеты в рамках так называемого «виртуального» соединения – потока. МСЭ может использовать информацию не только о текущем соединении, но и о предыдущих соединениях. Более тонкий анализ проходящего трафика: рассматривают каждый пакет в контексте принадлежности его к конкретному соединению

В списке запоминаются адреса клиента и сервера, номера портов. При попытке установить соединение FTP-data, МСЭ просматривает список и проверяет, действительно ли данное соединение является ответом на допустимый запрос клиента. Список соединений поддерживается динамически, так что открыты только необходимые порты FTP. Как только сессия закрывается, порты блокируются, обеспечивая высокий уровень защищенности. МСЭ отслеживает сессию FTP, проверяя данные на уровне приложения (FTP). Когда клиент запрашивает сервер об открытии обратного соединения (команда FTP PORT), МСЭ извлекает номер порта из этого запроса. Пример работы механизма Stateful Inspection

Плюсы: Высокий уровень защиты Проверка на всех уровнях модели OSI (до 7-го включительно) «Прозрачность» для приложений Высокая производительность (по сравнению с прокси-серверами) Масштабируемость Минусы: Относительно высокая стоимость

От чего не защищает межсетевой экран? Физические проблемы Сбой электропитания Порча устройства Человеческий фактор Возможность несанкционированного доступа со стороны разрешенных пользователей Вирусы При помещении вирусов в пакеты, которым разрешено прохождение Сервер с установленным антивирусным ПО позволяет решить данную проблему Некорректная настройка политик межсетевого экрана

Основные характеристики DFL-700 / Безопасность ОС собственной разработки - нет наследованных уязвимостей Стандартизованные алгоритмы работы Усиленная проверка (IDS/IDP, Фильтрация содержимого) для дополнительной безопасности уровня приложения 2. Универсальное устройство безопасности Встроенные средства VPN (IPSec, L2TP, PPTP), управление полосой пропускания и фильтрация содержимого Функции High-end – политики с аутентификацией пользователей и предотвращение вторжений 3. Низкая стоимость владения Не требует затрат времени на поддержание работоспособности устройства Все настройки осуществляются при помощи интуитивно-понятного web интерфейса, включая обновление ПО, резервирование конфигурации и т.д. DFL-1100 поддерживает функцию High Availability – это позволяет устранить единую точку отказа

Производительность МСЭ DFL-200 / 700 / 1100 DFL-700DFL-1100 Кол-во одновременных сессий Кол-во одновременных туннелей VPN Кол-во правил Производительность МСЭ, Мбит/с Производительность 3DES 1834 Производительность AES 1884

DFL-700 подходит для следующих применений: В качестве шлюза безопасности для малых и средних предприятий, где ключевыми факторами являются надежность и безопасность в сочетании с невысокой ценой В качестве шлюза VPN для малых и средних удаленных офисов предприятия В качестве абонентского устройства (CPE) в распределенных решениях обеспечения безопасности Сферы применения DFL-700 Применение в качестве шлюза VPN и системы безопасности малых и средних предприятий – сочетание производительности и цены

DFL-1100 подходит для следующих применений: В качестве шлюза безопасности для средних и крупных предприятий, где ключевыми факторами являются надежность и безопасность В качестве шлюза VPN для средних и крупных офисов предприятия Сферы применения DFL-1100 Технология HA (High Availability) – режим исключительной надежности по приемлемой цене.

Настройка DFL-700/1100 Большинство настроек рассматриваются на примере DFL-700. Это в равной степени относится и к DFL-1100 Кроме того, отдельные функции присутствуют только в DFL-1100

Вкладка System Administration Несколько уровней доступа к администрированию устройством настраиваются для каждого интерфейса, включая туннель VPN Interfaces Используется для настройки физических интерфейсов Routing Настройка таблицы маршрутизации Logging Настройка журналирования событий. Time Настройка времени и работы протокола NTP.

Настройка портов для доступа к web интерфейсу управления Четыре настройки доступа Ping – стандартный ICMP- запрос на IP адрес интерфейса Admin – полный доступ к web интерфейсу управления Read-only - доступ к web интерфейсу управления только на чтение SNMP - Simple Network Management Protocol (доступ только на чтение ) Уровень доступа настраивается на каждом интерфейсе System - Administration Примечание: Если на интерфейсе настроен доступ только «read-only», то все пользователи получают на этом интерфейсе права только на чтение, даже если имеют привилегию администратора

System - Interfaces Интерфейс WAN Static IP – Если IP назначается статически. DHCP –DFL-700 будет получать настройки IP по DHCP. PPPoE - DFL-700 будет получать настройки IP по PPPoE. PPTP – DFL-700 будет получать настройки IP по PPTP. Big Pond – Используется только в Австралии LAN and DMZ interfaces Используется только Static IP. Traffic shaping Настройка ширины полосы пропускания на интерфейсе. MTU Configuration Может использоваться для увеличения производительности соединения с Интернет. System - Interfaces Интерфейс WAN Static IP – Если IP назначается статически. DHCP –DFL-700 будет получать настройки IP по DHCP. PPPoE - DFL-700 будет получать настройки IP по PPPoE. PPTP – DFL-700 будет получать настройки IP по PPTP. Big Pond – Используется только в Австралии LAN and DMZ interfaces Используется только Static IP. Traffic shaping Настройка ширины полосы пропускания на интерфейсе. MTU Configuration Может использоваться для увеличения производительности соединения с Интернет.

System – VLAN (только DFL-1100) Name – название VLAN Physical – физический интерфейс VLAN VLAN ID – идентификатор VLAN. IP address – IP адрес данного VLAN- интерфейса. Subnet mask – маска сети данного VLAN- интерфейса

Интерфейсы добавляются в таблицу маршрутизации автоматически Возможность настроить ProxyARP System - Routing

Данная настройка позволяет реализовать режим повышенной надежности Configure additional HA parameters Настройка ведущего МСЭ в кластере Recieve configuration from first unit Получить конфигурацию ведомым МСЭ с ведущего System – HA (только DFL-1100)

Конфигурация IP-адресов кластера и членов This unit IP-адрес интерфейса данного МСЭ (ведущего) Shared IP IP-адрес кластера (общий Other unit IP-адрес ведомого МСЭ Cluster ID Идентификатор данного кластера. Должен быть уникальным для каждого кластера в сети. System – HA (только DFL-1100)

Syslog Настройка до двух серверов syslog Настройка уровня журналирования Audit logging В обычном режиме МСЭ заносит в файл журнала сообщения о отброшенных пакетах. При помощи функции audit logging можно вести статистику по разрешенным соединениям. Уведомления по DFL-700 может отсылать уведомления по s на три адреса при срабатывании систем IDS/IDP (Intruder Detection System/ Intruder Detection Prevention) System - Logging

Current date and time Текущая дата и время. Используется для ручной настройки когда не задействован протокол NTP. Time zone and daylight saving Настройка часового пояса и автоматического перехода DFL-700 на летнее время. Automatic time synchronization DFL-700 может синхронизировать время с серверами NTP (можно задать до 2 серверов) Примечание: Изменения настроек времени и даты, а также временной зоны вступают в силу немедленно и не требуют активации при помощи кнопки Activate Changes. System - Time

Межсетевой экран Policy Политики – это основные настройки МСЭ. Политики являются главными правилами для принятия решения о продвижении или отбрасывании пакета. Port Mapping Настройки Port mapping / Virtual Servers позволяют задать параметры для публикуемых сервисов DMZ или LAN. Users Раздел Users позволяет управлять локальной базой пользователей – как для доступа к Интернет, так и для доступа к настройкам самого устройства. Schedules Настройки расписания позволяют настраивать время работы политик МСЭ. Services Раздел для настройки сервисов – таких как http, ftp или ssh. VPN Настройка VPN для организации туннелей. Certificates Настройка сертификатов. Content Filtering Настройка фильтрации содержимого, «черных» и «белых» листов.

Fragments – позволяет отбрасывать все фрагментированные пакеты Maximum TTL – позволяет проверять параметр поля TTL VPN Allow ALL VPN Traffic – позволяет производить маршрутизацию как между установленными IPSec туннелями и LAN, так и между установленными IPSec туннелями напрямую Firewall - Policy

Настройка политик доступа Для каждого направления свои политики доступа – напр. LAN->WAN Кроме настройки доступа в политиках можно настраивать пропускную способность. Firewall - Policy

Policy settings Hide source addresses – Ко всем соединениям, проходящим через эту политику, будет применятся NAT. No NAT – IP адреса будут маршрутизироваться. При создании нового соединения через МСЭ принятие решения осуществляется на основе политик, проверка происходит в порядке следования политик до нахождения той, которая описывает данное соединение. Если применяется решение Allow – соединение будет установлено и в таблицу состояния МСЭ будет добавлена запись об этом соединении. Если применяется решение Drop – новое соединение не будет установлено. Firewall - Policy

Name - Имя правила, используется для журналирования Position - Позиция в списке политик Action Types: Drop – Пакеты, соответствующие правилу, будут отброшены Reject – Пакеты, соответствующие правилу, будут отброшены, но МСЭ дополнительно пошлет отправителю пакет ICMP UNREACHABLE. Если же это пакет TCP – то будет отослан пакет TCP RST Allow – Пакеты, соответствующие правилу, будут пропущены и обработаны механизмом Stateful Inspection,который позволяет отслеживать открытые соединения.

Source and Destination Filter Source Nets – Диапазон IP адресов отправителя Source Users/Groups – Указывается, нужна ли аутентификация пользователя для данной политики Destination Nets – Диапазон IP адресов получателя Destination Users/Groups - Указывается, нужна ли аутентификация пользователя для данной политики Service - Настройка сервисов. Задается вручную или выбирается из заранее настроенных Schedule - Настройка работы правила по расписанию. Firewall - Policy Intrusion Detection / Prevention - Настройка обнаружения/предотвращения вторжений Alerting – Возможность отсылки уведомлений по при срабатывании данной политики

Limit Работает для ограничения скорости входящего и исходящего трафика. Это максимально-возможная скорость работы для данной политики. Guarantee Здесь задается минимальная гарантированная скорость передачи данных для данной политики. Работает только при корректной настройке ограничения общей полосы пропускания на интерфейсе WAN. Priority Настройка приоритета трафика – обычный, высокий или критичный Firewall – Policy Traffic Shaping

Port Mapping Перенаправление запросов по порту или диапазону портов на внутренний сервер или сервер в зоне DMZ. Настраивается как и обычная политика за исключением доп. поля Pass To. IDS / IDP и Traffic Shaping также могут быть использованы в этой настройке. Firewall – Port Mapping

Enable User Authentication Настройка аутентификации пользователей. HTTP Security – Выбор аутентификации по HTTP/HTTPS или только HTTPS Idle Timeout – Настройка тайм-аута для отключения неактивного пользователя Enable RADIUS Support Аутентификации пользователей на сервере RADIUS До двух серверов RADIUS. Поддержка PAP и CHAP. Примечание: Если включена аутентификация пользователей, то порты для управления устройством должны быть перенастроены. Firewall - Users

Можно настроить работу политик по расписанию. В этом случае DFL-700 будет применять политики исходя из настроенного расписания. Для работы по расписанию в политике нужно явно задать эту функцию. Типы расписаний: Recurring – повторяется по заданным часам и дням недели One-time – для однократного срабатывания Firewall - Schedules

Name – Имя сервиса. TCP / UDP Service Protocol – протокол, по которому работает сервис - TCP или UDP. Source/Destination Ports – можно задать как один конкретный порт, так и диапазон портов. В большинстве случаев в качестве портов источника используется весь диапазон ( ). SYN Relay – защита от SYN. ICMP Echo (ping) IP Protocol Protocols – Если в качестве типа сервиса выступает IP протокол, здесь задается номер протокола Group Services – группировка сервисов, через запятую. Firewall - Services

Firewall – VPN Name Имя туннеля. Local Net Локальная сеть за DFL-700. Authentication – Тип аутентификации PSK – Для использования Pre-Shared Key. Certificate-based – на основе сертификатов

Roaming Users Если туннель устанавливается с одним компьютером. LAN-to-LAN tunnel Для установки туннеля между подсетями Remote Net – Подсеть за удаленным шлюзом VPN. Remote Gateway –IP адрес удаленного шлюза VPN. ProxyARP Firewall – тип туннеля VPN

Firewall – Advanced VPN Дополнительные настройки: Limit MTU – Настройка макс. Размера пакета для передачи по туннелю VPN. IKE Mode – Режим работы IKE - Main или Aggressive IKE DH Group – Настройка шифрации алгоритма DH Group 1 (768-bit), 2 (1024-bit) или 5 (1536- bit). PFS – Включение Perfect Forward Secrecy. NAT Traversal – Включение механизма прохода через NAT. Keepalives – Отслеживание состояния туннеля VPN. Proposal Lists – Список настроек для IKE и IPSec.

Global Destination URL Whitelist Список разрешенных URL – будет исключен из остальной проверки правил для HTTP. Destination URL Blacklist Список запрещенных URL. Active content handling Обработка активных компонентов Strip ActiveX Strip Java Strip Javascript/VBScript Block Cookies Примечание: Для фильтрации HTTP URL весь трафик должен проходить через политику для сервисаHTTP. Firewall – Фильтрация содержимого

Один DHCP сервер на каждый интерфейс IP Span – Диапазон IP адресов для назначения клиентам DNS Servers – Настройка до 2 DNS серверов. WINS Servers – Доп. Настройка сервера WINS Domain name – Доп. Настройка имени домена для клиентов. Lease time – Время аренды IP адреса. Или перенаправление на другой DHCP сервер Servers – DHCP Servers

Встроенный DNS Relay DNS Relay позволяет обеспечить сервис DNS и задать до 2 IP адресов DNS серверов. Т.о. IP адрес DFL-700 будет использоваться компьютерами локальной сети в качестве сервера DNS. Servers – DNS Relay

Спасибо!