ХАКЕР 04 /171/ 2013 Пограничный заслон 127Отличительная черта этого файрвола— предотвращение вторженийпроизводится автоматическивать их работу в интернете. Всего реализовано четыре возможных действия.Первое из них — закрыть соединение. Оно позволяет, например, запретитьзагрузку определенных файлов, предотвратить посещение нежелательныхсайтов и прочее. Второе действие — изменить тариф. Оно используется в системетарификации, которая интегрирована в рассматриваемый продукт (мыее не рассматриваем, поскольку для корпоративных сетей она не особо актуальна).Следующее действие позволяет отключить подсчет трафика, получаемогов рамках данного соединения. В этом случае передаваемая информацияне учитывается при подведении суточного, недельного и месячного потребления.Ну и наконец, последнее действие — ограничение скорости до указанногозначения. Его очень удобно использовать для предотвращения «забивания»канала при загрузке больших файлов и решении других подобных задач.Условий в правилах управления трафиком гораздо больше — около десяти.Некоторые из них относительно просты, например максимальный размерфайла. Такое правило будет срабатывать при попытке пользователей загрузитьфайл больше указанного размера. Другие условия привязаны ко времени.В частности, среди них можно отметить расписание (срабатываниепо времени и дням недели) и праздники (срабатывает в указанные дни).Однако наибольший интерес представляют условия, связанные с сайтамии контентом. В частности, с их помощью можно блокировать или устанавливатьдругие действия на определенные виды контента (например, видео, аудио,исполняемые файлы, текст, картинки и прочее), конкретные веб-проектыили целые их категории (для этого используется технология Entensys URLFiltering, см. врезку).Примечательно, что одно правило может содержать сразу же несколькоусловий. При этом администратор может указывать, в каком случае оно будетвыполняться — при соблюдении всех условий или любого одного из них. Этопозволяет создать очень гибкую политику использования интернета сотрудникамикомпании, учитывающую большое количество всевозможных нюансов.НАСТРОЙКА МЕЖСЕТЕВОГО ЭКРАНАНеотъемлемая часть драйвера NAT UserGate — межсетевой экран, с егопомощью решаются различные задачи, связанные с обработкой сетевоготрафика. Для настройки используются специальные правила, которые могутбыть одного из трех типов: трансляции сетевого адреса, маршрутизациии файрвола. Правил в системе может быть произвольное количество.При этом применяются они в том порядке, в каком перечислены в общемсписке. Поэтому если поступающий трафик подходит под несколько правил,он будет обработан тем из них, которое расположено выше других.Каждое правило характеризуется тремя основными параметрами. Первый— источник трафика. Это может быть один или несколько определенныххостов, WAN- или LAN-интерфейс интернет-шлюза. Второй параметр — назначениеинформации. Здесь может быть указан LAN- или WAN-интерфейсили dial-up соединение. Последняя основная характеристика правила — этоодин или несколько сервисов, на которые оно распространяется. Под сервисомв UserGate Proxy & Firewall понимается пара из семейства протоколов(TCP, UDP, ICMP, произвольный протокол) и сетевого порта (или диапазона сетевыхпортов). По умолчанию в системе уже есть внушительный набор предустановленныхсервисов, начиная с общераспространенных (HTTP, HTTPs,Создание правила с использованием Entensys URL FilteringДополнительные функцииКОНТРОЛЬ СЕТЕВЫХПРИЛОЖЕНИЙВ UserGate Proxy & Firewall реализована такая интересная возможность,как контроль сетевых приложений. Ее цель — запретитьдоступ к интернету любого несанкционированного ПО. В рамкахнастройки контроля создаются правила, которые разрешают илиблокируют сетевую работу различных программ (с учетом версииили без него). В них можно указывать конкретные IP-адреса и портыназначения, что позволяет гибко настраивать доступ ПО, разрешивему выполнять только определенные действия в интернете.Контроль приложений позволяет выработать четкую корпоративнуюполитику по использованию программ, частично предотвратитьраспространение вредоносного ПО.DNS, ICQ) и заканчивая специфическими (WebMoney, RAdmin, различныеонлайн-игры и так далее). Однако при необходимости администратор можетсоздавать и свои сервисы, например описывающие работу с онлайн-банком.Также у каждого правила есть действие, которое оно выполняет с подходящимпод условия трафиком. Их всего два: разрешить или запретить.В первом случае трафик беспрепятственно проходит по указанному маршруту,а во втором блокируется.Правила трансляции сетевого адреса используют технологию NAT. С ихпомощью можно настроить доступ в интернет рабочих станций с локальнымиадресами. Для этого необходимо создать правило, указав в качестве источникаLAN-интерфейс, а в качестве приемника — WAN-интерфейс. Правиламаршрутизации применяются в том случае, если рассматриваемое решениебудет использоваться в качестве роутера между двумя локальными сетями(в нем реализована такая возможность). В этом случае маршрутизацию можнонастроить для двунаправленной прозрачной передачи трафика.Правила файрвола используются для обработки трафика, который поступаетне на прокси-сервер, а непосредственно на интернет-шлюз. Сразупосле установки в системе есть одно такое правило, которое разрешает всесетевые пакеты. В принципе, если создаваемый интернет-шлюз не будетиспользоваться как рабочая станция, то действие правила можно сменитьс «Разрешить» на «Запретить». В этом случае на компьютере будет блокированалюбая сетевая активность, кроме транзитных NAT-пакетов, передающихсяиз локальной сети в интернет и обратно.Правила файрвола позволяют публиковать в глобальной сети любые локальныесервисы: веб-серверы, FTP-серверы, почтовые серверы и прочее.При этом у удаленных пользователей появляется возможность подключенияк ним через интернет. Как пример можно рассмотреть публикацию корпоративногоFTP-сервера. Для этого админ должен создать правило, в которомв качестве источника выбрать пункт «Любой», в качестве назначения указатьнужный WAN-интерфейс, а в качестве сервиса — FTP. После этого выбратьдействие «Разрешить», включить трансляцию трафика и в поле «Адрес назначения»указать IP-адрес локального FTP-сервера и его сетевой порт.После такой настройки все поступающие на сетевые карты интернетшлюзасоединения по 21-му порту будут автоматически перенаправлятьсяна FTP-сервер. Кстати, в процессе настройки можно выбрать не только «родной»,но и любой другой сервис (или создать свой собственный). В этом случаевнешние пользователи должны будут обращаться не на 21-й, а на инойпорт. Такой подход очень удобен в тех случаях, когда в информационной системеесть два или более однотипных сервиса. Например, можно организоватьдоступ извне к корпоративному порталу по стандартному для HTTP порту80, а доступ к веб-статистике UserGate — по порту 81.Аналогичным образом настраивается внешний доступ к внутреннему почтовомусерверу.Важная отличительная черта реализованного межсетевого экрана — системапредотвращения вторжений. Она работает полностью в автоматическомрежиме, выявляя на основе сигнатур и эвристических методов попыткинесанкционированного воздействия и нивелируя их через блокировку потоковнежелательного трафика или сброс опасных соединений.ПОДВОДИМ ИТОГИВ этом обзоре мы достаточно подробно рассмотрели организацию совместногодоступа сотрудников компании к интернету. В современных условиях этоне самый простой процесс, поскольку нужно учитывать большое количестворазличных нюансов. Причем важны как технические, так и организационныеаспекты, особенно контроль действий пользователей.
128SYN/ACKХАКЕР 04/ 171/ 2013WARNING Администраторы точек доступа обычно разрешают все DNS-запросы из внутренней сети во внешнюю. Это можно использовать для несанкционированноговыхода в интернет при помощи технологии DNS tunneling, реализованной в таких решениях, как Dnscat, Ozyman, NameServer Transfer Protocol (NSTX), Dns2tcp, и других.ИСПЫТАНИЕГОСТЯМИРАЗВОРАЧИВАЕМ WI-FI HOTSPOT С ИСПОЛЬЗОВАНИЕМТЕХНОЛОГИИ CAPTIVE PORTALСергей Яремчукgrinder@synack.ruПри организации гостевого подключения к интернетув конференц-залах, публичных библиотекахи кафе особое внимание следует уделитьобеспечению безопасности и максимальнопростой аутентификации. Технология под названиемCaptive Portal призвана в этом помочь.КАК РАБОТАЕТ CAPTIVE PORTALВсе пользователи, которые хотят подключиться к публичной Wi-Fi-сети и выйтив интернет, вначале проходят через шлюз, который представляет собойкомп с несколькими сетевыми интерфейсами. Шлюз действует как маршрутизатори брандмауэр, а для возможности авторизации пользователя при помощибраузера он содержит еще и веб-сервер. Для аутентификации клиентовможет использоваться внутренняя база данных или внешний RADIUS-сервер.Все пакеты от «неавторизованных» пользователей помечаются на брандмауэре,и посетитель переправляется на специальную веб-страницу (CaptivePortal), где он может ознакомиться с условиями подключения и ввести логин/пароль (либо код доступа). После аутентификации пользователя производитсяидентификация компьютера, за которым он работает, его МАС- и IPадресазаносятся в белый список брандмауэра. В самом простом случаепользователь может вообще не проходить аутентификацию, Captive Portal автоматическиполучает IP- и MAC-адреса компьютера, которые сразу подставляютсяв правилах брандмауэра. В последующем все пакеты проходят черезмаршрутизатор без ограничений. Дополнительно, в зависимости от роли,могут устанавливаться ограничения по скорости, времени, трафику или посещаемымресурсам.В настоящее время существует несколько проектов, позволяющих быстроразвернуть Captive Portal: Wifidog (wifidog.org), PacketFence (packetfence.org), ChilliSpot (chillispot.info) и веб-интерфейс EasyHotspot (easyhotspot.inov.asia), KATTIVE (kattive.it), PepperSpot (pepperspot.sf.net) и jkaptive (jkaptive.sf.net). Выбор конкретного решения зависит от необходимых функций и поддерживаемыхОС. Например, ChilliSpot официально поддерживает несколькодистрибутивов Linux, FreeBSD, OpenBSD и OpenWRT. К слову, это единственноеприложение, пакет которого доступен в официальном репозиторииUbuntu, и установить его просто:$ sudo apt-get install chillispot
Change language