Статья вытаскивает на ваше обозрение два способа фильтрации трафика в сети. Первый способ использует не совсем обычную фильтрацию входящих пакетов по IP адресам источника, по сути, реализует защиту от спуфинга, второй - фильтрацию пакетов в локальной сети или DMZ используя технологию PVLAN.
Батранков Денис, denisNOSPAMixi.ru
Статья вытаскивает на ваше обозрение два способа фильтрации трафика в сети. Первый способ использует не совсем обычную фильтрацию входящих пакетов по IP адресам источника, по сути, реализует защиту от спуфинга, второй - фильтрацию пакетов в локальной сети или DMZ используя технологию PVLAN.
Надеюсь, эта статья будет полезна как администраторам, так и тем, кто занимается безопасностью сетей. К сожалению, обычно это разные люди.
Введение. О фильтрации вообще.
Вы только посмотрите на формат заголовка IP пакета (эта структура взята из исходников WinPCap) typedef struct ip_header{ u_char ver_ihl; // Version (4 bits) + Internet header length (4 bits) u_char tos; // Type of service u_short tlen; // Total length u_short identification; // Identification u_short flags_fo; // Flags (3 bits) + Fragment offset (13 bits) u_char ttl; // Time to live u_char proto; // Protocol u_short crc; // Header checksum ip_address saddr; // Source address ip_address daddr; // Destination address u_int op_pad; // Option + Padding }ip_header;сколько полей требуют проверки на правильность уже на входе в сеть. Очевидно, у каждого поля существует множество значений которое определено в cтандарте RFC как имеющие какой-то смысл. И очевидно, что существует множество значений, которые не определены нигде, являются бессмысленными, и мы даже не можем предположить как эти значения будут восприняты хостом-получателем. Если у пакета хоть одно поле неправильное, то и весь он неправильный и он не должен засорять нашу сеть. Однако в настоящее время во многих сетях это не так. С такими пакетами разбирается на каждом хосте своя система защиты от атак (IPS). Я предлагаю не ждать, когда такие пакеты прибудут на хост получателя, а убивать их уже на входе в сети. Причем фильтровать и блокировать трафик мы можем последовательно начиная от канального и заканчивая уровнем приложений (в рамках модели ISO OSI). Это позволит разгрузить сеть и защитить от атак, которые пользуются тем, что мы "закрываем глаза" на неправильные пакеты.
Эта идея не нова. Намек на то, какие пакеты в вашей сети могут быть неправильными, содержится в правилах систем обнаружения атак. Системы обнаружения атак уже давно проверяют все поля пакетов и собирают статистику для анализа найденных неправильных пакетов, которую можно просмотреть и принять меры к наиболее назойливым. Мне больше всего нравится Snort, поскольку в нем все открыто для расширения возможностей. Это позволяет изменять стандартные правила или писать свои, анализировать статистику при помощи и даже можно добавлять правила на блокирование IP адресов при помощи SnortSam в почти любой из известных на данное время FW: Cisco PIX, MS ISA, Checkpoint FW-1, Watchguard Firebox и встроенные в Linux и FreeBSD FW.
Однако, не ограничивая общности можно сказать, что у тех людей, которые пользуются какими бы то ни было системами обнаружения атак, например Сisco NetRanger, RealSecure(Proventia) или Snort, есть мечта: когда же наконец они прекратят генерировать ложные алерты. У меня, по крайней мере, есть такая мечта, поскольку у меня в четырех внешних сетках класса C постоянно происходит что-то новое, хотя типы информационных потоков уже давно устаканились. Я уже не получаю многие алерты типа BAD-TRAFFIC Unassigned/Reserved IP protocol , BAD TRAFFIC Non-Standard IP protocol , BAD-TRAFFIC loopback traffic , BAD-TRAFFIC same SRC/DST , BAD-TRAFFIC tcp port 0 traffic , не потому что я отключил эти правила, а потому что я заблокировал этот "плохой трафик" сразу же на входе. К сожалению, на сегодняшний день приходится игнорировать различные события, зная, что это обычная ложная тревога и заблокировать я это не могу, поскольку любой провайдер не должен блокировать трафик клиенту каким бы он ни был: опасным или просто бесполезным. Но уж "неправильный" трафик я себе блокировать позволяю: неправильные адреса, неправильные флаги, неправильные или опасные порты.
Понятно почему есть системы IDS, которые показывают администратору какой трафик является плохим, но нет программ, которые бы автоматически фильтровали трафик на входе и выходе ваших сетей так, чтобы Snortу было не на что было ругаться. Проблема в ложных алертах. Есть много правил у того же Snort, которые должны не просто детектировать нестандартное поведение, а сразу же его блокировать. Например логично заблокировать трафик который удовлетворяет условию BAD-TRAFFIC ip reserved bit set , то есть те пакеты у которых неправильно выставлен резервный бит. (Кстати, вспомните ли вы сходу какой firewall сможет проверить такое условие и заблокировать такой пакет? ;-)) С другой стороны есть и алерты о полезности которых можно поспорить. Например, недавно стоящие у меня в сети eMule стали виновниками алертов BACKDOOR typot trojan traffic .
Итак, в идеале, с точки зрения систем обнаружения атак, нам нужно сделать так чтобы не срабатывали те правила, которые однозначно показывают, что фильтрация настроена неправильно. И правильно ее настроить - главная задача администратора.
Фильтр грубой очистки. Защита от спуфинга IP адресов.
Поскольку я пишу не книгу, а статью, то я сегодня докопаюсь лишь до одного поля IP пакета: source address. Известно, что там находится IP адрес источника пакета. И, насколько мне известно, в технологии Cisco SAFE советуют фильтровать это поле согласно RFC и для защиты от IP спуфинга. Давайте разберемся какие точно адреса мы должны блокировать. (Поле адреса получателя (destination address) должно быть в пределах выделенного вам адресного пула, поэтому тут рассуждать не о чем.)
Итак мы знаем, что начиная с 1 января 1983 года было введено понятие IP адреса 4 версии, который представляет из себя 32 битное число, которое мы обычно записываем в виде 4-х десятичных чисел, разделенных точкой. Существует организация Internet Assigned Numbers Authority (IANA), которая распределяет адреса во всем Интернет. Существуют четыре Regional Internet Registries (RIR) распределенных по миру: APNIC (Asia Pacific Network Information Centre) , ARIN (American Registry for Internet Numbers) , LACNIC (Latin American and Caribbean IP address Regional Registry) , RIPE NCC , которые распределяют адреса между Internet Service Providers (ISP). И наконец существует табличка на сайте IANA , в которой записано какой блок адресов кому отдан.
Если попытаться классифицировать адреса, то кроме (изучаемых уже сейчас в школе) классов А,B,C,D,E мы обнаруживаем что существуют специальные адреса, определяемые не только RFC 1918 , но и RFC 3330 , и которые не должны быть использованы в Интернет.
1. Приватные адреса - зарезервированы под использование в локальных сетях согласно RFC 1918.
- 10.0.0.0 - 10.255.255.255
- 172.16.0.0 - 172.31.255.255
- 192.168.0.0 - 192.168.255.255
- 169.254.0.0 - 169.254.255.255
- 127.0.0.0 - 127.255.255.255
4. Тестовый диапазон - должен использоваться в документациях и примерах кода.
- 192.0.2.0–192.0.2.255
- 224.0.0.0 - 239.255.255.255
- 0.0.0.0 - 2.255.255.255
- 5.0.0.0 - 5.255.255.255
- 7.0.0.0 - 7.255.255.255
- 23.0.0.0 - 23.255.255.255
- 27.0.0.0 - 27.255.255.255
- 31.0.0.0 - 31.255.255.255
- 36.0.0.0 - 37.255.255.255
- 39.0.0.0 - 39.255.255.255
- 41.0.0.0 - 42.255.255.255
- 49.0.0.0 - 50.255.255.255
- 73.0.0.0 - 79.255.255.255
- 89.0.0.0 - 126.255.255.255
- 173.0.0.0 - 187.255.255.255
- 189.0.0.0 - 190.255.255.255
- 197.0.0.0 - 197.255.255.255
- 223.0.0.0 - 223.255.255.255
- 240.0.0.0 - 255.255.255.255
Последний список впечатляет. И мы еще жалуемся, что нам не хватает адресов. И это я еще объединил несколько блоков адресов, если они находились рядом в списке.
7. Есть еще один класс адресов, который не может быть в поле sources. Это ваши собственные адреса. Те адреса Интернет, которые выделены вам и только вам провайдером. Очевидно, что никто кроме вас не имеет права пользоваться ими и вы должны блокировать любые попытки прислать пакет с адресом источника из вашего пула адресов. Тем более, что подстановка вашего адреса в поле sources может использоваться для реализации различных атак. Например, в атаке Land, посылается SYN-пакет с адресом отправителя, совпадающим с адресом получателя.
Итак, оказалось что существует достаточно большое множество адресов, которых не может быть в поле sources наших IP пакетов. Как правило, если в sources прописан один из перечисленных выше адресов, то это либо неправильно работающая у вышестоящего провайдера маршрутизация (выпускающая наружу неправильные адреса), либо возможная DOS атака. Именно поэтому я предлагаю заблокировать все перечисленные выше адреса на входе вашего маршрутизатора.
Суммируя вышесказанное, мы получаем достаточно приличный список адресов отправителя, который мы должны блокировать. Например, если вы используете маршрутизатор Cisco то access-list будет выглядеть следующим образом:
ip access-list extended complete_bogon |
Используем именованный расширенный список доступа |
deny ip 0.0.0.0 1.255.255.255 any |
IANA Reserved |
deny ip 2.0.0.0 0.255.255.255 any |
IANA Reserved |
deny ip 5.0.0.0 0.255.255.255 any |
IANA Reserved |
deny ip 7.0.0.0 0.255.255.255 any |
IANA Reserved |
deny ip 10.0.0.0 0.255.255.255 any |
RFC 1918 |
deny ip 23.0.0.0 0.255.255.255 any |
IANA Reserved |
deny ip 27.0.0.0 0.255.255.255 any |
IANA Reserved |
deny ip 31.0.0.0 0.255.255.255 any |
IANA Reserved |
deny ip 36.0.0.0 1.255.255.255 any |
IANA Reserved |
deny ip 39.0.0.0 0.255.255.255 any |
IANA Reserved |
deny ip 41.0.0.0 0.255.255.255 any |
IANA Reserved |
deny ip 42.0.0.0 0.255.255.255 any |
IANA Reserved |
deny ip 49.0.0.0 0.255.255.255 any |
IANA Reserved |
deny ip 50.0.0.0 0.255.255.255 any |
IANA Reserved |
deny ip 73.0.0.0 0.255.255.255 any |
IANA Reserved |
deny ip 74.0.0.0 1.255.255.255 any |
IANA Reserved |
deny ip 76.0.0.0 3.255.255.255 any |
IANA Reserved |
deny ip 82.0.0.0 1.255.255.255 any |
IANA Reserved |
permit 88.0.0.0 0.255.255.255 our_net |
разрешим доступ с адресом 88/8 в нашу сеть (чтобы не заблокировать ниже) |
deny ip 88.0.0.0 7.255.255.255 any |
IANA Reserved |
deny ip 96.0.0.0 31.255.255.255 any |
IANA Reserved и Loopback |
deny ip 169.254.0.0 0.0.255.255 any |
автоназначенные адреса |
deny ip 172.16.0.0 0.15.255.255 any |
RFC 1918 |
deny ip 173.0.0.0 0.255.255.255 any |
IANA Reserved |
deny ip 174.0.0.0 1.255.255.255 any |
IANA Reserved |
deny ip 176.0.0.0 7.255.255.255 any |
IANA Reserved |
deny ip 184.0.0.0 3.255.255.255 any |
IANA Reserved |
deny ip 189.0.0.0 0.255.255.255 any |
IANA Reserved |
deny ip 190.0.0.0 0.255.255.255 any |
IANA Reserved |
deny ip 192.0.2.0 0.0.0.255 any |
Адреса для тестов. |
deny ip 192.168.0.0 0.0.255.255 any |
RFC 1918 |
deny ip 197.0.0.0 0.255.255.255 any |
IANA Reserved |
deny ip 198.18.0.0 0.1.255.255 any |
IANA Reserved |
deny ip 201.0.0.0 0.255.255.255 any |
IANA Reserved |
deny ip 222.0.0.0 1.255.255.255 any |
IANA Reserved |
deny ip 223.0.0.0 0.255.255.255 any |
IANA Reserved |
deny ip 224.0.0.0 31.255.255.255 any |
Multicast и затем IANA Reserved |
deny ip our_net any |
блокируем наши адреса на входе |
permit ip any our_net |
разрешаем все остальное |
our_net я обозначил ваш блок адресов. Например, он может выглядеть как 194.194.194.0 0.0.0.255 согласно правил написания access-listов.
Неважно где будет реализован этот метод фильтрации на вашем пограничном маршрутизаторе, межсетевом экране или даже на сервере, но самое главное что атакующий лишается возможности использовать адреса из несуществующих сетей. Хочу заметить, что если вы пользуетесь Cisco IOS последних версий (12.2 и выше), то вам не нужно этот access-list делать самому. Такой же access-list формируется простой (казалось бы) командой auto secure .
Команда auto secure делает ВСЁ за специалиста по компьютерной безопасности! Все что наработано на сегодняшний день по защите маршрутизаторов Cisco делается этой одной командой. Вы, конечно, должны представлять что она делает, когда вводите ее, но эта команда сделает все, даже если у вас нет никаких сертификатов и образования в этой области. :(Я вообще когда узнал про возможности auto secure решил, что вот и пришла пора бросать заниматься безопасностью и пойти утюги продавать - там и зарплата, говорят, больше и высшее образование не нужно. ;-) Зачем теперь специалисты, если все делается одной командой.
Однако у этого метода есть минус: вам нужно постоянно отслеживать изменения в таблице на сайте IANA http://www.iana.org/assignments/ipv4-address-space , чтобы после изменения этого списка вы изменили свой access-list. Например, последнее изменение было в августе этого года: выделены сети 71/8, 72/8 для ARIN. Я не знаю есть ли готовый скрипт для выполнения этой работы, но если вы найдете такой или напишете сами, то общество будет Вам благодарно. Есть одна страничка, где всегда хранится актуальный access-list http://www.cymru.com/Documents/secure-ios-template.html , но там список доступа слегка длинноват. Его можно сократить. Принцип сокращения такой
deny ip 0.0.0.0 0.255.255.255 any
deny ip 1.0.0.0 0.255.255.255 any
меняем на
deny ip 0.0.0.0 1.255.255.255 any
В случае если на входе в сеть нет такого фильтра, то возможно вам хочется настроить фильтр на своем собственном сервере или рабочей станции. Кстати авторы персональных FW могли бы взять это на вооружение. Это поможет защитить хост от DOS атак. Вот, например, пример атиспуфингового фильтра для BIND .
После того как мы разобрались с адресами, можно заняться другими полями IP пакета. Например, мне в сеть очень часто приходят tcp пакеты с портом 0. Почему бы вам не посмотреть какие порты используются в пакетах ходящих по вашей сетке.
Фильтр тонкой очистки или Isolated VLAN.
Теперь посмотрим на трафик во внутренней сети. Одним из ключевых факторов построения безопасной конфигурации сети является точное определение всех объектов сети и точное понимание с кем нужно обмениваться информацией каждому из этих объектов и какой вид трафика при этом порождается. Весь другой трафик между этими объектами должен быть отклонен.
Давайте рассмотрим на примере Демилитаризованной зоны (DMZ). Считается правильным выделять сервера компании в отдельную сеть, защищенную как от пользователей из Интернет, так и от внутренних пользователей. Как говорят, доверяй, но проверяй. На картинке показаны два возможных варианта реализации: DMZ располагается между двумя Firewall и DMZ висит на одном из портов Firewall.
Итак, межсетевые экраны фильтруют трафик, приходящий из Интернет и из локальной сети. И, как правило, дизайнеры сети успокаиваются на этой схеме. Все сервера подключаются через один свитч и оказываются в одном широковещательном домене. Однако нужно ли взаимодействие между серверами в DMZ друг с другом? Нужно смотреть в каждом конкретном случае. Можно предположить, что если будет взломан один из серверов DMZ, то с этого сервера возможна атака на соседний сервер, тем более что мы на этапе проектирования никак не защитили один сервер от другого. Таким образом, в тех случаях, когда серверы не должны функционировать друг с другом рекомендуется делать несколько отдельных DMZ. Однако лучшим вариантом является использование PVLAN. Если порты, к которым подключены серверы не будут пересылать пакеты друг другу на канальном уровне, то не будет никакого трафика между серверами и единственный способ для них связаться друг с другом - пройти через Firewall, на котором это соединение должно быть разрешено и передано на нужный порт. Такие порты которые не передают трафик друг другу на канальном уровне называются изолированными.
Та же идея применима и к компьютерам внутри локальной сети. Внимательно проанализируйте информационные потоки и явно задайте при помощи свитча, между какими компьютерами возможен обмен данными.
С помощью этого же механизма можно объединять пользователей в группы (community), в пределах которых организуется их "выделенное" общение. При этом и изолированные пользователи, и группы могут передавать свой трафик в так называемые публичные (promiscuous) порты, на которых работает маршрутизатор, межсетевой экран и система обнаружения атак.
У Сisco PVLAN реализован так, что трафик, который приходит на promiscuous порт может быть распределен по любым другим портам типа isolated и community. Трафик, который приходит на isolated порт может быть направлен только на promiscuous порт. Трафик, который приходит на community порт может быть направлен на promiscuous порт и на порты принадлежащие этой же community.
Таким образом, даже находясь в одном VLAN хосты у которых в схеме информационных потоков не должно быть взаимного трафика не будут получать ни единого пакета друг от друга. Единственная возможность обменяться информацией – прописать явно правило на межсетевом экране или маршрутизаторе разрешающее передавать пакеты между ними. Но это правило уже работает на третьем уровне модели OSI и в этом случае можно применять access-list и правила межсетевого экрана для явного указания разрешенных портов и протоколов.
Если копнуть более глубоко, то когда хост 1 посылает ARP запрос (в поиске MAC адреса хоста 2 с нужным ему IP из той же подсети) хост 2 не получает это запрос и не отвечает хосту 1, поскольку оба сидят на изолированных друг от друга портах. Мы добились того, что хост 1 считает, что хост 2 недоступен и наоборот. Таким образом решается задача контроля трафика внутри сети и, самое главное, не нужно разбивать сеть на подсети. Мы можем безболезненно наложить технологию PVLAN на уже имеющиеся сети.
Когда же нам становится нужно, чтобы сервера общались друг с другом, то маршрутизатор (или firewall) может ответить, что этот хост доступен через него. Эта техника называется Proxy ARP . Хост 1 думает, что хост 2 находится в другом сегменте и посылает IP пакет через маршрутизатор (или firewall). То есть получается, что в пакете стоит MAC адрес маршрутизатора, и IP адрес хоста 2. А вот маршрутизатор (или firewall) уже решает передавать пакет хосту 2 или нет.
Надо заметить, что есть и уязвимость этого метода: если у вас используется маршрутизатор который не имеет никаких правил доступа и, не задумываясь, маршрутизирует все пакеты, что к нему приходят, то злоумышленник с хоста 1 может специально послать пакет с МАС адресом маршрутизатора, но с IP адресом хоста 2. Такой пакет пройдет через isolated port к маршрутизатору и затем будет послан маршрутизатором на хост 2. Поэтому, надо либо добавить правила доступа на маршрутизаторе (или firewall) запрещающие или разрешающие такие пакеты явно, либо пользоваться дополнительно VLAN Access Control List (VACL) на свитче.
Раньше в рамках одного свитча была похожая возможность которая называлась protected port, но она работала только в пределах одного свитча и информация о protected портах не передавалась по транкам. Сейчас это понятие расширено и дополнено community портами.
Технология PVLAN может быть практически реализована на достаточно большом количестве выпускаемых в настоящее время управляемых коммутаторов имеющих порты Ethernet со скоростью работы 10/100/1000 мегабит в секунду.
Конкретная реализация этих схем на свитчах Cisco описана .
Привет всем! Можно много и отвлеченно рассуждать о преимуществах развития всемирной паутины. Но вот о вопросах безопасности большинство пользователей почему-то не задумываются.
Да, развитие операционных систем предполагает установку разработчиками и более совершенных методов защиты. Но, как правило, они не задействованы на самом деле, учитывая тот факт, что большинство пользователей предпочитает «работу из коробки» – то есть на свежеустановленной системе без каких-либо дополнительных настроек.
А уж вопросами безопасности, как показали последние опросы пользователей, озадачивается и совсем малое количество.
В пределах одной статьи достаточно тяжело обозначить и рассмотреть все методы защиты. Но вот на теме хотя бы минимальной фильтрации трафика, а также , стоит и необходимо остановиться подробнее.
Что такое система фильтрации сетевого трафика и зачем она необходима?
Фильтрация трафика предполагает (и реализует) организацию от различного вида web-угроз - начиная от простого «прощупывания» системы до атак, организуемых с целью похищения информации.
Казалось бы - что можно похитить с домашней станции? Да те же данные банковских карт оплаты, ведь все большее количество пользователей совершает покупки в сети, не задумываясь о том, что данные, введенные во время совершения транзакции остаются в системе. А опытному взломщику, проникнув в систему не составит большого труда «слить» их и использовать по своему усмотрению. А еще есть конфиденциальная переписка, фотографии и т. д.
Наличие системы фильтрации трафика обеспечит:
- защиту от ddos-атак, спуфинга, «нулевого дня», скрытой установки шпионских программ и т.п
- обнаружение и защиту от слежения за активностью пользователя
- защиту от посещения зараженных сайтов
- блокирование посещения нежелательных сайтов или ссылок на них
- защиту от проникновения извне
Если сравнить страницы сайтов, разработанные, скажем, даже 3-5 лет назад и сейчас, то мы увидим, что количество кода увеличилось и, причем, весьма значительно. Да, расширение и утяжеление страниц необходимо, особенно в свете того, что страницы стали динамическими, ориентированными на работу с различными, в том числе и мобильными устройствами, а также предоставляют большое количество онлайн-сервисов.
Именно наличие массивного кода позволяет злоумышленнику незаметно разместить всего несколько строк (в простых случаях) для атаки, причем работа этого кода может остаться незаметной.
Итак, как видно из всего вышесказанного - фильтрация трафика необходима. Пропуская безопасное содержимое, фильтр отсекает все (или почти все) внешние угрозы.
Организация фильтрации трафика
Есть несколько способов организовать фильтрацию интернет трафика на домашней станции.
Первый и самый простой - используя софт, предоставляемый самой операционной системой.
Пользователям Windows
На этапе установки этой операционной системы пользователю предлагается включить защиту, которую большинство установщиков игнорируют. Именно встроенный брандмауэр Windows позволяет обеспечить почти полную защиту трафика от внешних угроз.
Для включения и настройки фильтрации ip трафика необходимо перейти в само приложение в панели управления и выбрать пункт «Включение и отключение брандмауэра Windows».
О том, как создавать правила при помощи командной строки - тема отдельного разговора. Здесь же рассмотрим минимально необходимую настройку, позволяющую обеспечить минимальный, но действенный уровень безопасности.
Пользователю сразу же предлагается активировать рекомендуемые параметры, а также осуществить более тонкую настройку, например разрешить определенную сетевую активность для списка приложений. Для этого необходимо перейти на вкладку управления программами и отметить те, которым разрешаем обмениваться трафиком в сети.
Если перейти на вкладку дополнительных настроек, то можно дополнительно настроить правила подключения, создать свои правила и включить проверку подлинности.
В большинстве случаев такой настройки достаточно.
Пользователям Nix* и BSD* систем
Сказанное ниже будет полезно не только пользователем открытых ОС, но и тем, кто хочет более подробно разобраться в том как, собственно, происходит организация фильтрации сетевого трафика.
Все открытые ОС имеют в своем составе netfilter, правила фильтрации сетевого трафика которого выполняется либо в командной строке, либо правкой конфигурационных файлов.
Что же можно реализовать при помощи этого приложения?
- , а также протоколы передачи данных
- заблокировать или разблокировать определенные хосты, MAC и IP адреса
- настроить NAT (раздачу интернета в локальной сети)
- защититься от DdoS атак, брутфорса и спуфинга
- ограничить сетевую активность приложениям, пользователям и т.д
Как видно, возможностей у пользователя Nix* систем больше и связано это именно с открытостью самого netfilter, а также полного контроля над конфигурационным файлом.
Основной утилитой, которая используется для управления фильтром является iptables и именно на ее примере и рассмотрим настройку.
По умолчанию, правила фильтрации при первом запуске отсутствуют. Примеры с самыми простыми настройками (примерно соответствующими политике безопасности Windows) имеются в дополнительных файлах с расширением, как правило, .example, simple и т. д.
Самый простой пример фильтрации трафика:
A INPUT -m conntrack —ctstate RELATED,ESTABLISHED -j ACCEPT
Разрешает входящий трафик для уже установленного соединения, но при этом может параллельно пройти и «левый» трафик. Для того, чтобы его отсечь необходимо добавить:
sudo iptables -A INPUT -m conntrack —ctstate INVALID -j DROP
Таким образом создано первое и второе правила фильтрации трафика. Полное описание можно посмотреть в инструкции по настройке iptables или подобного софта.
Настройка фильтрации в роутере
Практически все роутеры имеют подобную, рассмотренной выше, настройку файервола. Плюсом является возможность прописать правила не в конфигурационных файлах, а используя web-интерфейс.
Для того, чтобы поставить защиту на роутер , необходимо найти вкладку «Файервол» и активировать его включение. После чего можно заняться более тонкой настройкой, например, открыв или закрыв определенные порты.
Так для серфинга необходимо оставить открытым 80 порт, для SSL соединения - 443.
Ниже представлен список наиболее востребованных в повседневной работе портов:
20-22 - ftp, pop3
80-83, 443 - браузеры
25, 110, 143 - почта
587, 554 — socks
Стоит отметить, что многие программы используют нестандартные порты, поэтому их открытие необходимо контролировать вручную.
И в заключение список портов, которые можно закрыть:
135-139 - net bios
113, 5000, 5554, 9996, 18350 - наиболее часто атакуемые.
Чтобы пользователь мог безопасно находиться в сети, разработаны специальные программы для фильтрации трафика и веб-контента.
Принципы работы контентной фильтрации
Главная цель контентного фильтра — ограничить доступ к запрещённым или вредоносным ресурсам. Достигается это с помощью списков разрешённых/запрещённых ресурсов.
Защита нужна каждому пользователю, но особенно остро в ней нуждаются дети и подростки. Ведь на многих страницах присутствуют сцены насилия, эротики, реклама вредных веществ и алкоголя. Чтобы оградить детей от подобной информации, необходимо использовать систему контентной фильтрации.
Фильтрация интернет трафика
Наша компания разработала специальный механизм фильтрации интернет-трафика, который не только помогает поддерживать доступ в сеть в рабочем состоянии, но и обеспечивает непрерывность и целостность бизнес-процессов. Веб-фильтр позволяет управлять потоками, входящими в локальную сеть, автоматически снижая её нагрузку. При этом снимаются проблемы нецелевого доступа к посторонним ресурсам, нерационального использования сети и рабочего времени
Система фильтрации интернет-трафика необходима на разных уровнях: для домашнего использования и для корпоративной сети. Она существует в разных формах:
- утилиты;
- приложения;
- дополнения для браузера;
- отдельного сервера.
Компания «А-Реал Консалтинг» активно разрабатывает разные способы обеспечения безопасности сети, предоставляя клиентам комплексное решение. Мы имеем богатый опыт внедрения систем фильтрации интернет контента в школах и организациях.
Наш контентный фильтр работает исходя из данных веб-трафика, которые сообщает модуль прокси-сервера. Затем происходит сверка со списком запрещённых ресурсов. Эта база включает несколько миллионов сайтов, разделённых на категории, что позволяет индивидуально настроить параметры фильтрации web-контента.
Пользователям системы фильтрации от Интернет Контроль Сервера достаточно просто запретить категорию, и все сайты этой тематики автоматически станут недоступными.
Контент-фильтрация включает и антивирусные модули, автоматически проверяя весь входящий трафик на наличие вредоносных программ. Наше решение гарантирует надёжность и безопасность, предоставляя все инструменты для управления доступом в сеть.
Контентная фильтрация в школах и образовательных учреждениях
По статистике более 100 000 образовательных учреждений имеет доступ в интернет, где учащиеся подвергаются потоку агрессивного и потенциально опасного контента. Поэтому была утверждена и одобрена Федеральная Система исключения доступа к Интернет-ресурсам, несовместимым с задачами воспитания и образования обучающихся РФ (СИД).
В соответствии с Федеральным законом № 436 «О защите детей от информации, причиняющей вред их здоровью и развитию»и ФЗ № 139 «О внесении изменений в Федеральный закон «О защите детей от информации, причиняющей вред их здоровью и развитию», установка контентной фильтрации в образовательном учреждении является обязательным требованием.
Возможные варианты
Фильтры для интернета можно настроить 2 способами:
- обратиться за помощью к своему интернет-провайдеру;
- установить и настроить специализированное ПО.
Во втором случае придётся самостоятельно скачивать и настраивать контентный фильтр для школы или другой организации. Наша компания предлагает воспользоваться интернет-шлюзом ИКС. Он регулярно обновляется и содержит адреса ресурсов с информацией, распространение которой в Российской Федерации запрещено, т.е. соответствует Федеральному закону № 139 «О чёрных списках».
Функции ИКС для контентной фильтрации
- организация доступа только к надёжным ресурсам;
- безопасность от вредоносных объектов, которые стремятся попасть в локальную сеть, осуществляемая с помощью встроенного межсетевого экрана ;
- контроль доступа пользователей к сети;
- ведение учёта потребляемого трафика.
Преимущества интернет-шлюза ИКС
- возможность предварительной оценки и тестирования с помощью демо-версии в течение 35 дней;
- неограниченный срок лицензионной версии;
- доступное обучение в форме видеороликов;
- бесплатная полная версия Lite до 8 пользователей;
Настройка ИКС
Ещё одно преимущество ИКС — лёгкость установки и настройки. Для этого нужно совершить всего 5 действий:
Вот так просто можно настроить интернет фильтрацию, обеспечив полноценную защиту от внешних угроз.
В Интернете много хорошей и полезной информации. Сейчас люди стали чаще заглядывать в Интернет, чтобы узнать актуальные новости, прогноз погоды, посмотреть виде (инструкции, как сделать что-то), рецепты приготовления блюд или просто уточнить, как вкрутить лампочку в люстру. Информации в Интернете много, только успевай вводить в поисковую строку Яндекса или Google всевозможные запросы. Но среди полезной информации, есть вредная и непристойная в виде изображений, нецензурного текста и видео.
Очень важно огородить детей от такого контента, так как в последнее время появилось много информации нарушающую психику ребенка до неузнаваемости. Первым делом, конечно же, нужно следить родителям за ребенком дома, а учителям в школе за тем на какие сайты он заходит в Интернете, проводить беседы и прочее.
Но не всегда, получается, уследить за чадом, поэтому существуют системы контентной фильтрации (СКФ). На сегодняшний день на рынке информационных технологий СКФ предлагается немало, например, один из популярных сервисов SkyDNS – платная и частично бесплатная система контент фильтрации для школ, офисов и дома.
Можно также воспользоваться абсолютно бесплатной системой доступа в Интернет – .
Что такое DNS-сервер Rejector и его функционал
– централизованная система контентной фильтрации и контроля доступа в Интернет, с помощью которой можно создать защиту детям от непристойной информации, изображений, видео и запрещенных сайтов (+18) и плюс защита от вирусов (так как на подобных сайтах довольно часто бывают вредоносные программы). Проще говоря, Rejector - это DNS-сервер с возможностью удаленного и централизованного им управления.
Сервис Rejector обладает следующими функциями:
- Поддержка статического и динамического IP-адреса (IP адрес, с которого обрабатываются запросы);
- Категории фильтрации (офисный фильтр, детский фильтр, индивидуальный фильтр);
- Исключения (черный и белый список);
- Закладки (можно сохранить под коротким названием длинный URL-адрес сайта);
- Статистика;
- Обратная связь администратора с пользователями сети;
- Временной интервал (можно задать, по каким дня и времени будет действовать фильтрация).
Как работает сервис Rejector: регистрация, настройка и запуск контентной фильтрации
Чтобы воспользоваться всеми функциями сервиса Rejector - блокировки нежелательных сайтов и контента, нужно зарегистрироваться, указав все необходимые данные.
После регистрация вам станет доступна панель управления системы контентной фильтрации. И вы можете приступить к управлению веб-сервисом. Все происходит централизовано, то есть с вашего компьютера.
Раздел «Сети»
Первым делом заходим в раздел «Сети» и внести настройки:
- Ввести название вашей сети (любое название, можно использовать кириллицу или латиницу).
- Выбираем статус: статический IP адрес или динамический IP адрес. Тут все зависит от настроек вашего провайдера. Нужно уточнить у провайдера, какой у вас адрес.
Пояснение :
Статический IP адрес – это постоянный адрес вашего компьютера без ограничении во времени при подключении к Интернету. Выдается провайдером и в основном прописывается пользователем в настройках компьютера или роутера.
Динамический IP адрес – это непостоянный (изменяемый) адрес компьютера, который назначается автоматически при подключении устройства к сети и используется в течение определенного интервала времени.
Со статическим IP-адресом все просто, он отображается верхнем правом углу. Его нужно скопировать и вставить в поле Ip-адрес или же посмотреть .
С динамическими адресами все предстоит гораздо сложнее, ведь они могут меняться каждый день, а у некоторых провайдеров в настройках прописано, чтобы каждый 3-4 часа.
Для настройки динамического ip-адреса, рекомендуется использовать веб-сервис dyn.com/DNS/ , хотя как я заметил, он стал платным. Также можно поискать бесплатные dyndns в сети. Пользователи операционных систем Windows могут воспользоваться Rejector Agent .
В следующих статьях, постараюсь, написать, как настроить автоматическое определение и обновления динамических адресов.
Раздел «Фильтрация» можно выбрать подходящий для вас белый и черный список по которому будет происходить фильтрация контента. Тут есть готовые: офисный фильтр, детский фильтр, безлопастный фильтр и другие.
Выбрав можно настроить фильтрацию контента по индивидуальным настройкам, то есть выбрать категории сайтов, которые будут блокироваться.
В разделе «Исключения» можно доработать список сайтов, которые нужно блокировать или же наоборот, к которым должен быть обязательно доступ в Интернете. Если проще, доработка белого и черного списка.
Раздел «Закладки»
Раздел «Статистика»
Раздел «Статистика» предназначены для отслеживания за количеством запросов URL-адресов сайтов, заблокированных веб-ресурсов, ошибочных запросов за определенный период времени (пользователь может задать нужный ему период времени).
Раздел «Запросы»
В разделе «Запросы» администратор получает сообщения от пользователей сети, на запрос об открытие (разблокировки сайта). Пользователи могут отправлять запросы со страницы блокировки. Кстати, страницу блокировки можно настроить в разделе «Сети» щелкнув по ссылке Настроить в своей странице запрета.
Раздел «Временный интервал»
Раздел «Временный интервал» посвящен настройкам со временем работы контентной фильтрации в сети. Например, можно настроить чтобы сервис Rejector не блокировал сайты после 17:30 и т.д.
Для очистки кэша в Windows нужно выполнить команду ipconfig /flushdns .
После проделанных действий описанных выше, можно сказать, что большая часть работы сделана для полноценной фильтрации контента.
Остается настроить сетевой адаптер в операционной системе, которая установлена на ваш компьютер или же внести настройки в роутер (маршрутизатор).
Настройка сетевого адаптера и роутера (маршрутизатора)
Осталось совсем ничего, чтобы полностью запустить систему контентной фильтрации Rejector у себя на компьютере или в организации (офис, школа). Нужно прописать DNS-сервера Rejector: 95.154.128.32 и 78.46.36.8. Без этого никак не получится фильтровать запрещенные сайты и контент.
Настройка DNS-серверов для использования Rejector в Windows (Windows XP, Windows Vista и Windows 7) написано . Поэтому писать новую инструкцию не вижу смысла. Там написана пошаговая инструкция со скриншотами.
А вот настройки роутеров под Rejector я не нашел на их сайте. Роутеров существует очень много и поэтому описать каждый роутер нет возможности. На примере представлена инструкция по настройке роутера (маршрутизатора) D- Link DIR-300NRUB5 .
Дальше откроется во всей своей красе административная панель роутера, где можно внести настройки. Если роутера у вас уже настроен вашим провайдером или вами самостоятельно и доступ к интернету есть, то нужно внести изменения в серверы имен (в данном случае). Для этого проходим в раздел меню «Дополнительно» и выбираем «Серверы имен». Далее как показано на скриншотре, вводим DNS сервера Rejector: 95.154.128.32 и 78.46.36.8 .
Сохраняем изменения и перегружаем роутера, чтобы настройки вступили в силу!
Например, недавно настраивал . В панели управления этого роутера нужно зайти в раздел меню «Сеть» , далее WAN и в поля предпочитаемый и альтернативный DNS-сервер ввести соответствующие DNS-сервера Rejector.
Если будут проблемы в настройке роутера, пишите в комментариях ниже, постараемся помочь вам настроить контекстную фильтрацию.
Если Вы не хотите тратить деньги на систему контентной фильтрация для вашего дома, небольшого офиса или школы (образовательной организации), то сервис Rejector станет для Вас подходящим инструментом для блокировки компьютеров от нежелательного контента в Интернете.
Пишите в комментариях, как вы защищаете своих детей и какие средства используете для блокировки нежелательных сайтов на своем компьютере.
Направлена на несовершеннолетних интернет-пользователей, которые, в случае ее внедрения, смогут посещать только доверенные сайты из «белого списка». Таким образом они будут лишены доступа к «опасному» контенту.
Пока не решено, будет ли трафик фильтроваться только в образовательных учреждениях страны или же для всех пользователей Рунета. Во втором случае, чтобы получить доступ в «свободный интернет», нужно будет написать заявление интернет-провайдеру. Лига безопасного интернета уже тестирует систему «белого списка» в ряде регионов России, в частности, в Костроме.
Чьих рук дело?
Создание этой системы предусматривается , которую 31 июля утвердил премьер-министр России Дмитрий Медведев. НаСФИТ должна быть введена в эксплуатацию до конца 2020 года. Почву для появления системы подготовила, в том числе, сенатор , благодаря которой с 2012 года в Рунете ведется единый реестр запрещенной информации Роскомнадзора.
Почему НаСФИТ может нанести вред?
Представитель МТС Дмитрий Солодовников говорит, что оператор ранее ничего не слышал об этом предложении. «Считаем подобные инициативы вредными, способными нанести ущерб абонентам из-за возможного снижения качества доступа в интернет». В первую очередь это может произойти из-за снижения темпов строительства сетей и развития новых сервисов.
Помимо пользователей НаСФИТ может нанести урон всей телеком- и ИТ-отрасли. Провайдерам и операторам придется тратить огромные ресурсы «на реализацию малоэффективных решений по фильтрации трафика вместо того, чтобы инвестировать в цифровую экономику и строительство cетей 5G», cетует пресс-секретарь МТС.
Идея может не сработать
Источник сайт, близкий к одному из операторов, отмечает, что дети не имеют права заключать договоры об оказании услуг связи. Таким образом, фильтровать трафик только для детей невозможно в принципе. Абонент всегда совершеннолетний, то есть с паспортом, напоминает собеседник.
Представитель интернет-провайдера АКАДО Телеком сообщил, что компания поддерживает инициативу, но также сомневается в механизме ее воплощения в жизнь.
«Неясно, по какому принципу сайты будут попадать в "белый список", кто это должен определять. Если речь идет о фильтрации контента только в образовательных учреждениях, то такая мера вряд ли будет действенна, так как при желании дети смогут зайти на сайты из дома. Поэтому проект нуждается в серьезной доработке». Ирина Романникова, пресс-служба АКАДО Телеком.
Как можно фильтровать?
По мнению гендиректора информационно-аналитического агентства TelecomDaily Дениса Кускова, есть два разумных способа фильтрации «вредных» сайтов: собственные инструменты оператора и покупка SIM-карты с оговоркой, что она будет использоваться ребенком. В этом случае оператор сможет включить фильтрацию сразу.
У некоторых операторов уже есть собственные системы для фильтрации трафика. Так, «Ростелеком» предлагает продукт «Контент-фильтрация трафика» для образовательных учреждений, а «ВымпелКом» - рекомендательный сервис интернет-ресурсов «Вебландия», сайты для которого отбирают детские библиотекари.
Напомним, что на днях , касающихся ограничений в интернете: закон, который запрещает поставщикам VPN и другим сервисам пускать российских пользователей на заблокированные ресурсы, иначе сервис заблокируют, а также закон о запрете анонимности в мессенджерах. Первый документ вступит в силу с 1 ноября этого года, второй - с начала 2018 года.