что такое богон сети
Стена огня lvl2. Настраиваем файрвол для отражения атак на примере MikroTik
Содержание статьи
Унификация настроек
Поэтому мы будем настраивать роутер так, чтобы конфиг можно было без проблем перенести на любой другой роутер. Это немного усложнит первоначальную настройку, но сэкономит кучу времени в будущем.
Мы уже рассматривали списки интерфейсов. Это фича для оперирования несколькими интерфейсами как одним. Создадим листы WAN и LAN, а затем добавим туда нужные интерфейсы. Теперь правила файрвола будем привязывать к интерфейс-листам, а не к отдельным интерфейсам. Перед экспортом правил на другой роутер просто создадим на нем нужные листы, и конфиг встанет без ошибок.
Xakep #255. Атаки на Windows
Обрати внимание, что для использования в файрволе нам нужны L3-интерфейсы, то есть те, на которых есть IP-адреса. Если ты получаешь интернет по PPPoE, то в WAN-лист надо добавить именно его. Если IP локальной сети прописан на бридже или VLAN’е, то и в лист LAN нужно добавить их, а не физические интерфейсы. Если включить в список и логический, и физический интерфейс, ничего страшного произойти не должно, но это нужно будет учитывать в конфигурации.
Но это еще не все. Понятно, что в каждом филиале у нас будет своя подсеть LAN: где-то 192.168.10.0/24, где-то 192.168.11.0/24. Чтобы не путаться с этими значениями и не менять конфиг при переносе с одного роутера на другой, оперировать будем не адресами и подсетями, а списками адресов. На каждом роутере создаем список LAN и дальше работаем только с ним.
В прошлый раз мы создавали адрес-лист MGMT, в котором открывали доступ к управлению роутером только с определенных адресов. А еще раньше рассматривали решение Port Knocking, которое предоставляет доступ к управлению, только если со стороны клиента выполнить секретные манипуляции. Для доступа к роутеру из доверенной сети (LAN) вполне подходит вариант с адрес-листом, а для доступа снаружи — Port Knocking. Было бы хорошо совместить эти варианты в нашей конфигурации. Еще будет удобно разделить цепочку input на две части: input со стороны интернета и input со стороны локалки. Тогда можно применять разные политики фильтрации к разным сегментам сети. В этом нам помогут пользовательские цепочки.
Теперь политики фильтрации будут разными для разного источника трафика. Для внешнего трафика будем использовать цепочку WAN_INPUT и более жесткие ограничения, для внутреннего — LAN_INPUT и правила попроще. Цепочка input нам больше не нужна, теперь мы все будем делать в новых цепочках. Причем указывать интерфейсы или списки интерфейсов в правилах больше не понадобится. Однако этот подход может использоваться в сложных решениях, например когда у тебя два провайдера с разными политиками фильтрации или локалка поделена на разные VLAN. Но об этом позже.
Должно получиться примерно так
Защищаемся от атак
До сих пор мы рассматривали правила файрвола, позволяющие обрабатывать трафик по простым признакам: интерфейсу, адресу, порту. Но файрвол гораздо более гибкий инструмент, с его помощью можно строить сложную логику для противодействия разным типам атак.
Есть зарезервированные адреса, которые не используются в интернете. Они называются «богон-адресами». Отсечем пакеты с таких адресов:
Мы ожидаем пакеты только с юникаст-адресов, поэтому запретим все, кроме них.
Port Scan Detect — функция, позволяющая обнаружить сканер портов. Как она работает? Портам задается некий условный вес — Weight. Причем для системных портов (до 1024-го) весовой коэффициент низкий (Low ports), а для остальных — высокий (High ports). Если в течение времени Delay Threshold от одного хоста на роутер прилетят пакеты на порты, сумма весов которых окажется больше, чем Weight Threshold, то адрес отправителя будет добавлен в блек-лист. В нашем примере, если с одного хоста за три секунды поступят десять пакетов на порты до 1024-го (общий вес 10 * 2 = 20) и двадцать пакетов на порты выше 1024-го (20 * 1 = 20), общий их вес составит 40. Обрати внимание, что Port Scan Detect работает только для TCP- или UDP-трафика.
Защищаемся от сканеров
Защищаемся от DDoS
ICMP — один из важных протоколов в любой сети. Многие админы любят блокировать его, но это очень плохой подход. Именно ICMP позволяет работать трассировке, указывать на недоступность UDP-портов, отправлять разные служебные сообщения. И если запретить его полностью, можно наловить кучу багов. У каждого сообщения ICMP свое предназначение, и уже по этому параметру нетрудно понять, имеет ли смысл разрешить какие-то типы ICMP изнутри сети или снаружи. Например:
Остальное легко найти в интернете, а лучше почитать RFC 792.
Создадим цепочку ICMP и отправим в нее весь ICMP-трафик (можно создать две цепочки: для LAN и WAN — и настроить разные политики). Разрешаем только нужные типы сообщений и ограничиваем обработку пятью пакетами в секунду:
Пример правила ICMP
TCP тоже поддерживает кучу флагов, часть которых не может содержаться в одном пакете. Комбинации этих флагов часто используются сканерами портов, чтобы пробить плохо настроенную защиту. Сделаем отдельную цепочку для TCP и дропнем подобные «подозрительные» пакеты:
Пример с TCP-флагами
То же самое для UDP:
Цепочка Forward
До сих пор мы в основном смотрели на трафик, прилетевший в input-цепочку, а дальше по каким-то признакам направляли его в разные цепочки. Но весь этот трафик предназначался самому роутеру. Цепочку output используют редко, но ты можешь отфильтровать в ней, например, ICMP-ответы от роутера или IPsec-трафик. Понятно, что большая часть трафика будет попадать в forward — ведь на то он и роутер, чтобы перенаправлять пакеты из одной сети (локалка) в другую (интернет или второй VLAN локалки). И в этой цепочке мы будем управлять трафиком пользователей.
Я не стану детально рассказывать о том, что надо разрешить или запретить, — об основных приемах настройки и так уже написано несколько статей и есть куча примеров в интернете. Рассмотрим более интересный кейс: репутацию сети.
В интернете есть сервисы, содержащие списки спамеров, ддосеров, распространителей нелегального контента. Если на машины в твоей сети попал троян-спамер, то ты тоже окажешься в этих списках. Через какое-то время письма от любого клиента изнутри сети начнут попадать в спам у всех получателей, потом ты будешь добавлен в публичные блек-листы и у пользователей исчезнет доступ ко многим ресурсам. В том числе к сетям партнеров, админы которых пользуются такими списками, чтобы запретить доступ потенциальным вредителям. Представь, что произойдет с твоей премией, когда письмо с многомиллионным контрактом от твоего шефа упадет у контрагента в папку «Спам».
Попробуем защитить свою премию. Для этого нужно понять, по какому поводу нас могут внести в списки. Причин этому несколько:
Некоторые читатели этой статьи вполне могли участвовать в DDoS-ботнете, сами того не осознавая. Атаки UDP Amplification основаны на некорректных настройках сервисов, когда можно обратиться к ним с просьбой узнать что-то у другого сервера. Например, к нам может прилететь DNS-запрос с просьбой отрезолвить адрес жертвы. И таких, как мы, миллионы. Когда к жертве поступит миллион пакетов в секунду, она не обрадуется, а мы увидим загрузку CPU под 100%, жуткие тормоза и однажды окажемся в блек-листе. Такая же схема работает и с другими UDP-сервисами, например NTP. Вывод простой: блокируй трафик к этим сервисам снаружи. Но это все еще про INPUT.
Слишком «толстые» потоки тоже могут вызывать подозрения. Залогируем их:
По порту назначения можно определить, к какому сервису обращаются хосты изнутри нашей сети. И если это общеизвестный порт, например СУБД, а все наши базы расположены внутри периметра, логично предположить, что сотни пакетов в секунду к этому порту в интернете с компьютера бухгалтера — не простая ошибка и не личный интерес самого бухгалтера. Дропаем подозрительные пакеты и возвращаемся в родительскую цепочку (последнее правило):
Заключение
Мы рассмотрели более продвинутые методы настройки файрвола. Эту статью не нужно воспринимать как инструкцию по настройке: у каждой сети свои особенности и сервисы. Роутеры у всех тоже разные — у кого-то он спокойно обработает тысячи неоптимизированных правил файрвола, для других сотня правил будет обрабатываться с трудом. Поэтому подходи к настройке файрвола с умом.
В две статьи всё не вместишь, и мы не затронули еще несколько больших тем: таблицы NAT, RAW, IPv6 Firewall, Bridge Firewall, фильтрацию по контенту, определение типа трафика по его содержимому (когда мы меняем порт у HTTP, а файрвол все равно понимает, что внутри HTTP), проксирование трафика.
Все эти темы рассматриваются в официальном обучающем курсе MikroTik — MikroTik Certified Traffic Control Engineer. Но чтобы на него попасть, нужно пройти курс MikroTik Certified Network Associate, где изучаются общие принципы настройки роутера и работа TCP/IP.
Узнать больше о курсах (и записаться на них) можно:
Богонские IP-адреса являются законными адресами. Вы можете увидеть поддельный IP-адрес в результате неправильной настройки (преднамеренной или непреднамеренной), которая вводит получателя в заблуждение относительно законного IP-адреса отправителя. IP-адреса Bogon популярны при хакерских или злонамеренных действиях и используются спамерами и теми, кто инициирует распределенные атаки типа «отказ в обслуживании». Таким образом, многие интернет-провайдеры и брандмауэры блокируют болото
Богон также известен как богонское пространство или богонский IP-адрес.
Техопедия объясняет Богону
IP-адреса являются основным компонентом всей инфраструктуры Интернета и интрасети во всем мире. Они предоставляют уникальную возможность идентифицировать веб-сайт, сервер или любое другое подключенное устройство или устройство. Эти адреса используются для связи между клиентами и приложениями.
IANA распределяет уникальные IP-номера / адреса для каждого такого экземпляра и узла, расположенного в этой гетерогенной сети. Диапазон IP-адресов, выделенных или зарегистрированных для любого объекта, является частью зарезервированного пространства IP-адреса. С другой стороны, любой другой адрес, который является частью адресного пространства, но еще не зарегистрирован, принадлежит богонскому пространству. Любой адрес в богонском пространстве известен как богонский или богонский IP-адрес.
IP-адреса Bogon space обычно не видны в Интернете или в любой компьютерной сети, но они все еще используются, главным образом, для незаконной или мошеннической деятельности. Хакеры манипулируют исходным IP-адресом, чтобы получить ложный IP-адрес, создавая у получателя впечатление, что пакет поступает из надежного источника.
Краудсорсинг: что это такое, почему это работает и почему оно не уходит
Кажется почти невозможным, чтобы что-то настолько простое могло выполнить задачи, которые когда-то были назначены сотрудникам, но в некоторых случаях краудсорсинг действительно работает.
Что такое богон сети
6.5.1. Автоматическое добавление правил брандмауэра
Во множестве случаев, pfSense автоматически добавляет некоторые правила брандмауэра. Данный раздел рассматривает каждое из автоматически создаваемых правил и цель их создания.
6.5.1.1. Правило антилокаута (Anti-lockout)
Что бы предотвратить блокировку web интерфейса, pfSense, по умолчанию включает правило антилокаута. Это поведение конфигурируется на странице System->Advanced WebGUI Anti-lockout. Данное автоматическое правило разрешает трафик из любого источника вашей сети к любому протоколу слушающему на LAN IP. В средах осознающих безопасность, следует отключить данное правило и конфигурировать правила LAN так, чтобы только алиас доверенных хостов мог получать доступ к административным интерфейсам брандмауэра.
Замечание:
Если после отключения правила антилокаута вы не можете получить доступ к интерфейсу управления, скорее всего вы неверно сконфигурировали соответствующие правила. Можно повторно включить правило антилокаута используя опцию Set LAN в консольном меню. Просто установите текущее значение IP и правило антилокаута будет включено автоматически.
6.5.1.2. Правила антиспуффинга (Anti-spoofing)
pfSense использует функцию антиспуффинга PF для блокирования трафика спуффинга. Данная функция реализует функциональность uRPF (Unicast Reverse Path Forwarding) в соответствии с RFC 3704. [http://www.ietf.org/rfc/rfc3704.txt].
Брандмауэр проверяет каждый пакет в соответствии со своей таблицей маршрутизации, и если попытка соединения происходит с исходного IP на интерфейсе, где по данным брандмауэра такой сети нет, пакет отбрасывается. Например, нечто приходящее с WAN интерфейса с адресом внутренней сети будет отбрасываться. Так же, что либо инициируемое из внутренней сети с IP источника который не находится в этом внутреннем сегменте тоже будет отбрасываться.
6.5.1.3. Блокировка частных сетей
Опция блокировки частных сетей на WAN интерфейсе автоматически формирует правило для подсети RFC 1918. Если у вас нет частного пространства IP адресов на вашем WAN, эту опию следует включить. Опция применяется только к трафику инициируемому на стороне WAN. Из внутренней сети всё ещё возможно получить доступ к узлам частных сетей. Эта опция недоступна для OPT интерфейсов WAN в pfSense 1.2.x., но должна быть включена в 2.0. Можно вручную добавить правило блокировки частных сетей на OPT интерфейсе WAN, создав алиас включающий подсети RFC1918 и добавив правило блокировки источника соответствующего алиасу в вершину набора правил. (смотрите раздел 1.7.1.1 «Частные IP адреса» для получения дополнительной информации о частных IP адресах).
Рисунок 6.20. Тестирование разрешение имён для обновления списка богонов
6.5.1.4.1. Форсированное обновление списков богонов
При относительно нечастом обновлении списка богонов и наличии предварительного уведомления о новых присвоениях IP, ежемесячные обновления вполне актуальны. Однако возможны случаи, когда необходимо вручную выполнить обновление богонов, например, если ваши обновления перестали работать из-за проблем с DNS. Можно вручную выполнить обновление через страницу Diagnostics->Command, выполнив /etc/rc.update_bogons.sh now. Аргумент now следующий за именем скрипта сообщает о необходимости немедленного выполнения скрипта.
6.5.1.6. PPTP
Когда вы подключаете PPTP сервер, автоматически добавляются скрытые правила позволяющие порт 1723 TCP и протокол GRE (Generic Routing Encapsulation) к вашему WAN IP адресу с любого исходного IP адреса. Больше информации об этих правилах можно найти в разделе 12.3. «VPN и правила брандмауэра».
6.5.1.7. Правило запрета по умолчанию
Правила, которые не соответствуют любым правилам определённым пользователем или любым другим автоматически добавленным правилам будут тихо блокироваться правилом запрета по умолчанию. (мы обсуждали его в разделе 6.4.1. «По умолчанию ЗАПРЕЩЕНО»).
Вирусный спрос: зачем бизнесу понадобились собственные LTE-сети
Что такое частный LTE
Чтобы быть защищенным, нужно быть отделенным от общедоступного интернета, утверждает Роб Шварц, генеральный директор Anterix — одного из крупнейших операторов частных (выделенных) LTE сетей в США. За полгода с декабря 2020-го по июнь 2021-го акции компании подорожали более чем вдвое. И все благодаря повышенному спросу на Private LTE среди американских компаний.
LTE сети позволяют передавать большие объемы информации, загружая ее со скоростью до 3 Гбит/с при минимальных задержках.
Для обычного пользователя это означает, что с помощью LTE удобно смотреть кино и прямые трансляции или обмениваться «тяжелыми» файлами с другими устройствами. Но бизнесу этого недостаточно: чтобы использовать все возможности стандарта, компании строят собственные сети LTE — Private LTE.
Частная, или выделенная (Private) LTE — это сеть, созданная в пределах одной организации. Она основана на той же технологии, что и общедоступные сети этого стандарта, но не присоединена к инфраструктуре общего пользования. Все ее элементы — от датчиков до центра управления — находятся в закрытом контуре.
Главные из преимуществ частной сети — высокая надежность и безопасность при сохранении большой скорости и небольших задержек. Private LTE решает задачи, с которыми не справляются общедоступная инфраструктура или развернутый на предприятии Wi-Fi. Она устойчива к помехам, хорошо защищена и дает высокую проходимость сигналов в помещениях.
Организовав такую сеть, компания получает собственную контролируемую и стабильную цифровую среду для передачи данных. И вместе с ней — возможность безопасно использовать современные цифровые инструменты — голосовую связь, видеомониторинг, дистанционное управление, роботизацию, технологии дополненной и виртуальной реальности.
Семен Захаров, директор по реализации проектов для корпоративного бизнеса «МегаФон»:
«Текущие вызовы Индустрии 4.0 и задачи по цифровизации бизнеса требуют создания единого цифрового ландшафта. Все должно быть «в цифре», мобильно и, главное, безопасно.
Фундаментом такого ландшафта должна быть сеть, отвечающая ряду требований: высокая скорость передачи данных и мобильность, поддержка технологии интернета вещей, минимальные задержки, возможность оперативно внедрять вертикальные сервисы.
Заложенные стандартом в Private LTE возможности дают бизнесу, помимо базовых функций скорости, покрытия и мобильности, целый спектр дополнительных вертикальных решений — от технологий NB-IoT до MCPTT. Это позволяет предприятиям быстро реализовывать технологические и бизнес-потребности в рамках одной сети. Не нужно разворачивать несколько различных сетей под решение дискретных задач. При этом все безопасно и легко масштабируемо».
Что Private LTE дает компаниям
Поскольку сеть физически отделена от публичной инфраструктуры, ИТ-система защищена от внешнего влияния и проникновения. Каждое устройство в сети имеет уникальный идентификатор, который позволяет администраторам контролировать набор подключений.
Корпоративная информация никогда не покидает сеть клиента. Это особенно важно для компаний, которые работают с персональными и другими критически важными данными.
В частной сети заказчик сам определяет плотность инфраструктуры и нагрузку на сеть, поэтому непредвиденные сбои практически исключены. Он также задает допустимые параметры задержки, что важно для синхронизации устройств на производствах.
Как правило, в Private LTE предусмотрена возможность развернуть дополнительные небольшие ячейки частной сети. При желании устройства легко переключаются на общедоступный LTE.
Частную сеть можно связать почти со всеми корпоративными ИТ-системами, включая видеонаблюдение, мониторинг и управление производством, корпоративную телефонию. Private LTE также хорошо совместима с другими системами связи.
LTE используют в качестве технологической базы для развития 5G. Нередко операторы называют свои проекты LTE/5G или LTE/5G-ready. Это означает, что сейчас сети работают по стандарту LTE, но есть техническая возможность перевести их на 5G.
Кто запускает частные LTE в России
На территории России реализуются десятки проектов по созданию Private LTE. Но среди самых заметных в последнее время — сделки операторов с добывающими предприятиями.
В марте 2021 года «МегаФон» сообщал, что создаст частную сеть на Удоканском месторождении меди — крупнейшем в России и одном из самых больших в мире. Private LTE охватит всю территорию объекта — сам карьер, будущую обогатительную фабрику и металлургический завод.
Частная сеть поможет внедрить здесь инструменты Индустрии 4.0. Она обеспечит работу цифровых систем управления и передачу телеметрии с карьерной техники. К примеру, установленные на карьерных самосвалах IoT-датчики, соединенные через LTE-сеть, будут отслеживать давление в шинах, количество топлива в баках, время простоя. Вдобавок на месторождении хотят максимально автоматизировать опасные производственные процессы, включая буровзрывные работы.
Еще одну частную сеть «МегаФон» развернет на Лебединском горно-обогатительном комбинате. Здесь LTE тоже планируют использовать для автоматизации производства, контроля за оборудованием и карьерной техникой. Внутри цехов обеспечат плотное indoor-покрытие, что позволит внедрить сервисы на базе IoT и видеоаналитики.
Поскольку рельеф карьера будет меняться, технологические решения по организации сети придется адаптировать к этим изменениям.
Большинство проектов в России находятся в пилотной или начальной стадии. Но уже очевидно, что частные LTE способны работать в экстремально сложных условиях. Недавно «Норникель» успешно протестировал беспроводную сеть Private LTE/5G на руднике «Скалистый», который считается самым глубоким в Евразии.
Сеть разворачивали при участии сразу трех операторов — МТС, «МегаФон» и Tele2. Само испытание проходило на глубине 875 м. Специалисты проверяли работу двух сетей — LTE и 5G. Обе показали хорошие результаты — высокую скорость, стабильную и безопасную связь и передачу данных под землей.
Помимо горно-металлургических компаний, такие частные сети создаются в атомной, нефтегазовой и нефтехимической отраслях. Как правило, проекты реализуются компаниями вместе с операторами связи. Исключение — ОАО «РЖД», которое еще в 2018 году получила частоты для запуска LTE на железнодорожном транспорте. Сейчас сеть используют на нескольких ж/д станциях и разворачивают на грузовых терминалах.
Как Private LTE развивается в мире
Западные компании начали осваивать частные LTE раньше российских. Поэтому набор отраслей, где применяются такие решения, за рубежом намного шире.
Например, в Европе LTE уже несколько лет используют в крупных транспортных хабах. В порту Роттердама частная сеть обеспечивает передачу данных для автономного управления погрузчиками. А в аэропорту «Шарль-де-Голль» — используется для внутренних коммуникаций и выгрузки данных от полетных датчиков во время приземления и руления самолета.
В США частные LTE-сети массово внедряются в коммунальном хозяйстве. Во многом это связано с повсеместным внедрением умных счетчиков и датчиков, новых систем мониторинга и управления в ЖКХ.
По мнению участников рынка, эти драйверы характерны в том числе для России, и спрос на частные LTE будет набирать обороты. А само решение вскоре выйдет за пределы «тяжелых» отраслей и начнет применяться сразу во многих сферах.
Bogon
Содержание:
Богонские IP-адреса являются законными адресами. Вы можете увидеть поддельный IP-адрес в результате неправильной настройки (преднамеренной или непреднамеренной), которая вводит получателя в заблуждение относительно допустимого IP-адреса. IP-адреса Bogon популярны при хакерских или злонамеренных действиях и используются спаммерами и теми, кто инициирует распределенные атаки типа «отказ в обслуживании». Таким образом, многие интернет-провайдеры и брандмауэры блокируют болота.
Богон также известен как богонское пространство или богонский IP-адрес.
Введение в Microsoft Azure и Microsoft Cloud | Из этого руководства вы узнаете, что такое облачные вычисления и как Microsoft Azure может помочь вам перенести и запустить свой бизнес из облака.
Техопедия объясняет Богону
IP-адреса являются основным компонентом всей инфраструктуры Интернета и интрасети во всем мире. Они предоставляют уникальную возможность идентифицировать веб-сайт, сервер или любое другое подключенное устройство или устройство. Эти адреса используются для связи между клиентами и приложениями.
IANA распределяет уникальные IP-номера / адреса для каждого такого экземпляра и узла, расположенного в этой гетерогенной сети. Диапазон IP-адресов, выделенных или зарегистрированных для любого объекта, является частью зарезервированного пространства IP-адреса. С другой стороны, любой другой адрес, который является частью адресного пространства, но еще не зарегистрирован, принадлежит богонскому пространству. Любой адрес в богонском пространстве известен как богонский или богонский IP-адрес.
IP-адреса Bogon space обычно не видны в Интернете или в любой компьютерной сети, но они все еще используются, главным образом для незаконной или мошеннической деятельности. Хакеры манипулируют исходным IP-адресом и превращают его в ложный IP-адрес, создавая у получателя впечатление, что пакет поступает из надежного источника.