Если вы установили хороший антивирус и думаете, что бояться нечего, зря. То же и с межсетевым экраном — это не панацея. Давайте посмотрим, как работают эти два основных типа защиты от вредоносных программ.
Антивирус и фаервол: в чем отличия?
Если вы установили хороший антивирус и думаете, что бояться нечего, зря. То же и с межсетевым экраном — это не панацея. Давайте посмотрим, как работают эти два основных типа защиты от вредоносных программ.
В настоящее время разработчики программного обеспечения предоставляют пользователям два основных типа защиты от компьютерных инфекций: антивирус и межсетевой экран (firewall). Сегодня мы узнаем, чем они отличаются, каковы плюсы и минусы каждого и как сделать правильный выбор.
Подробная инструкция по настройке и созданию правил межсетевого экрана в панели управления виртуальными серверами. Настройте конфигурации брандмауэра.
Firewall: настройка межсетевого экрана сервера
Инструкции по настройке правил межсетевого экрана для виртуальных серверов в панели управления Serverspace.
Что это такое?
Используя межсетевой экран прямо из панели управления, вы можете контролировать доступ к серверу, сетевые пакеты данных. Эта опция не оплачивается отдельно и включена в стоимость сервера.
На данный момент существует ограничение в 50 правил, если этого лимита вам недостаточно, вы можете увеличить его по запросу в техподдержку.
Сетевая архитектура
Чтобы избежать конфликтов между правилами брандмауэра и правильно его настроить, необходимо понимать порядок, в котором работают существующие брандмауэры. Во-первых, вы можете настроить брандмауэр для своей частной сети. Во-вторых, для сервера через панель управления. В-третьих, вы можете настроить внутренний файервол, например для Linux через iptables, для Windows — встроенный.
Для входящих пакетов сначала будет применен брандмауэр сетевого уровня (если он доступен). Если пакет передан, будет применен межсетевой экран на уровне сервера, в конечном итоге будет использован внутренний программный механизм. Для исходящих пакетов последовательность будет обратной.
Не рекомендуется использовать межсетевой экран уровня сервера и внутренний программный межсетевой экран одновременно:
Создание правила
Конфигурация межсетевого экрана доступна для всех VPS и может быть найдена в настройках сервера в разделе Межсетевой экран.
Важный:
— важен порядок правил, чем ниже порядковый номер правила (чем он выше в списке), тем выше его приоритет. Вы можете изменить последовательность правил с помощью перетаскивания, перетащив правило левой кнопкой мыши в желаемое положение;
— по умолчанию — разрешены все пакеты данных, как входящие, так и исходящие.
Чтобы создать правило, нажмите кнопку Добавить:
Вы увидите окно для добавления правила. Вам необходимо заполнить следующие поля:
- Имя — понятное пользователю имя (не более 50 символов), как правило, кратко описывает цель правила;
- Направление — направление пакетов, для которых должно применяться правило, принимает одно из двух значений: входящий или исходящий. Inbound — правило распространяется на входящие пакеты данных, Outbound — на исходящие;
- Источник / Назначение — в зависимости от направления содержит IP-адрес сервера или одно из следующих значений: IP-адрес, CIDR, диапазон IP-адресов и любые другие;
- SourcePort / DestinationPort — при выборе протокола TCP, UDP или TCP и UDP можно указать порт, диапазон портов или Любой;
- Действие: применяемое действие принимает одно из следующих двух значений: Разрешить или Запретить. Разрешить — разрешение на отправку пакетов данных, Запретить — запрет пересылки;
- Протокол — тип протокола, доступный ЛЮБОЙ, TCP, UDP, TCP и UDP и ICMP.
Щелкните Сохранить, чтобы создать правило.
В нашем примере правило блокирует все пакеты, поступающие на сервер:
Чтобы созданное правило вступило в силу, вам необходимо сохранить изменения с помощью кнопки «Сохранить». Вы можете создать несколько правил, а затем сохранить их все сразу:
Далее страница будет выглядеть так:
Приоритет правил
Чем ниже порядковый номер правила (чем он выше в списке), тем выше его приоритет. Например, после создания правила блокировки для всего входящего трафика мы создадим правило, которое разрешает прием входящих пакетов на порт 80 протокола Tcp. После сохранения изменений в этой конфигурации этот порт по-прежнему будет недоступен, так как правило запрета имеет более высокий приоритет:
Чтобы изменить приоритет правил, перетащите правило авторизации вверх левой кнопкой мыши и сохраните изменения:
После сохранения порядковые номера правил изменятся, а также изменится их приоритет:
Теперь конфигурация межсетевого экрана позволяет принимать пакеты по протоколу Tcp на порт 80, остальные пакеты не проходят.
NAT означает «преобразование сетевых адресов». Он был изобретен для решения проблемы отсутствия IP-адресов IPv4. Еще несколько лет назад основатели протокола IPv4 считали, что 4,3 миллиарда IP-адресов будет достаточно для всех устройств, подключенных к Интернету.
Как NAT защищает?
- Он скрывает IP-адреса любого устройства в сети от внешнего мира, давая им единый адрес.
- Требует, чтобы каждый входящий пакет информации запрашивался устройством. Любой вредоносный пакет данных, которого нет в списке ожидания, будет отклонен.
- Некоторые брандмауэры могут использовать белые списки для блокировки неавторизованного трафика.
Более изощренные атаки могут по-прежнему обходить защиту NAT, особенно те, которые используют методы фишинга или социальной инженерии. Однако это не значит, что вы не должны его использовать. Без NAT любому хакеру-любителю было бы легко получить доступ к вашему компьютеру.
NAT и VPN
Некоторые пользователи утверждают, что VPN не следует использовать с NAT. Почему? VPN шифрует ваш трафик до того, как он попадет в Интернет, что делает его нечитаемым. NAT должен знать хотя бы некоторую информацию о трафике, чтобы выполнять свою работу. Устаревшие протоколы VPN (PPTP и IPSec) не предоставляют достаточно информации для NAT и в результате могут быть заблокированы. Чтобы исправить это, вашему маршрутизатору потребуется сквозной VPN.
Большинство маршрутизаторов имеют встроенную сквозную передачу VPN. Хотя это не так, большинство популярных провайдеров VPN предлагают расширенные протоколы, не требующие сквозной передачи.
Мы расскажем, что такое межсетевой экран следующего поколения, чем NGFW отличается от UTM и USG. Обзор лидеров рынка по версии Gartner. Подробное сравнение моделей NGFW и производителей.
Как выбрать NGFW с помощью Гартнера
Gartner — крупное аналитическое агентство, которое анализирует рынок ИТ и собирает маркетинговую информацию для различных сегментов. На основе этого Gartner публикует обширные аналитические отчеты, консультирует и создает «квадранты Gartner» — рыночные позиции разных компаний относительно друг друга.
Положение компании на графике отображается двумя показателями: по вертикали — это финансовые и маркетинговые успехи компании, а по горизонтали — уровень технологического развития. Действительно, для анализа используется много показателей, но деление упрощено.
Компании стремятся попасть в верхний правый квадрант лидеров рынка.
В 2018 году Gartner объединила квадранты UTM и NGFW в единый сетевой брандмауэр. Это означает, что компания, которая вместе с Пало-Альто разработала идею NGFW, не видит разницы между названиями.
Компания объяснила этот шаг тем, что некоторые поставщики представлены в двух квадрантах, а функциональность UTM и NGFW одинакова.
В 10-минутном видео мы показываем, как изменилось положение компаний на рынке, какие поставщики лучше всего подходят для обеспечения безопасности, а каких не стоит выбирать:
Если вам удобнее читать, то есть расшифровка анализа.
Квадрант Gartner enterprise firewall за 2018 год
На российском рынке представлено ограниченное количество партнеров. Это означает, что продукцию многих компаний «нишевых игроков» нельзя даже официально купить в России. Поэтому мы исключили из анализа следующие компании:
- Сила
- Барракуда
- Hillstone
- Сангфор
- AhnLab не участвовала в анализе Gartner с 2019 г
- Штормовой щит
- H3C
- F5 не участвует в анализе Gartner с 2020 года
- Venustech
Из этих компаний только Forcepoint была на дальновидном рынке, остальные были нишевыми игроками.
В 2018 году было 4 лидера:
Эти компании занимают 95% российского рынка межсетевых экранов нового поколения. У них есть представительства и склады в России, развитая сеть дистрибьюторов, гарантийная и техническая поддержка.
Квадрант Gartner enterprise firewall за 2018–2019 года
В 2019 году ситуация изменилась. Все 4 лидера потеряли свои позиции. При этом движение вниз почти вертикальное. Это означает, что компании сохранили уровень технологий, но проиграли с точки зрения прибыли или доли рынка.
Из других изменений наиболее интересным является движение Sophos. Компания улучшила технологии и перешла в квадрант провидцев.
Квадрант Гартнера за 2018–2020 года
Самые большие изменения произошли в 2020 году. На рынке корпоративных межсетевых экранов сохранилась тройка лидеров: Palo Alto, Fortinet и Check Point.
Cisco потеряла свои позиции и вышла на площадку соперника. Можно предположить, что выпущенный на рынок NGFW Firepower не оправдал ожиданий, он оказался слабым с технической стороны и со стороны функций безопасности.
Это можно увидеть в сравнении с другими поставщиками, которых мы представим позже в статье.
Fortinet улучшила свои технические характеристики и уровень инноваций. Он вплотную приблизился к главному конкуренту на рынке NGFW: Пало-Альто.
У Пало-Альто нет времени на разработку технологий, и Gartner отражает это, перемещая компанию влево. За 3 года на рынке наблюдается регресс. Не такой серьезный, как у Cisco, но ощутимый, чтобы конкуренты могли догнать компанию и превзойти ее.
Check Point в 2020 году вырос одновременно по финансовым и технологическим показателям. Из всех компаний на рынке Gartner это лучшее и самое сильное изменение.
Sophos теряет рынок. К сожалению, компания уже слабо представлена в России.
Мы рекомендуем выбирать решения для сетевой безопасности от трех крупных лидеров:
Так вы получаете лучшую технологию и защиту от атак, поддержку и гарантию в решении всех проблем.
Могут быть проблемы с другими поставщиками: показатели на бумаге, но реально только 30% цифр из даташита. Функции безопасности являются грубыми и требуют обновления прошивки каждые шесть месяцев, а замена оборудования занимает 3 месяца и задерживается таможней.
Эволюция и будущее WAF, что лучше выбрать аппаратное, программное или облачное решение
Эволюция Web Application Firewall: от сетевых экранов до облачных систем защиты с машинным обучением
В нашем предыдущем облачном блоге мы говорили о том, как защитить ИТ-активы в публичном облаке и почему традиционные антивирусы не подходят для этих целей. В этом посте мы продолжим тему облачной безопасности и поговорим об эволюции WAF и о том, что лучше выбрать: оборудование, программное обеспечение или облако.
Что такое WAF
Более 75% хакерских атак нацелены на уязвимости в веб-приложениях и сайтах — такие атаки обычно незаметны для инфраструктуры информационной безопасности и служб информационной безопасности. Уязвимости в веб-приложениях, в свою очередь, связаны с рисками компрометации и мошенничества с учетными записями пользователей и личными данными, паролями и номерами кредитных карт. Кроме того, уязвимости на веб-сайте служат точкой входа для злоумышленников в корпоративную сеть.
Брандмауэр веб-приложений (WAF) — это брандмауэр, который блокирует атаки на веб-приложения: внедрение SQL, межсайтовые сценарии, удаленное выполнение кода, грубая сила и обход проверки подлинности. В том числе атаки, использующие уязвимости нулевого дня. Брандмауэры приложений обеспечивают защиту, отслеживая веб-контент, включая HTML, DHTML и CSS, и фильтруя потенциально вредоносные запросы HTTP / HTTPS.
Какими были первые решения?
Первые попытки создать брандмауэр веб-приложений были предприняты в начале 1990-х годов. Известно, что в этой области работали как минимум три инженера. Первый — профессор компьютерных наук Жан Спаффорд из Университета Пердью. Он описал архитектуру межсетевого экрана прокси-приложения и опубликовал ее в 1991 году в книге «Безопасность UNIX на практике» .
Вторым и третьим были специалисты по кибербезопасности Уильям Чесвик и Маркус Ранум из Bell Labs. Они разработали один из первых прототипов брандмауэра для приложений. Его распространяла DEC — продукт был выпущен под названием SEAL (Secure External Access Link).
Но SEAL не был полным решением WAF. Это был классический сетевой брандмауэр с расширенными функциями: возможностью блокировать атаки на FTP и RSH. По этой причине первое решение WAF теперь считается продуктом Perfecto Technologies (позже Sanctum). В 1999 году он представил систему AppShield. В то время Perfecto Technologies занималась разработкой решений информационной безопасности для электронной коммерции, и интернет-магазины стали целевой аудиторией для их нового продукта. AppShield смог анализировать HTTP-запросы и заблокированные атаки на основе динамических политик информационной безопасности.
Примерно в то же время, что и AppShield (2002 г.), был выпущен первый WAF с открытым исходным кодом. Это была ModSecurity. Он был создан с целью популяризации технологий WAF и до сих пор поддерживается ИТ-сообществом (вот его репозиторий на GitHub). ModSecurity блокирует атаки на приложения на основе стандартного набора регулярных выражений (сигнатур) — инструментов для проверки запросов по шаблону — OWASP Core Rule Set .
В результате разработчикам удалось достичь своей цели — на рынке стали появляться новые решения WAF, в том числе на основе ModSecurity.
Три поколения — уже история
принято различать три поколения систем WAF, которые эволюционировали с развитием технологий.
Первое поколение. Он работает с регулярными выражениями (или грамматиками). Это включает ModSecurity. Поставщик системы изучает типы атак на приложения и создает шаблоны, описывающие законные и потенциально вредоносные запросы. WAF проверяет эти списки и решает, что делать в конкретной ситуации: блокировать трафик или нет.
Примером обнаружения регулярных выражений является вышеупомянутый проект Core Rule Set с открытым исходным кодом. Другой пример — Naxsi, также имеющий открытый исходный код. Системы с регулярными выражениями имеют ряд недостатков, в частности, при обнаружении новой уязвимости администратору приходится создавать дополнительные правила вручную. В случае крупномасштабной ИТ-инфраструктуры может быть несколько тысяч правил. Управлять таким количеством регулярных выражений довольно сложно, не говоря уже о том, что управление ими может снизить производительность сети.
Кроме того, регулярные выражения имеют довольно высокий уровень ложных срабатываний. Известный лингвист Ноам Хомский предложил классификацию грамматик, в которой он разделил их на четыре условных уровня сложности. Согласно этой классификации, регулярные выражения могут описывать только правила брандмауэра, не содержащие отклонений от шаблонов. Это означает, что злоумышленники могут легко «обмануть» WAF первого поколения. Один из способов борьбы с этим — добавление в запросы приложений специальных символов, которые не влияют на логику обработки вредоносных данных, но нарушают правило подписи.
Второе поколение. Межсетевые экраны приложений второго поколения были разработаны, чтобы обойти проблемы производительности и точности WAF. В них появились парсеры, отвечающие за выявление строго определенных типов атак (на HTML, JS и так далее). Эти парсеры работают со специальными токенами, которые описывают запросы (например, переменная, строка, неизвестно, число). Последовательности потенциально вредоносных токенов помещаются в отдельный список, который регулярно проверяется системой WAF. Этот подход был впервые показан на конференции Black Hat 2012 в виде библиотеки C / C ++, которая позволяет обнаруживать SQL-инъекции.
По сравнению с WAF первого поколения специализированные парсеры могут быть быстрее. Однако они не решили сложностей, связанных с ручной настройкой системы при появлении новых вредоносных атак.
Третье поколение. Развитие логики обнаружения третьего поколения — это применение методов машинного обучения, которые позволяют грамматике обнаружения быть максимально приближенной к реальной грамматике SQL / HTML / JS защищенных систем. Эта логика обнаружения может адаптировать машину Тьюринга для охвата рекурсивно пронумерованных грамматик. Более того, ранее задача создания адаптируемой машины Тьюринга была неразрешима до публикации первых исследований нейронных машин Тьюринга.
Машинное обучение предлагает уникальную возможность адаптировать любую грамматику для охвата любого типа атаки без ручного создания списков сигнатур, когда требовалось обнаружение первого поколения, и без разработки новых токенизаторов / парсеров для новых типов атак, таких как Memcached, Redis, Cassandra, Injection SSRF, как того требует методология второго поколения.
Объединив все три поколения логики обнаружения, мы можем нарисовать новую диаграмму с красным контуром, представляющую третье поколение обнаружения (рисунок 3). Это поколение включает в себя одно из решений, которые мы реализуем в облаке с Onsec, разработчиком адаптивной платформы безопасности веб-приложений и API Wallarm.
Логика обнаружения теперь использует обратную связь от начального приложения. В машинном обучении этот цикл обратной связи называется подкреплением. Обычно бывает один или несколько видов такого армирования:
- Анализировать поведение ответа приложения (пассивный)
- Сканирование / фаззер (активный)
- Файлы отчетов / процедуры перехвата / хуки (постфактум)
- Руководство (определяется руководителем)
Следовательно, логика обнаружения третьего поколения также решает важную проблему точности. Теперь вы можете не только избежать ложных срабатываний и ложных отрицательных результатов, но и обнаружить приемлемые истинно отрицательные результаты, такие как обнаружение использования элемента команды SQL в панели управления, загрузка шаблонов веб-страниц, запросы AJAX, связанные с ошибками JavaScript, и многое другое.
Далее мы рассмотрим технологические возможности различных вариантов реализации WAF.
Железо, ПО или облако — что выбрать?
Один из вариантов реализации межсетевых экранов приложений — «железное» решение. Эти системы представляют собой специализированные вычислительные устройства, которые компания устанавливает локально в своем центре обработки данных. Но в этом случае вам придется покупать свое оборудование и платить интеграторам деньги за его настройку и отладку (если у компании нет собственного ИТ-отдела). В то же время любое оборудование устаревает и становится непригодным для использования, поэтому заказчики вынуждены выделять средства на обновление оборудования.
Другой вариант развертывания WAF — программная реализация. Решение устанавливается как дополнение к любому ПО (например, ModSecurity настроен на Apache) и работает с ним на одном сервере. Обычно такие решения можно развернуть либо на физическом сервере, либо в облаке. Их недостаток — ограниченная масштабируемость и поддержка поставщика.
Третий вариант — настроить WAF из облака. Эти решения предоставляются поставщиками облачных услуг по подписке. Компании не нужно покупать и настраивать специализированное оборудование; эти действия ложатся на плечи поставщика услуг. Важный момент: современный облачный WAF не предполагает миграции ресурсов на платформу провайдера. Сайт можно развернуть где угодно, даже в помещении.
Почему сейчас все больше и больше смотрим в сторону облачного WAF, мы скажем об этом дальше.
Что может WAF в облаке
По технологическим возможностям:
- Провайдер несет ответственность за обновления. WAF предоставляется по подписке, поэтому поставщик услуг отслеживает актуальность обновлений и лицензий. Обновления влияют не только на программное обеспечение, но и на оборудование. Провайдер обновляет парк серверов и поддерживает его. Он также отвечает за балансировку нагрузки и резервирование. Если сервер WAF выходит из строя, трафик немедленно перенаправляется на другую машину. Рациональное распределение трафика позволяет избежать ситуаций, когда межсетевой экран переходит в режим отказоустойчивого открытия: он не справляется с нагрузкой и перестает фильтровать запросы.
- Виртуальный патч. Виртуальные патчи ограничивают доступ к скомпрометированным частям приложения до тех пор, пока разработчик не исправит уязвимость. В результате заказчик облачного провайдера имеет возможность спокойно ждать, пока провайдер того или иного ПО опубликует официальные «патчи». Сделать это как можно быстрее — приоритетная задача для поставщика программного обеспечения. Например, на платформе Валарм за виртуальный патч отвечает отдельный программный модуль. Администратор может добавлять настраиваемые регулярные выражения для блокировки вредоносных запросов. Система позволяет отмечать некоторые запросы флажком «Конфиденциальные данные». Затем их параметры маскируются и ни в коем случае не переносятся за пределы рабочей области межсетевого экрана.
- Встроенный сканер периметра и уязвимостей. Это позволяет вам независимо определять сетевые границы вашей ИТ-инфраструктуры, используя данные запросов DNS и протокол WHOIS. После того, как WAF автоматически сканирует сервисы и сервисы, работающие в пределах периметра (выполняет сканирование портов). Межсетевой экран может обнаруживать все распространенные типы уязвимостей — SQLi, XSS, XXE и т.д. — и обнаруживать ошибки в конфигурации программного обеспечения, такие как несанкционированный доступ к репозиториям Git и BitBucket и анонимные вызовы Elasticsearch, Redis, MongoDB.
- Атаки отслеживаются облачными ресурсами. Обычно поставщики облачных услуг обладают большими вычислительными мощностями. Это позволяет проводить анализ угроз с высокой точностью и скоростью. В облаке развернут кластер узлов фильтрации, через которые проходит весь трафик. Эти хосты блокируют атаки веб-приложений и отправляют статистику в Центр аналитики. Используйте алгоритмы машинного обучения для обновления правил блокировки для всех защищенных приложений. Реализация этой схемы показана на рис. 4. Эти настраиваемые правила безопасности минимизируют количество ложных срабатываний на межсетевом экране.
Теперь о некоторых особенностях облачного WAF с точки зрения организационных и управленческих вопросов:
- Перейти к OpEx. В случае с облаками WAF стоимость внедрения будет равна нулю, поскольку провайдер уже оплатил все оборудование и лицензии, услуга оплачивается по подписке.
- Разные тарифные планы. Пользователь облачной службы может быстро включить или отключить дополнительные параметры. Управление функциями осуществляется с единой панели управления, которая также защищена. Доступ к нему осуществляется через HTTPS, а также существует механизм двухфакторной аутентификации, основанный на протоколе алгоритма одноразового пароля на основе времени (TOTP).
- DNS-соединение. Вы можете самостоятельно изменить DNS и настроить маршрутизацию в сети. Для решения этих проблем необязательно нанимать и обучать отдельных специалистов. Обычно техническая поддержка провайдера может помочь с настройкой.
Технологии WAF прошли путь от простых межсетевых экранов с практическими правилами до сложных систем защиты с алгоритмами машинного обучения. Брандмауэры приложений теперь обладают широким набором функций, которые было трудно реализовать в 1990-х годах. Во многом появление новых функций стало возможным благодаря облачным технологиям. Решения WAF и их компоненты продолжают развиваться. То же, что и в других областях информационной безопасности.
Текст подготовил Александр Карпузиков, руководитель отдела разработки продуктов для информационной безопасности облачного провайдера MTS Cloud.
Источники
- https://ichip.ru/sovety/pokupka/antivirus-i-faervol-v-chem-otlichiya-651752
- https://serverspace.ru/support/help/firewall-configuring-the-server-firewall/
- https://bezopasnik.info/%D0%B1%D1%80%D0%B0%D0%BD%D0%B4%D0%BC%D0%B0%D1%83%D1%8D%D1%80-nat/
- https://blog.infra-tech.ru/next-generation-firewall-review/
- https://cloud.mts.ru/blog/evolyutsiya-web-application-firewall-ot-setevykh-ekranov-do-oblachnykh-sistem-zashchity-s-mashinnym-/