Освіта у Львівській політехніці

Дослідження фільтрації трафіку в корпоративній мережі

Автор: Пецух Назар Ігорович

Кваліфікаційний рівень: магістр (ОНП)

Спеціальність: Телекомунікації та радіотехніка (освітньо-наукова програма)

Інститут: Інститут телекомунікацій, радіоелектроніки та електронної техніки

Форма навчання: денна

Навчальний рік: 2021-2022 н.р.

Мова захисту: українська

Анотація: Файєрвол здійснює екранування об’єкта, що захищається, і формує його зовнішнє уявлення. Сучасні фаєрволи досягли дуже високого рівня захищеності, зручності використання та адміністрування; в мережевому середовищі вони є першим та дуже потужним рубежем оборони. Для того щоб фільтрувати трафік, фаєрвол повинен мати принаймні два мережеві інтерфейси: з внутрішньою мережею і із зовнішньою мережею. Файєрвол захищає внутрішню мережу (наприклад, локальну мережу підприємства або окремий комп’ютер користувача) від загроз, що виходять із зовнішньої мережі (ми будемо, як правило, мати на увазі під такою мережею Інтернет). Файєрвол може також захищати одну внутрішню мережу підприємства від іншої, якщо відповідно до принципу мінімуму повноважень користувачам цих мереж не потрібний повний взаємний доступ до ресурсів один одного. Для ефективного виконання фаєрволом його головної функції - аналізу та фільтрації трафіку - необхідно, щоб через нього проходив весь трафік, яким обмінюються вузли частини мережі, що захищається, від вузлів в Інтернеті. У тому випадку, коли мережа з’єднана із зовнішніми мережами декількома лініями зв’язку, кожна лінія зв’язку має бути захищена фаєрволом. Файервол захищає мережу не тільки від несанкціонованого доступу та атак зовнішніх зловмисників, але й від помилкових дій користувачів мережі, що захищається, наприклад таких, як передача до зовнішньої мережі конфіденційної інформації. Як можна помітити, більшість із перерахованих функцій часто реалізуються у вигляді окремих продуктів чи у складі систем захисту інших типів. Так, функції пакетної фільтрації вбудовані практично у всі маршрутизатори, завдання виявлення вірусів вирішується безліччю різноманітних програм, шифрування трафіку - невід’ємний елемент технологій захищених каналів і т. д. і т. п. Проксі-сервери часто постачаються у вигляді додатків, більше того, вони самі іноді інтегрують у собі багато функцій, властиві мережевим екранам, такі, наприклад, як фільтрація за вмістом (контентом) або трансляція мережевих адрес. Оскільки для будь якої компанії необхідно безпечна мережа, яка зможе витримати атаку на свої ресурси та завадити доступу до них для зловмисників виникає питання встановлення міжмережевого екрану. Є декілька варіантів вирішення: • Встановлення фільтрації на мережевому обладнанні, наприклад на роутері • Встановлення ПЗ на хостах • Купівля готового програмно—апаратного фаєрвола від вендора • Купівля апаратної частини та розроблення власного програмного рішення під конкретні корпоративні задачі на основі фаєрвола з відкритим кодом. Фільтрація на маршрутизаторі буде або дуже обмежена, або буде використовувати значну частину ресурсів, що може критично вплинути на якості з’єднання. ПЗ для фільтрації трафіку на хостах є досить ненадійним, через те, що самий простий брутфорс може заповнити канал передачі даних і з’єднання буде нестабільним. Як і в попередньому варіанті, ПЗ буде витрачати ресурси комп’ютерів, що вплине на продуктивність роботи (а з урахуванням того, що зараз більшість компаній користуються серверами та підключаються до них через RDP з тонких клієнтів, робота за такими хостами буде некомфортною). Досить простим рішенням є купівля готового міжмережевого екрану від вендора з його пропрієтарним ПЗ, яке дозволить захистити мережу, отримати підтримку спеціалістів та завжди тримати її в актуальному стані. Такий варіант дозволяє зекономити час на розроблення власного рішення, але за це потрібно буде заплатити немалі гроші. Розроблення власного фаєрвола на основі ПЗ з відкритим кодом дозволяє зекономити гроші, дуже точно налаштувати що і як повинно фільтруватись та не платити за функції, які ніколи не будуть використовуватись (як в готових рішеннях), та можливість масштабування з невеликими змінами конфігурації. Але з мінусів потрібно відмітити те, що підтримка, або відсутня зовсім, або надається третіми компаніями, не завжди є мануали для роботи (для деяких рішень, напр. FreBSD є офіційний мануал, в якому можна знайти відповідь на будь які запитання в роботі), і те, що деякі готові рішення мають функції, які дозволяють аналізувати нові атаки на інші компанії, швидко розробляти захист і розсилати на усі свої продукти для ефективного захисту. У цій роботі було розроблено метод фільтрації трафіку для корпоративної мережі з урахуванням загальнодоступного сервера, декількох підмереж з різними правилами доступу для окремих користувачів та ресурсів. Враховано захист від перебору паролів за допомогою блокування адреси, доступ тільки по дозволених портах, «білий» та «чорний» списки ір адрес, мереж та доменні імена, можливість скидання усіх з’єднань від порушника. Спроектовано корпоративну мережу з NAT, маршрутизацією, прокиданням портів. Також було проведено порівняння розробленого фаєрвола деякими з готовими рішеннями, які є на ринку. Результатом цієї роботи є готова конфігурація, яку після налаштувань, відповідно до вимог можна використати в реальній корпоративні мережі для захисту від загроз. Ключові слова: firewall, міжмережевий екран, ddos, атаки на відмову обслуговування, постійна фільтрація, найтралізація атак, безпека в мережі