Virtual firewall что это
Firewall - это сетевое устройство и оно обычно выглядит в сети как свит и/или как роутер. Однако еще один важный режим я хочу осветить особо: Virtual Wire. Вот здесь есть замечательная статья, про различные режимы подключения Firewall к сети. Мы сегодня обсудим режим Virtual Wire.
Плюсы подключения через Virtual Wire
Для многих существующих сетей очень важно сохранить топологию. Однако, теперь появились требования по безопасности и их как-то надо реализовать. Например, это сети ICS/SCADA предприятий, медицинских учреждений и др. Топология сети остается прежней для всех сетевых устройств при подключении Firewall в сеть способом Virtual Wire - как был кабель между какими-то устройствами, так он и остался. Однако с точки зрения логического элемента - это полноценный межсетевой экран, который видит, собирает и анализирует пакеты вплоть до 7 уровня модели OSI ISO и до файлов. Это позволяет начать контролировать сетевые потоки и блокировать несанкционированные. Также в режиме Virtual Wire возможно включить трансляцию адресов (NAT) и даже включить расшифрование SSL и SSH. Такая схема может быть реализована в ЦОД между двумя маршрутизаторами. Устройство не принимает участия в маршрутизации и даже в построении дерева Spanning Tree - сетевым администраторам это устройство не приносит каких задач новых и тем более проблем. А вот для сотрудников отдела безопасности это отличный агент контроля и защиты сетевого трафика. Вы прозрачно имеете возможность включить анализ приложений, файлов в них, движки IPS, антивируса, anti-spyware, Threat Intelligence, DNS Sinkhlong и др.
Минусы подключения Virtual Wire
В этом режиме вы не можете полноценно участвовать в L2 и L3 режимах, то есть не можете маршрутизировать VLAN или обычные L3 соединения. Однако для этого есть как раз режимы L2 и L3.
Дополнительные возможности
В крупных сетях используют Etherchannel для объединения сетевых устройств и несколько подключений Virtual Wire благополучно включаются в разрыв нескольких каналов, которые образуют Etherchannel и анализируют их, собирая их фреймы и пакеты в сетевые потоки и файлы.
Также этот режим можно использовать для подключения межсетевого экрана в среде виртуализации. Для виртуальной среды трафик ходит по маршрутам без дополнительных хопов, а вот в реальности весь трафик проходит через Firewall.
Firewall - это сетевое устройство и оно обычно выглядит в сети как свит и как роутер. Однако еще один важный режим я хочу осветить особо: Virtual Wire. Вот здесь есть замечательная статья, про различные режимы подключения Firewall к сети. Мы сегодня обсудим режим Virtual Wire.
В этом режиме мы разрезаем любой существующий кабель нашей сети и образовавшиеся два конца вставляем в межсетевой экран. Межсетевой экран в режиме "виртуальная линия" или Virtual Wire пробрасывает прозрачно фреймы с одного интерфейса на другой и обратно. Такая схема используется в IPS - она там называется inline.
Плюсы подключения через Virtual Wire
Для многих существующих сетей очень важно сохранить топологию. Однако, теперь появились требования по безопасности и их как-то надо реализовать. Например, это сети ICS/SCADA предприятий, медицинских учреждений и др. При таком включении Firewall для всех сетевых устройств сеть осталась прежней - как был кабель между какими-то устройствами, так он и остался. Однако с точки зрения логического элемента - это полноценный межсетевой экран, который видит, собирает и анализирует пакеты вплоть до 7 уровня модели OSI ISO и до файлов. Это позволяет начать контролировать сетевые потоки и блокировать несанкционированные. Также в режиме Virtual Wire возможно включить трансляцию адресов (NAT) и даже включить расшифрование SSL и SSH. Такая схема может быть реализована в ЦОД между двумя маршрутизаторами. Устройство не принимает участия в маршрутизации и даже в построении дерева Spanning Tree - сетевым администраторам это устройство не приносит каких задач новых и тем более проблем. А вот для сотрудников отдела безопасности это отличный агент контроля и защиты сетевого трафика. Вы прозрачно имеете возможность включить анализ приложений, файлов в них, движки IPS, антивируса, anti-spyware, Threat Intelligence, DNS Sinkhlong и др.
Минусы подключения Virtual Wire
В этом режиме вы не можете полноценно участвовать в L2 и L3 режимах, то есть не можете маршрутизировать VLAN или обычные L3 соединения. Однако для этого есть как раз режимы L2 и L3.
Дополнительные возможности
В крупных сетях используют Etherchannel для объединения сетевых устройств и несколько подключений Virtual Wire благополучно включаются в разрыв нескольких каналов, которые образуют Etherchannel и анализируют их, собирая их фреймы и пакеты в сетевые потоки и файлы.
Также этот режим можно использовать для подключения межсетевого экрана в среде виртуализации. Для виртуальной среды трафик ходит по маршрутам без дополнительных хопов, а вот в реальности весь трафик проходит через Firewall.
Виртуальный сетевой экран (Виртуальный файрвол).
Мы уже говорили о виртуализации, о необходимости защиты своего сетевого трафика экранами, о дырявости встроенных экранов в Windows XP , о уязвимости любой Windows просто потому, что множество ловких парней и девчат день и ночь ищут и находят эти уязвимости. А теперь поговорим о возможности пристроить на Windows машине OpenBSD -ный файрвол с помощью виртуальной машины.
Однажды широко известный в узких кругах никсоидных параноиков Лёха Монтанов в статье журнала BSD 3/2010 на странице 14 обнаружил нечто, сильно взбудоражившее его воспаленное воображение, несмотря на английский язык изложения. Сначала он хотел просто сделать перевод, потом затеять переписку с настолько (как оказалось) близкими по духу людьми по ту сторону океана, но в итоге получилось что-то в очень вольном изложении. Авторы посоветовали в VMware сервере на Windows XP хосте поднять OpenBSD , в которой есть встроенный сетевой экран (файрвол), через который и пустить весь трафик.
Мы целиком и полностью согласны с такой реализацией идеи, но для подтверждения универсальности принципа выбрали Windows 7, в которой в VirtualBox поселим FreeBSD c тем же самым PF . В дополнение всего эта машина будет стартовать из автостарта втемную и втихую.
Intro (от Л. Монтанова).
Все прелести использование виртуального файрвола изначально были изложены еще в 2005 году Василисом Превалакисом, профессором забугорного университета (Drexel University, Philadelphia). Наш бывший соотечественник предлагал использовать в качестве виртуального файрвола PF и OpenBSD 3.7, работающей при помощи бесплатного VMPlayer. Много времени прошло с тех пор. Pf был портирован и удачно работает во FreeBSD, а на горизонтах виртуализации стабильно развивается проект от Sun Microsystems под названием VirtualBox. Их как раз и будем использовать. Чтобы не разочаровывать пользователей длинной и нудной работой (для кого это и праздник в принципе:) в консоли FreeBSD, был взят дистрибутив PfSense, включающий в себя непосредственно FreeBSD и уже минимально настроенный файрвол. Плюс ко всему возможность настройки маршрутизатора через веб-интерфейс, что несомненно облегчит жизнь 95% пользователей.
Вопрос из зала: "А зачем это все надо-то? Мой штатный брандмауэр Windows итак прекрасно справляется со всеми задачами!" Ответим на данный вопрос. О том как сломать и обойти Ваш брандмауэр сидит и думает ежедневно не одна тысяча человек, в виде упомянутых выше ловких парней и девчат иностранного (китайского в основном) и российского происхождения. И они постоянно успешно справляются с поставленной задачей, всячески помогая вредоносному программному обеспечению (читай вирусам, троянам, червям и прочему) беспрепятственно проникать в Вашу операционную систему. И это лишь один из многих его недостатков. Если злоумышленник проводит атаку на Windows-машину, значит он обязательно ищет пути обхода штатного файрвола. Ситуацию усугубляет уязвимость стека TCP/IP в Windows.
Пару слов о том, как все это работает. Виртуальная машина выступает в роли маршрутизатора и файрвола для Вашего основного компьютера. Попадая на физический сетевой интерфейс, пакет сразу передается в виртуальное окружение, проходит обработку на "пригодность" и в случае положительного заключения передается через виртуальный интерфейс Вам. Для Вас это делается абсолютно прозрачно и Вы не видите разницы.
Собсно, сабж.
Имеем Windows 7, интернет. Необходимо скачать последний VirtualBox и PFsense – дистрибутив FreeBSD в виде LiveCD , в который включен портированный из OpenBSD сетевой экран pf .
Качаем, ставим VirtualBox . Запускаем его, создаем новую машину pfsense с динамическим диском 2 Гб, 128 Мб памяти, как на картинке.
После создания не торопимся её запускать. Настраиваем сетевые интерфейсы. Первый – внешний ( WAN ), он включается мостом к реальному сетевому адаптеру.
Второй – внутренний ( LAN ), направлен на виртуальный адаптер хоста.
При этом необходимо записать последние четыре цифры mac -адреса каждого сетевого интерфейса. В нашем случае – WAN =6106, а LAN =6 EA 7. Последним штрихом подключаем образ pfsense . iso к виртуальному CD .
Теперь надо настроить реальные интерфейсы хоста. Пуск-Панель управления-Центр управления сетями и общим доступом. Там выбираем изменение параметров адаптера. Видим два (как минимум, нужных нам) адаптера.
Для реального адаптера (в моем случае – это Realtek ) отключаем все, кроме VirtualBox драйвера,
а для виртуального адаптера ( VirtualBox Host - Only Network ) оставляем все,
только донастраиваем TCP протокол так, чтобы наш компьютер для выхода в сеть использовал виртуальную машину и как шлюз, и как DNS сервер.
Например, в моем случае, для интерфейса компьютера я оставил адрес 192.168.56.1, а для локального интерфейса PFsense – 192.168.56.2, который станет для меня и шлюзом и DNS сервером.
Внимание. После этих настроек у Вас пропадет интернет до окончания установки и настройки PFsense .
Для ускорения запуска виртуальной машины можно отключить FDD привод, Аудио драйвер, все COM и USB порты.
Вот теперь можно запустить машинку. До появления вопроса о VLAN ничего не делаем. Про VLAN отвечаем n (нет).
На этом же рисунке мы видим несколько интересных моментов. Красной рамкой обведены сетевые интерфейсы, которые определила система, и мы видим, что WAN = em 0 (61-06), а LAN = em 1 (6 E - A 7) . В зеленой рамке, как уже упоминалось- отказ от настройки VLAN а, а ниже (в синенькой) вопрос о соответствии интерфейсов. Как раз здесь-то и надо указать em 1 (вообще-то, указывать ничего не обязательно, можно выбрать «а» - автоопределение, уж чего определит – то и ладно, поскольку нам на первом этапе это не критично, правильное сопоставление нужно только после установки, но запомнить соответствие WAN = em 0 (61-06), а LAN = em 1 (6 E - A 7) – надо). Далее спросят про WAN – там (как ни странно) пишем em 0.
а на вопрос о дополнительных интерфейсах не отвечать ничего (просто нажать ввод), тогда мы получим запрос подтверждения правильности сопоставления интерфейсов.
Теперь попадаем в меню, где выбираем 99 – установка на жесткий диск.
Тут же начинается установка, в первом окне спрашивается про локализацию шрифтов, я зачем-то выбрал так, как на картинке,
но подозреваю, что и при дефолтных установках результат будет тот же. Следующий экран – выбор способа установки.
На картинке выбран Custom (путь самурая). Нам достаточно “ Quick / Easy Install ”. Далее количество процессоров. Не буду объяснять почему – просто выбираем один.
Операционка установится, потом скажет приготовьтесь и перезагрузите компьютер.
Если внимательно приглядеться, то там также написано: «Когда компьютер выключится, можно достать диск из CD привода. Я бы сказал, когда включится, но еще не начнет загружаться с диска. То есть во время тестирования BIOS надо изъять диск,
а то загрузка опять начнется с него. После загрузки получаем такое меню.
Если система неправильно определила соответствие LAN / WAN интерфейсов, тогда жмем 1) Assign Interfaces – назначить интерфейсы. Далее важно правильно указать адрес LAN для PFsense . Выбираем пункт 2 и далее, как на картинке.
Следующий экран – настройка WAN .
Если WAN – динамический, то просто выбираем в чек-боксе dhcp , если статический, тогда выбираем static и указываем адрес, маску и шлюз. Если у Вас мудреный интернет, здесь же всю эту мудрость тоже можно отобразить, но это частности, отвлекаться не будем. Далее – Настройка LAN , мы его уже настроили, здесь трогать ничего не надо.
Последнее окно – смена пароля. Не мне Вам советовать, что делать. Если уж Вы дочитали до этого места, значит, поступите так, как надо. После этого Ваш браузер должен заиграть всеми красками интернета, но уже будучи загнанным в узкое русло сетевого экрана pf .
По умолчанию входящие соединения запрещены, исходящие – разрешены. Такие настройки как раз подходят для простого пользователя, который опасается за свою безопасность, особенно при подключении с ноута в неизвестную локалку (аэропорт, кафе, гостиница). Но это еще не все. Чудесность VirtualBox заключается еще и в том, что в папке установки лежит утилита VBoxHeadless.exe, запуск которой с определенными параметрами, например, VBoxHeadless -s pfs ense -v on -p 3000 -a 127.0.0.1 вызовет «безголовый» (безоконный) запуск виртуальной машины с названием pfsense , к которой при желании можно будет подключиться по RDP на адрес 127.0.0.1 ( localhost ) и порт 3000. Создаем батник с этой строкой, кидаем его в автозапуск и через несколько минут после входа пользователя у Вас появляется интернет, проходящий через OpenBSD -ишный фаейрвол, портированный в FreeBSD , запущенной втихую и втемную на VirtualBox е, захостенном на Виндовой Семерке. Осознание самого этого факта преисполняет нормального параноика благоговением и душевным покоем. Дальнейшее совершенствование приветствуется. Настройка сетевого экрана как через веб-интерфейс, так и из консоли не знает границ.
Заключение.
Почему именно PF? Потому что он достаточно хорош, гибок и надежен для данной задачи. Если понять смысл данного метода, то использовать можно любую другую систему, будь то например Linux+iptables или же FreeBSD+ipfw+ngcar. Дело вкуса и знаний, но в любом случае получится неординарное решение, которое по надежности и устойчивости ко взлому даст фору как штатному, так и стороннему фаерволлам для Windows.
Цена вопроса. Стоимость всего использованного в статье ПО в сумме составляет НОЛЬ (долларов, у.е., рублей, тенге. чего угодно). Но, тем не менее, за все надо платить. В данном случае Вы расплачиваетесь 128 Мб оперативной памяти, необходимой для работы виртуальной машины. При нынешних объемах ОЗУ(по 2,3,4Гб и более) это капля в море.
Ну и в самом конце хотелось бы добавить ссылки, которые помогут Вам далее развить данную тему самостоятельно:
Насколько безопасна ваша сеть? Используете ли вы файрвол для защиты вашей сетевой инфраструктуры?
Ранее я писал об управляемых облачных файрволах и получил предложение написать о бесплатных файрволах или файрволах с открытым исходным кодом.
Вот, пожалуйста!
Следующие бесплатные файрволы отличаются от файрволов веб-приложений. Они служат для защиты инфраструктуры, а не кода или приложения.
1. pfSense
Это решение для обеспечения безопасности с открытым исходным кодом на основе ядра FreeBSD. pfSense – это один из ведущих сетевых файрволов с коммерческим уровнем функционала.
pfSense доступно как оборудование, виртуальное устройство и загружаемый исходник (общая версия).
Бесплатно вы получаете общую версию.
Мне нравится их исчерпывающая документация, хорошо понятная и простая в использовании. Вот некоторые из значимых упоминаемых особенностей pfSense:
- файрвол — фильтрация IP/портов, ограничение соединений, работа на канальном уровне, нормализация пакетов;
- таблица состояний — по умолчанию все правила находятся в отслеживаемом состоянии, множественные конфигураций подходят для обработки состояний;
- серверная балансировка нагрузки — встроенный балансировщик нагрузки для ее распределения между несколькими серверами;
- NAT (преобразование сетевых адресов) — переадресация портов, отражение;
- HA (высокая доступность) — переход на вторичный сервер, если основной дал сбой;
- мульти-WAN (глобальная компьютерная сеть) – использование более чем одного интернет-соединения;
- VPN (виртуальная частная сеть) — поддержка IPsec и OpenVPN;
- создание отчетов – сохранение информации об использованных ресурсах;
- мониторинг – мониторинг в режиме реального времени;
- динамический DNS – включено несколько DNS-клиентов;
- поддержка DHCP Relay.
Поразительно, не так ли?
Кроме того, у вас также есть возможность устанавливать пакеты всего одним щелчком мыши.
- безопасность — stunner, snort, tinc, nmap, arpwatch;
- мониторинг – iftop, ntopng, softflowd, urlsnarf, darkstat, mailreport;
- создание сети — netio, nut, Avahi;
- маршрутизация — frr, olsrd, routed, OpenBGPD;
- обслуживание — iperf, widentd, syslog-ng, bind, acme, imspector, git, dns-server.
2. IPFire
IPFire основан на Netfilter и ему доверяют тысячи компаний по всему миру.
IPFire можно использовать как файрвол, прокси-сервер или VPN-шлюз — все зависит от того, как вы настроите его. Он обладает большой гибкостью в настройках.
IDS (система обнаружения вторжений) является встроенной, поэтому атаки обнаруживаются и предотвращаются с самого начала, а с помощью дополнения Guardian вы можете осуществлять автоматическую профилактику.
Вы сможете понять как работать с IPFire менее чем за 30 минут. Прочитать больше о его возможностях можно здесь.
3. OPNSense
OPNSense является ответвлением pfSense и m0n0wall. Графический интерфейс доступен на нескольких языках, таких как французский, китайский, японский, итальянский, русский и др.
OPNSense обладает многими серьезными уровнями безопасности и функциями файрвола, такими как IPSec, VPN, 2FA, QoS, IDPS, Netflow, Proxy, Webfilter и т.д.
Он совместим с 32-битной или 64-битной системной архитектурой и доступен для загрузки как ISO-образ и USB-установщик.
4. NG Firewall
NG Firewall от Untangle — это единая платформа, где вы можете получить все необходимое для защиты сети своей организации.
Он обладает красивой панелью инструментов, попробовать демо-версию можно здесь. Он работает как магазин приложений, где вы можете запускать или отключать отдельные приложения (модули) в соответствии со своими потребностями.
В бесплатной версии вы получаете доступ к самой платформе NG Firewall, бесплатные приложения и 14-дневную пробную версию платных функций.
5. Smoothwall
Smoothwall express — это бесплатное решение с простым веб-интерфейсом для настройки и управления файрволом.
Smoothwall express поддерживает LAN (локальную сеть), DMZ (демилитаризованную зону), внутренний и внешний сетевой файрвол, веб-прокси для ускорения, статистику трафика и др.
Выключение или перезагрузка возможны непосредственно через веб-интерфейс.
Примечание: Следующие две программы предназначены только для серверов Linux.
6. ufw
ufw (несложный файрвол) работает с Ubuntu. Для управления системой фильтрации пакетов ядра Linux (Netfilter) он использует интерфейс командной строки.
7. csf
csf (ConfigServer security) протестирован и поддерживается на следующих ОS и виртуальных серверах:
- RHEL/CentOS
- CloudLinux
- Fedora
- OpenSUSE
- Debian
- Ubuntu
- Slackware
- OpenVZ
- KVM
- VirtualBox
- XEN
- VMware
- Virtuozzo
- UML
Я надеюсь, что вышеперечисленные бесплатные решения для файрвола помогут вам сэкономить деньги и защитить вашу инфраструктуру от взлома.
Читайте также: