Сложный NAT на pfsense

pfsense image

Есть прекрасные коммерческие межсетевые экраны, такие как CheckPoint или Cisco ASA. Однако, среди Open Source решений есть такой отличный продукт, как pfSense, который составляет им серьезную конкуренцию. Он решает большинство аналогичных задач в области информационной безопасности по защите периметра сети. Для pfsense заявлена поддержка пропускной способности до 10 Гб/с. Для получения еще больших скоростей вендором предлагается приобретать платную версию данного фаервола. Но не в этом суть, и не об этом хотелось написать заметку. Упомяну для общей информации, что pfsense работает на базе FreeBSD. В последние годы, большинство разработчиков выбирает для своих продуктов Linux. Девелоперы pfsense тут являются одним из редких исключений. Данный опен сорсный фаервол по сути включает в себя ряд других общедоступных разработок. Но скомпилировано это очень грамотно и элегантно. И все вместе позволяет защищать свою сеть на высоком уровне без лишних платежей производителям.

Читать далее «Сложный NAT на pfsense»

Бытовая безопасность с Интернет сервисами


Статья из серии о том, как обычному человеку в современном мире защититься от большинства угроз, которые несет для него кибер пространство, и спать спокойно. Информационные технологии настолько глубоко проникли во все части жизни, что можно забыть о полной приватности и независимости от цифровых технологий. Хотите Вы или нет, но общие правила по информационной безопасности необходимо соблюдать также, как и правила гигиены.

Желание написать эту статью возникло у меня, когда несколько дней назад по SMS на телефон к моей супруге пришел код от mail.ru с уведомлением о том, что кто-то ввел ее логин и пароль и для дальнейшего входа в почтовую систему нужно указать правильный SMS код. Так как она в это время сама не пыталась воспользоваться сервисами электронной почты mail.ru — стало очевидно, что какой-то злоумышленник знает ее логин и пароль и пытается, используя их, получить доступ к ее почтовому ящику. В этой ситуации, было очевидно, что кто-то посторонний узнал ее пароль, с одной стороны. Но с другой стороны была настроена двухфакторная аутентификация для доступа к электронной почте, в результате чего злоумышленник не смог воспользоваться паролем.

Читать далее «Бытовая безопасность с Интернет сервисами»

Тонкости использования SSH


Наверное, каждый системный администратор и программист в процессе своей работы пользуются ssh для подключения к удаленным серверам. Сложно себе представить современный IT мир без SSH. Если раньше это был стандартный протокол для удаленного управления NIX систем, то теперь практически все IT и телекоммуникационное оборудование использует его в своей работе. Протокол SSH использует современные алгоритмы шифрования для передачи трафика между сервером и клиентом. Что передается внутри зашифрованного SSH канала узнать для внешнего наблюдателя невозможно.

В этой статье мы рассмотрим способы туннелирования практически любого типа трафика через SSH. Эти механизмы постоянно используются исследователями информационной безопасности, но мало знакомы для большинства сетевых и системных администраторов. Туннелирование трафика через SSH с одной стороны дает множество возможностей для тех, кто им пользуется. С другой стороны это огромная потенциальная брешь в компьютерной сети любой организации, которая может привести к полной компрометации всех IT систем предприятия.

Читать далее «Тонкости использования SSH»

Базовая защита Linux сервера (часть 2)


В первой части статьи о безопасности сервера Linux я расписал то, как мы защищаем пользователей в системе, их пароли, а также сервис SSH. В этой части остановимся на фаерволе и защите сетевых сервисов от атак типа брут форса. Объединив все это вместе, мы получим общую картину защиты операционной системы от попыток взлома из вне. Для себя уже давно усвоил, что этими настройками нужно обеспечивать любой свой Linux сервер в Интернете, если хочется спать спокойно. Про настройки безопасности отдельных приложений, я думаю, мы поговорим отдельно в дальнейшем.

Персональный фаервол каждого сервера Linux, да и не только сервера, обеспечивается с помощью пакета iptables. В ряде дистрибутивов уже есть определенные готовые настройки для фаервола. Но, к сожалению, далеко не во всех, и, как правило, системному администратору приходится самому настраивать правила iptables. Я думаю, эти знания нужны любому квалифицированному инженеру IT. Функционал iptables очень широк и позволяет создавать из бокса с линуксом очень неплохой маршрутизатор с возможностями NAT и фильтрации пакетов. В контексте данной статьи iptables будет использоваться для фильтрации входящих и исходящих сетевых пакетов.

Читать далее «Базовая защита Linux сервера (часть 2)»

Базовая защита Linux сервера (часть 1)

defence

В процессе работы часто задается вопрос — что нужно делать, чтобы защитить работу серверов под управлением Linux. Многие организации для работы серверных приложений выбирают операционную систему Linux. Кто-то предпрочитает CentOS/RedHat, кто-то Ubuntu/Debian. Принципиальной разницы при работе с ними я не вижу. Есть и другие экзотические дистрибутивы Linux, но в реальном продакшене по опыту они встречаются крайне редко. Время для выполнения работ по администрированию на других дистрибутивах заметно увеличивается. Все что пишу в этой статье применимо ко всем вышеуказанным дистрибутивам с возможными небольшими отклонениями.

Различных приложений, которые работают под управлением Linux не счесть — веб сервера, почтовые сервера, контейнеры, системы управления, ftp и прочие, прочие. Описывать в одной статье способы защиты для каждого из них не представляется возможным, да и нужным. Я сосредоточусь на основных вещах — как работать с пользователями на сервере, как организовывать правильно удаленный доступ через ssh, а так же на базовой фильтрафии сетевых пакетов, поступающих на сервер.

Читать далее «Базовая защита Linux сервера (часть 1)»

BCP & DRP и нужно ли это все в Узбекистане?

backup

Тема с обеспечением отказоустойчивости IT инфраструктуры и сохранности данных в организациях за последний год у нас в стране поднималась довольно часто. Из моего личного опыта работа по теме обеспечения информационной безопасности — отсутствие планирования и заранее продуманных путей решения проблем при проблемах с аппаратным или программным обеспечение, очень часто ведет к потере данных и простоям в работе.

Как ни странно со всеми подобными проблемами легко бороться, и придумывать тут ничего не надо, так как все ужа давно придумано за нас. США являясь лидерами в области кибер разработок, все уже продумали, много раз протестировали и применяют у себя. Для организации непрерывности бизнеса используется так называемый Business Continuity Plan (BCP), а для решения проблем с компьютерным оборудованием в случае возникновения ЧП — Disaster Recovery Plan (DRP). Оба плана являются частью стратегии Информационной Безопасности на предприятии и предназначены для обеспечения Доступности данных и компьютерных систем.

Читать далее «BCP & DRP и нужно ли это все в Узбекистане?»