Inteligentní firewall

Firewall je dnes ve světě IT nezbytností. Jeho úkolem je, jak je obecně známo, ochránit desktop nebo server před případnými nežádoucími aktivitami na síti. 4smart.cz proto na všech svých HW uzlech implementuje firewall v podobě vlastního řešení, které je mimo jiné založeno na iptables a ipset. Firewall 4smart.cz má za účel chránit virtuální servery uživatelů a HW uzly 4smart.cz před některými typy DoS nebo DDoS útoků. Toto naše řešení by tak svojí existencí mělo doplnit vlastní řešení uživatelů v podobě iptables pravidel v jejich virtuálních serverech na straně jedné a řešení, která jsou implementována v síťových prvcích našeho poskytovatele konektivity.

Motivace ke vzniku tohoto řešení

Podceňovat bezpečnost se nevyplácí. V uplynulé době jsme se několikrát setkali s případy, kdy byl třetí stranou zneužit virtuální server některého z uživatelů, aby se stal součástí Botnetu. Takto kompromitovaný virtuální server vytváří velmi vysoký síťový traffic a vysoký počet síťových spojení, jehož jediným smyslem je odepření dostupnosti cíle, na který útočí (DoS). V případě účasti virtuálního serveru v botnetu jde o více kompromitovaných serverů, které útočí na jeden nebo více cílů (DDoS). Pro takto postiženého uživatele na 4smart.cz tento stav znamená zvýšenou spotřebu kreditu a kromě toho i možnou ztrátu dat nebo jejich další kompromitaci. V těchto případech je nejlepším řešením obnovit virtuální server ze zálohy nebo provést kompletní reinstalaci a dbát zvýšené pozornosti při zabezpečování virtuálního serveru - především volba hesel a udržovat systém aktuální. Probíhající síťový útok je problémem nejen pro uživatele, ale i pro provoz 4smart.cz. Vysoký počet síťových spojení vede na HW uzlech ke zvýšené spotřebě operační paměti, ke zvýšené zátěži procesoru a k větší režii Linuxového jádra při obsluze tohoto trafficu. V praxi toto pociťují zejména provozovatelé VoIP služeb, kteří na 4smart.cz hostují a u kterých se tento stav může projevit „koktáním“ nebo výpadky, i když se jich tento problém přímo netýká a pouze sdílí HW uzel se zdrojem nebo cílem síťového útoku. Takové chování se objevuje tehdy, když je dosaženo maximálního počtu síťových spojení na příslušném HW uzlu. Hodnota počtu síťových spojení je na každém HW uzlu 4smart.cz v jádře omezena parametrem net.netfilter.nf_conntrack_max. Firewall 4smart.cz těmto negativním dopadům na ostatní zákazníky předchází.

Popis činnosti firewallu 4smart.cz implementovaného na každém HW uzlu

Rozpoznání probíhajícího síťového útoku

Na každém HW uzlu probíhá sledování síťového provozu a jeho logování. Implementace firewallu v podobě příslušného scriptu na každém HW uzlu sleduje aktuální počet síťových spojení. Zjištění příliš vysoké hodnoty počtu síťových spojení odpovídá počátečnímu stavu, kdy dochází k aktivaci firewallu a spuštění další fáze - rozpoznání zdroje a cíle útoku.

Rozpoznání zdroje a cíle útoku

Vzhledem k podstatě útoku DoS/DDoS jde o nejnáročnější fázi, jejímž úkolem je určit, kdo je útočník a kdo je oběť. Předpokladem je, že nejméně jedna ze stran se nachází na 4smart.cz, popřípadě jsou obě strany virtuálními servery 4smart.cz a síťový útok probíhá na jednom HW uzlu nebo mezi dvěma HW uzly přes síť našeho poskytovatele konektivity nebo naši interní fyzickou síť. Implementace také uvažuje, že se obětí síťového útoku může stát některý z HW uzlů 4smart.cz.

Zavedení opatření

Po určení zdroje útoku následuje zablokování útočníka. Děje se tak vložením jeho IP adresy na lokální blacklist HW uzlu, který probíhající útok zaznamenal. Následně je zjištěná IP adresa umístěna na centrální blacklist. Z centrálního blacklistu se potom toto opatření aplikuje na všechny ostatní HW uzly 4smart.cz, které problémovou IP adresu zavedou do svých lokálních blacklistů. IP adresa umístěná na blacklist expiruje za 24 hodin, po té je z blacklistu odstraněna. Opatření zavedené jedním HW uzlem se distribuuje mezi všechny HW uzly 4smart.cz. Je-li zdrojem síťového útoku virtuální server na 4smart.cz, je takový VPS navíc zastaven. Bez ohledu na skutečnost, zda se útočník nachází na 4smart.cz nebo někde na internetu, je s jeho umístěním na blacklist dosaženo nedostupnosti pro celý systém 4smart.cz, tedy ne jen pro virtuální server, na který útok probíhal.

Informovat o provedených opatřeních

Po zavedení opatření, které nabylo účinnosti, dochází k automatickému rozeslání emailů pro všechny zúčastněné strany (útočník, oběť), pokud se nacházejí mezi virtuálními servery 4smart.cz. Při každé události je také generováno upozornění pro administrátory 4smart.cz.

Možnosti uživatele, jehož virtuální server byl označen za útočníka a umístěn na blacklist

Virtuální server, který byl označen za útočníka, zastaven a umístěný na blacklist, je možné znovu spustit prostřednictvím webového administračního rozhraní a zpřístupnit pro vzdálenou správu jeho službu SSH (port tcp 22). Přitom ostatní porty virtuálního serveru zůstanou blokovány. V případě, že ihned po spuštění virtuálního serveru firewall 4smart.cz zaznamená podezřelou aktivitu, je tento VPS opět zastaven. Další řešení tohoto problému je pak jedině možné v součinnosti s technickou podporou 4smart.cz. Jestliže je uživatel v řešení svého problému s virtuálním serverem svépomocí úspěšný, může po odstranění tohoto problému znovu zpřístupnit svůj virtuální server tím, že jeho IP adresu nebo IP adresy odstraní z blacklistu s pomocí webového administračního rozhraní 4smart.cz.

Firewall implementovaný uživatelem ve virtuálním serveru a další možnosti zabezpečení

I přes zavedení „globálního“ firewallu na všech HW uzlech 4smart.cz, je velmi vhodné nespoléhat se jen na toto řešení. 4smart.cz zpřístupňuje jadernou funkcionalitu iptables i do virtuálních serverů, což umožňuje uživateli vytvořit si svůj vlastní firewall ve virtuálním serveru a díky jeho možnostem například zablokovat/povolit přístup k vybraným portům tcp/udp, apod. Některé služby lze také dodatečně zabezpečit tím, že budou provozovány na jiném nestandardním portu tcp/udp. V případě citlivých webových administračních rozhraní (VoIP ústředny) je vhodné použít mj. .htaccess pro omezení přístupu podle IP adres, případně v kombinaci s .htpasswd a se silným uživatelským jménem a heslem pro přihlášení.

 
firewall.txt · Poslední úprava: 2017/06/23 14:28 autor: root