Одной из основных функций ARMA Стена является фильтрация трафика с помощью встроенного межсетевого экрана. С помощью МЭ возможно установить правила для блокировки, отклонения или разрешения входящего, исходящего и локального трафика.
Некоторые настройки МЭ являются глобальными и влияют на всю систему. Для настройки глобальных параметров необходимо перейти в меню «Межсетевой экран», а затем в раздел «Псевдонимы» (см. Рисунок – Глобальные настройки).
Псевдонимы – удобный инструмент объединения множества сетей, хостов и портов с целью дальнейшего использования в правилах МЭ, и других настройках ARMA Стена.
Правильное использование псевдонимов улучшает читаемость правил МЭ и ускоряет добавление новых или изменение действующих правил. Псевдонимы должны обладать уникальными именами, независимо от принадлежности к версиям IP-адресов: IPv4 или IPv6.
Для просмотра списка назначенных псевдонимов необходимо выбрать меню «Межсетевой экран», затем раздел «Псевдонимы».
«Наименование» - максимально допустимая длина значения уникального имени не более «31» символа. Имя начинается только с латинской буквы или цифры. Имя не должно содержать символы «|», «;», «:»,«&», «$», «<», «>», «!», «?», «/», «\», «%», «"», «'», «#», «@», «*», «(», «)», «{», «}», «[», «]»;
«Тип» - тип псевдонима. Возможно выбрать из списка: «IPv4 адреса», «IPv4 сети», «IPv6 адреса», «IPv6 сети», «Порты», «Интерфейсы». В зависимости от выбранного типа в окне откроются дополнительные поля для ввода параметров;
«Описание» - максимально допустимая длина значения поля «127» символов.
Для копирования псевдонима необходимо выполнить следующие действия:
Выбрать один псевдоним, установив флажок в чек-боксе слева от наименования псевдонима, и нажать кнопку «Копировать».
В открывшейся боковой панели «Копирование псевдонима» ввести новое наименование псевдонима. Значение поля «Тип» наследуется от копируемого псевдонима и недоступно для изменений.
Фильтрация трафика происходит с помощью правил МЭ. Каждое правило пронумеровано, имеет действие, которое следует применить, если правило соответствует, и критерии соответствия. Пакеты данных проходят по правилам от «1» до «999999», при первом совпадении будет выполнено действие правила, далее обработка пакета не производится.
Правилами МЭ предусмотрены следующие действия над сетевыми пакетами:
«Отбросить (drop)» - отбросить пакет.
«Перейти (jump)» - перейти к кастомному набору правил.
«Вернуться (return)» - вернуться из кастомного набора правил и перейти к следующему правилу.
«Отклонить (reject)» - отклонить пакет.
«Разрешить (accept)» - разрешить пакет.
«Продолжить (continue)» - продолжить проверку следующего правила.
«В очередь (queue)» - отправляет пакет в пользовательское пространство для дальнейшей обработки.
Данный оператор отправляет пакет в пространство пользователя с использованием функции nfnetlink_queue. Пакет помещается в очередь, идентифицируемую по 16-разрядному номеру. Пользовательское пространство может при необходимости просмотреть и изменить пакет. Затем пользовательское пространство должно удалить пакет или повторно отправить его в ядро. Также предусмотрена возможность активации опции обхода, которая позволит не выполнять операцию записи пакета в пользовательское пространство, если в очереди нет приложений, ожидающих обработки пакета. В таком случае правило будет действовать аналогично действию «Разрешить (accept)», если не обнаружено приложений, ожидающих пакет.
«Разгрузить (offload)» - определяет, какие потоки добавляются в таблицу потоков.
Таблицы потоков позволяют ускорить передачу пакетов в программном обеспечении (и в аппаратном обеспечении, если сетевой адаптер поддерживает эту функцию) за счёт обхода сетевого стека на основе conntrack. Записи представляются в виде кортежа, состоящего из входного интерфейса, адреса источника и назначения, порта источника и назначения, а также протоколов уровня 3/4. Каждая запись также кэширует информацию об интерфейсе назначения и адресе шлюза (для обновления адреса назначения на канальном уровне) с целью пересылки пакетов. Поля TTL и hoplimit также декрементируются. Таким образом, таблицы потоков обеспечивают альтернативный путь, позволяющий пакетам обойти классический путь пересылки. После установления состояния потоки разгружаются. Это означает, что первый ответный пакет обычно создаёт запись в таблице потоков. Для приёма исходного трафика требуется правило межсетевого экрана. Выражение потока в прямой цепочке должно соответствовать обратному трафику из исходного соединения. Следует иметь в виду, что обратный маршрут определяется на основе пакета, который создаёт запись в таблице потоков. Если используются определённые правила IP, необходимо убедиться, что они соответствуют как трафику ответного пакета, так и исходному трафику.
«Synproxy» - соединения synproxy.
Сетевой фильтр Synproxy перехватывает новые TCP-соединения и обрабатывает начальное трёхстороннее подтверждение связи по протоколу TCP, используя syncookies вместо conntrack для установления соединения. Таким образом, запуск SynProxy на порту прослушивающего сервера предотвращает использование ограниченных ресурсов conntrack при атаках типов SYN, SYN-ACK, ACK Flood на этот порт, при которых сервер подвергается воздействию большого количества syn-пакетов. Данное действие требует отслеживания соединения, поскольку необходимо передать порядковые номера. Принцип работы: сервер вычисляет значение на основе текущего состояния и отправляет его в SYN+ACK-пакете. Когда клиент возвращает ACK-пакет, сервер извлекает значение для аутентификации. Если значение верно, соединение считается установленным.
Примечание
Каждое правило МЭ должно принадлежать какому-либо набору правил.
В зависимости от принадлежности трафика существуют следующие наборы правил:
«Input» - набор правил для фильтрации IPv4 и IPv6 трафика, предназначенного для самой ARMA Стена, и используется для её защиты.
«Output» - набор правил для фильтрации IPv4 и IPv6 трафика, исходящего от самой ARMA Стена. Например, ответ на попытку входа по SSH в ARMA Стену.
«Forward» - набор правил для фильтрации IPv4 и IPv6 трафика, проходящего транзитом через ARMA Стена.
«Name» - кастомный набор правил. Используется во всех вариантах работы МЭ, включая системные наборы «Input», «Output» и «Forward», реализуемый через действия правила «Перейти (jump)».
ARMA Стена по умолчанию содержит шесть системных наборов правил: три набора «Input», «Output» и «Forward» для фильтрации IPv4 трафика и три набора «Input», «Output» и «Forward» для фильтрации IPv6 трафика.
Набор правил содержит действие по умолчанию, которое применяется к сетевому пакету, если ни одно из правил в наборе не сработало.
Для системных наборов правил «Input», «Output» и «Forward» возможно установить следующие значения действия по умолчанию:
«Разрешить (accept)» - значение по умолчанию;
«Отбросить (drop)».
Для кастомных наборов правил возможно установить следующие значения действия по умолчанию:
«Действие по умолчанию» - действие применится в случае, если ни одно из установленных правил в наборе не было применено.
Примечание
При использовании действия «Перейти (jump)» не допускается создание бесконечных циклов, когда набор перенаправляет сам на себя или через несколько переходов возвращается к себе.
Для назначения кастомного набора правил на трафик между зонами сети необходимо нажать кнопку «+Добавить» в блоке «Назначение на трафик между зонами сети» и заполнить необходимые поля (см. Рисунок – Назначение на трафик между зонами сети):
«Зона отправителя» - выбор из списка зоны отправителя;
«Интерфейсы зоны отправителя» - поле отображает интерфейсы, входящие в выбранную зону отправителя. Поле заблокировано для редактирования;
«Зона получателя» - выбор из списка зоны получателя;
«Интерфейсы зоны отправителя» - поле отображает интерфейсы, входящие в выбранную зону получателя. Поле заблокировано для редактирования.
Для редактирования набора правил необходимо нажать ЛКМ на строку с нужным набором и в открывшейся боковой панели внести корректировки. По завершению нажать кнопку «Сохранить».
Для копирования кастомных наборов правил необходимо выполнить следующие действия:
Выбрать один или несколько кастомных наборов правил, установив флажок в чек-боксе слева от наименования набора, и нажать кнопку «Копировать».
В открывшейся боковой панели «Копирование набора» ввести новое наименование набора. Параметр «Тип» наследуется от копируемого набора и заблокирован для изменений.
При удалении системного набора правил удаляются только правила, входящие в состав этого набора; сам набор из списка не удаляется.
Примечание
Если удаляемый кастомный набор правил назначен на направление трафика между зонами сети или используется в других наборах и правилах для переадресации на них, то появится предупреждающее окно с запретом на удаление (см. Рисунок – Удаление невозможно).
«Набор» - набор правил, к которому будет принадлежать создаваемое правило. В зависимости от выбранного набора правил откроются дополнительные поля настройки;
«Тип» - версии интернет-протокола. Значение наследуется от выбранного набора правил;
«Приоритет» - номер приоритета правила. Возможно указать значение в диапазоне от «1» до «999999». Параметр должен быть уникальным в рамках выбранного набора правил и определяет последовательность выполнения правил;
В случае выбора действия «Разгрузить (offload)» необходимо указать таблицу потоков, в которую необходимо экспортировать данный поток. Для этого в поле «Потоковая таблица» следует выбрать из выпадающего списка соответствующую таблицу потоков.
В случае выбора действия «Synproxy» необходимо дополнительно указать следующие параметры:
MSS - максимальный размер полезного блока данных в байтах для TCP-пакета (сегмента). Возможно указать значение в диапазоне от «501» до «65535».
Коэффициент масштабирования окна - коэффициент масштабирования окна для TCP-соединения. Возможно указать значение в диапазоне от «1» до «14».
Примечание
Для действия «Synproxy» необходимо выбрать протокол «TCP».
При выборе действия «Перейти (jump)» последующая проверка пакета осуществляется в кастомном наборе, указанном в дополнительном поле «Переадресация».
Примечание
При использовании действия «Перейти (jump)» не допускается создание бесконечных циклов, когда набор перенаправляет сам на себя или через несколько переходов возвращается к себе.
В случае выбора действия «В очередь (queue)» необходимо дополнительно указать следующие параметры:
Очередь - номер очереди, в которую будут направлены пакеты, соответствующие заданному правилу. Возможно указать значение в диапазоне от «0» до «65535» или диапазон значений через дефис в формате X-Y.
Исключать из очереди - исключать пакеты из очереди и пропускать их через МЭ, если ни одно приложение в пользовательском пространстве не подключено к данной очереди.
Распределение - распределять пакеты между несколькими очередями. Распределение возможно включить, только если указан диапазон очередей.
«Входящий интерфейс» - назначить входящий интерфейс или группу интерфейсов (псевдоним). При выборе значения «Интерфейсы» необходимо указать имя физического или виртуального интерфейса «ARMA Стена». Допустимо использование подстановочного знака «*». Поддерживается указание входящего интерфейса в качестве критерия соответствия для наборов правил: «name», «input», «forward»;
«Исходящий интерфейс» - назначить исходящий интерфейс или группу интерфейсов (псевдоним). При выборе значения «Интерфейсы» необходимо указать имя физического или виртуального интерфейса «ARMA Стена». Допустимо использование подстановочного знака «*». Поддерживается указание исходящего интерфейса в качестве критерия соответствия для наборов правил: «name», «output», «forward»;
«Транспортный протокол» - значение транспортного протокола. Возможно указать значение номером или именем протокола:
«Номер» - номер протокола в соответствии с документом IANA. Возможно указать значение в диапазоне от «0» до «255»;
«Название» - выбор транспортного протокола из выпадающего списка.
«Вид отправителя» - выбор отправителя из списка:
«IP-адрес» - IP-адрес отправителя в формате IPv4 или IPv6;
«Диапазон адресов» - указать диапазон IP-адресов отправителя в соответствующих полях;
«Сеть» - указать сеть отправителя: IP-адрес и маску подсети;
«Псевдоним IP-адреса» - выбрать псевдоним из списка;
«Псевдоним Сети» - выбрать псевдоним из списка.
«Порты» - указать порт отправителя вручную или выбрать псевдоним. Для ручного ввода порта необходимо выбрать значение «Порты», после чего станут доступны следующие варианты указания порта: «Номер порта», «Диапазон портов», «Протокол». Поле становится доступным, если в блоке «Транспортный протокол» указано одно из значений: имя «TCP», имя «TCP и UDP», имя «UDP», номер «6» или «17»;
«IP-адрес» - IP-адрес получателя в формате IPv4/IPv6;
«Диапазон адресов» - указать диапазон IP-адресов получателя в соответствующих полях;
«Сеть» - указать сеть получателя: IP-адрес и маску подсети;
«Псевдоним IP-адреса» - выбрать псевдоним из списка;
«Псевдоним Сети» - выбрать псевдоним из списка.
«Порты» - указать порт получателя вручную или выбрать псевдоним. Для ручного ввода порта необходимо выбрать значение «Порты», после чего станут доступны следующие варианты указания порта: «Номер порта», «Диапазон портов», «Протокол». Поле становится доступным, если в блоке «Транспортный протокол» указано одно из значений: имя «TCP», имя «TCP и UDP», имя «UDP», номер «6» или «17»;
«Сообщения ICMP» - компонент доступен для заполнения только при условии, что в блоке «Транспортный протокол» указано имя «ICMP» / номер «1» для IPv4 или имя «IPv6-ICMP» / номер «58» для IPv6;
«Тип» - номер типа ICMP в диапазоне от «0» до «255»;
«Код» - номер кода ICMP в диапазоне от «0» до «255»;
«Имя» - имя типа ICMP, выбор из выпадающего списка;
«Анализ фрагментов IP» - сопоставление пакетов на основе критерия фрагмента IP;
«IPsec» - соответствие пакетов на основе критериев IPsec. В системном наборе правил «output» фильтрация пакетов на основе IPsec не применяется;
«Ограничение скорости» - блок компонентов для настройки ограничения частоты срабатывания правила. Правило проверяется до тех пор, пока не будет достигнут указанный предел пакетов;
«Количество пакетов» - целое положительное число от «1». Предельное значение зависит от выбранной единицы времени из расчёта: «10000» на секунду, «600000» на минуту, «36000000» на час, «864000000» на день;
«Единица времени» - выбор единицы измерения времени из списка;
«Допустимое превышение лимита» - максимальное количество пакетов, разрешаемое при превышении скорости. Возможно указать значение в диапазоне от «1» до «10000». По умолчанию используется значение «1»;
«Сопоставление отправителей пакетов» - блок компонентов для настройки критерия срабатывания правила на основании частоты принимаемых пакетов от одного отправителя;
«Количество» - число последних пакетов от одного отправителя. Возможно указать значение в диапазоне от «1» до «255»;
«Время» - интервал времени в секундах, за которое будут сверяться отправители пакетов. Возможно указать значение в диапазоне от «1» до «4294967295»;
«Типы соединений» - правило проверяется только на указанные состояния соединений;
«Расписание» - блок настроек расписания работы правила;
«Флаги TCP» - правило будет проверять только те TCP-пакеты, значения проверяемых флагов которых, совпадает с настроенным. Блок и его дочерние компоненты доступны при условии, что в блоке «Транспортный протокол» выбрано имя «TCP» или номер «6»;
«Число прыжков» - блок и его дочерние компоненты доступны для заполнения только при условии, что правило относится к типу «IPv6». В дополнительном поле «Число прыжков» возможно ввести целочисленное значение в диапазоне от «0» до «255».
Для редактирования правила необходимо нажать ЛКМ на строке с нужным правилом и в открывшейся боковой панели внести корректировки в атрибуты правила. По завершению нажать кнопку «Сохранить».
Если удаляемое правило входит в набор правил назначенный на интерфейс или зону сети и оно единственное в этом наборе, то появится предупреждающее окно с запретом на удаление (см. Рисунок – Удаление невозможно).
В архитектуре безопасности, основанной на зонах, сетевые интерфейсы группируются в зоны, которые определяются на основе их функционального или логического сходства. Трафик, проходящий через зону, регулируется назначенными кастомными наборами правил. Данный подход обеспечивает более детальный и целенаправленный контроль над сетевым трафиком, позволяя применять различные уровни доступа и защиты в зависимости от конкретных требований каждой зоны.
В МЭ на основе зон реализована новая концепция, дополнительно к стандартным входящим и исходящим потокам трафика был добавлен локальный поток. Он предназначен для входящего и исходящего трафика ARMA Стена (см. Рисунок – Схема направления трафика в зонах сети МЭ). Это предоставляет возможность установить дополнительные правила МЭ, которые будут защищать сам брандмауэр от внешних угроз сети, дополняя уже существующие входящие и исходящие правила МЭ.
Рисунок – Схема направления трафика в зонах сети МЭ
Примечание
Создать локальную зону возможно исключительно через интерфейс командной строки.
Основные тезисы:
интерфейс может быть назначен только одной зоне;
в пределах зоны разрешён весь входящий и исходящий трафик интерфейса;
трафик между зонами зависит от существующих политик;
трафик не может передаваться между интерфейсом-участником зоны и любым интерфейсом, который не является участником этой зоны;
для каждого направления трафика необходимо задать отдельную политику.
В общем случае алгоритм настройки работы МЭ на основе зон сети выглядит следующим образом:
Создать кастомные наборы правил МЭ, в которых будут содержаться правила.
Создать правила МЭ, указать в них критерии соответствия, действия с сетевыми пакетами и привязать эти правила к кастомным наборам.
Объединить интерфейсы в зоны.
Создать два направления трафика между зонами сети (входящий и исходящий трафик) и назначить на них созданные кастомные наборы правил.
Для просмотра и настройки зоны сети необходимо перейти в меню «Межсетевой экран», затем в раздел «Зоны сети» (см. Рисунок – Зоны сети).
Для создания новой зоны необходимо нажать кнопку «+Добавить» и в открывшейся боковой панели внести значения в поля (см. Рисунок – Добавление зоны сети):
«Наименование» - максимально допустимая длина значения «18» символов. Допустимо использовать символы латинского алфавита, цифры, спецсимволы, за исключением: «|», «;», «:»,«&», «$», «<», «>», «!», «?», «/», «\», «%», «"», «'», «#», «@», «*», «(», «)», «{», «}», «[», «]»;
«Действие по умолчанию» - действие по умолчанию для входящего трафика: «блокировать» или «отклонить»;
«Интерфейс» - выбор физических и виртуальных интерфейсов. Список отображает только те интерфейсы, на которые не назначен ни один набор правил;
«Описание» - максимально допустимая длина значения поля «127» символов.
При добавлении зоны на интерфейс происходит полное блокирование всего транзитного трафика, проходящего через этот интерфейс, в соответствии с политикой действий по умолчанию.
Для редактирования зоны сети необходимо нажать ЛКМ на строку с нужной зоной и в открывшейся боковой панели внести корректировки. По завершению нажать кнопку «Сохранить».
Для удаления зон сети необходимо выбрать одну или несколько зон, установив флажок в чек-боксе слева от наименования зоны, и нажать кнопку «Удалить». В открывшемся окне, подтвердить удаление нажатием кнопки «Удалить». Если зона назначена в качестве зоны отправителя, программа выдаст уведомительное окно о невозможности удаления этой зоны.
Назначения на направления трафика между зонами сети
Для добавления направления трафика между зонами сети необходимо выполнить следующие действия:
Открыть меню «Межсетевой экран», выбрать раздел «Назначения на направления трафика между зонами сети» и нажать кнопку «+Добавить».
В открывшейся боковой панели внести значения в поля:
«Зона отправителя» - выбор из списка зоны отправителя;
«Интерфейсы зоны отправителя» - отображает интерфейсы, входящие в выбранную зону отправителя. Поле заблокировано для редактирования;
«Зона получателя» - выбор из списка зоны получателя;
«Интерфейсы зоны получателя» - отображает интерфейсы, входящие в выбранную зону получателя. Поле заблокировано для редактирования;
«Действие по умолчанию» - значение наследуется из настройки зоны получателя;
«Набор IPv4» - выбор из списка набора правил с типом IPv4;
«Перейти к списку наборов» - открывает окно выбора набора правил IPv4 с возможностью просмотра и редактирования входящих в них правил (см. Рисунок – Выбор набора правил);
«Набор IPv6» - выбор из списка набора правил с типом IPv6;
«Перейти к списку наборов» - открывает окно выбора набора правил IPv6 с возможностью просмотра и редактирования входящих в них правил.
Рисунок – Добавление направления трафика между зонами
Для редактирования направления трафика между зонами сети необходимо нажать ЛКМ на строку с нужным набором и в открывшейся боковой панели внести корректировки. По завершению нажать кнопку «Сохранить».
Для удаления направления необходимо выбрать одно или несколько направлений, установив флажок в чек-боксе слева от наименования направления, и нажать кнопку «Удалить». В открывшемся окне, подтвердить удаление нажатием кнопки «Удалить».
