ASM 100MEGA Distribution spol. s r.o. - DODAVATEL PRO DATOVÉ A TELEKOMUNIKAČNÍ SÍTĚ

By Michal Velčovský

FAQ: Využití bran Planet série VR-100 a VR-300 pro bezpečný provoz v internetu

Díky zásadnímu funkčnímu vybavení pro bezpečný provoz v rámci definice pojmu Cybersecurity se svým určením jedná o zařízení pro instalaci do provozů, kde přetrvávají požadavky před nežádoucím provozem a eskalujícími útoky z internetu. Převážně jde o pokročilý firewall, možnou definici VLAN 802.1Q pro diversifikaci LAN, o bezpečné spojení s klienty nebo mezi pobočkami pomocí VPN.

Vybrané funkce bran s popisem nastavení:

VR router v roli xDSL brány

Definice VLAN ve spojení se switchem

Ochranné funkce firewallu

Konfigurace VPN pro klienty (PPP) i pobočky (IPsec)

Captive „hotspot“ portál pro veřejné klienty

VR router v roli xDSL brány

Zařízení standardně dodávaná ISP poskytovateli internetu často neodpovídají nárokům na pokročilé nastavení a nejsou vhodná pro funkci vyššího zabezpečení nebo propojení LAN sítí. Rozšířenou a výhodnou možností připojení do internetu je dnes technologie VDSL a i pro tento typ rozhraní lze Planet VR brány výhodně použít.

Nastavení je snadné, Ethernet rozhraní se díky PPPoE realizuje přímo v bráně se všemi výhodami dalšího řízení a ochran. Jako modem lze využít kvalitní zařízení Planet nebo XtendLan z naší nabídky nebo libovolný xDSL modem včetně moderních s podporou nejrychlejšího VDSL profilu 35a.

V České republice v infrastruktuře CETIN jsou data na VDSL provozována ve VLAN s ID=848; to je nutné nad rozhraním WAN definovat.

WAN rozhraním se stane PPPoE, brána obdrží IP adresu na svém rozhraní přímo.

Definice VLAN (virtuálních sítí) ve spojení se switchem

Provozní oddělení datových sítí přináší několik výhod i z pohledu bezpečnosti provozu. V objektech je vhodné oddělit návštěvníky od vnitřního bezpečného prostředí a od části sítě, které slouží pro zabezpečení. Vhodnou aplikací jsou hotely, restaurace, školy a další místa s výskytem většího počtu uživatelů.

Brány série VR umožňují definovat několik VLAN spojených přímo s IP subnety, uživatelé jednotlivých podsítí pak mohou nebo nemusí komunikovat mezi podsítěmi, ve směru privátních a bezpečnostních segmentů to ani není žádoucí. Existence několika subnetů poskytuje dostatečné množství IP adres pro větší skupiny uživatelů.

Konfigurace je snadná a spočívá ve spojení IP subnetů s VLAN ID nad použitým LAN portem brány:

Kterým napojíte spravovatelný přepínač, ve kterém rozdělíte podsítě na jednotlivé „access“ porty. Příklad nastavení uvádí porty 2, 3, 4 každý do odpovídající VLAN, port 10 v nastavení jako TRUNK.

Ochranné funkce firewallu

Stateful packet inspection (SPI) Firewall neboli stavová kontrola paketů (nebo dynamické filtrování paketů) je mechanismus ochrany routerů a bran, který díky analýze provozu i na úrovni jednotlivých paketů dokáže eliminovat známé útoky typu Denial of Service, kdy snaha útočníků je odstavit cíl z provozu.

Jednou z metod útoku je záplava pakety SYN-flood, kdy útočník pošle posloupnost paketů s příznakem SYN cílovému počítači, ale již dále neodpovídá. Tím zahltí cílový server, který se může pro ostatní stát nedostupným.

Při útoku FIN-flood pakety s příznakem FIN označují konec datového přenosu pro dokončení TCP spojení, router nebo server lze zahltit množstvím takových paketů.

Pří útoku jsou často příznaky SYN a FIN v hlavičce TCP paketů kombinovány, je tedy doporučeno takové blokovat přímo na vstupním rozhraní; kombinaci blokace můžete ve firewallu ovlivnit.

Podobné to je s protokoly typu UDP nebo ICMP, nástrojem útočníka je mnohačetná sekvence paketů s cílem vyřadit cíl z provozu jeho zahlcením nebo systémovým kolapsem. Počet zpracovaných paketů lze na WAN rozhraní přibrzdit.

IP Teardrop Attack je typ útoku, kdy je cíl zasypán fragmentovanými pakety a vzhledem k tomu, že stroj přijímající pakety je nemůže znovu sestavit kvůli chybě v opětovném sestavení fragmentace TCP/IP protokolu, pakety se navzájem překrývají a zahltí vstupní rozhraní.

Metoda Ping of Death využívá k útoku pakety delší než je maximální definovaná délka TCP/IP paketů 65535 Bajtů, jejich dekódování může cíli způsobit problémy.

Dnes je již samozřejmostí při správě routerů zabezpečení protokolem HTTPS na portu 443, doporučené je vzdálenou správu vypnout nebo autentizovat pouze vůči konkrétní IP adrese IT správce. Proti prolomení hesla administrátora zkoušením známých výrazů a znaků brána dokáže blokovat přístup neúspěšných pokusů o přihlášení po definovanou dobu.

Mezi základní funkce firewallu patří i možná filtrace provozu (ACL) na základě znalosti oprávněných nebo naopak nechtěných MAC, IP a WEB adres.

Jistou a často opomíjenou ochranou je (ne)přesměrování portů služeb, které uživatelé využívají při spojení z internetu do vnitřní sítě. Často dochází k hazardnímu otevření pomocí Port Forwarding služeb jako jsou RDP vzdálená plocha, sdílení souborů Samba protokolem; ke kterým by měli externí klienti dnes přistupovat výhradně pomocí VPN.

Konfigurace VPN pro klienty (PPP) i pobočky (IPsec)

S potřebou se připojit z internetu do vlastních LAN sítí a to výhradně bezpečnou cestou, na popularitě a prakticky nezbytným prostředkem se staly VPN (virtual private networks) metody, kdy se externí a autentizovaný uživatel připojí k bráně, která zprostředkuje provoz šifrovaně až do vnitřní LAN sítě.

Metod VPN spojení existuje několik, v dnešní době je jich populárních několik typů dle použití a dle využití koncovými zařízeními jako telefony, notebooky apod.

Jde

Nastavení L2TP serveru je otázkou zprovoznění během pár kliknutí.

Uživatel na svém mobilním telefonu nebo na notebooku definuje VPN spojení, kde zadává IP adresu (nebo doménu) brány, typ tunelu, předsdílený klíč, přihlašovací jméno a heslo. Pro správné směrování provozu do tunelu/internetu nezapomeňte na routovací tabulku!

Situace pro jiné typy VPN jako je OpenVPN je analogická, server se v bráně aktivuje, potom se exportují certfikát pro klienta a následně konfigurace pro jeho nastavení.

Při trvalém spojení dvou sítí LAN v geograficky oddělených objektech je vhodné použití VPN IPsec tunelu. Častou aplikací je propojení dvou nebo i více firemních poboček mezi sebou přes internet. Provoz je vždy šifrovaný, stále se považuje za těžko napadnutelný útočníky a prakticky by mělo jít je jeden z mála bezpečných prostředků spojení dvou vzdálených sítí. Uživatelé LAN sítí přistupují ke vzdáleným prostředkům jakoby se nacházely lokačně a funkčně na stejné úrovni s místními prostředky.

IPsec je definován v několika desítkách RFC vydaných IETF, základními jsou RFC 2401 a RFC 2411; díky tomu je jím realizované spojení kompatibilní napříč výrobci zařízení (Planet ve spojení s Mikrotik není problém). IPsec operuje na 3.vrstvě modelu OSI a díky tomu je provoz VPN transparentní pro všechny další druhy provozů a protokolů; naproti tomu protokoly PPP a SSL jsou více aplikačními a závislými na koncovém provedení.

Aktivujte IPsec tunel, do polí IP adres místní a vzdálené LAN definujte jejich aktuální nastavení, LAN subnety se nesmí shodovat. „Remote Host/IP Address“ je protistrana, se kterou bude brána navazovat spojení. Nastavení protistrany je zrcadlově shodné.

Příklad uvádí běžné nastavení, které se často používá. Předsdílený klíč generujte složitý a dlouhý, metodu a sílu šifrování zvolte dle vašich nároků. Obecně silnější metody vyžadují větší výpočetní výkon, brány VR série naštěstí disponují AES hardwarovou akcelerací závislých výpočtu.

Captive „hotspot“ portál pro veřejné klienty

Dnes je běžným požadavkem poskytování WiFi připojení pro veřejné návštěvníky restaurací, hotelů, sportovišť atd. S příchozí anonymitou je vhodné veřejné uživatele připojovat k vlastní provozované síti výhradně autorizovanou cestou, tedy aby se nemohl k internetu, který provozujete pomocí VR brány, připojit náhodný kolemjdoucí. Taková funkce nutného přihlášení před vlastním připojením do internetu se často obecně nazývá "hostpot", jde vlastně o přípojné WiFi místo, ke kterému se všichni nedočkavě a "žhavě" chtějí připojit. V bráně Planet VR se funkce "hotspotu" ovládá prostřednictvím rozhraní Captive portal.

Ten jednoduše zaktivujete na fyzickém ethernet rozhraní, které jste VLAN a subnet podsítí vyhradili pro "public" připojení veřejnosti; do portu napojíte zřejmě PoE přepínač nebo AP kontrolér pro celou WiFi infrastrukturu. V nastavení "Custom" můžete výhodně upravit uvítací stránku, která se nově připojeným klientům bude zobrazovat, na stránku můžete umístit libovolný text a obrázek s logem:

Účty připojovaných klientů včetně platnosti jejich přihlášení ovládáte pomocí zabudovaného RADIUS serveru:

Každý nově připojený klient bude muset na přihlašovací stránce zadat jm0no+heslo, které obdrží od obsluhy

c