Порядок обработки веб-трафика в Ideco UTM

Порядок обработки веб-трафика:

1. DNS.

2. Захват трафика для DPI:

  • Контроль приложений;

  • Ограничение скорости;

  • Система предотвращения вторжений.

3. Захват трафика для фильтрации (прокси-сервер):

  • Контент-фильтр;

  • Антивирус веб-трафика.

4. Файрвол.

INPUT-правила Файрвола обрабатывают трафик раньше прокси-сервера.

Как проверить, что заблокирует трафик первым: Контроль приложений или система Предотвращения вторжений?

Для примера заблокируем WeChat для User1.

1. Перейдите в раздел Контроль приложений и создайте правило, блокирующее протокол WeChat для User1:

2. Убедитесь, что в разделе Предотвращение вторжений активно правило блокировки GeoIP cтран Юго-Восточной Азии:

3. Авторизуйте User1 с устройства на Windows и попробуйте зайти на сайт https://www.wechatapp.com/.

4. Перейдите в Управление сервером -> Терминал для просмотра логов Контроля приложений/системы Предотвращение вторжений и выполните команду:

journalctl -u ideco-app-control@Leth<номер локального интерфейса>.service -S today

Номер локального интерфейса можно узнать в Терминале, выполнив команду ip a .

В логах Контроля приложений появятся записи о блокировке протокола WeChat:

мар 11 13:06:31 localhost app-control[2547]: (flow_info_rules_was_checked) 192.168.0.10:1453 -> 43.159.18.10:443 [WeChat] = 'DROP'.
мар 11 13:06:55 localhost app-control[2547]: (flow_info_rules_was_checked) 192.168.0.10:1456 -> 43.159.18.10:443 [WeChat] = 'DROP'.
мар 11 13:06:55 localhost app-control[2547]: (flow_info_rules_was_checked) 192.168.0.10:1457 -> 43.159.18.10:443 [WeChat] = 'DROP'.

В Правила трафика -> Предотвращение вторжений -> Журнал записей о срабатывании правила GeoIP cтран Юго-Восточной Азии нет. Значит, Контроль приложений обрабатывает трафик приоритетнее, чем система Предотвращения вторжений.

Подробнее о расшифровке передаваемых логов системы Предотвращения вторжений и Контроля приложений в статье Syslog.

Как проверить, что система Предотвращения вторжений обрабатывает трафик приоритетнее, чем Файрвол?

Для примера создадим GeoIP-правила для системы Предотвращения вторжений и Файрвола, блокирующие запросы к сайтам Бразилии.

1. В разделе Правила трафика -> Файрвол создаем правило, блокирующее запросы к сайтам Бразилии:

2. Переводим ползунок Счетчик срабатываний над таблицей в положение включен, чтобы отследить, было ли срабатывание правила.

3. Переходим во вкладку Логирование, создаем правило логирования:

4. Проверяем, что в разделе Предотвращения вторжений включён блок правил блокировки стран Южной Америки по GeoIP:

5. Авторизуем пользователя и заходим на любой сайт, находящийся в Бразилии, например, www.gov.br. Сайт не должен открыться.

6. В разделе Правила трафика -> Предотвращение вторжений -> Журнал появится запись о блокировке GeoIP Бразилии:

7. Переходим в раздел Файрвол для просмотра счетчика срабатываний. Он должен быть равен нулю.

Если отключить систему Предотвращения вторжений и снова перейти на сайт cbf.com.br, то в логах срабатывания Файрвола начали появляться записи о блокировке:

янв 19 17:44:13 localhost ideco-nflog[770]: TCP      src 192.168.105.3    sport 43431 dst 200.9.249.66     dport 443   table FWD  rule  4    action drop
янв 19 17:44:13 localhost ideco-nflog[770]: TCP      src 192.168.105.3    sport 35191 dst 200.9.249.66     dport 443   table FWD  rule  4    action drop

Счётчик срабатываний запрещающего правила начал расти, так как трафик, будучи не заблокированным выключенной системой Предотвращения вторжений, пошёл далее по приоритету и начал блокироваться Файрволом:

Система Предотвращения вторжений обрабатывает трафик приоритетнее, чем Файрвол.

Как проверить, что контент-фильтр обрабатывает трафик приоритетнее, чем антивирус веб-трафика?

Для примера использовался тестовый файл с Eicar, доступный для скачивания по ссылке и создан Пользователь 1.

1. Переходим Правила трафика -> Контент фильтр -> Пользовательские категории.

2. Нажимаем Добавить для создания пользовательской категории и заполняем, как на изображении:

3. Переходим во вкладку Правила и создаем два правила для Пользователя 1:

  • Правило расшифровки всех HTTPS-запросов, чтобы антивирус мог работать с HTTPS-трафиком;

  • Правило блокировки созданной пользовательской категории:

4. Убедимся, что раздел Антивирусы веб-трафика переведен в положение Включен:

5. Авторизуем пользователя и переходим по ссылке на скачивание Eicar. Откроется страница блокировки контент-фильтра:

Контент-фильтр обрабатывает трафик приоритетнее, чем антивирусы. Просмотреть информацию о срабатывании правил Контент-фильтра можно в Отчеты -> Трафик -> Топ сайтов.

Last updated