Лого Институт РОПКИП
Институт "РОПКиП"
Институт развития образования, повышения
квалификации и переподготовки
Публикации Настройка МЭ NFGW pfSense в рамках обеспечения безопасности сети.

Всероссийский сборник статей и публикаций института развития образования, повышения квалификации и переподготовки.


Скачать публикацию
Язык издания: русский
Периодичность: ежедневно
Вид издания: сборник
Версия издания: электронное сетевое
Публикация: Настройка МЭ NFGW pfSense в рамках обеспечения безопасности сети.
Автор: Москаленко Никита Алексеевич

Москаленко Никита АлексеевичНастройка МЭ NFGW pfSense в рамках обеспечения безопасности сети.ВведениеЭффективная защита сетей требует применения современных инструментов, одним из которых являются межсетевые экраны нового поколения (Next-Generation Firewall, NGFW). Эти системы предоставляют широкий спектр возможностей: глубокий анализ пакетов (DPI), предотвращение вторжений (IPS), фильтрацию веб-контента и доменов (DNSBL), контроль приложений, интеграцию с системами репутации IP и поддержку VPN. Задачи исследования:
  • Проведение настройки для реализации сегментации сети
  • Разработка методики настройки pfSense с интеграцией Suricata и pfBlockerNG.
  • Моделирование и тестирование различных сценариев угроз.
  • Оценка производительности настроенного NGFW в условиях реальных атак.
  • Составление рекомендаций по внедрению NGFW для различных организаций.
    • Характеристика тестовой средыТестирование pfSense CE проводилось на виртуальной машине с двумя сетевыми интерфейсами (LAN и WAN), использовалось оборудование с минимальными характеристиками: Процессор: Intel Core i7, ОЗУ: 4 ГБ ,Накопитель: SSD на 30 ГБ.В качестве дополнительное ПО использовались 3 виртуальные машины со следующими операционными системами: Kali Linux для моделирования атак, ALT Linux для моделирования web-сервера, ALT Linux как автоматизированное рабочее место для настройки NGFWИнструментами для проведения вредоносных воздействий и проверки надежности сайтов послужили: Apache Benchmark (ab) и hping3 для генерации HTTP-трафика, nmap для сканирования сети, curl для проверки доступности недостоверных сайтовДля проведения тестирования разработана топология, представленная на рисунке 1.Рисунок 1 – Топология сети для тестированияМетоды сбора данных: просмотр логов блокировок Suricata и pfBlockerNG, замеры нагрузки CPU и RAM при моделировании сетевых атак.1. Установка и настройка базового функционала pfSense.Первый этап включает установку pfSense CE на сервер с двумя сетевыми интерфейсами, настроенными для работы в режимах WAN и LAN. После установки системы была проведена первичная настройка:
  • WAN-интерфейс был настроен на автоматическое получение IP-адреса через DHCP. Это обеспечило соединение с внешней сетью. В условиях реального предприятия этот интерфейс может быть настроен на статический публичный IP-адрес для предоставления защищённых сервисов.
  • LAN-интерфейс был сконфигурирован с фиксированным IP-адресом в подсети 192.168.1.0/24, что обеспечивает централизованное управление внутренней сетью.
    • Для маршрутизации трафика между WAN и LAN активирован NAT. Дополнительно настроены базовые правила межсетевого экрана:
  • Исходящий трафик из LAN в WAN ограничен портами 80, 443 (для веб-трафика) и 53 (для DNS-запросов).
  • Входящий трафик на WAN полностью заблокирован, за исключением HTTPS-запросов к веб-сервисам на предприятии.
    • Эти настройки обеспечивают базовую защиту и разграничение трафика между сегментами сети.2. Интеграция IPS/IDS (Suricata) для анализа трафика (приложение 1).Для обеспечения глубокой инспекции пакетов и анализа трафика была интегрирована система обнаружения и предотвращения вторжений Suricata. Suricata установлена в режиме Inline IPS, что позволяет не только выявлять, но и блокировать угрозы в реальном времени. Настройка включала следующие этапы:
  • Подключение интерфейсов LAN и WAN: Это обеспечивает анализ как входящего, так и исходящего трафика. Для каждого интерфейса включён сбор статистики и логирование подозрительных событий.
  • Настройка движка обнаружения: Включён многопоточный режим работы для оптимизации производительности на многоядерных процессорах. Использованы правила из репутационных источников, таких как Emerging Threats Open и Snort GPLv2 Community.
  • Конфигурация блокировки: Установлен режим автоматической блокировки IP-адресов, с которых были зафиксированы попытки атак, включая DDoS, SQL-инъекции и сканирование портов.
  • Обновление правил: Настроено автоматическое обновление сигнатур каждые 24 часа для своевременного выявления новых угроз.
    • Эти настройки позволяют Suricata в режиме реального времени анализировать сетевой трафик и предотвращать угрозы, направленные как на внутренние узлы, так и на внешние интерфейсы.3. Настройка модуля pfBlockerNG для блокировки по IP и DNSBL (приложение 2).Для фильтрации нежелательных доменов и IP-адресов был установлен и настроен модуль pfBlockerNG. Этот инструмент добавляет возможности блокировки трафика на основе репутационных списков и DNSBL. В ходе настройки выполнено:
  • Включение репутационной фильтрации: Использованы глобальные репутационные базы, включая Proofpoint, для блокировки вредоносных IP-адресов. Включены механизмы удаления дублирующихся IP и оптимизации диапазонов (CIDR Aggregation).
  • Настройка DNSBL: Создан локальный DNSBL-сервер, который блокирует запросы к вредоносным доменам. Это особенно полезно для предотвращения доступа к фишинговым сайтам.
  • Правила фаервола: Добавлены правила для WAN- и LAN-интерфейсов, ограничивающие доступ к IP-адресам из репутационных баз.
    • Модуль pfBlockerNG дополняет возможности Suricata, предоставляя ещё один уровень фильтрации и предотвращения угроз.4. Проведение тестирования с проверкой блокировки недостоверных источников и моделированием атак.Для проверки работоспобности настроек выполнено моделирование атак и тестирование работы NGFW в различных сценариях:1) Блокировка DoS-атак:Использована утилита hping3 для создания большого количества запросов на порт 80 внутреннего сервера. Suricata обнаружила атаку и автоматически заблокировала IP-адрес атакующего.Рисунок 2 – Логи Suricata для заблокированного трафика DoS-атаки2) Фильтрация IP-адресов и доменов:Выполнены запросы с помощью curl к заблокированным IP-адресам и доменам, включённым в DNSBL. Ответы от сервера были перехвачены pfBlockerNG, а соединение прервано.Рисунок 3 – Заблокированный трафик, создаваемый утилитой curl3) Сканирование сети:Утилита nmap использовалась для проверки доступности портов внутреннего сервера. Suricata обнаружила попытки сканирования и заблокировала IP-адрес.Рисунок 4 – Заблокированный трафик, создаваемый утилитой nmap4) Производительность под нагрузкой:Тестирование производительности проведено с помощью Apache Benchmark (для HTTP-трафика) и hping3 (для DoS-атаки). Замеры показали, что система сохраняет стабильность при средней нагрузке, но требует дополнительной оптимизации при высокой интенсивности трафика.Результаты исследования1. Производительность при DoS-атаке (Suricata)Таблица 12. Фильтрация репутационных IP (pfBlockerNG)Таблица 2Suricata выявила и заблокировала сканирование и DoS-атаки, поток данных не достиг целевого сервера.pfBlockerNG корректно блокировал доступ к ресурсам с плохой репутацией.ЗаключениеВ работе проведена настройка и тестирование NGFW на базе pfSense CE с использованием Suricata и pfBlockerNG. Были выполнены базовые настройки фаервола, внедрены системы IPS/IDS и блокировки по репутационным спискам, а также проведено тестирование защиты под нагрузкой. Результаты показали, что open-source решение pfSense CE с Suricata и pfBlockerNG обеспечивает эффективную защиту корпоративной сети, предотвращая атаки и фильтруя трафик на уровне приложений.Список литературы1. pfSense Documentation – [Электронный ресурс]. – Режим доступа: 2. Настройка pfBlockerNG на pfSense (часть 1) – [Электронный ресурс]. – Режим доступа: 3. Обзор pfSense Community Edition – [Электронный ресурс]. – Режим доступа: 4. Особенности реализации ИБ-мероприятий на объектах ТЭК – [Электронный ресурс]. – Режим доступа: 5. Snort и Suricata – простой путь к использованию IDPS: от установки на сервер до грамотной настройки – [Электронный ресурс]. – Режим доступа: 6. Что такое NGFW и для чего он нужен – [Электронный ресурс]. – Режим доступа: 7. Уймин, А. Г. Обзор систем моделирования: анализ эффективности на примере чемпионата AtomSkills-2023 / А. Г. Уймин, В. С. Греков // Автоматизация и информатизация ТЭК. – 2023. – № 11(604). – С. 25-34. – DOI33285/2782-604X-2023-11(604)-25-34. – EDN QYQRCO
    Герб РФ
    16+ Регистрационный номер СМИ: СМИ ЭЛ № ФС 77 - 76928.
    Герб РФ
    Лицензия на осуществление образовательной деятельности:
    №Л035-01237-19/00257259 от 01.02.2021 г.
    Свидетельство о регистрации в Национальном центре ISSN
    Свидетельство о регистрации в Национальном центре ISSN (присвоен Международный стандартный номер сериального издания: № 2686-9985 от 7.11.2019)

    Все материалы, размещенные на сайте, созданы авторами сайта либо размещены пользователями сайта и представлены на сайте исключительно для ознакомления. Авторские права на материалы принадлежат их законным авторам. Частичное или полное копирование материалов сайта без письменного разрешения администрации сайта запрещено! Мнение редакции может не совпадать с точкой зрения авторов.

    Ответственность за разрешение любых спорных моментов, касающихся самих материалов и их содержания, берут на себя пользователи, разместившие материал на сайте. Однако редакция сайта готова оказать всяческую поддержку в решении любых вопросов связанных с работой и содержанием сайта. Если Вы заметили, что на данном сайте незаконно используются материалы, сообщите об этом администрации сайта по электронной почте. Проводим обучение на курсах повышения квалификации и профессиональной переподготовки,участие в конкурсах и олимпиадах. Пишите на info@ropkip.ru.

    -