Галимуллина А.В., Кондрашов А.С.
ТЕСТИРОВАНИЕ ЗАЩИЩЕННОСТИ ВИРТУАЛЬНОГО МЕЖСЕТЕВОГО ЭКРАНА IDECO NGFW *
Аннотация:
в работе производится настройка и тестирование межсетевого экрана IDECO NGFW для выявления потенциальных уязвимостей в конфигурации и логике работы.
Ключевые слова:
межсетевой экран, конфигурация, тестирование защищенности, атаки на файрволы, защищенность сети
На сегодняшний день вопрос обеспечения информационной безопасности в корпоративных сетях имеет критическое значение. Это связано с быстрым развитием сетевых технологий и постоянным ростом числа и сложности киберугроз. Для решения проблем с безопасностью в сетях все чаще используется такой инструмент, как межсетевой экран (или брандмауэр). Использование межсетевых экранов позволяет производить настройку параметров сети таким образом, чтобы минимизировать или предотвратить попытки несанкционированного доступа к сети и D_DOS-атаки.Межсетевой экран Ideco NGFW от одноименной компании «Айдеко» - актуальное отечественное решение для защиты сетевой инфраструктуры. Данный инструмент помогает обеспечить полный контроль доступа пользователей в интернет, делая его управляемым и безопасным. Стоит отметить, что межсетевой экран Ideco NGFW входит в реестр российского программного обеспечения Минцифры Российской Федерации и имеет запись в Едином реестре российских программ для электронных вычислительных машин и баз данных № 329 от 08.04.2016, а значит, является достаточно надежным и имеет приоритет при закупках госкорпораций и госорганов.В рамках данной работы стоит цель - выявление потенциальных уязвимостей в конфигурации и логике работы Ideco NGFW. Для достижения поставленной цели будут применены методы теоретического анализа официальной документации и экспериментального моделирования.Для проведения практического эксперимента в среде виртуализации необходимо создать две виртуальные машины на базе ОС Альт, одна на базе Kali и одна виртуальная машина с установленным межсетевым экраном Ideco NGFW (рис. 1). Для тестирования защищенности созданной сети будет использоваться функционал, предоставляемый файрволом Ideco NGFW.Рис. 1. Общая схема подключения.Файрвол - средство управления трафиком на сервере. Данный инструмент поддерживает возможность фильтрации пакетов с контролем состояния соединений (Stateful Inspection), анализирует заголовки IP-пакетов и TCP-сегментов, проходящих через интерфейсы сервера, и фильтрует трафик на основании параметров заголовков (IP-адреса, TCP/UDP-порты и флаги).С помощью файрвола можно создавать наборы правил, которые разграничивают трафик между различными сетями: локальными, VPN и публичными (интернет). Рекомендуется при настройке указывать IP-адрес Ideco NGFW в роли шлюза на клиентских устройствах для оптимальной работы политик безопасности (а именно модулей «Контроль приложений» и «Предотвращение вторжений»).В рамках практического эксперимента произведем настройку правил в таблицах forward, input и ограничение скорости.Тестирование настройки FORWARD. В рамках эксперимента необходимо изолировать две машины – ADM и USER от внешних пользователей с целью предотвращения вредоносного воздействия извне, как, например, Smurf-атаки на сеть. Для этого настроим запрет отправки icmp пакетов от внешних пользователей (в нашем случае KALI) до ADM и USER, но при этом оставим возможность ADM и USER обмениваться пакетами между собой внутри сети. Для этого установим соответствующие правила и укажем зоны/адреса, над которыми производится настройка (рис.2).Рис. 2. Правила таблицы FORWARD.Для тестирования работоспособности правил отправим ping от ADM к USER и обратно, а также от внешнего злоумышленника KALI к ADM и USER (рис. 3–5).Рис. 3. Отправка пакетов от ADM до USER.Рис. 4. Отправка пакетов от USER до ADM.Рис. 5. Отправка пакетов от KALI до ADM и USER.Тестирование показало, что злоумышленник не имеет возможности удаленного воздействия на USER и ADM, но при этом сохраняется взаимодействие между USER и ADM. Следовательно, исключается возможность проведения Smurf-атаки на внутренних пользователей.Ограничение скорости входящего трафика. В рамках эксперимента необходимо установить ограничения скорости получаемого трафика с целью предотвращения на внутреннюю сеть ADM и USER таких угроз, как D_DOS-атака. В отличие от прошлого эксперимента подход другой – мы не ограничиваем полностью получение пакетов извне, но ставим ограничение по скорости, что должно предотвратить «падение» сети в случае возрастания нагрузки. После настройки соответствующего правила на межсетевом экране (рис. 6) запустим на машине злоумышленника KALI скрипт, находящийся в отрытом доступе на GitHub [7], для генерации D_DOS-атаки на ADM (рис. 7-8).Рис. 6. Установка правила для ограничения скорости.Рис. 7. Параметры и запуск скрипта.Рис. 8. Генерируемая скриптом активность.После запуска скрипта отследим по графикам активность на ADM (рис. 9) и попробуем воспользоваться сетью – в нашем случае, попробуем зайти на веб-ресурс (рис. 10).Рис. 9. График сетевой активности на ADM со стороны KALI.Рис. 10. Увеличенное время загрузки веб-ресурса после запуска D_DOS.Стоит отметить, что резко возросший входящий трафик не заблокировал полностью работу ADM, но значительно замедлил исходящий трафик. Это также можно проверить, отследив время отправки пакетов ping до веб-ресурса до запуска D_DOS-атаки и после (рис. 11-12).Рис. 11. Время отправки пакетов с ADM во время D_DOS.Рис. 12. Время отправки пакетов до запуска D_DOS.Таким образом, без установки полного запрета на получение пакетов извне не удалось полностью избежать последствий D_DOS атаки.Тестирование на сканирование портов. В рамках эксперимента будем использовать ранее созданное правило таблицы FORWARD, запрещающее взаимодействовать KALI c ADM и USER, чтобы предотвратить угрозу сканирования портов при помощи утилиты NMAP со стороны внешнего нарушителя KALI. Далее произведем попытку сканирования портов на ADM с KALI при помощи NMAP (рис. 13-14) с включенным и выключенным правилом.Рис. 13. Успешное сканирование портов до включения правила.Рис. 14. Неудачное сканирование после включения правила.Стоит отметить, что правило помогло предотвратить сканирование портов, а также, межсетевой экран зафиксировал попытку вторжения (рис. 15).Рис. 15. Записи в журнале предотвращения вторжений.Проведем дополнительную настройку в таблице правил input (рис.16). Проведем аналогичный эксперимент со сканированием портов на одном из локальных интерфейсов Ideco (рис. 17).Рис. 16. Настройка правила в таблице input.Рис. 17. Неудачная попытка сканирования портов на ADM.Стоит отметить, что при таких настройках межсетевой экран также фиксирует попытки сканирования портов на ADM в журнале «Предотвращение вторжений» (рис. 18).Рис. 18. Журнал «предотвращение вторжений».Проведем аналогичный эксперимент со сканированием веб интерфейса. В данном тесте воспользуемся агрессивным режимом и используем скрипты, позволяющие извлекать HTTP заголовки и осуществлять поиск уязвимостей.Рис. 19. Удачная попытка сканирования портов на ADM.Рис. 20. Журнал «предотвращение вторжений».После сканирования портов с отключенным правилом таблицы INPUT (рис. 19) можно заметить, что злоумышленник смог получить HTTP заголовки и в журнале появилось оповещение об опасном трафике и попытке сканирования (рис. 20).Рис. 21. Неудачная попытка сканирования портов на ADM.Рис. 22. Журнал «предотвращение вторжений».Проведя повторное сканирование (рис. 21), но уже с включенным правилом таблицы INPUT, можно заметить, что злоумышленник не смог получить необходимую информацию и в журнале (рис. 22) и появились оповещения только о попытке сканирования.Таким образом, при помощи настройки правил INPUT и FORWARD удалось предотвратить сканирование портов.Заключение.В результате тестирования межсетевого экрана можно подвести итог, что правила, настроенные в таблицах файрвола, таких как forward и input корректно отработали и смогли предотвратить угрозы Smurf-атаки и сканирования портов. Однако, ограничение скорости входящего трафика замедлило D_DOS-атаку, но не смогло стабилизировать трафик, вследствие чего просадка скорости на атакуемой машине была.Проведенное исследование тестирования защищенности межсетевого экрана с фокусом на таблицы forward, input и ограничения скорости позволило выявить ключевые аспекты, влияющие на безопасность и эффективность работы данного файрвола. Анализ на конкретных ситуациях показал, что каждый из режимов играет критическую роль в защите сетевой инфраструктуры, но при некорректной настройке может стать источником уязвимостей.
Номер журнала Вестник науки №3 (84) том 2
Ссылка для цитирования:
Галимуллина А.В., Кондрашов А.С. ТЕСТИРОВАНИЕ ЗАЩИЩЕННОСТИ ВИРТУАЛЬНОГО МЕЖСЕТЕВОГО ЭКРАНА IDECO NGFW // Вестник науки №3 (84) том 2. С. 371 - 383. 2025 г. ISSN 2712-8849 // Электронный ресурс: https://www.вестник-науки.рф/article/21802 (дата обращения: 16.12.2025 г.)
Вестник науки © 2025. 16+