telecom №95. Фаерволы. Стейты, NATы и хвосты^w scale-out

Встречаем продолжение нашумевшего выпуска про фаерволы №94.
Вместе с нашими гостями разбираемся в NAT, HA и вариантах scale.
Спойлер...


Кто:
  • Борис Лыточкин — он же Злой NOC. Сетевой прораб Яндекса с 12-летним стажем, обладатель ачивки «сломал Яндекс». Отвечает за сеть в офисах компании и служебные сети дата-центров.
  • Илья Сомов. Сетевой прораб и разнорабочий с 8-летним стажем, любитель нестандартных технологий и решений. Отвечает за транспортную сеть компании и служебные сети дата-центров.




Слайды к выпуску тут

Про что:
  • Режим работы фаервола — stateless vs stateful: что хранится в state, как используется

telecom №94. Фаерволы, файрволы, фаэрволы и файеэоывалорволы. Часть 1

Кто бы мог подумать, что самые громкие прения будут не вокруг «NAT как средство безопасности», а вокруг написания слова «Firewall» на русском.
Мы точно сделаем два выпуска, а, возможно, даже и все три.

Кто:
  • Борис Лыточкин — он же Злой NOC. Сетевой прораб Яндекса с 12-летним стажем, обладатель ачивки «сломал Яндекс». Отвечает за сеть в офисах компании и служебные сети дата-центров.
  • Илья Сомов. Сетевой прораб и разнорабочий с 8-летним стажем, любитель нестандартных технологий и решений. Отвечает за транспортную сеть компании и служебные сети дата-центров.
Про что: Фаерволы: виды, типы, классы, категории




А именно:
  • Мухи отдельно, котлеты отдельно. Разбираемся в различиях:
    • Роутеров и фаерволов
    • Аппаратных фаерволов от тазиков (программных на *nix*)
    • NAT от фаерволов
  • Области, где требуется фильтрация (сегментация) пакетов:
    • Граница Автономной Системы (border) — много полосы, потенциальная асимметрия
    • ACL со стороны апстрима — зачем может быть нужно?
    • Групп сетей availability zone, проект, серверный/пользовательский
    • На конечных устройствах серверах, ноутбуках, ПК, мобильники — зачем вообще, от кого защищаемся
    • AntiDDoS, bypass (on wire/programmable)
  • Address planing — взаимосвязь количества правил фильтрации и количества маршрутов на сети
  • Типы файрволов:
    • L3/L4 пакетные фильтры — stateless TCAM-based
    • Full-software processing L3/L4/dumb DPI — iptables/nftables/ipfw/pf/etc
    • DPI (snort/suricata): RST generation vs filtering
    • DPI + TCAM-based acceleration
    • DPI и IPS, почему это не одно и то же
  • Режим работы файрвола — stateless vs stateful: что хранится в state, как используется

Канал в телеграме: t.me/linkmeup_podcast
Канал на youtube: youtube.com/c/linkmeup-podcast
Подкаст доступен в iTunes, Google Подкастах, Яндекс Музыке, Castbox
Сообщество в вк: vk.com/linkmeup
Группа в фб: www.facebook.com/linkmeup.sdsm

Скачать все выпуски подкаста вы можете с яндекс-диска.
Добавить RSS в подкаст-плеер.

Пообщаться в общем чате в тг: t.me/linkmeup_chat

Поддержите нас:

Анонс подкаста. Выпуск 74 \\\\\14.04 17:00 Мск

На предстоящем HL2019 @Night_Snake собирается доложить о том почему Интернет до сих пор онлайн.
И мы аккомпанируем ему в 74-м выпуске.

Выпуск состоялся. Офлайн версия будет 25 апреля.



Когда: 14.04 17:00 Мск.
Кто: Сергей Колобов. Системный инженер крупного вендора.
Про что: Опасности BGP, RPKI, DISCO.


— Как фундаментальные принципы BGP всеобщего и взаимного доверия привели к постоянно эксплуатируемым атакам на доступность и перехвату конфиденциальных данных.
— Захват ресурсов IP-адресации, модификации анонсируемой маршрутной информации и изменения путей автономных систем.
— Традиционные принципы защиты: фильтрация префиксов и использование BGP communities.
— RPKI.
— DISCO.
— BGPSec.
— Готово ли оборудование и сети?

Задайте свой вопрос.

telecom №66. Код Безопасности. Нормативка

Chaos Constructions не помеха опубликовать 66-й выпуск подкаста linkmeup.

Ребята из Кода Безопасности: Павел Коростелев (Руководитель отдела продвижения продуктов) и Сергей Кормушин (Менеджер по продукту АПКШ «Континент») — рассказывают как мы в России до жизни такой докатились, что покупать приходится то, что говорят, а не то, что хочется, о регуляторах и сертификациях ИБ-железа, а самое главное, кому и чем грозит Закон о критической информационной инфраструктуре.



Скачать файл подкаста




Чатик по Континенту, где вам наверняка помогут из первых рук. Вероятно там есть даже штатный психолог и валерьянка, но это не точно. Но вам там помогут, это точно.
t.me/apksh

Российская нормативка ИБ
Регуляторы в области ИБ. ФСТЭК, ФСБ, ФСО, ЦБ, Минобороны, Минкомсвязи.
Российские требования в области ИБ. От защиты персональных данных к безопасности критической инфраструктуры.
Сертификации средств защиты. Вопросы доверия к средствам сетевой безопасности. Раскрытие исходного кода. Обязанности производителя сертифицировавшего во ФСТЭК средства защиты.
Российская криптография. Магма, Кузнечик и другие интересные слова :) От защиты гостайны к попыткам массового использования. Сертификация средств шифрования.

Рынок сетевых средств защиты и импортозамещение
Основные группы игроков на этом рынке – западные производители, российские «криптографы», российская «молодежь».
Жизнь до импортозамещения.
Как импортозамещение повлияло на российских заказчиков и вендоров.

Анонс подкаста. Выпуск 66 \\\\\Выпуск состоялся. Публикация 25.08

В предстоящем выпуске вас ждёт ещё один российский производитель — «Код Безопасности».
Именно из под их станков выходят СКЗИ АПКШ «Континент».
Разработчики рвутся причинить сообществу пользу рассказом о том, как мы оказались там, где мы есть, и как тут жить. А ещё о том, кто в сложившейся ситуации может импортозаместить.

Выпуск состоялся. Публикация 25.08



Когда: 05.08 18:00 Мск.
Кто:
  • Павел Коростелев. Руководитель отдела продвижения продуктов
  • Сергей Кормушин. Менеджер по продукту АПКШ «Континент»
Про что: Про ИБ. Теория и теория.



Российская нормативка ИБ
  • Регуляторы в области ИБ. ФСТЭК, ФСБ, ФСО, ЦБ, Минобороны, Минкомсвязи.
  • Российские требования в области ИБ. От защиты персональных данных к безопасности критической инфраструктуры.
  • Сертификации средств защиты. Вопросы доверия к средствам сетевой безопасности. Раскрытие исходного кода. Обязанности производителя сертифицировавшего во ФСТЭК средства защиты.
  • Российская криптография. Магма, Кузнечик и другие интересные слова :) От защиты гостайны к попыткам массового использования. Сертификация средств шифрования.

Рынок сетевых средств защиты и импортозамещение
  • Основные группы игроков на этом рынке – западные производители, российские «криптографы», российская «молодежь».
  • Жизнь до импортозамещения.
  • Как импортозамещение повлияло на российских заказчиков и вендоров.

Анонс подкаста. Выпуск 53 ///UPD: Эфир состоялся



Вы знаете, что с Синистером скучно не бывает.



Очередная порция инфобеза о современных векторах атак и защиты от них.
Если не успели внедрить IDS, то и не торопитесь.



Когда: 12.07.2017 в 18:30 (МСК)
Кто: Александр Sinister Дмитренко.
Про что: NG FW, SIEM, SOC

Безопасность IP телефонии

Статья написана специально для linkmeup.

=======================

Здравствуйте, коллеги и друзья, я, Семенов Вадим, совместно с командой проекта network-class.net представляем вниманию обзорную статью, которая затрагивает основные тенденции и угрозы в IP телефонии, и самое главное, те инструменты защиты, что на данный момент предлагает производитель в качестве защиты (если выражаться языком специалистов по безопасности, то рассмотрим какие инструменты предлагает производитель для уменьшения уязвимостей, которыми смогут воспользоваться нелегитимные лица). Итак, меньше слов– переходим к делу.
Для многих читающих термин IP телефония уже давно сформировался, а также и то, что данная телефония «лучше», дешевле по сравнению с телефонией общего пользования (ТФОП), богата различными дополнительными функциями и т.д. И это действительно так, однако… отчасти. По мере перехода от аналоговой (цифровой) телефонии со своими абонентскими линиями (от абонентского телефона до станции или станционного выноса) и соединительными линиями (меж станционная линия связи) ни много ни мало были только лишь в зоне доступа и управления провайдера телефонии. Иными словами, обычным обывателям туда доступа не было (ну или практически так, если не учитывать кабельную канализацию). Вспоминается один вопрос на старом добром форуме хакеров «Подскажите, как получить доступ к АТС? – ответ: «Ну как, берешь бульдозер – таранишь стену здания АТС и вуаля». И эта шутка имеет свою долю правды) Однако с переносом телефонии в дешевую IP среду мы получили в довесок и те угрозы, которые несет в себе открытая IP среда. Примером приобретенных угроз может служить следующее:

  • Сниффинг сигнальных портов с целью совершения платных вызовов за чужой счет
  • Подслушивание за счет перехвата голосовых IP пакетов
  • Перехват звонка, представление нелегитимным пользователем как легитимный пользователь, атака «человек по середине»
  • DDOS атаки на сигнальные сервера станции с целью вывода из строя всей телефонии
  • Спам-атаки, обрушение большого количества фантомных вызовов на станцию с целью занять все её свободные ресурсы

Несмотря на очевидность в необходимости устранять все возможные уязвимости дабы уменьшить вероятность реализации той или иной атаки — по факту внедрение тех или иных мер защиты необходимо начинать с составления графика, учитывающего стоимость внедрения защитных мер от конкретной угрозы и убытков предприятия от реализации злоумышленниками этой угрозы. Ведь глупо тратить денег на безопасность актива больше, чем стоит сам актив, который мы защищаем.
Определив бюджет на безопасность, начнем устранение именно тех угроз, которые наиболее вероятны для компании, например для малой организации больнее всего будет получить большой счет за несовершенные междугородние и международные звонки, в то время как для государственных компаний важнее всего сохранить конфиденциальность разговоров. Начнем же постепенное рассмотрение в текущей статье с базовых вещей – это обеспечение безопасного способа доставки служебных данных от станции к телефону. Далее рассмотрим аутентификацию телефонов перед подключением их к станции, аутентификацию станции со стороны телефонов ну и шифрование сигнального трафика (для скрытия информации кто и куда звонит) и шифрование разговорного трафика.
У многих производителей голосового оборудования (в том числе и у Cisco Systems) есть уже интегрированные инструменты безопасности от обычного ограничения диапазона ip адресов, с которых можно совершать вызовы, до аутентификации оконечных устройств по сертификату. Например, у производителя Cisco Systems с его голосовой линейкой продуктов CUCM (Cisco Unified CallManager) с версии продукта 8.0 (дата выхода в свет май 2010г.; на данный момент доступна версия 10.5 от мая 2014г.) стала интегрироваться функция «Безопасность по умолчанию». Что она в себя включает:

  • Аутентификация всех скачиваемых по/с TFTP файлов (конфигурационные файлы, файлы прошивки для телефонов т.д.)
  • Шифрование конфигурационных файлов
  • Проверка сертификата с инициализации телефоном HTTPS соединения

Давайте рассмотрим пример атаки «человека по середине», когда нелегитимное лицо перехватывает конфигурационный файлы для телефонов, из которого телефон узнает на какую станцию ему регистрироваться, на каком протоколе работать, какую прошивку скачивать и т.д. Перехватив файл, злоумышленник сможет вносить в него свои изменения либо полностью затереть файл конфигурации, тем самым не дав телефонам всего офиса (см. рисунок) зарегистрироваться на станции, а, следовательно, лишив офиса возможности совершать звонки.

Читать дальше →