2.4.4 Мониторинг и логирование
Также, для полного соответствия с концепцией нулевого доверия, включим логирование авторизаций пользователей. Для этого на сервере введем команду «sudo nano/etc/freeradius/3.0/radiusd.conf».
Для параметров в log изменим «auth», «auth_badpass», «auth_goodpass» на «yes». Данные параметры включают логирование успешных и неуспешных попыток авторизации. Для просмотра логов необходимо использовать команду «sudo tail -f /var/log/freeradius/3.0/radius.log». На рисунке 31 видно, что логирование происходит успешно.
Рисунок 31 Логирование авторизаций
Из вывода видно, что пользователь был успешно аутентифицирован с помощью RADIUS сервера. Это означает, что «FreeRADIUS» настроен правильно и отвечает на запросы аутентификации.
2.4.5 Настройка межсетевого экрана
Настройка межсетевого экрана в «pfSense» в локальной сети в GNS3 включает несколько шагов: настройку базовых сетевых параметров, создание правил межсетевого экрана (firewall rules) и, возможно, настройку других функций, таких как NAT или VPN.
В зависимости от требований к безопасности, организация может разрешить или запретить определенные порты или IP-адреса. В рамках выпускной квалификационной работы заблокируем сайт «vk.com», далее запретим весь входящий трафик.
Для блокировки сайта воспользуемся «Squid», который является высокопроизводительным кэширующим прокси-сервером для веб-протоколов, таких как HTTP, HTTPS и FTP. Он широко используется для улучшения производительности и безопасности сетей.
Для начала проверим, что сайт работает. Для этого введем в адресную строку браузера «vk.com» на ВМ с ОС Ubuntu (Рисунок 32).
Рисунок 32 Работоспособность сайта
В настройках «pfSense», для Squid Proxy Server включим black list и добавим «vk.com».
Теперь проверим, что сайт был действительно заблокирован, для этого обновим страницу (Рисунок 33).
Рисунок 33 Заблокированный сайт
Теперь заблокируем весь входящий трафик, с помощью настройки брандмауэра. Для этого перейдем по пути «Firewall – Rules – Wan» и создадим новое правило, у которого параметры action – block, protocol – any.
Концепция нулевого доверия подразумевает блокирование всех входящих соединений по умолчанию и создание исключений только для необходимых сервисов. Мониторинг логов помогает убедиться, что правила работают корректно и что нежелательный трафик действительно блокируется.
2.5 Проверка внедренной концепции нулевого доверия
Для проверки настроенной сети с концепцией нулевого доверия – создадим новую локальную сеть, которая будет подключена к виртуальной машине с операционной системой Ubuntu (Рисунок 34).
Рисунок 34 Добавление нового устройства
Проверим, что входящие пакеты блокируются брандмауэром, для этого с внешнего компьютера выполним «ping 192.168.31.81» (Рисунок 35).
Рисунок 35 Блокировка входящего трафика
В результате видно, что логирование есть и созданные нами правила блокируются.
Также воспользуемся «Curl», который сгенерирует HTTP-запрос. Убедимся, что HTTP-запросы также блокируются (Рисунок 36, 37).
Рисунок 36 Блокировка HTTP-запросов
Рисунок 37 Блокировка HTTP-Запросов
Теперь сравним работу сети без брандмауэра. Для этого уберем его из сети и попробуем «пингануть» построенную локальную сеть (Рисунок 38).
Рисунок 38 Проверка локальной сети без брандмауэра
Теперь предположим, что злоумышленник проник в сеть и сумел подключить устройство к локальной сети через маршрутизатор или коммутатор.
Первая проблема, с которой он сталкивается, заключается в том, что невозможно прописать новое устройство в маршрутизаторе без пароля.
Вторая проблема заключается в том, что сеть сегментирована на виртуальные локальные сети (VLAN), а маршрутизаторы настроены с учетом этих VLAN, что обеспечивает безопасность сети. При необходимости также можно создать дополнительные правила в брандмауэре.
Третья проблема – использование метода Access Control List, который представляет собой список разрешений или запретов, определяющий, какие пакеты данных могут проходить через сетевое устройство и каким образом они могут это делать.
Таким образом, любое новое устройство в локальной сети необходимо прописывать в настройках, добавлять в соответствующий VLAN и предоставлять доступ, что требует дополнительных трудозатрат, но полностью защищает сеть.
Благодаря установленному серверу RADIUS, ведется логирование авторизаций и попыток доступа. Кроме того, брандмауэр осуществляет логирование отправленных пакетов и ошибок, что также является важным инструментом для обеспечения безопасности локальной сети.