Симптомы

• В версиях 6.1.х были отдельные правила СОВ, которые применялись как на правила FW (межсетевого экрана, МСЭ), так и на правила NAT, DNAT, Port-forwarding, PBR.
• В верcии 7 профиль СОВ применяется к правилу МСЭ. Как теперь отрабатывает СОВ для правил DNAT?
• Как защитить публикуемые через DNAT ресурсы от внешних угроз?

Решение

На текущий момент работа СОВ (IDPS, IDS, IPS) для публикуемых сервисов происходит следующим образом:

DNAT:

• Входящий трафик на публикуемый ресурс попадает в СОВ с зонами Untrusted -> Trusted, но в качестве адреса назначения используется серый адрес: если вы публикуете адрес 10.10.10.1, то адрес назначения входящего трафика для СОВ - 10.10.10.1, нужно учитывать это в соответствующем правил МСЭ.
• СОВ анализирует трафик в обе стороны, то есть если профиль в правиле МСЭ Trusted -> Untrusted, то сработки будут детектироваться как для Trusted -> Untrusted, так и для Untrusted->Trusted.

Отметим, что даже при срабатывании СОВ, правило DNAT будет фиксироваться в журнале трафика, если установлено соединение. Это не указывает на проблему в работе СОВ.

Например, сигнатура производит блокировку по заголовку User-Agent http-запроса. Тогда это работает следующим образом:

• Cначала с публикуемым сервером устанавливается соединение (SYN, SYN-ACK, ACK)
• Из-за установления сессии происходит логирование сработки правила DNAT.
• Затем атакующий отправляет пакет с соответствующим значением UserAgent, этот пакет блокируется UserGate и не доходит до публикуемого сервера. Регистрируется сработка СОВ.

Вы можете проверить срабатывание СОВ при помощи тестовой сигнатуры BlackSun:

1) Вам необходимо правило FW, настроенное на зонах Untrusted -> Trusted, с профилем СОВ, содержащим эту сигнатуру.

2) Если сервер поддерживает обращение по http, то срабатывание можно вызвать при помощи утилиты curl:

curl -A BlackSun -Lkv http://<dnat_ip>

3) Если сервер поддерживает только https, то срабатывания можно вызвать через nc:

echo blacksun > blacksun.txt && cat blacksun.txt | nc <dnat_ip> 443

4) Сработки может не быть, если ваш публикуемый сервер не позволяет установить соединение, т.е. отбрасывает SYN-пакет от атакующей машины. Обычно это происходит при использовании Windows-серверов.

Reverse-proxy:

К сожалению, на данный момент имеются проблемы с передачей трафика в модуль СОВ при работе reverse-proxy и сервера в режиме https. Проблема решается в рамках задачи SUM-8794:

• client (http) -> Reverse-proxy -> server (https); СОВ отработает.
• сlient (https) -> Reverse-proxy -> server (http); СОВ отработает.
• client (https) -> Reverse-proxy -> server (https); СОВ не отработает.

Веб-портал:

• В настоящее время трафик, предназначенный для веб-портала, не попадает в модуль СОВ.

Балансировка нагрузки:

• В настоящее время трафик, попадающий под балансировщик нагрузки, не попадает в модуль СОВ.