GeoIP: пограничный контроль на интернет-шлюзе

3364

В 2022 году количество кибератак на российские организации многократно увеличилось, причём в большинстве случаев источником киберударов были системы, расположенные за пределами РФ. Для защиты от таких атак администраторы организаций включили геоблок — разрешили доступ к ресурсам компании только для российских IP-адресов.

В универсальном шлюзе безопасности Traffic Inspector Next Generation (TING) имеется специальный инструмент, с помощью которого можно удобно настроить геоблок — GeoIP. В этой статье мы расскажем о принципах, на которых базируется работа GeoIP, и о том, как с его помощью запретить доступ к сети компании из других стран.

 

Кто распределяет IP-адреса

Получить сведения о местоположении IP-адреса можно из базы данных сетевого координационного центра RIPE NCC. Это независимая некоммерческая организация, оказывающая поддержку инфраструктуре Интернета.

Основные функции RIPE NCС:

  • Надежное и стабильное распределение адресных ресурсов интернета (адреса IPv4, IPv6 и номера Автономных Систем (Autonomous System, AS));
  • Администрирование Реестра адресных ресурсов Интернета;
  • Обеспечение открытого доступа к регистрационной информации;
  • Управление сервером K-root (одним из 13 серверов корневой зоны DNS);
  • Другие технические и координационные услуги для интернет-сообщества, сетевых операторов и сервис провайдеров.

В базе данных RIPE NCC имеются сведения об IP-сетях и организациях, к которым эти сети относятся. Она используется не только для получения сведений о географическом местоположении сетей, но и в для создания политик маршрутизации сетевыми операторами (RIPE IRR).

Важный компонент базы RIPE NCC — автономные системы (AS). Это группы IP-сетей и роутеров, которые используют единую политику BGP-маршрутизации. Каждой сети, относящейся к локальному провайдеру, присваивается уникальный идентификатор ASN — Autonomous System Number, номер автономной системы. Каждый владелец автономной системы отвечает за маршрутизацию внутри своего сегмента сети. Номера AS выделяются организацией под названием Internet Assigned Numbers Authority (IANA), которая также выделяет IP-адреса региональным интернет-регистраторам.

Базы ASN помимо прочего содержат сведения о географическом положении той или иной IP-сети. Одна из таких баз расположена на сайте IANA. Также имеются локальные базы, которые поддерживают региональные интернет-регистраторы. Существуют и агрегаторы, предоставляющие доступ к своим базам, иногда — на платной основе.

К сожалению, определение географической привязки IP-адреса по базам ASN и RIPE не отличается высокой точностью, поскольку актуальность этих сведений зависит от аккуратности ответственных сотрудников в RIPE и аналогичных организациях в Азии, Америке, Африке (ARIN, APNIC, LACNIC, AfriNIC). Иногда сами владельцы IP-адресов или AS отправляют уточнение по местоположению их сетей непосредственно агрегаторам, но это происходит далеко не всегда.
В результате базы могут содержать недостоверные данные.

Например, для IP-адреса 77.91.73.1 база RIPE сообщает, что он — британский, один из сервисов ASN с этим полностью согласен, а вот другой считает, что указанный адрес расположен в Нидерландах. Большинство агрегаторов выдает в качестве географической привязки DE/Frankfurt, некоторые — PL/Wloclawek, другие — RU/Moscow (или даже Красноярск). На самом же деле устройство с этим IP-адресом находится в Германии.

Решить эту проблему помогает инструмент GeoIP в составе Traffic Inspector Next Generation.

 

Как работает GeoIP

Вместо конкретного списка IP-адресов, сгруппированных по различным признакам, администратор TING может использовать алиас, обозначающий некий географический регион, например «RU», «GB» или «US». Шлюз безопасности TING отправляет запрос на специальный сервер GeoIP и получает ответ в виде JSON-данных, содержащих массив IP-адресов сетей соответствующей страны или группы стран. TING сохраняет этот список IP-адресов в качестве правила. В дальнейшем это может быть использовано при изменении настроек.

Скриншот интерфейса Traffic Inspector Next Generation - настройка GeoIP

Поддерживать актуальность данных для GeoIP помогает двойное кеширование:

  • первый уровень кеша располагается на сервере GeoIP, и обновляется раз в сутки, либо при любых изменениях в базе данных IP-адресов;
  • второй уровень кеша хранится на стороне клиента на устройстве TING и обновляется каждые 2 часа.

Списки IP-адресов хранятся на шлюзе безопасности в формате Classless Inter-Domain Routing (CIDR). Нотация CIDR представляет собой компактное представление IP-адреса и связанной с ним сетевой маски и выглядит следующим образом:

192.168.10.0/20

Здесь ip-адрес представляет собой номер сети, а цифра после косой черты — длину маски подсети в битах. В примере выше маска подсети содержит 20 бит. Это значит, что в ip-адресе сеть занимает 20 бит, а номер хоста — 12 бит. Другими словами, запись /20 соответствует маске подсети 255.255.240.0.

 

Заключение

Технология GeoIP позволяет администраторам UTM-шлюзов Traffic Inspector Next Generation использовать в правилах межсетевого экрана удобные географические алиасы вместо громоздких списков IP-адресов. Это не только экономит время при создании правил, но и позволяет не отслеживать обновление списка IP-адресов для какого-либо региона. Благодаря двойному кэшированию списки обновляются автоматически и всегда находятся в актуальном состоянии.




Traffic Inspector Next Generation


Протестируйте бесплатно

Попробовать




Назад
Далее
Рекомендуем почитать Смотреть все

Traffic Inspector Next Generation для СМБ: история внедрения в компании AVTOS

Теги: Traffic Inspector Next Generation, малый бизнес, история внедрения

Как эффективно ликвидировать последствия информационной утечки

Теги: Информационная безопасность бизнеса, Утечки данных, Кибербезопасность

Принципы работы протокола DHCP

Теги: DHCP, Traffic Inspector Next Generation, TCP/IP

Попробуйте бесплатно в течение 30 дней

Traffic Inspector Next Generation подойдет и вашему бизнесу вне зависимости от его размеров. Убедитесь!
Меню навигации
Бесплатный звонок по России 8 800 511-05-81
Сообщение отправлено
Спасибо за заявку! Мы свяжемся с вами в ближайшее время.
ОК
БЕСПЛАТНОЕ ТЕСТИРОВАНИЕ
TRAFFIC INSPECTOR NEXT GENERATION
Вы получите
полнофункциональный комплекс, сможете изучить удобный интерфейс и попробовать все средства защиты, такие как:
Файрвол
Антивирус
Фильтрация трафика
IDS/IPS
и многое другое.
Тестовое оборудование всегда есть на складе и мы предоставим его в кратчайшие сроки. Детали расскажет наш специалист — просто оставьте заявку!
БЕСПЛАТНОЕ ТЕСТИРОВАНИЕ
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите устройство
S100-DE
S100-NP
S100 FSTEC-NP
S300-AQ
S300 FSTEC-AQ
S500-DE
M700-AQ
M700 FSTEC-AQ
M1000-DE
L1000+-DE
L1500+-AQ
L1500 FSTEC-AQ
Горизонтальный кластер
Light
Программное обеспечение
ФСТЭК
Укажите количество
Стоимость будет рассчитана специально для вас
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ модуля! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите модули
Traffic Inspector Next Generation Anti-Virus powered by Kaspersky
NetPolice для Traffic Inspector Next Generation
MULTIFACTOR для Traffic Inspector Next Generation
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваше обращение! Менеджер свяжется с вами в ближайшее время.
ОК
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваш вопрос! Менеджер свяжется с вами в ближайшее время.
ОК
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Добро пожаловать в программу White Label! Мы свяжемся с вами в ближайшее время.
ОК
WHITE LABEL
партнерская программа
WHITE LABEL
партнерская программа