Цифровая крепость для гос. компании в Саратове

Представьте себе ситуацию: вы приходите на работу, наливаете кофе, включаете компьютер, а ваша сеть напоминает проходной двор в спальном районе. Кто-то качает терабайты котиков, чьи-то компьютеры втихаря майнят крипту для дяди Ляо, а важные данные медленно, но верно утекают наружу, как вода из дырявого ведра. Звучит как кошмар сисадмина? А для одной государственной компании это была суровая реальность.

К нам обратились с классической задачей: «Сделайте так, чтобы всё работало, никто не хулиганил, а хакеры плакали от бессилия». И всё это — в рамках государственного бюджета, который, как известно, не резиновый. Мы приняли вызов и решили построить настоящую цифровую крепость, используя мощный, бесплатный и суровый инструмент — pfSense (на базе FreeBSD, потому что мы любим надежность и демонов).

Строим стены и ров с крокодилами

Для начала мы решили взять под контроль выход в интернет. Чтобы сотрудники не скучали на подозрительных сайтах и не приносили в сеть «цифровой триппер», мы поставили строгих охранников — прозрачный прокси-сервер Squid и его верного цепного пса SquidGuard. Они сверяют каждый HTTP/HTTPS запрос с блэклистами и заботливо проверяют скачиваемые файлы антивирусом ClamAV. А чтобы руководство могло видеть, кто сколько трафика потратил на работу (или на чтение новостей), мы добавили LightSquid — красивую и наглядную статистику, где сразу видно главного «качальщика» офиса.

Но защищать нужно не только изнутри, но и снаружи. Интернет полон ботнетов, желающих постучаться в открытые порты. Для защиты внешнего периметра мы развернули pfBlockerNG. Это как фейс-контроль в элитном клубе: он блокирует подозрительные IP-адреса, отсеивает рекламу через DNSBL, защищает от сканеров портов и пресекает доступ к известным малварным ресурсам.

В паре с ним работает Suricata — система обнаружения и предотвращения вторжений (IDS/IPS). Мы настроили ей кастомные правила, и теперь она анализирует каждый пакет, бьет по рукам любого, кто пытается пролезть в сеть нестандартными путями, и заодно блокирует попытки зараженных машин связаться со своими Command & Control серверами.

Безопасный тоннель домой и DNSCrypt

Для сотрудников, работающих удаленно, мы организовали безопасные каналы связи. Подняли классический, проверенный временем OpenVPN-сервер и добавили современный, быстрый WireGuard для тех, кто любит скорости повыше. Теперь они могут безопасно подключаться к рабочей сети из любой точки мира, хоть с пляжа на Бали (главное, чтобы начальник не узнал по геолокации).

Чтобы DNS-запросы (это как адресная книга интернета) не перехватили ушлые провайдеры или злоумышленники, мы настроили локальный резолвер Unbound с шифрованием DNS over TLS. А для полного понимания того, что происходит в сети (L7-анализ), развернули ntopng. Этот инструмент раскладывает трафик по полочкам и протоколам. Теперь ни один торрент-клиент не проскочит незамеченным!

Главный босс: асинхронная маршрутизация

Конечно, не обошлось без сложностей. Самой эпичной задачей оказалось решить проблему с асинхронной маршрутизацией. Внутренняя VPN-сеть организации была настроена хитро: пакеты уходили через сторонний шлюз прямо в ядро сети, минуя наш новый pfSense, а возвращались уже через него.

Фаервол pfSense, будучи парнем строгим и работающим по принципу Stateful Inspection, видел входящие пакеты без установленной сессии и резонно отправлял их в drop, бормоча про себя: «Вас здесь не стояло!». Пришлось немного поколдовать с правилами маршрутизации, статическими маршрутами и настройками State Policy (да, мы умеем обходить даже паранойю pfSense, когда это нужно для дела). Это было похоже на распутывание новогодней гирлянды, но мы заставили трафик ходить правильными и безопасными путями.

А в качестве вишенки на торте мы добавили Arpwatch. Эта утилита следит за ARP-таблицей и тем, какие MAC-адреса появляются в сети. Если кто-то попытается подключить «левый» ноутбук или подменить IP-адрес шлюза, мы об этом сразу узнаем по тревожному письму на почту.

Итоги: чистая сеть и спокойный сон

Что мы получили в итоге?

• Мы выявили и обезвредили зараженные устройства в сети заказчика (парочка серверов радостно майнила крипту и стучалась на ботнет-сервера).

• Заблокировали внешний доступ хакерам и автоматическим сканерам.

• Обеспечили прозрачное и безопасное проксирование к внешним ресурсам.

И самое главное — мы сделали это на базе Open-Source решений, без покупки дорогущих корпоративных лицензий (привет, Cisco и CheckPoint!), сэкономив заказчику внушительную сумму, которую можно потратить на премии сотрудникам (или на новый сервер).

Если ваша сеть тоже напоминает дикий запад, а бюджет не позволяет разбрасываться деньгами на энтерпрайз-коробки — обращайтесь к нам! Мы знаем, как из бесплатных компонентов собрать надежную защиту и заставить вашу инфраструктуру работать как швейцарские часы.