|
KUAS - GEO-IP - блокируем IP-диапазоны стран мира и городов России и Украины по базе данных привязки диапазонов IP-адресов |
На чем основана информация.
Для определения принадлежности диапазонов адресов странам мира и городам России и Украины используется база данных, созданная и поддерживаемая проектом IpGeoBase http://blog.ipgeobase.ru/ . База данных распространяется свободно, обновляется ежедневно.
База данных состоит из двух файлов, один из которых включает в себя перечень диапазонов IP-адресов, присвоенных странам мира RIPE NCC с указанием (если есть) условного кода города, провайдеру которого выделен данный конкретный диапазон адресов. Второй файл представляет собой перечень городов России и Украины, по которым есть сведения о выделении им конкретного диапазона адресов. Коды городов в обоих файлах соответствуют.
Общие принципы работы.
База данных IpGeoBase загружается на локальный веб-сервер обновлений по установленному расписанию при помощи скрипта make_geoip. Пользователь указывает в ini-файлах пакета коды стран (RU, CZ, LT etc) и названия городов, которые надо блокировать. Запускаемый по расписанию скрипт control_geoip на основании указанных для блокировки кодов стран и названий городов скачивает с указанного источника базу данных (им может быть локальный веб-сервер обновлений или любой другой источник) формирует файлы с правилами блокировки. аналогичные используемым в системе IDS Snort в Kerio Control. Пользователь определяет какой файл из принятых в Kerio Control файлов черных списков будет использоваться (предлагается мало нужный в русскоязычной части пользователей файл блокировки Russian Business Network). Запускаемый по расписанию скрипт control_snort присоединяет созданные ранее скриптом control_geoip файлы правил к стандартному набору правил для Snort и создает все файлы правил в формате, принятым в Kerio Control разных версий. Новый набор правил может применяться без перезагрузки службы Kerio Control. Пользователь может указать требуемое действие - оповещение или блокировка - для новых правил и наблюдать результаты в журнале security.
В дополнение к скрипту control_geoip в состав пакета добавлен скрипт convert_geoip, который формирует из скачанной базы данных полный набор правил для Snort и группы URL для НТТР-фильтра Kerio Control для всех стран (241 страна) и городов (943 города России и Украины). Правила формируются в двух вариантах: полный список всех правил (и всех URL) в одном файле и отдельные файлы правил (и групп УРЛ) для каждой страны (города). Пример (сокращенный) результатов работы скрипта convert_geoip можно посмотреть здесь. Скрипт по своему назначению эквивалентен control_geoip, различие состоит в том, что он полностью преобразует архив базы данных GEOIP к формату, принятому в Snort и Kerio Control, а не выбирает отдельные города и страны из базы данных. Результаты работы обоих скриптов по формату идентичны и одинаково могут использоваться в control_snort без каких-либо дополнительных действий. Пользователи пакета KUAS могут скачать скриптом make_geoip базу данных GEOIP и преобразовать ее скриптом convert_geoip в набор правил и групп УРЛ для дальнейшего использования. Необходимо иметь ввиду, что процесс преобразования базы данных GEOIP скриптом convert_geoip занимает весьма продолжительное время - от 10 до 36 часов, поэтому подписчикам пакета KUAS предлагается для скачивания уже преобразованный - готовый к применению набор, включающий в себя как файлы правил для Snort и групп УРЛ для Kerio Control, так и подготовленные справочники с правилами и параметры базы данных. Архив с этими файлам и скачивается скриптом make_geoip по адресу, указанному подписчикам в файле custom.bat.
Пользователь пакета KUAS может самостоятельно определить какой из скриптов использовать при работе с правилами GEOIP в зависимости от собственных предпочтений и прочих условий. Для скрипта convert_geoip редактирования файлов .ini не требуется, но допускается в сторону сокращения перечня стран и городов.
При выборе предпочтительного для применения скрипта следует иметь ввиду, что скрипт control_geoip мене информативен для вербального восприятия т.к. выполняет основную задачу - подготовку правил и групп УРЛ для Snort и Kerio Control, а скрипт convert_geoip дает больше возможности для предварительного анализа адресов самим пользователем, результаты работы обоих скриптов по формату одинаковы и могут использоваться в дальнейшей работе пакетом KUAS в равной степени.
Установка и настройка.
Скрипты поставляются в составе пакета KUAS, устанавливаются и настраиваются аналогично другим скриптам пакета (инструкцию см. здесь). Для использования локального веб-сервера в качестве источника обновлений базы данных необходимо на сервере создать виртуальный каталог http://<ваш_сервер>/GEOIP с физическим расположением C:\WEB_GEOIP (имя сервера, имя каталога, физический путь указаны в параметрах SETS и могут быть изменены). Для наполнения этого каталога веб-сервера используется скрипт make_geoip, который скачивает с внешнего источника (сервера http://geneg.ru/geoip ) саму базу данных. Использовать или нет локальный веб-сервер определят сам пользователь. Если локальный веб-сервер обновлений не применяется, то скрипт make_geoip не требуется.
Для формирования пользовательских правил блокировки используется скрипт control_geoip, предварительно настроенный на получение базы данных с сервера http://geneg.ru/geoip . Пользователь может указать иное месторасположение файла базы данных, включая собственный локальный веб-сервер. В параметрах SETS пользователь должен указать (если не желает использовать настройки по умолчанию) следующие значения для параметров:
- имя файла правил черных списков для Kerio Control, который будет использован для создаваемых скриптом правил, и действия для правил этого файла. По умолчанию указан файл emerging-rbn.rules и действие "alert" для этого файла (параметр set /A rbn_emer=0 в разделе control_snort). Значение действия в консоли управления Kerio для IDS и в параметрах пакета должно быть одинаковым.
- оставлять или нет в файле правил emerging-rbn.rules созданные производителем правила. Для файла emerging-rbn.rules рекомендуется отказаться от сохранения правил производителя: этот файл содержит ресурсы Рунета, включая Яндекс, МАЙЛ.РУ и проч. сервисы, поэтому в России этот файл обычно не используют, поэтому надо выставить параметр set /A IP_GEO_CLEAR_RBN=0 (по умолчанию он = 1).
- указать осуществлять ли загрузку базы данных GEOIP вместе с правилами Snort из скрипта control_snort (параметр set /A MAKE_SNORT_LOAD_GEOIP=1 - по умолчанию загружать) - сделано для удобства пакетной обработки.
- указать надо ли учитывать правила GEOIP в скрипте control_snort (параметр set /A CONTROL_SNORT_USED_GEOIP=1 - по умолчанию учитывать).
Другие параметры - наименования файлов и проч. - изменять без явной необходимости не рекомендуется.
Указание перечня стран, подлежащих блокировке.
Перечень таких стран создается самим пользователем в файле, указанном в парамере set CONTROL_IP_GEO_BLOCK_COUNTRY=%SC_PATH%\block_country.ini . Вы можете создать свой файл со своим названием и расширением, меняя значение этого параметра для создания соответствующих правил для Kerio.
Страны определяются по имени их доменной зоны - COM, RU, UA, TW и т.д.. В каждой строке должно располагаться одно обозначение страны. Допускается наличие пробелов в конце и комментариев, отделенных пробелом. Например:
UA # братский народ
AU
MD # это Молдавия
Количество стран технически не ограничено, но следует учитывать вопросы быстродействия хоста.
Указание перечня городов России и Украины, подлежащих блокировке.
Перечень таких городов создается самим пользователем в файле, указанном в парамере set CONTROL_IP_GEO_BLOCK_CITY=%SC_PATH%\block_city.ini . Вы можете создать свой файл со своим названием и расширением, меняя значение этого параметра для создания соответствующих правил для Kerio.
В базе данных по городам содержатся три информативных поля, по которым может вестись поиск: названия городов, названия областей (краев) и названия федеральных округов, к которые входят эти области (края). При указании строки поиска необходимо учитывать возможное перекрытие названий городов и областей. Например:
-для поиска адресов всех городов Курской области достаточно указать одно слово:
курск
- для поиска адресов только города Курск необходимо указать через знак табуляции следующее значение:
курск[TAB]курск # вместо [TAB] жмем клавишу табуляции.
- если указать слово "область", то будут выбраны все города, входящие во все области.
- использование подстановочных знаков и распределенная маска не допускается. Нельзя указать такое:
курск область
кур*
курс? ?урс?
- основная цель - выборка конкретного населенного пункта, входящего в конкретную область:
бобров воронеж # будет выбран город Бобров Воронежской области
пермь перм # будет выбран город Пермь Пермского края
пермь пермь # ничего выбрано не будет
перм # будут выбраны все города Пермского края
Количество городов технически не ограничено, но следует учитывать вопросы быстродействия хоста.
Быстродействие скриптов.
Объем базы данных, скачиваемый из сети Интернет, очень невелик и соответственно, вопрос быстродействия для работы скрипта make_geoip не актуален. Иное дело при использовании скрипта control_geoip.
Поскольку скрипт control_geoip является сценарием командной строки, то при обработке базы данных основную часть времени занимают дисковые операции. Быстродействие целиком и полностью зависит от производительности дисковой подсистемы хоста, а не от размера ОЗУ и мощности процессоров. Создание правил для блокировки адресов города Москвы на хосте с бытовыми дисками 7200 и кешем 16 Мб занимает около 4 часов, на высокопроизводительных сетевых хранилищах - около 3 минут.
Пользователь сам опытным путем должен определить реально необходимое количество блокируемых стран и городов, а также целесообразный период повторения расчетов в зависимости от производительности своего хоста и допустимых временных параметров.
Объем создаваемых файлов с правилами относительно стандартных размеров файлов правил в Kerio может значительно отличаться в большую сторону. На производительность Kerio Control объем файлов правил не оказывает никакого негативного воздействия. На основании этого пользователям с недостаточными вычислительными мощностями можно рекомендовать более тщательно относиться в выборке и к частоте производства расчетов.
Реальное обновление базы данных GEOIP составляет от 0 до 10 записей в сутки, поэтому можно смело использовать частоту обновлений правил один раз в неделю или реже. Т.е. периодичность обновлений правил в целом соответствует периодичности обновлений самого Snort.
Особенности расчета диапазонов адресов.
Создатели базы данных не всегда придерживаются принятых стандартов расчета подсетей, потому в работе скрипта вынужденно используются искусственные ограничения: диапазоны адресов, которые не соответствуют общепринятым стандартам обозначения подсетей (а потому не воспринимаются Snort) преобразовываются максимально близкие значения подсетей меньшего объема. Таким образом, возможен пропуск некоторых значений адресов. Для компенсации такого недостатка следует использовать возможности Kerio Control: создать специальную группу адресов и дополнять ее необходимыми диапазонами вручную.
Скрипт control_geoip формирует правила для блокировки TCP- и UDP-протоколов. Протокол ICMP должен блокироваться правилами контроля трафика Kerio Control.
Результаты работы IDS Snort с правилами GEOIP:
полноразмерный вариант - здесь.
Управление правилами GEOIP в консоли администрирования Kerio Control:
полноразмерный вариант - здесь.
Журнал работы скриптов:
- control_snort с учетом правил geoip
Удачи !
