Сетевая безопасность

Порты Заблокированные порты

Чтобы обезопасить инфраструктуру Selectel от вредоносной сетевой активности, мы ограничиваем доступ к некоторым TCP/UDP-портам. На пограничных маршрутизаторах на границе интернет-сети Selectel блокируется входящий и исходящий трафик. Для 25 TCP-порта действует исключение — блокируется только исходящий трафик, чтобы ограничить рассылку потенциально вредоносной почты. Список заблокированных портов можно посмотреть в инструкции Заблокированные порты.

Порты, которые чаще всего открываются

22/TCP (SSH)	Часто подвергается атакам с целью подбора пароля для подключения к серверу
3389/TCP (RDP)	Часто подвергается атакам из-за слабых паролей и системных уязвимостей
5900/TCP (VNC)	Часто подвергается атакам из-за слабых паролей
80/TCP (HTTP)	Из-за передачи данных без шифрования данные легко перехватываются. Часто подвергается атакам на веб-приложения, например с использованием XSS или SQL-инъекций
443/TCP (HTTPS)	Несмотря на шифрование данных, возможны уязвимости в SSL/TLS, которые могут привести к перехвату данных злоумышленниками. Часто подвергается атакам на веб-приложения, например атаки с использованием XSS или SQL-инъекций
21/TCP (FTP)	Из-за передачи данных без шифрования данные легко перехватываются
23/TCP (Telnet)	Из-за передачи данных без шифрования данные легко перехватываются
445/TCP (SMB)	Используется злоумышленниками для распространения вредоносного ПО
3306/TCP (MySQL)	Открытый доступ к MySQL может привести к утечке данных
5432/TCP (PostgreSQL)	Открытый доступ к PostgreSQL может привести к утечке данных

Межсетевое экранирование Базовая защита сети

Чтобы защитить систему, ограничивайте входящий и исходящий трафик. Определите перечень необходимых сетевых служб и для каждого из своих серверов разрешите подключения только к сетевым портам, которые связаны с этими службами. При необходимости ограничивайте адрес источника подключения. Все подключения, которые явно не разрешены, должны быть заблокированы.

Сетевую безопасность для приватных подсетей и публичных IP-адресов можно обеспечить с помощью:

облачного файрвола — stateful-файрвол для облачных серверов. С ним можно работать в панели управления, с помощью OpenStack CLI или Terraform;
базового файрвола — stateless-файрвол для выделенных серверов. С ним можно работать только в панели управления.

Группы безопасности в облачной платформе

С помощью групп безопасности вы можете настроить правила фильтрации всего трафика, который проходит через порт облачного сервера.

Продвинутая защита

Межсетевые экраны поколения NGFW (Next Generation Firewall) анализируют трафик для защиты сетевого периметра и имеют следующие возможности:

IPS/IDS — система обнаружения и предотвращения вторжений;
прокси — режим, который позволяет управлять доступом пользователей в интернет из корпоративной сети согласно ролевой модели прав доступа;
реверс-прокси — режим, который позволяет безопасно публиковать внутренние ресурсы компании в интернет.

Selectel предоставляет программные и аппаратные МСЭ, в том числе сертифицированные ФСТЭК. Например, межсетевой экран UserGate имеет сертификат ФСТЭК. Сертифицированные межсетевые экраны имеют дополнительные опции, например L7-фильтрацию — это глубокий анализ трафика на уровне L7 сетевой модели OSI, который включает контроль приложений, расшифровку SSL, фильтрацию URL и др. Данные опции предоставляются в виде подписок дополнительно к основной лицензии.

В базовую функциональность межсетевых экранов входит VPN (Virtual Private Network) двух видов:

site-to-site VPN — позволяет организовать туннель между офисами и филиалами одной компании или до сети партнеров для безопасного обмена данными;
client-to-site VPN — позволяет организовать безопасный удаленный доступ через интернет к корпоративным сервисам и данным.

Сервис ГОСТ-VPN

Вы можете организовать защищенный канал с вашей сетью или с сетью вашего партнера при помощи сервиса ГОСТ-VPN. Шифрование канала осуществляется с использованием ГОСТ-алгоритмов. Мы настроим сертифицированный аппаратный криптошлюз ViPNet Coordinator на стороне инфраструктуры в Selectel и возьмем на себя его администрирование. Важным условием является наличие ViPNet-сети на стороне вашей инфраструктуры или инфраструктуры вашего партнера.

Обнаружение и предотвращение сетевых атак (IPS)

Для обнаружения и предотвращения сетевых атак рекомендуем использовать специализированные решения — Intrusion Prevention System (IPS).

Модуль IPS представлен в межсетевых экранах:

Selectel;
UserGate.

Среди бесплатных инструментов, выполняющих функции IPS, наиболее популярные и функциональные:

В качестве системы обнаружения вторжений уровня хоста (Host-based Intrusion Detection System — HIDS) рекомендуем использовать Wazuh.

Защита сети на уровне сервера

Вы также можете защитить сетевые подключения на уровне конкретного сервера. На серверах с OC Linux рекомендуем использовать:

Secret Net LSP и Secret Net Studio — сертифицированные ФСТЭК средства защиты для операционных систем Linux и Windows, которые защищают виртуальные и физические серверы от несанкционированного доступа и сетевых атак на хост;
Uncomplicated Firewall (UFW) — инструмент для настройки файрвола. Разработан для дистрибутива Ubuntu, но доступен и для других дистрибутивов, например Debian;
firewalld — система управления файрволом, которая по умолчанию установлена в дистрибутивах, основанных на Red Hat Enterprise Linux, например Fedora, CentOS, Alma Linux, Rocky Linux и Oracle Linux. Подробнее о настройке в документации firewalld и примеры настройки в документации Fedora.

При настройке файрвола учитывайте, что некоторые порты, изначально предназначенные для конкретных служб, могут быть использованы злоумышленниками для взлома. Например, 21/TCP (FTP), 22/TCP (SSH), 23/TCP (Telnet) и 3389/TCP (RDP) — опасные, так как часто подвергаются атакам подбора паролей и эксплуатации уязвимостей. Посмотреть полный список таких портов можно в таблице Порты, которые чаще всего открываются.

Сетевой доступ к кластеру облачных баз данных

В облачных базах данных вы можете настроить сетевой доступ к кластеру. Пользователям для работы доступен только сам кластер — доступа к нодам кластера нет, так как они находятся на стороне Selectel. По умолчанию в кластерах с публичной подсетью подключение разрешено для всех адресов при наличии логина и пароля. К кластеру в приватной подсети подключение разрешено из подсети кластера и из тех подсетей, которые объединены с подсетью кластера облачным роутером. Вы можете ограничить список адресов, с которых будет разрешен доступ в кластер баз данных. Подробнее в инструкциях PostgreSQL, PostgreSQL для 1C, PostgreSQL TimescaleDB, MySQL semi-sync, MySQL sync, Redis и Kafka.

Защита от DDoS

Selectel предоставляет базовую бесплатную защиту инфраструктуры от DDoS-атак на сетевом и транспортном уровнях (L3-L4) — подробнее в инструкции Защита Selectel. Информацию о заблокированных атаках, сетевых блокировках и заблокированных IP-адресах можно посмотреть в панели управления в меню Продукты → Сетевые инциденты. Подробнее об информации, которую можно отслеживать, в разделе Сетевые инциденты.

Также доступны решения от наших партнеров, которые реализуют продвинутую защиту от DDoS-атак на уровнях L3-L4 и L7:

Защита веб-приложений

Для защиты веб-приложений на прикладном уровне (L7) рекомендуем использовать специализированные решения — Web Application Firewall (WAF).

Selectel предоставляет несколько решений для защиты веб-приложений средствами WAF:

партнерское решение Curator;
партнерское решение StormWall;
сертифицированный SolidWall WAF Professional — предостоставляем в виде лицензии, администрирование клиент осуществляет самостоятельно.

Среди бесплатных инструментов, выполняющих функции WAF, наиболее популярные и функциональные:

CrowdSec;
open-appsec.