Киберполиция Украины опубликовала доходчивое руководство для провайдеров о том как блокировать доступ к определённым вебресурсам.
-- начало цитаты --
Департамент киберполиции Национальной полиции Украины рекомендует осуществлять указанные действия используя следующие методы / способы:
a) блокировка по IP-адресам;
b) блокировки с помощью DNS;
c) блокировка сайтов по URL;
Обращаем внимание на то, что наиболее эффективным методом из данного перечня является метод блокировки по IP-адресам.
Для внедрения каждого из этих методов приводим примеры настройки оборудования, не требующие финансовых затрат и приобретение дополнительной техники.
а) Блокировка по IP-адресам:
1. Перечень IP-адрес для блокировки можно получить с помощью использования команд ping или dig в перечень ссылок (веб-адрес ресурсов / сервисов) указанных в приложении 2 к Указу.
Пример команды ping
C: \ Users \ User> ping yandex.ru
pinging yandex.ru [77.88.55.88] with 32 bytes of data:
Reply from 77.88.55.88: bytes = 32 time = 35ms TTL = 54
Reply from 77.88.55.88: bytes = 32 time = 21ms TTL = 54
Reply from 77.88.55.88: bytes = 32 time = 23ms TTL = 54
Reply from 77.88.55.88: bytes = 32 time = 24ms TTL = 54Пример команды dig (Linux)
root @ user: / $ dig + short yandex.ru
root @ user: / $ 77.88.55.88Таким образом получено ip-адрес 77.88.55.88 ресурса yandex.ru.
Создайте отдельный документ с перечнем этих ip-адресов.
Ир-адреса необходимы для проведения блокировки, рекомендуем определять раз в сутки.
2. После получения списка ip-адресов, рекомендуем настроить оборудование следующим образом:
2.1. Для Junos (серии продуктов Juniper, коммутаторы, маршрутизаторы - MX, EX, SRX ...):
Создаем префикс письмо blacklist-ip со списком заблокированных IP
root @ MX80 # set policy-options prefix-list blacklist-ip 52.58.187.69/32
root @ MX80 # set policy-options prefix-list blacklist-ip 93.158.134.154/32
root @ MX80 # set policy-options prefix-list blacklist-ip 87.250.251.178/32.... так же добавляем все ир адреса из полученного перечня.
2.1.1. Создаем правило firewall (term в понимании Juniper)
root @ MX80 # set firewall family inet filter blacklist-ip-drop interface-specific
root @ MX80 # set firewall family inet filter blacklist-ip-drop term drop from destination-prefix-list blacklist-ip
root @ MX80 # set firewall family inet filter blacklist-ip-drop term drop then discard
root @ MX80 # set firewall family inet filter blacklist-ip-drop term other then accept2.1.2. Применяем фильтр blacklist-ip-drop к uplink-интерфейса или downlink-интерфейса или на все интерфейсы.
root @ MX80 # set interfaces xe-0/0/0 unit 1111 family inet filter output blacklist-ip-drop2.1.3. Применяем новый файл конфигурации командой commit
root @ MX80 # commit2.1.4. Если команда commit исполнилась без ошибок, проверяем доступность веб-адресов ресурсов / сервисов указанных в приложении 2 к Указу.
C: \ Users \ User> ping yandex.ru
pinging yandex.ru [77.88.55.88] with 32 bytes of data:
Request timed out.Напоминаем о том, что, если на вашем оборудовании уже используется фильтр для блокировки портов или IP-адресов, то необходимо к нему добавить созданный term drop в его начало, потому что term обрабатывается сверху донизу, и обязательно должен заканчиваться правилом accept. По умолчанию выполняется политика для трафика DROP.
На коммутаторах серии ЕХ эти команды нужно применять только для интерфейсов в режиме L3.
2.2. Для маршрутизаторов Mikrotik
2.2.1. Создаем address-list со списком ip-адресов, нужно блокировать:
[ Admin @ super-router]> ip firewall address-list add dynamic = no list = blacklist-ip address = 87.250.251.41
[ Admin @ super-router]> ip firewall address-list add dynamic = no list = blacklist-ip address = 93.158.134.154
[ Admin @ super-router]> ip firewall address-list add dynamic = no list = blacklist-ip address = 87.250.251.178.... так же добавляем все ip-адреса из полученного перечня.
2.2.2. Создаем правило фильтра для блокировки по данным, содержащимся в address-list
[ Admin @ super-router]> ip firewall filter add chain = forward dst-address-list = blacklist-ip action = drop place-before = 0Фильтр добавляется первым в цепи правил firewall, после проверки недоступности заблокированного ресурса, в поле счетчика пакетов по этим будет накапливаться статистика заблокированных пакетов если правило активно и работает.
2.2.3. Проверяем доступность веб-адресов ресурсов / сервисов указанных в приложении 2 к Указу.
C: \ Users \ User> ping yandex.ru
pinging yandex.ru [77.88.55.88] with 32 bytes of data:
Request timed out.2.3. Для маршрутизаторов, работающих на базе OS Linux
2.3.1. Создаем ipset list со списком ip-адресов, нужно блокировать
root @ super-router: / # ipset -N blacklist-ip iphash
root @ super-router: / # ipset -A blacklist-ip 213.180.204.125
root @ super-router: / # ipset -A blacklist-ip 87.250.251.12
root @ super-router: / # ipset -A blacklist-ip 77.88.55.88.... так же добавляем все ир адреса из полученного перечня.
2.3.2. Создаем правило фильтра для блокировки
root @ super-router: / # iptables -m set -I FORWARD -i vlan1111 --match-set blacklist-ip dst -j DROPПриведенный пример блокировки применено на интерфейсе vlan1111.
Можно изменить это правило для блокировки по всем интерфейсами:
root @ super-router: / # iptables -m set -I FORWARD --match-set blacklist-ip dst -j DROPФильтр добавляется первым в цепи правил firewall.
2.3.3. Проверяем доступность веб-адресов ресурсов / сервисов указанных в приложении 2 к Указу.
C: \ Users \ User> ping yandex.ru
pinging yandex.ru [77.88.55.88] with 32 bytes of data:
Request timed out.2.4. Для маршрутизаторов CISCO
2.4.1. Создаем access-list по номеру 101 (номер указан для примера) со списком ip-адресов, нужно блокировать
Cisco-6500 (config) # access-list 101 deny ip any host 52.58.187.69/32
Cisco-6500 (config) # access-list 101 deny ip any host 93.158.134.154/32
Cisco-6500 (config) # access-list 101 deny ip any host 87.250.251.178/32.... так же добавляем все ир адреса из полученного перечня.
2.4.2. В конце access-list добавляем правило, позволяющее проходить другом трафика.
Cisco-6500 (config) # access-list 101 permit ip any any2.4.3. Применяем фильтр access-list 101 до uplink-интерфейса или downlink-интерфейса или на все интерфейсы
Cisco-6500 (config-if) # interface FastEthernet0 / 24
Cisco-6500 (config-if) # ip access-group 101 out
Cisco-6500 (config-if) # exit2.4.4. Применяем новый файл конфигурации командой write
Cisco-6500 (config) # write2.4.5. Если команда write выполнилась без ошибок, проверяем доступность веб-адресов ресурсов / сервисов указанных в приложении 2 к Указу.
C: \ Users \ User> ping yandex.ru
pinging yandex.ru [77.88.55.88] with 32 bytes of data:
Request timed out.b) конфигурирования DNS-сервера на базе Unix-подобных OS (на примере Bind - открытой и распространенной реализации DNS-сервера, что обеспечивает выполнение преобразования DNS-имени в IP-адрес).
1. Пересмотреть содержание файла /etc/bind/named.conf и убедиться, что существует запись "include" /etc/bind/named.conf.local ",", если нет - добавить его.
2. Редактирование файла /etc/bind/named.conf.local, к которому прилагаются записи о зонах доменных имен, которые необходимо блокировать.
пример:
zone "vk.com" {
type master;
file "/etc/bind/db.block.rf";
};
zone "ok.ru" {
type master;
file "/etc/bind/db.block.rf";
};
zone "odnoklassniki.ru" {
type master;
file "/etc/bind/db.block.rf";
};
zone "mail.ru" {
type master;
file "/etc/bind/db.block.rf";
};... и т.д. (в соответствии с Приложением 2 Указа Президента Украины № 133/2017 от 15.05.2017)
3. Создать файл /etc/bind/db.block.rf с последующим содержанием
$ TTL 24h
@ IN SOA ns.yourdomain.com.
hostmaster.yourdomain.com. (
2003052800 86400 300 604800 3600)
@ IN NS server.yourdomain.com.
@ IN A 127.0.0.1с) Блокировка сайтов по ссылке (URL)
Реализовать указанную технологию блокировки ресурсов / сервисов возможно в виде прозрачного прокси-сервера:
Процесс блокировки сайтов по ссылке в общем виде будет выглядеть следующим образом:
- согласно приложению 2 Указа Президента Украины № 133/2017 от 15.05.2017, определяется список ссылок на ресурсе / сервисы, которые необходимо заблокировать;
- ссылки добавляются в блокирующий прокси-сервер;
- запросы пользователей к сайту из перечня перенаправляются на фильтрующий прокси-сервер;
- прокси-сервер делает проверку на совпадение адреса с имеющимися образцами;
- в случае установления прямого совпадения, соединение прерывается (или направляется на страницу с предупреждением, или просто разъединяется)
- если запрос не совпадает с заблокированным URL, соединение будет продолжено.
2. Общие рекомендации для предприятий, учреждений и организаций всех форм собственности.
Установлено, что в настоящее время сети Интернет распространяются сведения о работе украинскими пользователями специализированных браузеров, с целью преодоления ограничений доступа к определенным ресурсам. Среди таких браузеров особенно активно (агрессивно) рекламируется «FreeU».
Специалистами Департамента было проведено исследование определенного программного продукта.
Среди применяемых методов исследования, с целью максимальной объективности и беспристрастности исследования, для динамического анализа использовался ресурс «Circl DMA» ( https://www.circl.lu ).
По результатам анализа установлено:
- уровень опасности максимальный (10 из 10)
- применяет многократные вызовы API с целью осложнения выявления фактов угрозы;
- интегрируется в автозапуска;
- создает скрытые системные файлы;
- модифицирует сетевые настройки (параметры прокси)
- вносит изменения в систем антивирусной защиты и отключает ее,
- имеется подозрительная бинарная активность.
Исходя из вышеизложенного, Департамент киберполиции рекомендует:
- на уровне организации запретить использование браузера «FreeU»;
- объяснить сотрудникам, что использование этого и подобных программных продуктов (например «Yandex browser with protect» для смартфонов, работающих на базе OS Android) приведет к компрометации данных предприятия, а также персональных данных сотрудников;
- в случае выявления факта установления - по возможности, штатными средствами, восстановить состояние операционной системы до момента установления таких программ, а в случае неудачи - переустановить операционную систему.
-- конец цитаты --
>>> Архивная копия #1
>>> Архивная копия #2
Что скажете?
