GeoIP: экономим время на настройке шлюза безопасности

Как показывает статистика, порядка 60% рабочего времени системных администраторов и специалистов по ИБ обычно уходит на настройку железа и софта, остальное — на устранение неисправностей, последствий инцидентов и другие текущие задачи. Поэтому любое средство, призванное облегчить конфигурирование и администрирование оборудования, всегда вызывает интерес. Один из таких инструментов, внедренных в универсальный шлюз безопасности (UTM) Traffic Inspector Next Generation, называется GeoIP. О его устройстве и принципах работы, а также о том, зачем он вообще нужен, мы сегодня и поговорим.

Уроки географии

В процессе настройки правил брандмауэра или системы контроля доступа к интернету администратор обычно оперирует группами (или списками) IP-адресов.  Такие группы могут формироваться исходя из различных принципов: например, по тематической направленности сайтов (обычно подобные списки составляются вручную или предоставляются публичными сервисами), по рейтинговой системе — исходя из отзывов пользователей, или по географическому признаку. Рассмотрим последний случай чуть более подробно.

Определить местоположение IP-адреса можно различными способами. Чаще всего для этого используется база данных RIPE или сервисы WHOIS, предоставляющие информацию из нескольких источников.

Актуальность данных в рамках этой технологии поддерживается за счет использования двойного кеширования. Первый уровень кеша располагается на сервере GeoIP, и обновляется раз в сутки, либо при любых изменениях в базе данных IP-адресов. Второй уровень кеша хранится на стороне клиента на устройстве TING и обновляется каждые 2 часа.

Списки IP-адресов формируются хранятся на шлюзе безопасности в формате Classless Inter-Domain Routing (CIDR), что позволяет использовать их в целях фильтрации трафика. Как известно, нотация CIDR представляет собой компактное представление IP-адреса и связанной с ним сетевой маски, и включает сам IP-адрес, символ косой черты и десятичное число, определяющее сетевую маску. Число также можно рассматривать как ширину (в битах) сетевого префикса. Такой адрес может обозначать конкретный адрес интерфейса (включая идентификатор хоста, например, 192.168.0.1/8), или представлять собой начальный адрес сети. Нотация CIDR может использоваться даже без IP-адреса, например, при ссылке на /24 как на общее описание сети IPv4, которая имеет 24-битный префикс и 8-битные номера хостов.

Практическое применение

Использовать полученные с сервера GeoIP данные можно несколькими способами. Самый очевидный из них — применять географические алиасы в правилах брандмауэра вместо списков IP-адресов. В целом конкретные варианты использования GeoIP ограничены, пожалуй, исключительно фантазией администратора TING. Технология найдет свое применение везде, где необходимо формировать правила на основе списков IP, объединенных по географическому признаку. А таких случаев в практике применения шлюза безопасности может быть очень много.