• 1

Новини

  • Стандартно
  • По назві
  • По даті
  • Довільно
Ще новини SHIFT-усі новини load all

Кіберполіція допоможе Інтернет провайдерам у блокуванні заборонених веб-ресурсів

Департамент кіберполіції Національної поліції України надав практичні рекомендації українським Інтернет-провайдерам, як заблокувати доступ до веб-ресурсів (які на даний час є забороненими у використанні на території України) без закупівлі спеціального технічного обладнання.

Департаментом кіберполіції Національної поліції України, з метою забезпечення виконання Указу Президента України, розроблено ряд рекомендацій для підприємств, установ та організацій усіх форм власності.

Так, працівники Департаменту кіберполіції зазначають такі методи блокування, як блокування за IР-адресами, за допомогою DNS та по URL. Найбільш ефективним методом серед них працівники поліції виділяють саме блокування ресурсів за допомогою блокування IР-адреси. Більше того, налаштування обладнання за такими рекомендаціями не потребує додаткових фінансових затрат та придбання техніки.

Кіберполіція звертає увагу користувачів, що останнім часом у мережі, з використанням прийомів агресивного маркетингу, швидко розповсюджуються спеціалізовані браузери. Вони, під легендою надання можливості здолати обмеження доступу до заблокованих ресурсів, насправді отримують повний доступ до операційної системи та персональних даних користувача.

У подальшому, отримана зловмисниками інформація може використовуватись ними на власний розсуд. Крім того, вони таким чином матимуть змогу використовувати комп’ютери користувачів у протиправних діях.

Нагадаємо, кіберполіція повідомила, що реагуватиме на повідомлення щодо продовження діяльності веб-сайтів, доступ до яких обмежено.

  1. Рекомендації з налаштування обладнання Інтернет-провайдерами та підприємствами, установами, організаціями, що надають платні послуги доступу (послуги вільного доступу) до мережі Інтернет, у тому числі з використанням технології wifi.

Департамент кіберполіції Національної поліції України рекомендує здійснювати зазначені дії використовуючи наступні методи/способи:

a)       блокування за IР-адресами;

b)      блокування за допомогою DNS;

c)       блокування сайтів по URL;

Звертаємо увагу на те, що найбільш ефективним методом з даного переліку є метод блокування за IР-адресами.

Для впровадження кожного з цих методів наводимо приклади налаштування обладнання, які не потребують фінансових затрат та придбання додаткової техніки.

а) Блокування за IР-адресами:

1. Перелік іp-адрес для блокування можливо отримати за допомогою використання команд ping або dig до переліку посилань (веб-адрес ресурсів/сервісів) зазначених у додатку 2 до Указу.

Приклад команди ping

C:\Users\User>ping yandex.ru

pinging yandex.ru [77.88.55.88] with 32 bytes of data:

Reply from 77.88.55.88: bytes=32 time=35ms TTL=54

Reply from 77.88.55.88: bytes=32 time=21ms TTL=54

Reply from 77.88.55.88: bytes=32 time=23ms TTL=54

Reply from 77.88.55.88: bytes=32 time=24ms TTL=54

Приклад команди dig (Linux)

[email protected]:/$dig +short yandex.ru

[email protected]:/$77.88.55.88

Таким чином отримано ip-адресу 77.88.55.88 ресурсу yandex.ru.

Створіть окремий документ з переліком цих ip-адрес.

Ір-адреси необхідні для проведення блокування, рекомендуємо визначати раз на добу.

2.       Після отримання переліку ір-адрес, рекомендуємо налаштувати обладнання таким чином:

2.1.    Для Junos (серії продуктів Juniper, комутатори, маршрутизатори - MX, EX, SRX...):

Створюємо префікс лист blacklist-ip із списком заблокованих IP

[email protected]# set policy-options prefix-list blacklist-ip 52.58.187.69/32

[email protected]# set policy-options prefix-list blacklist-ip 93.158.134.154/32

[email protected]# set policy-options prefix-list blacklist-ip 87.250.251.178/32

.... так само додаємо усі ір адреси з отриманого переліку.

2.1.1. Створюємо правило firewall (term в розумінні Juniper)

[email protected]# set firewall family inet filter blacklist-ip-drop interface-specific

[email protected]# set firewall family inet filter blacklist-ip-drop term drop from destination-prefix-list blacklist-ip

[email protected]# set firewall family inet filter blacklist-ip-drop term drop then discard

[email protected]# set firewall family inet filter blacklist-ip-drop term other then accept

2.1.2. Застосовуємо фільтр blacklist-ip-drop до uplink- інтерфейсу або downlink- інтерфейсу або на всі інтерфейси.

[email protected]# set interfaces xe-0/0/0 unit 1111 family inet filter output blacklist-ip-drop

2.1.3. Застосовуємо новий файл конфігурації командою commit

[email protected]# commit

2.1.4. Якщо команда commit виконалась без помилок, перевіряємо доступність веб-адрес ресурсів/сервісів зазначених у додатку 2 до Указу.

C:\Users\User>ping yandex.ru

pinging yandex.ru [77.88.55.88] with 32 bytes of data:

Request timed out.

Нагадуємо про те що, якщо на вашому обладнанні вже використовується фільтр для блокування портів або ІР адрес, то необхідно до нього додати створений term drop у його початок, тому що term оброблюється зверху до низу, та обов’язково має закінчуватись правилом accept. По замовченню виконується політика для трафіку DROP.

На комутаторах серії ЕХ ці команди потрібно застосовувати тільки для інтерфейсів у режимі L3.

2.2.    Для маршрутизаторів Mikrotik

2.2.1. Створюємо address-list зі списком ір-адрес, що потрібно блокувати:

[[email protected]] > ip firewall address-list add dynamic=no list=blacklist-ip address=87.250.251.41

[[email protected]] > ip firewall address-list add dynamic=no list=blacklist-ip address=93.158.134.154

[[email protected]] > ip firewall address-list add dynamic=no list=blacklist-ip address=87.250.251.178

.... так само додаємо усі ір-адреси з отриманого переліку.

2.2.2. Створюємо правило фільтру для блокування за даними, що містяться у address-list

[[email protected]] > ip firewall filter add chain=forward dst-address-list=blacklist-ip action=drop place-before=0

Фільтр додається першим до ланцюга правил firewall, після перевірки недоступності заблокованого ресурсу, в поле лічильника пакетів за цим правилом буде накопичуватися статистика заблокованих пакетів якщо правило активно та працює.

2.2.3. Перевіряємо доступність веб-адрес ресурсів/сервісів зазначених у додатку 2 до Указу.

C:\Users\User>ping yandex.ru

pinging yandex.ru [77.88.55.88] with 32 bytes of data:

Request timed out.

2.3.    Для маршрутизаторів, що працюють на базі OS Linux

2.3.1. Створюємо ipset list зі списком ір-адрес, що потрібно блокувати

[email protected]:/# ipset -N blacklist-ip iphash

[email protected]:/# ipset -A blacklist-ip 213.180.204.125

[email protected]:/# ipset -A blacklist-ip 87.250.251.12

[email protected]:/# ipset -A blacklist-ip 77.88.55.88

.... так само додаємо усі ір адреси з отриманого переліку.

2.3.2. Створюємо правило фільтру для блокування:

[email protected]:/# iptables -m set -I FORWARD -i vlan1111 --match-set blacklist-ip dst -j DROP

Наведений приклад блокування застосовано на інтерфейсі vlan1111.

Можна змінити це правило для блокування за усіма інтерфейсами:

[email protected]:/# iptables -m set -I FORWARD --match-set blacklist-ip dst -j DROP

Фільтр додається першим до ланцюга правил firewall.

2.3.3. Перевіряємо доступність веб-адрес ресурсів/сервісів зазначених у додатку 2 до Указу.

C:\Users\User>ping yandex.ru

pinging yandex.ru [77.88.55.88] with 32 bytes of data:

Request timed out.

2.4.    Для маршрутизаторів CISCO

2.4.1. Створюємо access-list за номером 101 (номер вказано для прикладу) зі списком ір-адрес, що потрібно блокувати

Cisco-6500(config)# access-list 101 deny ip any host 52.58.187.69/32

Cisco-6500(config)# access-list 101 deny ip any host 93.158.134.154/32

Cisco-6500(config)# access-list 101 deny ip any host 87.250.251.178/32

.... так само додаємо усі ір адреси з отриманого переліку.

2.4.2. В кінці access-list  додаємо правило, що дозволяє проходити іншому трафіку.

Cisco-6500(config)# access-list 101 permit ip any any

2.4.3. Застосовуємо фільтр access-list 101 до uplink- інтерфейсу або downlink- інтерфейсу або на всі інтерфейси

Cisco-6500(config-if)# interface FastEthernet0/24

Cisco-6500(config-if)# ip access-group 101 out

Cisco-6500(config-if)# exit

2.4.4. Застосовуємо новий файл конфігурації командою write

Cisco-6500(config)# write

2.4.5. Якщо команда write виконалась без помилок, перевіряємо доступність веб-адрес ресурсів/сервісів зазначених у додатку 2 до Указу.

C:\Users\User>ping yandex.ru

pinging yandex.ru [77.88.55.88] with 32 bytes of data:

Request timed out.

b) конфігурування DNS-сервера на базі Unix-подібних OS (на прикладі Bind - відкритої і найпоширенішої реалізації DNS-серверу, що забезпечує виконання перетворення DNS-імені в IP-адресу).

1. Переглянути вміст файлу /etc/bind/named.conf та впевнитися, що існує запис “include "/etc/bind/named.conf.local";”, якщо ні — додати його.

2. Редагується файл /etc/bind/named.conf.local, до якого додаються записи про зони доменних імен, які необхідно блокувати.

Приклад:

zone "vk.com" {

                            type master;

                            file "/etc/bind/db.block.rf";

                      };

zone "ok.ru" {

                            type master;

                            file "/etc/bind/db.block.rf";

                      };

zone "odnoklassniki.ru" {

                             type master;

                             file "/etc/bind/db.block.rf";

                      };

zone "mail.ru" {

                             type master;

                             file "/etc/bind/db.block.rf";

                        };

… тощо (відповідно до Додатку 2 Указу Президента України № 133/2017 від 15.05.2017)

3. Створити файл  «/etc/bind/db.block.rf»   із наступним змістом

   $TTL 24h

   @       IN SOA ns.yourdomain.com. hostmaster.yourdomain.com. (

                  2003052800  86400  300  604800  3600 )

   @       IN      NS   server.yourdomain.com.

   @       IN      A    127.0.0.1

с) Блокування сайтів за посиланням (URL)

Реалізувати зазначену технологію блокування ресурсів/сервісів можливо у вигляді прозорого проксі-серверу:

Процес блокування сайтів за посиланням в загальному виді буде виглядати в такий спосіб:

•        відповідно до додатку 2 Указу Президента України № 133/2017 від 15.05.2017, визначається список посилань на ресурсі/сервіси, які необхідно заблокувати;

•        посилання додаються в блокувальний проксі-сервер;

•        запити від користувачів до сайту з переліку перенаправляються на фільтруючий проксі-сервер;

•        проксі-сервер робить перевірку на збіг адреси з наявними зразками;

•        у випадку встановлення прямого збігу, з'єднання переривається (або направляється на сторінку з попередженням, або просто роз'єднується);

•        якщо запит не збігається із заблокованим URL, з'єднання буде продовжено.

 2. Загальні рекомендації для підприємств, установ та організацій усіх форм власності.

Встановлено, що в теперішній час мережею Інтернет поширюються інформація щодо використання українськими користувачами спеціалізованих браузерів, з метою здолання обмежень доступу до визначених ресурсів. Серед таких браузерів особливо активно (агресивно) рекламується “FreeU”.

Спеціалістами Департаменту було проведено дослідження визначеного програмного продукту. Серед застосованих методів дослідження, з метою максимальної об’єктивності та неупередженості дослідження, для динамічного аналізу використовувався ресурс “Circl DMA” (https://www.circl.lu).

За результатами аналізу встановлено:

- рівень небезпеки максимальний (10 з 10);

- застосовує багаторазові виклики API з метою ускладнення виявлення фактів загрози;

- інтегрується до автозапуску;

- створює приховані системні файли;

- модифікує мережеві налаштування (параметри проксі);

- вносить зміни до систем антивірусного захисту та відключає її;

- наявна підозріла бінарна активність. 

Виходячи із вищевикладеного, Департамент кіберполіції рекомендує:

- на рівні організації заборонити використання браузеру “FreeU”;

- пояснити співробітникам, що використання цього та подібних програмних продуктів (наприклад “Yandex browser with protect” для смартфонів, що працюють на базі OS Android) призведе до компрометації даних підприємства, а також персональних даних співробітників;

- у випадку виявлення факту встановлення — за можливості, штатними засобами, відновити стан операційної системи до моменту встановлення таких програм, а у випадку невдачі — перевстановити операційну систему.