GeoIP: пограничный контроль на интернет-шлюзе

В 2022 году количество кибератак на российские организации многократно увеличилось, причём в большинстве случаев источником киберударов были системы, расположенные за пределами РФ. Для защиты от таких атак администраторы организаций включили геоблок — разрешили доступ к ресурсам компании только для российских IP-адресов.

В универсальном шлюзе безопасности Traffic Inspector Next Generation (TING) имеется специальный инструмент, с помощью которого можно удобно настроить геоблок — GeoIP. В этой статье мы расскажем о принципах, на которых базируется работа GeoIP, и о том, как с его помощью запретить доступ к сети компании из других стран.

 

Кто распределяет IP-адреса

Получить сведения о местоположении IP-адреса можно из базы данных сетевого координационного центра RIPE NCC. Это независимая некоммерческая организация, оказывающая поддержку инфраструктуре Интернета.

Основные функции RIPE NCС:

• Надежное и стабильное распределение адресных ресурсов интернета (адреса IPv4, IPv6 и номера Автономных Систем (Autonomous System, AS));
• Администрирование Реестра адресных ресурсов Интернета;
• Обеспечение открытого доступа к регистрационной информации;
• Управление сервером K-root (одним из 13 серверов корневой зоны DNS);
• Другие технические и координационные услуги для интернет-сообщества, сетевых операторов и сервис провайдеров.

В базе данных RIPE NCC имеются сведения об IP-сетях и организациях, к которым эти сети относятся. Она используется не только для получения сведений о географическом местоположении сетей, но и в для создания политик маршрутизации сетевыми операторами (RIPE IRR).

Важный компонент базы RIPE NCC — автономные системы (AS). Это группы IP-сетей и роутеров, которые используют единую политику BGP-маршрутизации. Каждой сети, относящейся к локальному провайдеру, присваивается уникальный идентификатор ASN — Autonomous System Number, номер автономной системы. Каждый владелец автономной системы отвечает за маршрутизацию внутри своего сегмента сети. Номера AS выделяются организацией под названием Internet Assigned Numbers Authority (IANA), которая также выделяет IP-адреса региональным интернет-регистраторам.

Базы ASN помимо прочего содержат сведения о географическом положении той или иной IP-сети. Одна из таких баз расположена на сайте IANA. Также имеются локальные базы, которые поддерживают региональные интернет-регистраторы. Существуют и агрегаторы, предоставляющие доступ к своим базам, иногда — на платной основе.

К сожалению, определение географической привязки IP-адреса по базам ASN и RIPE не отличается высокой точностью, поскольку актуальность этих сведений зависит от аккуратности ответственных сотрудников в RIPE и аналогичных организациях в Азии, Америке, Африке (ARIN, APNIC, LACNIC, AfriNIC). Иногда сами владельцы IP-адресов или AS отправляют уточнение по местоположению их сетей непосредственно агрегаторам, но это происходит далеко не всегда.
В результате базы могут содержать недостоверные данные.

Например, для IP-адреса 77.91.73.1 база RIPE сообщает, что он — британский, один из сервисов ASN с этим полностью согласен, а вот другой считает, что указанный адрес расположен в Нидерландах. Большинство агрегаторов выдает в качестве географической привязки DE/Frankfurt, некоторые — PL/Wloclawek, другие — RU/Moscow (или даже Красноярск). На самом же деле устройство с этим IP-адресом находится в Германии.

Решить эту проблему помогает инструмент GeoIP в составе Traffic Inspector Next Generation.

 

Как работает GeoIP

Вместо конкретного списка IP-адресов, сгруппированных по различным признакам, администратор TING может использовать алиас, обозначающий некий географический регион, например «RU», «GB» или «US». Шлюз безопасности TING отправляет запрос на специальный сервер GeoIP и получает ответ в виде JSON-данных, содержащих массив IP-адресов сетей соответствующей страны или группы стран. TING сохраняет этот список IP-адресов в качестве правила. В дальнейшем это может быть использовано при изменении настроек.

Поддерживать актуальность данных для GeoIP помогает двойное кеширование:

• первый уровень кеша располагается на сервере GeoIP, и обновляется раз в сутки, либо при любых изменениях в базе данных IP-адресов;
• второй уровень кеша хранится на стороне клиента на устройстве TING и обновляется каждые 2 часа.

Списки IP-адресов хранятся на шлюзе безопасности в формате Classless Inter-Domain Routing (CIDR). Нотация CIDR представляет собой компактное представление IP-адреса и связанной с ним сетевой маски и выглядит следующим образом:

192.168.10.0/20

Здесь ip-адрес представляет собой номер сети, а цифра после косой черты — длину маски подсети в битах. В примере выше маска подсети содержит 20 бит. Это значит, что в ip-адресе сеть занимает 20 бит, а номер хоста — 12 бит. Другими словами, запись /20 соответствует маске подсети 255.255.240.0.

 

Заключение

Технология GeoIP позволяет администраторам UTM-шлюзов Traffic Inspector Next Generation использовать в правилах межсетевого экрана удобные географические алиасы вместо громоздких списков IP-адресов. Это не только экономит время при создании правил, но и позволяет не отслеживать обновление списка IP-адресов для какого-либо региона. Благодаря двойному кэшированию списки обновляются автоматически и всегда находятся в актуальном состоянии.

Протестируйте бесплатно