Сетевая безопасность

Последнее изменение: 28 мая 2025

Сетевая безопасность

Порты⁠

Заблокированные порты⁠

Чтобы обезопасить инфраструктуру Selectel от вредоносной сетевой активности, мы ограничиваем доступ к некоторым TCP/UDP-портам. На пограничных маршрутизаторах на границе интернет-сети Selectel блокируется входящий и исходящий трафик. Для 25 TCP-порта действует исключение — блокируется только исходящий трафик, чтобы ограничить рассылку потенциально вредоносной почты. Список заблокированных портов можно посмотреть в инструкции Заблокированные порты.

Порты, которые чаще всего открываются⁠

22/TCP (SSH)	Часто подвергается атакам с целью подбора пароля для подключения к серверу
3389/TCP (RDP)	Часто подвергается атакам из-за слабых паролей и системных уязвимостей
5900/TCP (VNC)	Часто подвергается атакам из-за слабых паролей
80/TCP (HTTP)	Из-за передачи данных без шифрования данные легко перехватываются. Часто подвергается атакам на веб-приложения, например с использованием XSS или SQL-инъекций
443/TCP (HTTPS)	Несмотря на шифрование данных, возможны уязвимости в SSL/TLS, которые могут привести к перехвату данных злоумышленниками. Часто подвергается атакам на веб-приложения, например атаки с использованием XSS или SQL-инъекций
21/TCP (FTP)	Из-за передачи данных без шифрования данные легко перехватываются
23/TCP (Telnet)	Из-за передачи данных без шифрования данные легко перехватываются
445/TCP (SMB)	Используется злоумышленниками для распространения вредоносного ПО
3306/TCP (MySQL)	Открытый доступ к MySQL может привести к утечке данных
5432/TCP (PostgreSQL)	Открытый доступ к PostgreSQL может привести к утечке данных

Межсетевое экранирование⁠

Базовая защита сети⁠

Чтобы защитить систему, ограничивайте входящий и исходящий трафик. Определите перечень необходимых сетевых служб и для каждого из своих серверов разрешите подключения только к сетевым портам, которые связаны с этими службами. При необходимости ограничивайте адрес источника подключения. Все подключения, которые явно не разрешены, должны быть заблокированы.

Сетевую безопасность для приватных подсетей и публичных IP-адресов можно обеспечить с помощью:

• облачного файрвола — stateful-файрвол для облачных серверов. С ним можно работать в панели управления, с помощью OpenStack CLI или Terraform;
• базового файрвола — stateless-файрвол для выделенных серверов. С ним можно работать только в панели управления.

Группы безопасности в облачной платформе⁠

С помощью групп безопасности вы можете настроить правила фильтрации всего трафика, который проходит через порт облачного сервера.

Продвинутая защита⁠

Межсетевые экраны поколения NGFW (Next Generation Firewall) анализируют трафик для защиты сетевого периметра и имеют следующие возможности:

• IPS/IDS — система обнаружения и предотвращения вторжений;
• прокси — режим, который позволяет управлять доступом пользователей в интернет из корпоративной сети согласно ролевой модели прав доступа;
• реверс-прокси — режим, который позволяет безопасно публиковать внутренние ресурсы компании в интернет.

Selectel предоставляет программные и аппаратные МСЭ, в том числе сертифицированные ФСТЭК. Например, межсетевой экран UserGate имеет сертификат ФСТЭК. Сертифицированные межсетевые экраны имеют дополнительные опции, например L7-фильтрацию — это глубокий анализ трафика на уровне L7 сетевой модели OSI, который включает контроль приложений, расшифровку SSL, фильтрацию URL и др. Данные опции предоставляются в виде подписок дополнительно к основной лицензии.

В базовую функциональность межсетевых экранов входит VPN (Virtual Private Network) двух видов:

• site-to-site VPN — позволяет организовать туннель между офисами и филиалами одной компании или до сети партнеров для безопасного обмена данными;
• client-to-site VPN — позволяет организовать безопасный удаленный доступ через интернет к корпоративным сервисам и данным.

Сервис ГОСТ-VPN⁠

Вы можете организовать защищенный канал с вашей сетью или с сетью вашего партнера при помощи сервиса ГОСТ-VPN. Шифрование канала осуществляется с использованием ГОСТ-алгоритмов. Мы настроим сертифицированный аппаратный криптошлюз ViPNet Coordinator на стороне инфраструктуры в Selectel и возьмем на себя его администрирование. Важным условием является наличие ViPNet-сети на стороне вашей инфраструктуры или инфраструктуры вашего партнера.

Обнаружение и предотвращение сетевых атак (IPS)⁠

Для обнаружения и предотвращения сетевых атак рекомендуем использовать специализированные решения — Intrusion Prevention System (IPS).

Модуль IPS представлен в межсетевых экранах:

• Selectel;
• UserGate.

Среди бесплатных инструментов, выполняющих функции IPS, наиболее популярные и функциональные:

• Suricata;
• Snort;
• CrowdSec.

В качестве системы обнаружения вторжений уровня хоста (Host-based Intrusion Detection System — HIDS) рекомендуем использовать Wazuh.

Защита сети на уровне сервера⁠

Вы также можете защитить сетевые подключения на уровне конкретного сервера. На серверах с OC Linux рекомендуем использовать:

• Secret Net LSP и Secret Net Studio — сертифицированные ФСТЭК средства защиты для операционных систем Linux и Windows, которые защищают виртуальные и физические серверы от несанкционированного доступа и сетевых атак на хост;
• Uncomplicated Firewall (UFW) — инструмент для настройки файрвола. Разработан для дистрибутива Ubuntu, но доступен и для других дистрибутивов, например Debian. Чтобы настроить утилиту UFW, используйте инструкцию UFW документации Ubuntu;
• firewalld — система управления файрволом, которая по умолчанию установлена в дистрибутивах, основанных на Red Hat Enterprise Linux, например Fedora, CentOS, Alma Linux, Rocky Linux и Oracle Linux. Подробнее о настройке в документации firewalld и примеры настройки в документации Fedora.

При настройке файрвола учитывайте, что некоторые порты, изначально предназначенные для конкретных служб, могут быть использованы злоумышленниками для взлома. Например, 21/TCP (FTP), 22/TCP (SSH), 23/TCP (Telnet) и 3389/TCP (RDP) — опасные, так как часто подвергаются атакам подбора паролей и эксплуатации уязвимостей. Посмотреть полный список таких портов можно в таблице Порты, которые чаще всего открываются.

Сетевой доступ к кластеру облачных баз данных⁠

В облачных базах данных вы можете настроить сетевой доступ к кластеру. Пользователям для работы доступен только сам кластер — доступа к нодам кластера нет, так как они находятся на стороне Selectel. По умолчанию в кластерах с публичной подсетью подключение разрешено для всех адресов при наличии логина и пароля. К кластеру в приватной подсети подключение разрешено из подсети кластера и из тех подсетей, которые объединены с подсетью кластера облачным роутером. Вы можете ограничить список адресов, с которых будет разрешен доступ в кластер баз данных. Подробнее в инструкциях PostgreSQL, PostgreSQL для 1C, PostgreSQL TimescaleDB, MySQL semi-sync, MySQL sync, Redis и Kafka.

Защита от DDoS⁠

Selectel предоставляет базовую бесплатную защиту инфраструктуры от DDoS-атак на сетевом и транспортном уровнях (L3-L4) — подробнее в инструкции Защита Selectel. Информацию о заблокированных атаках, сетевых блокировках и заблокированных IP-адресах можно посмотреть в панели управления в меню Продукты → Сетевые инциденты. Подробнее об информации, которую можно отслеживать, в разделе Сетевые инциденты.

Также доступны решения от наших партнеров, которые реализуют продвинутую защиту от DDoS-атак на уровнях L3-L4 и L7:

• Curator;
• StormWall;
• DDoS Guard.

Защита веб-приложений⁠

Для защиты веб-приложений на прикладном уровне (L7) рекомендуем использовать специализированные решения — Web Application Firewall (WAF).

Selectel предоставляет несколько решений для защиты веб-приложений средствами WAF:

• партнерское решение Curator;
• партнерское решение StormWall;
• сертифицированный SolidWall WAF Professional — предостоставляем в виде лицензии, администрирование клиент осуществляет самостоятельно.

Среди бесплатных инструментов, выполняющих функции WAF, наиболее популярные и функциональные:

• CrowdSec;
• open-appsec.