È rivolto agli utenti Internet minorenni che, se implementati, potranno visitare solo i siti attendibili dalla "lista bianca". Pertanto, verrà loro negato l'accesso a contenuti "pericolosi".
Non è stato ancora deciso se il traffico verrà filtrato solo nelle istituzioni educative del paese o per tutti gli utenti Runet. Nel secondo caso, al fine di ottenere l'accesso a "Internet gratuito", è necessario scrivere una dichiarazione al provider di Internet. La Safe Internet League sta già testando il sistema della "lista bianca" in diverse regioni della Russia, in particolare a Kostroma.
Di chi stanno facendo le mani?
È prevista la creazione di questo sistema, approvato il 31 luglio dal primo ministro russo Dmitry Medvedev. Il NASFIT dovrebbe essere commissionato entro la fine del 2020. Il terreno per l'apparizione del sistema è stato preparato, anche dal senatore, grazie al quale dal 2012 è stato conservato in Runet un registro unificato di informazioni proibite su Roskomnadzor.
Perché Nasfit può essere dannoso?
Il portavoce dell'MTS Dmitry Solodovnikov ha dichiarato che l'operatore non aveva mai sentito parlare di questa proposta. "Riteniamo che tali iniziative siano dannose, in grado di causare danni agli abbonati a causa di una possibile riduzione della qualità dell'accesso a Internet." Innanzitutto, ciò può accadere a causa di un rallentamento della costruzione di reti e dello sviluppo di nuovi servizi.
Oltre agli utenti, NASFIT può danneggiare l'intero settore delle telecomunicazioni e dell'IT. I fornitori e gli operatori dovranno spendere enormi risorse "per implementare soluzioni di filtro del traffico inefficaci invece di investire nell'economia digitale e costruire reti 5G", scrive la portavoce di MTS.
L'idea potrebbe non funzionare
Una fonte del sito vicino a uno degli operatori rileva che i minori non hanno il diritto di stipulare contratti per la fornitura di servizi di comunicazione. Pertanto, in linea di principio è impossibile filtrare il traffico solo per i bambini. L'abbonato è sempre un adulto, cioè con un passaporto, ricorda all'interlocutore.
Il rappresentante del fornitore di Internet AKADO Telecom ha dichiarato che la società sostiene l'iniziativa, ma dubita anche del meccanismo per la sua attuazione.
"Non è chiaro da quale principio i siti rientreranno nella lista bianca, chi dovrebbe determinarlo. Se stiamo parlando di filtrare i contenuti solo negli istituti di istruzione, è improbabile che tale misura sia efficace, poiché se lo desiderano, i bambini saranno in grado di accedere ai siti da casa. Pertanto, il progetto necessita di una revisione seria. " Irina Romannikova, AKADO Telecom Press Service.
Come posso filtrare?
Secondo il direttore generale dell'agenzia di informazioni e analisi TelecomDaily Denis Kuskov, esistono due modi ragionevoli per filtrare i siti "dannosi": gli strumenti dell'operatore e l'acquisto di una carta SIM con la condizione che venga utilizzata da un bambino. In questo caso, l'operatore sarà in grado di attivare immediatamente il filtro.
Alcuni operatori hanno già i propri sistemi per filtrare il traffico. Pertanto, "Rostelecom" offre il prodotto "Filtro dei contenuti del traffico" per le istituzioni educative e "VimpelCom" - un servizio di raccomandazione di risorse Internet "Weblandia", siti per i quali sono selezionati dai bibliotecari dei bambini.
Ricordiamo che l'altro giorno per quanto riguarda le restrizioni di Internet: una legge che proibisce ai provider VPN e ad altri servizi di consentire agli utenti russi di bloccare le risorse, altrimenti il \u200b\u200bservizio sarà bloccato, così come una legge che vieta l'anonimato nei servizi di messaggistica istantanea. Il primo documento entrerà in vigore il 1 ° novembre di quest'anno, il secondo - dall'inizio del 2018.
L'articolo estrae per la tua recensione due modi per filtrare il traffico sulla rete. Il primo metodo utilizza un filtraggio non abbastanza ordinario dei pacchetti in entrata per indirizzi IP di origine, infatti implementa la protezione contro lo spoofing, il secondo utilizza il filtraggio dei pacchetti su una rete locale o DMZ utilizzando la tecnologia PVLAN.
Batrankov Denis, denisNOSPAMixi.ru
L'articolo estrae per la tua recensione due modi per filtrare il traffico sulla rete. Il primo metodo utilizza un filtraggio non abbastanza ordinario dei pacchetti in entrata per indirizzi IP di origine, infatti implementa la protezione contro lo spoofing, il secondo utilizza il filtraggio dei pacchetti su una rete locale o DMZ utilizzando la tecnologia PVLAN.
Spero che questo articolo sia utile sia agli amministratori che a coloro che sono coinvolti nella sicurezza della rete. Sfortunatamente, di solito si tratta di persone diverse.
introduzione Informazioni sul filtro in generale.
Basta guardare il formato dell'intestazione del pacchetto IP (questa struttura è presa dalle fonti WinPCap) typedef struct ip_header (u_char ver_ihl; // Versione (4 bit) + Lunghezza intestazione Internet (4 bit) u_char tos; // Tipo di servizio u_short tlen; / / Lunghezza totale u_short identificazione; // Identificazione u_short flags_fo; // Flag (3 bit) + Frammento offset (13 bit) u_char ttl; // Tempo di vita u_char proto; // Protocollo u_short crc; // Checkum intestazione ip_address saddr; // Indirizzo sorgente ip_address daddr; // Indirizzo destinazione u_int op_pad; // Opzione + Riempimento) ip_header;quanti campi richiedono la convalida già all'ingresso della rete. Ovviamente, per ogni campo ci sono molti valori che sono definiti nello standard RFC come aventi qualche significato. E ovviamente, ci sono molti valori che non sono definiti da nessuna parte che sono privi di significato e non possiamo nemmeno immaginare come questi valori saranno percepiti dall'host ricevente. Se un pacchetto ha almeno un campo errato, l'intero campo è errato e non dovrebbe ostruire la nostra rete. Tuttavia, questo non è attualmente il caso in molte reti. Ogni host ha il proprio sistema di protezione dagli attacchi (IPS) che comprende tali pacchetti. Suggerisco di non aspettare che tali pacchetti arrivino all'host del destinatario, ma di ucciderli già all'ingresso della rete. Inoltre, possiamo filtrare e bloccare il traffico in sequenza dal canale al livello dell'applicazione (nell'ambito del modello ISO OSI). Ciò contribuirà ad alleviare la rete e proteggersi dagli attacchi che sfruttano il fatto che "chiudiamo gli occhi" su pacchetti sbagliati.
Questa idea non è nuova. Un suggerimento su quali pacchetti sulla rete potrebbero essere errati è contenuto nelle regole dei sistemi di rilevamento degli attacchi. I sistemi di rilevamento degli attacchi controllano da tempo tutti i campi dei pacchetti e raccolgono statistiche per analizzare i pacchetti errati trovati, che possono essere visualizzati e portati a quelli più fastidiosi. Quello che mi piace di più di Snort è che tutto in esso è aperto all'empowerment. Ciò consente di modificare le regole standard o scrivere le proprie, analizzare le statistiche utilizzando e persino aggiungere regole per bloccare gli indirizzi IP utilizzando SnortSam in quasi tutti gli FW attualmente conosciuti: Cisco PIX, MS ISA, Checkpoint FW-1, Watchguard Firebox e built-in su Linux e FreeBSD FW.
Tuttavia, senza perdita di generalità, possiamo dire che le persone che utilizzano qualsiasi tipo di sistema di rilevamento degli attacchi, ad esempio Cisco NetRanger, RealSecure (Proventia) o Snort, hanno un sogno: quando smetteranno finalmente di generare falsi avvisi. Almeno ho un sogno del genere, perché qualcosa di nuovo accade costantemente nelle mie quattro griglie esterne di classe C, sebbene i tipi di flussi di informazioni siano stati sistemati da tempo. Non ricevo più molti avvisi come il protocollo IP non assegnato / riservato BAD-TRAFFIC, il protocollo IP non standard BAD TRAFFIC, il traffico di loopback BAD-TRAFFIC, lo stesso traffico SRC / DST BAD-TRAFFIC, il traffico porta 0 BAD-TRAFFIC tcp, non perché I disabilitato queste regole, ma perché ho bloccato questo "cattivo traffico" proprio all'ingresso. Sfortunatamente, oggi devo ignorare vari eventi, sapendo che si tratta di un solito falso allarme e non posso bloccarlo, dal momento che qualsiasi fornitore non dovrebbe bloccare il traffico del cliente, qualunque esso sia: pericoloso o semplicemente inutile. Ma mi permetto di bloccare il traffico "sbagliato": indirizzi sbagliati, bandiere sbagliate, porte sbagliate o pericolose.
È chiaro perché ci sono sistemi IDS che mostrano all'amministratore quale traffico è cattivo, ma non ci sono programmi che filtrano automaticamente il traffico in ingresso e in uscita delle tue reti in modo che Snort non abbia nulla da giurare. Il problema sono i falsi avvisi. Esistono molte regole per lo stesso Snort, che non dovrebbe solo rilevare un comportamento non standard, ma bloccarlo immediatamente. Ad esempio, è logico bloccare il traffico che soddisfa la condizione del set di bit riservato ip BAD-TRAFFIC, ovvero quei pacchetti che hanno il bit di backup impostato in modo errato. (A proposito, ricordi immediatamente quale firewall sarà in grado di controllare una tale condizione e bloccare un tale pacchetto? ;-)) D'altra parte, ci sono anche avvisi sull'utilità di cui si può discutere. Ad esempio, recentemente nella mia rete eMule sono diventati i colpevoli degli avvisi BACKDOOR tipot trojan traffic.
Quindi, idealmente, dal punto di vista dei sistemi di rilevamento degli attacchi, dobbiamo assicurarci che quelle regole non funzionino che mostrino chiaramente che il filtro non è configurato correttamente. E configurarlo correttamente è il compito principale dell'amministratore.
Filtro grosso. Protezione contro lo spoofing degli indirizzi IP.
Dato che non sto scrivendo un libro, ma un articolo, oggi arriverò in fondo a un solo campo del pacchetto IP: l'indirizzo di origine. È noto che esiste l'indirizzo IP dell'origine del pacchetto. E, per quanto ne so, la tecnologia Cisco SAFE consiglia di filtrare questo campo in base alla RFC e di proteggere dallo spoofing IP. Vediamo esattamente quali indirizzi dovremmo bloccare. (Il campo dell'indirizzo di destinazione deve trovarsi all'interno del pool di indirizzi assegnato a te, quindi non c'è nulla di cui parlare.)
Quindi sappiamo che dal 1 ° gennaio 1983 è stato introdotto il concetto di indirizzo IP versione 4, che è un numero a 32 bit, che di solito scriviamo sotto forma di 4 numeri decimali separati da un punto. Esiste un'organizzazione IANA (Internet Assigned Numbers Authority) che distribuisce gli indirizzi su Internet. Esistono quattro Registri Internet regionali (RIR) distribuiti in tutto il mondo: APNIC (Asia Pacific Network Information Center), ARIN (American Registry for Internet Numbers), LACNIC (Latin American and Caribbean IP address Regional Register), RIPE NCC, che distribuiscono indirizzi tra Internet Fornitori di servizi (ISP). E infine, c'è un cartello sul sito web IANA che indica quale blocco di indirizzi viene assegnato a chi.
Se proviamo a classificare gli indirizzi, oltre alle classi (già studiate a scuola) A, B, C, D, E, troviamo che ci sono indirizzi speciali definiti non solo da RFC 1918, ma anche da RFC 3330 e che non dovrebbero essere usati su Internet .
1. Indirizzi privati \u200b\u200b- riservati all'uso in reti locali secondo RFC 1918.
- 10.0.0.0 - 10.255.255.255
- 172.16.0.0 - 172.31.255.255
- 192.168.0.0 - 192.168.255.255
- 169.254.0.0 - 169.254.255.255
- 127.0.0.0 - 127.255.255.255
4. Intervallo di prova: deve essere utilizzato nella documentazione e negli esempi di codice.
- 192.0.2.0–192.0.2.255
- 224.0.0.0 - 239.255.255.255
- 0.0.0.0 - 2.255.255.255
- 5.0.0.0 - 5.255.255.255
- 7.0.0.0 - 7.255.255.255
- 23.0.0.0 - 23.255.255.255
- 27.0.0.0 - 27.255.255.255
- 31.0.0.0 - 31.255.255.255
- 36.0.0.0 - 37.255.255.255
- 39.0.0.0 - 39.255.255.255
- 41.0.0.0 - 42.255.255.255
- 49.0.0.0 - 50.255.255.255
- 73.0.0.0 - 79.255.255.255
- 89.0.0.0 - 126.255.255.255
- 173.0.0.0 - 187.255.255.255
- 189.0.0.0 - 190.255.255.255
- 197.0.0.0 - 197.255.255.255
- 223.0.0.0 - 223.255.255.255
- 240.0.0.0 - 255.255.255.255
L'ultimo elenco è impressionante. E ci lamentiamo ancora che ci mancano gli indirizzi. E ho anche combinato diversi blocchi di indirizzi, se fossero nelle vicinanze nell'elenco.
7. Esiste un'altra classe di indirizzi che non può essere nel campo delle fonti. Questi sono i tuoi indirizzi. Quegli indirizzi Internet che sono assegnati a te e solo a te dal provider. Ovviamente, nessuno tranne te ha il diritto di usarli e devi bloccare qualsiasi tentativo di inviare un pacchetto con l'indirizzo di origine dal tuo pool di indirizzi. Inoltre, la sostituzione del tuo indirizzo nel campo delle fonti può essere utilizzata per implementare vari attacchi. Ad esempio, in un attacco terrestre, un pacchetto SYN viene inviato con l'indirizzo del mittente corrispondente all'indirizzo del destinatario.
Quindi, si è scoperto che esiste un numero abbastanza elevato di indirizzi che non possono trovarsi nel campo delle fonti dei nostri pacchetti IP. Di norma, se uno degli indirizzi sopra elencati è registrato nelle origini, allora si tratta di un routing che funziona in modo errato per un provider superiore (rilasciando indirizzi errati) o di un possibile attacco DOS. Ecco perché propongo di bloccare tutti gli indirizzi sopra elencati all'ingresso del router.
Riassumendo quanto sopra, otteniamo un elenco abbastanza decente di indirizzi mittente, che dobbiamo bloccare. Ad esempio, se si utilizza un router Cisco, l'elenco di accesso sarà simile al seguente:
lista di accesso IP estesa complete_bogon |
Utilizzo di un elenco di accesso esteso denominato |
negare ip 0.0.0.0 1.255.255.255 qualsiasi |
IANA riservato |
negare ip 2.0.0.0 0.255.255.255 qualsiasi |
IANA riservato |
negare ip 5.0.0.0 0.255.255.255 qualsiasi |
IANA riservato |
negare ip 7.0.0.0 0.255.255.255 qualsiasi |
IANA riservato |
negare ip 10.0.0.0 0.255.255.255 qualsiasi |
RFC 1918 |
negare ip 23.0.0.0 0.255.255.255 qualsiasi |
IANA riservato |
negare ip 27.0.0.0 0.255.255.255 qualsiasi |
IANA riservato |
negare ip 31.0.0.0 0.255.255.255 qualsiasi |
IANA riservato |
negare ip 36.0.0.0 1.255.255.255 qualsiasi |
IANA riservato |
negare ip 39.0.0.0 0.255.255.255 qualsiasi |
IANA riservato |
negare ip 41.0.0.0 0.255.255.255 qualsiasi |
IANA riservato |
negare ip 42.0.0.0 0.255.255.255 qualsiasi |
IANA riservato |
negare ip 49.0.0.0 0.255.255.255 qualsiasi |
IANA riservato |
negare ip 50.0.0.0 0.255.255.255 qualsiasi |
IANA riservato |
negare ip 73.0.0.0 0.255.255.255 qualsiasi |
IANA riservato |
negare ip 74.0.0.0 1.255.255.255 qualsiasi |
IANA riservato |
negare ip 76.0.0.0 3.255.255.255 qualsiasi |
IANA riservato |
negare qualsiasi 82.0.0.0 1.255.255.255 |
IANA riservato |
permesso 88.0.0.0 0.255.255.255 our_net |
consentire l'accesso con l'indirizzo 88/8 alla nostra rete (in modo da non bloccare di seguito) |
negare ip 88.0.0.0 7.255.255.255 qualsiasi |
IANA riservato |
negare ip 96.0.0.0 31.255.255.255 qualsiasi |
IANA riservato e loopback |
negare ip 169.254.0.0 0.0.255.255 qualsiasi |
indirizzi assegnati automaticamente |
negare ip 172.16.0.0 0.15.255.255 qualsiasi |
RFC 1918 |
negare ip 173.0.0.0 0.255.255.255 qualsiasi |
IANA riservato |
negare ip 174.0.0.0 1.255.255.255 qualsiasi |
IANA riservato |
negare ip 176.0.0.0 7.255.255.255 qualsiasi |
IANA riservato |
negare ip 184.0.0.0 3.255.255.255 qualsiasi |
IANA riservato |
negare ip 189.0.0.0 0.255.255.255 qualsiasi |
IANA riservato |
negare ip 190.0.0.0 0.255.255.255 qualsiasi |
IANA riservato |
negare ip 192.0.2.0 0.0.0.255 qualsiasi |
Indirizzi per i test. |
negare ip 192.168.0.0 0.0.255.255 qualsiasi |
RFC 1918 |
negare ip 197.0.0.0 0.255.255.255 qualsiasi |
IANA riservato |
negare ip 198.18.0.0 0.1.255.255 qualsiasi |
IANA riservato |
negare ip 201.0.0.0 0.255.255.255 qualsiasi |
IANA riservato |
negare ip 222.0.0.0 1.255.255.255 qualsiasi |
IANA riservato |
negare ip 223.0.0.0 0.255.255.255 qualsiasi |
IANA riservato |
negare ip 224.0.0.0 31.255.255.255 qualsiasi |
Multicast e quindi IANA riservato |
negare ip our_net qualsiasi |
blocca i nostri indirizzi di input |
consentire ip qualsiasi our_net |
consentire tutto il resto |
our_net Ho designato il tuo blocco di indirizzi. Ad esempio, potrebbe sembrare 194.194.194.0 0.0.0.255 secondo le regole per la scrittura degli elenchi di accesso.
Non importa dove questo metodo di filtraggio sia implementato sul router di frontiera, sul firewall o persino sul server, ma soprattutto l'attaccante è privato dell'opportunità di utilizzare indirizzi da reti inesistenti. Voglio notare che se si utilizzano le ultime versioni di Cisco IOS (12.2 e successive), non è necessario eseguire questo elenco di accesso da soli. La stessa lista di accesso è formata da un semplice comando (apparentemente) auto sicuro.
Comandoauto sicura fa TUTTO per uno specialista della sicurezza informatica! Tutto ciò che è stato ottenuto finora sulla protezione dei router Cisco è fatto da questo unico team. Certo, devi immaginare cosa fa quando entri in lei, ma questa squadra farà tutto, anche se non hai certificati e istruzione in quest'area. : (In generale, quando ho scoperto le possibilitàauto sicura ha deciso che ora è il momento di abbandonare la sicurezza e andare a vendere ferri: c'è uno stipendio, dicono, non è necessaria un'istruzione superiore e superiore. ;-) Perché ora esperti, se tutto è fatto da una squadra.
Tuttavia, questo metodo ha un aspetto negativo: è necessario monitorare costantemente le modifiche alla tabella sul sito Web IANA http://www.iana.org/assignments/ipv4-address-space in modo che dopo aver modificato questo elenco si cambi l'elenco di accesso. Ad esempio, l'ultima modifica è avvenuta nell'agosto di quest'anno: sono stati assegnati 71/8, 72/8 reti per ARIN. Non so se esiste una sceneggiatura pronta per questo lavoro, ma se ne trovi uno o lo scrivi da solo, la società ti sarà grata. Esiste una pagina in cui l'elenco di accesso corrente è sempre memorizzato http://www.cymru.com/Documents/secure-ios-template.html, ma l'elenco di accesso è leggermente lungo. Può essere ridotto. Il principio di riduzione è
negare ip 0.0.0.0 0.255.255.255 qualsiasi
negare ip 1.0.0.0 0.255.255.255 qualsiasi
cambia in
negare ip 0.0.0.0 1.255.255.255 qualsiasi
Se non esiste tale filtro all'ingresso della rete, forse si desidera configurare il filtro sul proprio server o workstation. A proposito, gli autori di FW personale potrebbero metterlo in servizio. Ciò contribuirà a proteggere l'host dagli attacchi DOS. Ecco, ad esempio, un esempio di filtro atispoofing per BIND.
Dopo aver individuato gli indirizzi, possiamo occuparci di altri campi del pacchetto IP. Ad esempio, i pacchetti tcp con la porta 0 arrivano spesso nella mia rete. Perché non guardi quali porte vengono utilizzate nei pacchetti che passano attraverso la tua rete.
Filtro fine o VLAN isolata.
Ora diamo un'occhiata al traffico sulla rete interna. Uno dei fattori chiave nella costruzione di una configurazione di rete sicura è la definizione accurata di tutti gli oggetti di rete e una comprensione accurata di chi deve scambiare informazioni con ciascuno di questi oggetti e che tipo di traffico viene generato. Tutto il traffico tra queste entità deve essere rifiutato.
Diamo un'occhiata all'esempio della zona demilitarizzata (DMZ). Si ritiene corretto allocare il server dell'azienda in una rete separata, protetta sia dagli utenti di Internet che dagli utenti interni. Come si suol dire, fidati, ma verifica. L'immagine mostra due possibili opzioni di implementazione: la DMZ si trova tra due firewall e la DMZ si blocca su una delle porte del firewall.
Pertanto, i firewall filtrano il traffico proveniente da Internet e dalla rete locale. E, di norma, i progettisti di reti si calmano su questo diagramma. Tutti i server sono collegati tramite uno switch e appaiono in un dominio di trasmissione. Tuttavia, abbiamo bisogno dell'interazione tra i server nella DMZ tra loro? Devi guardare in ogni caso. Si può presumere che se uno dei server DMZ viene hackerato, un attacco su un server adiacente è possibile da questo server, specialmente dal momento che in fase di progettazione non abbiamo protetto un server dall'altro. Pertanto, nei casi in cui i server non dovrebbero funzionare tra loro, si consiglia di creare diverse DMZ separate. Tuttavia, l'opzione migliore è utilizzare PVLAN. Se le porte a cui sono collegati i server non inoltreranno i pacchetti tra loro a livello di collegamento dati, allora non ci sarà traffico tra i server e l'unico modo per comunicare tra loro è passare attraverso il Firewall, su cui questa connessione deve essere consentita e trasferita alla porta desiderata . Tali porte che non trasmettono traffico reciproco a livello del collegamento dati vengono chiamate isolate.
La stessa idea si applica ai computer all'interno della rete locale. Analizzare attentamente i flussi di informazioni e impostare esplicitamente con l'aiuto di un interruttore tra i quali è possibile lo scambio di dati tra computer.
Utilizzando lo stesso meccanismo, gli utenti possono essere uniti in gruppi (comunità) all'interno dei quali è organizzata la loro comunicazione "dedicata". Allo stesso tempo, utenti e gruppi isolati possono trasferire il loro traffico alle cosiddette porte pubbliche (promiscue) su cui funzionano il router, il firewall e il sistema di rilevamento degli attacchi.
Cisco PVLAN è implementato in modo tale che il traffico che arriva alla porta promiscua può essere distribuito su qualsiasi altra porta come isolata e comunità. Il traffico che arriva a un porto isolato può essere instradato solo verso un porto promiscuo. Il traffico che arriva a un porto della comunità può essere diretto verso un porto promiscuo e verso porti appartenenti alla stessa comunità.
Pertanto, pur essendo nella stessa VLAN, gli host che nello schema del flusso di informazioni non dovrebbero avere traffico reciproco non riceveranno un singolo pacchetto l'uno dall'altro. L'unico modo per scambiare informazioni è registrare esplicitamente una regola sul firewall o sul router che consenta il trasferimento di pacchetti tra di loro. Ma questa regola funziona già al terzo livello del modello OSI, nel qual caso è possibile utilizzare l'elenco di accesso e le regole del firewall per specificare esplicitamente le porte e i protocolli consentiti.
Se scavi più a fondo, quando l'host 1 invia una richiesta ARP (alla ricerca dell'indirizzo MAC dell'host 2 con l'IP di cui ha bisogno dalla stessa sottorete), l'host 2 non riceve questa richiesta e non risponde all'host 1, poiché entrambi si trovano su porte isolate. Abbiamo assicurato che l'host 1 ritiene che l'host 2 non sia disponibile e viceversa. Pertanto, il compito di controllare il traffico all'interno della rete è risolto e, soprattutto, non è necessario suddividere la rete in sottoreti. Possiamo applicare senza problemi la tecnologia PVLAN alle reti esistenti.
Quando abbiamo bisogno che i server comunichino tra loro, il router (o il firewall) può rispondere che questo host è accessibile attraverso di esso. Questa tecnica si chiama Proxy ARP. L'host 1 pensa che l'host 2 si trovi in \u200b\u200bun segmento diverso e invia un pacchetto IP attraverso un router (o firewall). Cioè, si scopre che il pacchetto contiene l'indirizzo MAC del router e l'indirizzo IP dell'host 2. Ma il router (o il firewall) decide già di trasmettere il pacchetto all'host 2 o meno.
Va notato che esiste anche una vulnerabilità di questo metodo: se si utilizza un router che non ha regole di accesso e, senza esitazione, instrada tutti i pacchetti che gli arrivano, un utente malintenzionato dall'host 1 può inviare un pacchetto in modo specifico con l'indirizzo MAC del router, ma con indirizzo IP host 2. Tale pacchetto passerà attraverso una porta isolata al router e quindi verrà inviato dal router all'host 2. Pertanto, è necessario aggiungere regole di accesso sul router (o firewall) che vietano o consentire esplicitamente tali pacchetti o utilizzare l'elenco di controllo accessi VLAN aggiuntivo (VACL) sull'interruttore.
In precedenza, all'interno di uno switch c'era una funzione simile chiamata porta protetta, ma funzionava solo all'interno di uno switch e le informazioni sulle porte protette non venivano trasmesse su trunk. Ora questo concetto è ampliato e integrato dai porti della comunità.
La tecnologia PVLAN può essere praticamente implementata su un numero sufficientemente ampio di switch attualmente gestiti con porte Ethernet con una velocità di 10/100/1000 megabit al secondo.
Viene descritta l'implementazione specifica di questi schemi sugli switch Cisco.
Ci sono molte informazioni utili e utili su Internet. Ora le persone hanno iniziato a navigare su Internet più spesso per scoprire le ultime notizie, le previsioni del tempo, vedere i moduli (istruzioni su come fare qualcosa), cucinare ricette o semplicemente specificare come avvitare una lampadina in un lampadario. Ci sono molte informazioni su Internet, riesci a inserire tutti i tipi di query nella barra di ricerca di Yandex o Google. Ma tra le informazioni utili, vi è dannoso e osceno sotto forma di immagini, testo e video osceni.
È molto importante racchiudere i bambini da tali contenuti, dato che recentemente sono apparse molte informazioni che violano la psiche di un bambino oltre il riconoscimento. La prima cosa, ovviamente, è monitorare i genitori del bambino a casa e gli insegnanti a scuola quali siti visita su Internet, condurre conversazioni e altro.
Ma non è sempre possibile tenere traccia del bambino, quindi ci sono sistemi di filtro dei contenuti (SCF). Ad oggi, sul mercato delle tecnologie dell'informazione SCF sono offerte molte informazioni, ad esempio uno dei servizi più diffusi SkyDNS - Sistema di filtraggio dei contenuti a pagamento e parzialmente gratuito per scuole, uffici e case.
È inoltre possibile utilizzare il sistema di accesso a Internet completamente gratuito.
Cos'è il Rejector del server DNS e le sue funzionalità
- un sistema centralizzato di filtro dei contenuti e controllo dell'accesso a Internet, con il quale è possibile creare protezione per i bambini da informazioni oscene, immagini, video e siti vietati (+18) e protezione da virus (poiché i programmi dannosi sono abbastanza comuni su tali siti). In poche parole, Rejector è un server DNS con la capacità di gestirlo in remoto e centralmente.
Il servizio Rejector ha le seguenti caratteristiche:
- Supporto per indirizzi IP statici e dinamici (indirizzo IP da cui vengono elaborate le richieste);
- Categorie di filtrazione (filtro per ufficio, filtro per bambini, filtro individuale);
- Eccezioni (elenco in bianco e nero);
- Segnalibri (è possibile salvare l'URL lungo del sito con il nome breve);
- statistiche;
- Feedback dell'amministratore con gli utenti della rete;
- Intervallo di tempo (è possibile impostare il giorno e l'ora in cui agirà il filtro).
Come funziona il servizio Rejector: registrazione, impostazione e avvio del filtro contenuti
Per utilizzare tutte le funzioni del servizio Rejector - blocco di siti e contenuti indesiderati, è necessario registrarsi inserendo tutti i dati necessari.
Dopo la registrazione, il pannello di controllo del sistema di filtro dei contenuti sarà disponibile per l'utente. E puoi iniziare a gestire il servizio web. Tutto accade centralmente, cioè dal tuo computer.
Sezione "Reti"
Per prima cosa, vai alla sezione "Reti" e configurare le impostazioni:
- Inserisci il nome della tua rete (qualsiasi nome, puoi usare l'alfabeto cirillico o latino).
- Seleziona lo stato: indirizzo IP statico o indirizzo IP dinamico. Tutto dipende dalle impostazioni del tuo provider. Devi verificare con il tuo provider qual è il tuo indirizzo.
Spiegazione:
Un indirizzo IP statico è l'indirizzo permanente del computer senza limiti di tempo durante la connessione a Internet. Viene emesso dal provider ed è registrato principalmente dall'utente nelle impostazioni del computer o del router.
Un indirizzo IP dinamico è un indirizzo di computer (variabile) instabile che viene assegnato automaticamente quando il dispositivo è connesso alla rete e viene utilizzato per un determinato periodo di tempo.
Con un indirizzo IP statico, tutto è semplice, viene visualizzato nell'angolo in alto a destra. Devi copiarlo e incollarlo nel campo dell'indirizzo IP o cercare.
Con gli indirizzi dinamici, tutto sarà molto più complicato, perché possono cambiare ogni giorno e per alcuni provider nelle impostazioni è prescritto che ogni 3-4 ore.
Per configurare un indirizzo IP dinamico, si consiglia di utilizzare un servizio Web dyn.com/DNS/, anche se come ho notato, è stato pagato. Puoi anche cercare dyndns gratuiti in linea. Gli utenti di Windows possono usare Agente di rifiuto .
Nei seguenti articoli, proverò a scrivere come configurare il rilevamento automatico e l'aggiornamento degli indirizzi dinamici.
Sezione "Filtrazione" Puoi scegliere l'elenco bianco e nero adatto a te in base al quale filtrare il contenuto. Ce ne sono già pronti: un filtro per ufficio, un filtro per bambini, un filtro senza lama e altri.
Scegliendo È possibile configurare il filtro del contenuto in base alle singole impostazioni, ovvero selezionare le categorie di siti che verranno bloccate.
Nella sezione eccezioni È possibile perfezionare l'elenco dei siti che devono essere bloccati, o viceversa, che devono necessariamente avere accesso a Internet. Se più semplice, perfezionamento dell'elenco bianco e nero.
Sezione segnalibri
Sezione "Statistiche"
La sezione "Statistiche" è progettata per tenere traccia del numero di richieste di URL di siti, risorse Web bloccate, richieste errate per un determinato periodo di tempo (l'utente può specificare il periodo di tempo di cui ha bisogno).
Sezione Richieste
Nella sezione "Richieste", l'amministratore riceve messaggi dagli utenti della rete su una richiesta di apertura (sblocco del sito). Gli utenti possono inviare richieste dalla pagina di blocco. A proposito, la pagina di blocco può essere configurata nella sezione "Reti" facendo clic sul collegamento Sintonizzare nella tua pagina di divieto.
Sezione "Intervallo di tempo"
La sezione "Intervallo di tempo" è dedicata alle impostazioni con il tempo in cui il filtro contenuti funziona sulla rete. Ad esempio, è possibile configurare il servizio Rejector per non bloccare i siti dopo le 17:30, ecc.
Per cancellare la cache in Windows, è necessario eseguire il comando ipconfig / flushdns.
Dopo le azioni sopra descritte, possiamo dire che la maggior parte del lavoro viene svolto per filtrare completamente il contenuto.
Resta da configurare la scheda di rete nel sistema operativo installato sul computer o effettuare le impostazioni nel router (router).
Configurazione della scheda di rete e del router (router)
Non è rimasto assolutamente nulla per avviare completamente il sistema di filtro dei contenuti di Rejector sul tuo computer o nella tua organizzazione (ufficio, scuola). È necessario registrare il server DNS Rejector: 95.154.128.32 e 78.46.36.8. Senza questo, non sarà possibile filtrare i siti e i contenuti vietati.
Viene scritta l'impostazione dei server DNS per l'utilizzo di Rejector in Windows (Windows XP, Windows Vista e Windows 7). Pertanto, non vedo il punto nello scrivere una nuova istruzione. È stata scritta un'istruzione passo-passo con schermate.
Ma non ho trovato le impostazioni dei router per Rejector sul loro sito web. Esistono molti router e quindi non è possibile descrivere ciascun router. L'esempio è presentato istruzioni per la configurazione di un router (router)D-Link DIR-300NRUB5.
Quindi, in tutto il suo splendore, si aprirà il pannello amministrativo del router, dove è possibile effettuare le impostazioni. Se hai già configurato il tuo router con il tuo provider o te stesso e hai accesso a Internet, devi apportare modifiche ai server dei nomi (in questo caso). Per fare ciò, vai alla sezione del menu "Avanzate" e seleziona "Server dei nomi". Quindi, come mostrato nello screenshot, inserire il Rejector del server DNS: 95.154.128.32 e 78.46.36.8 .
Salviamo le modifiche e sovraccarichiamo il router in modo che le impostazioni abbiano effetto!
Ad esempio, recentemente configurato. Nel pannello di controllo di questo router, vai alla sezione menu "Netto", Ulteriore pallido e nei campi server DNS preferito e alternativo Immettere il server DNS Rejector appropriato.
Se ci sono problemi nella configurazione del router, scrivi nei commenti qui sotto, proveremo ad aiutarti a configurare il filtro contestuale.
Se non vuoi spendere soldi per un sistema di filtraggio dei contenuti per la tua casa, piccolo ufficio o scuola (organizzazione educativa), il servizio Rejector sarà lo strumento adatto per bloccare i computer da contenuti inappropriati su Internet.
Scrivi nei commenti come proteggi i tuoi figli e cosa significa usare per bloccare siti indesiderati sul tuo computer.
Il filtraggio dei flussi di informazioni consiste nel loro passaggio selettivo attraverso lo schermo, possibilmente con l'implementazione di alcune trasformazioni e la notifica al mittente che ai loro dati è stato negato l'accesso. Il filtro si basa su una serie di regole precaricate nella schermata e che sono espressione degli aspetti di rete della politica di sicurezza adottata. Pertanto, è conveniente rappresentare il firewall come una sequenza di filtri (Fig. A.2) che elaborano il flusso di informazioni. Ciascuno dei filtri è progettato per interpretare le singole regole di filtro eseguendo le seguenti operazioni:
1. Analisi delle informazioni secondo i criteri specificati nelle regole interpretate, ad esempio, gli indirizzi del destinatario e del mittente o in base al tipo di domanda a cui tali informazioni sono destinate.
2. Decisioni basate sulle regole interpretate di una delle seguenti decisioni:
Non saltare i dati;
Elaborare i dati per conto del destinatario e restituire il risultato al mittente;
Trasferisci i dati al filtro successivo per continuare l'analisi;
Salta i dati ignorando i seguenti filtri.
Figura. A.2. Struttura del firewall
Le regole di filtro possono anche specificare azioni aggiuntive che riguardano le funzioni di mediazione, ad esempio la conversione dei dati, la registrazione degli eventi, ecc. Di conseguenza, le regole di filtro determinano un elenco di condizioni in base alle quali, utilizzando i criteri di analisi specificati,
autorizzazione o divieto di ulteriore trasferimento di dati;
esecuzione di ulteriori funzioni protettive.
I seguenti parametri possono essere utilizzati come criteri per l'analisi del flusso di informazioni:
campi di servizio di pacchetti di messaggi contenenti indirizzi di rete, identificatori, indirizzi di interfaccia, numeri di porta e altri dati significativi;
contenuti diretti di pacchetti di messaggi, controllati, ad esempio, per la presenza di virus informatici;
caratteristiche esterne del flusso di informazioni, ad esempio temporanee,
caratteristiche di frequenza, volume di dati, ecc.
I criteri di analisi utilizzati dipendono dai livelli del modello OSI a cui viene eseguito il filtro. In generale, maggiore è il livello del modello OSI a cui il firewall filtra i pacchetti, maggiore è il livello di protezione fornito.
Mediazione
Il firewall svolge funzioni di mediazione con l'aiuto di programmi speciali chiamati agenti di screening o semplicemente programmi di intermediazione. Questi programmi sono residenti e vietano la trasmissione diretta di pacchetti di messaggi tra la rete esterna e interna.
Se è necessario accedere dalla rete interna alla rete esterna o viceversa, è necessario innanzitutto stabilire una connessione logica con il programma intermedio che funziona sullo schermo del computer. Il programma intermedio verifica la validità dell'interworking richiesto e, quando abilitato, stabilisce esso stesso una connessione separata al computer richiesto. Inoltre, lo scambio di informazioni tra computer sulle reti interne ed esterne viene effettuato attraverso un intermediario software in grado di filtrare il flusso di messaggi, nonché svolgere altre funzioni protettive.
Dovrebbe essere chiaro che il firewall può eseguire funzioni di filtro senza l'uso di programmi intermedi, fornendo un'interazione trasparente tra le reti interne ed esterne. Tuttavia, gli intermediari software potrebbero non filtrare il flusso di messaggi. In generale, gli agenti schermanti, bloccando la trasmissione trasparente del flusso di messaggi, possono svolgere le seguenti funzioni:
identificazione e autenticazione dell'utente;
autenticazione dei dati trasmessi;
differenziazione dell'accesso alle risorse di rete interne;
differenziazione dell'accesso alle risorse di rete esterne;
filtraggio e conversione del flusso di messaggi, ad esempio scansione dinamica dei virus e crittografia trasparente delle informazioni;
traduzione di indirizzi di rete interni per pacchetti di messaggi in uscita;
registrazione degli eventi, risposta agli eventi richiesti, nonché analisi delle informazioni registrate e generazione di report;
memorizzazione nella cache dei dati richiesti da una rete esterna.
Per un elevato livello di sicurezza, è richiesta l'identificazione e l'autenticazione degli utenti non solo quando si accede dalla rete esterna a quella interna, ma anche viceversa. La password non deve essere trasmessa in forma chiara attraverso comunicazioni pubblicamente disponibili. Ciò impedirà l'accesso non autorizzato intercettando i pacchetti di rete, il che è possibile, ad esempio, nel caso di servizi standard come Telnet. Il modo migliore per autenticarsi è utilizzare password monouso. Anche l'uso di certificati digitali emessi da autorità fiduciarie, come un centro di distribuzione chiave, è conveniente e affidabile. La maggior parte dei programmi intermedi sono progettati in modo tale che l'utente sia autenticato solo all'inizio della sessione del firewall. Successivamente, non è necessaria un'ulteriore autenticazione da parte sua per il tempo determinato dall'amministratore. I programmi intermedi possono autenticare i dati ricevuti e trasmessi. Ciò vale non solo per l'autenticazione dei messaggi elettronici, ma anche per i programmi di migrazione (Java, ActiveXControls), per i quali è possibile eseguire una contraffazione. L'autenticazione di messaggi e programmi è controllare le loro firme digitali. A tale scopo è possibile utilizzare anche certificati digitali. L'identificazione e l'autenticazione degli utenti durante l'accesso al firewall consente di differenziare il loro accesso alle risorse di rete interne o esterne. I metodi di differenziazione rispetto alle risorse di rete interne non sono diversi dai metodi di differenziazione supportati a livello di sistema operativo. Con controllo degli accessi perle risorse di rete esterne utilizzano spesso uno dei seguenti approcci:
autorizzazione ad accedere solo agli indirizzi specificati nella rete esterna;
filtrare le richieste in base a elenchi aggiornati di indirizzi non validi e bloccare la ricerca di risorse informative mediante parole chiave indesiderate;
accumulo e aggiornamento da parte dell'amministratore delle risorse di informazioni autorizzate della rete esterna nella memoria del disco del firewall e completo divieto di accesso alla rete esterna.
Il filtro e la conversione del flusso di messaggi vengono eseguiti dall'intermediario in base a una determinata serie di regole. Qui si dovrebbero distinguere due tipi di programmi intermedi:
gli agenti di protezione si sono concentrati sull'analisi del flusso di messaggi per alcuni tipi di servizio, ad esempio FTP, HTTP, Telnet;
agenti di protezione universale che elaborano l'intero flusso di messaggi, ad esempio agenti volti alla ricerca e alla neutralizzazione di virus informatici o crittografia dei dati trasparente. L'intermediario del software analizza i pacchetti di dati che arrivano ad esso e se un oggetto non soddisfa i criteri specificati, l'intermediario blocca il suo ulteriore avanzamento o esegue trasformazioni appropriate, ad esempio neutralizzando i virus informatici rilevati. Quando si analizza il contenuto dei pacchetti, è importante che l'agente di protezione possa estrarre automaticamente gli archivi dei file di passaggio.
I firewall con intermediari consentono anche di organizzare reti virtuali sicure (VirtualPrivateNetwork-VPN), ad esempio, combinare in modo sicuro diverse reti locali connesse a Internet in un'unica rete virtuale.VPN fornisce una connessione trasparente per le reti locali per gli utenti, mantenendo la segretezza e l'integrità delle informazioni trasmesse crittografandole dinamicamente. Quando si trasmette via Internet, è possibile crittografare non solo i dati dell'utente, ma anche le informazioni di servizio: indirizzi di rete, numeri di porta, ecc. I programmi di mediazione possono anche svolgere una funzione così importante come la trasmissione di indirizzi di rete interni. Questa funzione è implementata in relazione a tutti i pacchetti che seguono dalla rete interna a quella esterna. Per questi pacchetti, il broker traduce automaticamente gli indirizzi IP dei computer di invio in un indirizzo IP "affidabile" associato al firewall dal quale vengono trasmessi tutti i pacchetti in uscita. Di conseguenza, tutti i pacchetti provenienti dalla rete interna vengono inviati dal firewall, il che elimina il contatto diretto tra la rete interna autorizzata e la rete esterna potenzialmente pericolosa.L'indirizzo IP del firewall diventa l'unico indirizzo IP attivo che entra nella rete esterna.
Con questo approccio, la topologia della rete interna è nascosta agli utenti esterni, il che complica il compito di accesso non autorizzato. Oltre ad aumentare la sicurezza, la traduzione degli indirizzi consente di avere un proprio sistema di indirizzamento all'interno della rete che non è coerente con l'indirizzamento su una rete esterna, ad esempio su Internet. Ciò risolve efficacemente il problema dell'espansione dello spazio degli indirizzi della rete interna e del deficit di indirizzi della rete esterna. Le funzioni importanti dei programmi intermedi sono la registrazione degli eventi, la risposta a eventi specifici, nonché l'analisi delle informazioni e dei rapporti registrati. Come risposta obbligatoria al rilevamento di tentativi di eseguire azioni non autorizzate, è necessario definire una notifica da parte dell'amministratore, ovvero l'emissione di segnali di avvertimento. Qualsiasi firewall che non è in grado di inviare avvisi quando viene rilevato un attacco non è un firewall efficace.
Molti firewall contengono un potente sistema per la registrazione, la raccolta e l'analisi delle statistiche. La contabilità può essere effettuata presso gli indirizzi client e server, identificativi utente, tempo di sessione, tempo di connessione, quantità di dati trasmessi / ricevuti, azioni dell'amministratore e degli utenti. I sistemi di contabilità consentono di analizzare le statistiche e fornire agli amministratori rapporti dettagliati. Attraverso l'uso di protocolli speciali, gli intermediari possono avvisare in remoto determinati eventi in tempo reale. Con l'aiuto di intermediari speciali, è supportata anche la memorizzazione nella cache dei dati richiesti da una rete esterna. Quando gli utenti della rete interna accedono alle risorse di informazioni della rete esterna, tutte le informazioni si accumulano nello spazio sul disco rigido del firewall, che in questo caso viene chiamato server proxy. Pertanto, se alla richiesta successiva vengono visualizzate le informazioni necessarie sul server proxy, l'intermediario le fornisce senza accedere alla rete esterna, il che accelera notevolmente l'accesso. L'amministratore dovrebbe occuparsi solo di aggiornare periodicamente i contenuti del server proxy.
La funzione di memorizzazione nella cache può essere utilizzata con successo per limitare l'accesso alle risorse informative di una rete esterna. In questo caso, tutte le risorse di informazioni autorizzate della rete esterna vengono accumulate e aggiornate dall'amministratore sul server proxy. Agli utenti della rete interna è consentito l'accesso solo alle risorse di informazioni del server proxy ed è vietato l'accesso diretto alle risorse di rete esterne. Gli agenti schermanti sono molto più affidabili dei filtri convenzionali e offrono un maggior grado di protezione. Tuttavia, riducono la produttività dello scambio di dati tra reti interne ed esterne e non possiedono il grado di trasparenza per le applicazioni e gli utenti finali tipico dei filtri semplici.
Funzionalità del firewall a diversi livelli del modello OSI
I firewall supportano la sicurezza interworking a vari livelli del modello OSI. Inoltre, le funzioni di protezione eseguite a diversi livelli del modello di riferimento sono significativamente diverse l'una dall'altra. Pertanto, è conveniente presentare un firewall complesso sotto forma di una serie di schermate indivisibili, ciascuna delle quali è focalizzata su un livello separato del modello OSI. Molto spesso, uno schermo complesso opera a livello di rete, sessione e applicazione del modello di riferimento. Di conseguenza, si distinguono tali firewall indivisibili (Fig. A.3), come un router di schermatura, un trasporto di schermatura (gateway a livello di sessione) e un gateway di schermatura (gateway a livello di applicazione).
Considerando che i protocolli utilizzati nelle reti (TCP / IP, SPX / IPX) non corrispondono in modo inequivocabile al modello OSI, le schermate di questi tipi, quando eseguono le loro funzioni, possono anche coprire i livelli vicini del modello di riferimento. Ad esempio, la schermata dell'applicazione può crittografare automaticamente i messaggi quando vengono inviati a una rete esterna, nonché decodificare automaticamente i dati ricevuti crittografati chiusi. In questo caso, tale schermata funziona non solo a livello di applicazione del modello OSI, ma anche a livello di presentazione. Il gateway a livello di sessione durante il suo funzionamento copre i livelli di trasporto e di rete del modello OSI. Durante l'analisi dei pacchetti di messaggi, il router di screening controlla le loro intestazioni non solo sulla rete, ma anche sul livello di trasporto.
Ogni tipo di firewall ha i suoi vantaggi e svantaggi. Molti dei firewall utilizzati sono gateway di applicazioni o router di schermatura, che non supportano la sicurezza completa dell'interworking. Una protezione affidabile è fornita solo da firewall complessi, ognuno dei quali combina un router di schermatura, un gateway a livello di sessione e un gateway applicazione.
Figura. A.3. Tipi di firewall che operano a livelli separati del modello OSI
Come ho ripetutamente detto nei miei articoli su Windows Firewall con sicurezza avanzata, a partire da Windows Vista e Windows Server 2008 R2, Windows Firewall migliora automaticamente la sicurezza di ogni computer nell'organizzazione bloccando tutto il traffico in entrata che non era esplicitamente consentito modo. Quando si installa un'applicazione o un componente di un sistema operativo che richiede connessioni in entrata, il sistema operativo include automaticamente le regole del firewall in entrata e, nella maggior parte dei casi, non è necessario configurarle manualmente. Se si apre lo snap-in direttamente dal pannello di controllo o eseguendo il comando wf.msc nella finestra di dialogo "Correre"o dalla riga di comando, vedrai che hai già alcune regole abilitate automaticamente. Ad esempio, questa potrebbe essere una regola creata automaticamente quando si installa Windows Live Messenger o quando si distribuisce il ruolo Hyper-V, come mostrato nella figura seguente:
Figura. 1. Regole in entrata assegnate automaticamente
Ma non in tutti i casi, le regole in entrata di Windows Firewall vengono create automaticamente. Per alcune applicazioni che non creano regole in entrata predefinite, dovrai creare le regole manualmente. Se tale programma è installato su un computer o su più computer che si trovano in un gruppo di lavoro, è possibile creare regole direttamente nello snap-in "Windows Firewall con sicurezza avanzata". Ma cosa succede se i computer dei tuoi dipendenti sono membri di un dominio e ci sono dozzine, se non centinaia, di tali computer? In questo caso, affinché l'amministratore applichi le regole di Windows Firewall nell'organizzazione, è necessario utilizzare Criteri di gruppo, che fornisce un'interfaccia simile.
In questo articolo, imparerai come è possibile eseguire una gestione flessibile di Windows Firewall in modalità Sicurezza avanzata utilizzando i criteri di gruppo, in particolare sulla creazione di connessioni in entrata e in uscita per un gruppo specifico di utenti.
Creare un oggetto Criteri di gruppo per gestire i firewall di Windows con sicurezza avanzata
Prima di creare regole di connessione in entrata e in uscita per i firewall di Windows nella modalità di sicurezza dei computer client dell'organizzazione, è necessario trovare le unità che contengono gli account dei computer dell'organizzazione e creare un oggetto Criteri di gruppo che conterrà quindi una serie di criteri con le impostazioni per un set specifico di computer . Successivamente, utilizzando lo snap-in, sarà necessario configurare le regole per le connessioni in entrata e in uscita. Non esiste nulla di specifico nel processo di creazione di un oggetto Criteri di gruppo per la gestione dei firewall di Windows in Sicurezza avanzata. Per fare ciò, attenersi alla seguente procedura:
Dopo aver completato tutti i passaggi precedenti, è possibile creare regole in entrata e in uscita per Windows Firewall in modalità Sicurezza avanzata.
Configurazione di una regola per le connessioni in entrata e in uscita
A questo punto, creeremo una regola di connessione in entrata che si applica a Windows Live Messenger sulla porta 1900 per i sistemi operativi Windows Vista e Windows 7 a 64 bit, nonché una regola in uscita che consente le richieste da Internet Explorer nell'oggetto Criteri di gruppo, che Creato nella sezione precedente di questo articolo. Per impostazione predefinita, i membri del gruppo di amministratori locali possono anche creare e modificare regole per le connessioni in entrata e in uscita nello snap-in. "Windows Firewall con sicurezza avanzata". Tali regole sono combinate con le regole ottenute dai criteri di gruppo e vengono applicate alla configurazione del computer. Per creare una regola in entrata in un oggetto Criteri di gruppo creato in precedenza, attenersi alla seguente procedura:
- Nel nodo "Oggetti Criteri di gruppo" snap-in seleziona l'oggetto Criteri di gruppo creato in precedenza, in questo caso l'oggetto "Configurazione di Windows Firewall"fai clic destro su di esso "Modificare";
- In un attimo Editor di gestione dei criteri di gruppo nella struttura della console espandere Configurazione computer \\ Criteri \\ Impostazioni di Windows \\ Impostazioni di sicurezza \\ Windows Firewall con sicurezza avanzata \\ Windows Firewall con sicurezza avanzata \\ Regole per connessioni in entrata. Fare clic con il tasto destro del mouse "Regole per le connessioni in entrata" e seleziona il comando dal menu contestuale Crea regolacome mostrato nella seguente illustrazione:
- Nella prima pagina "Procedure guidate per la creazione di una regola per una nuova connessione in entrata" Puoi scegliere una delle opzioni che sono descritte in dettaglio di seguito:
- Per il programma. Questo tipo di regola per un firewall viene utilizzato per creare una regola che consente o blocca le connessioni a un file eseguibile specifico, indipendentemente dai numeri di porta utilizzati. Per la maggior parte delle persone, questo tipo di regola può essere la più utile, poiché non tutti sanno quali porte vengono utilizzate da un determinato programma. Nella maggior parte dei casi, è meglio applicare questo particolare tipo di regola, ma prestare attenzione al fatto che questo tipo non si applica se un determinato servizio non contiene il proprio file eseguibile;
- Per porto. Questo tipo di regola per un firewall viene utilizzato per creare una regola che consente o blocca la comunicazione per una porta TCP o UDP specifica, indipendentemente dal programma che genera traffico. Quando si crea una regola di questo tipo, è possibile specificare più porte contemporaneamente;
- predefiniti. Questo tipo di regola per un firewall viene utilizzato per creare una regola che controlla le connessioni di un programma o servizio specifico del sistema operativo, che viene visualizzato nell'elenco a discesa corrispondente. Alcuni programmi dopo l'installazione aggiungono le loro voci a questo elenco per semplificare il processo di creazione di regole per le connessioni in entrata;
- personalizzabile. Questo tipo di regola per un firewall viene utilizzato per creare una regola in grado di combinare contemporaneamente le informazioni sul programma e sulla porta.
- Sulla pagina "Programma" la procedura guidata Crea regola per nuova connessione in entrata consente di specificare il percorso del programma in cui Windows Firewall nella modalità di sicurezza avanzata controllerà i pacchetti di rete inviati o ricevuti per soddisfare questa regola. Nel nostro caso, impostare l'interruttore sull'opzione "Il percorso del programma" e nel campo di testo corrispondente presentiamo "C: \\ Programmi (x86) \\ Windows Live \\ Messenger \\ msnmsgr.exe"come sotto:
- Sulla pagina "Protocollo e porte" procedura guidata per la creazione di una regola per una nuova connessione in entrata, è possibile specificare il protocollo e le porte utilizzate nel pacchetto di rete che soddisferanno la regola corrente. Se è necessario specificare più porte, è possibile inserirle separate da virgole. E se è necessario specificare un intervallo intero di porte, separare i valori delle porte più piccoli e più grandi con un trattino. Considerare brevemente le impostazioni della porta locale per le regole in entrata:
- Tutte le porte. La regola si applica a tutte le connessioni in entrata e in uscita tramite TCP o UDP;
- Porti speciali. In questo caso, è possibile specificare porte specifiche che verranno utilizzate per le connessioni in entrata o in uscita tramite TCP o UDP;
- Mappatore endpoint RPC. Questo valore può essere selezionato solo per le connessioni TCP in entrata. In questo caso, il computer riceverà le richieste RPC in arrivo tramite TCP attraverso la porta 135 nella richiesta RPC-EM, in cui è indicato il servizio di rete e viene richiesto il numero di porta, su cui è ascoltato questo servizio di rete;
- Porte RPC dinamiche. Come per il valore precedente, questo valore può essere selezionato solo per le connessioni TCP in entrata, in cui il computer riceverà i pacchetti RPC di rete in entrata attraverso le porte assegnate dall'ambiente di runtime RPC;
- IPHTTPS. Questo valore è disponibile solo per le connessioni TCP in entrata. In questo caso, è consentito ricevere pacchetti in entrata utilizzando il protocollo di tunneling IPHTTPS, che supporta l'implementazione di pacchetti IPv6 in pacchetti di rete HTTPS IPv4 da un computer remoto;
- Bypass del nodo. È possibile selezionare questo valore solo per le connessioni UDP in entrata, che consente di ricevere pacchetti di rete Teredo in entrata.
- Sulla pagina "Regione" In questa procedura guidata, è possibile specificare gli indirizzi IP dei computer locali e remoti il \u200b\u200bcui traffico di rete verrà utilizzato per la regola corrente. Sono disponibili due sezioni qui: indirizzi IP locali e remoti a cui verrà applicata questa regola. Sia nella prima che nella seconda sezione, il traffico di rete soddisferà questa regola solo se l'indirizzo IP di destinazione è in questo elenco. Quando si seleziona un'opzione Qualsiasi indirizzo IP, la regola verrà soddisfatta dai pacchetti di rete con qualsiasi indirizzo IP, che verrà specificato come l'indirizzo del computer locale o che verrà indirizzato da qualsiasi indirizzo IP (nel caso della regola per le connessioni in entrata). Se è necessario specificare indirizzi IP specifici, selezionare l'opzione sull'opzione "Indirizzi IP specificati" e un indirizzo o sottorete specifici utilizzando la finestra di dialogo che si apre facendo clic sul pulsante Inserisci. Nel nostro caso, lasciare invariata questa pagina e fare clic sul pulsante "Ulteriore";
- Sulla pagina "Atto" In questa regola puoi scegliere l'azione che verrà eseguita per i pacchetti in entrata o in uscita. Qui puoi scegliere una delle tre azioni seguenti:
- Consenti connessione. Quando si sceglie questo valore, si consentono tutte le connessioni che corrispondono ai criteri specificati in tutte le pagine precedenti della procedura guidata;
- Consenti connessione sicura. Il valore corrente per la regola di Windows Firewall in modalità Sicurezza avanzata consente alle connessioni di essere consentite solo se soddisfano i criteri specificati in precedenza e sono anche protette da IPSec. Non ci soffermeremo su questo valore, poiché sarà esaminato in dettaglio nei miei prossimi articoli;
- Blocca connessione. In questo caso, Windows Firewall con sicurezza avanzata ripristinerà tutti i tentativi di connessione che corrispondono ai criteri specificati in precedenza. Nonostante il fatto che inizialmente tutte le connessioni siano bloccate da un firewall, è consigliabile scegliere questo valore se è necessario vietare le connessioni per un'applicazione specifica.
- Sulla pagina "Profilo" procedura guidata per creare una regola per una nuova connessione in entrata, è possibile selezionare il profilo a cui verrà applicata questa regola. Puoi scegliere uno dei tre profili disponibili o diversi contemporaneamente. Molto spesso, viene selezionata un'organizzazione o un profilo "Dominio" o tutti e tre i profili. Se la tua organizzazione non utilizza i Servizi di dominio Active Directory o configuri le regole del firewall per un computer di casa, devi solo specificare un profilo "Privato". Regole del profilo "Pubblico" Sono creati per collegamenti pubblici, cosa che in linea di principio non è sicura. Nel nostro caso, selezionare le caselle su tutti e tre i profili e fare clic sul pulsante. "Ulteriore";
- Sulla pagina "Nome" specificare un nome per la nuova regola di Windows Firewall in modalità Sicurezza avanzata per la connessione in entrata, se necessario, immettere una descrizione per la regola corrente e fare clic sul pulsante Fatto.
Figura. 6. Creare una nuova regola per le connessioni in entrata
Per considerare il numero massimo di pagine nella procedura guidata, selezionare il tipo Regola personalizzata;
Figura. 7. La pagina "Tipo di regola" della procedura guidata Crea regola per nuova connessione in entrata
Figura. 8. Pagina del programma della procedura guidata per la creazione di regole per una nuova connessione in entrata
Ad esempio, per specificare le porte 80, 443 e 1900 per il programma TCP di Windows Live Messenger, nell'elenco a discesa "Tipo di protocollo" Selezionare "TCP"nell'elenco a discesa "Porta locale" seleziona valore Porte specialie nella casella di testo sotto il menu a discesa sopra entra "80, 443, 1900". Lascia il valore dell'elenco a discesa Porta remota nessuna modifica e fare clic sul pulsante "Ulteriore";
Figura. 9. La pagina Protocollo e porte della procedura guidata Crea regola per nuova connessione in entrata
Figura. 10. Pagina Ambito della procedura guidata Crea regola per nuova connessione in entrata
Poiché è necessario consentire l'accesso per il programma Windows Live Messenger, impostare l'opzione sulle opzioni "Consenti connessione" e fai clic sul pulsante "Ulteriore";
Figura. 11. Pagina delle azioni della procedura guidata Crea regola per nuova connessione in entrata
Figura. 12. Pagina del profilo della procedura guidata di creazione della regola per una nuova connessione in entrata
Figura. 13. La pagina Nome della procedura guidata Crea regola per nuova connessione in entrata
Per impostazione predefinita, Windows Firewall con sicurezza avanzata consente tutto il traffico in uscita, il che espone essenzialmente il tuo computer a un rischio minore di pirateria informatica rispetto al traffico in entrata. Ma, in alcuni casi, è necessario controllare non solo il traffico in entrata, ma anche quello in uscita sui computer degli utenti. Ad esempio, prodotti software dannosi come worm e determinati tipi di virus possono replicarsi. Cioè, se il virus è stato in grado di identificare correttamente il computer, allora proverà con tutti i modi (per se stesso) disponibili per inviare il traffico in uscita per identificare altri computer nella rete. Ci sono alcuni esempi del genere. Il blocco del traffico in uscita interromperà necessariamente il funzionamento della maggior parte dei componenti integrati del sistema operativo e del software installato. Pertanto, quando si abilita il filtro connessioni in uscita, è necessario testare attentamente ogni applicazione installata sui computer degli utenti.
La creazione di regole in uscita è leggermente diversa dalla procedura sopra descritta. Ad esempio, se hai bloccato tutte le connessioni in uscita sui computer degli utenti e devi consentire agli utenti l'accesso per utilizzare Internet Explorer, procedi nel seguente modo:
- Se si desidera assegnare la regola di Windows Firewall per la connessione in uscita in un nuovo oggetto Criteri di gruppo, seguire i passaggi nella sezione "Creazione di un oggetto Criteri di gruppo per gestire i firewall di Windows con sicurezza avanzata";
- In un attimo Editor di gestione dei criteri di gruppo nella struttura della console espandere Configurazione computer \\ Criteri \\ Impostazioni di Windows \\ Impostazioni di sicurezza \\ Windows Firewall con sicurezza avanzata \\ Windows Firewall con sicurezza avanzata \\ Regole per connessioni in uscita. Fare clic con il tasto destro del mouse "Regole per le connessioni in uscita" e seleziona il comando dal menu contestuale Crea regola;
- Nella pagina della procedura guidata "Tipo di regola" selezionare l'opzione "Per il programma" e fai clic sul pulsante "Ulteriore";
- Sulla pagina "Programma"imposta l'interruttore su opzione "Il percorso del programma" e inserisci nella casella di testo corrispondente % ProgramFiles% \\ Internet Explorer \\ iexplore.exe oppure seleziona questo file eseguibile facendo clic sul pulsante "Panoramica";
- Sulla pagina "Atto" di questa procedura guidata, selezionare l'opzione "Consenti connessione" e fai clic sul pulsante "Ulteriore";
- Sulla pagina "Profilo" accetta le impostazioni predefinite e fai clic sul pulsante "Ulteriore";
- Nell'ultima pagina, pagina "Nome", inserisci un nome per questa regola, ad esempio, "Regola per Internet Explorer" e fai clic sul pulsante Fatto.
Nell'area informazioni dello snap-in Editor di gestione dei criteri di gruppo dovresti vedere la regola creata come mostrato nella seguente illustrazione:
Figura. 14. Regola creata per la connessione in uscita
Assegnazione filtro per la regola creata
Ora che hai creato un oggetto Criteri di gruppo con una regola in entrata e in uscita per le connessioni, devi prestare attenzione al momento successivo. Durante la creazione di una regola per una connessione in entrata, abbiamo specificato il percorso di Windows Live Messenger per il sistema operativo a 64 bit. Tutti i computer dell'organizzazione sono dotati di sistemi operativi a 64 bit. Se è tutto, allora sei molto fortunato e non c'è altro da fare. Ma se hai computer client con sistemi operativi a 32 bit, allora incontrerai qualche tipo di problema. La regola non funzionerà. Naturalmente, puoi creare unità diverse per computer con 32 bit e per computer con sistemi operativi a 64 bit, ma questo non è del tutto razionale. In altre parole, è necessario specificare nello snap Gestione dei criteri di gruppoche l'oggetto Criteri di gruppo deve essere utilizzato solo su computer con un sistema operativo a 64 bit. È possibile creare una tale limitazione utilizzando un filtro WMI. Imparerai di più sul filtro WMI in uno dei seguenti articoli e ora devi solo smettere di creare un tale filtro. Per specificare un filtro WMI per il rilevamento di sistemi operativi a 64 bit, attenersi alla seguente procedura:
Conclusione
In questo articolo, hai imparato come creare le regole di Windows Firewall in Sicurezza avanzata per le connessioni in entrata e in uscita utilizzando gli snap-in. "Windows Firewall con sicurezza avanzata"e anche l'utilizzo di criteri di gruppo per i computer dell'organizzazione membri di un dominio di Active Directory. Viene descritto il lavoro preliminare, ovvero la creazione di un'unità con i computer, nonché un oggetto della politica di gruppo. Esempi di creazione di una regola personalizzata per una connessione in entrata, nonché di una regola simile "Per il programma" per connessione in uscita.
