Filtrowanie ruchu sieciowego. Jak uchronić się przed włamaniem. Utwórz obiekt zasad grupy, aby zarządzać zaporami systemu Windows za pomocą Advanced Security. Ustawienie filtrowania w routerze

Jest skierowany do nieletnich użytkowników Internetu, którzy, jeśli zostaną wdrożone, będą mogli odwiedzać tylko zaufane strony z „białej listy”. W ten sposób odmówiono im dostępu do „niebezpiecznych” treści.

Nie zdecydowano jeszcze, czy ruch będzie filtrowany tylko w placówkach edukacyjnych w kraju, czy dla wszystkich użytkowników Runet. W drugim przypadku, aby uzyskać dostęp do „bezpłatnego Internetu”, musisz napisać oświadczenie do dostawcy Internetu. Liga Bezpiecznego Internetu testuje już system „białej listy” w kilku regionach Rosji, w szczególności w Kostromie.

Czyje ręce robią?

Przewiduje się utworzenie tego systemu, który został zatwierdzony 31 lipca przez rosyjskiego premiera Dmitrija Miedwiediewa. NASFIT powinien zostać oddany do użytku przed końcem 2020 roku. Przygotowano podstawy do powstania systemu, w tym przez senatora, dzięki czemu od 2012 r. W Runecie prowadzony jest jednolity rejestr zabronionych informacji o Roskomnadzorze.

Dlaczego Nasfit może być szkodliwy?

Rzecznik MTS Dmitrij Solodovnikov powiedział, że operator nie słyszał wcześniej o tej propozycji. „Uważamy takie inicjatywy za szkodliwe, mogące wyrządzić szkodę subskrybentom z powodu możliwego obniżenia jakości dostępu do Internetu.” Przede wszystkim może się to zdarzyć ze względu na spowolnienie budowy sieci i rozwój nowych usług.

Oprócz użytkowników NASFIT może uszkodzić cały przemysł telekomunikacyjny i IT. Dostawcy i operatorzy będą musieli wydać ogromne zasoby „na wdrażanie nieskutecznych rozwiązań w zakresie filtrowania ruchu zamiast inwestować w gospodarkę cyfrową i budowę sieci 5G”, mówi rzeczniczka MTS.

Pomysł może nie działać

Źródło strony w pobliżu jednego z operatorów zauważa, że \u200b\u200bdzieci nie mają prawa do zawierania umów o świadczenie usług komunikacyjnych. Dlatego filtrowanie ruchu tylko dla dzieci jest w zasadzie niemożliwe. Subskrybent jest zawsze osobą dorosłą, to znaczy z paszportem przypomina rozmówcy.

Przedstawiciel dostawcy Internetu AKADO Telecom powiedział, że firma popiera inicjatywę, ale wątpi również w mechanizm jej realizacji.

„Nie jest jasne, jakie zasady będą należeć do białej listy, kto powinien to ustalić. Jeśli mówimy o filtrowaniu treści tylko w instytucjach edukacyjnych, jest mało prawdopodobne, aby taki środek był skuteczny, ponieważ w razie potrzeby dzieci będą mogły uzyskać dostęp do witryn z domu. Dlatego projekt wymaga poważnej rewizji. ” Irina Romannikova, AKADO Telecom Press Service.

Jak mogę filtrować?

Według dyrektora generalnego agencji informacyjnej i analitycznej TelecomDaily Denis Kuskov istnieją dwa rozsądne sposoby filtrowania „szkodliwych” witryn: własne narzędzia operatora i zakup karty SIM pod warunkiem, że będzie z niej korzystać dziecko. W takim przypadku operator będzie mógł natychmiast włączyć filtrowanie.

Niektórzy operatorzy mają już własne systemy do filtrowania ruchu. Tak więc „Rostelecom” oferuje produkt „Filtrowanie treści ruchu” dla instytucji edukacyjnych, a „VimpelCom” - usługę rekomendacji zasobów internetowych „Weblandia”, dla których strony są wybierane przez bibliotekarzy dziecięcych.

Przypomnijmy, że pewnego dnia dotyczące ograniczeń internetowych: prawo, które zabrania dostawcom VPN i innym usługom zezwalania rosyjskim użytkownikom na blokowanie zasobów, w przeciwnym razie usługa zostanie zablokowana, a także prawo zabraniające anonimowości w komunikatorach internetowych. Pierwszy dokument wejdzie w życie 1 listopada tego roku, drugi - od początku 2018 r.

Artykuł przedstawia do przeglądu dwa sposoby filtrowania ruchu w sieci. Pierwsza metoda wykorzystuje niezbyt zwyczajne filtrowanie przychodzących pakietów według źródłowych adresów IP, w rzeczywistości implementuje ochronę przed fałszowaniem, druga metoda filtruje pakiety w sieci lokalnej lub DMZ z wykorzystaniem technologii PVLAN.

Batrankov Denis, denisNOSPAMixi.ru

Artykuł przedstawia do przeglądu dwa sposoby filtrowania ruchu w sieci. Pierwsza metoda wykorzystuje niezbyt zwyczajne filtrowanie przychodzących pakietów według źródłowych adresów IP, w rzeczywistości implementuje ochronę przed fałszowaniem, druga metoda filtruje pakiety w sieci lokalnej lub DMZ z wykorzystaniem technologii PVLAN.

Mam nadzieję, że ten artykuł przyda się zarówno administratorom, jak i osobom zaangażowanym w bezpieczeństwo sieci. Niestety są to zwykle różni ludzie.

Wprowadzenie Informacje o filtrowaniu w ogóle.

Wystarczy spojrzeć na format nagłówka pakietu IP (ta struktura pochodzi ze źródeł WinPCap) typedef struct ip_header (u_char ver_ihl; // Wersja (4 bity) + długość nagłówka internetowego (4 bity) u_char tos; // Rodzaj usługi u_short tlen; / / Całkowita długość identyfikacja krótka; // Identyfikacja krótka flaga_fakt; // Flagi (3 bity) + Przesunięcie fragmentu (13 bitów) u_char ttl; // Czas życia proto u_char; // Protokół u_short crc; // Suma kontrolna nagłówka ip_address saddr; // adres źródłowy ip_address daddr; // adres docelowy u_int op_pad; // Option + Padding) ip_header;

ile pól wymaga weryfikacji już przy wejściu do sieci. Oczywiście, dla każdego pola istnieje wiele wartości, które są zdefiniowane w standardzie RFC jako mające pewne znaczenie. I oczywiście istnieje wiele wartości, które nie są zdefiniowane nigdzie bez znaczenia, i nie możemy nawet wyobrazić sobie, jak te wartości będą postrzegane przez hosta odbierającego. Jeśli w pakiecie jest co najmniej jedno pole niepoprawne, całe pole jest niepoprawne i nie powinno blokować naszej sieci. Jednak nie jest tak obecnie w wielu sieciach. Każdy host ma własny system ochrony przed atakami (IPS), który obsługuje takie pakiety. Sugeruję, aby nie czekać na dostawę takich pakietów do hosta odbiorcy, ale zabić je już przy wejściu do sieci. Ponadto możemy filtrować i blokować ruch sekwencyjnie od kanału do poziomu aplikacji (w ramach modelu ISO OSI). Umożliwi to odciążenie sieci i ochronę przed atakami, które wykorzystują fakt, że „zamykamy oczy” na niewłaściwe pakiety.

Ten pomysł nie jest nowy. Podpowiedź na temat tego, które pakiety w sieci mogą być nieprawidłowe, zawarta jest w regułach systemów wykrywania ataków. Systemy wykrywania ataków od dawna sprawdzają wszystkie pola pakietów i zbierają statystyki w celu analizy znalezionych niewłaściwych pakietów, które można przeglądać i przenosić do najbardziej irytujących. W Snortu najbardziej podoba mi się to, że wszystko w nim jest otwarte na inicjację. Pozwala to zmieniać standardowe reguły lub pisać własne, analizować statystyki za pomocą, a nawet dodawać reguły blokowania adresów IP za pomocą SnortSam w prawie wszystkich obecnie znanych FW: Cisco PIX, MS ISA, Checkpoint FW-1, Watchguard Firebox i wbudowany w systemie Linux i FreeBSD FW.

Jednak bez utraty ogólności możemy powiedzieć, że ludzie, którzy korzystają z wszelkiego rodzaju systemów wykrywania ataków, na przykład Cisco NetRanger, RealSecure (Proventia) lub Snort, mają marzenie: kiedy w końcu przestaną generować fałszywe alarmy. Przynajmniej mam takie marzenie, ponieważ coś nowego dzieje się ciągle w moich czterech zewnętrznych siatkach klasy C, chociaż rodzaje przepływów informacji już dawno zostały ustalone. Nie otrzymuję już wielu alertów, takich jak BAD-TRAFFIC Nieprzypisany / Zarezerwowany protokół IP, BAD TRAFFIC Niestandardowy protokół IP, BAD-TRAFFIC ruch w pętli zwrotnej, BAD-TRAFFIC sam SRC / DST, BAD-TRAFFIC ruch 0 portu TCP, nie dlatego, że I wyłączyłem te reguły, ale ponieważ zablokowałem ten „zły ruch” tuż przy wejściu. Niestety dzisiaj muszę zignorować różne zdarzenia, wiedząc, że jest to zwykle fałszywy alarm i nie mogę go zablokować, ponieważ żaden dostawca nie powinien blokować ruchu do klienta, cokolwiek to jest: niebezpieczne lub po prostu bezużyteczne. Ale pozwalam sobie blokować „zły” ruch: złe adresy, złe flagi, złe lub niebezpieczne porty.

Oczywiste jest, dlaczego istnieją systemy IDS, które pokazują administratorowi, który ruch jest zły, ale nie ma programów, które automatycznie filtrują ruch na wejściu i wyjściu z twoich sieci, aby Snort nie miał nic do przeklinania. Problemem są fałszywe alarmy. Istnieje wiele reguł dla tego samego Snorta, które powinny nie tylko wykrywać niestandardowe zachowanie, ale natychmiast je blokować. Na przykład logiczne jest blokowanie ruchu, który spełnia warunek ustawienia zarezerwowanego bitu IP BAD-TRAFFIC, to znaczy tych pakietów, które mają nieprawidłowo ustawiony bit zapasowy. (Nawiasem mówiąc, czy od razu przypominasz sobie, która zapora ogniowa będzie w stanie sprawdzić taki stan i zablokować taki pakiet? ;-)) Z drugiej strony pojawiają się również alerty o użyteczności, o które można się spierać. Na przykład ostatnio stojący w mojej sieci eMule stał się winowajcą ostrzeżeń o ruchu typu trojan BACKDOOR typot.

Idealnie więc, z punktu widzenia systemów wykrywania ataków, musimy upewnić się, że reguły, które wyraźnie pokazują, że filtrowanie nie jest skonfigurowane, nie zostaną uruchomione. Prawidłowe skonfigurowanie jest głównym zadaniem administratora.

Filtr zgrubny. Ochrona przed fałszowaniem adresów IP.

Ponieważ nie piszę książki, ale artykuł, dzisiaj przejdę do dolnej części tylko jednego pola pakietu IP: adresu źródłowego. Wiadomo, że istnieje adres IP źródła pakietu. I o ile wiem, technologia Cisco SAFE zaleca filtrowanie tego pola zgodnie z RFC i ochronę przed fałszowaniem adresów IP. Zobaczmy dokładnie, jakie adresy powinniśmy blokować. (Pole adresu docelowego musi znajdować się w przydzielonej ci puli adresów, więc nie ma o czym mówić).

Wiemy zatem, że od 1 stycznia 1983 r. Wprowadzono koncepcję adresu IP w wersji 4, który jest liczbą 32-bitową, którą zwykle zapisujemy w postaci 4 liczb dziesiętnych oddzielonych kropką. Istnieje organizacja IANA (Internet Assigned Numbers Authority), która dystrybuuje adresy w Internecie. Istnieją cztery regionalne rejestry internetowe (RIR) na całym świecie: APNIC (centrum informacji sieci Azji i Pacyfiku), ARIN (amerykański rejestr numerów internetowych), LACNIC (rejestr regionalny adresów IP Ameryki Łacińskiej i Karaibów), RIPE NCC, które dystrybuują adresy między Internetem Dostawcy usług (ISP). I wreszcie na stronie IANA znajduje się znak informujący, któremu blokowi adresów jest przydzielany komu.

Jeśli spróbujemy sklasyfikować adresy, to oprócz (już studiowanych w szkole) klas A, B, C, D, E okaże się, że istnieją specjalne adresy zdefiniowane nie tylko w RFC 1918, ale także w RFC 3330 i które nie powinny być używane w Internecie .

1. Adresy prywatne - zastrzeżone do użytku w sieciach lokalnych zgodnie z RFC 1918.

• 10.0.0.0 - 10.255.255.255
• 172.16.0.0 - 172.31.255.255
• 192.168.0.0 - 192.168.255.255

2. Adresy uzyskane przez automatyczne przypisywanie sobie adresów IP w przypadku braku serwera DHCP i zgodnie z RFC 3330 również nie powinny wychodzić poza sieć lokalną.

• 169.254.0.0 - 169.254.255.255

3. Adresy sprzężenia zwrotnego używane do weryfikacji działania stosu TCP. Każdy host używa go tylko dla siebie.

• 127.0.0.0 - 127.255.255.255

4. Zakres testowy - należy go stosować w dokumentacji i przykładach kodu.

• 192.0.2.0–192.0.2.255

5. Adresy multiemisji nie mogą znajdować się w polu źródłowym. Tylko w polu odbiorcy pakietu, ponieważ są one używane w odniesieniu do grupy hostów.

• 224.0.0.0 - 239.255.255.255

6. Zarezerwowane i nieprzydzielone adresy. Wszystkie te adresy są wymienione na tej samej tabliczce na stronie internetowej IANA. Od 12 grudnia 2004 r. Następujące bloki są w rezerwie

• 0.0.0.0 - 2.255.255.255
• 5.0.0.0 - 5.255.255.255
• 7.0.0.0 - 7.255.255.255
• 23.0.0.0 - 23.255.255.255
• 27.0.0.0 - 27.255.255.255
• 31.0.0.0 - 31.255.255.255
• 36.0.0.0 - 37.255.255.255
• 39.0.0.0 - 39.255.255.255
• 41.0.0.0 - 42.255.255.255
• 49.0.0.0 - 50.255.255.255
• 73.0.0.0 - 79.255.255.255
• 89.0.0.0 - 126.255.255.255
• 173.0.0.0 - 187.255.255.255
• 189.0.0.0 - 190.255.255.255
• 197.0.0.0 - 197.255.255.255
• 223.0.0.0 - 223.255.255.255
• 240.0.0.0 - 255.255.255.255

Najnowsza lista jest imponująca. Nadal narzekamy, że brakuje nam adresów. Połączyłem też kilka bloków adresów, jeśli znajdowały się w pobliżu na liście.

7. Istnieje inna klasa adresów, która nie może znajdować się w polu źródeł. To są twoje własne adresy. Te adresy internetowe, które są przydzielane Tobie i tylko Tobie przez usługodawcę. Oczywiście nikt poza tobą nie ma prawa ich używać i musisz zablokować wszelkie próby wysłania pakietu z adresem źródłowym z puli adresów. Co więcej, podstawienie adresu w polu źródeł może być wykorzystane do przeprowadzenia różnych ataków. Na przykład w ataku Land wysyłany jest pakiet SYN z adresem nadawcy pasującym do adresu odbiorcy.

Okazało się, że istnieje dość duża liczba adresów, które nie mogą znajdować się w polu źródeł naszych pakietów IP. Z reguły jeśli jeden z wymienionych powyżej adresów jest zarejestrowany w źródłach, oznacza to, że albo routing działa niepoprawnie dla wyższego dostawcy (zwalnianie niepoprawnych adresów), albo możliwy atak DOS. Dlatego proponuję zablokować wszystkie adresy wymienione powyżej przy wejściu do routera.

Podsumowując powyższe, otrzymujemy dość przyzwoitą listę adresów nadawców, którą musimy zablokować. Na przykład, jeśli używasz routera Cisco, lista dostępu będzie wyglądać następująco:

lista rozszerzeń dostępu ip rozszerzona complete_bogon	Korzystanie z nazwanej listy rozszerzonego dostępu
odmowa ip 0.0.0.0 1.255.255.255 dowolna	IANA Zarezerwowane
odmowa ip 2.0.0.0 0.255.255.255 dowolna	IANA Zarezerwowane
odmowa ip 5.0.0.0 0.255.255.255 dowolna	IANA Zarezerwowane
odmowa ip 7.0.0.0 0.255.255.255 dowolna	IANA Zarezerwowane
odmowa ip 10.0.0.0 0.255.255.255 dowolna	RFC 1918
odmowa ip 23.0.0.0 0.255.255.255 dowolna	IANA Zarezerwowane
odmowa ip 27.0.0.0 0.255.255.255 dowolna	IANA Zarezerwowane
odmowa ip 31.0.0.0 0.255.255.255 dowolna	IANA Zarezerwowane
odmowa ip 36.0.0.0 1.255.255.255 dowolna	IANA Zarezerwowane
odmowa ip 39.0.0.0 0.255.255.255 dowolna	IANA Zarezerwowane
odmowa ip 41.0.0.0 0.255.255.255 dowolna	IANA Zarezerwowane
odmowa ip 42.0.0.0 0.255.255.255 dowolna	IANA Zarezerwowane
odmowa ip 49.0.0.0 0.255.255.255 dowolna	IANA Zarezerwowane
odmowa ip 50.0.0.0 0.255.255.255 dowolna	IANA Zarezerwowane
odmowa ip 73.0.0.0 0.255.255.255 dowolna	IANA Zarezerwowane
odmowa ip 74.0.0.0 1.255.255.255 dowolna	IANA Zarezerwowane
odmowa ip 76.0.0.0 3.255.255.255 dowolna	IANA Zarezerwowane
odmowa ip 82.0.0.0 1.255.255.255 dowolna	IANA Zarezerwowane
zezwolić 88.0.0.0 0.255.255.255 nasza_sieć	zezwól na dostęp z adresem 88/8 do naszej sieci (aby nie blokować poniżej)
odmowa ip 88.0.0.0 7.255.255.255 dowolna	IANA Zarezerwowane
odmowa ip 96.0.0.0 31.255.255.255 dowolna	IANA Reserved i Loopback
odmowa ip 169.254.0.0 0.0.255.255 dowolna	automatycznie przypisane adresy
odmowa ip 172.16.0.0 0.15.255.255 dowolna	RFC 1918
odmowa ip 173.0.0.0 0.255.255.255 dowolna	IANA Zarezerwowane
odmowa ip 174.0.0.0 1.255.255.255 dowolny	IANA Zarezerwowane
odmowa ip 176.0.0.0 7.255.255.255 dowolna	IANA Zarezerwowane
odmowa ip 184.0.0.0 3.255.255.255 dowolna	IANA Zarezerwowane
odmowa ip 189.0.0.0 0.255.255.255 dowolna	IANA Zarezerwowane
odmowa ip 190.0.0.0 0.255.255.255 dowolna	IANA Zarezerwowane
odmowa ip 192.0.2.0 0.0.0.255 dowolna	Adresy do testów.
odmowa ip 192.168.0.0 0.0.255.255 dowolna	RFC 1918
odmowa ip 197.0.0.0 0.255.255.255 dowolna	IANA Zarezerwowane
odmowa ip 198.18.0.0 0.1.255.255 dowolna	IANA Zarezerwowane
odmowa ip 201.0.0.0 0.255.255.255 dowolna	IANA Zarezerwowane
odmowa ip 222.0.0.0 1.255.255.255 dowolna	IANA Zarezerwowane
odmowa ip 223.0.0.0 0.255.255.255 dowolna	IANA Zarezerwowane
odmowa ip 224.0.0.0 31.255.255.255 dowolna	Multicast, a następnie IANA Zarezerwowane
odmów ip nasz_sieci dowolny	zablokuj nasze adresy wejściowe
zezwól na ip dowolną naszą sieć	zezwól na wszystko inne

our_net Wyznacziłem twój blok adresu. Na przykład może wyglądać jak 194.194.194.0 0.0.0.255 zgodnie z zasadami pisania list dostępu.

Nie ma znaczenia, gdzie ta metoda filtrowania zostanie wdrożona na routerze granicznym, zaporze sieciowej, a nawet na serwerze, ale co najważniejsze, atakujący jest pozbawiony możliwości korzystania z adresów z nieistniejących sieci. Chcę zauważyć, że jeśli korzystasz z najnowszych wersji Cisco IOS (12.2 i nowszych), nie musisz samodzielnie wykonywać tej listy dostępu. Ta sama lista dostępu jest utworzona przez proste (pozornie) automatyczne zabezpieczenie.

Komendaauto bezpieczne robi WSZYSTKO dla specjalisty od bezpieczeństwa komputerowego! Wszystko, co dotychczas udało się uzyskać w zakresie ochrony routerów Cisco, wykonuje ten jeden zespół. Oczywiście musisz sobie wyobrazić, co ona robi, kiedy do niej wejdziesz, ale ten zespół zrobi wszystko, nawet jeśli nie masz żadnych certyfikatów i wykształcenia w tej dziedzinie. : (Ogólnie, kiedy dowiedziałem się o możliwościachauto bezpieczne zdecydowali, że teraz nadszedł czas, aby porzucić bezpieczeństwo i sprzedać żelazka - mówi się, że istnieje pensja, a wyższe wykształcenie nie jest konieczne. ;-) Dlaczego teraz eksperci, jeśli wszystko jest wykonywane przez jeden zespół.

Jednak ta metoda ma minus: musisz stale monitorować zmiany w tabeli na stronie internetowej IANA http://www.iana.org/assignments/ipv4-address-space, aby po zmianie tej listy zmienić listę dostępu. Na przykład ostatnia zmiana miała miejsce w sierpniu tego roku: przydzielono 71/8, 72/8 sieci dla ARIN. Nie wiem, czy jest gotowy skrypt do tego dzieła, ale jeśli go znajdziesz lub sam napiszesz, społeczeństwo będzie Ci wdzięczne. Jest jedna strona, na której zawsze jest przechowywana rzeczywista lista dostępu http://www.cymru.com/Documents/secure-ios-template.html, ale tam lista dostępu jest nieco długa. Można to zmniejszyć. Zasada redukcji to

odmowa ip 0.0.0.0 0.255.255.255 dowolna
odmowa ip 1.0.0.0 0.255.255.255 dowolna

zmień na

odmowa ip 0.0.0.0 1.255.255.255 dowolna

Jeśli nie ma takiego filtra przy wejściu do sieci, być może chciałbyś skonfigurować filtr na własnym serwerze lub stacji roboczej. Nawiasem mówiąc, autorzy osobistego oprogramowania mogliby to wykorzystać. Pomoże to chronić hosta przed atakami DOS. Na przykład tutaj jest przykład filtra atispoofing dla BIND.

Po ustaleniu adresów możemy poradzić sobie z innymi polami pakietu IP. Na przykład pakiety TCP z portem 0 często przychodzą do mojej sieci. Dlaczego nie spojrzysz, które porty są używane w pakietach przechodzących przez twoją sieć?

Filtr dokładny lub izolowana sieć VLAN.

Teraz spójrzmy na ruch w sieci wewnętrznej. Jednym z kluczowych czynników budujących bezpieczną konfigurację sieci jest dokładna definicja wszystkich obiektów sieciowych oraz dokładne zrozumienie, kto musi wymieniać informacje z każdym z tych obiektów i jaki rodzaj ruchu jest generowany. Cały pozostały ruch między tymi podmiotami powinien zostać odrzucony.

Spójrzmy na przykład Strefy Zdemilitaryzowanej (DMZ). Uznaje się za słuszne przydzielenie serwera firmy do oddzielnej sieci, chronionej zarówno przed użytkownikami Internetu, jak i użytkownikami wewnętrznymi. Jak mówią, zaufaj, ale zweryfikuj. Zdjęcie pokazuje dwie możliwe opcje implementacji: DMZ znajduje się pomiędzy dwoma Firewallami, a DMZ zawiesza się na jednym z portów Firewall.

Tak więc zapory ogniowe filtrują ruch przychodzący z Internetu i sieci lokalnej. I z reguły projektanci sieci uspokajają ten schemat. Wszystkie serwery są połączone za pomocą jednego przełącznika i pojawiają się w jednej domenie rozgłoszeniowej. Czy jednak potrzebujemy interakcji między serwerami w strefie DMZ? Musisz poszukać w każdym przypadku. Można założyć, że jeśli zhakowany zostanie jeden z serwerów DMZ, możliwy jest atak na sąsiedni serwer z tego serwera, zwłaszcza, że \u200b\u200bna etapie projektowania nie chroniliśmy jednego serwera przed drugim. Dlatego w przypadkach, gdy serwery nie powinny ze sobą współpracować, zaleca się utworzenie kilku oddzielnych stref DMZ. Jednak najlepszą opcją jest użycie PVLAN. Jeśli porty, do których podłączone są serwery, nie będą przekazywać sobie pakietów w warstwie łącza danych, nie będzie żadnego ruchu między serwerami, a jedynym sposobem komunikacji między nimi jest przejście przez zaporę ogniową, na której to połączenie musi być dozwolone i przeniesione do żądanego portu . Takie porty, które nie przesyłają do siebie ruchu w warstwie łącza danych, nazywane są izolowanymi.

Ten sam pomysł dotyczy komputerów w sieci lokalnej. Dokładnie przeanalizuj przepływy informacji i ustaw je za pomocą przełącznika, między którymi komputerami możliwa jest wymiana danych.

Korzystając z tego samego mechanizmu, użytkownicy mogą zostać zjednoczeni w grupy (społeczności), w których zorganizowana jest ich „dedykowana” komunikacja. Jednocześnie odizolowani użytkownicy i grupy mogą przenosić swój ruch do tak zwanych publicznych (rozwiązanych) portów, na których działają router, zapora ogniowa i system wykrywania ataków.

Cisco PVLAN jest zaimplementowany w taki sposób, że ruch docierający do portu promiscuous może być rozłożony na dowolne inne porty, takie jak izolowane i społecznościowe. Ruch docierający do izolowanego portu można skierować tylko do portu promiscuous. Ruch docierający do portu społecznościowego może być kierowany do portu promiscuous i portów należących do tej samej społeczności.

Zatem nawet będąc w tej samej sieci VLAN, hosty, które w schemacie przepływu informacji nie powinny mieć ruchu wzajemnego, nie otrzymają od siebie jednego pakietu. Jedynym sposobem wymiany informacji jest jawne ustawienie reguły zapory lub routera, która zezwala na przesyłanie pakietów między nimi. Ale ta reguła działa już na trzecim poziomie modelu OSI, w którym to przypadku można użyć reguł listy dostępu i zapory, aby jawnie określić dozwolone porty i protokoły.

W przypadku głębszego kopania, gdy host 1 wysyła żądanie ARP (w poszukiwaniu adresu MAC hosta 2 z adresem IP, którego potrzebuje z tej samej podsieci), host 2 nie otrzymuje tego żądania i nie odpowiada hostowi 1, ponieważ oba siedzą na izolowanych portach. Zapewniliśmy, że host 1 uważa, że \u200b\u200bhost 2 jest niedostępny i odwrotnie. W ten sposób zadanie kontrolowania ruchu w sieci zostało rozwiązane i, co najważniejsze, nie ma potrzeby dzielenia sieci na podsieci. Możemy bezproblemowo zastosować technologię PVLAN do istniejących sieci.

Gdy staje się dla nas konieczne, aby serwery komunikowały się ze sobą, router (lub zapora ogniowa) może odpowiedzieć, że ten host jest przez niego dostępny. Ta technika nazywa się Proxy ARP. Host 1 uważa, że \u200b\u200bhost 2 znajduje się w innym segmencie i wysyła pakiet IP przez router (lub zaporę ogniową). To znaczy, okazuje się, że pakiet zawiera adres MAC routera i adres IP hosta 2. Ale router (lub zapora ogniowa) już decyduje się przenieść pakiet na host 2, czy nie.

Należy zauważyć, że istnieje również luka w tej metodzie: jeśli używasz routera, który nie ma żadnych reguł dostępu i bez wahania kieruje wszystkie przychodzące do niego pakiety, wówczas osoba atakująca z hosta 1 może specjalnie wysłać pakiet z adresem MAC routera, ale z adresem IP hosta 2. Taki pakiet przejdzie przez izolowany port do routera, a następnie zostanie wysłany przez router do hosta 2. Dlatego musisz albo dodać reguły dostępu do routera (lub zapory), które wyraźnie zabraniają lub zezwalają na takie pakiety, lub użyć dodatkowej listy kontroli dostępu VLAN (VACL) na przełączniku.

Poprzednio w jednym przełączniku istniała podobna funkcja zwana portem chronionym, ale działała tylko w obrębie jednego przełącznika, a informacje o chronionych portach nie były przesyłane przez łącza. Teraz koncepcja ta została rozszerzona i uzupełniona o porty społeczności.

Technologię PVLAN można praktycznie zaimplementować na wystarczająco dużej liczbie obecnie zarządzanych przełączników z portami Ethernet z prędkością 10/100/1000 megabitów na sekundę.

Szczegółowa implementacja tych schematów w przełącznikach Cisco została opisana.

W Internecie jest wiele dobrych i przydatnych informacji. Teraz ludzie zaczęli częściej przeglądać Internet, aby znaleźć najnowsze wiadomości, prognozy pogody, zobaczyć formularze (instrukcje, jak coś zrobić), przepisy kulinarne lub po prostu określić, jak wkręcić żarówkę do żyrandola. W Internecie jest wiele informacji, wystarczy wprowadzić wszelkiego rodzaju zapytania w pasku wyszukiwania Yandex lub Google. Ale wśród przydatnych informacji są szkodliwe i nieprzyzwoite w postaci obrazów, nieprzyzwoitego tekstu i wideo.

Bardzo ważne jest zamykanie dzieci przed takimi treściami, ponieważ ostatnio pojawiło się wiele informacji, które naruszają psychikę dziecka nie do poznania. Pierwszą rzeczą jest oczywiście monitorowanie rodziców dziecka w domu, a nauczycieli w szkole, które strony odwiedza w Internecie, prowadzenie rozmów itp.

Ale nie zawsze jest możliwe śledzenie dziecka, więc istnieją systemy filtrowania treści (SCF). Do tej pory na rynku technologii informacyjnych SCF dostępnych jest wiele informacji, na przykład jedna z popularnych usług Skydny - Płatny i częściowo bezpłatny system filtrowania treści dla szkół, biur i domów.

Możesz także skorzystać z całkowicie bezpłatnego systemu dostępu do Internetu.

Co to jest serwer DNS Rejector i jego funkcjonalność

- scentralizowany system filtrowania treści i kontroli dostępu do Internetu, za pomocą którego można stworzyć ochronę dzieci przed nieprzyzwoitymi informacjami, obrazami, filmami i zabronionymi stronami (+18) oraz ochronę przed wirusami (ponieważ złośliwe programy są dość powszechne na takich stronach). Mówiąc najprościej, Rejector to serwer DNS z możliwością zdalnego i centralnego zarządzania nim.

Usługa odrzucania ma następujące funkcje:

• Obsługa statycznych i dynamicznych adresów IP (adres IP, z którego przetwarzane są żądania);
• Kategorie filtracji (filtr biurowy, filtr dziecięcy, filtr indywidualny);
• Wyjątki (lista czarno-biała);
• Zakładki (możesz zapisać długi URL strony pod krótką nazwą);
• Statystyka;
• Informacje zwrotne od administratora z użytkownikami sieci;
• Przedział czasu (możesz ustawić, według którego dnia i godziny ma działać filtrowanie).

Jak działa usługa Rejector: rejestracja, konfiguracja i uruchomienie filtrowania treści

Aby korzystać ze wszystkich funkcji usługi Rejector - blokowania niechcianych witryn i treści, musisz się zarejestrować, wprowadzając wszystkie niezbędne dane.

Po rejestracji panel sterowania systemu filtrowania treści stanie się dostępny. I możesz rozpocząć zarządzanie usługą internetową. Wszystko dzieje się centralnie, czyli z komputera.

Sekcja „Sieci”

Najpierw przejdź do sekcji „Sieci” i wprowadź ustawienia:

1. Wprowadź nazwę swojej sieci (dowolna nazwa, możesz użyć cyrylicy lub alfabetu łacińskiego).
2. Wybierz status: statyczny adres IP lub dynamiczny adres IP. Wszystko zależy od ustawień twojego dostawcy. Musisz sprawdzić u swojego dostawcy, jaki jest twój adres.

Wyjaśnienie:

Statyczny adres IP to stały adres komputera bez limitu czasu podczas łączenia się z Internetem. Jest wydawany przez dostawcę i jest głównie rejestrowany przez użytkownika w ustawieniach komputera lub routera.

Dynamiczny adres IP to niestabilny (zmienny) adres komputera, który jest przypisywany automatycznie, gdy urządzenie jest podłączone do sieci i jest używany przez pewien okres czasu.

Ze statycznym adresem IP wszystko jest proste, jest wyświetlane w prawym górnym rogu. Musisz skopiować i wkleić go w polu adresu IP lub szukać.

W przypadku adresów dynamicznych wszystko będzie znacznie bardziej skomplikowane, ponieważ mogą one zmieniać się codziennie, a dla niektórych dostawców w ustawieniach zaleca się to co 3-4 godziny.

Aby skonfigurować dynamiczny adres IP, zaleca się korzystanie z usługi internetowej dyn.com/DNS/, chociaż, jak zauważyłem, stało się płatne. Możesz także wyszukiwać darmowe dyndns online. Użytkownicy systemu Windows mogą korzystać Agent odrzutnika .

W poniższych artykułach postaram się napisać, jak skonfigurować automatyczne wykrywanie i aktualizację adresów dynamicznych.

Sekcja "Filtrowanie" Możesz wybrać białą i czarną listę, która jest odpowiednia dla Ciebie, zgodnie z którą zawartość będzie filtrowana. Są gotowe: filtr biurowy, filtr dziecięcy, filtr bezłopatkowy i inne.

Wybierając Możesz skonfigurować filtrowanie treści zgodnie z indywidualnymi ustawieniami, to znaczy wybierz kategorie witryn, które będą blokowane.

W sekcji Wyjątki Możesz zawęzić listę witryn, które muszą zostać zablokowane, lub odwrotnie, które muszą koniecznie mieć dostęp do Internetu. Jeśli jest to prostsze, udoskonalenie białej i czarnej listy.

Sekcja zakładek

Sekcja „Statystyka”

Sekcja „Statystyka” służy do śledzenia liczby żądań adresów URL witryn, zablokowanych zasobów internetowych, błędnych żądań przez określony czas (użytkownik może określić przedział czasu, którego potrzebuje).

Sekcja zgłoszeń

W sekcji „Żądania” administrator otrzymuje wiadomości od użytkowników sieci z prośbą o otwarcie (odblokowanie witryny). Użytkownicy mogą wysyłać żądania ze strony blokady. Nawiasem mówiąc, stronę blokady można skonfigurować w sekcji „Sieci”, klikając łącze Melodia na twojej stronie bana.

Sekcja „Przedział czasu”

Sekcja „Przedział czasu” poświęcona jest ustawieniom czasu, w którym filtrowanie treści działa w sieci. Na przykład możesz skonfigurować usługę odrzucania, aby nie blokowała witryn po 17:30 itd.

Aby wyczyścić pamięć podręczną w systemie Windows, musisz uruchomić polecenie ipconfig / flushdns.

Po czynnościach opisanych powyżej możemy powiedzieć, że większość pracy jest wykonywana w celu pełnego filtrowania zawartości.

Pozostaje skonfigurować kartę sieciową w systemie operacyjnym zainstalowanym na komputerze lub wprowadzić ustawienia w routerze (routerze).

Konfigurowanie karty sieciowej i routera (routera)

Absolutnie nic nie zostało, by całkowicie uruchomić system filtrowania zawartości Rejectora na komputerze lub w organizacji (biuro, szkoła). Musisz zarejestrować serwer DNS Rejector: 95.154.128.32 i 78.46.36.8. Bez tego nie będzie możliwe filtrowanie zabronionych witryn i treści.

Konfigurowanie serwerów DNS do używania Rejectora w Windows (Windows XP, Windows Vista i Windows 7) jest napisane. Dlatego nie widzę sensu w pisaniu nowej instrukcji. Jest napisana instrukcja krok po kroku ze zrzutami ekranu.

Ale nie znalazłem ustawień routerów dla Rejectora na ich stronie internetowej. Istnieje wiele routerów, dlatego nie można opisać każdego routera. Przykład jest przedstawiony instrukcje dotyczące konfiguracji routera (routera)RE-Link DIR-300NRUB5.

Następnie, w całej okazałości, otworzy się panel administracyjny routera, w którym możesz dokonać ustawień. Jeśli router został już skonfigurowany u usługodawcy lub u Ciebie i masz dostęp do Internetu, musisz wprowadzić zmiany w serwerach nazw (w tym przypadku). Aby to zrobić, przejdź do sekcji menu „Zaawansowane” i wybierz „Serwery nazw”. Następnie, jak pokazano na zrzucie ekranu, wprowadź odrzutnik serwera DNS: 95.154.128.32 i 78.46.36.8 .

Zapisujemy zmiany i przeciążamy router, aby ustawienia zaczęły obowiązywać!

Na przykład ostatnio skonfigurowany. W panelu sterowania tego routera przejdź do sekcji menu "Netto", Dalej blady i na polach preferowany i alternatywny serwer DNS Wprowadź odpowiedni serwer DNS Rejector.

Jeśli wystąpią problemy z konfiguracją routera, napisz w komentarzach poniżej, postaramy się pomóc w skonfigurowaniu filtrowania kontekstowego.

Jeśli nie chcesz wydawać pieniędzy na system filtrowania treści w domu, małym biurze lub szkole (instytucji edukacyjnej), usługa odrzucania będzie odpowiednim narzędziem do blokowania komputerów przed nieodpowiednimi treściami w Internecie.

W komentarzach napisz, w jaki sposób chronisz swoje dzieci i co oznacza, że \u200b\u200bużywasz do blokowania niepożądanych stron na twoim komputerze.

Filtrowanie przepływów informacji polega na ich selektywnym przejściu przez ekran, być może wraz z wdrożeniem niektórych przekształceń i powiadomieniu nadawcy o tym, że ich danych odmówiono dostępu. Filtrowanie opiera się na zestawie reguł, które są wstępnie załadowane na ekran i są wyrazem aspektów sieciowych przyjętej polityki bezpieczeństwa. Dlatego wygodnie jest przedstawić zaporę jako sekwencję filtrów (ryc. A.2), które przetwarzają strumień informacji. Każdy z filtrów służy do interpretacji poszczególnych reguł filtrowania, wykonując następujące kroki:

1. Analiza informacji według kryteriów określonych w interpretowanych regułach, na przykład na adresy odbiorcy i nadawcy lub według rodzaju aplikacji, dla której informacje te są przeznaczone.

2. Decyzje oparte na interpretowanych zasadach jednej z następujących decyzji:

Nie pomijaj danych;

Przetwarzaj dane w imieniu odbiorcy i zwróć wynik nadawcy;

Prześlij dane do następnego filtra, aby kontynuować analizę;

Pomiń dane, ignorując następujące filtry.

Figa. A.2 Struktura zapory ogniowej

Reguły filtrowania mogą również określać dodatkowe działania związane z funkcjami mediacji, na przykład konwersję danych, rejestrację zdarzeń itp. W związku z tym reguły filtrowania określają listę warunków, na których, przy użyciu określonych kryteriów analizy,

zezwolenie lub zakaz dalszego przekazywania danych;

wykonywanie dodatkowych funkcji ochronnych.

Jako kryteria analizy przepływu informacji można zastosować następujące parametry:

pola serwisowe pakietów komunikatów zawierających adresy sieciowe, identyfikatory, adresy interfejsów, numery portów i inne istotne dane;

bezpośrednia zawartość pakietów wiadomości, sprawdzana na przykład pod kątem obecności wirusów komputerowych;

zewnętrzne cechy przepływu informacji, na przykład tymczasowe,

charakterystyka częstotliwości, objętość danych itp.

Zastosowane kryteria analizy zależą od poziomów modelu OSI, na których przeprowadzane jest filtrowanie. Zasadniczo im wyższy poziom modelu OSI, na którym zapora filtruje pakiety, tym wyższy poziom ochrony zapewnia.

Mediacja

Zapora wykonuje funkcje mediacji za pomocą specjalnych programów zwanych agentami przesiewowymi lub po prostu programami pośredniczącymi. Programy te są rezydentami i zabraniają bezpośredniej transmisji pakietów wiadomości między siecią zewnętrzną i wewnętrzną.

Jeśli potrzebujesz dostępu z sieci wewnętrznej do sieci zewnętrznej lub odwrotnie, najpierw musisz nawiązać połączenie logiczne z programem pośredniczącym działającym na ekranie komputera. Program pośredni sprawdza poprawność żądanego współdziałania, a gdy jest włączony, sam ustanawia osobne połączenie z wymaganym komputerem. Ponadto wymiana informacji między komputerami sieci wewnętrznej i zewnętrznej odbywa się za pośrednictwem pośrednika programowego, który może filtrować przepływ komunikatów, a także wykonywać inne funkcje ochronne.

Należy rozumieć, że zapora może wykonywać funkcje filtrowania bez użycia programów pośrednich, zapewniając przejrzystą interakcję między sieciami wewnętrznymi i zewnętrznymi. Jednak pośrednicy oprogramowania nie mogą filtrować przepływu komunikatów. W ogólnym przypadku agenci ekranujący, blokujący transparentną transmisję przepływu komunikatów, mogą wykonywać następujące funkcje:

identyfikacja i uwierzytelnienie użytkownika;

uwierzytelnianie przesyłanych danych;

różnicowanie dostępu do wewnętrznych zasobów sieciowych;

różnicowanie dostępu do zewnętrznych zasobów sieciowych;

filtrowanie i konwertowanie przepływu wiadomości, na przykład dynamiczne skanowanie w poszukiwaniu wirusów i przejrzyste szyfrowanie informacji;

tłumaczenie wewnętrznych adresów sieciowych dla pakietów wiadomości wychodzących;

rejestracja zdarzeń, odpowiedź na zadane zdarzenia, a także analiza zarejestrowanych informacji i generowanie raportów;

buforowanie danych żądanych z sieci zewnętrznej.

Aby zapewnić wysoki stopień bezpieczeństwa, identyfikacja i uwierzytelnianie użytkowników jest wymagane nie tylko wtedy, gdy są oni dostępni z sieci zewnętrznej do wewnętrznej, ale także odwrotnie. Hasło nie powinno być przesyłane w przejrzystej formie za pośrednictwem publicznie dostępnych komunikatów. Zapobiegnie to nieautoryzowanemu dostępowi poprzez przechwytywanie pakietów sieciowych, co jest możliwe na przykład w przypadku standardowych usług, takich jak Telnet. Najlepszym sposobem uwierzytelnienia jest użycie haseł jednorazowych. Korzystanie z certyfikatów cyfrowych wydawanych przez instytucje ufające, takie jak kluczowe centrum dystrybucji, jest również wygodne i niezawodne. Większość programów pośredniczących jest zaprojektowana tak, aby użytkownik był uwierzytelniany tylko na początku sesji zapory ogniowej. Po tym czasie dodatkowe uwierzytelnianie nie jest wymagane od niego przez czas określony przez administratora. Programy pośredniczące mogą uwierzytelniać otrzymane i przesłane dane. Dotyczy to nie tylko uwierzytelniania wiadomości elektronicznych, ale także migracji programów (Java, ActiveXControls), dla których można wykonać sfałszowanie. Uwierzytelnianie wiadomości i programów polega na kontrolowaniu ich podpisów cyfrowych. W tym celu można również wykorzystać certyfikaty cyfrowe. Identyfikacja i uwierzytelnienie użytkowników podczas uzyskiwania dostępu do zapory pozwala zróżnicować ich dostęp do wewnętrznych lub zewnętrznych zasobów sieciowych. Metody różnicowania do wewnętrznych zasobów sieciowych nie różnią się od metod różnicowania obsługiwanych na poziomie systemu operacyjnego. Z kontrolą dostępu dozasoby sieci zewnętrznej najczęściej wykorzystują jedno z następujących podejść:

pozwolenie na dostęp tylko do określonych adresów w sieci zewnętrznej;

filtrowanie żądań na podstawie zaktualizowanych list nieprawidłowych adresów i blokowanie wyszukiwania zasobów informacyjnych przez niepożądane słowa kluczowe;

gromadzenie i aktualizacja przez administratora autoryzowanych zasobów informacyjnych sieci zewnętrznej w pamięci dyskowej zapory ogniowej oraz całkowity zakaz dostępu do sieci zewnętrznej.

Filtrowanie i konwersja przepływu komunikatów odbywa się przez pośrednika w oparciu o dany zestaw reguł. W tym miejscu należy wyróżnić dwa rodzaje programów pośrednich:

agenci ekranowi zajmujący się analizą przepływu komunikatów dla niektórych rodzajów usług, na przykład FTP, HTTP, Telnet;

uniwersalni agenci ekranowi przetwarzający cały przepływ wiadomości, na przykład agenci mający na celu wyszukiwanie i neutralizację wirusów komputerowych lub przejrzyste szyfrowanie danych. Pośrednik oprogramowania analizuje docierające do niego pakiety danych, a jeśli jakikolwiek obiekt nie spełnia określonych kryteriów, pośrednik albo blokuje dalszy postęp, albo przeprowadza odpowiednie transformacje, na przykład neutralizując wykryte wirusy komputerowe. Podczas analizy zawartości pakietów ważne jest, aby agent ekranujący mógł automatycznie wyodrębnić przechodzące archiwa plików.

Zapory ogniowe z pośrednikami umożliwiają również organizowanie bezpiecznych sieci wirtualnych (VirtualPrivateNetwork-VPN), na przykład bezpieczne łączenie kilku sieci lokalnych podłączonych do Internetu w jedną sieć wirtualną. VPN zapewnia przejrzyste połączenie dla sieci lokalnych dla użytkowników, zachowując jednocześnie poufność i integralność przesyłanych informacji poprzez dynamiczne szyfrowanie. Podczas transmisji przez Internet można szyfrować nie tylko dane użytkownika, ale także informacje o usługach - adresy końcowe sieci, numery portów itp. Programy mediacyjne mogą również pełnić tak ważną funkcję, jak rozgłaszanie wewnętrznych adresów sieciowych. Ta funkcja jest realizowana w odniesieniu do wszystkich pakietów przesyłanych z sieci wewnętrznej do zewnętrznej. W przypadku tych pakietów broker automatycznie tłumaczy adresy IP komputerów wysyłających na jeden „niezawodny” adres IP powiązany z zaporą ogniową, z której przesyłane są wszystkie pakiety wychodzące. W rezultacie wszystkie pakiety pochodzące z sieci wewnętrznej są wysyłane przez zaporę, co eliminuje bezpośredni kontakt między autoryzowaną siecią wewnętrzną a potencjalnie niebezpieczną siecią zewnętrzną Adres IP zapory staje się jedynym aktywnym adresem IP, który wchodzi do sieci zewnętrznej.

Przy takim podejściu topologia sieci wewnętrznej jest ukryta przed użytkownikami zewnętrznymi, co komplikuje zadanie nieautoryzowanego dostępu. Oprócz zwiększenia bezpieczeństwa translacja adresów pozwala mieć własny system adresowania w sieci, który nie jest spójny z adresowaniem w sieci zewnętrznej, na przykład w Internecie. To skutecznie rozwiązuje problem rozszerzenia przestrzeni adresowej sieci wewnętrznej i deficytu adresów sieci zewnętrznej. Ważnymi funkcjami programów pośredniczących są rejestrowanie zdarzeń, reagowanie na określone zdarzenia, a także analiza zarejestrowanych informacji i raportowanie. Jako obowiązkową odpowiedź na wykrycie prób wykonania nieautoryzowanych działań należy zdefiniować powiadomienie administratora, tj. Wydawanie sygnałów ostrzegawczych. Każda zapora ogniowa, która nie jest w stanie wysyłać alertów w przypadku wykrycia ataku, nie jest efektywną zaporą ogniową.

Wiele zapór ogniowych zawiera potężny system do rejestrowania, gromadzenia i analizy statystyk. Rozliczanie można wykonać pod adresem klienta i serwera, identyfikatorami użytkownika, czasem sesji, czasem połączenia, ilością przesłanych / odebranych danych, działaniami administratora i użytkowników. Systemy rachunkowości pozwalają analizować statystyki i dostarczać administratorom szczegółowe raporty. Dzięki zastosowaniu specjalnych protokołów pośrednicy mogą zdalnie ostrzegać o określonych zdarzeniach w czasie rzeczywistym. Przy pomocy specjalnych pośredników obsługiwane jest również buforowanie danych żądanych z sieci zewnętrznej. Gdy użytkownicy wewnętrznej sieci mają dostęp do zasobów informacyjnych sieci zewnętrznej, wszystkie informacje gromadzą się na przestrzeni dyskowej zapory ogniowej, która w tym przypadku nazywana jest serwerem proxy. Dlatego jeśli na następnym żądaniu na serwerze proxy pojawią się niezbędne informacje, wówczas pośrednik zapewnia je bez dostępu do sieci zewnętrznej, co znacznie przyspiesza dostęp. Administrator powinien dbać tylko o okresową aktualizację zawartości serwera proxy.

Funkcji buforowania można z powodzeniem użyć do ograniczenia dostępu do zasobów informacyjnych sieci zewnętrznej. W takim przypadku wszystkie autoryzowane zasoby informacyjne sieci zewnętrznej są gromadzone i aktualizowane przez administratora na serwerze proxy. Użytkownicy sieci wewnętrznej mają dostęp tylko do zasobów informacyjnych serwera proxy, a bezpośredni dostęp do zasobów sieci zewnętrznej jest zabroniony. Środki ochronne są znacznie bardziej niezawodne niż konwencjonalne filtry i zapewniają większy stopień ochrony. Zmniejszają one jednak wydajność wymiany danych między sieciami wewnętrznymi i zewnętrznymi i nie mają takiego stopnia przejrzystości aplikacji i użytkowników końcowych, jaki jest typowy dla prostych filtrów.

Funkcje zapory na różnych poziomach modelu OSI

Zapory ogniowe wspierają bezpieczeństwo współpracy na różnych poziomach modelu OSI. Ponadto funkcje ochronne wykonywane na różnych poziomach modelu referencyjnego różnią się znacznie od siebie. Dlatego wygodnie jest przedstawić złożoną zaporę ogniową w postaci zestawu niepodzielnych ekranów, z których każdy koncentruje się na osobnym poziomie modelu OSI. Najczęściej złożony ekran działa na poziomie sieci, sesji i aplikacji modelu referencyjnego. W związku z tym wyróżnia się takie niepodzielne zapory ogniowe (ryc. A.3), takie jak router ekranujący, transport ekranujący (brama na poziomie sesji) i brama ekranująca (brama na poziomie aplikacji).

Biorąc pod uwagę, że protokoły używane w sieciach (TCP / IP, SPX / IPX) nie odpowiadają jednoznacznie modelowi OSI, ekrany tego typu, wykonując swoje funkcje, mogą również obejmować sąsiednie poziomy modelu referencyjnego. Na przykład ekran aplikacji może automatycznie szyfrować wiadomości wysyłane do sieci zewnętrznej, a także automatycznie deszyfrować otrzymane dane kryptograficznie zamknięte. W takim przypadku taki ekran działa nie tylko na poziomie aplikacji modelu OSI, ale także na poziomie prezentacji. Brama na poziomie sesji podczas działania pokrywa warstwy transportowe i sieciowe modelu OSI. Podczas analizy pakietów wiadomości router przesiewający sprawdza nagłówki nie tylko w sieci, ale także w warstwie transportowej.

Każdy typ zapory ma swoje zalety i wady. Wiele używanych zapór ogniowych to bramy aplikacji lub routery ekranujące, które nie obsługują pełnego bezpieczeństwa współpracy. Niezawodną ochronę zapewniają tylko złożone zapory ogniowe, z których każda łączy router ekranujący, bramę na poziomie sesji i bramę aplikacji.

Figa. A.3 Rodzaje zapór ogniowych działających na osobnych poziomach modelu OSI

Jak wielokrotnie powtarzałem w moich artykułach na temat Zapory systemu Windows z zabezpieczeniami zaawansowanymi, począwszy od systemu Windows Vista i Windows Server 2008 R2, Zapora systemu Windows domyślnie poprawia bezpieczeństwo każdego komputera w organizacji, blokując cały ruch przychodzący, który nie został wyraźnie dozwolony sposób. Podczas instalowania aplikacji lub komponentu systemu operacyjnego, który wymaga połączeń przychodzących, system operacyjny automatycznie uwzględnia przychodzące reguły zapory i, w większości przypadków, nie trzeba ich konfigurować ręcznie. Jeśli otworzysz przystawkę bezpośrednio z panelu sterowania lub za pomocą polecenia wf.msc w oknie dialogowym "Biegać"lub w wierszu polecenia zobaczysz, że niektóre reguły zostały już automatycznie włączone. Na przykład może to być reguła tworzona automatycznie podczas instalowania programu Windows Live Messenger lub wdrażania roli Hyper-V, jak pokazano na poniższej ilustracji:

Figa. 1. Automatycznie przypisywane reguły ruchu przychodzącego

Ale nie we wszystkich przypadkach reguły ruchu przychodzącego Zapory systemu Windows są tworzone automatycznie. W przypadku niektórych aplikacji, które nie tworzą domyślnych reguł ruchu przychodzącego, reguły należy utworzyć ręcznie. Jeśli taki program jest zainstalowany na jednym komputerze lub na kilku komputerach znajdujących się w grupie roboczej, możesz tworzyć reguły bezpośrednio w przystawce „Zapora systemu Windows z zaawansowanymi zabezpieczeniami”. Ale co, jeśli komputery twoich pracowników są członkami domeny i jest ich dziesiątki, jeśli nie setki? W takim przypadku, aby administrator mógł zastosować reguły Zapory systemu Windows w organizacji, należy użyć zasad grupy, które zapewniają podobny interfejs.

W tym artykule dowiesz się, jak można elastycznie zarządzać Zaporą systemu Windows w trybie zaawansowanych zabezpieczeń za pomocą zasad grupy, a mianowicie o tworzeniu połączeń przychodzących i wychodzących dla określonej grupy użytkowników.

Utwórz obiekt zasad grupy, aby zarządzać zaporami systemu Windows za pomocą Advanced Security

Przed utworzeniem reguł dla połączeń przychodzących i wychodzących dla zapór systemu Windows w trybie zabezpieczeń komputerów klienckich Twojej organizacji musisz znaleźć jednostki zawierające konta komputerów w organizacji i utworzyć obiekt zasad grupy, który będzie zawierał zestaw zasad z ustawieniami specyficznymi dla określonego zestawu komputerów . Następnie za pomocą przystawki musisz skonfigurować reguły dla połączeń przychodzących i wychodzących. Nie ma nic konkretnego w procesie tworzenia obiektu zasad grupy do zarządzania Zaporami systemu Windows w Advanced Security. Aby to zrobić, wykonaj następujące kroki:

Po wykonaniu wszystkich powyższych kroków możesz utworzyć reguły dla ruchu przychodzącego i wychodzącego dla Zapory systemu Windows w trybie zaawansowanych zabezpieczeń.

Konfigurowanie reguły dla połączeń przychodzących i wychodzących

W tym momencie utworzymy regułę połączenia przychodzącego, która ma zastosowanie do Windows Live Messenger na porcie 1900 dla 64-bitowych systemów operacyjnych Windows Vista i Windows 7, a także regułę wychodzącą, która zezwala na żądania z Internet Explorera w GPO, które Utworzono w poprzedniej sekcji tego artykułu. Domyślnie członkowie lokalnej grupy administratorów mogą również tworzyć i modyfikować reguły połączeń przychodzących i wychodzących w przystawce. „Zapora systemu Windows z zaawansowanymi zabezpieczeniami”. Takie reguły są łączone z regułami uzyskanymi z zasad grupy i są stosowane do konfiguracji komputera. Aby utworzyć regułę ruchu przychodzącego we wcześniej utworzonym obiekcie zasad grupy, wykonaj następujące kroki:

1. W węźle „Obiekty zasad grupy” przystawki wybierz wcześniej utworzony obiekt GPO, w tym przypadku obiekt „Konfigurowanie Zapory systemu Windows”kliknij go prawym przyciskiem myszy "Zmiana";
2. W mgnieniu oka Edytor zarządzania zasadami grupy w drzewie konsoli rozwiń węzeł Konfiguracja komputera \\ Zasady \\ Ustawienia systemu Windows \\ Ustawienia zabezpieczeń \\ Zapora systemu Windows z zabezpieczeniami zaawansowanymi \\ Zapora systemu Windows z zabezpieczeniami zaawansowanymi \\ Reguły połączeń przychodzących. Kliknij element prawym przyciskiem myszy „Zasady połączeń przychodzących” i wybierz polecenie z menu kontekstowego Stwórz zasadęjak pokazano na poniższej ilustracji:





Figa. 6. Utwórz nową regułę dla połączeń przychodzących

3. Na pierwszej stronie „Kreatory tworzenia reguły dla nowego połączenia przychodzącego” Możesz wybrać jedną z opcji szczegółowo opisanych poniżej:
   • Do programu. Ten typ reguły zapory służy do tworzenia reguły, która zezwala lub blokuje połączenia z określonym plikiem wykonywalnym, niezależnie od użytych numerów portów. Dla większości ludzi ten typ reguły może być najbardziej przydatny, ponieważ nie wszyscy wiedzą, z których portów korzysta dany program. Najlepiej jest stosować ten konkretny typ reguły w większości przypadków, ale należy zwrócić uwagę na fakt, że ten typ nie ma zastosowania, jeśli dana usługa nie zawiera własnego pliku wykonywalnego;
   • Dla portu. Ten typ reguły zapory służy do tworzenia reguły, która zezwala lub blokuje komunikację dla określonego portu TCP lub UDP, niezależnie od programu generującego ruch. Tworząc regułę tego typu, możesz określić kilka portów jednocześnie;
   • Predefiniowane. Ten typ reguły zapory służy do tworzenia reguły, która kontroluje połączenia określonego programu lub usługi systemu operacyjnego, która jest wyświetlana na odpowiedniej liście rozwijanej. Niektóre programy po instalacji dodają swoje wpisy do tej listy, aby uprościć proces tworzenia reguł dla połączeń przychodzących;
   • Możliwość dostosowania. Ten typ reguły dla zapory ogniowej służy do tworzenia reguły, która może łączyć informacje o programie i porcie jednocześnie.

Aby uwzględnić maksymalną liczbę stron w kreatorze, wybierz typ Reguła niestandardowa;




Figa. 7. Strona „Typ reguły” kreatora Utwórz regułę dla nowego połączenia przychodzącego

4. Na stronie "Program" reguła tworzenia nowego kreatora połączeń przychodzących pozwala określić ścieżkę do programu, w którym zapora systemu Windows w trybie zwiększonego bezpieczeństwa będzie sprawdzać wysyłane lub odbierane pakiety sieciowe w celu spełnienia tej reguły. W naszym przypadku ustaw przełącznik na opcję „Ścieżka programu” i w odpowiednim polu tekstowym wprowadzamy „C: \\ Program Files (x86) \\ Windows Live \\ Messenger \\ msnmsgr.exe”jak poniżej:



Figa. 8. Strona programu kreatora tworzenia reguł dla nowego połączenia przychodzącego

5. Na stronie „Protokół i porty” W kreatorze tworzenia reguły dla nowego połączenia przychodzącego można określić protokół i porty używane w pakiecie sieciowym, które spełnią bieżącą regułę. Jeśli musisz podać wiele portów, możesz wprowadzić je oddzielone przecinkami. A jeśli musisz podać liczbę całkowitą portów, oddziel mniejsze i większe wartości portów za pomocą łącznika. Krótko zwróć uwagę na ustawienia portu lokalnego dla reguł ruchu przychodzącego:
   • Wszystkie porty. Reguła dotyczy wszystkich połączeń przychodzących i wychodzących korzystających z protokołu TCP lub UDP;
   • Specjalne porty. W takim przypadku możesz określić określone porty, które będą używane dla połączeń przychodzących lub wychodzących za pośrednictwem TCP lub UDP;
   • RPC Endpoint Mapper. Tę wartość można wybrać tylko dla przychodzących połączeń TCP. W takim przypadku komputer będzie odbierał przychodzące żądania RPC przez TCP przez port 135 w żądaniu RPC-EM, w którym wskazana jest usługa sieciowa i żądany jest numer portu, na którym ta usługa sieciowa jest nasłuchiwana;
   • Dynamiczne porty RPC. Podobnie jak w przypadku poprzedniej wartości, tę wartość można wybrać tylko dla przychodzących połączeń TCP, w których komputer będzie odbierał przychodzące pakiety sieciowe RPC przez porty przypisane przez środowisko wykonawcze RPC;
   • IPHTTPS. Ta wartość jest dostępna tylko dla przychodzących połączeń TCP. W takim przypadku dozwolone jest odbieranie przychodzących pakietów za pomocą protokołu tunelowania IPHTTPS, który obsługuje implementację pakietów IPv6 w pakietach sieciowych IPv4 HTTPS ze zdalnego komputera;
   • Obejście węzła. Możesz wybrać tę wartość tylko dla przychodzących połączeń UDP, co pozwala odbierać przychodzące pakiety sieciowe Teredo.

Na przykład, aby określić porty 80, 443 i 1900 dla programu Windows Live Messenger TCP, z listy rozwijanej „Rodzaj protokołu” Wybierz „TCP”na liście rozwijanej „Port lokalny” Wybierz wartość Specjalne porty, a w polu tekstowym poniżej menu rozwijanego powyżej wpisz „80, 443, 1900”. Pozostaw wartość z rozwijanej listy Zdalny port bez zmian i kliknij przycisk "Dalej";




Figa. 9. Strona Protokół i porty kreatora Utwórz regułę dla nowego połączenia przychodzącego

6. Na stronie "Region" W tym kreatorze możesz określić adresy IP komputerów lokalnych i zdalnych, których ruch sieciowy będzie wykorzystywany dla bieżącej reguły. Dostępne są tutaj dwie sekcje: lokalny i zdalny adres IP, którego dotyczy ta reguła. Zarówno w pierwszej, jak i drugiej sekcji ruch sieciowy spełnia tę regułę tylko wtedy, gdy docelowy adres IP znajduje się na tej liście. Po wybraniu opcji Dowolny adres IP, reguła zostanie spełniona przez pakiety sieciowe o dowolnym adresie IP, który zostanie określony jako adres komputera lokalnego lub który będzie adresowany z dowolnego adresu IP (w przypadku reguły dla połączeń przychodzących). Jeśli musisz podać określone adresy IP, wybierz opcję „Określone adresy IP” oraz określony adres lub podsieć za pomocą okna dialogowego, które otwiera się po kliknięciu przycisku Dodaj. W naszym przypadku pozostaw tę stronę bez zmian i kliknij przycisk "Dalej";



Figa. 10. Strona zakresu kreatora Utwórz regułę dla nowego połączenia przychodzącego

7. Na stronie "Działać" W tej regule możesz wybrać akcję, która zostanie wykonana dla pakietów przychodzących lub wychodzących. Tutaj możesz wybrać jedną z następujących trzech akcji:
   • Zezwalaj na połączenie. Wybierając tę \u200b\u200bwartość, zezwalasz na wszystkie połączenia, które spełniają kryteria określone na wszystkich poprzednich stronach kreatora;
   • Zezwalaj na bezpieczne połączenie. Bieżąca wartość reguły Zapory systemu Windows w trybie zaawansowanych zabezpieczeń umożliwia połączenia tylko wtedy, gdy spełniają kryteria określone wcześniej i są chronione przez IPSec. Nie będziemy rozwodzić się nad tą wartością, ponieważ zostanie ona szczegółowo zbadana w moich następnych artykułach;
   • Zablokuj połączenie. W takim przypadku Zapora systemu Windows z zabezpieczeniami zaawansowanymi zresetuje wszelkie próby połączenia, które spełniają kryteria określone wcześniej. Pomimo faktu, że początkowo wszystkie połączenia są blokowane przez zaporę, wskazane jest wybranie tej wartości, jeśli chcesz zabronić połączeń dla określonej aplikacji.

Ponieważ musimy zezwolić na dostęp do programu Windows Live Messenger, ustaw przełącznik w opcjach „Zezwalaj na połączenie” i kliknij przycisk "Dalej";




Figa. 11. Strona działania kreatora Utwórz regułę dla nowego połączenia przychodzącego

8. Na stronie "Profil" kreator, aby utworzyć regułę dla nowego połączenia przychodzącego, możesz wybrać profil, do którego ta reguła będzie obowiązywać. Możesz wybrać jeden z trzech dostępnych profili lub kilka jednocześnie. Najczęściej wybierana jest organizacja lub profil "Domena" lub wszystkie trzy profile. Jeśli Twoja organizacja nie korzysta z usług domenowych w usłudze Active Directory lub konfigurujesz reguły zapory dla komputera domowego, wystarczy określić profil "Prywatny". Zasady profilu "Publiczny" Są tworzone dla połączeń publicznych, co w zasadzie nie jest bezpieczne. W naszym przypadku zaznacz pola na wszystkich trzech profilach i kliknij przycisk. "Dalej";



Figa. 12. Strona profilu kreatora tworzenia reguł dla nowego połączenia przychodzącego

9. Na stronie "Imię" podaj nazwę nowej reguły Zapory systemu Windows w trybie zaawansowanych zabezpieczeń dla połączenia przychodzącego, w razie potrzeby wprowadź opis bieżącej reguły i kliknij przycisk Gotowe.



Figa. 13. Strona Nazwa kreatora Utwórz regułę dla nowego połączenia przychodzącego

Domyślnie Zapora systemu Windows z zaawansowanymi zabezpieczeniami zezwala na cały ruch wychodzący, co zasadniczo obniża ryzyko włamania do komputera, niż zezwala na ruch przychodzący. Ale w niektórych przypadkach musisz kontrolować nie tylko ruch przychodzący, ale także wychodzący na komputerach użytkowników. Na przykład złośliwe oprogramowanie, takie jak robaki i niektóre rodzaje wirusów, mogą się replikować. Oznacza to, że jeśli wirus był w stanie skutecznie zidentyfikować komputer, wówczas spróbuje za pomocą wszystkich dostępnych (dla siebie) sposobów wysłać ruch wychodzący w celu zidentyfikowania innych komputerów w sieci. Istnieje wiele takich przykładów. Blokowanie ruchu wychodzącego z konieczności zakłóci działanie większości wbudowanych składników systemu operacyjnego i zainstalowanego oprogramowania. Dlatego po włączeniu filtrowania połączeń wychodzących należy dokładnie przetestować każdą aplikację zainstalowaną na komputerach użytkowników.

Tworzenie reguł wychodzących różni się nieco od powyższej procedury. Na przykład jeśli zablokowałeś wszystkie połączenia wychodzące na komputerach użytkowników i musisz dać użytkownikom dostęp do korzystania z Internet Explorera, wykonaj następujące kroki:

1. Jeśli chcesz, aby reguła Zapory systemu Windows dla połączenia wychodzącego została przypisana w nowym obiekcie zasad grupy, wykonaj czynności opisane w sekcji „Tworzenie obiektu zasad grupy do zarządzania zaporami systemu Windows za pomocą zaawansowanych zabezpieczeń”;
2. W mgnieniu oka Edytor zarządzania zasadami grupy w drzewie konsoli rozwiń węzeł Konfiguracja komputera \\ Zasady \\ Ustawienia systemu Windows \\ Ustawienia zabezpieczeń \\ Zapora systemu Windows z zabezpieczeniami zaawansowanymi \\ Zapora systemu Windows z zabezpieczeniami zaawansowanymi \\ Reguły połączeń wychodzących. Kliknij element prawym przyciskiem myszy „Zasady połączeń wychodzących” i wybierz polecenie z menu kontekstowego Stwórz zasadę;
3. Na stronie kreatora „Rodzaj reguły” Wybierz opcję „Dla programu” i kliknij przycisk "Dalej";
4. Na stronie "Program"ustaw przełącznik na opcję „Ścieżka programu” i wprowadź w odpowiednim polu tekstowym % ProgramFiles% \\ Internet Explorer \\ iexplore.exe lub wybierz ten plik wykonywalny, klikając przycisk "Przegląd";
5. Na stronie "Działać" tego kreatora wybierz opcję „Zezwalaj na połączenie” i kliknij przycisk "Dalej";
6. Na stronie "Profil" zaakceptuj wartości domyślne i kliknij przycisk "Dalej";
7. Na ostatniej stronie strona "Imię", wprowadź nazwę tej reguły, na przykład „Reguła dla przeglądarki Internet Explorer” i kliknij przycisk Gotowe.

W obszarze informacyjnym przystawki Edytor zarządzania zasadami grupy powinieneś zobaczyć utworzoną regułę, jak pokazano na poniższej ilustracji:

Figa. 14. Utworzona reguła dla połączenia wychodzącego

Filtrowanie przypisania do utworzonej reguły

Po utworzeniu obiektu zasad grupy z regułami połączeń przychodzących i wychodzących należy zwrócić uwagę na następny moment. Podczas tworzenia reguły dla połączenia przychodzącego określiliśmy ścieżkę do Windows Live Messenger dla 64-bitowego systemu operacyjnego. Czy wszystkie komputery w Twojej organizacji są wyposażone w 64-bitowe systemy operacyjne. Jeśli to wszystko, masz dużo szczęścia i nie masz nic więcej do roboty. Ale jeśli masz komputery klienckie z 32-bitowymi systemami operacyjnymi, napotkasz jakiś problem. Reguła po prostu nie zadziała. Oczywiście można tworzyć różne jednostki dla komputerów z 32-bitowym i dla komputerów z 64-bitowymi systemami operacyjnymi, ale nie jest to całkowicie racjonalne. Innymi słowy, musisz określić w przystawce Zarządzanie polityką grupyGPO powinien być używany tylko na komputerach z 64-bitowym systemem operacyjnym. Możesz utworzyć takie ograniczenie za pomocą filtra WMI. Dowiesz się więcej o filtrowaniu WMI w jednym z poniższych artykułów, a teraz musisz po prostu przestać tworzyć taki filtr. Aby określić filtr WMI do wykrywania 64-bitowych systemów operacyjnych, wykonaj następujące kroki:

Wniosek

W tym artykule dowiedziałeś się, jak tworzyć reguły Zapory systemu Windows w Zabezpieczeniach zaawansowanych dla połączeń przychodzących i wychodzących za pomocą przystawek. „Zapora systemu Windows z zaawansowanymi zabezpieczeniami”, a także za pomocą zasad grupy dla komputerów w organizacji, które są członkami domeny Active Directory. Opisano prace wstępne, a mianowicie utworzenie jednostki z komputerami, a także obiekt zasad grupy. Przykłady tworzenia niestandardowej reguły dla połączenia przychodzącego, a także reguły podobnej do „Dla programu” dla połączenia wychodzącego.