Фільтрації мережевого трафіку. Як захиститися від злому. Створення об'єкта групової політики для управління брандмауерами Windows в режимі підвищеної безпеки. Налаштування фільтрації в роутері

Направлена \u200b\u200bна неповнолітніх інтернет-користувачів, які, в разі її впровадження, зможуть відвідувати лише довірені сайти з «білого списку». Таким чином вони будуть позбавлені доступу до «небезпечного» контенту.

Ще не вирішено, чи буде трафік фільтруватися тільки в освітніх установах країни або ж для всіх користувачів Рунету. У другому випадку, щоб отримати доступ в «вільний інтернет», потрібно буде написати заяву інтернет-провайдеру. Ліга безпечного інтернету вже тестує систему «білого списку» в ряді регіонів Росії, зокрема, в Костромі.

Чиїх рук справа?

Створення цієї системи передбачається, яку 31 липня затвердив прем'єр-міністр Росії Дмитро Медведєв. НаСФІТ повинна бути введена в експлуатацію до кінця 2020 року. Грунт для появи системи підготувала, в тому числі, сенатор, завдяки якій з 2012 року в Рунеті ведеться єдиний реєстр забороненої інформації Роскомнадзора.

Чому НаСФІТ може завдати шкоди?

Представник МТС Дмитро Солодовников каже, що оператор раніше нічого не чув про цю пропозицію. «Вважаємо подібні ініціативи шкідливими, здатними завдати шкоди абонентам через можливе зниження якості доступу в інтернет». В першу чергу це може статися через зниження темпів будівництва мереж і розвитку нових сервісів.

Крім користувачів НаСФІТ може завдати шкоди всій телеком та ІТ-галузі. Провайдерам і операторам доведеться витрачати величезні ресурси «на реалізацію малоефективних рішень по фільтрації трафіку замість того, щоб інвестувати в цифрову економіку і будівництво cетей 5G», cетует прес-секретар МТС.

Ідея може не спрацювати

Джерело сайт, близьке до одного з операторів, відзначає, що діти не мають права укладати договори про надання послуг зв'язку. Таким чином, фільтрувати трафік тільки для дітей неможливо в принципі. Абонент завжди повнолітній, тобто з паспортом, нагадує співрозмовник.

Представник інтернет-провайдера Акадо Телеком повідомив, що компанія підтримує ініціативу, але також сумнівається в механізмі її втілення в життя.

«Не зрозуміло, за яким принципом сайти будуть потрапляти в" білий список ", хто це повинен визначати. Якщо мова йде про фільтрації контенту тільки в освітніх установах, то такий захід навряд чи буде дієвою, тому що при бажанні діти зможуть зайти на сайти з дому. Тому проект потребує серйозного доопрацювання ». Ірина Романнікова, прес-служба Акадо Телеком.

Як можна фільтрувати?

На думку гендиректора інформаційно-аналітичного агентства TelecomDaily Дениса Кускова, є два розумних способу фільтрації «шкідливих» сайтів: власні інструменти оператора і покупка SIM-карти з застереженням, що вона буде використовуватися дитиною. У цьому випадку оператор зможе включити фільтрацію відразу.

У деяких операторів вже є власні системи для фільтрації трафіку. Так, «Ростелеком» пропонує продукт «Контент-фільтрація трафіку» для освітніх установ, а «ВимпелКом» - рекомендаційний сервіс інтернет-ресурсів «Вебландія», сайти для якого відбирають дитячі бібліотекарі.

Нагадаємо, що днями, що стосуються обмежень в інтернеті: закон, який забороняє постачальникам VPN та інших сервісів пускати російських користувачів на заблоковані ресурси, інакше сервіс заблокують, а також закон про заборону анонімності в месенджерах. Перший документ вступить в силу з 1 листопада цього року, другий - з початку 2018 року.

Стаття витягує на ваше огляд два способи фільтрації трафіку в мережі. Перший спосіб використовує не зовсім звичайну фільтрацію вхідних пакетів по IP адресам джерела, по суті, реалізує захист від спуфинга, другий - фільтрацію пакетів в локальній мережі або DMZ використовуючи технологію PVLAN.

Батранков Денис, denisNOSPAMixi.ru

Стаття витягує на ваше огляд два способи фільтрації трафіку в мережі. Перший спосіб використовує не зовсім звичайну фільтрацію вхідних пакетів по IP адресам джерела, по суті, реалізує захист від спуфинга, другий - фільтрацію пакетів в локальній мережі або DMZ використовуючи технологію PVLAN.

Сподіваюся, ця стаття буде корисна як адміністраторам, так і тим, хто займається безпекою мереж. На жаль, зазвичай це різні люди.

Вступ. Про фільтрації взагалі.

Ви тільки подивіться на формат заголовка IP пакета (ця структура взята з вихідних WinPCap) typedef struct ip_header (u_char ver_ihl; // Version (4 bits) + Internet header length (4 bits) u_char tos; // Type of service u_short tlen; / / Total length u_short identification; // Identification u_short flags_fo; // Flags (3 bits) + Fragment offset (13 bits) u_char ttl; // Time to live u_char proto; // Protocol u_short crc; // Header checksum ip_address saddr; // Source address ip_address daddr; // Destination address u_int op_pad; // Option + Padding) ip_header;

скільки полів вимагають перевірки на правильність вже на вході в мережу. Очевидно, у кожного поля існує безліч значень яке визначено в CТАНДАРТ RFC як такі, що якийсь сенс. І очевидно, що існує безліч значень, які не визначені ніде, є безглуздими, і ми навіть не можемо припустити як ці значення будуть сприйняті хостом-одержувачем. Якщо у пакета хоч одне поле неправильне, то і весь він неправильний і він не повинен засмічувати нашу мережу. Однак в даний час в багатьох мережах це не так. З такими пакетами розбирається на кожному хості своя система захисту від атак (IPS). Я пропоную не чекати, коли такі пакети прибудуть на хост одержувача, а вбивати їх вже на вході в мережі. Причому фільтрувати і блокувати трафік ми можемо послідовно починаючи від канального і закінчуючи рівнем додатків (в рамках моделі ISO OSI). Це дозволить розвантажити мережу і захистити від атак, які користуються тим, що ми "закриваємо очі" на неправильні пакети.

Ця ідея не нова. Натяк на те, які пакети у вашій мережі можуть бути неправильними, міститься в правилах систем виявлення атак. Системи виявлення атак вже давно перевіряють всі поля пакетів і збирають статистику для аналізу знайдених неправильних пакетів, яку можна переглянути і вжити заходів до найбільш настирливим. Мені найбільше подобається Snort, оскільки в ньому все відкрито для розширення можливостей. Це дозволяє змінювати стандартні правила або писати свої, аналізувати статистику за допомогою і навіть можна додавати правила на блокування IP адрес за допомогою SnortSam в майже будь-який з відомих на даний час FW: Cisco PIX, MS ISA, Checkpoint FW-1, Watchguard Firebox і вбудовані в Linux і FreeBSD FW.

Однак, не обмежуючи спільності можна сказати, що у тих людей, які користуються якими б то не було системами виявлення атак, наприклад Сisco NetRanger, RealSecure (Proventia) або Snort, є мрія: коли ж нарешті вони припинять генерувати помилкові Алерт. У мене, принаймні, є така мрія, оскільки у мене в чотирьох зовнішніх сітках класу C постійно відбувається щось нове, хоча типи інформаційних потоків вже давно вляглося. Я вже не отримую багато Алерт типу BAD-TRAFFIC Unassigned / Reserved IP protocol, BAD TRAFFIC Non-Standard IP protocol, BAD-TRAFFIC loopback traffic, BAD-TRAFFIC same SRC / DST, BAD-TRAFFIC tcp port 0 traffic, не тому що я відключив ці правила, а тому що я заблокував цей "поганий трафік" відразу ж на вході. На жаль, на сьогоднішній день доводиться ігнорувати різні події, знаючи, що це звичайна помилкова тривога і заблокувати я це не можу, оскільки будь-який провайдер не повинен блокувати трафік клієнта яким би він не був: небезпечним або просто марним. Але вже "неправильний" трафік я собі блокувати дозволяю: неправильні адреси, неправильні прапори, неправильні або небезпечні порти.

Зрозуміло чому є системи IDS, які показують адміністратору який трафік є поганим, але немає програм, які б автоматично фільтрували трафік на вході і виході ваших мереж так, щоб Snortу було нема на що було лаятися. Проблема в помилкових Алерт. Є багато правил у того ж Snort, які повинні не просто детектувати нестандартну поведінку, а відразу ж його блокувати. Наприклад логічно заблокувати трафік який задовольняє умові BAD-TRAFFIC ip reserved bit set, тобто ті пакети у яких неправильно виставлений резервний біт. (До речі, згадайте ви відразу який firewall зможе перевірити таку умову і заблокувати такий пакет? ;-)) З іншого боку є і Алерт про корисність яких можна посперечатися. Наприклад, недавно стоять у мене в мережі eMule стали винуватцями алертів BACKDOOR typot trojan traffic.

Отже, в ідеалі, з точки зору систем виявлення атак, нам потрібно зробити так щоб не спрацьовували ті правила, які однозначно показують, що фільтрація налаштована неправильно. І правильно її налаштувати - головне завдання адміністратора.

Фільтр грубої очистки. Захист від спуфинга IP адрес.

Оскільки я пишу не книжка, а статтю, то я сьогодні знайду лише до одного поля IP пакета: source address. Відомо, що там знаходиться IP адреса джерела пакету. І, наскільки мені відомо, в технології Cisco SAFE радять фільтрувати це поле згідно RFC і для захисту від IP спуфинга. Давайте розберемося які точно адреси ми повинні блокувати. (Поле адреси одержувача (destination address) має бути в межах виділеного вам адресного пулу, тому тут міркувати нема про що.)

Отже ми знаємо, що починаючи з 1 січня 1983 року було введено поняття IP адреси 4 версії, який представляє з себе 32 бітове число, яке ми зазвичай записуємо у вигляді 4-х десяткових чисел, між якими ставиться крапка. Існує організація Internet Assigned Numbers Authority (IANA), яка розподіляє адреси у всьому Інтернет. Існують чотири Regional Internet Registries (RIR) розподілених по світу: APNIC (Asia Pacific Network Information Centre), ARIN (American Registry for Internet Numbers), LACNIC (Latin American and Caribbean IP address Regional Registry), RIPE NCC, які розподіляють адреси між Internet Service Providers (ISP). І нарешті існує табличка на сайті IANA, в якій записано який блок адрес кому віддано.

Якщо спробувати класифікувати адреси, то крім (досліджуваних вже зараз в школі) класів А, B, C, D, E ми виявляємо що існують спеціальні адреси, які визначаються не тільки RFC 1918 року, але і RFC 3330, і які не повинні бути використані в Інтернет .

1. Приватний адреси - зарезервовані під використання в локальних мережах згідно RFC 1918.

• 10.0.0.0 - 10.255.255.255
• 172.16.0.0 - 172.31.255.255
• 192.168.0.0 - 192.168.255.255

2. Адреси одержувані при автоматичному призначення IP адреси самому собі при відсутності DHCP сервера і відповідно до RFC 3330 теж не повинні виходити за межі локальної мережі.

• 169.254.0.0 - 169.254.255.255

3. Loopback адреси використовуються для перевірки роботи TCP стека. Використовуються кожним хостом тільки для самого себе.

• 127.0.0.0 - 127.255.255.255

4. Тестовий діапазон - повинен використовуватися в документациях і прикладах коду.

• 192.0.2.0–192.0.2.255

5. Multicast адреси не можуть стояти в поле джерела. Тільки в поле одержувача пакета, оскільки використовуються для звернення до групи хостів.

• 224.0.0.0 - 239.255.255.255

6. Зарезервовані і невиділені нікому адреси. Ці адреси перераховані всі на тій же табличці на сайті IANA. На 12 грудня 2004 року в резерві наступні блоки

• 0.0.0.0 - 2.255.255.255
• 5.0.0.0 - 5.255.255.255
• 7.0.0.0 - 7.255.255.255
• 23.0.0.0 - 23.255.255.255
• 27.0.0.0 - 27.255.255.255
• 31.0.0.0 - 31.255.255.255
• 36.0.0.0 - 37.255.255.255
• 39.0.0.0 - 39.255.255.255
• 41.0.0.0 - 42.255.255.255
• 49.0.0.0 - 50.255.255.255
• 73.0.0.0 - 79.255.255.255
• 89.0.0.0 - 126.255.255.255
• 173.0.0.0 - 187.255.255.255
• 189.0.0.0 - 190.255.255.255
• 197.0.0.0 - 197.255.255.255
• 223.0.0.0 - 223.255.255.255
• 240.0.0.0 - 255.255.255.255

Останній список вражає. І ми ще скаржимося, що нам не вистачає адрес. І це я ще об'єднав кілька блоків адрес, якщо вони знаходилися поруч у списку.

7. Є ще один клас адрес, який не може бути в полі sources. Це ваші власні адреси. Ті адреси Інтернет, які виділені вам і тільки вам провайдером. Очевидно, що ніхто крім вас не має права користуватися ними і ви повинні блокувати будь-які спроби надіслати пакет з адресою джерела з вашого пулу адрес. Тим більше, що підстановка вашого адреси в поле sources може використовуватися для реалізації різних атак. Наприклад, в атаці Land, надсилається SYN-пакет з адресою відправника, що збігається з адресою одержувача.

Отже, виявилося що існує досить велика кількість адрес, яких не може бути в полі sources наших IP пакетів. Як правило, якщо в sources прописаний один з перерахованих вище адрес, то це або неправильно працює у вищестоящого провайдера маршрутизація (випускає назовні неправильні адреси), або можлива DOS атака. Саме тому я пропоную заблокувати всі перераховані вище адреси на вході вашого маршрутизатора.

Підсумовуючи вищесказане, ми отримуємо досить пристойний список адрес відправника, який ми повинні блокувати. Наприклад, якщо ви використовуєте маршрутизатор Cisco то access-list буде виглядати наступним чином:

ip access-list extended complete_bogon	Використовуємо іменований розширений список доступу
deny ip 0.0.0.0 1.255.255.255 any	IANA Reserved
deny ip 2.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 5.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 7.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 10.0.0.0 0.255.255.255 any	RFC 1918
deny ip 23.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 27.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 31.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 36.0.0.0 1.255.255.255 any	IANA Reserved
deny ip 39.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 41.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 42.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 49.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 50.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 73.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 74.0.0.0 1.255.255.255 any	IANA Reserved
deny ip 76.0.0.0 3.255.255.255 any	IANA Reserved
deny ip 82.0.0.0 1.255.255.255 any	IANA Reserved
permit 88.0.0.0 0.255.255.255 our_net	дозволимо доступ з адресою 88/8 в нашу мережу (щоб не заблокувати нижче)
deny ip 88.0.0.0 7.255.255.255 any	IANA Reserved
deny ip 96.0.0.0 31.255.255.255 any	IANA Reserved і Loopback
deny ip 169.254.0.0 0.0.255.255 any	автоназначенние адреси
deny ip 172.16.0.0 0.15.255.255 any	RFC 1918
deny ip 173.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 174.0.0.0 1.255.255.255 any	IANA Reserved
deny ip 176.0.0.0 7.255.255.255 any	IANA Reserved
deny ip 184.0.0.0 3.255.255.255 any	IANA Reserved
deny ip 189.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 190.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 192.0.2.0 0.0.0.255 any	Адреси для тестів.
deny ip 192.168.0.0 0.0.255.255 any	RFC 1918
deny ip 197.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 198.18.0.0 0.1.255.255 any	IANA Reserved
deny ip 201.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 222.0.0.0 1.255.255.255 any	IANA Reserved
deny ip 223.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 224.0.0.0 31.255.255.255 any	Multicast і потім IANA Reserved
deny ip our_net any	блокуємо наші адреси на вході
permit ip any our_net	дозволяємо все інше

our_net я позначив ваш блок адрес. Наприклад, він може виглядати як 194.194.194.0 0.0.0.255 згідно правил написання access-listов.

Неважливо де буде реалізований цей метод фільтрації на вашому прикордонному маршрутизаторі, межсетевом екрані або навіть на сервері, але найголовніше що атакуючий позбавляється можливості використовувати адреси з неіснуючих мереж. Хочу зауважити, що якщо ви користуєтеся Cisco IOS останніх версій (12.2 і вище), то вам не потрібно цей access-list робити самому. Такий же access-list формується простий (здавалося б) командою auto secure.

командаauto secure робить ВСЕ за фахівця з комп'ютерної безпеки! Все що напрацьовано на сьогоднішній день по захисту маршрутизаторів Cisco робиться цієї однією командою. Ви, звичайно, повинні представляти що вона робить, коли вводите її, але ця команда зробить все, навіть якщо у вас немає ніяких сертифікатів і освіти в цій області. : (Я взагалі коли дізнався про можливостіauto secure вирішив, що ось і прийшла пора кидати займатися безпекою і піти праски продавати - там і зарплата, кажуть, більше і вища освіта не потрібно. ;-) Навіщо тепер фахівці, якщо все робиться однією командою.

Однак у цього методу є мінус: вам потрібно постійно відслідковувати зміни в таблиці на сайті IANA http://www.iana.org/assignments/ipv4-address-space, щоб після зміни цього списку ви змінили свій access-list. Наприклад, остання зміна було в серпні цього року: виділені мережі 71/8, 72/8 для ARIN. Я не знаю чи є готовий скрипт для виконання цієї роботи, але якщо ви знайдете такий або напишете самі, то суспільство буде Вам вдячна. Є одна сторінка, де завжди зберігається актуальний access-list http://www.cymru.com/Documents/secure-ios-template.html, але там список доступу злегка задовгий. Його можна скоротити. Принцип скорочення такої

deny ip 0.0.0.0 0.255.255.255 any
deny ip 1.0.0.0 0.255.255.255 any

міняємо на

deny ip 0.0.0.0 1.255.255.255 any

У разі якщо на вході в мережу немає такого фільтра, то можливо вам хочеться налаштувати фільтр на своєму власному сервері або робочої станції. До речі автори персональних FW могли б взяти це на озброєння. Це допоможе захистити хост від DOS атак. Ось, наприклад, приклад атіспуфінгового фільтра для BIND.

Після того як ми розібралися з адресами, можна зайнятися іншими полями IP пакета. Наприклад, мені в мережу дуже часто приходять tcp пакети з портом 0. Чому б вам не подивитися які порти використовуються в пакетах ходять по вашій сітці.

Фільтр тонкого очищення або Isolated VLAN.

Тепер подивимося на трафік у внутрішній мережі. Одним з ключових чинників побудови безпечної конфігурації мережі є точне визначення всіх об'єктів мережі і точне розуміння з ким потрібно обмінюватися інформацією кожному з цих об'єктів і який вид трафіку при цьому породжується. Весь інший трафік між цими об'єктами має бути відхилений.

Давайте розглянемо на прикладі Демілітаризованої зони (DMZ). Вважається правильним виділяти сервера компанії в окрему мережу, захищену як від користувачів з Інтернет, так і від внутрішніх користувачів. Як кажуть, довіряй, але перевіряй. На зображенні показані два можливих варіанти реалізації: DMZ розташовується між двома Firewall і DMZ висить на одному з портів Firewall.

Отже, міжмережеві екрани фільтрують трафік, що приходить з Інтернет і з локальної мережі. І, як правило, дизайнери мережі заспокоюються на цій схемі. Всі сервера підключаються через один світч і виявляються в одному широкомовному домені. Однак чи потрібно взаємодія між серверами в DMZ один з одним? Потрібно дивитися в кожному конкретному випадку. Можна припустити, що якщо буде зламаний один з серверів DMZ, то з цього сервера можлива атака на сусідній сервер, тим більше що ми на етапі проектування ніяк не захистили один сервер від іншого. Таким чином, в тих випадках, коли сервери не повинні функціонувати один з одним рекомендується робити кілька окремих DMZ. Однак найкращим варіантом є використання PVLAN. Якщо порти, до яких підключені сервери не будуть пересилати пакети один одному на канальному рівні, то не буде ніякого трафіку між серверами і єдиний спосіб для них зв'язатися один з одним - пройти через Firewall, на якому ця сполука має бути дозволено і передано на потрібний порт . Такі порти які залишають поза передачею трафік один одному на канальному рівні називаються ізольованими.

Та ж ідея може бути застосована і до комп'ютерів всередині локальної мережі. Уважно проаналізуйте інформаційні потоки і явно задайте за допомогою світча, між якими комп'ютерами можливий обмін даними.

За допомогою цього ж механізму можна об'єднувати користувачів в групи (community), в межах яких організується їх "виділене" спілкування. При цьому і ізольовані користувачі, і групи можуть передавати свій трафік в так звані публічні (promiscuous) порти, на яких працює маршрутизатор, міжмережевий екран і система виявлення атак.

У Сisco PVLAN реалізований так, що трафік, який приходить на promiscuous порт може бути розподілений по будь-яким іншим портам типу isolated і community. Трафік, який приходить на isolated порт може бути направлений тільки на promiscuous порт. Трафік, який приходить на community порт може бути спрямований на promiscuous порт і на порти належать цій же community.

Таким чином, навіть перебуваючи в одному VLAN хости у яких в схемі інформаційних потоків не повинно бути взаємного трафіку не отримуватимуть жодного пакета один від одного. Єдина можливість обмінятися інформацією - прописати явно правило на межсетевом екрані або маршрутизаторі дозволяє передавати пакети між ними. Але це правило вже працює на третьому рівні моделі OSI і в цьому випадку можна застосовувати access-list і правила брандмауера для явної вказівки дозволених портів і протоколів.

Якщо копнути глибше, то коли хост 1 посилає ARP запит (в пошуку MAC адреси хоста 2 з потрібним йому IP з тієї ж підмережі) хост 2 не отримує це запит і не відповідає хосту 1, оскільки обидва сидять на ізольованих один від одного портах. Ми домоглися того, що хост 1 вважає, що хост 2 недоступний і навпаки. Таким чином вирішується завдання контролю трафіку всередині мережі та, найголовніше, не потрібно розбивати мережу на підмережі. Ми можемо безболісно накласти технологію PVLAN на вже наявні мережі.

Коли ж нам стає потрібно, щоб сервера спілкувалися один з одним, то маршрутизатор (або firewall) може відповісти, що цей хост доступний через нього. Ця техніка називається Proxy ARP. Хост 1 думає, що хост 2 знаходиться в іншому сегменті і посилає IP пакет через маршрутизатор (або firewall). Тобто виходить, що в пакеті стоїть MAC адресу маршрутизатора, і IP адреса хоста 2. А ось маршрутизатор (або firewall) вже вирішує передавати пакет хосту 2 чи ні.

Треба зауважити, що є і вразливість цього методу: якщо у вас використовується маршрутизатор який не має ніяких правил доступу і, не замислюючись, маршрутизує все пакети, що до нього приходять, то зловмисник з хоста 1 може спеціально послати пакет з МАС адресою маршрутизатора, але з IP адресою хоста 2. Такий пакет пройде через isolated port до маршрутизатора і потім буде посланий маршрутизатором на хост 2. Тому, треба або додати правила доступу на маршрутизаторі (або firewall) забороняють або дозволяють такі пакети явно, або користуватися додатково VLAN Access Control List (VACL) на світче.

Раніше в рамках одного світча була схожа можливість яка називалася protected port, але вона працювала тільки в межах одного світча і інформація про protected портах не передавалася в Транки. Зараз це поняття розширено і доповнено community портами.

Технологія PVLAN може бути практично реалізована на досить великій кількості випускаються в даний час керованих комутаторів мають порти Ethernet зі швидкістю роботи 10/100/1000 мегабіт в секунду.

Конкретна реалізація цих схем на світча Cisco описана.

В Інтернеті багато хорошої і корисної інформації. Зараз люди стали частіше заглядати в Інтернет, щоб дізнатися актуальні новини, прогноз погоди, подивитися вигляді (інструкції, як зробити щось), рецепти приготування страв або просто уточнити, як вкрутити лампочку в люстру. Інформації в Інтернеті багато, тільки встигай вводити в пошуковий рядок Яндекса або Google всілякі запити. Але серед корисної інформації, є шкідлива і непристойна у вигляді зображень, нецензурного тексту та відео.

Дуже важливо обгородити дітей від такого контенту, так як останнім часом з'явилося багато інформації порушує психіку дитини до невпізнання. Насамперед, звичайно ж, потрібно стежити батькам за дитиною вдома, а вчителям в школі за тим на які сайти він заходить в Інтернеті, проводити бесіди та інше.

Але не завжди, виходить, встежити за чадом, тому існують системи контентної фільтрації (СКФ). На сьогоднішній день на ринку інформаційних технологій СКФ пропонується чимало, наприклад, один з популярних сервісів SkyDNS - платна і частково безкоштовна система контент фільтрації для шкіл, офісів і будинку.

Можна також скористатися абсолютно безкоштовною системою доступу в Інтернет -.

Що таке DNS-сервер Rejector і його функціонал

- централізована система контентної фільтрації і контролю доступу в Інтернет, за допомогою якої можна створити захист дітям від непристойної інформації, зображень, відео та заборонених сайтів (+18) та плюс захист від вірусів (так як на подібних сайтах досить часто бувають шкідливі програми). Простіше кажучи, Rejector - це DNS-сервер з можливістю віддаленого і централізованого їм управління.

Сервіс Rejector володіє наступними функціями:

• Підтримка статичного і динамічного IP-адреси (IP адреса, з якого обробляються запити);
• Категорії фільтрації (офісний фільтр, дитячий фільтр, індивідуальний фільтр);
• Винятки (чорний і білий список);
• Закладки (можна зберегти під короткою назвою довгий URL-адресу сайту);
• Статистика;
• Зворотній зв'язок адміністратора з користувачами мережі;
• Часовий інтервал (можна задати, по яким дня і часу буде діяти фільтрація).

Як працює сервіс Rejector: реєстрація, налагодження та запуск контентної фільтрації

Щоб скористатися всіма функціями сервісу Rejector - блокування небажаних сайтів і контенту, потрібно зареєструватися, вказавши всі необхідні дані.

Після реєстрація вам стане доступна панель управління системи контентної фільтрації. І ви можете приступити до управління веб-сервісом. Все відбувається централізовано, тобто з вашого комп'ютера.

Розділ «Мережі»

Насамперед заходимо в розділ «Мережі» і внести настройки:

1. Ввести назву вашої мережі (будь-яку назву, можна використовувати кирилицю або латиницю).
2. Вибираємо статус: статичний IP адреса або динамічний IP адреса. Тут все залежить від налаштувань вашого провайдера. Потрібно уточнити у провайдера, який у вас адресу.

пояснення:

Статичний IP адреса - це постійна адреса вашого комп'ютера без обмеження в часі при підключенні до Інтернету. Видається провайдером і в основному прописується користувачем в настройках комп'ютера або роутера.

Динамічний IP адреса - це непостійний (змінний) адреса комп'ютера, який призначається автоматично при підключенні пристрою до мережі і використовується протягом певного інтервалу часу.

Зі статичною IP-адресою все просто, він відображається верхньому правому куті. Його потрібно скопіювати і вставити в поле Ip-адреса або ж подивитися.

З динамічними адресами все має бути набагато складніше, адже вони можуть змінюватися щодня, а у деяких провайдерів в налаштуваннях прописано, щоб кожен 3-4 години.

Для настройки динамічного ip-адреси, рекомендується використовувати веб-сервіс dyn.com/DNS/, Хоча як я помітив, він став платним. Також можна пошукати безкоштовні dyndns в мережі. Користувачі операційних систем Windows можуть скористатися Rejector Agent .

У наступних статтях, постараюся, написати, як налаштувати автоматичне визначення та оновлення динамічних адрес.

розділ «Фільтрація» можна вибрати відповідний для вас білий і чорний список за яким буде відбуватися фільтрація контенту. Тут є готові: офісний фільтр, дитячий фільтр, безлопатева фільтр і інші.

вибравши можна налаштувати фільтрацію контента за індивідуальними налаштувань, тобто вибрати категорії сайтів, які будуть блокуватися.

В розділі «Винятки» можна доопрацювати список сайтів, які потрібно блокувати або ж навпаки, до яких повинен бути обов'язково доступ в Інтернеті. Якщо простіше, доробка білого і чорного списку.

Розділ «Закладки»

Розділ «Статистика»

Розділ «Статистика» призначені для відстеження за кількістю запитів URL-адрес сайтів, заблокованих веб-ресурсів, помилкових запитів за певний період часу (користувач може задати потрібний йому період часу).

Розділ «Запити»

У розділі «Запити» адміністратор отримує повідомлення від користувачів мережі, на запит про відкриття (розблокування сайта). Користувачі можуть відправляти запити зі сторінки блокування. До речі, сторінку блокування можна налаштувати в розділі «Мережі» клацнувши по посиланню налаштувати в своїй сторінці заборони.

Розділ «Тимчасовий інтервал»

Розділ «Тимчасовий інтервал» присвячений налаштувань згодом роботи контентної фільтрації в мережі. Наприклад, можна налаштувати щоб сервіс Rejector не блокував сайти після 17:30 і т.д.

Для очищення кешу в Windows потрібно виконати команду ipconfig / flushdns.

Після виконаних дій описаних вище, можна сказати, що більша частина роботи зроблена для повноцінної фільтрації контенту.

Залишається налаштувати мережевий адаптер в операційній системі, яка встановлена \u200b\u200bна ваш комп'ютер або ж внести настройки в роутер (маршрутизатор).

Налаштування мережевого адаптера і роутера (маршрутизатора)

Залишилося зовсім нічого, щоб повністю запустити систему контентної фільтрації Rejector у себе на комп'ютері або в організації (офіс, школа). Потрібно прописати DNS-сервера Rejector: 95.154.128.32 і 78.46.36.8. Без цього ніяк не вийде фільтрувати заборонені сайти і контент.

Налаштування DNS-серверів для використання Rejector в Windows (Windows XP, Windows Vista і Windows 7) написано. Тому писати нову інструкцію не бачу сенсу. Там написана покрокова інструкція з скріншот.

А ось налаштування роутерів під Rejector я не знайшов на їхньому сайті. Роутерів існує дуже багато і тому описати кожен роутер немає можливості. На прикладі представлена інструкція по налаштуванню роутера (маршрутизатора)D-Link DIR-300NRUB5.

Далі відкриється у всій своїй красі адміністративна панель роутера, де можна внести настройки. Якщо роутера у вас вже налаштований вашим провайдером або вами самостійно і доступ до інтернету є, то потрібно внести зміни в сервери імен (в даному випадку). Для цього проходимо в розділ меню «Додатково» і вибираємо «Сервери імен». Далі як показано на скріншотре, вводимо DNS сервера Rejector: 95.154.128.32 і 78.46.36.8 .

Зберігаємо зміни і перенавантажуємо роутера, щоб настройки вступили в силу!

Наприклад, недавно налаштовував. В панелі управління цього роутера потрібно зайти в розділ меню "Мережа", далі WAN і в поля бажаний і альтернативний DNS-сервер ввести відповідні DNS-сервера Rejector.

Якщо будуть проблеми в налаштуванні роутера, пишіть в коментарях нижче, постараємося допомогти вам налаштувати контекстну фільтрацію.

Якщо Ви не хочете витрачати гроші на систему тематичної фільтрація для вашого будинку, невеликого офісу або школи (освітньої організації), то сервіс Rejector стане для Вас придатним інструментом для блокування комп'ютерів від небажаного контенту в Інтернеті.

Пишіть в коментарях, як ви захищаєте своїх дітей і які кошти використовуєте для блокування небажаних сайтів на своєму комп'ютері.

Фільтрація інформаційних потоків складається в їх вибірковому пропущенні через екран, можливо, з виконанням деяких перетворень і повідомленням відправника про те, що його даними в пропуску відмовлено. Фільтрація здійснюється на основі набору правил, попередньо завантажених в екран і є вираженням мережевих аспектів прийнятої політики безпеки. Тому міжмережевий екран зручно представляти як послідовність фільтрів (ріс.А.2), що обробляють інформаційний потік. Кожен з фільтрів призначений для інтерпретації окремих правил фільтрації шляхом виконання наступних стадій:

1. Аналізу інформації по заданим в інтерпретованих правилах критеріям, наприклад, за адресами одержувача і відправника або за типом додатки, для якого ця інформація призначена.

2. Прийняття на основі інтерпретованих правил одного з таких рішень:

Чи не пропустити дані;

Обробити дані від імені одержувача і повернути результат відправнику;

Передати дані на наступний фільтр для продовження аналізу;

Пропустити дані, ігноруючи такі фільтри.

Мал. А.2. Структура брандмауера

Правила фільтрації можуть задавати і додаткові дії, які відносяться до функцій посередництва, наприклад, перетворення даних, реєстрація подій і ін. Відповідно правила фільтрації визначають перелік умов, за якими з використанням зазначених критеріїв аналізу здійснюється:

дозвіл або заборона подальшої передачі даних;

виконання додаткових захисних функцій.

В якості критеріїв аналізу інформаційного потоку можуть використовуватися такі параметри:

службові поля пакетів повідомлень, що містять мережеві адреси, ідентифікатори, адреси інтерфейсів, номери портів і інші значущі дані;

безпосереднє вміст пакетів повідомлень, що перевіряється, наприклад, на наявність комп'ютерних вірусів;

зовнішні характеристики потоку інформації, наприклад, тимчасові,

частотні характеристики, обсяг даних і т. д.

Використовувані критерії аналізу залежать від рівнів моделі OSI, на яких здійснюється фільтрація. У загальному випадку, чим вище рівень моделі OSI, на якому брандмауер фільтрує пакети, тим вище і що ним забезпечується рівень захисту.

Виконання функцій посередництва

Функції посередництва міжмережевий екран виконує за допомогою спеціальних програм, які називаються екранують агентами або просто програмами-посередниками. Дані програми є резидентними і забороняють безпосередню передачу пакетів повідомлень між зовнішньою і внутрішньою мережею.

При необхідності доступу з внутрішньої мережі в зовнішню мережу або навпаки спочатку має бути встановлено логічне з'єднання з програмою-посередником, що функціонує на комп'ютері екрану. Програма-посередник перевіряє допустимість запитаного міжмережевоговзаємодії і при його вирішенні сама встановлює окреме з'єднання з потрібним комп'ютером. Далі обмін інформацією між комп'ютерами внутрішньої та зовнішньої мережі здійснюється через програмного посередника, який може виконувати фільтрацію потоку повідомлень, а також здійснювати інші захисні функції.

Слід усвідомити, що функції фільтрації міжмережевий екран може виконувати без застосування програм-посередників, забезпечуючи прозору взаємодію між внутрішньою і зовнішньою мережею. Разом з тим програмні посередники можуть і не здійснювати фільтрацію потоку повідомлень. У загальному випадку екранують агенти, блокуючи прозору передачу потоку повідомлень, можуть виконувати такі функції:

ідентифікацію та аутентифікацію користувачів;

перевірку автентичності переданих даних;

розмежування доступу до ресурсів внутрішньої мережі;

розмежування доступу до ресурсів зовнішньої мережі;

фільтрацію і перетворення потоку повідомлень, наприклад, динамічний пошук вірусів і прозоре шифрування інформації;

трансляцію внутрішніх мережевих адрес для вихідних пакетів повідомлень;

реєстрацію подій, реагування на поставлені події, а також аналіз зареєстрованої інформації та генерацію звітів;

кешування даних, запитуваних із зовнішньої мережі.

Для високого ступеня безпеки необхідна ідентифікація і аутентифікація користувачів не тільки при їх доступі із зовнішньої мережі у внутрішню, але і навпаки. Пароль не повинен передаватися у відкритому вигляді через загальнодоступні комунікації. Це запобіжить отримання несанкціонованого доступу шляхом перехоплення мережевих пакетів, що можливо, наприклад, у разі стандартних сервісів типу Telnet. Оптимальним способом аутентифікації є використання одноразових паролів. Зручно і надійно також застосування цифрових сертифікатів, які видаються довірчими органами, наприклад центром розподілу ключів. Більшість програм-посередників розробляються таким чином, щоб користувач аутентифицироваться тільки на початку сеансу роботи з фаєрволом. Після цього від нього не потрібна додаткова аутентифікація протягом часу, що визначається адміністратором. Програми-посередники можуть здійснювати перевірку достовірності одержуваних і переданих даних. Це актуально не тільки для аутентифікації електронних повідомлень, а й мігруючих програм (Java, ActiveXControls), по відношенню до яких може бути виконаний підроблення. Перевірка справжності повідомлень та програм полягає в контролі їх цифрових підписів. Для цього також можуть застосовуватися цифрові сертифікати. Ідентифікація та аутентифікація користувачів при зверненні до міжмережевий екран дозволяє розмежувати їх доступ до ресурсів внутрішньої або зовнішньої мережі. Способи розмежування до ресурсів внутрішньої мережі нічим не відрізняються від способів розмежування, підтримуваних на рівні операційної системи. При розмежування доступу доресурсів зовнішньої мережі найчастіше використовується один з наступних підходів:

дозвіл доступу тільки по заданих адресах у зовнішній мережі;

фільтрація запитів на основі оновлюваних списків неприпустимих адрес і блокування пошуку інформаційних ресурсів по небажаним ключовими словами;

накопичення і оновлення адміністратором санкціонованих інформаційних ресурсів зовнішньої мережі в дискової пам'яті брандмауера і повна заборона доступу в зовнішню мережу.

Фільтрація і перетворення потоку повідомлень виконується посередником на основі заданого набору правил. Тут слід розрізняти два види програм посередників:

екранують агенти, орієнтовані на аналіз потоку повідомлень для певних видів сервісу, наприклад, FTP, HTTP, Telnet;

універсальні екранують агенти, обробні весь потік повідомлень, наприклад, агенти, орієнтовані на пошук і знешкодження комп'ютерних вірусів або прозоре шифрування даних. Програмний посередник аналізує надходять до нього пакети даних, і якщо який-небудь об'єкт не відповідає заданим критеріям, то посередник або блокує його подальше просування, або виконує відповідні перетворення, наприклад, знешкодження виявлених комп'ютерних вірусів. При аналізі вмісту пакетів важливо, щоб екранує агент міг автоматично розпаковувати проходять файлові архіви.

Брандмауери з посередниками дозволяють також організовувати захищені віртуальні мережі (VirtualPrivateNetwork-VPN), наприклад, безпечно об'єднати кілька локальних мереж, підключених кInternet, в одну віртуальну сеть.VPNобеспечівают прозоре для користувачів з'єднання локальних мереж, зберігаючи секретність і цілісність переданої інформації шляхом її динамічного шифрування. При передачі поInternetвозможно шифрування не тільки даних користувачів, але і службової інформації - кінцевих мережевих адрес, номерів портів і т. Д. Програми-посередники можуть виконувати і таку важливу функцію, як трансляцію внутрішніх мережевих адрес. Ця функція реалізується по відношенню до всіх пакетів, які прямують з внутрішньої мережі в зовнішню. Для цих пакетів посередник виконує автоматичне преобразованіеIP-адрес комп'ютерів-відправників в один "надійний" IP-адреса, що асоціюється з брандмауером, з якого передаються всі вихідні пакети. В результаті всі вихідні з внутрішньої мережі пакети виявляються відправленими фаєрволом, що виключає прямий контакт між авторизованої внутрішньою мережею і є потенційно небезпечною зовнішньої сетью.IP-адреса брандмауера стає єдиним актівнимIP-адресою, який потрапляє в зовнішню мережу.

При такому підході топологія внутрішньої мережі схована від зовнішніх користувачів, що ускладнює завдання несанкціонованого доступу. Крім підвищення безпеки трансляція адрес дозволяє мати всередині мережі власну систему адресації, неузгоджену з адресацією у зовнішній мережі, наприклад, в мережі Internet. Це ефективно вирішує проблему розширення адресного простору внутрішньої мережі і дефіциту адрес зовнішньої мережі. Важливими функціями програм-посередників є реєстрація подій, реагування на поставлені події, а також аналіз зареєстрованої інформації та складання звітів. В якості обов'язкової реакції на виявлення спроб виконання несанкціонованих дій має бути визначено повідомлення адміністратора, т. Е. Видача попереджувальних сигналів. Будь-брандмауер, який не здатний посилати попереджувальні сигнали при виявленні нападу, не є ефективним засобом міжмережевий захисту.

Багато міжмережеві екрани містять потужну систему реєстрації, збору і аналізу статистики. Облік може вестися за адресами клієнта і сервера, код користувача, часу сеансів, часу з'єднань, кількості переданих / прийнятих даних, дій адміністратора та користувачів. Системи обліку дозволяють зробити аналіз статистики і надають адміністраторам докладні звіти. За рахунок використання спеціальних протоколів посередники можуть виконати віддалене сповіщення про певні події в режимі реального часу. За допомогою спеціальних посередників підтримується також кешування даних, запитуваних із зовнішньої мережі. При доступі користувачів внутрішньої мережі до інформаційних ресурсів зовнішньої мережі вся інформація накопичується на просторі жорсткого диска брандмауера, званого в цьому випадку proxy-сервером. Тому якщо при черговому запиті потрібна інформація виявиться наproxy-сервері, то посередник надає її без звернення до зовнішньої мережі, що істотно прискорює доступ. Адміністратору слід подбати тільки про періодичному оновленні содержімогоproxy-сервера.

Функція кешування успішно може використовуватися для обмеження доступу до інформаційних ресурсів зовнішньої мережі. В цьому випадку всі санкціоновані інформаційні ресурси зовнішньої мережі накопичуються і оновлюються адміністратором на proxy-сервері. Користувачам внутрішньої мережі дозволяється доступ тільки до інформаційних ресурсамproxy-сервера, а безпосередній доступ до ресурсів зовнішньої мережі забороняється. Екранувальні агенти набагато надійніше звичайних фільтрів і забезпечують більшу ступінь захисту. Однак вони знижують продуктивність обміну даними між внутрішньою і зовнішньою мережами і не володіють, тим ступенем прозорості для додатків і кінцевих користувачів, яка характерна для простих фільтрів.

Особливості міжмережевого екранування на різних рівнях моделі OSI

Брандмауери підтримують безпеку міжмережевоговзаємодії на різних рівнях моделі OSI. При цьому функції захисту, що виконуються на різних рівнях еталонної моделі, істотно відрізняються один від одного. Тому комплексний міжмережевий екран зручно представити у вигляді сукупності неподільних екранів, кожен з яких орієнтований на окремий рівень моделі OSI. Найчастіше комплексний екран функціонує на мережевому, сеансовому і прикладному рівнях еталонної моделі. Відповідно розрізняють такі неподільні брандмауери (рис. А.3), як екранує маршрутизатор, екранує транспорт (шлюз сеансового рівня), а також екранує шлюз (шлюз прикладного рівня).

З огляду на, що використовуються в мережах протоколи (TCP / IP, SPX / IPX) неоднозначно відповідають моделі OSI, то екрани перерахованих типів при виконанні своїх функцій можуть охоплювати і сусідні рівні еталонної моделі. Наприклад, прикладної екран може здійснювати автоматичне зашифровування повідомлень при їх передачі в зовнішню мережу, а також автоматичне розшифровування криптографически закритих отриманих даних. У цьому випадку такий екран функціонує не тільки на прикладному рівні моделі OSI, а й на рівні уявлення. Шлюз сеансового рівня при своєму функціонуванні охоплює транспортний і мережевий рівні моделі OSI. Екранує маршрутизатор при аналізі пакетів повідомлень перевіряє їх заголовки не тільки мережевого, але і транспортного рівня.

Міжмережеві екрани кожного з типів мають свої достоінства.і недоліки. Багато з використовуваних брандмауерів є або прикладними шлюзами, або екранують маршрутизаторами, не підтримуючи повну безпеку міжмережевоговзаємодії. Надійну же захист забезпечують тільки комплексні міжмережеві екрани, кожен з яких об'єднує екранує маршрутизатор, шлюз сеансового рівня, а також прикладної шлюз.

Мал. А.3. Типи міжмережевих екранів, що функціонують на окремих рівнях моделі OSI

Як я вже не раз говорив у своїх статтях по брандмауера Windows у режимі підвищеної безпеки, починаючи з операційних систем Windows Vista і Windows Server 2008 R2, брандмауер Windows за замовчуванням покращує безпеку кожного комп'ютера в організації шляхом блокування всього вхідного трафіку, який не може бути вирішений явним чином. Якщо Ви встановлюєте програму або компонента операційної системи, якому потрібні вхідні підключення, операційна система автоматично включає входять правила брандмауера і вам, в більшості випадків, не доводиться їх конфігурувати вручну. Якщо ви відкриєте у себе оснащення безпосередньо з панелі управління або виконавши команду wf.msc в діалоговому вікні «Виконати», Або в командному рядку, то побачите, що у вас вже деякі правила автоматично включені. Наприклад, це може бути правило, яке автоматично створюється з установкою програми Windows Live Messenger або при розгортанні ролі Hyper-V, як показано на наступній ілюстрації:

Мал. 1. Автоматично платіть правила вхідних підключень

Але не у всіх випадках правила вхідних підключень брандмауера Windows створюються автоматично. Для деяких додатків, які не створюють правила вхідних підключень за замовчуванням, вам доведеться створювати правила вручну. Якщо така програма встановлена \u200b\u200bна одному комп'ютері або на декількох комп'ютерах, які розташовані в робочій групі, ви можете створювати правила безпосередньо в оснащенні «Брандмауер Windows в режимі підвищеної безпеки». Але що робити, якщо комп'ютери ваших співробітників є членами домену і таких комп'ютерів десятки, а то і сотні? В такому випадку, для застосування адміністратором правил брандмауера Windows в організації слід скористатися груповою політикою, яка надає аналогічний інтерфейс.

У цій статті ви дізнаєтеся про те, як можна виконувати гнучке управління брандмауером Windows в режимі підвищеної безпеки засобами групових політик, а саме про створення вхідних і вихідних підключень для певної групи користувачів.

Створення об'єкта групової політики для управління брандмауерами Windows в режимі підвищеної безпеки

Перш ніж створювати правила вхідних і вихідних підключень для брандмауерів Windows в режимі безпеки клієнтських комп'ютерів вашої організації, вам потрібно знайти підрозділу, які містять облікові записи комп'ютерів вашої організації і створити об'єкт GPO, який потім буде містити набір політик з параметрами, призначеними для конкретного набору комп'ютерів . Після цього, за допомогою оснастки, потрібно буде отконфигурировать правила для вхідних і вихідних підключень. У процесі створення об'єкта групової політики, призначеної для управління брандмауерів Windows в режимі підвищеної безпеки немає нічого специфічного. Для цього виконайте такі дії:

Після того як ви виконаєте всі зазначені раніше дії, можна зайнятися створенням вхідних і вихідних правил для брандмауера Windows у режимі підвищеної безпеки.

Налаштування правила для вхідного і вихідного підключення

На цьому етапі ми створимо правило для вхідних підключень, що застосовується до програми Windows Live Messenger на 1900 порт для 64-розрядних операційних систем Windows Vista і Windows 7, а також правило для вихідного підключення, що дозволяє запити від браузера Internet Explorer в об'єкті групової політики, який створювався в попередньому розділі даної статті. За замовчуванням члени локальної групи адміністраторів також можуть створювати і змінювати правила для вхідних і вихідних підключень в оснащенні «Брандмауер Windows в режимі підвищеної безпеки». Такі правила об'єднуються з правилами, отриманими з групових політик, і застосовуються до конфігурації комп'ютера. Для того щоб створити правило вхідного підключення в створеному раніше об'єкті групової політики, виконайте наступні дії:

1. У вузлі «Об'єкти групової політики» оснащення клацніть створений раніше об'єкт GPO, в даному випадку, об'єкт «Налаштування брандмауера Windows», Натисніть на ньому правою кнопкою миші «Змінити»;
2. В оснащенні «Редактор управління груповими політиками» в дереві консолі розгорніть вузол Конфігурація комп'ютера \\ Політики \\ Конфігурація Windows \\ Параметри безпеки \\ Брандмауер Windows в режимі підвищеної безпеки \\ Брандмауер Windows в режимі підвищеної безпеки \\ Правила для вхідних підключень. Клацніть правою кнопкою миші елемент «Правила для вхідних підключень» і з контекстного меню виберіть команду «Створити правило», Як показано на наступній ілюстрації:





Мал. 6. Створення нового правила для вхідних підключень

3. На першій сторінці «Майстра створення правила для нового вхідного підключення» ви можете вибрати одну з опцій, які докладно описані далі:
   • для програми. Цей тип правила для брандмауера служить для створення правила, що дозволяє або блокуючого підключення конкретного виконуваного файлу, незалежно від використовуваних номерів портів. Для більшості людей цей тип правила може виявитися найкориснішим, так як далеко не всі знають, які порти використовує конкретна програма. Найкраще в більшості випадків застосовувати саме цей тип правила, але варто звернути увагу на те, що даний тип не застосовується в тому випадку, якщо конкретна служба не містить власний виконуваний файл;
   • для порту. Цей тип правила для брандмауера служить для створення правила, що дозволяє або блокуючого комунікації для певного TCP або UDP порту, незалежно від програми, яка генерує трафік. Створюючи правило даного типу, ви можете вказати одночасно кілька портів;
   • зумовлені. Цей тип правила для брандмауера служить для створення правила, керуючого підключеннями конкретної програми або служби операційної системи, яка відображається у відповідному списку. Деякі програми після своєї установки додають свої записи в даний список для спрощення процесу створення правил для вхідних підключень;
   • настроюються. Цей тип правила для брандмауера служить для створення правила, яке може комбінувати відомості про програму та порте одночасно.

Для того щоб розглянути максимальну кількість сторінок майстра, виберемо тип «Що настроюється правило»;




Мал. 7. Сторінка «Тип правила» майстра створення правила для нового вхідного підключення

4. На сторінці «Програма» майстер створення правила для нового вхідного підключення дозволяє вказати шлях до програми, яку буде перевіряти брандмауер Windows в режимі підвищеної безпеки на те, щоб їх посилають або прийняті мережеві пакети задовольняли цьому правилу. У нашому випадку встановимо перемикач на опцію «Шлях програми» і в відповідному текстовому полі введемо «C: \\ Program Files (x86) \\ Windows Live \\ Messenger \\ msnmsgr.exe», Як показано нижче:



Мал. 8. Сторінка «Програма» майстра створення правила для нового вхідного підключення

5. На сторінці «Протокол і порти» майстра створення правила для нового вхідного підключення ви можете вказати протокол і порти, використовувані в мережевому пакеті, які будуть задовольняти поточним правилом. Якщо вам потрібно вказати кілька портів, ви можете їх ввести через кому. А якщо вам необхідно вказати цілих діапазон портів, розділіть менше і більше значення портів дефісом. Коротенько розглянемо параметри локальних портів для правил вхідних підключень:
   • всі порти. Правило застосовується для всіх вхідних і вихідних підключень по протоколам TCP або UDP;
   • спеціальні порти. В даному випадку ви можете вказати конкретні порти, які будуть застосовуватися для вхідного або вихідного підключення по протоколам TCP або UDP;
   • Сопоставітель кінцевих точок RPC. Дане значення можна вибрати тільки для вхідних підключень по протоколу TCP. В даному випадку комп'ютер буде отримувати вхідні RPC-запити по протоколу TCP через порт 135 в запиті RPC-EM, де вказується мережева служба та запитується номер порту, по якому і прослуховується дана мережева служба;
   • Динамічні порти RPC. Також як і для попереднього значення, дане значення можна вибрати тільки для вхідних підключень по протоколу TCP, де комп'ютер буде отримувати вхідні мережеві RPC-пакети через порти, які призначаються середовищем виконання RPC;
   • IPHTTPS. Це значення є тільки для вхідних підключень по протоколу TCP. У цьому випадку дозволяється приймати вхідні пакети по протоколу тунелювання IPHTTPS, що підтримує впровадження пакетів IPv6 в мережеві пакети IPv4 HTTPS від віддаленого комп'ютера;
   • обхід вузлів. Ви можете вибрати це значення тільки для вхідних підключень по протоколу UDP, яке дозволяє отримувати вхідні мережеві пакети Teredo.

Наприклад, для того щоб вказати для програми Windows Live Messenger TCP порти 80, 443 і 1900, в списку, що розкривається «Тип протоколу» Оберіть «TCP», В списку, що розкривається «Локальний порт» виберіть значення «Спеціальні порти», А в текстовому полі, розташованому під зазначеним вище спадному меню введіть «80, 443, 1900». Залиште значення списку «Віддалений порт» без змін і натисніть на кнопку «Далі»;




Мал. 9. Сторінка «Протокол і порти» майстра створення правила для нового вхідного підключення

6. На сторінці «Область» даного майстра ви можете вказати IP-адреси локальних і віддалених комп'ютерів, мережевий трафік яких буде застосовуватися для поточного правила. Тут доступні два розділи: локальні і віддалені IP-адреси, до якої застосовуватиметься це правило. Як в першому, так і в другому розділах, мережевий трафік буде задовольняти дане правило тільки в тому випадку, якщо IP-адреса призначення присутній в даному списку. При виборі опції «Будь-який IP-адреса», Правилу будуть задовольняти мережеві пакети з будь-яким IP-адресою, які будуть вказані в якості адреси локального комп'ютера або які будуть адресовані від будь-якого IP-адреси (у випадку з правилом для вхідного підключення). Якщо ж вам потрібно вказати конкретні IP-адреси, виберіть варіант на опцію «Зазначені IP-адреси» і певну адресу або підмережу використовуючи діалогове вікно, що відкривається після натискання на кнопку «Додати». У нашому випадку, залишимо цю сторінку без змін і натиснемо на кнопку «Далі»;



Мал. 10. Сторінка «Область» майстра створення правила для нового вхідного підключення

7. На сторінці "Дія" ви можете вибрати дію, яка виконуватиметься для вхідних та вихідних пакетів в даному правилі. Тут ви можете вибрати одне з трьох наступних дій:
   • дозволити підключення. При виборі даного значення, ви дозволяєте все підключення, які відповідають критерію, зазначеному на всіх попередніх сторінках майстра;
   • Дозволити безпечне підключення. Поточне значення для правила брандмауера Windows у режимі підвищеної безпеки дозволяє вирішувати підключення тільки в тому випадку, якщо вони відповідають критеріям, які були вказані вами раніше, а також захищені по протоколу IPSec. Не будемо зупинятися на даному значенні, так як воно буде детально розглянуто в моїх наступних статтях;
   • блокувати підключення. В цьому випадку брандмауер Windows в режимі підвищеної безпеки буде скидати будь-які спроби підключення, які відповідають критеріям, зазначеним вами раніше. Незважаючи на те, що спочатку все підключення блокуються брандмауером, дане значення доцільно вибирати в тому випадку, якщо вам потрібно заборонити підключення для конкретного додатка.

Так як нам потрібно дозволити доступ для програми Windows Live Messenger, встановлюємо перемикач на опції «Дозволити підключення» і натискаємо на кнопку «Далі»;




Мал. 11. Сторінка «Дія» майстра створення правила для нового вхідного підключення

8. На сторінці «Профіль» майстра створення правила для нового вхідного підключення ви можете вибрати профіль, до якого буде застосовано дане правило. Ви можете вибрати або один з трьох доступних профілів або відразу кілька. Найчастіше для організації вибирається або профіль «Доменний» або всі три профілю. Якщо ж у вашій організації не використовуються доменні служби Active Directory або ви налаштовуєте правила брандмауера для домашнього комп'ютера, вам буде досить вказати тільки профіль «Приватний». Правила для профілю «Публічний» створюються для загальнодоступних підключень, що, в принципі, робити небезпечно. У нашому випадку, встановимо прапорці на всіх трьох профілях і натиснемо на кнопку «Далі»;



Мал. 12. Сторінка «Профіль» майстра створення правила для нового вхідного підключення

9. На сторінці «Ім'я» вкажіть ім'я для створеного вами нового правила брандмауера Windows у режимі підвищеної безпеки для вхідного підключення, при необхідності введіть опис для поточного правила і натисніть на кнопку «Готово».



Мал. 13. Сторінка «Ім'я» майстра створення правила для нового вхідного підключення

За замовчуванням брандмауер Windows в режимі підвищеної безпеки дозволяє весь вихідний трафік, що, по суті, ставить під комп'ютер меншою загрозу злому, ніж дозвіл вхідного трафіку. Але, в деяких випадках, вам необхідно контролювати не тільки входить, але ще і вихідних трафік на комп'ютерах ваших користувачів. Наприклад, такі шкідливі програмні продукти як черв'яки і деякі типи вірусів можуть виконувати реплікацію самих себе. Тобто, якщо вірус успішно зміг ідентифікувати комп'ютер, то він буде намагатися всіма доступними (для себе) способами відправляти вихідний трафік для ідентифікації інших комп'ютерів даної мережі. Таких прикладів можна наводити досить багато. Блокування вихідного трафіку обов'язково порушить роботу більшості вбудованих компонентів операційної системи і встановленого програмного забезпечення. Тому, при включенні фільтрації вихідних підключень вам потрібно ретельно протестувати кожне встановлене на комп'ютерах користувачів додаток.

Створення вихідних правил незначно відрізняється від зазначеної вище процедури. Наприклад, якщо ви заблокували на комп'ютерах користувачів всі вихідні підключення, а вам потрібно відкрити користувачам доступ на використання браузера Internet Explorer, виконайте наступні дії:

1. Якщо вам потрібно, щоб правило брандмауера Windows для вихідного підключення було призначено в новому об'єкті групової політики, виконайте дії, які були вказані в розділі «Створення об'єкта групової політики для управління брандмауерами Windows в режимі підвищеної безпеки»;
2. В оснащенні «Редактор управління груповими політиками» в дереві консолі розгорніть вузол Конфігурація комп'ютера \\ Політики \\ Конфігурація Windows \\ Параметри безпеки \\ Брандмауер Windows в режимі підвищеної безпеки \\ Брандмауер Windows в режимі підвищеної безпеки \\ Правила для вихідних підключень. Клацніть правою кнопкою миші елемент «Правила для вихідних підключень» і з контекстного меню виберіть команду «Створити правило»;
3. На сторінці майстра «Тип правила» виберіть опцію «Для програми» і натисніть на кнопку «Далі»;
4. На сторінці «Програма», Виберіть варіант на опцію «Шлях програми» і введіть у відповідне текстове поле % ProgramFiles% \\ Internet Explorer \\ iexplore.exe або виберіть даний виконуваний файл, натиснувши на кнопку «Огляд»;
5. На сторінці "Дія" даного майстра виберіть опцію «Дозволити підключення» і натисніть на кнопку «Далі»;
6. На сторінці «Профіль» погодитеся зі значеннями за замовчуванням і натисніть на кнопку «Далі»;
7. На заключній сторінці, сторінці «Ім'я», Введіть ім'я для даного правила, наприклад, «Правило для браузера Internet Explorer» і натисніть на кнопку «Готово».

В області відомостей оснащення «Редактор управління груповими політиками» у вас повинно відображатися створене правило, як показано на наступній ілюстрації:

Мал. 14. Створене правило для вихідного підключення

Призначення фільтрації для створеного правила

Тепер, після того як ви створили об'єкт групової політики з вхідний і вихідний правилом для підключень, вам потрібно звернути увагу на наступний момент. При створенні правила для вхідного підключення ми вказали шлях до Windows Live Messenger для 64-розрядної операційної системи. Чи всі комп'ютери у вашій організації оснащені 64-розрядними операційними системами. Якщо все, то вам дуже пощастило і більше нічого не потрібно робити. Але якщо у вас є клієнтські комп'ютери з 32-розрядними ОС, то ви зіткнетеся з якоюсь проблемою. Правило просто не буде працювати. Звичайно, ви можете створити різні підрозділи для комп'ютерів з 32-розрядними і для комп'ютерів з 64-розрядними операційними системами, але це не зовсім раціонально. Іншими словами, вам потрібно вказати в оснащенні «Управління груповою політикою», Що об'єкт GPO повинен застосовуватися тільки на комп'ютерах з 64-розрядної операційною системою. Таке обмеження ви можете створити за допомогою WMI-фільтра. Більш докладно про фільтрації WMI ви дізнаєтеся в одній з наступних статей, а зараз стоїть лише зупинитися на створенні такого фільтра. Для того щоб вказати WMI-фільтр для визначення 64-розрядних операційних систем, виконайте наступні дії:

висновок

У даній статті ви дізналися про те, як можна створити правила брандмауера Windows у режимі підвищеної безпеки для вхідних і вихідних підключень засобами оснащення «Брандмауер Windows в режимі підвищеної безпеки», А також за допомогою групових політик для комп'ютерів організації, які є членами домену Active Directory. Описано попередні роботи, а саме створення підрозділу з комп'ютерами, а також об'єкта групової політики. Були розглянуті приклади створення настроюваного правила для вхідного підключення, а також правило типу «Для програми» для вихідного підключення.