Академия Специальных Курсов по Компьютерным Технологиям
    Главная страница Послать письмо
 
AskIt.ru  
   
   
   
   
   
   
 
 
  Главная / Заказные курсы / Безопасность сетей Windows для профессионалов
 
 

Получить учебные материалы по этому курсу


<-- Назад Читать дальше -->

3.3 Брандмауэры

Брандмауэры (файрволлы) в сетях Windows, аппаратные брандмауэры CheckPoint Software, правила брандмауэров, тестирование на уязвимости

Применение прокси-серверов позволяет увеличить безопасность работы сети (например, за счет того, что по умолчанию в большинстве брандмауэров нельзя инициировать соединение из внешней сети к компьютерам, расположенным во внутренней сети). Однако намного больше повышает безопасность применение брандмауэров - специальных средств (программных или аппаратных), которые позволяют фильтровать траффик. Фильтрация может производиться на разных уровнях (IP-адресов, протоколов, портов, наиболее мощные брандмауэры позволяют фильтровать сетевой трафик и на уровне прикладных данных). Работать в Интернет без брандмауэров в настоящее время практически невозможно. Например, согласно данным одного из исследований, среднее время заражения подключенного к Интернет компьютера, не защищенного брандмауэром, с оставленными известными уязвимостями (Windows XP без пакетов обновлений и патчей) в декабре 2003 года составляло 70 минут, в мае 2004 года - уже 25 минут.

Брандмауэры можно разделить на два вида:

·        аппаратные (например, производства фирмы CheckPoint Software);

·        программные. Их существует огромное количество (некоторые помещены в каталог Firewalls на компакт-диске). Наиболее часто используются в России - Agnitum Outpost Firewall, Kerio Firewall, Symantec Norton Internet Security.

Как правило, аппаратные устройства считаются более защищенными и производительными, но они уступают в функциональности и возможностях обновления программным брандмауэрам.

Практически любой современный прокси-сервер обладает также и функциональными возможностями брандмауэра (например, к таким продуктам относятся Microsoft ISA Server и Kerio WinRoute Firewall), поэтому часто вместо отдельной установки прокси-сервера и брандмауэра используется совмещенное решение.

Иногда используется такое решение, как экранирующий маршрутизатор (пример программной реализации - Karlbridge).

Брандмауэры также можно разделить на два больших класса: корпоративные (предназначенные для защиты всей сети предприятия) и личные (предназначенные для защиты одного компьютера). Часто у корпоративного брандмауэра имеется более дешевый вариант для персонального применения.

Формально брандмауэр - это система или группа систем, реализующих правила управления доступом между сетями. Самое важное, что можно настроить в брандмауэре - это правила пропуска трафика. Чаще всего они настраиваются на сетевом уровне (направление, в котором передаются данные, IP-адрес, тип протокола - TCP или UDP, номер порта), но иногда можно использовать и прикладной уровень, когда решение о пропуске/запрете трафика принимается на основании информации прикладного протокола (например, запрет пропуска сообщений SMTP, приходящих из определенного домена).

Правила обычно делятся на следующие категории:

·        правила пропуска для входящих и исходящих соединений;

·        запрещающие и разрешающие правила.

Со вторым типом в современных условиях все достаточно просто - весь трафик, который явно не разрешен, должен быть запрещен (исключение, например, некоторые провайдеры, которые выборочно запрещают трафик SMTP на чужие почтовые серверы или запрет пропуска трафика ICMP в локальной сети предприятия).

При планировании системы правил обычно вначале планируются правила для входящих соединений (со стороны Интернета), как более ограничительные, а затем - для исходящих соединений. На многих предприятиях вообще любая возможность инициировать соединение со внутренней сетью закрыта. При планировании правил для входящих соединений есть смысл подумать о пропуске следующего трафика (по протоколам и портам):

·        ICMP Echo Reply - отклики на пинги;

·        ICMP Time Exceded - отклики Traceroute;

·        TCP 21 - FTP (если внутри сети предприятия организован доступный из Интернета FTP сервер). Обычно необходимо также для нормальной работы FTP обеспечить пропуск трафика так называемых вторичных соединений (в большинстве брандмауэров для этого предусмотрены специальные средства). Если есть возможность, то лучше отказаться от FTP в пользу передачи файлов по HTTP по причине отсутствия в стандартных реализациях FTP нормальных средств защиты;

·        TCP 25 - SMTP. Обычно приходится открывать, чтобы обеспечить получение электронной почты извне. Подробнее про защиту электронной почты - в соответствующем модуле;

·        UDP 53 - DNS. Используется только тогда, когда ваш DNS-сервер нужен пользователям из Интернета (например, в нем находятся записи для вашего Интернет-домена). TCP 53, как правило, не нужен (этот порт - для DNS zone transfers);

·        TCP 80 - HTTP и TCP 443 - HTTPS. Используется тогда, когда в вашей внутренней сети находится Web-сервер, доступ к которому необходим из Интернета (Web-сайт организации, Web-интерфейс для доступа к электронной почте для сотрудников из дома и т.п.);

·        UDP 500, 1701, 4500 - VPN (протокол L2TP-IPSec).

В качестве других примеров можно привести средства Web-телефонии и видеоконференций, доступ на терминальный сервер и т.п. В большинстве брандмауэров существует заранее заготовленный набор правил, из которых можно выбрать необходимые и активизировать их.

Общее правило - не открывать больше портов/траффика, чем минимально необходимо пользователям вашей сети. Существует множество троянов, на клиентском компьютере которые принимают и обрабатывают команды, упакованные во внешне безобидные пакеты служебных протоколов (ICMP, RIP и т.п.).

Если нужно обеспечить доступ пользователей из Интернета к ресурсам вашей сети, то часто используется концепция Perimeter Network (другое название - DMZ, DeMilitarized Zone). При этом используется два брандмауэра. Первый ставится между Perimeter Network и Интернетом и обеспечивает доступ в Интернет из Perimeter Network и доступ из Интернета к серверам в Perimeter Network.  Второй ставится между Perimeter Network и внутренней сетью предприятия и обеспечивает выход в Perimeter network (и через нее - в Интернет) из внутренней сети предприятия и серверам из Perimeter network - доступ во внутреннюю сеть. При этом лучше, чтобы брандмауэры были разными (разные аппаратные модели, если брандмауэр программный - использовались разные программы и операционные системы и т.п.).

Для исходящих соединений обычно разрешается больше, чем для входящих. Не рекомендуется открывать все исходящие порты по причине того, что инициировать нежелательные соединения изнутри могут трояны. Обычно для исходящих соединений открываются порты TCP 20/21, TCP 25, UDP 53, TCP 80/443.

Несколько классических книг по настройке правил для брандмауэров находится в каталоге Firewalls\Firewall Docs на компакт-диске.

Необходимо отметить, что брандмауэр - это не универсальное средство, а всего лишь один из компонентов защиты. Он не спасет, например, от вирусов и троянов, пришедшим по разрешенным каналам (например, через электронную почту или броузинг Интернета). Кроме того, брандмауэры бесполезны для атак изнутри сети (именно на такие атаки приходится примерно 80 процентов нарушений системы безопасности). Брандмауэры - это обычные программы, и в них постоянно обнаруживаются ошибки (перечень некоторых уязвимостей распространенных брандмауэров лежит в каталоге Firewalls\Firewall vulnerabilities на компакт-диске). Однако наличие брандмауэра позволит резко повысить защищенность вашей сети и обезопасить сеть от множества проблем и лишнего сетевого трафика.

После установки брандмауэр желательно протестировать. Это можно сделать:

·        при помощи Telnet (просто пытаясь установить соединение с определенными портами как на самом брандмауэре, так и с компьютерами за ним);

·        при помощи обычных сканеров безопасности (они были рассмотрены в предыдущем модуле);

·        при помощи он-лайновых средств (например, по адресам www.auditmypc.com/freescan/scanoptions.asp, probe.hackerwatch.org/probe/hitme.asp, www.pcflank.com);

·        при помощи специальных утилит. Некоторые утилиты, проверяющие возможность подмены субъекта соединения или внедрения в адресное пространство самого брандмауэра, находятся в каталоге Firewall Testing на компакт-диске.

Еще одно преимущество брандмауэров заключается в том, что они позволяют протоколировать всю сетевую активность как извне, так и изнутри сети. Наиболее мощные средства мониторинга представлены в специализированных Intrusion Detection Systems, которые будут рассмотрены ниже, однако логи брандмауэров также могут оказаться очень полезными. Специализированные утилиты для работы с логами брандмауэров собраны в каталоге Firewalls\Firewall Logs. Например, для удобства просмотров логов Kerio Personal Firewall и Tiny Firewall можно использовать TinyLogger, а для брандмауэров от Norton и ATGuard - утилиту LogViewer.

 

   
   
   
   
   
   
   
   
   
   
 
<-- Назад Читать дальше -->

Получить учебные материалы по этому курсу


 

 
© 2004-2008, Академия Специальных Курсов
по Информационным Технологиям
.
Все права защищены.

Разработка NevaStudio
г. Санкт-Петербург, Васильевский остров,
20-я линия, д. 7
Офис 101, 2-й этаж
Телефон: 8(812)922-47-60
E-mail: info@askit.ru