11. Общие сведения о межсетевой защите

Межсетевой экран - это набор связанных между собой программ, располагающихся на компьютере, который размещает ресурсы владельцев и защищает их от пользователей из внешней сети. Владелец компьютера, имеющего выход в Internet, устанавливает межсетевой экран, чтобы предотвратить получение посторонними конфиденциальных данных, хранящихся на защищаемом компьютере, а также для контроля за внешними ресурсами, к которым имеют доступ другие пользователи данного компьютера. Например, вы понимаете, что некоторые сетевые службы небезопасны с точки зрения компьютерной защиты информации, а другие члены вашей семьи могут этого не понимать.

Информация от компьютера к компьютеру пересылается в виде пакетов. Представьте себе, что каждый компьютер - это дом. Представьте себе, что пакеты - это маленькие человечки, которые бегают от дома к дому, передавая нужную информацию. В дальнейшем этих человечков так и будем называть - пакеты. Как и у домов, у каждого компьютера в сети есть адрес. Адрес представляет собой строку, состоящую из четырёх групп чисел от 0 до 255, разделённых точками. К примеру, 212.20.123.15 Чтобы входить в дом и выходить из него, используются двери. У компьютера роль дверей играют порты. Т.е., каждый порт можно представить как дверь, через которую входят и выходят пакеты. У каждого порта есть номер. Номер может быть от 0 до 65535.

Итак, чем же занимается firewall? Firewall контролирует двери (порты) и перемещение пакетов через эти двери.

У каждой двери есть 3 состояния: открыта, закрыта и невидима. Стоит заметить что в отличие от настоящего мира, где виден весь дом, в виртуальном мире сети «видны» только «двери» «дома», т.е. порты компьютера, подключённого к сети.

У firewall-а есть две основные цели. Защита от проникновения на компютер снаружи (взлом) и защита от несанкционированной передачи данных с компютера наружу (к примеру, предотвращение кражи паролей, номеров кредиток и т.д. троянскими программами).

Запишите в отчет понятие брандмауэра, назначение. От каких вторжений он должен защищать?

2. Основные компоненты системы firewall:

• политика безопасности сети;

• механизм аутентификации;

• механизм фильтрации пакетов;

• шлюзы прикладного уровня.

Политика безопасности. Существует два уровня политики безопасности компьютера, непосредственно влияющие на установку и использование межсетевого экрана. Политика высокого уровня или политика доступа к компьютеру определяет те службы, которые будут допускаться через модем и которым будет запрещено работать на компьютере, она описывает также, как эти службы будут использоваться, и какие условия являются исключениями в этой политике. Политика низкого уровня описывает, как межсетевой экран будет фактически выполнять задачу ограничения доступа и фильтрования служб, которые были определены политикой высокого уровня.

Фильтрование пакетов. Обычно используют фильтрующий маршрутизатор, разработанный специально для фильтрования пакетов, проходящих через маршрутизатор. Фильтрующий маршрутизатор - это чаще всего программа, настроенная так, чтобы по отдельным данным фильтровать пакеты, доставленные модемом. Обычно фильтр проверяет данные, располагающиеся в заголовке пакета, такие, как IP-адрес источника и получателя, некоторые другие.

Фильтры пакетов анализируют приходящие IP-пакеты и пропускают или не пропускают их в зависимости от предопределенного списка правил фильтрации.

Фильтрование входящих и исходящих пакетов упрощает правила фильтрования пакетов и дает возможность фильтрующему маршрутизатору более легко определять степень опасности IP-адреса. Фильтрующие маршрутизаторы, не владеющие такой способностью, имеют большое количество ограничений при выполнении стратегии фильтрования. Отвечающие за это фильтрующие маршрутизаторы должны выполнять обе перечисленные выше политики фильтрования.

Шлюз прикладного уровня. Пользователь, который хочет соединиться с каким- либо удаленным компьютером Сети, должен сначала соединиться с межсетевым экраном и только затем с нужной службой требуемого компьютера через шлюз прикладного уровня системы firewall. Шлюз прикладного уровня - это программа, реализующая доступ к требуемым службам.

Шлюз прикладного уровня пропускает только те службы, которые ему разрешено обслуживать. Другими словами, если шлюз прикладного уровня имеет полномочия на обслуживание только FTP и TELNET, то только FTP и TELNET могут быть допущены в защищаемую подсеть, а все другие службы будут полностью блокироваться. Firewall также предотвращает доступ всех оставшихся небезопасных служб. Другая польза от использования шлюза прикладного уровня - это то, что он может фильтровать протоколы. Некоторые межсетевые экраны, например, могут фильтровать FTP -соединения и запрещать использование команд FTP, таких, как put, что гарантирует невозможность записи информации на анонимный FTP-сервер.

Аутентификация пользователя. С тех пор как межсетевой экран может централизовать доступ к сети и управлять им, он является логичным местом для установки программного и аппаратного обеспечения усиления аутентификации.

Кратко запишите в отчет, из каких компонентов состоит система firewall. Охарактеризуйте эти компоненты.

Настройка брандмауэра Windows Vista

Одним из усовершенствований но вой ОС от Microsoft является встроенный брандмауэр. Персональный брандмауэр, впервые появившийся в составе Windows XP (исходное название Internet Connection Firewall было впоследствии изменено на Windows Firewall), вызывал немало нареканий. Несмотря на возможности настройки с помощью Group Policy Object (GPO) и командной строки, его реализация контроля сетевого трафика была явно недостаточной для обеспечения приемлемого уровня безопасности. Сам же факт применения инструмента, не обеспечивающего адекватной з ащиты, мог вызвать у пользователя ложное чувство отсутствия угроз. Одним из самых серьезных недостатков брандмауэра являлись контроль только входящего трафика и невозможность создания гибких правил фильтрации. Брандмауэр Vista теперь имеет два интерфейса, с помощью которых его можно настраивать - обычный и расширенный.

Традиционный интерфейс брандмауэра

Обычный метод конфигурирования брандмауэра в Vista выглядит практически так же, как и в XP. Для входа в этот режим нажимаем кнопку Пуск, идем в Панель управления, далее - Безопасность, Брандмауэр Windows.

В этом окне отображаются основные сведения - состояние брандмауэра, способ оповещений, используемое текущее сетевое размещение (напомним, что Vista делит сети на три категории - домашняя, рабочая и публичная; в соответствии с ними устанавливаются режимы безопасности). Для изменения настроек брандмауэра, необходимо щелкнуть ссылку Изменить параметры. Откроется окно диалога, ничем не отличающееся от аналогичного в Windows XP.

Общие Исключения | Дополнительно

У

t

защитить ваш компьютер

.' Брандмауэр Windows помогает

Брандмауэр Windows помогает предотвратить несанкционированный доступ хакеров или вредоносных программ к этому компьютеру через Интернет или локальную сеть.

'9 Включить (рекомендуется)

При выборе этого параметра блокируется подключение всех внешних источников к данному компьютеру, кроме тех, блокировка которых отменена на вкладке исключений.

Блокировать все входящие подключения

Используйте этот вариант при подключении к менее безопасным сетям. Все исключения будут игнорироваться, и вы не будете получать уведомления о блокировании программ брандмауэром Windows.

Выключить (не рекомендуется)

Старайтесь не использовать этот параметр. Отключение брандмауэра Windows приводит к снижению защищенности от вредоносных программ и хакеров.

Подробнее об этих параметрах

П

ОК

Отмена

рименить

Параметры брандмауэра Windows

Общие Исключения Дополнительно

Исключения используются для управления связью через брандмауэр Windows. Добавьте исключение для программы или порта, чтобы разрешить связь через брандмауэр.

Брандмауэр Windows использует параметры для публичных сетей.

Опасности отмены блокировки программы

Чтобы задействовать исключение, установите его флажок:

Программа или порт

• Ловушка SNMP

• Маршрутизация и удаленный доступ

• Медиаприставка Media Center

ившияямн!

0 Общий доступ к подключению к Интернету 0 Общий доступ к файлам и принтерам 0 Основы сетей

• Подключение к сетевому проектору

• Проигрыватель Windows Media

• Служба iSCSI

• Служба общего доступа к сети проигрывателя Windows Media

• Служба регистрации имен компьютеров конференц-зала Windows

[добавить программу... ] [добавить порт..Г] [

Удалить

[У1 Уведомлять, когда брандмауэр блокирует новую программу

ОК

Отмена

Применить

Переключатели позволяют включать или отключать брандмауэр, а флажок Блокировать все входящие подключения позволяет сделать компьютер полностью «невидимым» в небезопасной - например, публичной - сети. При установке этого флажка будут заблокированы также все разрешенные правилами подключения.

Для конфигурирования брандмауэра в обычном режиме необходимо перейти на вкладку Исключения. Она содержит типичный список служб, для которых можно задействовать или отменить правила исключений. Для того, чтобы сетевой трафик какой-либо программы или службы не блокировался

брандмауэром, необходимо

установить соответствующий

флажок. Кнопка Свойства позволяет посмотреть описание выбранной службы или порта. Вы можете включить или выключить режим оповещений о блокировании трафика, установив флажок Уведомлять, когда брандмауэр блокирует новую программу.

Если программа или порт, для которых необходимо настроить исключение, отсутствует в

стандартном списке, их можно добавить вручную, нажав

соответствующую кнопку внизу окна.

Если ранее добавленная пользователем программа более не нужна, ее можно выделить, и удалить из списка при помощи одноименной кнопки. При добавлении программы необходимо будет указать ее расположение, нажав кнопку Обзор.

При добавлении в список исключений порта укажите его описательное имя (чтобы потом проще было вспомнить, для чего он был открыт), введите его номер и укажите тип протокола - TCP или UDP.

Добавление порта

Используйте эти параметры для открытия порта через брандмауэр

Windows. Чтобы найти номер порта и протокол, обратитесь к документации программы или службы.

Имя: НТТР-Сервер

Номер порта: 80

Протокол: j -|-(-р

( 2. UDP

Опасности открытия порта

Изменить область... ОК 14 Отмена

При добавлении как программ, так и портов, дополнительно можно более детально указать область, для которой будет действовать исключение. Для этого нажмите кнопку Изменить область, расположенную внизу окна. В открывшемся диалоге выберите необходимый параметр.

Изменение области

Чтобы задать компьютеры, для которых этот порт или программа разблокированы, выберите один из параметров ниже,

Чтобы задать особый список, введите список IP-адресов, подсетей или оба, разделенных запятыми.

© Любой компьютер [включая компьютеры из Интернета)

© Только локальная сеть [подсеть)

О Особый список: |\

Пример: 192.168.114.201,192.168.114.201/255.255.255.0, 3ffe:ffff:8311:f282:1460:5260:с9Ы:йа6

ОК | | Отмена

Если необходимо, чтобы программа или служба могла использоваться всеми, включая компьютеры, находящиеся в Интернете, выберите переключатель Любой компьютер. Если трафик к службе надо сделать доступным лишь компьютерам своей сети, выберите Только локальная сеть. Третий параметр - самый гибкий и позволяет указывать произвольный диапазон IP-адресов или подсетей в виде списка, причем как в версии IPv4, так и IPv6. Элементы списка разделяются запятыми.

Последняя вкладка - Дополнительно - позволяет указать, на каких сетевых интерфейсах, доступных системе, будут действовать заданные правила фильтрации сетевого трафика.

if* Параметры брандмауэра Windows

Нажатие кнопки По умолчанию производит сброс всех настроек к первоначальному состоянию. При ее нажатии система предупредит, что это может привести к неработоспособности тех программ, для которых пользователем устанавливались особые параметры.

Если вы ранее конфигурировали брандмауэр в Windows XP, то, вероятно уже заметили, что все вышеописанные настройки не являются новыми. Так в чем же заключается усовершенствование брандмауэра из состава Vista? Почему разработчики из Microsoft называют его улучшенным? Чтобы ознакомится с нововведениями, необходимо запустить Брандмауэр Windows в режиме повышенной безопасности

Для входа в этот режим необходимо запустить интерфейс брандмауэра как оснастку консоли MMC (заметим, что использование оснастки позволяет управлять настройкой брандмауэра на удаленной станции). Сделать это можно через панель управления - нажав Пуск, выбрать Панель управления, переключиться в режим отображения Классический вид, перейти в раздел Администрирование и щелкнуть ссылку Брандмауэр Windows в режиме повышенной безопасности .