Задание 4. Настройка брандмауэра для защиты компьютеров в сети.
Теоретические сведения. Особенности защиты информации в компьютерных сетях обусловлены тем, что сети, обладая несомненными преимуществами обработки информации, по сравнению с локальными компьютерами, усложняют организацию защиты, образуя основные проблемные направления: 1) Разделение совместно используемых ресурсов. 2) Расширение зоны контроля. 3) Комбинация различных программно-аппаратных средств. 4) Неизвестный периметр. 5) Множество точек атаки. 6) Сложность управления и контроля доступа к системе. Сообществом Интернета под эгидой Тематической группы по технологии Интернета (Internet Engineering Task Force, IETF) разработано много рекомендаций по отдельным аспектам сетевой безопасности, тем не менее, целостной концепции или архитектуры безопасности пока не предложено. Основная идея состоит в том, чтобы средствами оконечных систем обеспечивать сквозную безопасность. Экранирование – единственный сервис безопасности, для которого Гостехкомиссия России одной из первых в мире разработала и ввела в действие Руководящий документ, основные идеи которого получили международное признание и фигурируют в профилях защиты, имеющих официальный статус в таких странах, как США. Политика безопасности межсетевого экрана базируется на принципе «все, что не разрешено, запрещено». Межсетевой экран, или Брандмауэр – «полупроницаемая мембрана», которая располагается между защищаемым внутренним сегментом сети и внешней сетью или другими сегментами сети интранет и контролирует все информационные потоки во внутренний сегмент и из него. Контроль трафика состоит в его фильтрации, то есть выборочном пропускании через экран, а иногда и с выполнением специальных преобразований и формированием извещений для отправителя, если его данным в пропуске было отказано. Фильтрация осуществляется на основании набора условий, предварительно загруженных в брандмауэр и отражающих концепцию информационной безопасности корпорации. Брандмауэры могут быть выполнены как в виде аппаратного, так и программного комплекса, записанного в коммутирующее устройство или сервер доступа (сервер-шлюз, прокси-сервер, хост-компьютер и т. Д.). Работа брандмауэра заключается в анализе структуры и содержимого информационных пакетов, поступающих из внешней сети, и в зависимости от результатов анализа пропуска пакетов во внутреннюю сеть (сегмент сети) или полное их отфильтровывание. Эффективность работы межсетевого экрана обусловлена тем, что он полностью переписывает реализуемый стек протоколов TCP/IP, и поэтому нарушить его работу с помощью искажения протоколов внешней сети (что часто делается хакерами) невозможно. Межсетевые экраны обычно выполняют следующие функции: - физическое отделение рабочих станций и серверов внутреннего сегмента сети (внутренней подсети) от внешних каналов связи; - многоэтапная идентификация запросов, поступающих в сеть (идентификация серверов, узлов связи и прочих компонентов внешней сети); - проверка полномочий и прав доступа пользователей к внутренним ресурсам сети; - регистрация всех запросов к компонентам внутренней подсети извне; - контроль целостности программного обеспечения и данных; - экономия адресного пространства сети (во внутренней подсети может использоваться локальная система адресации серверов); - сокрытие IP-адресов внутренних серверов с целью защиты от хакеров. Брандмауэры могут работать на разных уровнях протоколов модели OSI. На сетевом уровне выполняется фильтрация поступающих пакетов, основанная на IP-адресах (например, не пропускать пакеты из Интернета, направленные на те серверы, доступ к которым извне не должен осуществляться; не пропускать пакеты с фальшивыми обратными адресами или с IP-адресами, занесенными в «черный список» и т. Д.). На транспортном уровне фильтрация возможна еще и по номерам портов TCP и флагов, содержащихся в пакетах (например, запросов на установление соединения). На прикладном уровне может выполняться анализ прикладных протоколов (FTP, HTTP, SMTP и т. Д.) и контроль за содержанием потоков данных (запрет внутренним абонентам на получение каких-либо типов файлов: рекламной информации или исполняемых программных модулей, например). В брандмауэре возможно наличие экспертной системы, которая, анализируя трафик, диагностирует события, потенциально представляющие угрозу безопасности внутренней сети, извещает об этом администратора сети, а в случае опасности она может автоматически ужесточать условия фильтрации и т. Д. Основные компоненты брандмауэра: - политика сетевого доступа; - механизмы усиленной аутентификации; - фильтрация пакетов; - прикладные шлюзы. В качестве популярных эффективных брандмауэров называются: Netscreen 100, CyberGuard Firewall, Kerio Winroute Firewall, Zone Alarm, Agnitum Autpost Firewall, Jetico Personal Firewall, Internet Connection Firewall. Еще одним способом сетевой защиты может быть установленное на сервере специальное программное обеспечение, которое позволяет остальным компьютерам сети эмулировать выход в Интернет, оставаясь при этом «невидимым» со стороны глобальной сети. Такой компьютер называют прокси-сервером (proxy – доверенный). Например, Microsoft Proxy Server 2.0. который, являясь кэширующим сервером (повышает эффективность работы сети – сокращает сетевой трафик), выполняет функции брандмауэра и обеспечивает безопасный доступ в Интернет и имеет два сетевых адаптера – один соединяет его с сетью, другой – с Интернет. Так как локальная сеть «не видна» из Интернет, то легальный IP-адрес имеет только внешний сетевой интерфейс, а IP-адреса внутри сети могут быть выданы из пула, зарезервированного для изолированных сетей. В ОС Windows XP с установленным SP2 (Service Pack 2 – пакет обновлений 2) входит брандмауэр. Основные возможности: блокировка доступа компьютерным вирусам и червям, запрос пользователя о выборе действия, ведение журнала безопасности.
Указание: 1) Настройте брандмауэр Windows: - Откройте окно настройки брандмауэра (Параметры \ Поиск \ Панель управления \ Система и безопасность \ Брандмауэр Windows \ Дополнительные параметры). - Разрешите доступ браузеру Internet Explorer к Интернет (вкладка \ Свойства брандмауэра Windows \ Правила для входящих подключений \ выберите в списке Internet Explorer \ ОК). - Включите ведение журнала безопасности (вкладка Свойства брандмауэра Windows \ Общий профиль \ Ведение журнала \ Настроить \ включите запись пропущенных пакетов и успешных подключений; - Сохраните сделанные изменения – нажать кнопку ОК. 2) Подключитесь к сети Интернет с помощью браузера Internet Explorer. Если все настроено правильно, то Вы сможете выйти в Интернет, в противном случае – брандмауэр выдаст сообщение о том, что какая-то программа пытается получить доступ в Интернет. 3) Настройте фильтрацию IP-трафика: - Откройте диалоговое окно свойств сетевого подключения (Параметры \ Сеть \ Подключения по локальной сети \ Свойства (правой кнопкой мыши) \ - Откройте диалоговое окно настройки параметров фильтрации протокола TCP/IP (Протокол Интернета (TCP/IP) \ Свойства \ Дополнительно \ Параметры \ Фильтрация TCP/IP \ Свойства). - Установите TCP-порты, которые Вы разрешаете использовать (выберите в разделе TCP-порты переключатель Только и щелкните по кнопке Добавить): - введите номер порта для протокола HTTPS – 443; протокола отправки почты SMTP – 25; протокола получения почты POP3 – 110; протокола FTP – 21; протокола Telnet – 23. - Сохраните сделанные изменения – нажать кнопку ОК. 4) Отобразить в отчете по лабораторной работе результаты настроек брандмауэра. 5) Ответить на контрольные вопросы в нижеприведенной таблице.
|