Koja je razlika između praćenja i filtriranja prometa? U Rusiji će se pojaviti nacionalni sustav filtriranja interneta. Dodjela filtriranja za stvoreno pravilo

Članak vam skreće pozornost na dva načina filtriranja prometa na mreži. Prva metoda koristi neobično filtriranje dolaznih paketa prema izvornim IP adresama, u osnovi implementirajući zaštitu od prijevare, druga - filtriranje paketa u lokalnoj mreži ili DMZ-u pomoću PVLAN tehnologije.

Barankov Denis, denisNOSPAMixi.ru

Članak vam skreće pozornost na dva načina filtriranja prometa na mreži. Prva metoda koristi neobično filtriranje dolaznih paketa prema izvornim IP adresama, u osnovi implementirajući zaštitu od prijevare, druga - filtriranje paketa u lokalnoj mreži ili DMZ-u pomoću PVLAN tehnologije.

Nadam se da će ovaj članak biti koristan i administratorima i onima koji se bave sigurnošću mreže. Nažalost, to su obično drugi ljudi.

Uvod. Općenito o filtraciji.

Samo pogledajte format zaglavlja IP paketa (ova struktura je preuzeta iz izvora WinPCap) typedef struct ip_header( u_char ver_ihl; // Verzija (4 bita) + duljina internetskog zaglavlja (4 bita) u_char tos; // Vrsta usluge u_short tlen; / / Ukupna dužina u_short identifikacije; // Identifikacija u_short flags_fo; // Zastavice (3 bita) + pomak fragmenta (13 bita) u_char ttl; // Vrijeme života u_char proto; // Protokol u_short crc; // Zaglavlje kontrolni zbroj ip_address saddr; // Izvorna adresa ip_address daddr; // Odredišna adresa u_int op_pad; // Opcija + Padding )ip_header;

koliko polja zahtijeva provjeru ispravnosti već na ulazu u mrežu. Očito, za svako polje postoji mnogo vrijednosti koje su definirane u RFC standardu kao one koje imaju neko značenje. I očito je da postoje mnoge vrijednosti koje nigdje nisu definirane, besmislene su i ne možemo ni zamisliti kako će te vrijednosti percipirati primatelj. Ako paket ima barem jedno netočno polje, onda je cijeli paket netočan i ne bi trebao začepiti našu mrežu. Međutim, to trenutno nije slučaj na mnogim mrežama. Svaki host ima vlastiti sustav zaštite od napada (IPS) koji se bavi takvim paketima. Predlažem da ne čekate da takvi paketi stignu do hosta primatelja, već da ih ubijete već na ulazu u mrežu. Štoviše, možemo filtrirati i blokirati promet sekvencijalno od razine kanala do razine aplikacije (unutar ISO OSI modela). To će rasteretiti mrežu i zaštititi od napada koji iskorištavaju činjenicu da “žmirimo” na netočne pakete.

Ova ideja nije nova. Naputak o tome koji bi paketi mogli biti loši na vašoj mreži možete pronaći u pravilima vašeg sustava za otkrivanje upada. Sustavi za detekciju upada već dugo provjeravaju sva polja paketa i prikupljaju statistiku kako bi analizirali pronađene netočne pakete, koje je moguće pregledati i poduzeti mjere protiv onih najiritantnijih. Snort mi se najviše sviđa jer je sve otvoreno za širenje. To vam omogućuje da promijenite standardna pravila ili napišete vlastita, analizirate statistiku koristeći i čak možete dodati pravila za blokiranje IP adresa koristeći SnortSam u gotovo svakom od trenutno poznatih FW-ova: Cisco PIX, MS ISA, Checkpoint FW-1, Watchguard Firebox i ugrađen u Linux i FreeBSD FW.

Međutim, bez gubitka općenitosti, možemo reći da oni ljudi koji koriste bilo kakve sustave za detekciju napada, na primjer Cisco NetRanger, RealSecure (Proventia) ili Snort, imaju san: kada će konačno prestati generirati lažna upozorenja. Ja barem imam takav san, budući da se u moje četiri vanjske mreže klase C stalno događa nešto novo, iako su se tipovi protoka informacija odavno ustalili. Više ne primam mnoga upozorenja poput BAD-TRAFFIC nedodijeljeni/rezervirani IP protokol, BAD-TRAFFIC nestandardni IP protokol, BAD-TRAFFIC povratni promet, BAD-TRAFFIC isti SRC/DST, BAD-TRAFFIC tcp port 0 promet, ne zato što sam onemogućio ovim pravilima, ali zato što sam blokirao ovaj “loš promet” odmah na ulazu. Nažalost, danas moram ignorirati razne događaje, znajući da se radi o običnoj lažnoj uzbuni i da je ne mogu blokirati, jer bilo koji provajder ne bi trebao blokirati promet prema klijentu, koliko god to bilo: opasno ili jednostavno beskorisno. Ali dopuštam si blokiranje "pogrešnog" prometa: netočne adrese, netočne oznake, netočne ili opasne portove.

Jasno je zašto postoje IDS sustavi koji administratoru pokazuju koji je promet loš, ali ne postoje programi koji bi automatski filtrirali promet koji ulazi i izlazi iz vaše mreže tako da se Snort nema što buniti. Problem su lažne dojave. Postoji mnogo pravila za isti Snort, koji ne bi trebali samo otkriti nestandardno ponašanje, već ga odmah blokirati. Na primjer, logično je blokirati promet koji zadovoljava BAD-TRAFFIC ip reserved bit set uvjet, odnosno one pakete čiji rezervni bit nije ispravno postavljen. (Usput, možete li se odmah sjetiti koji firewall može provjeriti takvo stanje i blokirati takav paket? ;-)) S druge strane, postoje upozorenja o čijoj se korisnosti može raspravljati. Na primjer, nedavno su eMule na mojoj mreži postali krivci prometnih upozorenja BACKDOOR typot trojana.

Dakle, u idealnom slučaju, sa stajališta sustava za otkrivanje napada, moramo biti sigurni da se ne pokreću ona pravila koja jasno pokazuju da je filtriranje pogrešno konfigurirano. A ispravno postavljanje glavni je zadatak administratora.

Grubi filter. Zaštita od lažiranja IP adresa.

Budući da ne pišem knjigu, već članak, danas ću doći samo do dna jednog polja IP paketa: adresa izvora. Poznato je da se tamo nalazi izvorna IP adresa paketa. I, koliko ja znam, Cisco SAFE tehnologija savjetuje filtriranje ovog polja u skladu s RFC-om i zaštitu od IP spoofinga. Odredimo koje točno adrese trebamo blokirati. (Polje odredišne ​​adrese mora biti unutar vašeg dodijeljenog skupa adresa, tako da se ovdje nema što nagađati.)

Tako znamo da je od 1. siječnja 1983. uveden koncept IP adrese verzije 4, što je 32-bitni broj koji obično pišemo kao 4 decimalna broja odvojena točkom. Postoji organizacija koja se zove Internet Assigned Numbers Authority (IANA) koja dodjeljuje adrese diljem Interneta. Postoje četiri regionalna internetska registra (RIR) distribuirana diljem svijeta: APNIC (Asia Pacific Network Information Center), ARIN (American Registry for Internet Numbers), LACNIC (Latin American and Caribbean IP address Regional Registry), RIPE NCC, koji distribuiraju adrese između davatelja internetskih usluga (ISP). I na kraju, na web stranici IANA-e postoji znak koji bilježi koji je blok adresa kome dodijeljen.

Ako pokušamo klasificirati adrese, onda uz (već proučavane u školi) klase A, B, C, D, E, nalazimo da postoje posebne adrese definirane ne samo RFC 1918, već i RFC 3330, a koje ne smije se koristiti na Internetu.

1. Privatne adrese - rezervirane za korištenje u lokalnim mrežama u skladu s RFC 1918.

• 10.0.0.0 - 10.255.255.255
• 172.16.0.0 - 172.31.255.255
• 192.168.0.0 - 192.168.255.255

2. Adrese dobivene automatskim dodjeljivanjem IP adrese sebi u odsutnosti DHCP poslužitelji a prema RFC 3330 također ne bi smjeli ići izvan lokalne mreže.

• 169.254.0.0 - 169.254.255.255

3. Loopback adrese koje se koriste za provjeru rada TCP stoga. Koristi ga svaki domaćin samo za sebe.

• 127.0.0.0 - 127.255.255.255

4. Testni raspon - treba se koristiti u dokumentaciji i primjerima koda.

• 192.0.2.0–192.0.2.255

5. Multicast adrese ne mogu se pojaviti u izvornom polju. Samo u polju primatelja paketa, jer se koriste za adresiranje grupe hostova.

• 224.0.0.0 - 239.255.255.255

6. Rezervirane i nedodijeljene adrese. Sve su te adrese navedene na istoj ploči na web stranici IANA-e. Od 12. prosinca 2004. u pričuvi su sljedeći blokovi

• 0.0.0.0 - 2.255.255.255
• 5.0.0.0 - 5.255.255.255
• 7.0.0.0 - 7.255.255.255
• 23.0.0.0 - 23.255.255.255
• 27.0.0.0 - 27.255.255.255
• 31.0.0.0 - 31.255.255.255
• 36.0.0.0 - 37.255.255.255
• 39.0.0.0 - 39.255.255.255
• 41.0.0.0 - 42.255.255.255
• 49.0.0.0 - 50.255.255.255
• 73.0.0.0 - 79.255.255.255
• 89.0.0.0 - 126.255.255.255
• 173.0.0.0 - 187.255.255.255
• 189.0.0.0 - 190.255.255.255
• 197.0.0.0 - 197.255.255.255
• 223.0.0.0 - 223.255.255.255
• 240.0.0.0 - 255.255.255.255

Najnoviji popis je impresivan. A žalimo se i da nemamo dovoljno adresa. Također sam kombinirao nekoliko blokova adresa ako su bile u blizini na popisu.

7. Postoji još jedna klasa adresa koje ne mogu biti u polju izvora. Ovo su vaše vlastite adrese. One internetske adrese koje je vama i samo vama dodijelio vaš pružatelj usluga. Očito, nitko osim vas nema pravo koristiti ih i morate blokirati sve pokušaje slanja paketa s izvornom adresom iz vašeg skupa adresa. Štoviše, zamjena vaše adrese u polju izvora može se koristiti za izvođenje raznih napada. Na primjer, u kopnenom napadu, šalje se SYN paket s izvornom adresom koja odgovara adresi primatelja.

Dakle, pokazalo se da postoji prilično velik skup adresa koje ne mogu biti u polju izvora naših IP paketa. U pravilu, ako je jedna od gore navedenih adresa navedena u izvorima, tada se radi ili o pogrešnom usmjeravanju uzvodnog pružatelja (otpuštanje netočnih adresa) ili o mogućem DOS napadu. Zbog toga predlažem blokiranje svih gore navedenih adresa na ulazu vašeg routera.

Sumirajući gore navedeno, dobivamo prilično pristojan popis adresa pošiljatelja koje bismo trebali blokirati. Na primjer, ako koristite Cisco usmjerivač, pristupna lista će izgledati ovako:

ip access-list extended complete_bogon	Korištenje imenovane proširene pristupne liste
zabrani ip 0.0.0.0 1.255.255.255 bilo koji	IANA rezervirano
zabrani ip 2.0.0.0 0.255.255.255 bilo koji	IANA rezervirano
zabrani ip 5.0.0.0 0.255.255.255 bilo koji	IANA rezervirano
zabrani ip 7.0.0.0 0.255.255.255 bilo koji	IANA rezervirano
zabrani ip 10.0.0.0 0.255.255.255 bilo koji	RFC 1918
zabrani ip 23.0.0.0 0.255.255.255 bilo koji	IANA rezervirano
zabrani ip 27.0.0.0 0.255.255.255 bilo koji	IANA rezervirano
zabrani ip 31.0.0.0 0.255.255.255 bilo koji	IANA rezervirano
zabrani ip 36.0.0.0 1.255.255.255 bilo koji	IANA rezervirano
zabrani ip 39.0.0.0 0.255.255.255 bilo koji	IANA rezervirano
zabrani ip 41.0.0.0 0.255.255.255 bilo koji	IANA rezervirano
zabrani ip 42.0.0.0 0.255.255.255 bilo koji	IANA rezervirano
zabrani ip 49.0.0.0 0.255.255.255 bilo koji	IANA rezervirano
zabrani ip 50.0.0.0 0.255.255.255 bilo koji	IANA rezervirano
zabrani ip 73.0.0.0 0.255.255.255 bilo koji	IANA rezervirano
zabrani ip 74.0.0.0 1.255.255.255 bilo koji	IANA rezervirano
zabrani ip 76.0.0.0 3.255.255.255 bilo koji	IANA rezervirano
zabrani ip 82.0.0.0 1.255.255.255 bilo koji	IANA rezervirano
dozvola 88.0.0.0 0.255.255.255 naš_net	Omogućimo pristup s adresom 88/8 našoj mreži (kako ne bismo bili blokirani ispod)
zabrani ip 88.0.0.0 7.255.255.255 bilo koji	IANA rezervirano
zabrani ip 96.0.0.0 31.255.255.255 bilo koji	IANA rezervirano i povratna petlja
zabrani ip 169.254.0.0 0.0.255.255 bilo koji	automatski dodijeljene adrese
zabrani ip 172.16.0.0 0.15.255.255 bilo koji	RFC 1918
zabrani ip 173.0.0.0 0.255.255.255 bilo koji	IANA rezervirano
zabrani ip 174.0.0.0 1.255.255.255 bilo koji	IANA rezervirano
zabrani ip 176.0.0.0 7.255.255.255 bilo koji	IANA rezervirano
zabrani ip 184.0.0.0 3.255.255.255 bilo koji	IANA rezervirano
zabrani ip 189.0.0.0 0.255.255.255 bilo koji	IANA rezervirano
zabrani ip 190.0.0.0 0.255.255.255 bilo koji	IANA rezervirano
zabrani ip 192.0.2.0 0.0.0.255 bilo koji	Adrese za testove.
zabrani ip 192.168.0.0 0.0.255.255 bilo koji	RFC 1918
zabrani ip 197.0.0.0 0.255.255.255 bilo koji	IANA rezervirano
zabrani ip 198.18.0.0 0.1.255.255 bilo koji	IANA rezervirano
zabrani ip 201.0.0.0 0.255.255.255 bilo koji	IANA rezervirano
zabrani ip 222.0.0.0 1.255.255.255 bilo koji	IANA rezervirano
zabrani ip 223.0.0.0 0.255.255.255 bilo koji	IANA rezervirano
zabrani ip 224.0.0.0 31.255.255.255 bilo koji	Multicast, a zatim IANA Reserved
uskrati ip our_net bilo koji	blokiramo naše adrese na ulazu
dopustiti ip bilo koju našu_net	sve ostalo rješavamo

our_net Odredio sam vaš blok adresa. Na primjer, to bi moglo izgledati kao 194.194.194.0 0.0.0.255 prema pravilima za pisanje popisa pristupa.

Nije važno gdje će se ova metoda filtriranja implementirati na vašem rubnom usmjerivaču, vatrozidu ili čak na poslužitelju, ali najvažnije je da je napadač lišen mogućnosti korištenja adresa s nepostojećih mreža. Želio bih napomenuti da ako koristite Cisco IOS najnovije verzije(12.2 i noviji), onda ne morate sami kreirati ovu pristupnu listu. Ista pristupna lista formirana je jednostavnom (naizgled) automatskom sigurnosnom naredbom.

Tim automatski siguran radi SVE za stručnjaka za računalnu sigurnost! Sve što je do danas razvijeno za zaštitu Cisco usmjerivača radi ovaj jedan tim. Naravno, morate zamisliti što radi kada je unesete, ali ova naredba će učiniti sve, čak i ako nemate certifikate ili obrazovanje u ovom području. :(Kada sam zapravo saznao za mogućnosti automatski siguran Odlučio sam da je vrijeme da se prestanem baviti zaštitarstvom i idem prodavati pegle - tu je plaća, kažu, a nema potrebe za visokom stručnom spremom. ;-) Zašto nam sada trebaju stručnjaci ako sve radi jedan tim.

Međutim, ova metoda ima nedostatak: morate stalno pratiti promjene u tablici na IANA stranici http://www.iana.org/assignments/ipv4-address-space tako da nakon promjene ovog popisa promijenite svoju pristupnu listu . Na primjer, Posljednja promjena dogodilo se u kolovozu ove godine: mreže 71/8, 72/8 dodijeljene su ARIN-u. Ne znam postoji li gotov scenarij za ovaj posao, ali ako ga pronađete ili sami napišete, društvo će vam biti zahvalno. Postoji jedna stranica na kojoj je trenutni pristupni popis uvijek pohranjen http://www.cymru.com/Documents/secure-ios-template.html, ali tamo je pristupni popis malo dugačak. Može se skratiti. Princip redukcije je ovo

zabrani ip 0.0.0.0 0.255.255.255 bilo koji
zabrani ip 1.0.0.0 0.255.255.255 bilo koji

promijeniti

zabrani ip 0.0.0.0 1.255.255.255 bilo koji

Ako na ulazu u mrežu nema takvog filtra, možda želite postaviti filtar na svom vlastiti poslužitelj ili radna stanica. Usput, autori osobnog FW-a mogli bi to uzeti u obzir. To će pomoći u zaštiti glavnog računala od DOS napada. Ovdje je, na primjer, primjer filtra protiv prijevare za BIND.

Nakon što smo riješili adrese, možemo prijeći na ostala polja IP paketa. Na primjer, ljudi vrlo često dolaze na moju mrežu tcp paketi s portom 0. Zašto ne pogledate koji se portovi koriste u paketima koji prolaze kroz vašu mrežu.

Fini filter ili izolirani VLAN.

Sada pogledajmo promet na internoj mreži. Jedan od ključnih čimbenika u izgradnji sigurne konfiguracije mreže je precizna definicija sve mrežne objekte i točno razumijevanje s kim svaki od tih objekata treba razmjenjivati ​​informacije i koja se vrsta prometa generira. Sav drugi promet između ovih entiteta mora biti odbijen.

Pogledajmo primjer Demilitarizirane zone (DMZ). Smatra se ispravnim dodijeliti poslužitelje tvrtke u zasebnu mrežu, zaštićenu od korisnika interneta i internih korisnika. Kako kažu, vjeruj, ali provjeri. Slika prikazuje dvije moguće opcije implementacije: DMZ se nalazi između dva vatrozida i DMZ visi na jednom od portova vatrozida.

Dakle, vatrozidi filtriraju promet koji dolazi s Interneta i iz lokalne mreže. I, u pravilu, mrežni dizajneri se smiruju s ovim dijagramom. Svi poslužitelji povezani su preko jednog preklopnika i završavaju u istoj domeni emitiranja. Međutim, trebaju li poslužitelji u DMZ-u međusobno komunicirati? Treba pogledati svaki konkretan slučaj. Može se pretpostaviti da ako je jedan od DMZ poslužitelja hakiran, onda je napad na susjedni poslužitelj moguć s tog poslužitelja, pogotovo jer nismo zaštitili jedan poslužitelj od drugog u fazi projektiranja. Stoga, u slučajevima kada poslužitelji ne moraju međusobno funkcionirati, preporučuje se stvaranje nekoliko zasebnih DMZ-ova. Međutim, najbolja opcija je korištenje PVLAN-a. Ako portovi na koje su poslužitelji povezani ne prosljeđuju pakete jedni drugima na sloju podatkovne veze, tada neće biti prometa između poslužitelja i jedini način da oni međusobno komuniciraju je prolazak kroz vatrozid, na kojoj ta veza mora biti dopuštena i proslijeđena na željeni port . Takvi priključci koji ne prenose promet jedni drugima na razini podatkovne veze nazivaju se izolirani.

Ista ideja vrijedi i za računala unutar lokalne mreže. Pažljivo analizirajte tokove informacija i eksplicitno odredite pomoću prekidača koja računala mogu razmjenjivati ​​podatke.

Istim mehanizmom možete ujediniti korisnike u grupe (zajednice) unutar kojih je organizirana njihova “namjenska” komunikacija. Istovremeno, i izolirani korisnici i grupe mogu prenijeti svoj promet na tzv. javne (promiskuitetne) portove na kojima rade usmjerivač, vatrozid i sustav za detekciju napada.

Cisco PVLAN implementiran je na takav način da se promet koji dolazi na promiskuitetni priključak može distribuirati preko bilo kojeg drugog priključka kao što su izolirani i zajednički. Promet koji dolazi u izoliranu luku može se usmjeriti samo na promiskuitetnu luku. Promet koji dolazi u luku zajednice može se usmjeriti na promiskuitetnu luku i luke koje pripadaju istoj zajednici.

Stoga, čak i ako su u istom VLAN-u, hostovi koji ne bi trebali imati zajednički promet u svojoj shemi protoka informacija neće primiti niti jedan paket jedni od drugih. Jedini način razmjene informacija je izričito pisanje pravila na vatrozidu ili usmjerivaču koje dopušta prijenos paketa između njih. Ali ovo pravilo već radi na trećoj razini OSI modela, au ovom slučaju možete koristiti pristupnu listu i pravila vatrozida za izričito označavanje dopuštenih portova i protokola.

Ako kopate dublje, kada host 1 pošalje ARP zahtjev (u pretrazi Mac adresa i host 2 s IP-om koji treba iz iste podmreže) host 2 ne prima ovaj zahtjev i ne odgovara hostu 1, budući da su oba na priključcima izolirana jedan od drugog. Osigurali smo da host 1 misli da je host 2 nedostupan i obrnuto. Na ovaj način je riješen problem kontrole prometa unutar mreže i, što je najvažnije, nema potrebe za dijeljenjem mreže na podmreže. PVLAN tehnologiju možemo bezbolno primijeniti na postojeće mreže.

Kada trebamo da poslužitelji međusobno komuniciraju, usmjerivač (ili vatrozid) može odgovoriti da je ovom hostu moguće pristupiti preko njega. Ova tehnika se zove Proxy ARP. Host 1 misli da je Host 2 na drugom segmentu i šalje IP paket kroz usmjerivač (ili vatrozid). Odnosno, ispada da paket sadrži MAC adresu usmjerivača i IP adresu glavnog računala 2. Ali usmjerivač (ili vatrozid) već odlučuje hoće li poslati paket na glavno računalo 2 ili ne.

Treba napomenuti da u ovoj metodi postoji i ranjivost: ako koristite usmjerivač koji nema nikakva pravila pristupa i bez razmišljanja usmjerava sve pakete koji mu dolaze, tada napadač s glavnog računala 1 može posebno poslati paket s MAC adresom usmjerivača, ali s IP adresom glavnog računala 2. Takav paket će proći kroz izolirani port do usmjerivača, a zatim će ga usmjerivač poslati na glavno računalo 2. Stoga morate ili dodati pristup pravila na usmjerivaču (ili vatrozidu) koja eksplicitno zabranjuju ili dopuštaju takve pakete, ili upotrijebite dodatni VLAN Access Control List (VACL) na preklopniku.

Ranije je unutar jednog preklopnika postojala slična značajka pod nazivom zaštićeni priključak, ali je radila samo unutar jednog preklopnika i informacije o zaštićenim priključcima nisu se prenosile preko spojnih linija. Sada je ovaj koncept proširen i dopunjen portovima zajednice.

PVLAN tehnologija može se praktično implementirati na prilično velikom broju trenutno proizvedenih upravljane sklopke s Ethernet portovima s radnim brzinama od 10/100/1000 megabita u sekundi.

Opisana je konkretna implementacija ovih sklopova na Cisco preklopnicima.

Filtriranje protoka informacija sastoji se od selektivnog propuštanja kroz zaslon, eventualno izvođenja nekih transformacija i obavijesti pošiljatelja da je njegovim podacima zabranjen pristup. Filtriranje se provodi na temelju skupa pravila koja su unaprijed učitana u zaslon i izraz su mrežnih aspekata usvojene sigurnosne politike. Stoga je zgodno zamisliti vatrozid kao niz filtara (slika A.2) koji obrađuju protok informacija. Svaki od filtara dizajniran je za tumačenje pojedinačnih pravila filtra izvođenjem sljedećih koraka:

1. Analiza informacija prema kriterijima navedenim u tumačenim pravilima, na primjer, prema adresama primatelja i pošiljatelja ili prema vrsti aplikacije za koju su te informacije namijenjene.

2. Donošenje jedne od sljedećih odluka na temelju tumačenih pravila:

Ne propustite podatke;

Obraditi podatke u ime primatelja i vratiti rezultat pošiljatelju;

Proslijedite podatke sljedećem filtru za nastavak analize;

Preskočite podatke, zanemarujući sljedeće filtre.

Riža. A.2. Struktura vatrozida

Pravila filtriranja također mogu odrediti dodatne radnje koje se odnose na funkcije posredovanja, na primjer, transformaciju podataka, registraciju događaja itd. Sukladno tome, pravila filtriranja definiraju popis uvjeta prema kojima se, koristeći navedene kriterije analize, provodi sljedeće:

dopuštenje ili zabrana daljnjeg prijenosa podataka;

izvođenje dodatnih zaštitnih funkcija.

Sljedeći parametri mogu se koristiti kao kriteriji za analizu protoka informacija:

servisna polja paketa poruka koja sadrže mrežne adrese, identifikatore, adrese sučelja, brojeve portova i druge značajne podatke;

izravni sadržaj paketa poruka, provjerava se, na primjer, prisutnost računalni virusi;

vanjske karakteristike protoka informacija, na primjer, privremena,

frekvencijske karakteristike, količina podataka itd.

Korišteni kriteriji analize ovise o slojevima OSI modela na kojima se vrši filtriranje. Općenito, što je viša razina OSI modela na kojoj vatrozid filtrira pakete, to je veća razina zaštite koju pruža.

Obavljanje posredničkih funkcija

Vatrozid obavlja posredničke funkcije pomoću posebnih programa koji se nazivaju zaštitni agenti ili jednostavno posrednički programi. Ovi programi su rezidentni i zabranjuju izravan prijenos paketa poruka između vanjske i interne mreže.

Ako je potrebno pristupiti s unutarnje mreže na vanjsku mrežu ili obrnuto, prvo se mora uspostaviti logička veza s posredničkim programom koji radi na ekranu računala. Posrednički program provjerava valjanost tražene međumrežne interakcije i, ako je dopuštena, sam uspostavlja zasebnu vezu sa traženim računalom. Nadalje, razmjena informacija između računala na internoj i eksternoj mreži odvija se preko softverskog posrednika, koji može filtrirati tijek poruka, kao i obavljati druge zaštitne funkcije.

Treba imati na umu da vatrozid može obavljati funkcije filtriranja bez upotrebe posredničkih programa, osiguravajući transparentnu interakciju između interne i vanjske mreže. Međutim, softverski posrednici možda neće filtrirati tijek poruka. Općenito, agenti za provjeru, blokirajući transparentan prijenos toka poruka, mogu obavljati sljedeće funkcije:

identifikacija i autentifikacija korisnika;

provjera autentičnosti prenesenih podataka;

ograničenje pristupa internim mrežnim resursima;

ograničenje pristupa vanjskim mrežnim resursima;

filtriranje i transformiranje toka poruka, na primjer, dinamičko skeniranje virusa i transparentno šifriranje informacija;

prijevod internih mrežnih adresa za odlazne pakete poruka;

evidentiranje događaja, odgovor na navedene događaje, kao i analiza registriranih informacija i generiranje izvješća;

predmemoriranje podataka traženih od vanjske mreže.

Za visok stupanj sigurnosti potrebno je identificirati i autentificirati korisnike ne samo kada pristupaju s vanjske mreže na internu, već i obrnuto. Lozinka se ne smije slati na otvorena forma putem javnih komunikacija. To će spriječiti neovlašteni pristup presretanjem mrežnih paketa, što je moguće, primjerice, u slučaju standardnih usluga kao što je Telnet. Optimalna metoda provjere autentičnosti je korištenje jednokratnih lozinki. Također je prikladno i pouzdano koristiti digitalne certifikate koje izdaju pouzdana tijela, na primjer centar za distribuciju ključeva. Većina međuprogramskih programa dizajnirana je tako da se korisnik autentificira samo na početku sesije vatrozida. Nakon toga od njega nije potrebna dodatna autentifikacija u vremenskom razdoblju koje odredi administrator. Posrednički programi mogu provjeriti autentičnost primljenih i poslanih podataka. Ovo je relevantno ne samo za provjeru autentičnosti elektroničkih poruka, već i za programe za migraciju (Java, ActiveXControls), u odnosu na koje se može izvršiti krivotvorenje. Provjera autentičnosti poruka i programa sastoji se od njihovog praćenja digitalni potpisi. Za to se mogu koristiti i digitalni certifikati. Identifikacija i autentifikacija korisnika prilikom pristupa vatrozidu omogućuje vam da ograničite njihov pristup resursima na unutarnjoj ili vanjskoj mreži. Metode razgraničenja na interne mrežne resurse ne razlikuju se od metoda razgraničenja podržanih na razini operativnog sustava. Prilikom ograničenja pristupa Do Za vanjske mrežne resurse najčešće se koristi jedan od sljedećih pristupa:

dopuštanje pristupa samo određenim adresama na vanjskoj mreži;

filtriranje zahtjeva na temelju ažuriranih popisa nevažećih adresa i blokiranje pretraživanja informacijskih izvora korištenjem neželjenih ključnih riječi;

prikupljanje i ažuriranje od strane administratora ovlaštenih izvori informacija vanjska mreža u memorija diska firewall i potpuno blokiranje pristupa vanjskoj mreži.

Filtriranje i transformaciju tijeka poruka provodi broker na temelju određenog skupa pravila. Ovdje je potrebno razlikovati dvije vrste posredničkih programa:

agenti za provjeru usmjereni na analizu protoka poruka za određene vrste usluga, na primjer, FTP, HTTP, Telnet;

univerzalni screening agenti koji obrađuju cijeli tijek poruka, npr. agenti usmjereni na traženje i neutraliziranje računalnih virusa ili transparentno šifriranje podataka. Softverski posrednik analizira pakete podataka koji mu pristižu, a ako neki objekt ne zadovoljava zadane kriterije, posrednik ili blokira njegov daljnji napredak ili izvodi odgovarajuće transformacije, na primjer, neutralizira detektirane računalne viruse. Prilikom analize sadržaja paketa, važno je da agent za provjeru može automatski raspakirati prolazne arhive datoteka.

Vatrozidi s posrednicima također vam omogućuju organiziranje zaštićenih virtualnih mreža (VirtualPrivateNetwork-VPN), na primjer, sigurno kombiniranje nekoliko lokalnih mreža povezanih s internetom u jednu virtualnu mrežu. VPN-ovi pružaju transparentnu vezu lokalnih mreža za korisnike, održavajući tajnost i cjelovitost prenesenih informacija njihovim dinamičkim šifriranjem. Kada se prenose putem interneta, moguće je šifrirati ne samo korisničke podatke, već i servisne informacije - konačne mrežne adrese, brojeve priključaka itd. Posrednički programi također mogu obavljati tako važnu funkciju kao što je prevođenje internih mrežnih adresa. Ova funkcija je implementirana u odnosu na sve pakete koji putuju iz unutarnje mreže u vanjsku. Za te pakete posrednik automatski razrješava IP adrese računala pošiljatelja u jednu "pouzdanu" IP adresu povezanu s vatrozidom s kojeg se prosljeđuju svi odlazni paketi. Kao rezultat toga, sve pakete koji potječu iz interne mreže šalje vatrozid, čime se eliminira izravan kontakt između ovlaštene interne mreže i potencijalno opasne vanjske mreže. IP adresa vatrozida postaje jedina aktivna IP adresa koja dopire do vanjske mreže.

S ovim pristupom, topologija interne mreže je skrivena od vanjskih korisnika, što komplicira zadatak neovlaštenog pristupa. Osim povećanja sigurnosti, prevođenje adresa omogućuje vam da imate vlastiti sustav adresiranja unutar mreže, koji nije u skladu s adresiranjem u vanjskoj mreži, primjerice na Internetu. Time se učinkovito rješava problem proširenja adresnog prostora interne mreže i nedostatka vanjskih mrežnih adresa. Važne funkcije posredničkih programa su registracija događaja, odgovor na navedene događaje, kao i analiza registriranih informacija i generiranje izvješća. Kao obveznu reakciju na detekciju pokušaja neovlaštenih radnji treba definirati obavještavanje administratora, odnosno izdavanje signala upozorenja. Svaki vatrozid koji ne može poslati signale upozorenja kada se otkrije napad nije učinkovit vatrozid.

Mnogi vatrozidi sadrže moćan sustav za snimanje, prikupljanje i analizu statistike. Računovodstvo se može voditi prema adresama klijenata i poslužitelja, korisničkim ID-ovima, vremenima sesija, vremenima povezivanja, količini poslanih/primljenih podataka, radnjama administratora i korisnika. Računovodstveni sustavi omogućuju analizu statistike i daju administratorima detaljna izvješća. Korištenjem posebnih protokola posrednici mogu vršiti daljinsku dojavu određenih događaja u stvarnom vremenu. Uz pomoć posebnih posrednika podržano je i predmemoriranje podataka traženih s vanjske mreže. Kada korisnici interne mreže pristupaju informacijskim resursima vanjske mreže, sve informacije se akumuliraju na prostoru tvrdog diska vatrozida, koji se u ovom slučaju naziva proxy poslužitelj. Dakle, ako prilikom sljedećeg zahtjeva potrebne informacije završe na proxy poslužitelju, posrednik ih dostavlja bez pristupa vanjskoj mreži, što značajno ubrzava pristup. Administrator treba voditi računa samo o povremenom ažuriranju sadržaja proxy poslužitelja.

Funkcija predmemoriranja može se uspješno koristiti za ograničavanje pristupa informacijskim resursima na vanjskoj mreži. U tom slučaju sve ovlaštene informacijske resurse vanjske mreže akumulira i ažurira administrator na proxy poslužitelju. Korisnicima interne mreže dopušten je pristup samo informacijskim resursima proxy poslužitelja, a zabranjen je izravan pristup vanjskim mrežnim resursima. Sredstva za filtriranje puno su pouzdanija od konvencionalnih filtara i pružaju veći stupanj zaštite. Međutim, oni smanjuju performanse razmjene podataka između internih i eksternih mreža i nemaju stupanj transparentnosti za aplikacije i krajnje korisnike koji je tipičan za jednostavne filtere.

Značajke vatrozida na različitim razinama OSI modela

Vatrozidi podržavaju sigurnost mreže na različitim slojevima OSI modela. Istodobno, funkcije zaštite koje se izvode na različitim razinama referentnog modela značajno se razlikuju jedna od druge. Stoga je prikladno kompleksni vatrozid predstaviti kao skup nedjeljivih ekrana, od kojih je svaki fokusiran na zasebnu razinu OSI modela. Najčešće Screen radi na razini mreže, sesije i aplikacije referentnog modela. U skladu s tim, postoje takvi nedjeljivi vatrozidi (slika A.3) kao što su zaštitni usmjerivač, zaštitni prijenos (pristupnik na razini sesije) i zaštitni pristupnik (pristupnik na razini aplikacije).

S obzirom da protokoli koji se koriste u mrežama (TCP/IP, SPX/IPX) ne odgovaraju jednoznačno OSI modelu, ekrani navedenih tipova mogu pri obavljanju svojih funkcija pokrivati ​​i susjedne razine referentnog modela. Na primjer, zaslon aplikacije može automatski šifrirati poruke dok se prenose na vanjsku mrežu, kao i automatski dešifrirati kriptografski sigurne primljene podatke. U ovom slučaju takav ekran ne funkcionira samo na razini aplikacije OSI modela, već i na razini prezentacije. Pristupnik sloja sesije u svom radu pokriva transportni i mrežni sloj OSI modela. Prilikom analize paketa poruka, zaštitni usmjerivač provjerava njihova zaglavlja ne samo na razini mreže, već i na razini prijenosa.

Svaka vrsta vatrozida ima svoje prednosti i nedostatke. Mnogi vatrozidi koji se koriste su ili aplikacijski pristupnici ili vatrozidni usmjerivači i ne podržavaju potpunu sigurnost mreže. Pouzdanu zaštitu pružaju samo složeni vatrozidi, od kojih svaki kombinira zaštitni usmjerivač, pristupnik na razini sesije i pristupnik aplikacije.

Riža. A.3. Vrste vatrozida koji djeluju na pojedinim razinama OSI modela

U nedostatku fleksibilnog filtriranja pristupa internetu, nepotrebne i opasne stranice koje zaposlenici svakodnevno posjećuju čine gotovo polovicu ukupnog prometa.

Lideri na popisu neželjenih resursa su društveni mediji, portali koji objavljuju opscene sadržaje, serveri za internetske igrice, kao i stranice koje generiraju takozvani “teški” promet i pozivaju posjetitelje na preuzimanje i gledanje videa i flash bannera.

Potencijalne prijetnje koje nastaju posjećivanjem zaposlenika raznim stranicama koje nisu vezane uz njihov posao, osim zlouporabe radnog vremena, mogu izgledati i ovako:

• prekomjerno opterećenje mreže uzrokovano nekontroliranim preuzimanjem velikih datoteka s interneta od strane zaposlenika. U slučaju kada je riječ o stalnoj ili namjenskoj vezi s fiksnom brzinom kanala od pružatelja, gledanje ili preuzimanje video datoteka od strane korisnika negativno će utjecati na raspodjelu mrežnih resursa i opterećenje internetskog kanala u cjelini, kao i kao trošak neciljanog prometa;
• neracionalno korištenje mrežnih resursa i radnog vremena kao rezultat aktivnosti ljubitelja online igara s video ili glasovnim razgovorima;
• nekontrolirane udaljene veze zaposlenika s radnim poslužiteljima korporativnih mreža putem VPN veza ili uslužnih programa, povezane s rizikom od zaraze lokalne mreže virusima koji se potencijalno nalaze na udaljenom računalu;
• smanjenje razine sigurnosti korporativne mreže.

Kako bi se osigurala sigurnost i integritet poslovanja, blokirali kanali mogućeg curenja informacija i povećala produktivnost zaposlenika, potrebno je kontrolirati protok internetskog prometa koji ulazi u lokalnu mrežu filtriranjem internetskih zahtjeva. Zabranom pristupa određenim resursima postavljanjem filtara možete riješiti probleme smanjenja troškova za neciljane internetske resurse, kao i značajno smanjiti rizik od infekcije internih resursa korporativne mreže.

Upotreba filtriranja u vatrozidima NetDefend D-Link raspravlja se u odjeljku "IDP, WCF, AV funkcije" ("Filtriranje web sadržaja (WCF)").

VLAN-ovi

VLAN (virtualna lokalna mreža). Poziva se virtualna lokalna mreža logička grupa uređaji koji imaju mogućnost međusobnog izravnog komuniciranja na razini podatkovne veze, iako mogu biti fizički povezani s različitim mrežnim sklopkama. Nasuprot tome, promet s uređaja smještenih u različitim VLAN-ovima potpuno je izoliran od drugih mrežnih čvorova na razini podatkovne veze, čak i ako su spojeni na isti preklopnik. To znači da se okviri ne mogu prenositi između različitih virtualnih mreža na temelju MAC adrese, bez obzira na vrstu adrese – jedinstvenu, multicast ili broadcast.

VLAN-ovi imaju sljedeće prednosti:

• fleksibilnost implementacije – VLAN-ovi su učinkovit način grupiranje mrežnih korisnika u virtualne radne grupe, unatoč njihovoj fizičkoj lokaciji na mreži;
• korištenje VLAN-a pruža mogućnost kontrole emitiranih poruka, što povećava propusnost dostupnu korisniku;
• korištenje VLAN-a omogućuje povećanje sigurnosti mreže definiranjem, korištenjem filtara konfiguriranih na preklopniku ili usmjerivaču, pravila za interakciju između korisnika iz različitih virtualnih mreža;

U NetDefendOS-u, VLAN može podržavati jedno ili više VLAN sučelja koja su povezana s određenim fizičkim sučeljem. NetDefend vatrozidi tretiraju VLAN sučelja kao logička sučelja i mogu pristupiti drugim NetDefendOS sučeljima pomoću skupova pravila i tablica usmjeravanja. VLAN-ovi konfigurirani u vatrozidima serije DFL-xxx rade na razini L3.

VLAN se koristi u nekoliko slučajeva. Uobičajena primjena je kada je jedno Ethernet sučelje izloženo kao više sučelja. To znači da broj fizičkih Ethernet priključaka na NetDefend vatrozidima nije ograničen brojem vanjskih mrežnih veza.

VLAN-ovi se također koriste za grupiranje pojedinačnih korisnika tako da je njihov promet potpuno odvojen od ostalih VLAN-ova. Pod NetDefendOS-om, promet može prolaziti između različitih VLAN-ova i biti filtriran pomoću sigurnosnih politika koje pružaju pravila NetDefendOS sustava.

VLAN konfiguracija NetDefendOS sustava uključuje kombinaciju VLAN trunkova od NetDefend vatrozida do preklopnika čija su sučelja konfigurirana kao VLAN-ovi temeljeni na portovima. Svako sučelje fizičkog vatrozida može dopustiti istovremeno prolaženje VLAN prometa za jedan ili više VLAN-ova i ne-VLAN prometa.

NetDefendOS u potpunosti podržava IEEE 802.1Q standard za VLAN-ove, koji rade dodavanjem VLAN ID-a u zaglavlje Ethernet okvira. VLAN ID je broj od 0 do 4095 koji se koristi za identifikaciju VLAN-a kojem svaki okvir pripada. Koristeći ovaj mehanizam, Ethernet okviri mogu pripadati različitim virtualnim lokalnim mrežama i još uvijek dijeliti jedno fizičko sučelje. U NetDefendOS-u, jednom fizičkom sučelju može se dodijeliti jedinstveni VLAN ID, a isti VLAN ID može se dodijeliti drugim fizičkim sučeljima, tj. isti virtualna mreža omogućuje vam kombiniranje korisničkih računala povezanih na različita fizička sučelja (na slici 6.1 - VLAN1 i VLAN2).

Riža. 6.1.

Jedan ili više VLAN-ova konfigurirano je na fizičkom sučelju NetDefend vatrozida i povezuje se izravno na preklopnik. Ova veza radi kao VLAN kanal (trunk). Prekidač mora podržavati tip VLAN-a koji se temelji na portu. Preklopni priključak koji se povezuje s vatrozidom mora biti konfiguriran za prihvaćanje VLAN ID-ova koji će se prenositi kroz VLAN spojeve.

Baš kao što je u žičanoj lokalnoj mreži moguće koristiti VLAN-ove, tako je u bežična mreža Postoje mehanizmi za razlikovanje bežičnih klijenata.

Virtualne privatne mreže (VPN)

Internet se sve više koristi kao sredstvo komunikacije između računala jer nudi učinkovitu i jeftinu komunikaciju. Međutim, Internet je javna mreža i da bi se osigurala sigurna komunikacija preko nje, potreban je neki mehanizam koji zadovoljava barem sljedeće zadatke:

• povjerljivost podataka;
• integritet podataka;
• dostupnost informacija;

Ove zahtjeve ispunjava mehanizam tzv VPN(Virtual Private Network - virtualna privatna mreža) je generalizirani naziv za tehnologije koje omogućuju jednu ili više mrežne veze(logička mreža) preko druge mreže (primjerice interneta) korištenjem kriptografskih alata (enkripcija, autentifikacija, infrastruktura javnih ključeva, sredstva za zaštitu od ponavljanja i promjena u porukama koje se prenose preko logičke mreže).

Stvaranje VPN-a ne zahtijeva dodatna ulaganja i omogućuje vam da prestanete koristiti namjenske linije. Ovisno o korištenim protokolima i namjeni, VPN može osigurati veze tri vrste: host-host, host-mreža i mreža-mreža.

Radi jasnoće, zamislimo sljedeći primjer: poduzeće ima nekoliko geografski udaljenih podružnica i "mobilnih" zaposlenika koji rade kod kuće ili na putu. Potrebno je ujediniti sve zaposlenike poduzeća u jedinstvenu mrežu. Najlakši način je instalirati modeme u svakoj poslovnici i organizirati komunikacije prema potrebi. Ovo rješenje, međutim, nije uvijek prikladno i isplativo - ponekad vam je potrebna stalna komunikacija i velika propusnost. Da biste to učinili, morat ćete postaviti namjensku liniju između grana ili ih unajmiti. Oba su dosta skupa. I ovdje, kao alternativa, kada gradite jednu sigurnu mrežu, možete koristiti VPN veze svih podružnica tvrtke putem Interneta i konfigurirati VPN alate na mrežnim hostovima.

Riža. 6.5.

U ovom slučaju, mnogi problemi su riješeni - podružnice se mogu nalaziti bilo gdje u svijetu.

Ovdje je opasnost u tome što je, prvo, otvorena mreža otvorena za napade napadača iz cijelog svijeta. Drugo, svi se podaci prenose internetom u čistom tekstu, a napadači će nakon hakiranja mreže imati sve informacije koje se prenose mrežom. I treće, podaci se ne mogu samo presresti, već i zamijeniti tijekom prijenosa kroz mrežu. Napadač bi, primjerice, mogao narušiti integritet baze podataka djelujući u ime klijenata jedne od pouzdanih podružnica.

Kako bi spriječili da se to dogodi, VPN rješenja koriste značajke kao što su enkripcija podataka kako bi se osigurao integritet i povjerljivost, autentifikacija i autorizacija za provjeru korisničkih prava i omogućili pristup virtualnoj privatnoj mreži.

VPN veza uvijek se sastoji od veze od točke do točke, također poznate kao tunel. Tunel se stvara na nezaštićenoj mreži, što je najčešće Internet.

Tuneliranje ili enkapsulacija je način prijenosa korisna informacija kroz posredničku mrežu. Ove informacije mogu biti okviri (ili paketi) drugog protokola. S enkapsulacijom, okvir se ne prenosi onako kako ga je generirao host pošiljatelj, već ima dodatno zaglavlje koje sadrži informacije o usmjeravanju koje omogućuju enkapsuliranim paketima prolaz kroz posredničku mrežu (Internet). Na kraju tunela, okviri se dekapsuliraju i šalju do primatelja. Tipično, tunel stvaraju dva rubna uređaja postavljena na ulaznim točkama u javnu mrežu. Jedna od jasnih prednosti tuneliranja je ta što vam ova tehnologija omogućuje šifriranje cijelog izvornog paketa, uključujući zaglavlje, koje može sadržavati podatke koji sadrže informacije koje napadači koriste za hakiranje mreže (na primjer, IP adrese, broj podmreža itd.). ) .

Iako je VPN tunel uspostavljen između dvije točke, svaki čvor može uspostaviti dodatne tunele s drugim čvorovima. Na primjer, kada tri udaljene stanice trebaju kontaktirati isti ured, stvorit će se tri odvojena VPN tunela do tog ureda. Za sve tunele, čvor na uredskoj strani može biti isti. To je moguće jer čvor može šifrirati i dekriptirati podatke u ime cijele mreže, kao što je prikazano na slici:

Korisnik uspostavlja vezu na VPN gateway, nakon čega ima pristup internoj mreži.

Unutar privatne mreže ne dolazi do same enkripcije. Razlog je što se ovaj dio mreže smatra sigurnim i pod izravnom kontrolom, za razliku od interneta. To vrijedi i za povezivanje ureda pomoću VPN pristupnika. To osigurava da su šifrirane samo informacije koje se prenose nesigurnim kanalom između ureda.

Postoji mnogo različitih rješenja za izgradnju virtualnih privatnih mreža. Najpoznatiji i najčešće korišteni protokoli su:

• PPTP(Point-to-Point Tunneling Protocol) - ovaj je protokol postao prilično popularan zahvaljujući uključivanju u Microsoftove operativne sustave.
• L2TP(Layer-2 Tunneling Protocol) – kombinira L2F (Layer 2 Forwarding) protokol i PPTP protokol. Obično se koristi u kombinaciji s IPSec.
• IPSec(Internet Protocol Security) službeni je internetski standard koji je razvila zajednica IETF (Internet Engineering Task Force).

Navedene protokole podržavaju D-Link uređaji.

PPTP protokol prvenstveno je namijenjen virtualnim privatnim mrežama koje se temelje na dial-up vezama. Protokol vam omogućuje organiziranje daljinski pristup, omogućujući korisnicima da uspostave dial-up veze s pružateljima internetskih usluga i stvore siguran tunel do svojih korporativnih mreža. Za razliku od IPSec-a, PPTP nije izvorno dizajniran za pružanje tunela između lokalne mreže. PPTP proširuje mogućnosti PPP-a, protokola podatkovne veze koji je izvorno dizajniran za enkapsulaciju podataka i njihovu isporuku putem veza od točke do točke.

PPTP protokol omogućuje stvaranje sigurnih kanala za razmjenu podataka preko raznih protokola - IP, IPX, NetBEUI, itd. Podaci iz ovih protokola pakiraju se u PPP okvire i kapsuliraju pomoću PPTP protokola u pakete IP protokola. Zatim se prenose pomoću IP-a u šifriranom obliku preko bilo koje TCP/IP mreže. Prijemni čvor izdvaja PPP okvire iz IP paketa i zatim ih obrađuje na standardan način, tj. izvlači IP, IPX ili NetBEUI paket iz PPP okvira i šalje ga preko lokalne mreže. Dakle, PPTP protokol stvara vezu od točke do točke u mreži i prenosi podatke preko kreiranog sigurnog kanala. Glavna prednost enkapsulirajućih protokola kao što je PPTP je njihova priroda više protokola. Oni. Zaštita podataka na sloju podatkovne veze transparentna je za protokole mrežnog i aplikacijskog sloja. Stoga se unutar mreže kao prijenos može koristiti i IP protokol (kao u slučaju VPN-a temeljen na IPSec) i bilo koji drugi protokol.

Trenutno se, zbog jednostavnosti implementacije, PPTP protokol naširoko koristi kako za dobivanje pouzdanog sigurnog pristupa korporativnoj mreži tako i za pristup mrežama internetskih pružatelja usluga, kada klijent treba uspostaviti PPTP vezu s internetskim pružateljem kako bi dobio pristup na internet.

Metoda šifriranja koja se koristi u PPTP-u određena je na razini PPP-a. Obično je PPP klijent stolno računalo s Microsoft operativnim sustavom, a protokol šifriranja je Microsoft Point-to-Point Encryption (MPPE). Ovaj protokol temelji se na standardu RSA RC4 i podržava 40- ili 128-bitnu enkripciju. Za mnoge aplikacije ove razine enkripcije koristite ovog algoritma sasvim dovoljan, iako se smatra manje sigurnim od brojnih drugih algoritama šifriranja koje nudi IPSec, posebice 168-bitnog standarda šifriranja trostrukih podataka (3DES).

Kako se uspostavlja PPTP veza?

PPTP enkapsulira IP pakete za prijenos preko IP mreže. PPTP klijenti stvaraju vezu za kontrolu tunela koja održava kanal u radu. Ovaj proces se izvodi na transportnom sloju OSI modela. Nakon što je tunel kreiran, klijentsko računalo i poslužitelj počinju razmjenjivati ​​servisne pakete.

Uz PPTP kontrolnu vezu, stvara se veza za prosljeđivanje podataka kroz tunel. Enkapsulacija podataka prije slanja u tunel uključuje dva koraka. Prvo se stvara informacijski dio PPP okvir. Podaci teku odozgo prema dolje, od sloja aplikacije OSI do sloja podatkovne veze. Primljeni podaci se zatim šalju OSI modelu i enkapsuliraju protokolima gornjeg sloja.

Podaci iz sloja veze dospijevaju u transportni sloj. Međutim, informacije se ne mogu poslati na svoje odredište jer je za to odgovoran OSI sloj podatkovne veze. Stoga PPTP šifrira polje korisnih podataka paketa i preuzima funkcije drugog sloja koje obično pripadaju PPP-u, tj. dodaje PPP zaglavlje i najavu PPTP paketu. Ovime je dovršena izrada okvira sloja veze. Zatim, PPTP enkapsulira PPP okvir u Generic Routing Encapsulation (GRE) paket, koji pripada mrežnom sloju. GRE enkapsulira protokole mrežnog sloja kao što su IP, IPX kako bi omogućio njihov prijenos preko IP mreža. Međutim, korištenje samo GRE protokola neće osigurati uspostavljanje sesije i sigurnost podataka. Ovo koristi mogućnost PPTP-a za stvaranje veze za kontrolu tunela. Korištenje GRE kao metode enkapsulacije ograničava opseg PPTP-a samo na IP mreže.

Nakon što je PPP okvir enkapsuliran u okvir s GRE zaglavljem, enkapsulacija se izvodi u okviru s IP zaglavljem. IP zaglavlje sadrži izvornu i odredišnu adresu paketa. Konačno, PPTP dodaje PPP zaglavlje i završetak.

Na sl. Slika 6.7 prikazuje strukturu podataka za prosljeđivanje preko PPTP tunela:

Uspostava VPN-a temeljenog na PPTP-u ne zahtijeva velike troškove niti složena podešavanja: dovoljno je instalirati PPTP poslužitelj u centralnom uredu (PPTP rješenja postoje i za Windows i za Linux platforme), te izvršiti potrebna podešavanja na klijentskim računalima. Ako trebate kombinirati nekoliko grana, umjesto postavljanja PPTP-a na svim klijentskim stanicama, bolje je koristiti internetski usmjerivač ili vatrozid s podrškom za PPTP: postavke se vrše samo na rubnom usmjerivaču (vatrozidu) spojenom na Internet, sve je apsolutno transparentno za korisnike. Primjeri takvih uređaja su višenamjenski internetski usmjerivači serije DIR/DSR i vatrozidi serije DFL.

GRE tuneli

Generic Routing Encapsulation (GRE) je protokol za enkapsulaciju mrežnih paketa koji omogućuje tuneliranje prometa kroz mreže bez enkripcije. Primjeri korištenja GRE:

• prijenos prometa (uključujući emitiranje) putem opreme koja ne podržava određeni protokol;
• tuneliranje IPv6 prometa preko IPv4 mreže;
• prijenos podataka kroz javne mreže za implementaciju sigurne VPN veze.

Riža. 6.8.

Između dva usmjerivača A i B (sl. 6.8) nalazi se nekoliko usmjerivača; GRE tunel omogućuje vam pružanje veze između lokalnih mreža 192.168.1.0/24 i 192.168.3.0/24 kao da su usmjerivači A i B izravno povezani.

Protokol L2TP pojavio se kao rezultat kombinacije PPTP i L2F protokola. Glavna prednost L2TP protokola je što vam omogućuje stvaranje tunela ne samo u IP mrežama, već iu ATM, X.25 i Frame relay mrežama. L2TP koristi UDP kao prijenos i koristi isti format poruke i za kontrolu tunela i za prosljeđivanje podataka.

Kao i kod PPTP-a, L2TP počinje sklapanje paketa za prijenos u tunel prvo dodavanjem PPP zaglavlja u PPP informacijsko polje podataka, zatim L2TP zaglavlja. Rezultirajući paket je enkapsuliran pomoću UDP-a. Ovisno o odabranoj vrsti sigurnosne politike IPSec, L2TP može šifrirati UDP poruke i dodati zaglavlje i završetak Encapsulating Security Payload (ESP), kao i završetak IPSec autentifikacije (pogledajte odjeljak "L2TP preko IPSec"). Zatim se enkapsulira u IP. Dodaje se IP zaglavlje koje sadrži adrese pošiljatelja i primatelja. Konačno, L2TP izvodi drugu PPP enkapsulaciju kako bi pripremio podatke za prijenos. Na sl. Slika 6.9 prikazuje strukturu podataka za prosljeđivanje preko L2TP tunela.

Prijemno računalo prima podatke, obrađuje PPP zaglavlje i završetak te uklanja IP zaglavlje. IPSec Authentication provjerava autentičnost IP informacijskog polja, a IPSec ESP zaglavlje pomaže u dešifriranju paketa.

Računalo zatim obrađuje UDP zaglavlje i koristi L2TP zaglavlje za identifikaciju tunela. PPP paket sada sadrži samo korisničke podatke koji se obrađuju ili prosljeđuju navedenom primatelju.

IPsec(skraćeno od IP Security) - skup protokola koji osiguravaju zaštitu podataka koji se prenose putem internetskog protokola IP, omogućujući autentifikaciju i/ili šifriranje IP paketa. IPsec također uključuje protokole za sigurnu razmjenu ključeva preko Interneta.

IPSec sigurnost se postiže dodatnim protokolima koji IP paketu dodaju svoja zaglavlja – enkapsulacija. Jer IPSec je internetski standard i za njega postoje RFC-ovi:

• RFC 2401 (Security Architecture for the Internet Protocol) – sigurnosna arhitektura za IP protokol.
• RFC 2402 (IP Authentication header) – IP autentifikacijsko zaglavlje.
• RFC 2403 (Upotreba HMAC-MD5-96 unutar ESP i AH) - upotreba MD-5 algoritma raspršivanja za stvaranje zaglavlja za provjeru autentičnosti.
• RFC 2404 (Upotreba HMAC-SHA-1-96 unutar ESP i AH) – upotreba SHA-1 algoritma za raspršivanje za stvaranje autentifikacijskog zaglavlja.
• RFC 2405 (The ESP DES-CBC Cipher Algorithm With Explicit IV) - korištenje algoritma za šifriranje DES.
• RFC 2406 (IP Encapsulating Security Payload (ESP)) – enkripcija podataka.
• RFC 2407 (Internet IP sigurnosna domena tumačenja za ISAKMP) opseg je protokola za upravljanje ključevima.
• RFC 2408 ( sigurnost na internetu Protokol za upravljanje ključevima (ISAKMP) – upravljanje ključevima i autentifikatorima za sigurne veze.
• RFC 2409 (The Internet Key Exchange (IKE)) – razmjena ključeva.
• RFC 2410 (The NULL Encryption Algorithm and Its Use With IPsec) – algoritam null encryption i njegova upotreba.
• RFC 2411 (IP Security Document Roadmap) daljnji je razvoj standarda.
• RFC 2412 (OAKLEY Key Determination Protocol) – provjera autentičnosti ključa.

IPsec je sastavni dio internetskog protokola IPv6 i izborno proširenje verzije internetskog protokola IPv4.

IPSec mehanizam rješava sljedeće probleme:

• provjera autentičnosti korisnika ili računala prilikom pokretanja sigurnog kanala;
• šifriranje i provjera autentičnosti podataka koji se prenose između krajnjih točaka sigurnog kanala;
• automatsko opskrbljivanje krajnjih točaka kanala tajnim ključevima potrebnim za rad protokola za autentifikaciju i enkripciju podataka.

IPSec komponente

Protokol AH.(Authentication Header) – protokol identifikacije zaglavlja. Osigurava cjelovitost provjerom da nijedan bit u zaštićenom dijelu paketa nije promijenjen tijekom prijenosa. Ali korištenje AH može uzrokovati probleme, na primjer, kada paket prolazi kroz NAT uređaj. NAT mijenja IP adresu paketa kako bi omogućio pristup internetu s privatne lokalne adrese. Jer U tom slučaju, paket će se promijeniti, tada će AH kontrolni zbroj postati netočan (kako bi se uklonio ovaj problem, razvijen je NAT-Traversal (NAT-T) protokol koji omogućuje ESP prijenos putem UDP-a i koristi UDP port 4500 u svom radu) . Također je vrijedno napomenuti da je AH dizajniran samo za integritet. Ne jamči povjerljivost šifriranjem sadržaja paketa.

Protokol ESP(Encapsulation Security Payload) pruža ne samo cjelovitost i autentifikaciju prenesenih podataka, već i enkripciju podataka, kao i zaštitu od lažnog ponavljanja paketa.

ESP protokol je sigurnosni protokol za enkapsulaciju koji pruža i integritet i povjerljivost. U načinu prijenosa, ESP zaglavlje se nalazi između izvornog IP zaglavlja i TCP ili UDP zaglavlja. U tunelskom načinu, ESP zaglavlje se postavlja između novog IP zaglavlja i potpuno šifriranog izvornog IP paketa.

Jer Oba protokola - AH i ESP - dodaju vlastita IP zaglavlja, svaki od njih ima svoj broj protokola (ID), koji se može koristiti za određivanje onoga što slijedi nakon IP zaglavlja. Svaki protokol, prema IANA-i (Internet Assigned Numbers Authority – organizacija odgovorna za internetski adresni prostor), ima svoj broj (ID). Na primjer, za TCP ovaj broj je 6, a za UDP je 17. Stoga je, kada radite kroz vatrozid, vrlo važno konfigurirati filtre na takav način da omogućite prolaz paketima s ID AH i/ili ESP protokolom kroz.

Kako bi se označilo da je AH prisutan u IP zaglavlju, ID protokola postavljen je na 51, a za ESP broj je 50.

PAŽNJA: ID protokola nije isto što i broj porta.

Protokol IKE(Internet Key Exchange) standardni je IPsec protokol koji se koristi za osiguranje sigurne interakcije u virtualnim privatnim mrežama. Svrha IKE-a je sigurno pregovaranje i isporuka identificiranog materijala sigurnosnoj udruzi (SA).

S.A. je IPSec izraz za vezu. Uspostavljeni SA (sigurni kanal koji se naziva Sigurnosna udruga ili SA) uključuje zajednički tajni ključ i skup kriptografskih algoritama.

IKE protokol obavlja tri glavne zadaće:

• pruža sredstvo provjere autentičnosti između dvije VPN krajnje točke;
• uspostavlja nove IPSec veze (stvara SA par);
• upravlja postojećim vezama.

IKE koristi UDP port broj 500. Kada se koristi značajka NAT Traversal, kao što je ranije spomenuto, IKE protokol koristi UDP port broj 4500.

Razmjena podataka u IKE odvija se u 2 faze. U prvoj fazi osniva se IKE SA. U ovom slučaju, krajnje točke kanala su autentificirane i odabrani su parametri zaštite podataka, kao što su algoritam šifriranja, ključ sesije itd.

U drugoj fazi, IKE SA se koristi za pregovaranje protokola (obično IPSec).

Kada je konfiguriran VPN tunel, stvara se jedan SA par za svaki korišteni protokol. SA se stvaraju u parovima, jer Svaki SA je jednosmjerna veza, a podaci se moraju prenositi u dva smjera. Rezultirajući SA parovi pohranjuju se na svakom čvoru.

Budući da svaki čvor može uspostaviti više tunela s drugim čvorovima, svaki SA ima jedinstveni broj za identifikaciju kojem čvoru pripada. Ovaj broj se zove SPI(Indeks sigurnosnih parametara) ili indeks sigurnosnih parametara.

SA je pohranjen u bazi podataka (DB) S.A.D.(Baza podataka sigurnosnih udruga).

Svaki IPSec čvor također ima drugi DB − SPD(Security Policy Database) – baza sigurnosnih politika. Sadrži konfiguriranu politiku stranice. Većina VPN rješenja dopušta stvaranje višestrukih pravila s kombinacijama prikladnih algoritama za svaki host s kojim se mora uspostaviti veza.

Fleksibilnost IPSec-a leži u činjenici da za svaki zadatak postoji nekoliko načina za njegovo rješavanje, a metode odabrane za jedan zadatak obično su neovisne o metodama za implementaciju drugih zadataka. Istodobno, radna skupina IETF-a definirala je osnovni skup podržanih funkcija i algoritama, koji bi trebali biti jedinstveno implementirani u sve proizvode koji podržavaju IPSec. Mehanizmi AH i ESP mogu se koristiti s različitim shemama provjere autentičnosti i šifriranja, od kojih su neke obavezne. Na primjer, IPSec navodi da se paketi autentificiraju pomoću jednosmjerne MD5 funkcije ili jednosmjerne SHA-1 funkcije, a šifriranje se izvodi pomoću DES algoritma. Proizvođači proizvoda koji pokreću IPSec mogu dodati druge algoritme za provjeru autentičnosti i šifriranje. Na primjer, neki proizvodi podržavaju algoritme šifriranja kao što su 3DES, Blowfish, Cast, RC5 itd.

Za šifriranje podataka u IPSec-u može se koristiti bilo koji algoritam simetrične enkripcije koji koristi tajne ključeve.

Protokoli za zaštitu prijenosa (AH i ESP) mogu raditi u dva načina: način transporta i u način tuneliranja. Kada radi u transportnom načinu, IPsec radi samo s informacijama o transportnom sloju, tj. Šifrirano je samo podatkovno polje paketa koji sadrži TCP/UDP protokole (zaglavlje IP paketa nije promijenjeno (nije kriptirano)). Prijenosni način se obično koristi za uspostavljanje veza između hostova.

U načinu tuneliranja, cijeli IP paket je šifriran, uključujući zaglavlje mrežnog sloja. Kako bi se mogao prenijeti mrežom, stavlja se u drugi IP paket. U biti, to je siguran IP tunel. Tunelski način rada može se koristiti za povezivanje udaljenih računala s virtualnom privatnom mrežom (shema veze host-mreža) ili za organiziranje sigurnog prijenosa podataka putem otvoreni kanali veze (npr. Internet) između pristupnika za agregaciju različite dijelove virtualna privatna mreža (dijagram povezivanja site-to-site).

IPsec načini se međusobno ne isključuju. Na istom čvoru, neki SA-ovi mogu koristiti način prijenosa, dok drugi koriste način rada tunela.

Tijekom faze autentifikacije izračunava se ICV (Integrity Check Value) paketa. Ovo pretpostavlja da oba čvora znaju tajni ključ, što omogućuje primatelju da izračuna ICV i usporedi ga s rezultatom koji je poslao pošiljatelj. Ako je ICV usporedba uspješna, smatra se da je pošiljatelj paketa autentificiran.

U načinu rada prijevoz AH

• cijeli IP paket, osim nekih polja u IP zaglavlju koja se mogu mijenjati tijekom prijenosa. Ova polja, koja su postavljena na 0 za izračun ICV-a, mogu biti vrsta usluge (TOS), oznake, pomak fragmenta, vrijeme života (TTL) i zaglavlje kontrolne sume;
• sva polja u AH;
• Korisni teret IP paketa.

AH u načinu transporta štiti IP zaglavlje (isključujući polja za koja su dopuštene promjene) i sadržaj u originalnom IP paketu (Slika 3.39).

U tunelskom načinu rada originalni paket se stavlja u novi IP paket, a prijenos podataka se vrši na temelju zaglavlja novog IP paketa.

Za tunelski način rada AH Prilikom izvođenja izračuna, ICV kontrolni zbroj uključuje sljedeće komponente:

• sva polja vanjskog IP zaglavlja, osim nekih polja u IP zaglavlju koja se mogu mijenjati tijekom prijenosa. Ova polja, koja su postavljena na 0 za izračun ICV-a, mogu biti vrsta usluge (TOS), oznake, pomak fragmenta, vrijeme života (TTL) i zaglavlje kontrolne sume;
• sva polja AH;
• originalni IP paket.

Kao što možete vidjeti na sljedećoj ilustraciji, način AH tuneliranja štiti cijeli originalni IP paket korištenjem dodatnog vanjskog zaglavlja, koje AH način prijenosa ne koristi:

U načinu rada Transport ESP ne autentifikuje cijeli paket, već samo štiti IP korisni teret. ESP zaglavlje u ESP načinu prijenosa dodaje se IP paketu odmah nakon IP zaglavlja, a ESP najava (ESP najava) se u skladu s tim dodaje nakon podataka.

ESP način prijenosa šifrira sljedeće dijelove paketa:

• IP korisni teret;
• ESP prikolica.

Algoritam šifriranja koji koristi način rada Cipher Block Chaining (CBC) ima nešifrirano polje između ESP zaglavlja i korisnih podataka. Ovo polje se naziva IV (Inicijalizacijski vektor) za CBC izračun koji se izvodi na prijamniku. Budući da se ovo polje koristi za početak procesa dešifriranja, ne može se šifrirati. Iako napadač ima mogućnost pregledavanja IV-a, ne postoji način da dekriptira šifrirani dio paketa bez ključa za šifriranje. Kako bi se spriječilo napadače da promijene inicijalizacijski vektor, on je zaštićen ICV kontrolnim zbrojem. U ovom slučaju ICV izvodi sljedeće izračune:

• sva polja u ESP zaglavlju;
• nosivost uključujući otvoreni tekst IV;
• sva polja u ESP Traileru osim polja s podacima o autentifikaciji.

Način rada ESP tunela sažima cijeli izvorni IP paket u novom IP zaglavlju, ESP zaglavlju i ESP Traileru. Kako bi se označilo da je ESP prisutan u IP zaglavlju, identifikator IP protokola postavljen je na 50, ostavljajući izvorno IP zaglavlje i sadržaj nepromijenjenim. Kao i kod AH načina rada tunela, vanjsko IP zaglavlje temelji se na konfiguraciji IPSec tunela. U slučaju ESP tunelskog načina rada, područje provjere autentičnosti IP paketa pokazuje gdje je stavljen potpis kako bi se potvrdio njegov integritet i autentičnost, a šifrirani dio pokazuje da su informacije sigurne i povjerljive. Izvorno zaglavlje postavlja se nakon ESP zaglavlja. Nakon što je šifrirani dio kapsuliran u novo zaglavlje tunela, koje nije šifrirano, IP paket se prenosi. Kada se šalje preko javne mreže, paket se usmjerava na IP adresu mrežnog pristupnika primatelja, a pristupnik dešifrira paket i odbacuje ESP zaglavlje koristeći izvorno IP zaglavlje da zatim usmjeri paket na računalo na internoj mreži. Način ESP tuneliranja šifrira sljedeće dijelove paketa:

• izvorni IP paket;
• ESP prikolica.
• Za ESP tunelski način rada, ICV se izračunava na sljedeći način:
• sva polja u ESP zaglavlju;
• izvorni IP paket uključujući otvoreni tekst IV;
• sva polja ESP zaglavlja osim polja podataka za provjeru autentičnosti.

Sažetak korištenja IPSec načina rada:

• Protokol – ESP (AH).
• Način rada – tunel (transport).
• Metoda razmjene ključeva je IKE (ručno).
• IKE način – glavni (agresivni).
• DH ključ – grupa 5 (grupa 2, grupa 1) – broj grupe za odabir dinamički kreiranih ključeva sesije, duljina grupe.
• Autentifikacija – SHA1 (SHA, MD5).
• Enkripcija – DES (3DES, Blowfish, AES).

Prilikom kreiranja pravila obično je moguće stvoriti uređeni popis algoritama i Diffie-Hellmanovih grupa. Diffie-Hellman (DH)– protokol šifriranja koji se koristi za uspostavljanje zajedničkih tajnih ključeva za IKE, IPSec i PFS (Perfect Forward Secrecy). U ovom slučaju koristit će se prva pozicija koja odgovara na oba čvora. Vrlo je važno da sve u sigurnosnoj politici dopušta to usklađivanje. Ako sve ostalo odgovara osim jednog dijela pravila, čvorovi i dalje neće moći uspostaviti VPN vezu. Prilikom postavljanja VPN tunela između različitih sustava, trebate saznati koje algoritme podržava svaka strana kako biste mogli odabrati najsigurniju moguću politiku.

Osnovne postavke koje sigurnosna politika uključuje:

1. Simetrični algoritmi za šifriranje/dešifriranje podataka.
2. Kriptografski kontrolni zbrojevi za provjeru integriteta podataka.
3. Metoda identifikacije čvora. Najčešće metode su unaprijed podijeljene tajne ili CA certifikati.
4. Treba li koristiti tunelski ili transportni način.
5. Koju Diffie-Hellman grupu koristiti (DH grupa 1 (768-bit); DH grupa 2 (1024-bit); DH grupa 5 (1536-bit)).
6. Da li koristiti AH, ESP ili oboje.
7. Treba li koristiti PFS.

Ograničenje IPSec-a je to što podržava samo komunikacije sloja IP protokola.

Postoje dvije glavne sheme za korištenje IPSec-a, koje se razlikuju u ulozi čvorova koji tvore sigurni kanal.

U prvoj shemi, sigurni kanal se formira između krajnjih hostova mreže. U ovoj shemi IPSec protokol štiti čvor na kojem se izvodi sljedeće:

Riža. 6.13.

U drugoj shemi, sigurni kanal se uspostavlja između dva sigurnosna pristupnika. Ovi pristupnici primaju podatke od krajnjih računala povezanih na mreže koje se nalaze iza pristupnika. Krajnji hostovi u ovom slučaju ne podržavaju IPSec protokol, promet poslan u javnu mrežu prolazi kroz sigurnosni pristupnik koji u njegovo ime provodi zaštitu.

Za hostove koji podržavaju IPSec mogu se koristiti i transportni i tunelski načini. Pristupnicima je dopušteno koristiti samo tunelski način rada.

VPN instalacija i podrška

Kao što je gore spomenuto, instaliranje i održavanje VPN tunela proces je u dva koraka. U prvoj fazi (fazi) dva se čvora dogovaraju o metodi identifikacije, algoritmu šifriranja, hash algoritmu i Diffie-Hellman grupi. Također se identificiraju. Sve se to može dogoditi kao rezultat razmjene tri nekriptirane poruke (tzv. agresivni mod, Agresivni način rada) ili šest poruka, s razmjenom šifriranih identifikacijskih informacija (standardni način, Glavni način rada).

U glavnom načinu rada moguće je uskladiti sve konfiguracijske parametre uređaja pošiljatelja i primatelja, dok u agresivnom načinu rada nema te mogućnosti, te se neki parametri (Diffie-Hellman grupa, algoritmi za enkripciju i autentifikaciju, PFS) moraju identično konfigurirati u unaprijed na svakom uređaju. Međutim, u ovom načinu rada niži su i broj razmjena i broj poslanih paketa, što rezultira kraćim vremenom potrebnim za uspostavljanje IPSec sesije.

Pod pretpostavkom da je operacija uspješno dovršena, stvara se prva faza SA − Phase 1 S.A.(također se zove IKE SA) i proces prelazi u drugu fazu.

U drugoj fazi generiraju se ključni podaci i čvorovi se dogovaraju o politici koju će koristiti. Ovaj način rada, koji se naziva i brzi način rada, razlikuje se od prve faze po tome što se može uspostaviti tek nakon prve faze, kada su svi paketi druge faze šifrirani. Ispravan završetak druge faze rezultira pojavom Faza 2 SA ili IPSec SA i u ovom trenutku postavljanje tunela se smatra završenim.

Prvo, paket s odredišnom adresom u drugoj mreži stiže u čvor, a čvor započinje prvu fazu s čvorom odgovornim za drugu mrežu. Recimo da je tunel između čvorova uspješno uspostavljen i čeka pakete. Međutim, čvorovi se moraju ponovno identificirati i usporediti pravila nakon određenog vremenskog razdoblja. Ovo razdoblje se zove Životni vijek prve faze ili IKE SA vijek trajanja.

Čvorovi također moraju promijeniti ključ za šifriranje podataka nakon pozvanog vremenskog razdoblja Životni vijek druge faze ili Životni vijek IPSec SA.

Životni vijek druge faze je kraći od životnog vijeka prve faze, jer... ključ je potrebno češće mijenjati. Morate postaviti iste parametre trajanja za oba čvora. Ako to ne učinite, moguće je da će se tunel u početku uspješno uspostaviti, ali nakon prvog nekonzistentnog vijeka trajanja veza će biti prekinuta. Problemi također mogu nastati kada je životni vijek prve faze kraći od životnog vijeka druge faze. Ako prethodno konfigurirani tunel prestane raditi, prva stvar koju treba provjeriti je životni vijek na oba čvora.

Također treba imati na umu da ako se politika promijeni na jednom od čvorova, promjene će stupiti na snagu tek sljedeći put kada se dogodi prva faza. Kako bi promjene odmah stupile na snagu, SA za ovaj tunel mora biti uklonjen iz baze podataka SAD. To će uzrokovati ponovno pregovaranje o sporazumu između čvorova s ​​novim postavkama sigurnosne politike.

Ponekad prilikom postavljanja IPSec tunela između opreme različitih proizvođača Poteškoće nastaju pri usklađivanju parametara pri uspostavljanju prve faze. Trebali biste obratiti pozornost na takav parametar kao što je lokalni ID - ovo je jedinstveni identifikator krajnja točka tunela (pošiljatelj i primatelj). Ovo je posebno važno kada se stvara više tunela i koristi NAT Traversal protokol.

Detekcija mrtvog vršnjaka

Tijekom rada VPN-a, u nedostatku prometa između krajnjih točaka tunela ili kada se početni podaci udaljenog čvora promijene (na primjer, promjena dinamički dodijeljene IP adrese), može doći do situacije kada tunel u biti više nije tunel, koji postaje, takoreći, tunel duhova. Kako bi se održala stalna spremnost za razmjenu podataka u kreiranom IPSec tunelu, IKE mehanizam (opisan u RFC 3706) omogućuje praćenje prisutnosti prometa iz udaljenog čvora tunela, a ako ga nema određeno vrijeme, šalje se pozdravna poruka (u vatrozidima poruka "DPD-R-U-THERE" šalje se D-Linku. Ako nema odgovora na ovu poruku unutar određenog vremena, u D-Link vatrozidima određenim postavkama "DPD Expire Time", tunel se demontira. D-Link vatrozidi zatim, koristeći postavke "DPD Keep Time" (Slika 6.18), automatski pokušavaju vratiti tunel.

NAT traversal protokol

IPsec promet može se usmjeravati prema istim pravilima kao i drugi IP protokoli, ali budući da usmjerivač ne može uvijek izdvojiti informacije specifične za protokole prijenosnog sloja, IPsec ne može proći kroz NAT pristupnike. Kao što je ranije spomenuto, da bi riješio ovaj problem, IETF je definirao način za enkapsulaciju ESP-a u UDP, nazvan NAT-T (NAT Traversal).

Protokol NAT Traversal enkapsulira IPSec promet i istovremeno stvara UDP pakete koje NAT ispravno prosljeđuje. Da bi to učinio, NAT-T postavlja dodatno UDP zaglavlje ispred IPSec paketa tako da se on tretira kao obični UDP paket u cijeloj mreži, a host primatelj ne provodi nikakve provjere integriteta. Nakon što paket stigne na svoje odredište, UDP zaglavlje se uklanja i podatkovni paket nastavlja svoj put kao enkapsulirani IPSec paket. Tako je pomoću NAT-T mehanizma moguće uspostaviti komunikaciju između IPSec klijenata na sigurnim mrežama i javnih IPSec hostova putem vatrozida.

Prilikom konfiguriranja D-Link vatrozida na uređaju primatelja, potrebno je obratiti pozornost na dvije točke:

• U poljima Udaljena mreža i Udaljena krajnja točka navedite mrežu i IP adresu uređaja za daljinsko slanje. Potrebno je omogućiti prevođenje IP adrese inicijatora (pošiljatelja) pomoću NAT tehnologije (Slika 3.48).
• Kada koristite dijeljene ključeve s više tunela povezanih na isti udaljeni vatrozid koji su NAT-ovani na istu adresu, važno je osigurati da je lokalni ID jedinstven za svaki tunel.

Lokalni ID može biti jedan od:

• Auto– IP adresa sučelja odlaznog prometa koristi se kao lokalni identifikator.
• IP– IP adresa WAN porta udaljenog vatrozida
• DNS– DNS adresa
• E-mail– E-pošta

IPSec u D-Link vatrozidima

Vatrozidi NetDefend omogućuju stvaranje IPSec tunela na temelju IKE ključeva i certifikata.

Korištenje ključeva (unaprijed dijeljeni ključ)

Uz minimalne postavke za rad VPN poslužitelja potrebno vam je:

• Stvorite objekte (u mapi Predmeti):
  • IP adresa udaljene krajnje točke (na primjer, IPSec_remote_endpoint) i udaljene mreže (na primjer, IPSec_remote_net);
  • ključ Unaprijed dijeljeni ključ (objekti provjere autentičnosti), objekt IKE algoritmi i prigovarati IPSec algoritmi (VPN objekti). Prema zadanim postavkama u DFL objektima IKE algoritmi, IPSec algoritmi a algoritmi šifriranja i raspršivanja već su navedeni, ali možete promijeniti ili dodati algoritme koji se mogu koristiti u razmjeni ključeva (IKE algoritmi) i samoj enkripciji prometa (IPSec algoritmi).
• Stvoriti IPSec tunel(u mapi sučelja).
• Stvorite dopuštajuća pravila (u mapi IP pravila) za prometni pristup od tunela do interne mreže i natrag.

Korištenje certifikata

X.509 certifikati temelje se na metodi šifriranja s javni ključ. Svaki certifikat uz ostale podatke (rok valjanosti, ime vlasnika i sl.) sadrži javni ključ. Vlasnik sprema tajni ključ u posebnu datoteku.

Certifikate potpisuje Tijelo za izdavanje certifikata (CA) za provjeru autentičnosti certifikata, informacija sadržanih u certifikatu i na kraju udaljenog glavnog računala. Autentičnost CA se provjerava prema njegovom certifikatu koji je javno dostupan.

Certifikati su digitalni dokaz identiteta i mogu se koristiti za autentifikaciju pojedinačnih korisnika ili drugih krajnjih korisnika. Za postavljanje VPN tunela s autentifikacijom certifikata, vatrozid mora imati vlastiti certifikat i certifikat udaljenog vatrozida. Ovi certifikati mogu biti samopotpisani ili potpisani od strane ovlaštenog tijela za izdavanje certifikata (CA).

Prilikom postavljanja VPN tunela, vatrozid mora znati kome treba vjerovati. Kada koristite unaprijed distribuirane ključeve, sve je jednostavno. Vatrozid vjeruje svima koji imaju isti ključ. Pri korištenju certifikata, vatrozid mora vjerovati svakome čiji je certifikat potpisao određeni CA. Prije prihvaćanja certifikata provode se sljedeći koraci za provjeru autentičnosti certifikata:

• kreira se pouzdani put certifikacije do korijenskog CA;
• provjeravaju se potpisi svih certifikata u putu certifikacije.

Obično se VPN tunel uspostavlja ako je certifikat udaljenog hosta potpisan od strane CA prisutan u Korijenski certifikati u kartici Ovjera u izborniku kreiranog VPN tunela. Međutim, u nekim slučajevima postaje potrebno ograničiti tko može uspostaviti VPN tunel čak i među hostovima koje potpisuje isti CA. U polju se može odabrati popis osobnosti Identifikacijski popis Razlika između ova dva načina je u tome što će agresivni način odašiljati velika količina informacija u manje paketa (smanjenje vremena povezivanja (stvaranje IPSec tunela)), ali ne pruža zaštitu autentičnosti.

Grupa ključeva IKE DH. DH – Diffie-Hellman je kriptografski protokol koji omogućuje dvjema stranama koje komuniciraju preko nesigurne mreže (kao što je Internet) generiranje zajedničkog tajnog ključa, koji će se kasnije koristiti za šifriranje podataka između tih strana.

Kriptografska snaga algoritma određena je veličinom ključa: 1 (768 bita), 2 (1024 bita) ili 5 (1536 bita). Veličina DH ključa grupe 1 je 768 bita. Veličina DH ključa grupe 2 je 1024 bita. Veličina DH ključa grupe 5 je 1536 bita. Što je viša grupa, to algoritam postaje otporniji na kripto i više više resursa Troši CPU.

PFS(Perfect Forward Secrecy) – dodatna enkripcija tijekom razmjene ključeva u drugoj fazi.

Ako je PFS omogućen, nova Diffie-Hellmanova razmjena izvršit će se za svaku drugu fazu pregovora, pružajući nove ključne podatke. Kao rezultat toga, sustav je otporniji na kriptografske napade. Ako je jedan ključ ugrožen, drugi ključ se ne može dobiti koristeći iste informacije. Ovo povećava opterećenje CPU-a i smanjuje se ukupna izvedba sustava.

NAT prolaz koristi se ako oba uređaja koji uspostavljaju IPSec tunel rade pod NAT-om. Dostupne opcije:

Onemogućeno – vatrozid neće poslati "ID dobavljača".

Uključeno ako je podržano i NATed – ako jedan od uređaja IPSec tunela radi pod NAT-om i DFL obavještava drugi uređaj o tome slanjem identifikatora "ID dobavljača".

Uključeno ako je podržano – uvijek koristite NAT pri uspostavljanju tunela.

Držati na životušalje "ping" poruke ako jedan uređaj, prilikom slanja podataka kroz tunel, ne dobije odgovor od drugog uređaja. Dostupne opcije:

Onemogući – mehanizam održavanja na životu je onemogućen

Automatski – vatrozid će poslati ICMP ping poruke na IP adrese koje se automatski pronađu u postavkama VPN tunela.

Alati za filtriranje prometa

Zadaci alata za filtriranje prometa su kontrola mrežnog prometa (sadržaja mrežnih paketa) i blokiranje (filtriranje) prometa koji ne zadovoljava navedena sigurnosna pravila. Prometni filtri prate i analiziraju sadržaj mrežnih paketa na razini aplikacije, ali za razliku od vatrozida, oni ne obavljaju posredničku funkciju između dva čvora kako bi spriječili njihovu izravnu interakciju (vatrozidi i proxy poslužitelji). Za razliku od IDS/IPS alata, filtri prometa ne otkrivaju i sprječavaju upade i napade na mrežu.

Alati za filtriranje prometa uključuju:

• filteri mrežnih protokola;
• filteri sadržaja, uključujući URL filtere;
• spam filteri;
• filtri web prometa za zaštitu web aplikacije(Web sigurnost).

Navedeni alati za filtriranje prometa ugrađeni su i koriste se unutar pojedinačnih zaštitnih alata, kao što su Firewall, Network Antivirus, Proxy Server, IDS/IPS, UTM, WAF, E-Mail Security, HIPS, s rješenjem razne zadatke ili su implementirani u obliku zasebnog softvera i hardvera. Dodatno, alati za filtriranje prometa koriste se u sustavima naplate, obračunu prometa i tarifiranju; kontrola, statistika, praćenje mrežne aktivnosti korisnika u stvarnom vremenu i korištenja interneta itd.

Filtrira prema mrežnim protokolima dopustiti promet kroz određene mrežne protokole i blokirati promet s drugih protokola. Ovi alati instalirani su na rubu mreže, osiguravajući da samo potreban mrežni promet prolazi kroz određene protokole u mrežu i/ili u vanjsku mrežu, tj. osigurati provedbu mrežnih politika.

Filtri sadržaja

Filtri sadržaja(Content Monitoring and Filtering, CMF) blokiraju pristup neželjenom internetskom sadržaju. Oni su filteri web prometa (http/https protokoli).

Web-promet se filtrira prema URL-ovima stranica na crnoj listi (URL filteri), ključna riječ, potpis ili vrsta datoteke, na temelju sadržaja web-mjesta pomoću morfološke analize. Filtri sadržaja instalirani su u mrežnim pristupnicima (vatrozidi, proxy poslužitelji itd.) ili na radnim stanicama u antivirusnim programima (funkcija " roditeljska kontrola", za zaštitu od phishing stranica), osobni vatrozidi itd. Mogu se koristiti kao zasebni softverski alati.

Filtri web prometa (mrežasigurnost)

Filtri web prometa (mrežasigurnost) koristi se za zaštitu web aplikacija od raznih vrsta prijetnji koje stižu web prometom, uključujući prodor zlonamjernog koda. To su filtri web prometa (http/https protokoli). Funkcije filtriranja web prometa koriste se u sigurnosnim alatima kao što je WAF . Kako bi se zaštitili od prijetnji koje proizlaze iz web prometa, preporučuje se korištenje specijaliziranih rješenja klase Web Security.

Glavne funkcije alata za web sigurnost:

• zaštita internetskog prometa od virusa i zlonamjernog softvera softver;
• blokiranje pristupa zlonamjernim stranicama;
• zaštita od phishing napada;
• kontrola pristupa korisnika različitim web resursima;
• URL filtriranje i kategorizacija web stranice.

Kao što sam više puta rekao u svojim člancima o Windows vatrozidu s naprednom sigurnošću, počevši od rada Windows sustavi Vista i Windows Server 2008 R2, vatrozid za Windows prema zadanim postavkama poboljšava sigurnost svakog računala u organizaciji blokirajući sav dolazni promet koji nije izričito dopušten. Kada instalirate aplikaciju ili komponentu operativnog sustava koja zahtijeva dolazne veze, operativni sustav automatski omogućuje dolazna pravila vatrozida, a da ih u većini slučajeva ne morate ručno konfigurirati. Ako otvorite snap-in izravno s upravljačke ploče ili pokretanjem naredbe wf.msc u dijaloškom okviru "Trčanje", ili u naredbeni redak, vidjet ćete da već imate neka pravila automatski omogućena. Na primjer, to može biti pravilo koje se automatski stvara s postavkom Windows programi Live Messenger ili kada implementirate Hyper-V ulogu, kao što je prikazano na sljedećoj ilustraciji:

Riža. 1. Automatski stvorena pravila za dolazne veze

Ali ne u svim slučajevima, ulazna pravila Vatrozida za Windows stvaraju se automatski. Za neke aplikacije koje prema zadanim postavkama ne stvaraju ulazna pravila, pravila ćete morati izraditi ručno. Ako je takav program instaliran na jednom računalu ili na više računala koja se nalaze u radna skupina, možete stvoriti pravila izravno u snap-inu « Vatrozid za Windows u poboljšanom sigurnosnom načinu rada". Ali što učiniti ako su računala vaših zaposlenika članovi domene i postoje deseci, pa čak i stotine takvih računala? U ovom slučaju, da bi administrator mogao primijeniti pravila Windows vatrozida u organizaciji, trebali biste koristiti grupna pravila koja pružaju slično sučelje.

U ovom ćete članku naučiti kako možete izvršiti fleksibilno upravljanje vatrozidom za Windows s naprednom sigurnošću pomoću pravila grupe, odnosno stvaranjem dolaznih i odlaznih veza za određenu grupu korisnika.

Stvorite GPO za upravljanje Windows vatrozidima uz naprednu sigurnost

Prije nego što stvorite ulazna i izlazna pravila za Windows vatrozid u sigurnosnom načinu za klijentska računala vaše organizacije, morate pronaći OU-ove koji sadrže Računi računala u vašoj organizaciji i izradite GPO, koji će zatim sadržavati skup pravila s postavkama usmjerenim na određeni skup računala. Nakon toga, pomoću snap-ina, morat ćete konfigurirati pravila za dolazne i odlazne veze. U procesu stvaranja objekta pravila grupe Nema ničeg posebnog o upravljanju vatrozidom za Windows s naprednom sigurnošću. Da biste to učinili, slijedite ove korake:

Nakon što dovršite sve prethodne korake, možete početi stvarati ulazna i izlazna pravila za Windows vatrozid s naprednom sigurnošću.

Postavljanje pravila za dolazne i odlazne veze

U ovom koraku stvorit ćemo ulazno pravilo koje se primjenjuje na Windows Live Messenger na portu 1900 za 64-bitni operativni sustavi Windows Vista i Windows 7, kao i pravilo izlazne veze koje dopušta zahtjeve od Internet preglednik Explorer u objektu pravila grupe koji je stvoren u prethodnom odjeljku ovog članka. Prema zadanim postavkama, članovi lokalne grupe administratora također mogu stvarati i uređivati ​​pravila za ulazne i izlazne veze u snap-inu "Windows vatrozid s naprednom sigurnošću". Ta se pravila kombiniraju s pravilima dobivenim iz pravila grupe i primjenjuju se na konfiguraciju računala. Za stvaranje ulaznog pravila u GPO-u koji ste ranije stvorili, slijedite ove korake:

1. Na čvoru "Objekti pravila grupe" snap-in, odaberite GPO objekt koji ste ranije stvorili, u ovom slučaju, "Postavljanje Windows vatrozida", desnom tipkom miša kliknite na njega "Promijeniti";
2. U trenutku "Uređivač upravljanja pravilima grupe" U stablu konzole proširite Konfiguracija računala\Pravila\Konfiguracija sustava Windows\Sigurnosne postavke\Vatrozid Windows s naprednom sigurnošću\Vatrozid Windows s naprednom sigurnošću\Ulazna pravila. Desni klik na element "Pravila za dolazne veze" i od kontekstni izbornik odaberite tim "Stvori pravilo", kao što je prikazano na sljedećoj slici:





Riža. 6. Napravite novo pravilo za dolazne veze

3. Na prvoj stranici "Čarobnjaci za stvaranje pravila za novu dolaznu vezu" možete odabrati jednu od opcija koje su detaljno opisane u nastavku:
   • Za program. Ova vrsta pravila vatrozida stvara pravilo koje dopušta ili blokira veze za određenu izvršnu datoteku, bez obzira na brojeve priključaka koji se koriste. Za većinu ljudi ova vrsta pravila može biti najkorisnija, budući da ne znaju svi koje portove koristi određeni program. Najbolje je koristiti ovu vrstu pravila u većini slučajeva, ali vrijedi napomenuti da se ova vrsta ne primjenjuje ako određena usluga ne sadrži vlastitu izvršnu datoteku;
   • Za luku. Ova vrsta pravila vatrozida koristi se za stvaranje pravila koje dopušta ili blokira komunikaciju za određeni TCP ili UDP priključak, bez obzira na program koji generira promet. Stvaranjem pravila ove vrste možete navesti nekoliko portova u isto vrijeme;
   • Predodređeno. Ova vrsta pravila vatrozida stvara pravilo koje kontrolira veze za određeni program operativnog sustava ili uslugu, koji se pojavljuje na odgovarajućem padajućem popisu. Neki programi, nakon instalacije, dodaju svoje unose na ovaj popis kako bi pojednostavili proces stvaranja pravila za dolazne veze;
   • Prilagodljiv. Ova vrsta pravila vatrozida omogućuje stvaranje pravila koje može kombinirati informacije o programu i portu u isto vrijeme.

Kako bismo razmotrili maksimalan iznos stranice čarobnjaka, odaberite vrstu "Prilagođeno pravilo";




Riža. 7. Stranica Vrsta pravila Čarobnjaka za pravilo nove ulazne veze

4. Na stranici "Program"Čarobnjak za novo pravilo ulazne veze omogućuje vam da navedete stazu do programa koji će vatrozid za Windows s naprednom sigurnošću provjeriti kako bi se osiguralo da poslani ili primljeni mrežni paketi odgovaraju pravilu. U našem slučaju, postavite prekidač na opciju "Programska staza" i u odgovarajuće tekstualno polje unesite "C:\Programske datoteke (x86)\Windows Live\Messenger\msnmsgr.exe" kao ispod:



Riža. 8. “Programska” stranica čarobnjaka za kreiranje pravila za novu dolaznu vezu

5. Na stranici "Protokol i portovi" U čarobnjaku za stvaranje pravila za novu dolaznu vezu možete odrediti protokol i portove koji se koriste u mrežnom paketu koji će zadovoljiti trenutno pravilo. Ako trebate navesti više portova, možete ih unijeti odvojene zarezima. A ako trebate navesti cijeli niz priključaka, odvojite manju i veću vrijednost priključka crticom. Pogledajmo ukratko lokalne parametre porta za pravila dolazne veze:
   • Sve luke. Pravilo se odnosi na sve dolazne i odlazne veze putem TCP ili UDP protokola;
   • Posebni priključci. U ovom slučaju možete navesti određene priključke koji će se koristiti za dolazne ili odlazne veze putem TCP ili UDP protokola;
   • RPC Mapper krajnje točke. Ova se vrijednost može odabrati samo za dolazne veze putem TCP protokol. U tom slučaju, računalo će primiti dolazne RPC zahtjeve putem TCP protokola preko porta 135 u RPC-EM zahtjevu, koji specificira mrežnu uslugu i zahtijeva broj porta na kojem ova mrežna usluga sluša;
   • Dinamički RPC portovi. Isto kao i za prethodnu vrijednost, dana vrijednost može se odabrati samo za ulazne TCP veze, gdje će računalo primati dolazne mrežne RPC pakete na portovima koji su dodijeljeni RPC runtimeom;
   • IPHTTPS. Ova je vrijednost dostupna samo za dolazne TCP veze. U ovom slučaju dopušteno je primati dolazne pakete pomoću IPHTTPS tunelskog protokola, koji podržava ubacivanje IPv6 paketa u IPv4 HTTPS mrežne pakete s udaljenog računala;
   • Prolazak čvorova. Ovu vrijednost možete odabrati samo za dolazne UDP veze, što vam omogućuje primanje dolaznih Teredo mrežnih paketa.

Na primjer, za navođenje za Windows Live Messenger TCP portovi 80, 443 i 1900, u padajućem popisu "Vrsta protokola" Izaberi "TCP", na padajućem popisu "Lokalna luka" odaberite vrijednost "Posebni priključci", a zatim u tekstualni okvir ispod gornjeg padajućeg izbornika unesite "80, 443, 1900". Ostavite padajuću vrijednost "Udaljeni priključak" nema promjena i kliknite na gumb "Unaprijediti";




Riža. 9. “Protocol and Ports” stranica čarobnjaka za kreiranje pravila za novu dolaznu vezu

6. Na stranici "Regija" u ovom čarobnjaku možete odrediti IP adrese lokalnih i udaljena računala, čiji će se mrežni promet primijeniti na trenutno pravilo. Ovdje su dostupna dva odjeljka: lokalne i udaljene IP adrese na koje će se ovo pravilo primjenjivati. I u prvom i u drugom odjeljku, mrežni promet će zadovoljiti ovo pravilo samo ako je prisutna odredišna IP adresa ovaj popis. Prilikom odabira opcije "Bilo koja IP adresa", pravilo će biti zadovoljeno mrežnim paketima s bilo kojom IP adresom navedenom kao adresa lokalno računalo ili koji će biti adresiran s bilo koje IP adrese (u slučaju ulaznog pravila). Ako trebate navesti određene IP adrese, postavite prekidač na opciju "Navedene IP adrese" I određena adresa ili podmreže pomoću dijaloškog okvira koji se otvara klikom na gumb "Dodati". U našem slučaju, ostavite ovu stranicu nepromijenjenu i kliknite na gumb "Unaprijediti";



Riža. 10. Stranica opsega čarobnjaka za novo ulazno pravilo

7. Na stranici "Akcijski" možete odabrati radnju koja će se izvršiti na dolaznim ili odlaznim paketima ovo pravilo. Ovdje možete odabrati jednu od sljedeće tri akcije:
   • Dopusti vezu. Kada odaberete ovu vrijednost, dopuštate sve veze koje zadovoljavaju kriterije navedene na svim prethodnim stranicama čarobnjaka;
   • Dopusti sigurnu vezu. Trenutna postavka pravila Vatrozida za Windows s naprednom sigurnošću dopušta veze samo ako ispunjavaju kriterije koje ste prethodno naveli i ako su također zaštićene IPSec-om. Nećemo se zadržavati na ovom značenju, jer će o njemu biti detaljno razmotreno u mojim sljedećim člancima;
   • Blokiraj vezu. U tom će slučaju Vatrozid za Windows s naprednom sigurnošću odustati od svih pokušaja povezivanja koji zadovoljavaju kriterije koje ste ranije naveli. Iako sve veze u početku blokira vatrozid, preporučljivo je odabrati ovu vrijednost ako trebate blokirati veze za određenu aplikaciju.

Budući da moramo dopustiti pristup programu Windows Live Messenger, postavili smo prekidač na opcije "Dopusti vezu" i pritisnite tipku "Unaprijediti";




Riža. 11. Stranica “Akcija” čarobnjaka za nova pravila za novu dolaznu vezu

8. Na stranici "Profil" U čarobnjaku za kreiranje pravila za novu dolaznu vezu možete odabrati profil na koji će se ovo pravilo primijeniti. Možete odabrati jedno od tri dostupnih profila ili nekoliko odjednom. Najčešće se za organizaciju odabire profil "Domena" ili sva tri profila. Ako vaša organizacija ne koristi usluge domene Aktivni direktorij ili konfigurirate pravila vatrozida za kućno računalo, morat ćete samo naznačiti svoj profil "Privatna". Pravila profila "Javnost" stvoreni su za javne veze, što je u načelu nesigurno. U našem slučaju označite kućice na sva tri profila i kliknite na gumb "Unaprijediti";



Riža. 12. “Profil” stranica čarobnjaka za kreiranje pravila za novu dolaznu vezu

9. Na stranici "Ime" navedite naziv za novo ulazno pravilo vatrozida za Windows s naprednom sigurnošću koje ste stvorili, unesite opis trenutnog pravila ako je potrebno i kliknite gumb "Spreman".



Riža. 13. “Ime” stranica čarobnjaka za kreiranje pravila za novu dolaznu vezu

Vatrozid za Windows s naprednom sigurnošću prema zadanim postavkama dopušta sav odlazni promet, što u biti izlaže vaše računalo manjem riziku od hakiranja od dopuštanja dolaznog prometa. No, u nekim slučajevima morate kontrolirati ne samo dolazni, već i odlazni promet na računalima svojih korisnika. Na primjer, takve zlonamjerne softverski proizvodi kako se crvi i neke vrste virusa mogu razmnožavati. To jest, ako je virus uspio identificirati računalo, tada će pokušati svim raspoloživim sredstvima (sam sebi) poslati odlazni promet kako bi identificirao druga računala na istoj mreži. Ima dosta takvih primjera. Blokiranje odlaznog prometa svakako će poremetiti rad većine ugrađenih komponenti operativnog sustava i instaliranog softvera. Stoga, kada omogućite izlazno filtriranje, morate temeljito testirati svaku aplikaciju instaliranu na korisničkim računalima.

Stvaranje izlaznih pravila malo se razlikuje od gornjeg postupka. Na primjer, ako ste blokirali sve odlazne veze na korisničkim računalima i morate korisnicima dati pristup za korištenje preglednika Internet Explorer, prati ove korake:

1. Ako trebate dodijeliti izlazno pravilo Windows vatrozida u novom GPO-u, slijedite korake u "Stvorite GPO za upravljanje Windows vatrozidima uz naprednu sigurnost";
2. U trenutku "Uređivač upravljanja pravilima grupe" U stablu konzole proširite Konfiguracija računala\Pravila\Konfiguracija sustava Windows\Sigurnosne postavke\Vatrozid Windows s naprednom sigurnošću\Vatrozid Windows s naprednom sigurnošću\Izlazna pravila. Desni klik na element "Pravila za odlazne veze" te iz kontekstnog izbornika odaberite naredbu "Stvori pravilo";
3. Na stranici čarobnjaka "Vrsta pravila" odaberite opciju "Za program" i kliknite na gumb "Unaprijediti";
4. Na stranici "Program", postavite prekidač na opciju "Programska staza" i unesite u odgovarajuće tekstualno polje %ProgramFiles%\Internet Explorer\iexplore.exe ili odaberite ovu izvršnu datoteku klikom na gumb "Pregled";
5. Na stranici "Akcijski" ovog čarobnjaka odaberite opciju "Dopusti vezu" i kliknite na gumb "Unaprijediti";
6. Na stranici "Profil" prihvatite zadane vrijednosti i kliknite gumb "Unaprijediti";
7. Na posljednjoj stranici, str "Ime", unesite naziv za ovog pravila, Na primjer, "Pravilo za preglednik Internet Explorer" i kliknite na gumb "Spreman".

U oknu s pojedinostima dodatka "Uređivač upravljanja pravilima grupe" Trebali biste vidjeti stvoreno pravilo kao što je prikazano na sljedećoj ilustraciji:

Riža. 14. Kreirano pravilo za odlaznu vezu

Dodjela filtriranja za stvoreno pravilo

Sada kada ste kreirali GPO s pravilom ulazne i izlazne veze, morate obratiti pozornost na sljedeću točku. Kada smo kreirali ulazno pravilo, naveli smo put do Windows Live Messengera za 64-bitni operativni sustav. Jesu li sva računala u vašoj organizaciji opremljena 64-bitnim operativnim sustavima? Ako je to sve, onda ste vrlo sretni i ne trebate učiniti ništa drugo. Ali ako imate klijentska računala s 32-bitnim OS-om, tada ćete naići na probleme. Pravilo jednostavno neće funkcionirati. Naravno, možete kreirati različite odjele za računala s 32-bitnim operativnim sustavima i za računala sa 64-bitnim operativnim sustavima, ali to nije sasvim racionalno. Drugim riječima, morate navesti u snap "Upravljanje pravilima grupe" da se GPO treba koristiti samo na računalima sa 64-bitnim operativnim sustavom. Takvo ograničenje možete stvoriti pomoću WMI filtra. Naučit ćete više o WMI filtriranju u jednom od sljedećih članaka, ali sada se samo trebate usredotočiti na stvaranje takvog filtra. Da biste odredili WMI filter za otkrivanje 64-bitnih operativnih sustava, slijedite ove korake:

Zaključak

U ovom ste članku naučili kako možete stvoriti vatrozid za Windows s naprednim sigurnosnim pravilima za dolazne i odlazne veze pomoću dodatka "Windows vatrozid s naprednom sigurnošću", kao i korištenje pravila grupe za računala u organizaciji koja su članovi domene Active Directory. Opisan je preliminarni rad, naime izrada odjeljka s računalima, kao i objekta grupne politike. Pogledali smo primjere stvaranja prilagođenog pravila za dolaznu vezu, kao i pravila poput "Za program" za odlaznu vezu.