Care este diferența dintre monitorizarea traficului și filtrare? Un sistem național de filtrare a internetului va apărea în Rusia. Atribuire de filtrare pentru regula creată

Articolul vă aduce în atenție două modalități de filtrare a traficului în rețea. Prima metodă folosește filtrarea neobișnuită a pachetelor primite după adrese IP sursă, implementând în esență protecția împotriva falsificării, a doua - filtrarea pachetelor într-o rețea locală sau DMZ folosind tehnologia PVLAN.

Barankov Denis, denisNOSPAMixi.ru

Articolul vă aduce în atenție două modalități de filtrare a traficului în rețea. Prima metodă folosește filtrarea neobișnuită a pachetelor primite după adrese IP sursă, implementând în esență protecția împotriva falsificării, a doua - filtrarea pachetelor într-o rețea locală sau DMZ folosind tehnologia PVLAN.

Sper că acest articol va fi util atât administratorilor, cât și celor implicați în securitatea rețelei. Din păcate, aceștia sunt de obicei oameni diferiți.

Introducere. Despre filtrare in general.

Uită-te la formatul antetului pachetului IP (această structură este preluată din sursele WinPCap) typedef struct ip_header( u_char ver_ihl; // Versiune (4 biți) + lungime antet Internet (4 biți) u_char tos; // Tip de serviciu u_short tlen; // Lungimea totală u_short identification; // Identificare u_short flags_fo; // Flags (3 biți) + Fragment offset (13 biți) u_char ttl; // Time to live u_char proto; // Protocol u_short crc; // Header checksum ip_address saddr; // Adresă sursă ip_address daddr; // Adresă de destinație u_int op_pad; // Opțiune + Padding )ip_header;

câte câmpuri necesită verificarea corectitudinii deja la intrarea în rețea. Evident, pentru fiecare câmp există multe valori care sunt definite în standardul RFC ca având o anumită semnificație. Și este evident că există multe valori care nu sunt definite nicăieri, sunt lipsite de sens și nici nu ne putem imagina cum vor fi percepute aceste valori de gazda care primește. Dacă un pachet are cel puțin un câmp incorect, atunci întregul pachet este incorect și nu ar trebui să ne blocheze rețeaua. Cu toate acestea, acest lucru nu este cazul în prezent pe multe rețele. Fiecare gazdă are propriul său sistem de protecție împotriva atacurilor (IPS) care se ocupă cu astfel de pachete. Propun să nu așteptăm ca astfel de pachete să ajungă la gazda destinatarului, ci să le omorâm deja la intrarea în rețea. Mai mult, putem filtra și bloca traficul secvențial de la nivelul canalului până la nivelul aplicației (în cadrul modelului ISO OSI). Acest lucru va ușura rețeaua și va proteja împotriva atacurilor care profită de faptul că „închidem ochii” la pachetele incorecte.

Această idee nu este nouă. Un indiciu despre pachetele care ar putea fi proaste în rețeaua dvs. poate fi găsit în regulile sistemelor dvs. de detectare a intruziunilor. Sistemele de detectare a intruziunilor verifică de mult timp toate câmpurile de pachete și colectează statistici pentru a analiza pachetele incorecte găsite, care pot fi vizualizate și se pot lua măsuri împotriva celor mai enervante. Cel mai mult îmi place Snort pentru că totul este deschis spre extindere. Acest lucru vă permite să schimbați regulile standard sau să scrieți propriile dvs., să analizați statisticile folosind și puteți chiar să adăugați reguli pentru blocarea adreselor IP folosind SnortSam în aproape oricare dintre FW-urile cunoscute în prezent: Cisco PIX, MS ISA, Checkpoint FW-1, Watchguard Firebox și încorporat pe Linux și FreeBSD FW.

Totuși, fără a pierde generalitatea, putem spune că acele persoane care folosesc orice fel de sisteme de detectare a atacurilor, de exemplu Cisco NetRanger, RealSecure (Proventia) sau Snort, au un vis: când vor înceta în sfârșit să genereze alerte false. Cel puțin, am un astfel de vis, deoarece în cele patru grile ale mele externe de clasă C se întâmplă constant ceva nou, deși tipurile de fluxuri de informații s-au așezat de mult. Nu mai primesc multe alerte, cum ar fi BAD-TRAFFIC Unassigned/Reserved IP protocol, BAD-TRAFFIC Non-Standard IP protocol, BAD-TRAFFIC loopback trafic, BAD-TRAFFIC același SRC/DST, BAD-TRAFFIC tcp portul 0 de trafic, nu pentru că am dezactivat aceste reguli, ci pentru că am blocat acest „trafic rău” imediat la intrare. Din păcate, astăzi trebuie să ignor diverse evenimente, știind că aceasta este o alarmă falsă obișnuită și nu o pot bloca, întrucât orice furnizor nu ar trebui să blocheze traficul către un client, indiferent de cât de: periculos sau pur și simplu inutil. Dar îmi permit să blochez traficul „greșit”: adrese incorecte, steaguri incorecte, porturi incorecte sau periculoase.

Este clar de ce există sisteme IDS care arată administratorului ce trafic este rău, dar nu există programe care să filtreze automat traficul care intră și iese din rețelele tale, astfel încât Snort să nu aibă de ce să se plângă. Problema sunt alertele false. Există multe reguli pentru același Snort, care nu numai că ar trebui să detecteze comportamentul nestandard, ci să îl blocheze imediat. De exemplu, este logic să blocăm traficul care satisface condiția BAD-TRAFFIC ip reserved bit set, adică acele pachete al căror bit de rezervă este setat incorect. (Apropo, vă puteți aminti imediat ce firewall poate verifica o astfel de condiție și poate bloca un astfel de pachet? ;-)) Pe de altă parte, există alerte a căror utilitate poate fi argumentată. De exemplu, recent eMule-urile din rețeaua mea au devenit vinovații de alerte de trafic troieni de tip BACKDOOR.

Deci, în mod ideal, din punctul de vedere al sistemelor de detectare a atacurilor, trebuie să ne asigurăm că acele reguli care arată clar că filtrarea este configurată incorect nu sunt declanșate. Și configurarea corectă este sarcina principală a administratorului.

Filtru grosier. Protecție împotriva falsificării adresei IP.

Deoarece nu scriu o carte, ci un articol, astăzi voi ajunge doar la capătul unui câmp al pachetului IP: adresa sursă. Se știe că adresa IP sursă a pachetului se află acolo. Și, din câte știu, tehnologia Cisco SAFE recomandă filtrarea acestui câmp în conformitate cu RFC și pentru a proteja împotriva falsificării IP. Să ne dăm seama exact ce adrese ar trebui să blocăm. (Câmpul pentru adresa de destinație trebuie să fie în grupul de adrese alocat, deci nu există nimic de speculat aici.)

Așa că știm că începând cu 1 ianuarie 1983 a fost introdus conceptul de adresă IP versiunea 4, care este un număr de 32 de biți pe care îl scriem de obicei ca 4 numere zecimale separate de un punct. Există o organizație numită Internet Assigned Numbers Authority (IANA), care atribuie adrese pe internet. Există patru registre regionale de internet (RIR) distribuite în întreaga lume: APNIC (Asia Pacific Network Information Center), ARIN (American Registry for Internet Numbers), LACNIC (Latin American and Caribbean IP address Regional Registry), RIPE NCC, care distribuie adrese. între furnizorii de servicii de internet (ISP). Și, în sfârșit, există un semn pe site-ul IANA care înregistrează ce bloc de adrese este dat cui.

Dacă încercăm să clasificăm adrese, atunci pe lângă (studite deja la școală) clasele A, B, C, D, E, aflăm că există adrese speciale definite nu numai de RFC 1918, ci și de RFC 3330 și care nu trebuie folosit pe internet.

1. Adrese private - rezervate pentru utilizare în rețelele locale în conformitate cu RFC 1918.

• 10.0.0.0 - 10.255.255.255
• 172.16.0.0 - 172.31.255.255
• 192.168.0.0 - 192.168.255.255

2. Adrese obținute prin atribuirea automată a unei adrese IP în absență Servere DHCPși conform RFC 3330, ele nu ar trebui să depășească rețeaua locală.

• 169.254.0.0 - 169.254.255.255

3. Adrese de loopback utilizate pentru a verifica funcționarea stivei TCP. Folosit de fiecare gazdă numai pentru sine.

• 127.0.0.0 - 127.255.255.255

4. Interval de testare - ar trebui folosit în documentație și exemple de cod.

• 192.0.2.0–192.0.2.255

5. Adresele multicast nu pot apărea în câmpul sursă. Doar în câmpul destinatar pachetului, deoarece sunt folosite pentru a se adresa unui grup de gazde.

• 224.0.0.0 - 239.255.255.255

6. Adrese rezervate și nealocate. Aceste adrese sunt toate enumerate pe aceeași placă de pe site-ul IANA. Din 12 decembrie 2004, următoarele blocuri sunt în rezervă

• 0.0.0.0 - 2.255.255.255
• 5.0.0.0 - 5.255.255.255
• 7.0.0.0 - 7.255.255.255
• 23.0.0.0 - 23.255.255.255
• 27.0.0.0 - 27.255.255.255
• 31.0.0.0 - 31.255.255.255
• 36.0.0.0 - 37.255.255.255
• 39.0.0.0 - 39.255.255.255
• 41.0.0.0 - 42.255.255.255
• 49.0.0.0 - 50.255.255.255
• 73.0.0.0 - 79.255.255.255
• 89.0.0.0 - 126.255.255.255
• 173.0.0.0 - 187.255.255.255
• 189.0.0.0 - 190.255.255.255
• 197.0.0.0 - 197.255.255.255
• 223.0.0.0 - 223.255.255.255
• 240.0.0.0 - 255.255.255.255

Cea mai recentă listă este impresionantă. Și ne plângem, de asemenea, că nu avem suficiente adrese. Și am combinat și mai multe blocuri de adrese dacă erau în apropiere în listă.

7. Mai există o clasă de adrese care nu pot fi în câmpul surse. Acestea sunt propriile dvs. adrese. Acele adrese de internet care vă sunt alocate dumneavoastră și numai dumneavoastră de către furnizorul dumneavoastră. Evident, nimeni, cu excepția dvs., nu are dreptul de a le folosi și trebuie să blocați orice încercare de a trimite un pachet cu o adresă sursă din grupul dvs. de adrese. Mai mult, înlocuirea adresei dumneavoastră în câmpul surse poate fi folosită pentru a efectua diverse atacuri. De exemplu, într-un atac Land, un pachet SYN este trimis cu adresa sursă care se potrivește cu adresa destinatarului.

Deci, s-a dovedit că există un set destul de mare de adrese care nu pot fi în câmpul surselor pachetelor noastre IP. De regulă, dacă una dintre adresele enumerate mai sus este specificată în surse, atunci aceasta este fie o rutare defectuoasă a furnizorului din amonte (eliberând adrese incorecte), fie un posibil atac DOS. Acesta este motivul pentru care vă sugerez să blocați toate adresele enumerate mai sus la intrarea routerului dumneavoastră.

Rezumând cele de mai sus, obținem o listă destul de decentă de adrese ale expeditorilor pe care ar trebui să le blocăm. De exemplu, dacă utilizați un router Cisco, lista de acces va arăta astfel:

ip access-list extins complete_bogon	Folosind o listă de acces extinsă numită
deny ip 0.0.0.0 1.255.255.255 orice	IANA Rezervat
deny ip 2.0.0.0 0.255.255.255 orice	IANA Rezervat
deny ip 5.0.0.0 0.255.255.255 orice	IANA Rezervat
deny ip 7.0.0.0 0.255.255.255 orice	IANA Rezervat
deny ip 10.0.0.0 0.255.255.255 orice	RFC 1918
deny ip 23.0.0.0 0.255.255.255 orice	IANA Rezervat
deny ip 27.0.0.0 0.255.255.255 orice	IANA Rezervat
deny ip 31.0.0.0 0.255.255.255 orice	IANA Rezervat
deny ip 36.0.0.0 1.255.255.255 orice	IANA Rezervat
deny ip 39.0.0.0 0.255.255.255 orice	IANA Rezervat
deny ip 41.0.0.0 0.255.255.255 orice	IANA Rezervat
deny ip 42.0.0.0 0.255.255.255 orice	IANA Rezervat
deny ip 49.0.0.0 0.255.255.255 orice	IANA Rezervat
deny ip 50.0.0.0 0.255.255.255 orice	IANA Rezervat
deny ip 73.0.0.0 0.255.255.255 orice	IANA Rezervat
deny ip 74.0.0.0 1.255.255.255 orice	IANA Rezervat
deny ip 76.0.0.0 3.255.255.255 orice	IANA Rezervat
deny ip 82.0.0.0 1.255.255.255 orice	IANA Rezervat
permis 88.0.0.0 0.255.255.255 our_net	Să permitem accesul cu adresa 88/8 la rețeaua noastră (pentru a nu fi blocați mai jos)
deny ip 88.0.0.0 7.255.255.255 orice	IANA Rezervat
deny ip 96.0.0.0 31.255.255.255 orice	Rezervat IANA și Loopback
deny ip 169.254.0.0 0.0.255.255 orice	adrese atribuite automat
deny ip 172.16.0.0 0.15.255.255 orice	RFC 1918
deny ip 173.0.0.0 0.255.255.255 orice	IANA Rezervat
deny ip 174.0.0.0 1.255.255.255 orice	IANA Rezervat
deny ip 176.0.0.0 7.255.255.255 orice	IANA Rezervat
deny ip 184.0.0.0 3.255.255.255 orice	IANA Rezervat
deny ip 189.0.0.0 0.255.255.255 orice	IANA Rezervat
deny ip 190.0.0.0 0.255.255.255 orice	IANA Rezervat
deny ip 192.0.2.0 0.0.0.255 orice	Adrese pentru teste.
deny ip 192.168.0.0 0.0.255.255 orice	RFC 1918
deny ip 197.0.0.0 0.255.255.255 orice	IANA Rezervat
deny ip 198.18.0.0 0.1.255.255 orice	IANA Rezervat
deny ip 201.0.0.0 0.255.255.255 orice	IANA Rezervat
deny ip 222.0.0.0 1.255.255.255 orice	IANA Rezervat
deny ip 223.0.0.0 0.255.255.255 orice	IANA Rezervat
deny ip 224.0.0.0 31.255.255.255 orice	Multicast și apoi IANA Rezervat
deny ip our_net any	ne blocăm adresele la intrare
permite ip orice our_net	rezolvam orice altceva

our_net Am desemnat blocul dvs. de adrese. De exemplu, ar putea arăta ca 194.194.194.0 0.0.0.255 conform regulilor de scriere a listelor de acces.

Nu contează unde va fi implementată această metodă de filtrare pe routerul tău edge, firewall sau chiar pe server, dar cel mai important lucru este că atacatorul este privat de posibilitatea de a folosi adrese din rețele inexistente. Aș dori să notez că dacă utilizați Cisco IOS ultimele versiuni(12.2 și o versiune ulterioară), atunci nu trebuie să creați singur această listă de acces. Aceeași listă de acces este formată dintr-o comandă simplă (aparent) auto securizată.

Echipă securizat automat face TOTUL pentru un specialist în securitate informatică! Tot ceea ce a fost dezvoltat până în prezent pentru a proteja routerele Cisco este realizat de această echipă. Desigur, trebuie să-ți imaginezi ce face când o intri, dar această comandă va face totul, chiar dacă nu ai certificate sau studii în acest domeniu. :(Când am aflat de fapt despre posibilități securizat automat Am decis că este timpul să renunț la securitate și să mă duc să vând fier de călcat - acolo este salariul, spun ei, și nu este nevoie de studii superioare. ;-) De ce avem nevoie acum de specialisti daca totul este facut de o singura echipa.

Cu toate acestea, această metodă are un dezavantaj: trebuie să monitorizați constant modificările din tabelul de pe site-ul IANA http://www.iana.org/assignments/ipv4-address-space, astfel încât după modificarea acestei liste să vă schimbați lista de acces . De exemplu, ultima schimbare s-a întâmplat în luna august a acestui an: rețelele 71/8, 72/8 au fost alocate pentru ARIN. Nu știu dacă există un scenariu gata făcut pentru a face acest lucru, dar dacă găsești unul sau scrii unul singur, atunci societatea îți va fi recunoscător. Există o pagină în care lista de acces curentă este întotdeauna stocată http://www.cymru.com/Documents/secure-ios-template.html, dar lista de acces de acolo este puțin lungă. Poate fi scurtat. Principiul reducerii este acesta

deny ip 0.0.0.0 0.255.255.255 orice
deny ip 1.0.0.0 0.255.255.255 orice

schimba in

deny ip 0.0.0.0 1.255.255.255 orice

Dacă nu există un astfel de filtru la intrarea în rețea, atunci poate doriți să configurați un filtru pe dvs. propriul server sau statie de lucru. Apropo, autorii FW personal ar putea lua în considerare acest lucru. Acest lucru va ajuta la protejarea gazdei de atacurile DOS. Iată, de exemplu, un exemplu de filtru anti-spoofing pentru BIND.

După ce ne-am ocupat de adrese, putem trece la alte câmpuri ale pachetului IP. De exemplu, oamenii vin foarte des în rețeaua mea pachete tcp cu portul 0. De ce nu te uiți la ce porturi sunt folosite în pachetele care trec prin rețeaua ta.

Filtru fin sau VLAN izolat.

Acum să ne uităm la traficul din rețeaua internă. Unul dintre factorii cheie în construirea unei configurații de rețea sigure este definiție precisă toate obiectele de rețea și o înțelegere precisă cu cine trebuie fiecare dintre aceste obiecte să facă schimb de informații și ce tip de trafic este generat. Tot restul traficului dintre aceste entități trebuie respins.

Să ne uităm la exemplul Zonei Demilitarizate (DMZ). Se consideră corectă alocarea serverelor companiei într-o rețea separată, protejată atât de utilizatorii de internet, cât și de utilizatorii interni. După cum se spune, ai încredere, dar verifică. Imaginea arată două opțiuni posibile de implementare: DMZ-ul este situat între două firewall-uri și DMZ-ul se atârnă pe unul dintre porturile Firewall-ului.

Deci, firewall-urile filtrează traficul care vine de pe Internet și din rețeaua locală. Și, de regulă, designerii de rețele se calmează cu această diagramă. Toate serverele sunt conectate printr-un comutator și ajung în același domeniu de difuzare. Cu toate acestea, serverele dintr-un DMZ trebuie să comunice între ele? Trebuie să te uiți la fiecare caz specific. Se poate presupune că dacă unul dintre serverele DMZ este spart, atunci un atac asupra unui server vecin este posibil de pe acest server, mai ales că nu am protejat un server de altul în faza de proiectare. Astfel, în cazurile în care serverele nu trebuie să funcționeze între ele, se recomandă crearea mai multor DMZ-uri separate. Cu toate acestea, cea mai bună opțiune este să utilizați PVLAN. Dacă porturile la care sunt conectate serverele nu transmit pachete între ele la nivelul de legătură de date, atunci nu va exista trafic între servere și singura modalitate prin care acestea pot comunica între ele este să treacă prin Firewall, pe care trebuie permisă această conexiune și redirecționată către portul dorit . Astfel de porturi care nu transmit trafic între ele la nivelul legăturii de date sunt numite izolate.

Aceeași idee se aplică computerelor dintr-o rețea locală. Analizați cu atenție fluxurile de informații și specificați în mod explicit folosind un comutator care computere pot schimba date.

Folosind același mecanism, puteți uni utilizatorii în grupuri (comunități), în cadrul cărora este organizată comunicarea lor „dedicată”. În același timp, atât utilizatorii izolați, cât și grupurile își pot transmite traficul către așa-numitele porturi publice (promiscue) pe care funcționează routerul, firewall-ul și sistemul de detectare a atacurilor.

Cisco PVLAN este implementat în așa fel încât traficul care vine într-un port promiscuu poate fi distribuit peste orice alte porturi, cum ar fi izolate și comunitate. Traficul care vine într-un port izolat poate fi direcționat numai către un port promiscuu. Traficul care vine într-un port comunitar poate fi direcționat către un port promiscuu și către porturi aparținând aceleiași comunități.

Astfel, chiar dacă se află în același VLAN, gazdele care nu au trafic reciproc în schema lor de flux de informații nu vor primi un singur pachet una de la cealaltă. Singura modalitate de a face schimb de informații este să scrieți în mod explicit o regulă pe firewall sau router care să permită transmiterea pachetelor între ele. Dar această regulă funcționează deja la cel de-al treilea nivel al modelului OSI și, în acest caz, puteți utiliza listele de acces și regulile firewall pentru a indica în mod explicit porturile și protocoalele permise.

Dacă săpați mai adânc, atunci când gazda 1 trimite o solicitare ARP (în căutare Adresa mac iar gazda 2 cu IP-ul de care are nevoie de la aceeași subrețea) gazda 2 nu primește această solicitare și nu răspunde gazdei 1, deoarece ambele sunt pe porturi izolate unul de celălalt. Ne-am asigurat că gazda 1 consideră că gazda 2 este inaccesabilă și invers. În acest fel se rezolvă problema controlului traficului în cadrul rețelei și, cel mai important, nu este nevoie de împărțirea rețelei în subrețele. Putem aplica fără durere tehnologia PVLAN rețelelor existente.

Când avem nevoie ca serverele să comunice între ele, routerul (sau firewallul) poate răspunde că această gazdă este accesibilă prin intermediul acesteia. Această tehnică se numește Proxy ARP. Gazda 1 crede că gazda 2 se află pe un segment diferit și trimite pachetul IP prin router (sau firewall). Adică, se dovedește că pachetul conține adresa MAC a routerului și adresa IP a gazdei 2. Dar routerul (sau firewallul) decide deja dacă transmite pachetul către gazda 2 sau nu.

Trebuie remarcat faptul că există și o vulnerabilitate în această metodă: dacă utilizați un router care nu are reguli de acces și, fără să stați pe gânduri, direcționează toate pachetele care vin la el, atunci un atacator de la gazda 1 poate trimite în mod specific un pachet cu adresa MAC a routerului, dar cu adresa IP a gazdei 2. Un astfel de pachet va trece prin portul izolat către router și apoi va fi trimis de router către gazda 2. Prin urmare, trebuie fie să adăugați acces regulile de pe router (sau firewall) care interzic sau permit în mod explicit astfel de pachete sau utilizează o listă suplimentară de control al accesului VLAN (VACL) pe switch.

Anterior, în cadrul unui comutator exista o caracteristică similară numită port protejat, dar funcționa doar într-un singur switch și informațiile despre porturile protejate nu erau transmise prin trunchiuri. Acum acest concept a fost extins și completat cu porturi comunitare.

Tehnologia PVLAN poate fi implementată practic pe un număr destul de mare de produse în prezent comutatoare gestionate având porturi Ethernet cu viteze de operare de 10/100/1000 megabiți pe secundă.

Este descrisă implementarea specifică a acestor circuite pe switch-urile Cisco.

Filtrarea fluxurilor de informații constă în trecerea selectivă a acestora prin ecran, eventual efectuarea unor transformări și notificarea expeditorului că datele sale i-au fost interzise accesul. Filtrarea se realizează pe baza unui set de reguli care sunt preîncărcate pe ecran și sunt o expresie a aspectelor de rețea ale politicii de securitate adoptate. Prin urmare, este convenabil să ne imaginăm un firewall ca o secvență de filtre (Fig. A.2) care procesează fluxul de informații. Fiecare dintre filtre este conceput pentru a interpreta regulile de filtrare individuale, parcurgând următorii pași:

1. Analiza informatiilor dupa criteriile specificate in regulile interpretate, de exemplu, dupa adresele destinatarului si expeditorului sau dupa tipul de aplicatie pentru care sunt destinate aceste informatii.

2. Luarea uneia dintre următoarele decizii pe baza unor reguli interpretate:

Nu ratați date;

Prelucrează datele în numele destinatarului și returnează rezultatul expeditorului;

Treceți datele la filtrul următor pentru a continua analiza;

Omite datele, ignorând următoarele filtre.

Orez. A.2. Structura firewall

Regulile de filtrare pot specifica, de asemenea, acțiuni suplimentare care se referă la funcțiile de mediere, de exemplu, transformarea datelor, înregistrarea evenimentelor etc. În consecință, regulile de filtrare definesc o listă de condiții prin care, folosind criteriile de analiză specificate, se realizează următoarele:

permisiunea sau interzicerea transferului suplimentar de date;

îndeplinirea unor funcții de protecție suplimentare.

Următorii parametri pot fi utilizați ca criterii pentru analiza fluxului de informații:

câmpuri de servicii ale pachetelor de mesaje care conțin adrese de rețea, identificatori, adrese de interfață, numere de port și alte date semnificative;

conținutul direct al pachetelor de mesaje, verificat, de exemplu, pentru prezență virușii informatici;

caracteristicile externe ale fluxului de informații, de exemplu, temporare,

caracteristicile frecvenței, volumul de date etc.

Criteriile de analiză utilizate depind de straturile modelului OSI la care se efectuează filtrarea. În general, cu cât este mai mare nivelul modelului OSI la care un firewall filtrează pachetele, cu atât este mai mare nivelul de protecție pe care îl oferă.

Executarea functiilor de mediere

Firewall-ul realizează funcții de mediere folosind programe speciale numite agenți de protecție sau pur și simplu programe intermediare. Aceste programe sunt rezidente și interzic transmiterea directă a pachetelor de mesaje între rețelele externe și interne.

Dacă este necesar să se acceseze dintr-o rețea internă la o rețea externă sau invers, trebuie mai întâi stabilită o conexiune logică cu un program intermediar care rulează pe ecranul computerului. Programul intermediar verifică validitatea interacțiunii de internetwork solicitate și, dacă este permis, stabilește el însuși o conexiune separată la computerul necesar. În plus, schimbul de informații între computerele din rețelele interne și externe se realizează printr-un intermediar software, care poate filtra fluxul de mesaje, precum și poate îndeplini alte funcții de protecție.

Trebuie înțeles că firewall-ul poate îndeplini funcții de filtrare fără a utiliza programe intermediare, asigurând o interacțiune transparentă între rețelele interne și externe. Cu toate acestea, este posibil ca intermediarii software să nu filtreze fluxul de mesaje. În general, agenții de screening, care blochează transmiterea transparentă a unui flux de mesaje, pot îndeplini următoarele funcții:

identificarea și autentificarea utilizatorilor;

autentificarea datelor transmise;

restricționarea accesului la resursele rețelei interne;

restricționarea accesului la resursele rețelei externe;

filtrarea și transformarea fluxului de mesaje, de exemplu, scanarea dinamică a virușilor și criptarea transparentă a informațiilor;

traducere de adrese de rețea internă pentru pachetele de mesaje trimise;

înregistrarea evenimentelor, răspunsul la evenimentele specificate, precum și analiza informațiilor înregistrate și generarea de rapoarte;

stocarea în cache a datelor solicitate de la o rețea externă.

Pentru un grad ridicat de securitate este necesară identificarea și autentificarea utilizatorilor nu doar atunci când accesează dintr-o rețea externă la una internă, ci și invers. Parola nu trebuie trimisă către formă deschisă prin comunicări publice. Acest lucru va împiedica accesul neautorizat prin interceptarea pachetelor de rețea, ceea ce este posibil, de exemplu, în cazul serviciilor standard precum Telnet. Metoda optimă de autentificare este utilizarea parolelor unice. De asemenea, este convenabil și fiabil să utilizați certificate digitale emise de autorități de încredere, de exemplu, un centru de distribuție a cheilor. Majoritatea programelor middleware sunt proiectate astfel încât utilizatorul să fie autentificat doar la începutul sesiunii de firewall. După aceasta, nu este necesară nicio autentificare suplimentară de la acesta pentru o perioadă de timp determinată de administrator. Programele intermediare pot verifica autenticitatea datelor primite și transmise. Acest lucru este relevant nu numai pentru autentificarea mesajelor electronice, ci și pentru migrarea programelor (Java, ActiveXControls), în legătură cu care se poate efectua falsificare. Verificarea autenticității mesajelor și programelor constă în monitorizarea acestora semnături digitale. Certificatele digitale pot fi, de asemenea, folosite pentru aceasta. Identificarea și autentificarea utilizatorilor la accesarea firewall-ului vă permite să limitați accesul acestora la resursele din rețeaua internă sau externă. Metodele de delimitare la resursele interne ale rețelei nu sunt diferite de metodele de delimitare suportate la nivelul sistemului de operare. Când restricționați accesul La Pentru resursele de rețea externe, se utilizează cel mai des una dintre următoarele abordări:

permite accesul numai la adresele specificate din rețeaua externă;

filtrarea cererilor pe baza listelor actualizate de adrese nevalide și blocarea căutărilor de resurse de informații folosind cuvinte cheie nedorite;

acumularea și actualizarea de către administratorul autorizate resurse informaționale rețea externă în memorie pe disc firewall și blocând complet accesul la rețeaua externă.

Filtrarea și transformarea fluxului de mesaje este efectuată de broker pe baza unui set specificat de reguli. Aici este necesar să se facă distincția între două tipuri de programe intermediare:

agenți de screening concentrați pe analiza fluxului de mesaje pentru anumite tipuri de servicii, de exemplu, FTP, HTTP, Telnet;

agenți universali de screening care procesează întregul flux de mesaje, de exemplu, agenți concentrați pe căutarea și neutralizarea virușilor informatici sau criptarea transparentă a datelor. Intermediarul software analizează pachetele de date care ajung la acesta și, dacă vreun obiect nu îndeplinește criteriile specificate, intermediarul fie blochează progresul său ulterioară, fie efectuează transformări adecvate, de exemplu, neutralizarea virușilor informatici detectați. Când se analizează conținutul pachetelor, este important ca agentul de screening să poată dezambala automat arhivele de fișiere care trec.

Firewall-urile cu intermediari vă permit, de asemenea, să organizați rețele virtuale protejate (VirtualPrivateNetwork-VPN), de exemplu, pentru a combina în siguranță mai multe rețele locale conectate la Internet într-o singură rețea virtuală. VPN-urile asigură o conexiune transparentă a rețelelor locale pentru utilizatori, menținând secretul și integritatea informațiilor transmise prin criptarea dinamică a acestora. Atunci când sunt transmise prin Internet, este posibilă criptarea nu numai a datelor utilizatorului, ci și a informațiilor de serviciu - adrese finale de rețea, numere de porturi etc. Programele intermediare pot îndeplini, de asemenea, o funcție atât de importantă precum traducerea adreselor rețelei interne. Această funcție este implementată în raport cu toate pachetele care călătoresc din rețeaua internă către cea externă. Pentru aceste pachete, brokerul rezolvă automat adresele IP ale computerelor care trimit într-o singură adresă IP „de încredere” asociată cu firewall-ul de la care sunt redirecționate toate pachetele de ieșire. Ca urmare, toate pachetele care provin din rețeaua internă sunt trimise de firewall, ceea ce elimină contactul direct între rețeaua internă autorizată și rețeaua externă potențial periculoasă.Adresa IP firewall devine singura adresă IP activă care ajunge în rețeaua externă.

Cu această abordare, topologia rețelei interne este ascunsă utilizatorilor externi, ceea ce complică sarcina accesului neautorizat. Pe lângă creșterea securității, traducerea adreselor vă permite să aveți propriul sistem de adresare în rețea, ceea ce nu este în concordanță cu adresarea într-o rețea externă, de exemplu, pe Internet. Acest lucru rezolvă în mod eficient problema extinderii spațiului de adrese al rețelei interne și deficitul de adrese de rețea externe. Funcțiile importante ale programelor intermediare sunt înregistrarea evenimentelor, răspunsul la evenimentele specificate, precum și analiza informațiilor înregistrate și generarea de rapoarte. Ca răspuns obligatoriu la detectarea încercărilor de a efectua acțiuni neautorizate, trebuie definită notificarea administratorului, adică emiterea de semnale de avertizare. Orice firewall care nu poate trimite semnale de avertizare atunci când este detectat un atac nu este un firewall eficient.

Multe firewall-uri conțin un sistem puternic pentru înregistrarea, colectarea și analiza statisticilor. Contabilitatea poate fi ținută prin adrese de client și server, ID-uri de utilizator, timpii de sesiune, timpii de conectare, cantitatea de date transmise/primite, acțiunile administratorului și ale utilizatorului. Sistemele de contabilitate vă permit să analizați statisticile și să furnizați administratorilor rapoarte detaliate. Prin utilizarea unor protocoale speciale, intermediarii pot efectua notificarea de la distanță a anumitor evenimente în timp real. Cu ajutorul intermediarilor speciali, este acceptată și stocarea în cache a datelor solicitate de la o rețea externă. Atunci când utilizatorii rețelei interne accesează resursele de informații ale rețelei externe, toate informațiile sunt acumulate pe spațiul de hard disk al firewall-ului, numit în acest caz server proxy. Prin urmare, dacă la următoarea solicitare informațiile necesare ajung pe serverul proxy, intermediarul le furnizează fără a accesa rețeaua externă, ceea ce accelerează semnificativ accesul. Administratorul ar trebui să se ocupe doar de actualizarea periodică a conținutului serverului proxy.

Funcția de cache poate fi utilizată cu succes pentru a limita accesul la resursele de informații dintr-o rețea externă. În acest caz, toate resursele de informații autorizate ale rețelei externe sunt acumulate și actualizate de către administrator pe serverul proxy. Utilizatorilor rețelei interne li se permite accesul numai la resursele de informații ale serverului proxy, iar accesul direct la resursele rețelei externe este interzis. Agenții de screening sunt mult mai fiabili decât filtrele convenționale și oferă un grad mai mare de protecție. Cu toate acestea, ele reduc performanța schimbului de date între rețelele interne și externe și nu au gradul de transparență pentru aplicații și utilizatori finali care este tipic pentru filtrele simple.

Caracteristici de firewall la diferite niveluri ale modelului OSI

Firewall-urile suportă securitatea interfeței la diferite niveluri ale modelului OSI. În același timp, funcțiile de protecție îndeplinite la diferite niveluri ale modelului de referință diferă semnificativ unele de altele. Prin urmare, este convenabil să prezentați un firewall complex ca un set de ecrane indivizibile, fiecare dintre ele concentrat pe un nivel separat al modelului OSI. Cel mai frecvent, Screen operează la nivelurile de rețea, sesiune și aplicație ale modelului de referință. În consecință, există firewall-uri indivizibile (Fig. A.3) precum un router de ecranare, un transport de ecranare (gateway la nivel de sesiune) și un gateway de ecranare (gateway la nivel de aplicație).

Având în vedere că protocoalele utilizate în rețele (TCP/IP, SPX/IPX) nu corespund unic modelului OSI, ecranele tipurilor enumerate, atunci când își îndeplinesc funcțiile, pot acoperi și niveluri adiacente modelului de referință. De exemplu, un ecran de aplicație poate cripta automat mesajele pe măsură ce sunt transmise către o rețea externă, precum și decriptează automat datele primite securizate din punct de vedere criptografic. În acest caz, un astfel de ecran funcționează nu numai la nivelul aplicației modelului OSI, ci și la nivelul prezentării. Gateway-ul de nivel de sesiune, în funcționarea sa, acoperă straturile de transport și de rețea ale modelului OSI. Când analizează pachetele de mesaje, un router de ecranare verifică anteturile acestora nu numai la nivel de rețea, ci și la nivel de transport.

Fiecare tip de firewall are propriile sale avantaje și dezavantaje. Multe dintre firewall-urile utilizate sunt fie gateway-uri pentru aplicații, fie rutere firewall și nu acceptă securitatea completă a rețelei de internet. Protecția fiabilă este asigurată numai de firewall-uri complexe, fiecare dintre acestea combinând un router de ecranare, un gateway la nivel de sesiune și un gateway de aplicație.

Orez. A.3. Tipuri de firewall-uri care funcționează la niveluri individuale ale modelului OSI

În absența unei filtre flexibile a accesului la Internet, site-urile inutile și periculoase vizitate zilnic de angajați reprezintă aproape jumătate din traficul total.

Liderii în lista resurselor nedorite sunt social media, portaluri care postează conținut obscen, servere de jocuri online, precum și site-uri care generează așa-numitul trafic „greu” și invită vizitatorii să descarce și să vizualizeze videoclipuri și bannere flash.

Potențialele amenințări care apar ca urmare a vizitării angajaților diferitelor site-uri care nu au legătură cu munca lor, pe lângă utilizarea necorespunzătoare a timpului de lucru, pot arăta astfel:

• încărcare excesivă în rețea cauzată de descărcarea necontrolată a fișierelor mari de pe Internet de către angajați. În cazul în care vorbim despre o conexiune permanentă sau dedicată cu o viteză fixă ​​a canalului de la un furnizor, vizualizarea sau descărcarea de fișiere video de către utilizatori va afecta negativ distribuția resurselor de rețea și încărcarea canalului de Internet în ansamblu, precum și ca cost al traficului nedirecționat;
• utilizarea irațională a resurselor rețelei și a timpului de lucru ca urmare a activităților fanilor de jocuri online cu chat-uri video sau vocale;
• conexiuni la distanță necontrolate ale angajaților la serverele funcționale ale rețelelor corporative prin conexiuni VPN sau utilități, asociate cu riscul de infectare a rețelei locale cu viruși potențial localizați pe computerul de la distanță;
• reducerea nivelului de securitate al rețelei corporative.

Pentru a asigura securitatea și integritatea afacerii, blocarea canalelor de posibile scurgeri de informații și creșterea productivității angajaților, este necesar să se controleze fluxul de trafic de Internet care intră în rețeaua locală prin filtrarea cererilor de Internet. Prin interzicerea accesului la anumite resurse prin setarea filtrelor, puteți rezolva problemele de reducere a costurilor pentru resursele de internet nedirecționate, precum și reducerea semnificativă a riscului de infectare a resurselor interne ale rețelei corporative.

Utilizarea filtrării în firewall-urile NetDefend D-Link este discutată în secțiunea „Funcții IDP, WCF, AV” („Web Content Filtering (WCF)”).

VLAN-uri

VLAN (Virtual Local Area Network). Se apelează o rețea locală virtuală grup logic dispozitive care au capacitatea de a comunica între ele direct la nivelul conexiunii de date, deși pot fi conectate fizic la diferite comutatoare de rețea. Dimpotrivă, traficul de la dispozitivele situate în diferite VLAN-uri este complet izolat de alte noduri de rețea la nivel de legătură de date, chiar dacă acestea sunt conectate la același switch. Aceasta înseamnă că cadrele nu pot fi transmise între diferite rețele virtuale pe baza adresei MAC, indiferent de tipul adresei - unică, multicast sau broadcast.

VLAN-urile au următoarele avantaje:

• flexibilitatea implementării – VLAN-urile sunt mod eficient gruparea utilizatorilor rețelei în grupuri de lucru virtuale, în ciuda locației lor fizice în rețea;
• utilizarea VLAN oferă posibilitatea de a controla mesajele difuzate, ceea ce mărește lățimea de bandă disponibilă pentru utilizator;
• utilizarea VLAN vă permite să creșteți securitatea rețelei prin definirea, folosind filtre configurate pe un switch sau router, a politicii de interacțiune între utilizatorii din diferite rețele virtuale;

În NetDefendOS, un VLAN poate suporta una sau mai multe interfețe VLAN care sunt asociate cu o interfață fizică specifică. Firewall-urile NetDefend tratează interfețele VLAN ca interfețe logice și pot accesa alte interfețe NetDefendOS folosind seturi de reguli și tabele de rutare. VLAN-urile configurate în firewall-urile din seria DFL-xxx funcționează la nivelul L3.

VLAN este utilizat în mai multe cazuri. O aplicație comună este atunci când o interfață Ethernet este expusă ca interfețe multiple. Aceasta înseamnă că numărul de porturi Ethernet fizice de pe firewall-urile NetDefend nu este limitat de numărul de conexiuni de rețea externe.

VLAN-urile sunt, de asemenea, folosite pentru a grupa utilizatori individuali, astfel încât traficul lor să fie complet separat de alte VLAN-uri. Sub NetDefendOS, traficul poate trece între diferite VLAN-uri și poate fi filtrat folosind politicile de securitate prevăzute de regulile sistemului NetDefendOS.

Configurația VLAN a unui sistem NetDefendOS include o combinație de trunk-uri VLAN de la firewall-uri NetDefend la switch-uri ale căror interfețe sunt configurate ca VLAN-uri bazate pe porturi. Orice interfață firewall fizică poate permite atât traficul VLAN pentru una sau mai multe VLAN-uri, cât și traficul non-VLAN să treacă simultan.

NetDefendOS acceptă pe deplin standardul IEEE 802.1Q pentru VLAN-uri, care funcționează prin adăugarea unui ID VLAN la antetul cadrului Ethernet. ID-ul VLAN este un număr de la 0 la 4095 utilizat pentru a identifica VLAN-ul căruia îi aparține fiecare cadru. Folosind acest mecanism, cadrele Ethernet pot aparține diferitelor rețele locale virtuale și pot partaja în continuare o interfață fizică. În NetDefendOS, unei interfețe fizice i se poate atribui un ID VLAN unic și același ID VLAN poate fi atribuit altor interfețe fizice, de ex. la fel rețea virtuală vă permite să combinați computerele utilizator conectate la diferite interfețe fizice (în Fig. 6.1 - VLAN1 și VLAN2).

Orez. 6.1.

Una sau mai multe VLAN-uri sunt configurate pe interfața fizică a paravanului de protecție NetDefend și se conectează direct la switch. Această conexiune funcționează ca un canal VLAN (trunk). Switch-ul trebuie să accepte tipul de VLAN-uri bazate pe porturi. Portul de comutare care se conectează la firewall-ul trebuie configurat să accepte ID-uri VLAN, care vor fi transmise prin trunchiuri VLAN.

La fel ca într-o rețea locală cu fir, este posibil să utilizați VLAN-uri, la fel în retea fara fir Există mecanisme pentru a distinge clienții wireless.

Rețele private virtuale (VPN)

Internetul este din ce în ce mai folosit ca mijloc de comunicare între computere, deoarece oferă o comunicare eficientă și ieftină. Cu toate acestea, Internetul este o rețea publică și pentru a asigura o comunicare sigură prin intermediul acestuia este nevoie de un mecanism care să satisfacă cel puțin următoarele sarcini:

• confidențialitatea informațiilor;
• integritatea datelor;
• disponibilitatea informațiilor;

Aceste cerințe sunt îndeplinite printr-un mecanism numit VPN(Virtual Private Network - virtual private network) este un nume generalizat pentru tehnologiile care permit una sau mai multe conexiuni de retea(rețea logică) printr-o altă rețea (de exemplu, Internet) folosind instrumente de criptare (criptare, autentificare, infrastructură cu chei publice, mijloace de protecție împotriva reluărilor și modificărilor mesajelor transmise prin rețeaua logică).

Crearea unui VPN nu necesită investiții suplimentare și vă permite să nu mai utilizați linii dedicate. În funcție de protocoalele utilizate și de scop, un VPN poate oferi conexiuni trei tipuri: de la gazdă la gazdă, de la gazdă la rețea și de la rețea la rețea.

Pentru claritate, să ne imaginăm următorul exemplu: o întreprindere are mai multe sucursale îndepărtate geografic și angajați „mobili” care lucrează acasă sau pe drum. Este necesar să se unească toți angajații întreprinderii într-o singură rețea. Cel mai simplu mod este să instalați modemuri în fiecare ramură și să organizați comunicațiile după cum este necesar. Această soluție, cu toate acestea, nu este întotdeauna convenabilă și profitabilă - uneori aveți nevoie de comunicare constantă și de o mare debitului. Pentru a face acest lucru, va trebui fie să așezați o linie dedicată între ramuri, fie să le închiriați. Ambele sunt destul de scumpe. Și aici, ca alternativă, atunci când construiți o singură rețea securizată, puteți utiliza conexiuni VPN ale tuturor filialelor companiei prin Internet și puteți configura instrumente VPN pe gazdele rețelei.

Orez. 6.5.

În acest caz, multe probleme sunt rezolvate - sucursalele pot fi localizate oriunde în lume.

Pericolul aici este că, în primul rând, o rețea deschisă este deschisă atacurilor atacatorilor din întreaga lume. În al doilea rând, toate datele sunt transmise prin Internet în text clar, iar atacatorii, după ce au spart rețeaua, vor avea toate informațiile transmise prin rețea. Și în al treilea rând, datele nu pot fi doar interceptate, ci și înlocuite în timpul transmiterii prin rețea. Un atacator ar putea, de exemplu, să încalce integritatea bazelor de date acționând în numele clienților uneia dintre filialele de încredere.

Pentru a preveni acest lucru, soluțiile VPN folosesc caracteristici precum criptarea datelor pentru a asigura integritatea și confidențialitatea, autentificarea și autorizarea pentru a verifica drepturile utilizatorului și a permite accesul la rețeaua privată virtuală.

O conexiune VPN constă întotdeauna într-o legătură punct la punct, cunoscută și sub numele de tunel. Tunelul este creat într-o rețea neprotejată, care este cel mai adesea internetul.

Tunnelarea sau încapsulare este o metodă de transmitere Informatii utile printr-o rețea intermediară. Aceste informații pot fi cadre (sau pachete) ale altui protocol. Cu încapsulare, cadrul nu este transmis așa cum a fost generat de gazda care trimite, ci este prevăzut cu un antet suplimentar care conține informații de rutare care permite pachetelor încapsulate să treacă prin rețeaua intermediară (Internet). La capătul tunelului, cadrele sunt decapsulate și transmise destinatarului. De obicei, un tunel este creat de două dispozitive de margine plasate la punctele de intrare într-o rețea publică. Unul dintre avantajele clare ale tunelului este că această tehnologie vă permite să criptați întregul pachet sursă, inclusiv antetul, care poate conține date care conțin informații pe care atacatorii le folosesc pentru a pirata rețeaua (de exemplu, adrese IP, numărul de subrețele etc. ).

Deși un tunel VPN este stabilit între două puncte, fiecare nod poate stabili tuneluri suplimentare cu alte noduri. De exemplu, atunci când trei stații la distanță trebuie să contacteze același birou, trei tuneluri VPN separate vor fi create pentru acel birou. Pentru toate tunelurile, nodul din partea biroului poate fi același. Acest lucru este posibil deoarece un nod poate cripta și decripta datele în numele întregii rețele, așa cum se arată în figură:

Utilizatorul stabilește o conexiune la gateway-ul VPN, după care utilizatorul are acces la rețeaua internă.

În interiorul unei rețele private, criptarea în sine nu are loc. Motivul este că această parte a rețelei este considerată sigură și sub control direct, spre deosebire de Internet. Acest lucru este valabil și atunci când conectați birouri folosind gateway-uri VPN. Acest lucru asigură că numai informațiile transmise pe un canal nesecurizat între birouri sunt criptate.

Există multe soluții diferite pentru construirea de rețele private virtuale. Cele mai cunoscute și utilizate pe scară largă protocoale sunt:

• PPTP(Point-to-Point Tunneling Protocol) - acest protocol a devenit destul de popular datorită includerii sale în sistemele de operare Microsoft.
• L2TP(Layer-2 Tunneling Protocol) – combină protocolul L2F (Layer 2 Forwarding) și protocolul PPTP. Utilizat de obicei împreună cu IPSec.
• IPSec(Internet Protocol Security) este un standard oficial de internet dezvoltat de comunitatea IETF (Internet Engineering Task Force).

Protocoalele enumerate sunt acceptate de dispozitivele D-Link.

Protocolul PPTP este destinat în primul rând rețelelor private virtuale bazate pe conexiuni dial-up. Protocolul vă permite să vă organizați acces de la distanță, permițând utilizatorilor să stabilească conexiuni dial-up cu furnizorii de Internet și să creeze un tunel securizat către rețelele lor corporative. Spre deosebire de IPSec, PPTP nu a fost conceput inițial pentru a oferi tuneluri între rețele locale. PPTP extinde capacitățile PPP, un protocol de legătură de date care a fost conceput inițial pentru a încapsula date și a le furniza prin conexiuni punct la punct.

Protocolul PPTP vă permite să creați canale securizate pentru schimbul de date prin diferite protocoale - IP, IPX, NetBEUI etc. Datele din aceste protocoale sunt împachetate în cadre PPP și încapsulate folosind protocolul PPTP în pachete de protocol IP. Acestea sunt apoi transferate utilizând IP în formă criptată prin orice rețea TCP/IP. Nodul receptor extrage cadre PPP din pachetele IP și apoi le procesează într-un mod standard, adică extrage un pachet IP, IPX sau NetBEUI dintr-un cadru PPP și îl trimite prin rețeaua locală. Astfel, protocolul PPTP creează o conexiune punct la punct în rețea și transmite date prin canalul securizat creat. Principalul avantaj al încapsulării protocoalelor precum PPTP este natura lor multiprotocoală. Acestea. Protecția datelor la nivelul de legătură de date este transparentă pentru protocoalele de nivel de rețea și aplicație. Prin urmare, în cadrul rețelei, atât protocolul IP (ca și în cazul VPN bazat pe IPSec) cât și orice alt protocol pot fi folosite ca transport.

În prezent, datorită ușurinței implementării, protocolul PPTP este utilizat pe scară largă atât pentru obținerea unui acces sigur și sigur la rețeaua corporativă, cât și pentru accesarea rețelelor furnizorilor de internet, atunci când clientul trebuie să stabilească o conexiune PPTP cu furnizorul de internet pentru a obține acces. la Internet.

Metoda de criptare utilizată în PPTP este specificată la nivel PPP. De obicei, clientul PPP este calculator desktop cu sistemul de operare Microsoft, iar protocolul de criptare este Microsoft Point-to-Point Encryption (MPPE). Acest protocol se bazează pe standardul RSA RC4 și acceptă criptarea pe 40 sau 128 de biți. Pentru multe aplicații de acest nivel de criptare, utilizați a acestui algoritm destul de suficient, deși este considerat mai puțin sigur decât o serie de alți algoritmi de criptare oferiți de IPSec, în special standardul de criptare triplă a datelor pe 168 de biți (3DES).

Cum se stabilește o conexiune PPTP?

PPTP încapsulează pachete IP pentru transmisie printr-o rețea IP. Clienții PPTP creează o conexiune de control a tunelului care menține canalul în funcțiune. Acest proces se realizează la nivelul de transport al modelului OSI. După ce tunelul este creat, computerul client și serverul încep să facă schimb de pachete de servicii.

Pe lângă conexiunea de control PPTP, este creată o conexiune pentru a transmite date prin tunel. Încapsularea datelor înainte de a le trimite în tunel implică doi pași. Mai întâi este creat partea de informare cadru PPP. Datele circulă de sus în jos, de la stratul de aplicație OSI la stratul de legătură de date. Datele primite sunt apoi trimise în modelul OSI și încapsulate de protocoale de nivel superior.

Datele din stratul de legătură ajung la stratul de transport. Cu toate acestea, informațiile nu pot fi trimise la destinație, deoarece stratul de legătură de date OSI este responsabil pentru acest lucru. Prin urmare, PPTP criptează câmpul de sarcină utilă al pachetului și preia funcțiile de al doilea strat care aparțin de obicei PPP, adică adăugând un antet PPP și un trailer la pachetul PPTP. Aceasta completează crearea cadrului stratului de legătură. Apoi, PPTP încapsulează cadrul PPP într-un pachet Generic Routing Encapsulation (GRE), care aparține stratului de rețea. GRE încapsulează protocoale de nivel de rețea, cum ar fi IP, IPX, pentru a permite transmisia acestora prin rețele IP. Cu toate acestea, utilizarea numai a protocolului GRE nu va asigura stabilirea sesiunii și securitatea datelor. Aceasta folosește capacitatea PPTP de a crea o conexiune de control al tunelului. Utilizarea GRE ca metodă de încapsulare limitează domeniul de aplicare al PPTP numai la rețelele IP.

După ce cadrul PPP a fost încapsulat într-un cadru cu antet GRE, încapsularea este realizată într-un cadru cu antet IP. Antetul IP conține adresele sursă și destinație ale pachetului. În cele din urmă, PPTP adaugă un antet PPP și un final.

În fig. Figura 6.7 prezintă structura datelor pentru redirecționarea printr-un tunel PPTP:

Stabilirea unui VPN bazat pe PPTP nu necesită cheltuieli mari sau setări complexe: este suficient să instalați un server PPTP în biroul central (soluții PPTP există atât pentru platformele Windows, cât și pentru Linux) și să efectuați setările necesare pe computerele client. Dacă trebuie să combinați mai multe ramuri, atunci, în loc să configurați PPTP pe toate stațiile client, este mai bine să utilizați un router de internet sau un firewall cu suport PPTP: setările sunt făcute numai pe routerul de margine (firewall) conectat la Internet, totul este absolut transparent pentru utilizatori. Exemple de astfel de dispozitive sunt routerele de internet multifuncționale din seria DIR/DSR și firewall-urile din seria DFL.

tuneluri GRE

Generic Routing Encapsulation (GRE) este un protocol de încapsulare a pachetelor de rețea care oferă tunelarea traficului prin rețele fără criptare. Exemple de utilizare a GRE:

• transmiterea traficului (inclusiv difuzarea) prin echipamente care nu suportă un protocol anume;
• tunelarea traficului IPv6 printr-o rețea IPv4;
• transfer de date prin rețele publice pentru a implementa o conexiune VPN sigură.

Orez. 6.8.

Între două routere A și B (Fig. 6.8) există mai multe routere, tunelul GRE vă permite să asigurați o conexiune între rețelele locale 192.168.1.0/24 și 192.168.3.0/24 ca și cum routerele A și B ar fi conectate direct.

Protocol L2TP a apărut ca urmare a combinării protocoalelor PPTP și L2F. Principalul avantaj al protocolului L2TP este că vă permite să creați un tunel nu numai în rețelele IP, ci și în rețelele ATM, X.25 și Frame Relay. L2TP folosește UDP ca transport și folosește același format de mesaj atât pentru controlul tunelului, cât și pentru transmiterea datelor.

Ca și în cazul PPTP, L2TP începe asamblarea unui pachet pentru transmisie în tunel, adăugând mai întâi antetul PPP la câmpul de date de informații PPP, apoi antetul L2TP. Pachetul rezultat este încapsulat de UDP. În funcție de tipul de politică de securitate IPSec selectată, L2TP poate cripta mesajele UDP și poate adăuga un antet și un final de Encapsulating Security Payload (ESP), precum și o sfârșit de autentificare IPSec (consultați secțiunea „L2TP peste IPSec”). Apoi este încapsulat în IP. Se adaugă un antet IP care conține adresele expeditorului și destinatarului. În cele din urmă, L2TP realizează o a doua încapsulare PPP pentru a pregăti datele pentru transmisie. În fig. Figura 6.9 prezintă structura datelor pentru redirecționarea printr-un tunel L2TP.

Calculatorul de primire primește datele, procesează antetul PPP și terminarea și îndepărtează antetul IP. Autentificarea IPSec autentifică câmpul de informații IP, iar antetul IPSec ESP ajută la decriptarea pachetului.

Computerul procesează apoi antetul UDP și folosește antetul L2TP pentru a identifica tunelul. Pachetul PPP conține acum doar date de încărcare utilă care sunt procesate sau redirecționate către destinatarul specificat.

IPsec(Prescurtare pentru IP Security) - un set de protocoale pentru a asigura protecția datelor transmise prin protocolul Internet IP, permițând autentificarea și/sau criptarea pachetelor IP. IPsec include, de asemenea, protocoale pentru schimbul securizat de chei prin Internet.

Securitatea IPSec se realizează prin protocoale suplimentare care adaugă propriile anteturi la pachetul IP - încapsulare. Deoarece IPSec este un standard de internet și există RFC-uri pentru acesta:

• RFC 2401 (Arhitectura de securitate pentru protocolul Internet) – arhitectura de securitate pentru protocolul IP.
• RFC 2402 (antet de autentificare IP) – antet de autentificare IP.
• RFC 2403 (Utilizarea HMAC-MD5-96 în ESP și AH) - utilizarea algoritmului de hashing MD-5 pentru a crea antetul de autentificare.
• RFC 2404 (Utilizarea HMAC-SHA-1-96 în ESP și AH) – utilizarea algoritmului de hashing SHA-1 pentru a crea antetul de autentificare.
• RFC 2405 (Algoritmul de criptare ESP DES-CBC cu explicit IV) - utilizarea algoritmului de criptare DES.
• RFC 2406 (IP Encapsulating Security Payload (ESP)) – criptarea datelor.
• RFC 2407 (The Internet IP Security Domain of Interpretation for ISAKMP) este domeniul de aplicare al protocolului de gestionare a cheilor.
• RFC 2408 ( securitatea internetului Protocolul de asociere și management al cheilor (ISAKMP) – gestionarea cheilor și a autentificatoarelor pentru conexiuni securizate.
• RFC 2409 (The Internet Key Exchange (IKE)) – schimb de chei.
• RFC 2410 (Algoritmul de criptare NULL și utilizarea sa cu IPsec) – algoritmul de criptare nul și utilizarea acestuia.
• RFC 2411 (IP Security Document Roadmap) este o dezvoltare ulterioară a standardului.
• RFC 2412 (Protocolul de determinare a cheii OAKLEY) – verificarea autenticității unei chei.

IPsec este o parte integrantă a protocolului Internet IPv6 și o extensie opțională a versiunii IPv4 a protocolului Internet.

Mecanismul IPSec rezolvă următoarele probleme:

• autentificarea utilizatorilor sau computerelor la inițializarea unui canal securizat;
• criptarea și autentificarea datelor transmise între punctele finale ale canalelor securizate;
• furnizarea automată a punctelor finale de canal cu chei secrete necesare pentru funcționarea protocoalelor de autentificare și criptare a datelor.

Componente IPSec

Protocol AH.(Authentication Header) – protocol de identificare a antetului. Asigură integritatea prin verificarea faptului că niciun biți din porțiunea protejată a pachetului nu au fost modificați în timpul transmisiei. Dar utilizarea AH poate cauza probleme, de exemplu, atunci când un pachet trece printr-un dispozitiv NAT. NAT modifică adresa IP a pachetului pentru a permite accesul la Internet de la o adresă locală privată. Deoarece În acest caz, pachetul se va schimba, apoi suma de control AH va deveni incorectă (pentru a elimina această problemă, a fost dezvoltat protocolul NAT-Traversal (NAT-T), care oferă transmisie ESP prin UDP și utilizează portul UDP 4500 în funcționarea sa) . De asemenea, merită remarcat faptul că AH a fost conceput doar pentru integritate. Nu garantează confidențialitatea prin criptarea conținutului pachetului.

Protocol ESP(Encapsulation Security Payload) oferă nu numai integritatea și autentificarea datelor transmise, ci și criptarea datelor, precum și protecție împotriva redării false a pachetelor.

Protocolul ESP este un protocol de securitate încapsulat care oferă atât integritate, cât și confidențialitate. În modul de transport, antetul ESP este situat între antetul IP original și antetul TCP sau UDP. În modul tunel, antetul ESP este plasat între noul antet IP și pachetul IP original complet criptat.

Deoarece Ambele protocoale - AH și ESP - adaugă propriile antete IP, fiecare dintre ele având propriul număr de protocol (ID), care poate fi folosit pentru a determina ce urmează antetului IP. Fiecare protocol, conform IANA (Internet Assigned Numbers Authority - organizația responsabilă pentru spațiul de adrese de Internet), are propriul său număr (ID). De exemplu, pentru TCP acest număr este 6, iar pentru UDP este 17. Prin urmare, atunci când lucrați printr-un firewall, este foarte important să configurați filtrele astfel încât să permită trecerea pachetelor cu ID AH și/sau protocol ESP. prin.

Pentru a indica faptul că AH este prezent în antetul IP, ID-ul protocolului este setat la 51, iar pentru ESP numărul este 50.

ATENŢIE: ID-ul protocolului nu este același cu numărul portului.

Protocol IKE(Internet Key Exchange) este un protocol IPsec standard utilizat pentru a asigura interacțiuni sigure în rețelele private virtuale. Scopul IKE este de a negocia și de a livra în siguranță materiale identificate unei asociații de securitate (SA).

S.A. este termenul IPSec pentru conexiune. Un SA stabilit (un canal securizat numit Asociație de Securitate sau SA) include o cheie secretă partajată și un set de algoritmi criptografici.

Protocolul IKE îndeplinește trei sarcini principale:

• oferă un mijloc de autentificare între două puncte finale VPN;
• stabilește noi conexiuni IPSec (creează o pereche SA);
• gestionează conexiunile existente.

IKE folosește numărul portului UDP 500. Când utilizați caracteristica NAT Traversal, așa cum sa menționat mai devreme, protocolul IKE folosește numărul portului UDP 4500.

Schimbul de date în IKE are loc în 2 faze. În prima fază se înființează IKE SA. În acest caz, punctele finale ale canalului sunt autentificate și sunt selectați parametrii de protecție a datelor, cum ar fi un algoritm de criptare, cheia de sesiune etc.

În a doua fază, IKE SA este folosit pentru a negocia un protocol (de obicei IPSec).

Când este configurat un tunel VPN, este creată o pereche SA pentru fiecare protocol utilizat. SA sunt create în perechi, deoarece Fiecare SA este o conexiune unidirecțională, iar datele trebuie transferate în două direcții. Perechile SA rezultate sunt stocate pe fiecare nod.

Deoarece fiecare nod este capabil să stabilească mai multe tuneluri cu alte noduri, fiecare SA are un număr unic pentru a identifica nodului căruia îi aparține. Acest număr este numit SPI(Indexul parametrilor de securitate) sau indicele parametrilor de securitate.

SA este stocat într-o bază de date (DB) TRIST.(Baza de date Asociația de Securitate).

Fiecare nod IPSec are, de asemenea, un al doilea DB - SPD(Security Policy Database) – baza de date a politicilor de securitate. Conține politica de site configurată. Majoritatea soluțiilor VPN permit crearea de politici multiple cu combinații de algoritmi adecvați pentru fiecare gazdă la care trebuie stabilită o conexiune.

Flexibilitatea IPSec constă în faptul că pentru fiecare sarcină există mai multe modalități de a o rezolva, iar metodele alese pentru o sarcină sunt de obicei independente de metodele de implementare a altor sarcini. În același timp, grupul de lucru IETF a definit un set de bază de funcții și algoritmi suportați, care ar trebui să fie implementați uniform în toate produsele care acceptă IPSec. Mecanismele AH și ESP pot fi utilizate cu o varietate de scheme de autentificare și criptare, dintre care unele sunt obligatorii. De exemplu, IPSec specifică faptul că pachetele sunt autentificate folosind fie o funcție MD5 unidirecțională, fie o funcție SHA-1 unidirecțională, iar criptarea este efectuată folosind algoritmul DES. Producătorii de produse care rulează IPSec pot adăuga alți algoritmi de autentificare și criptare. De exemplu, unele produse acceptă algoritmi de criptare precum 3DES, Blowfish, Cast, RC5 etc.

Pentru a cripta datele în IPSec, poate fi utilizat orice algoritm de criptare simetrică care utilizează chei secrete.

Protocoalele de protecție a fluxului transmis (AH și ESP) pot funcționa în două moduri: mod de transport si in modul de tunel. Când funcționează în modul de transport, IPsec funcționează numai cu informații despre stratul de transport, de exemplu. Numai câmpul de date al pachetului care conține protocoale TCP/UDP este criptat (antetul pachetului IP nu este modificat (nu este criptat)). Modul de transport este folosit de obicei pentru a stabili conexiuni între gazde.

În modul tunel, întregul pachet IP este criptat, inclusiv antetul stratului de rețea. Pentru ca acesta să fie transmis prin rețea, acesta este plasat într-un alt pachet IP. În esență, este un tunel IP securizat. Modul tunel poate fi folosit pentru a conecta computere la distanță la o rețea privată virtuală (schemă de conexiune rețea gazdă) sau pentru a organiza transferul securizat de date prin canale deschise conexiuni (de exemplu, Internet) între gateway-uri pentru agregare părți diferite rețea privată virtuală (diagrama conexiunii de la site la site).

Modurile IPsec nu se exclud reciproc. Pe același nod, unele SA pot folosi modul de transport, în timp ce altele folosesc modul tunel.

În timpul fazei de autentificare, se calculează ICV (Integrity Check Value) a pachetului. Aceasta presupune că ambele noduri cunosc cheia secretă, ceea ce permite destinatarului să calculeze ICV și să o compare cu rezultatul trimis de expeditor. Dacă compararea ICV are succes, expeditorul pachetului este considerat a fi autentificat.

În modul transport AH

• întregul pachet IP, cu excepția unor câmpuri din antetul IP care pot fi modificate în timpul transmisiei. Aceste câmpuri, care sunt setate la 0 pentru calculul ICV, pot fi tipul de serviciu (TOS), steagurile, compensarea fragmentelor, timpul de viață (TTL) și antetul sumei de control;
• toate câmpurile din AH;
• Sarcina utilă a pachetului IP.

AH în modul de transport protejează antetul IP (excluzând câmpurile pentru care sunt permise modificări) și încărcarea utilă în pachetul IP original (Figura 3.39).

În modul tunel, pachetul original este plasat într-un nou pachet IP, iar transmisia datelor se realizează pe baza antetului noului pachet IP.

Pentru modul tunel AH La efectuarea unui calcul, suma de control ICV include următoarele componente:

• toate câmpurile antetului IP exterior, cu excepția unor câmpuri din antetul IP care pot fi modificate în timpul transmisiei. Aceste câmpuri, care sunt setate la 0 pentru calculul ICV, pot fi tipul de serviciu (TOS), steagurile, compensarea fragmentelor, timpul de viață (TTL) și antetul sumei de control;
• toate câmpurile AH;
• pachetul IP original.

După cum puteți vedea în următoarea ilustrație, modul de tunel AH protejează întregul pachet IP original prin utilizarea unui antet exterior suplimentar, pe care modul de transport AH nu îl folosește:

În modul Transport ESP nu autentifică întregul pachet, ci protejează doar sarcina utilă IP. Antetul ESP în modul de transport ESP este adăugat la pachetul IP imediat după antetul IP, iar trailerul ESP (Trailer ESP) este adăugat în consecință după date.

Modul de transport ESP criptează următoarele părți ale pachetului:

• sarcină utilă IP;
• Trailer ESP.

Un algoritm de criptare care utilizează modul Cipher Block Chaining (CBC) are un câmp necriptat între antetul ESP și sarcina utilă. Acest câmp se numește IV (Initialization Vector) pentru calculul CBC care este efectuat pe receptor. Deoarece acest câmp este folosit pentru a începe procesul de decriptare, nu poate fi criptat. Chiar dacă atacatorul are capacitatea de a vizualiza IV-ul, nu există nicio modalitate ca el să decripteze porțiunea criptată a pachetului fără cheia de criptare. Pentru a împiedica atacatorii să schimbe vectorul de inițializare, acesta este protejat de o sumă de control ICV. În acest caz, ICV efectuează următoarele calcule:

• toate câmpurile din antetul ESP;
• sarcină utilă inclusiv text clar IV;
• toate câmpurile din ESP Trailer, cu excepția câmpului de date de autentificare.

Modul tunel ESP încapsulează întregul pachet IP original în noul antet IP, antet ESP și Trailer ESP. Pentru a indica faptul că ESP este prezent în antetul IP, identificatorul de protocol IP este setat la 50, lăsând antetul IP original și sarcina utilă neschimbate. Ca și în modul tunel AH, antetul IP exterior se bazează pe configurația tunelului IPSec. În cazul modului tunel ESP, zona de autentificare a pachetului IP arată unde a fost plasată semnătura pentru a-i certifica integritatea și autenticitatea, iar partea criptată arată că informațiile sunt sigure și confidențiale. Antetul sursă este plasat după antetul ESP. După ce porțiunea criptată este încapsulată într-un nou antet de tunel, care nu este criptat, pachetul IP este transmis. Atunci când este trimis printr-o rețea publică, pachetul este direcționat către adresa IP a gateway-ului rețelei de primire, iar gateway-ul decriptează pachetul și elimină antetul ESP folosind antetul IP original pentru a direcționa apoi pachetul către un computer din rețeaua internă. Modul de tunel ESP criptează următoarele părți ale pachetului:

• pachetul IP original;
• Trailer ESP.
• Pentru modul tunel ESP, ICV se calculează după cum urmează:
• toate câmpurile din antetul ESP;
• pachetul IP original, inclusiv text clar IV;
• toate câmpurile antet ESP, cu excepția câmpului de date de autentificare.

Rezumatul utilizării modurilor IPSec:

• Protocol – ESP (AH).
• Mod – tunel (transport).
• Metoda de schimb de chei este IKE (manual).
• Modul IKE – principal (agresiv).
• Tasta DH – grupul 5 (grupul 2, grupul 1) – numărul grupului pentru selectarea tastelor de sesiune create dinamic, lungimea grupului.
• Autentificare – SHA1 (SHA, MD5).
• Criptare – DES (3DES, Blowfish, AES).

La crearea unei politici, este de obicei posibilă crearea unei liste ordonate de algoritmi și grupuri Diffie-Hellman. Diffie-Hellman (DH)– un protocol de criptare utilizat pentru a stabili cheile secrete partajate pentru IKE, IPSec și PFS (Perfect Forward Secrecy). În acest caz, se va folosi prima poziție care se potrivește pe ambele noduri. Este foarte important ca totul din politica de securitate să permită această aliniere. Dacă totul se potrivește, cu excepția unei părți a politicii, nodurile nu vor putea stabili o conexiune VPN. Când configurați un tunel VPN între diferite sisteme, trebuie să aflați ce algoritmi sunt acceptați de fiecare parte, astfel încât să puteți alege cea mai sigură politică posibilă.

Setări de bază pe care politica de securitate le include:

1. Algoritmi simetrici pentru criptarea/decriptarea datelor.
2. Criptografic sume de control pentru a verifica integritatea datelor.
3. Metoda de identificare a nodurilor. Cele mai comune metode sunt secretele pre-partajate sau certificatele CA.
4. Dacă folosiți modul tunel sau modul de transport.
5. Ce grup Diffie-Hellman să utilizați (grupul DH 1 (768-biți); grupul DH 2 (1024-biți); grupul DH 5 (1536-biți)).
6. Dacă să folosiți AH, ESP sau ambele.
7. Dacă să utilizați PFS.

O limitare a IPSec este că acceptă doar comunicațiile la nivel de protocol IP.

Există două scheme principale de utilizare a IPSec, care diferă prin rolul nodurilor care formează canalul securizat.

În prima schemă, se formează un canal securizat între gazdele finale ale rețelei. În această schemă, protocolul IPSec protejează nodul pe care rulează următoarele:

Orez. 6.13.

În a doua schemă, se stabilește un canal securizat între două gateway-uri de securitate. Aceste gateway-uri primesc date de la gazdele terminale conectate la rețelele situate în spatele gateway-urilor. Gazdele finale în acest caz nu acceptă protocolul IPSec; traficul trimis către rețeaua publică trece prin gateway-ul de securitate, care realizează protecție în numele său.

Pentru gazdele care acceptă IPSec, pot fi utilizate atât modurile de transport, cât și cele de tunel. Gateway-urilor li se permite doar să folosească modul tunel.

Instalare și asistență VPN

După cum am menționat mai sus, instalarea și întreținerea unui tunel VPN este un proces în doi pași. În prima etapă (fază), două noduri convin asupra unei metode de identificare, a unui algoritm de criptare, a unui algoritm hash și a unui grup Diffie-Hellman. De asemenea, se identifică între ei. Toate acestea se pot întâmpla ca urmare a schimbului a trei mesaje necriptate (așa-numitul mod agresiv, Modul agresiv) sau șase mesaje, cu schimbul de informații de identificare criptate (mod standard, Modul principal).

În modul principal, este posibilă coordonarea tuturor parametrilor de configurare ai dispozitivelor expeditor și destinatar, în timp ce în modul agresiv nu există o astfel de posibilitate, iar unii parametri (grup Diffie-Hellman, algoritmi de criptare și autentificare, PFS) trebuie configurați identic în avans pe fiecare dispozitiv. Cu toate acestea, în acest mod, atât numărul de schimburi, cât și numărul de pachete trimise sunt mai mici, rezultând mai puțin timp necesar pentru stabilirea unei sesiuni IPSec.

Presupunând că operațiunea s-a încheiat cu succes, se creează prima fază SA − Faza 1 S.A.(numit si IKE SA) iar procesul trece la a doua fază.

În a doua etapă, datele cheie sunt generate și nodurile convin asupra politicii de utilizat. Acest mod, numit și modul rapid, diferă de prima fază prin faptul că poate fi stabilit doar după prima fază, când toate pachetele din a doua fază sunt criptate. Finalizarea corectă a celei de-a doua faze are ca rezultat apariția Faza 2 SA sau IPSec SA iar în acest moment instalarea tunelului este considerată finalizată.

Mai întâi, un pachet cu o adresă de destinație într-o altă rețea ajunge la nod, iar nodul inițiază prima fază cu nodul responsabil pentru cealaltă rețea. Să presupunem că un tunel între noduri a fost stabilit cu succes și așteaptă pachete. Cu toate acestea, nodurile trebuie să se reidentifice reciproc și să compare politicile după o anumită perioadă de timp. Această perioadă se numește Faza 1 pe viață sau IKE SA de viață.

Nodurile trebuie, de asemenea, să schimbe cheia pentru a cripta datele după o perioadă de timp apelată Durata de viață a fazei a doua sau durata de viață IPSec SA.

Durata de viață a fazei a doua este mai scurtă decât cea a primei faze, deoarece... cheia trebuie schimbată mai des. Trebuie să setați aceiași parametri de viață pentru ambele noduri. Dacă nu faceți acest lucru, atunci este posibil ca tunelul să fie stabilit inițial cu succes, dar după prima durată de viață inconsistentă conexiunea va fi întreruptă. Probleme pot apărea și atunci când durata de viață a primei faze este mai mică decât cea a fazei a doua. Dacă un tunel configurat anterior nu mai funcționează, atunci primul lucru care trebuie verificat este durata de viață pe ambele noduri.

De asemenea, trebuie remarcat faptul că, dacă politica este modificată pe unul dintre noduri, modificările vor intra în vigoare numai data viitoare când va avea loc prima fază. Pentru ca modificările să intre în vigoare imediat, SA pentru acest tunel trebuie eliminat din baza de date SAD. Acest lucru va face ca acordul dintre noduri să fie renegociat cu noi setări de politică de securitate.

Uneori, când se instalează un tunel IPSec între echipamente diferiți producători Apar dificultăți legate de coordonarea parametrilor la stabilirea primei faze. Ar trebui să acordați atenție unui astfel de parametru precum Local ID - acesta este identificator unic punctul final al tunelului (emițător și receptor). Acest lucru este deosebit de important atunci când se creează mai multe tuneluri și se utilizează protocolul NAT Traversal.

Detectarea egalilor morți

În timpul operațiunii VPN, în absența traficului între punctele terminale ale tunelului sau când se modifică datele inițiale ale nodului de la distanță (de exemplu, modificarea unei adrese IP alocate dinamic), poate apărea o situație când tunelul nu mai este în esență. un tunel, devenind, parcă, un tunel fantomă. Pentru a menține pregătirea constantă pentru schimbul de date în tunelul IPSec creat, mecanismul IKE (descris în RFC 3706) vă permite să monitorizați prezența traficului de la un nod la distanță al tunelului și, dacă acesta este absent pentru un timp stabilit, este trimis un mesaj de salut (în firewall Mesajul „DPD-R-U-THERE” este trimis către D-Link. Dacă nu există niciun răspuns la acest mesaj într-un anumit timp, în firewall-urile D-Link specificate de setările „DPD Expire Time”, tunelul este demontat. Firewall-urile D-Link, folosind setările „DPD Keep Time” (Fig. 6.18), încearcă automat să restaureze tunelul.

Protocolul de traversare a NAT

Traficul IPsec poate fi rutat conform acelorași reguli ca și alte protocoale IP, dar din moment ce ruterul nu poate extrage întotdeauna informații specifice protocoalelor stratului de transport, IPsec nu poate trece prin gateway-uri NAT. După cum am menționat mai devreme, pentru a rezolva această problemă, IETF a definit o modalitate de a încapsula ESP în UDP, numită NAT-T (NAT Traversal).

Protocolul NAT Traversal încapsulează traficul IPSec și creează simultan pachete UDP pe care NAT le transmite corect. Pentru a face acest lucru, NAT-T plasează un antet UDP suplimentar înaintea pachetului IPSec, astfel încât acesta să fie tratat ca un pachet UDP obișnuit în întreaga rețea și gazda destinatarului să nu efectueze nicio verificare de integritate. Odată ce pachetul ajunge la destinație, antetul UDP este eliminat și pachetul de date își continuă calea ca pachet IPSec încapsulat. Astfel, folosind mecanismul NAT-T, este posibil să se stabilească comunicarea între clienții IPSec pe rețelele securizate și gazdele publice IPSec prin firewall-uri.

Când configurați firewall-urile D-Link pe dispozitivul destinatar, trebuie remarcate două puncte:

• În câmpurile Rețea la distanță și Punct final la distanță, specificați rețeaua și adresa IP a dispozitivului de trimitere la distanță. Este necesar să se permită traducerea adresei IP a inițiatorului (expeditorului) folosind tehnologia NAT (Figura 3.48).
• Când utilizați chei partajate cu mai multe tuneluri conectate la același firewall la distanță care au fost NAT la aceeași adresă, este important să vă asigurați că ID-ul local este unic pentru fiecare tunel.

ID local poate fi unul dintre:

• Auto– adresa IP a interfeței de trafic de ieșire este utilizată ca identificator local.
• IP– adresa IP a portului WAN al firewall-ului de la distanță
• DNS– adresa DNS
• E-mail- E-mail

IPSec în firewall-urile D-Link

Firewall-urile NetDefend vă permit să creați tuneluri IPSec pe baza cheilor și certificatelor IKE.

Utilizarea cheilor (cheie pre-partajată)

Cu setări minime pentru ca serverul VPN să funcționeze, aveți nevoie de:

• Creați obiecte (în folder Obiecte):
  • adresa IP a punctului final la distanță (de exemplu, IPSec_remote_endpoint) și a rețelei la distanță (de exemplu, IPSec_remote_net);
  • cheie Cheie pre-partajată (Obiecte de autentificare), un obiect Algoritmi IKEși obiect Algoritmi IPSec (obiecte VPN). Implicit în obiectele DFL Algoritmi IKE, Algoritmi IPSec iar algoritmii de criptare și hashing sunt deja specificați, dar puteți modifica sau adăuga algoritmi care pot fi utilizați în schimbul de chei (algoritmi IKE) și criptarea traficului în sine (algoritmi IPSec).
• Crea Tunelul IPSec(în folder Interfețe).
• Creați reguli de autorizare (în folderul Reguli IP) pentru accesul traficului de la tunel la rețeaua internă și retur.

Utilizarea certificatelor

Certificatele X.509 se bazează pe o metodă de criptare cu cheie publică. Fiecare certificat, împreună cu alte informații (perioada de valabilitate, numele proprietarului etc.) conține o cheie publică. Proprietarul salvează cheia secretă într-un fișier separat.

Certificatele sunt semnate de o autoritate de certificare (CA) pentru a verifica autenticitatea certificatului, informațiile conținute în certificat și, în cele din urmă, gazda la distanță. Autenticitatea unei CA este verificată conform certificatului său, care este disponibil publicului.

Certificatele sunt dovada digitală a identității și pot fi utilizate pentru a autentifica utilizatori individuali sau alți utilizatori finali. Pentru a configura un tunel VPN cu autentificare prin certificat, firewall-ul trebuie să aibă propriul său certificat și un certificat de la firewall-ul de la distanță. Aceste certificate pot fi fie autosemnate, fie semnate de o autoritate de certificare (CA).

Când configurați un tunel VPN, firewall-ul trebuie să știe în cine ar trebui să aibă încredere. Când folosiți chei pre-distribuite, totul este simplu. Firewall-ul are încredere în toți cei care au aceeași cheie. Când se utilizează certificate, firewall-ul trebuie să aibă încredere în oricine al cărui certificat este semnat de o anumită CA. Înainte ca certificatul să fie acceptat, se parcurg următorii pași pentru a verifica autenticitatea certificatului:

• este creată o cale de certificare de încredere către CA rădăcină;
• sunt verificate semnăturile tuturor certificatelor din calea de certificare.

De obicei, un tunel VPN este stabilit dacă un certificat gazdă la distanță semnat de o CA este prezent în Certificate rădăcinăîn filă Autentificareîn meniul tunelului VPN creat. Cu toate acestea, în unele cazuri devine necesar să se restricționeze cine poate stabili un tunel VPN chiar și printre gazdele semnate de aceeași CA. O listă de personalități poate fi selectată în câmp Lista de identificare Diferența dintre aceste două moduri este că modul agresiv va transmite cantitate mare informații în mai puține pachete (reducerea timpului de conectare (crearea unui tunel IPSec)), dar nu oferă protecție la autenticitate.

Grupul de chei IKE DH. DH – Diffie-Hellman este un protocol criptografic care permite două părți care comunică printr-o rețea nesigură (cum ar fi Internetul) să genereze o cheie secretă partajată, care va fi utilizată ulterior pentru a cripta datele între aceste părți.

Puterea criptografică a algoritmului este determinată de dimensiunea cheii: 1 (768 biți), 2 (1024 biți) sau 5 (1536 biți). Dimensiunea cheii DH din grupul 1 este de 768 de biți. Dimensiunea cheii DH din grupul 2 este de 1024 de biți. Dimensiunea cheii DH din grupul 5 este de 1536 de biți. Cu cât grupul este mai mare, cu atât algoritmul devine mai rezistent la criptografie și cu atât mai mult mai multe resurse Consumă CPU.

PFS(Perfect Forward Secrecy) – criptare suplimentară în timpul schimbului de chei în a doua fază.

Dacă PFS este activat, se va efectua un nou schimb Diffie-Hellman pentru fiecare fază a doua a negocierii, furnizând noi date cheie. Drept urmare, sistemul este mai rezistent la atacurile criptografice. Dacă o cheie este compromisă, o altă cheie nu poate fi obținută folosind aceleași informații. Acest lucru crește sarcina procesorului și scade performanța generală sisteme.

Traversarea NAT utilizat dacă ambele dispozitive care stabilesc un tunel IPSec operează sub NAT. Opțiuni disponibile:

Dezactivat – firewall-ul nu va trimite „ID-ul furnizorului”.

Activat dacă este acceptat și NAT – dacă unul dintre dispozitivele tunel IPSec operează sub NAT și DFL informează cel de-al doilea dispozitiv despre acest lucru trimițând identificatorul „ID-ul furnizorului”.

Activat dacă este acceptat – utilizați întotdeauna NAT atunci când stabiliți un tunel.

Ține în viață trimite mesaje „ping” dacă un dispozitiv, atunci când trimite date prin tunel, nu primește un răspuns de la al doilea dispozitiv. Opțiuni disponibile:

Dezactivare – Mecanismul de menținere în viață este dezactivat

Auto – Paravanul de protecție va trimite mesaje ping ICMP către adresele IP găsite automat în setările tunelului VPN.

Instrumente de filtrare a traficului

Sarcinile instrumentelor de filtrare a traficului sunt de a controla traficul de rețea (conținutul pachetelor de rețea) și de a bloca (filtra) traficul care nu îndeplinește regulile de securitate specificate. Filtrele de trafic monitorizează și analizează conținutul pachetelor de rețea la nivel de aplicație, dar spre deosebire de firewall-uri, acestea nu îndeplinesc o funcție de intermediar între două noduri pentru a preveni interacțiunea directă a acestora (firewall-uri și servere proxy). Spre deosebire de instrumentele IDS/IPS, filtrele de trafic nu detectează și previn intruziunile și atacurile în rețea.

Instrumentele de filtrare a traficului includ:

• filtre de protocol de rețea;
• filtre de conținut, inclusiv filtre URL;
• filtre de spam;
• filtre de trafic web pentru protecție aplicații web(Securitate web).

Instrumentele de filtrare a traficului specificate sunt încorporate și utilizate în instrumentele de protecție individuală, cum ar fi Firewall, Network Antivirus, Proxy Server, IDS/IPS, UTM, WAF, E-Mail Security, HIPS, cu soluția diverse sarcini sau sunt implementate sub formă de software și hardware separat. În plus, instrumentele de filtrare a traficului sunt utilizate în sistemele de facturare, contabilizarea traficului și tarifare; control, statistici, monitorizare a activității în rețea a utilizatorilor în timp real și a utilizării Internetului etc.

Filtrează după protocoale de rețea permite traficul prin anumite protocoale de rețea și blochează traficul din alte protocoale. Aceste instrumente sunt instalate la marginea rețelei, asigurându-se că doar traficul de rețea necesar trece prin anumite protocoale în rețea și/sau în rețeaua externă, de exemplu. asigura implementarea politicilor de retea.

Filtre de conținut

Filtre de conținut(Monitorizarea și filtrarea conținutului, CMF) blochează accesul la conținutul nedorit de pe Internet. Sunt filtre de trafic web (protocoale http/https).

Traficul web este filtrat după adresele URL ale site-urilor din lista neagră (filtre URL), cuvânt cheie, semnătură sau tip de fișier, în funcție de conținutul site-urilor care utilizează analiza morfologică. Filtrele de conținut sunt instalate în gateway-uri de rețea (firewall-uri, servere proxy etc.) sau pe stațiile de lucru din antivirus (funcția " control parental", pentru protecție împotriva site-urilor de phishing), firewall-uri personale etc. Poate fi folosit ca instrumente software separate.

Filtre de trafic web (WebSecuritate)

Filtre de trafic web (WebSecuritate) folosit pentru a proteja aplicațiile web de diferite tipuri de amenințări care sosesc prin traficul web, inclusiv pătrunderea de cod rău intenționat. Sunt filtre de trafic web (protocoale http/https). Funcțiile de filtrare a traficului web sunt utilizate în instrumente de securitate precum WAF . Pentru a vă proteja împotriva amenințărilor provenite din traficul web, se recomandă utilizarea soluțiilor specializate din clasa Web Security.

Principalele funcții ale instrumentelor de securitate web:

• protejarea traficului web de viruși și programe malware software;
• blocarea accesului la site-uri rău intenționate;
• protecție împotriva atacurilor de tip phishing;
• controlul accesului utilizatorului la diverse resurse web;
• Filtrarea adreselor URL și clasificarea site-urilor web.

După cum am spus de mai multe ori în articolele mele despre Windows Firewall cu Advanced Security, începând cu operarea sisteme Windows Vista și Windows Server 2008 R2, Windows Firewall, în mod implicit, îmbunătățesc securitatea fiecărui computer dintr-o organizație prin blocarea întregului trafic de intrare care nu a fost permis în mod explicit. Când instalați o aplicație sau o componentă a sistemului de operare care necesită conexiuni de intrare, sistemul de operare activează automat regulile de firewall de intrare fără a fi necesar să le configurați manual în majoritatea cazurilor. Dacă deschideți snap-in-ul direct din panoul de control sau rulând comanda wf.msc în caseta de dialog "Alerga", sau în Linie de comanda, veți vedea că aveți deja unele reguli activate automat. De exemplu, aceasta ar putea fi o regulă care este creată automat cu setarea programe Windows Live Messenger sau când implementați rolul Hyper-V, așa cum se arată în următoarea ilustrație:

Orez. 1. Reguli create automat pentru conexiunile de intrare

Dar nu în toate cazurile, regulile de intrare Windows Firewall sunt create automat. Pentru unele aplicații care nu creează reguli de intrare în mod implicit, va trebui să creați regulile manual. Dacă un astfel de program este instalat pe un computer sau pe mai multe computere situate în grup de lucru, puteți crea reguli direct în snap-in « Windows Firewallîn modul de securitate îmbunătățită". Dar ce să faci dacă computerele angajaților tăi sunt membre ale unui domeniu și există zeci sau chiar sute de astfel de computere? În acest caz, pentru ca administratorul să aplice regulile Windows Firewall în organizație, ar trebui să utilizați Politica de grup, care oferă o interfață similară.

În acest articol, veți afla cum puteți efectua o gestionare flexibilă a paravanului de protecție Windows cu securitate avansată folosind Politica de grup, și anume, crearea de conexiuni de intrare și de ieșire pentru un anumit grup de utilizatori.

Creați un GPO pentru a gestiona firewall-urile Windows cu securitate avansată

Înainte de a crea reguli de intrare și de ieșire pentru firewall-urile Windows în modul de securitate pentru computerele client ale organizației dvs., trebuie să găsiți unitățile organizaționale care conțin Conturi computerele din organizația dvs. și creați un GPO, care va conține apoi un set de politici cu setări care vizează un anumit set de computere. După aceasta, folosind snap-in-ul, va trebui să configurați regulile pentru conexiunile de intrare și de ieșire. În procesul de creare a unui obiect Politica de grup Nu există nimic specific despre Windows Firewall Management cu Advanced Security. Pentru a face acest lucru, urmați acești pași:

După ce ați finalizat toți pașii anteriori, puteți începe să creați reguli de intrare și de ieșire pentru Windows Firewall cu securitate avansată.

Configurarea unei reguli pentru conexiunile de intrare și de ieșire

În acest pas, vom crea o regulă de intrare care se aplică Windows Live Messenger pe portul 1900 pentru 64 de biți sisteme de operare Windows Vistași Windows 7, precum și o regulă de conexiune de ieșire care permite solicitări de la motor de cautare Explorer în obiectul de politică de grup care a fost creat în secțiunea anterioară a acestui articol. În mod implicit, membrii grupului local Administratori pot crea și edita reguli pentru conexiunile de intrare și de ieșire în snap-in „Paravan de protecție Windows cu securitate avansată”. Aceste reguli sunt combinate cu regulile obținute din Politica de grup și aplicate configurației computerului. Pentru a crea o regulă de intrare în GPO pe care l-ați creat mai devreme, urmați acești pași:

1. La nod „Obiecte de politică de grup” snap-in, selectați obiectul GPO pe care l-ați creat mai devreme, în acest caz, „Configurarea paravanului de protecție Windows”, faceți clic dreapta pe el "Schimbare";
2. Într-o clipă „Editor de gestionare a politicilor de grup”În arborele consolei, extindeți Configurație computer\Politici\Configurație Windows\Setări de securitate\Paravan de protecție Windows cu securitate avansată\Paravan de protecție avansată cu securitate avansată\Reguli de intrare. Faceți clic dreapta pe element „Reguli pentru conexiunile de intrare” iar din meniul contextual alege echipa „Creează o regulă”, după cum se arată în următoarea ilustrație:





Orez. 6. Creați o nouă regulă pentru conexiunile de intrare

3. Pe prima pagina „Vrăjitori pentru crearea unei reguli pentru o nouă conexiune de intrare” puteți alege una dintre opțiunile, care sunt descrise în detaliu mai jos:
   • Pentru program. Acest tip de regulă firewall creează o regulă care permite sau blochează conexiunile pentru un anumit fișier executabil, indiferent de numerele de porturi utilizate. Pentru majoritatea oamenilor, acest tip de regulă poate fi cel mai util, deoarece nu toată lumea știe ce porturi folosește un anumit program. Cel mai bine este să utilizați acest tip de regulă în majoritatea cazurilor, dar este de remarcat faptul că acest tip nu se aplică dacă un anumit serviciu nu conține propriul fișier executabil;
   • Pentru port. Acest tip de regulă firewall este folosit pentru a crea o regulă care permite sau blochează comunicațiile pentru un anumit port TCP sau UDP, indiferent de programul care generează traficul. Prin crearea unei reguli de acest tip, puteți specifica mai multe porturi în același timp;
   • Predestinat. Acest tip de regulă de firewall creează o regulă care controlează conexiunile pentru un anumit program sau serviciu de sistem de operare, care apare în lista derulantă corespunzătoare. Unele programe, după instalare, își adaugă intrările la această listă pentru a simplifica procesul de creare a regulilor pentru conexiunile de intrare;
   • Personalizat. Acest tip de regulă firewall vă permite să creați o regulă care poate combina informații despre program și port în același timp.

Pentru a lua în considerare suma maxima paginile expertului, selectați tipul „Regulă personalizată”;




Orez. 7. Pagina Tip regulă din Expertul Regulă New Inbound Connection

4. Pe pagina "Program" Expertul New Incoming Connection Rule vă permite să specificați calea către un program pe care Paravanul de protecție Windows cu securitate avansată îl va verifica pentru a vă asigura că pachetele de rețea trimise sau primite se potrivesc cu regula. În cazul nostru, setați comutatorul la opțiunea „Calea programului” iar în câmpul de text corespunzător introduceți „C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe” ca mai jos:



Orez. 8. Pagina „Program” a expertului pentru crearea unei reguli pentru o nouă conexiune de intrare

5. Pe pagina „Protocol și porturi”În expertul Creare o regulă pentru o nouă conexiune de intrare, puteți specifica protocolul și porturile utilizate în pachetul de rețea care vor îndeplini regula curentă. Dacă trebuie să specificați mai multe porturi, le puteți introduce separate prin virgule. Și dacă trebuie să specificați o întreagă gamă de porturi, separați valorile mai mici și mai mari ale portului cu o cratimă. Să ne uităm pe scurt la parametrii portului local pentru regulile de conectare de intrare:
   • Toate porturile. Regula se aplică tuturor conexiunilor de intrare și de ieșire prin protocoale TCP sau UDP;
   • Porturi speciale. În acest caz, puteți specifica porturi specifice care vor fi utilizate pentru conexiunile de intrare sau de ieșire prin protocoale TCP sau UDP;
   • RPC Endpoint Mapper. Această valoare poate fi selectată numai pentru conexiunile de intrare prin Protocolul TCP. În acest caz, computerul va primi solicitări RPC de intrare prin protocolul TCP prin portul 135 din cererea RPC-EM, care specifică serviciul de rețea și solicită numărul portului pe care ascultă acest serviciu de rețea;
   • Porturi RPC dinamice. La fel ca pentru valoarea anterioară, valoare dată poate fi selectat numai pentru conexiunile TCP de intrare, unde computerul va primi pachete RPC de rețea de intrare pe porturile care sunt alocate de RPC runtime;
   • IPHTTPS. Această valoare este disponibilă numai pentru conexiunile TCP de intrare. În acest caz, este permisă primirea pachetelor de intrare utilizând protocolul de tunel IPHTTPS, care acceptă injectarea pachetelor IPv6 în pachetele de rețea IPv4 HTTPS de la un computer la distanță;
   • Traversarea nodurilor. Puteți selecta această valoare numai pentru conexiunile UDP de intrare, ceea ce vă permite să primiți pachete de rețea Teredo.

De exemplu, pentru a specifica pentru Windows Live Messenger porturi TCP 80, 443 și 1900, în lista derulantă „Tipul de protocol” Selectați „TCP”, în lista derulantă „Port local” selectați valoarea „Porturi speciale”, iar în caseta de text situată sub meniul drop-down de mai sus, introduceți „80, 443, 1900”. Lăsați valoarea drop-down „Port la distanță” fără modificări și faceți clic pe butonul "Mai departe";




Orez. 9. Pagina „Protocol și porturi” a expertului pentru crearea unei reguli pentru o nouă conexiune de intrare

6. Pe pagina "Regiune" acest expert, puteți specifica adresele IP ale locale și calculatoare la distanță, al cărui trafic de rețea va fi aplicat la regula actuală. Există două secțiuni disponibile aici: adrese IP locale și la distanță cărora li se va aplica această regulă. Atât în ​​prima cât și în a doua secțiune, traficul de rețea va îndeplini această regulă numai dacă adresa IP de destinație este prezentă în această listă. La selectarea opțiunii „Orice adresă IP”, regula va fi îndeplinită de pachetele de rețea cu orice adresă IP specificată ca adresă calculator local sau care va fi adresată de la orice adresă IP (în cazul unei reguli de intrare). Dacă trebuie să specificați adrese IP specifice, setați comutatorul la opțiunea „Adrese IP specificate”Și adresa specifica sau subrețea folosind caseta de dialog care se deschide făcând clic pe butonul "Adăuga". În cazul nostru, lăsați această pagină neschimbată și faceți clic pe butonul "Mai departe";



Orez. 10. Pagina Scop a Expertului New Inbound Rule

7. Pe pagina "Acțiune" puteți selecta acțiunea care trebuie efectuată asupra pachetelor de intrare sau de ieșire din această regulă. Aici puteți alege una dintre următoarele trei acțiuni:
   • Permite conectarea. Când selectați această valoare, permiteți toate conexiunile care îndeplinesc criteriile specificate în toate paginile anterioare ale expertului;
   • Permite o conexiune sigură. Setarea curentă pentru regula Windows Firewall cu securitate avansată permite conexiuni numai dacă îndeplinesc criteriile specificate anterior și sunt, de asemenea, protejate de IPSec. Nu ne vom opri asupra acestui sens, deoarece va fi discutat în detaliu în articolele mele următoare;
   • Blocați conexiunea. În acest caz, paravanul de protecție Windows cu securitate avansată va renunța la orice încercare de conectare care îndeplinește criteriile specificate mai devreme. Deși toate conexiunile sunt inițial blocate de firewall, este recomandabil să selectați această valoare dacă trebuie să blocați conexiunile pentru o anumită aplicație.

Deoarece trebuie să permitem accesul pentru programul Windows Live Messenger, am setat comutarea la opțiuni „Permite conexiunea”și apăsați butonul "Mai departe";




Orez. 11. Pagina „Acțiune” a Expertului New Rule pentru o nouă conexiune de intrare

8. Pe pagina "Profil"În vrăjitorul pentru crearea unei reguli pentru o nouă conexiune de intrare, puteți selecta profilul căruia i se va aplica această regulă. Puteți alege unul dintre trei profilurile disponibile sau mai multe deodată. Cel mai adesea, fie un profil este selectat pentru o organizație "Domeniu" sau toate cele trei profiluri. Dacă organizația dvs. nu utilizează servicii de domeniu Director activ sau configurați reguli de firewall pentru computer de acasă, va trebui doar să indicați profilul dvs "Privat". Reguli de profil "Public" sunt create pentru conexiuni publice, ceea ce este, în principiu, nesigur de făcut. În cazul nostru, bifați casetele de pe toate cele trei profiluri și faceți clic pe butonul "Mai departe";



Orez. 12. Pagina „Profil” a expertului pentru crearea unei reguli pentru o nouă conexiune de intrare

9. Pe pagina "Nume" specificați un nume pentru noua regulă de intrare Windows Firewall cu securitate avansată pe care ați creat-o, introduceți o descriere pentru regula curentă dacă este necesar și faceți clic pe butonul "Gata".



Orez. 13. Pagina „Nume” a expertului pentru crearea unei reguli pentru o nouă conexiune de intrare

În mod implicit, Paravanul de protecție Windows cu securitate avansată permite tot traficul de ieșire, ceea ce expune, în esență, computerul la un risc mai mic de hacking decât permiterea traficului de intrare. Dar, în unele cazuri, trebuie să controlați nu numai traficul de intrare, ci și de ieșire pe computerele utilizatorilor dvs. De exemplu, atât de rău intenționat produse software cum se pot replica viermii și unele tipuri de viruși. Adică, dacă virusul a reușit să identifice cu succes un computer, atunci va încerca prin toate mijloacele disponibile (pentru sine) să trimită trafic de ieșire pentru a identifica alte computere din aceeași rețea. Există destul de multe astfel de exemple. Blocarea traficului de ieșire va perturba cu siguranță funcționarea majorității componentelor sistemului de operare încorporate și a software-ului instalat. Prin urmare, atunci când activați filtrarea de ieșire, trebuie să testați temeinic fiecare aplicație instalată pe computerele utilizatorului.

Crearea regulilor de ieșire diferă ușor de procedura de mai sus. De exemplu, dacă ați blocat toate conexiunile de ieșire pe computerele utilizatorilor și trebuie să le oferiți utilizatorilor acces pentru a utiliza browserul Internet Explorer, urmați acești pași:

1. Dacă aveți nevoie ca regula de ieșire Windows Firewall să fie atribuită într-un nou GPO, urmați pașii din „Creați un GPO pentru a gestiona firewall-urile Windows cu securitate avansată”;
2. Într-o clipă „Editor de gestionare a politicilor de grup”În arborele consolei, extindeți Configurație computer\Politici\Configurație Windows\Setări de securitate\Paravan de protecție Windows cu securitate avansată\Paravan de protecție avansată cu securitate avansată\Reguli de ieșire. Faceți clic dreapta pe element „Reguli pentru conexiunile de ieșire” iar din meniul contextual selectați comanda „Creează o regulă”;
3. Pe pagina vrăjitorului „Tipul de regulă” selectați opțiunea „Pentru program”și faceți clic pe butonul "Mai departe";
4. Pe pagina "Program", setați comutatorul la opțiune „Calea programului”și introduceți în câmpul de text corespunzător %ProgramFiles%\Internet Explorer\iexplore.exe sau selectați acest fișier executabil făcând clic pe butonul "Revizuire";
5. Pe pagina "Acțiune" din acest expert, selectați opțiunea „Permite conexiunea”și faceți clic pe butonul "Mai departe";
6. Pe pagina "Profil" acceptați valorile implicite și faceți clic pe butonul "Mai departe";
7. Pe ultima pagină, pagina "Nume", introduceți un nume pentru a acestei reguli, De exemplu, „Regula pentru browserul Internet Explorer”și faceți clic pe butonul "Gata".

În panoul de detalii al snap-in-ului „Editor de gestionare a politicilor de grup” Ar trebui să vedeți regula creată așa cum se arată în următoarea ilustrație:

Orez. 14. Regulă creată pentru conexiunea de ieșire

Atribuire de filtrare pentru regula creată

Acum că ați creat un GPO cu o regulă de conexiune de intrare și de ieșire, trebuie să acordați atenție următorului punct. Când am creat regula de intrare, am specificat calea către Windows Live Messenger pentru sistemul de operare pe 64 de biți. Sunt toate computerele din organizația dvs. echipate cu sisteme de operare pe 64 de biți? Dacă asta e tot, atunci ești foarte norocos și nu trebuie să faci nimic altceva. Dar dacă aveți computere client cu sistem de operare pe 32 de biți, atunci veți întâmpina o problemă. Regula pur și simplu nu va funcționa. Desigur, puteți crea diferite departamente pentru computere cu sisteme de operare pe 32 de biți și pentru computere cu sisteme de operare pe 64 de biți, dar acest lucru nu este în întregime rațional. Cu alte cuvinte, trebuie să specificați în snap „Gestionarea politicii de grup” că GPO ar trebui să fie utilizat numai pe computere cu un sistem de operare pe 64 de biți. Puteți crea o astfel de restricție folosind un filtru WMI. Veți afla mai multe despre filtrarea WMI într-unul dintre următoarele articole, dar acum trebuie doar să vă concentrați pe crearea unui astfel de filtru. Pentru a specifica un filtru WMI pentru a detecta sistemele de operare pe 64 de biți, urmați acești pași:

Concluzie

În acest articol, ați învățat cum puteți crea Windows Firewall cu reguli de securitate avansată pentru conexiunile de intrare și de ieșire folosind un snap-in „Paravan de protecție Windows cu securitate avansată”, precum și utilizarea politicilor de grup pentru computerele din organizație care sunt membre ale domeniului Active Directory. Sunt descrise lucrări preliminare, și anume crearea unei divizii cu calculatoare, precum și a unui obiect de politică de grup. Am analizat exemple de creare a unei reguli personalizate pentru o conexiune de intrare, precum și a unei reguli de genul „Pentru program” pentru conexiunea de ieșire.