Чим відрізняється моніторинг трафіку від фільтрації У Росії з'явиться національна система фільтрації Інтернету. Призначення фільтрації для створеного правила

Стаття витягує на вашу думку два способи фільтрації трафіку в мережі. Перший спосіб використовує не зовсім звичайну фільтрацію вхідних пакетів IP адресами джерела, по суті, реалізує захист від спуфінгу, другий - фільтрацію пакетів в локальній мережі або DMZ використовуючи технологію PVLAN.

Батранок Денис, denisNOSPAMixi.ru

Стаття витягує на вашу думку два способи фільтрації трафіку в мережі. Перший спосіб використовує не зовсім звичайну фільтрацію вхідних пакетів IP адресами джерела, по суті, реалізує захист від спуфінгу, другий - фільтрацію пакетів в локальній мережі або DMZ використовуючи технологію PVLAN.

Сподіваюся, ця стаття буде корисною як адміністраторам, так і тим, хто займається безпекою мереж. На жаль, зазвичай, це різні люди.

Вступ. Про фільтрацію взагалі.

Ви тільки подивіться на формат заголовка IP пакета (ця структура взята з вихідних WinPCap) typedef struct ip_header( u_char ver_ihl; // Version (4 bits) + Internet header length (4 bits) u_char tos; // Type of service u_short tlen; / / Total length u_short identification; // Identification u_short flags_fo; // Flags (3 bits) + Fragment offset (13 bits) u_char ttl; // Time to live u_char proto; // Source address ip_address daddr; // Destination address u_int op_pad; // Option + Padding )ip_header;

скільки полів вимагають перевірки на правильність вже на вході до мережі. Очевидно, у кожного поля існує безліч значень, які визначені в стандарті RFC як такі, що мають якийсь сенс. І очевидно, що існує безліч значень, які не визначені ніде, безглузді, і ми навіть не можемо припустити як ці значення будуть сприйняті хостом-отримувачем. Якщо пакет має хоч одне поле неправильне, то й весь він неправильний і він не повинен засмічувати нашу мережу. Однак нині у багатьох мережах це негаразд. З такими пакетами розбирається кожному хості своя система захисту від атак (IPS). Я пропоную не чекати, коли такі пакети прибудуть на хост одержувача, а вбивати їх уже на вході до мережі. Причому фільтрувати та блокувати трафік ми можемо послідовно починаючи від канального та закінчуючи рівнем додатків (у рамках моделі ISO OSI). Це дозволить розвантажити мережу та захистити від атак, які користуються тим, що ми "закриваємо очі" на неправильні пакети.

Ця ідея не нова. Натяк на те, які пакети у вашій мережі можуть бути неправильними, міститься у правилах систем виявлення атак. Системи виявлення атак вже давно перевіряють усі поля пакетів та збирають статистику для аналізу знайдених неправильних пакетів, яку можна переглянути та вжити заходів до найбільш настирливих. Мені найбільше подобається Snort, оскільки в ньому все відкрито для розширення можливостей. Це дозволяє змінювати стандартні правила або писати свої, аналізувати статистику за допомогою і навіть можна додавати правила на блокування IP адрес за допомогою SnortSam у майже будь-якій з відомих на даний час FW: Cisco PIX, MS ISA, Checkpoint FW-1, Watchguard Firebox та вбудовані у Linux та FreeBSD FW.

Однак, не обмежуючи спільності можна сказати, що у тих людей, які користуються будь-якими системами виявлення атак, наприклад Сisco NetRanger, RealSecure (Proventia) або Snort, є мрія: коли ж нарешті вони припинять генерувати хибні алерти. У мене, принаймні, є така мрія, оскільки в чотирьох зовнішніх сітках класу C постійно відбувається щось нове, хоча типи інформаційних потоків вже давно встаканилися. Я вже не отримую багато алертів типу BAD-TRAFFIC Unssigned/Reserved IP protocol , BAD TRAFFIC non-Standard IP protocol , BAD-TRAFFIC loopback traffic , BAD-TRAFFIC SRC/DST , BAD-TRAFFIC tcp port 0 traffic , не тому що я відключив ці правила, а тому, що я заблокував цей "поганий трафік" відразу ж на вході. На жаль, на сьогоднішній день доводиться ігнорувати різні події, знаючи, що це звичайна хибна тривога і заблокувати я це не можу, оскільки будь-який провайдер не повинен блокувати трафік клієнту хоч би яким він був: небезпечним або просто марним. Але "неправильний" трафік я собі блокувати дозволяю: неправильні адреси, неправильні прапори, неправильні або небезпечні порти.

Зрозуміло чому є системи IDS, які показують адміністратору який трафік є поганим, але немає програм, які б автоматично фільтрували трафік на вході та виході ваших мереж так, щоб Snort було не на що було лаятися. Проблема у хибних алертах. Є багато правил у того ж Snort, які мають не просто детектувати нестандартну поведінку, а відразу її блокувати. Наприклад, логічно заблокувати трафік, який задовольняє умові BAD-TRAFFIC ip reserved bit set , тобто ті пакети, у яких неправильно виставлений резервний біт. (До речі, чи згадаєте ви відразу який firewall зможе перевірити таку умову і заблокувати такий пакет? ;-)) З іншого боку є і алерти про корисність яких можна посперечатися. Наприклад, недавно стоять у мене в мережі eMule стали винуватцями алертів BACKDOOR typot trojan traffic.

Отже, в ідеалі з точки зору систем виявлення атак нам потрібно зробити так, щоб не спрацьовували ті правила, які однозначно показують, що фільтрація налаштована неправильно. І правильно її налаштувати – головне завдання адміністратора.

Фільтр грубої очистки. Захист від спуфінгу IP-адрес.

Оскільки я пишу не книгу, а статтю, то сьогодні докопаюся лише до одного поля IP пакета: source address. Відомо, що там знаходиться IP-адреса джерела пакета. І, наскільки мені відомо, у технології Cisco SAFE радять фільтрувати це поле згідно з RFC та для захисту від IP спуфінгу. Давайте розберемося які адреси ми повинні блокувати. (Поле адреси одержувача (destination address) має бути в межах виділеного вам адресного пулу, тому тут розмірковувати нема про що.)

Отже ми знаємо, що починаючи з 1 січня 1983 року було введено поняття IP адреси 4 версії, який представляє собою 32 бітне число, яке ми зазвичай записуємо у вигляді 4-х десяткових чисел, розділених точкою. Існує організація Internet Assigned Numbers Authority (IANA), яка розподіляє адреси по всьому Інтернету. Існують чотири Regional Internet Registries (RIR) розподілених по світу: APNIC (Asia Pacific Network Information Centre), ARIN (American Registry for Internet Numbers), LACNIC (Latin American and Caribbean IP address Regional Registry), RIPE NCC, які розподіляють адреси між Internet Service Providers (ISP). І нарешті існує табличка на сайті IANA, в якій записано який блок адрес комусь віддано.

Якщо спробувати класифікувати адреси, то крім класів А, B, C, D, E, що вивчаються вже зараз у школі, ми виявляємо що існують спеціальні адреси, що визначаються не тільки RFC 1918, але і RFC 3330, і які не повинні бути використані в Інтернет .

1. Приватні адреси - зарезервовані під використання у локальних мережах згідно з RFC 1918.

• 10.0.0.0 - 10.255.255.255
• 172.16.0.0 - 172.31.255.255
• 192.168.0.0 - 192.168.255.255

2. Адреси, що отримуються при автоматичному призначенні IP адреси самому собі за відсутності DHCP сервераі згідно з RFC 3330 теж не повинні виходити за межі локальної мережі.

• 169.254.0.0 - 169.254.255.255

3. Loopback адреси, що використовуються для перевірки роботи TCP стека. Використовуються кожним хостом лише для себе.

• 127.0.0.0 - 127.255.255.255

4. Тестовий діапазон - повинен використовуватись у документаціях та прикладах коду.

• 192.0.2.0–192.0.2.255

5. Multicast адреси не можуть стояти у полі джерела. Тільки поле одержувача пакета, оскільки використовуються звернення до групи хостів.

• 224.0.0.0 - 239.255.255.255

6. Зарезервовані та невиділені нікому адреси. Ці адреси перераховані на тій же табличці на сайті IANA . Станом на 12 грудня 2004 року в резерві наступні блоки

• 0.0.0.0 - 2.255.255.255
• 5.0.0.0 - 5.255.255.255
• 7.0.0.0 - 7.255.255.255
• 23.0.0.0 - 23.255.255.255
• 27.0.0.0 - 27.255.255.255
• 31.0.0.0 - 31.255.255.255
• 36.0.0.0 - 37.255.255.255
• 39.0.0.0 - 39.255.255.255
• 41.0.0.0 - 42.255.255.255
• 49.0.0.0 - 50.255.255.255
• 73.0.0.0 - 79.255.255.255
• 89.0.0.0 - 126.255.255.255
• 173.0.0.0 - 187.255.255.255
• 189.0.0.0 - 190.255.255.255
• 197.0.0.0 - 197.255.255.255
• 223.0.0.0 - 223.255.255.255
• 240.0.0.0 - 255.255.255.255

Останній список вражає. І ми ще скаржимося, що нам бракує адрес. І це я ще об'єднав кілька блоків адрес, якщо вони знаходилися поряд у списку.

7. Є ще один клас адрес, який не може бути в полі sources. Це ваші власні адреси. Ті адреси Інтернету, які виділені вам і лише вам провайдером. Очевидно, що ніхто, крім вас, не має права користуватися ними і ви повинні блокувати будь-які спроби надіслати пакет з адресою джерела з вашого пулу адрес. Тим більше, що підстановка вашої адреси в полі джерел може використовуватися для реалізації різних атак. Наприклад, в атаці Land посилається SYN-пакет з адресою відправника, що збігається з адресою одержувача.

Отже, виявилося, що існує досить багато адрес, яких не може бути в полі sources наших IP пакетів. Як правило, якщо в sources прописана одна з перелічених вище адрес, то це або неправильно працююча у вищого провайдера маршрутизація (випускає назовні неправильні адреси), або можлива атака DOS. Саме тому я пропоную заблокувати всі вищенаведені адреси на вході вашого маршрутизатора.

Підсумовуючи сказане вище, ми отримуємо досить пристойний список адрес відправника, який ми повинні блокувати. Наприклад, якщо ви використовуєте маршрутизатор Cisco, то access-list буде виглядати так:

ip access-list extended complete_bogon	Використовуємо іменований розширений список доступу
deny ip 0.0.0.0 1.255.255.255 any	IANA Reserved
deny ip 2.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 5.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 7.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 10.0.0.0 0.255.255.255 any	RFC 1918
deny ip 23.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 27.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 31.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 36.0.0.0 1.255.255.255 any	IANA Reserved
deny ip 39.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 41.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 42.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 49.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 50.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 73.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 74.0.0.0 1.255.255.255 any	IANA Reserved
deny ip 76.0.0.0 3.255.255.255 any	IANA Reserved
deny ip 82.0.0.0 1.255.255.255 any	IANA Reserved
permit 88.0.0.0 0.255.255.255 our_net	дозволимо доступ з адресою 88/8 до нашої мережі (щоб не заблокувати нижче)
deny ip 88.0.0.0 7.255.255.255 any	IANA Reserved
deny ip 96.0.0.0 31.255.255.255 any	IANA Reserved та Loopback
deny ip 169.254.0.0 0.0.255.255 any	автопризначені адреси
deny ip 172.16.0.0 0.15.255.255 any	RFC 1918
deny ip 173.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 174.0.0.0 1.255.255.255 any	IANA Reserved
deny ip 176.0.0.0 7.255.255.255 any	IANA Reserved
deny ip 184.0.0.0 3.255.255.255 any	IANA Reserved
deny ip 189.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 190.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 192.0.2.0 0.0.0.255 any	Адреси для тестів.
deny ip 192.168.0.0 0.0.255.255 any	RFC 1918
deny ip 197.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 198.18.0.0 0.1.255.255 any	IANA Reserved
deny ip 201.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 222.0.0.0 1.255.255.255 any	IANA Reserved
deny ip 223.0.0.0 0.255.255.255 any	IANA Reserved
deny ip 224.0.0.0 31.255.255.255 any	Multicast а потім IANA Reserved
deny ip our_net any	блокуємо наші адреси на вході
permit ip any our_net	дозволяємо все інше

our_net я позначив ваш блок адрес. Наприклад, він може виглядати як 194.194.194.0 0.0.0.255 згідно з правилами написання access-listів.

Неважливо де буде реалізований цей метод фільтрації на вашому прикордонному маршрутизаторі, міжмережевому екрані або навіть на сервері, але найголовніше, що атакуючий втрачає можливість використовувати адреси з неіснуючих мереж. Хочу зауважити, що якщо ви користуєтесь Cisco IOS останніх версій(12.2 та вище), то вам не потрібно цей access-list робити самому. Такий самий access-list формується простою (здавалося б) командою auto secure.

Команда auto secure робить ВСЕ за спеціаліста з комп'ютерної безпеки! Все що напрацьовано на сьогоднішній день для захисту маршрутизаторів Cisco стає цією однією командою. Ви, звичайно, повинні уявляти, що вона робить, коли вводите її, але ця команда зробить все, навіть якщо у вас немає ніяких сертифікатів і освіти в цій галузі. :(Я взагалі коли дізнався про можливості auto secure вирішив, що ось і настав час кидати займатися безпекою і піти праски продавати - там і зарплата, кажуть, більше і вища освіта не потрібна. ;-) Навіщо тепер фахівці, якщо все робиться однією командою.

Однак цей метод має мінус: вам потрібно постійно відстежувати зміни в таблиці на сайті IANA http://www.iana.org/assignments/ipv4-address-space , щоб після зміни цього списку ви змінили свій access-list. Наприклад, остання змінабуло у серпні цього року: виділено мережі 71/8, 72/8 для ARIN. Я не знаю, чи є готовий скрипт для виконання цієї роботи, але якщо ви знайдете таку чи напишете самі, то суспільство буде Вам вдячне. Є одна сторінка, де завжди зберігається актуальний access-list http://www.cymru.com/Documents/secure-ios-template.html , але там список доступу трохи довгий. Його можна скоротити. Принцип скорочення такий

deny ip 0.0.0.0 0.255.255.255 any
deny ip 1.0.0.0 0.255.255.255 any

міняємо на

deny ip 0.0.0.0 1.255.255.255 any

Якщо на вході в мережу немає такого фільтра, то, можливо, вам хочеться налаштувати фільтр на своєму власному сервері або робочій станції. До речі, автори персональних FW могли б взяти це на озброєння. Це допоможе захистити хост від атак DOS. Ось наприклад приклад атиспуфингового фільтра для BIND .

Після того, як ми розібралися з адресами, можна зайнятися іншими полями IP-пакету. Наприклад, мені до мережі дуже часто приходять tcp пакетиз портом 0. Чому б вам не подивитися які порти використовуються в пакетах, що ходять по вашій сітці.

Фільтр тонкого очищення або Isolated VLAN.

Тепер подивимося на трафік у внутрішній мережі. Одним із ключових факторів побудови безпечної конфігурації мережі є точне визначеннявсіх об'єктів мережі та точне розуміння з ким потрібно обмінюватися інформацією кожному з цих об'єктів та який вид трафіку при цьому породжується. Весь інший трафік між цими об'єктами має бути відхилений.

Давайте розглянемо з прикладу Демілітаризованої зони (DMZ). Вважається за правильне виділяти сервери компанії в окрему мережу, захищену як від користувачів з Інтернету, так і від внутрішніх користувачів. Як то кажуть, довіряй, але перевіряй. На зображенні показані два можливі варіанти реалізації: DMZ розташовується між двома Firewall і DMZ висить на одному з портів Firewall.

Отже, міжмережові екрани фільтрують трафік, що надходить з Інтернету та з локальної мережі. І зазвичай дизайнери мережі заспокоюються на цій схемі. Усі сервери підключаються через один свитч і опиняються в одному широкомовному домені. Однак, чи потрібна взаємодія між серверами в DMZ один з одним? Потрібно дивитися у кожному конкретному випадку. Можна припустити, що якщо буде зламаний один із серверів DMZ, то з цього сервера можлива атака на сусідній сервер, тим більше, що ми на етапі проектування ніяк не захистили один сервер від іншого. Таким чином, у тих випадках, коли сервери не повинні функціонувати один з одним, рекомендується робити кілька окремих DMZ. Однак найкращим варіантом є використання PVLAN. Якщо порти, до яких підключені сервери, не будуть пересилати пакети один одному на канальному рівні, то не буде жодного трафіку між серверами і єдиний спосіб для них зв'язатися один з одним - пройти через Firewall, на якому це з'єднання має бути дозволено та передано на потрібний порт . Такі порти, які не передають трафік один одному на канальному рівні, називаються ізольованими.

Така сама ідея застосовна і до комп'ютерів усередині локальної мережі. Уважно проаналізуйте інформаційні потоки і явно поставте за допомогою освітлення, між якими комп'ютерами можливий обмін даними.

З допомогою цього механізму можна об'єднувати користувачів у групи (community), у яких організується їх " виділене " спілкування. При цьому і ізольовані користувачі, і групи можуть передавати свій трафік у так звані публічні (promiscuous) порти, на яких працює маршрутизатор, міжмережевий екран та система виявлення атак.

У Сisco PVLAN реалізовано так, що трафік, який приходить на promiscuous порт може бути розподілений по будь-яким іншим портам типу isolated і community. Трафік, який приходить на isolated порт може бути направлений тільки на promiscuous порт. Трафік, який приходить на community порт може бути спрямований на promiscuous порт і на порти, що належать до цієї ж community.

Таким чином, навіть перебуваючи в одному VLAN хости у яких у схемі інформаційних потоків не повинно бути взаємного трафіку, не отримуватимуть жодного пакета один від одного. Єдина можливість обмінятися інформацією – прописати явно правило на міжмережевому екрані або маршрутизаторі, що дозволяє передавати пакети між ними. Але це правило вже працює на третьому рівні моделі OSI і в цьому випадку можна застосовувати access-list та правила міжмережевого екрану для явної вказівки дозволених портів та протоколів.

Якщо копнути глибше, то коли хост 1 посилає ARP запит (у пошуку MAC адресаа хоста 2 з потрібним йому IP з тієї ж підмережі) хост 2 не отримує це запит і не відповідає хосту 1, оскільки обидва сидять на ізольованих один від одного портах. Ми досягли того, що хост 1 вважає, що хост 2 недоступний і навпаки. Таким чином, вирішується завдання контролю трафіку всередині мережі і, найголовніше, не потрібно розбивати мережу на підмережі. Ми можемо безболісно накласти технологію PVLAN на мережі.

Коли ж нам потрібно, щоб сервери спілкувалися один з одним, то маршрутизатор (або firewall) може відповісти, що цей хост доступний через нього. Ця техніка називається Proxy ARP. Хост 1 думає, що хост 2 знаходиться в іншому сегменті та посилає IP пакет через маршрутизатор (або firewall). Тобто виходить, що в пакеті стоїть MAC адреса маршрутизатора і IP адреса хоста 2. А ось маршрутизатор (або firewall) вже вирішує передавати пакет хосту 2 чи ні.

Треба зауважити, що є і вразливість цього методу: якщо у вас використовується маршрутизатор, який не має жодних правил доступу і, не замислюючись, маршрутизує всі пакети, що до нього приходять, то зловмисник з хоста 1 може спеціально надіслати пакет з МАС адресою маршрутизатора, але з IP адресою хоста 2. Такий пакет пройде через isolated port до маршрутизатора і потім буде посланий маршрутизатором на хост 2. Тому, треба або додати правила доступу на маршрутизаторі (або firewall) явно, що забороняють або дозволяють такі пакети, або додатково використовувати VLAN Access Control List (VACL) на свитчі.

Раніше в рамках одного світчу була схожа можливість яка називалася protected port, але вона працювала тільки в межах одного світчу та інформація про protected порти не передавалася транками. Нині це поняття розширено і доповнено комунальними портами.

Технологія PVLAN може бути практично реалізована на досить великій кількості, що випускаються в даний час керованих комутаторівмають порти Ethernet зі швидкістю роботи 10/100/1000 мегабіт на секунду.

Конкретна реалізація цих схем на свитчах Cisco описана.

Фільтрація інформаційних потоків полягає у їх вибірковому пропусканні через екран, можливо, з виконанням деяких перетворень та повідомленням відправника про те, що його даним у пропуску відмовлено. Фільтрація здійснюється на основі набору правил, попередньо завантажених в екран і є виразом мережевих аспектів прийнятої безпекової політики. Тому міжмережевий екран зручно представляти як послідовність фільтрів (рис.А.2), що обробляють інформаційний потік. Кожен із фільтрів призначений для інтерпретації окремих правил фільтрації шляхом виконання наступних стадій:

1. Аналіз інформації за заданими в інтерпретованих правилах критеріями, наприклад, за адресами одержувача та відправника або за типом програми, для якої ця інформація призначена.

2. Прийняття з урахуванням інтерпретованих правил однієї з наступних решений:

Не пропустити дані;

Опрацювати дані від імені одержувача та повернути результат відправнику;

Передати дані на наступний фільтр для продовження аналізу;

Пропустити дані, ігноруючи наступні фільтри.

Рис. А.2. Структура міжмережевого екрану

Правила фільтрації можуть задавати і додаткові дії, що відносяться до функцій посередництва, наприклад, перетворення даних, реєстрація подій та ін. Відповідно до правил фільтрації визначають перелік умов, за якими з використанням зазначених критеріїв аналізу здійснюється:

дозвіл чи заборона подальшої передачі даних;

виконання додаткових захисних функцій.

Як критерії аналізу інформаційного потоку можуть використовуватися такі параметри:

службові поля пакетів повідомлень, що містять мережеві адреси, ідентифікатори, адреси інтерфейсів, номери портів та інші значущі дані;

безпосередній вміст пакетів повідомлень, що перевіряється, наприклад, на наявність комп'ютерних вірусів;

зовнішні характеристики потоку інформації, наприклад, часові,

частотні характеристики, обсяг даних тощо.

Критерії аналізу, що використовуються, залежать від рівнів моделі OSI, на яких здійснюється фільтрація. У загальному випадку, чим вищий рівень моделі OSI, на якому брандмауер фільтрує пакети, тим вищий рівень захисту, який він забезпечує.

Виконання функцій посередництва

Функції посередництва міжмережевий екран виконує за допомогою спеціальних програм, які називаються агентами, що екранують, або просто програмами-посередниками. Ці програми є резидентними та забороняють безпосередню передачу пакетів повідомлень між зовнішньою та внутрішньою мережею.

При необхідності доступу з внутрішньої мережі у зовнішню мережу чи навпаки спочатку має бути встановлене логічне з'єднання з програмою-посередником, що функціонує комп'ютері екрана. Програма-посередник перевіряє допустимість запитаної міжмережевої взаємодії і за її вирішення сама встановлює окреме з'єднання з необхідним комп'ютером. Далі обмін інформацією між комп'ютерами внутрішньої та зовнішньої мережі здійснюється через програмного посередника, який може виконувати фільтрацію потоку повідомлень, а також здійснювати інші функції захисту.

Слід з'ясувати, що функції фільтрації міжмережевий екран може виконувати без застосування програм-посередників, забезпечуючи прозору взаємодію між внутрішньою та зовнішньою мережею. Водночас програмні посередники можуть і не здійснювати фільтрацію потоку повідомлень. Загалом екрануючі агенти, блокуючи прозору передачу потоку повідомлень, можуть виконувати такі функції:

ідентифікацію та аутентифікацію користувачів;

перевірку справжності переданих даних;

розмежування доступу до ресурсів внутрішньої мережі;

розмежування доступу до ресурсів зовнішньої мережі;

фільтрацію та перетворення потоку повідомлень, наприклад, динамічний пошук вірусів та прозоре шифрування інформації;

трансляцію внутрішніх мережевих адрес для вихідних пакетів повідомлень;

реєстрацію подій, реагування на події, що задаються, а також аналіз зареєстрованої інформації та генерацію звітів;

кешування даних, що запитуються із зовнішньої мережі.

Для високого ступеня безпеки необхідна ідентифікація та аутентифікація користувачів не тільки при їх доступі із зовнішньої мережі у внутрішню, але й навпаки. Пароль не повинен передаватися в відкритому виглядічерез загальнодоступні комунікації. Це запобігатиме отриманню несанкціонованого доступу шляхом перехоплення мережевих пакетів, що можливо, наприклад, у випадку стандартних сервісів типу Telnet. Оптимальним способом аутентифікації використання одноразових паролів. Зручне та надійне також застосування цифрових сертифікатів, що видаються довірчими органами, наприклад, центром розподілу ключів. Більшість програм-посередників розробляються таким чином, щоб користувач автентифікувався лише на початку сеансу роботи з міжмережевим екраном. Після цього від нього не потрібна додаткова автентифікація протягом часу, який визначається адміністратором. Програми-посередники можуть здійснювати перевірку справжності даних, що одержуються і передаються. Це актуально не тільки для аутентифікації електронних повідомлень, а й мігруючих програм (Java, ActiveXControls), стосовно яких може бути виконана фальсифікація. Перевірка справжності повідомлень та програм полягає у контролі їх цифрових підписів. Для цього також можна використовувати цифрові сертифікати. Ідентифікація та автентифікація користувачів при зверненні до міжмережевого екрану дозволяє розмежувати їх доступ до ресурсів внутрішньої чи зовнішньої мережі. Способи розмежування ресурсів внутрішньої мережі нічим не відрізняються від способів розмежування, що підтримуються на рівні операційної системи. При розмежуванні доступу доресурсам зовнішньої мережі найчастіше використовується один із наступних підходів:

дозвіл доступу лише за заданими адресами зовнішньої мережі;

фільтрація запитів на основі оновлюваних списків неприпустимих адрес та блокування пошуку інформаційних ресурсів за небажаними ключовими словами;

накопичення та оновлення адміністратором санкціонованих інформаційних ресурсівзовнішньої мережі в дискової пам'ятібрандмауера та повна заборона доступу до зовнішньої мережі.

Фільтрування та перетворення потоку повідомлень виконується посередником на основі заданого набору правил. Тут слід розрізняти два види програм посередників:

екрануючі агенти, орієнтовані аналіз потоку повідомлень для певних видів сервісу, наприклад, FTP,HTTP,Telnet;

універсальні екрануючі агенти, що обробляють весь потік повідомлень, наприклад, агенти, орієнтовані на пошук та знешкодження комп'ютерних вірусів або прозоре шифрування даних. Програмний посередник аналізує пакети даних, що надходять до нього, і якщо який-небудь об'єкт не відповідає заданим критеріям, то посередник або блокує його подальше просування, або виконує відповідні перетворення, наприклад, знешкодження виявлених комп'ютерних вірусів. При аналізі вмісту пакетів важливо, щоб екрануючий агент міг автоматично розпаковувати файлові архіви, що проходять.

Брандмауери з посередниками дозволяють також організовувати захищені віртуальні мережі (VirtualPrivateNetwork-VPN), наприклад, безпечно об'єднати кілька локальних мереж, підключених до Internet, в одну віртуальну мережу. VPN забезпечують прозоре для користувачів з'єднання локальних мереж, зберігаючи секретність і цілісність передава. При передачі по Internet можливе шифрування як даних користувачів, а й службової інформації - кінцевих мережевих адрес, номерів портів тощо. буд. Програми-посередники можуть виконувати й таку важливу функцію, як трансляцію внутрішніх мережевих адрес. Ця функція реалізується по відношенню до всіх пакетів, що випливають із внутрішньої мережі до зовнішньої. Для цих пакетів посередник виконує автоматичне перетворення IP-адрес комп'ютерів-відправників в одну "надійну" IP-адресу, що асоціюється з брандмауером, з якого передаються всі вихідні пакети. В результаті всі вихідні з внутрішньої мережі пакети виявляються відправленими міжмережевим екраном, що виключає прямий контакт між авторизованою внутрішньою мережею і потенційно небезпечною зовнішньою мережею, що є.

При такому підході топологія внутрішньої мережі прихована зовнішніх користувачів, що ускладнює завдання несанкціонованого доступу. Крім підвищення безпеки трансляція адрес дозволяє мати всередині мережі власну систему адресації, не узгоджену з адресацією в зовнішній мережі, наприклад, в мережі Internet. Це ефективно вирішує проблему розширення адресного простору внутрішньої мережі та дефіциту адрес зовнішньої мережі. Важливими функціями програм-посередників є реєстрація подій, реагування на події, що задаються, а також аналіз зареєстрованої інформації та складання звітів. Як обов'язкову реакцію виявлення спроб виконання несанкціонованих дій має бути визначено повідомлення адміністратора, т. е. видача попереджувальних сигналів. Будь-який брандмауер, який не може посилати попереджувальні сигнали при виявленні нападу, не є ефективним засобом міжмережевого захисту.

Багато міжмережевих екранів містять потужну систему реєстрації, збору та аналізу статистики. Облік може вестись за адресами клієнта та сервера, ідентифікаторами користувачів, часом сеансів, часом з'єднань, кількістю переданих/прийнятих даних, діями адміністратора та користувачів. Системи обліку дозволяють провести аналіз статистики та надають адміністраторам докладні звіти. За рахунок використання спеціальних протоколів посередники можуть виконати віддалену оповіщення про певні події в режимі реального часу. За допомогою спеціальних посередників підтримується також кешування даних, що запитуються із зовнішньої мережі. При доступі користувачів внутрішньої мережі до інформаційних ресурсів зовнішньої мережі, вся інформація накопичується на просторі жорсткого диска брандмауера, званого в цьому випадку proxy-сервером. Тому якщо при черговому запиті потрібна інформація виявиться на proxy-сервері, то посередник надає її без звернення до зовнішньої мережі, що суттєво прискорює доступ. Адміністратору слід подбати лише про періодичне оновлення вмісту proxy-сервера.

Функція кешування може успішно використовуватися для обмеження доступу до інформаційних ресурсів зовнішньої мережі. У цьому випадку всі санкціоновані інформаційні ресурси зовнішньої мережі накопичуються та оновлюються адміністратором на проксі-сервері. Користувачам внутрішньої мережі дозволяється доступ лише до інформаційних ресурсів proxy-сервера, а безпосередній доступ до ресурсів зовнішньої мережі забороняється. Екрануючі агенти набагато надійніші за звичайні фільтри і забезпечують більший ступінь захисту. Однак вони знижують продуктивність обміну даними між внутрішньою і зовнішньою мережами і не мають того ступеня прозорості для додатків і кінцевих користувачів, яка характерна для простих фільтрів.

Особливості міжмережевого екранування на різних рівнях OSI

Брандмауери підтримують безпеку міжмережевої взаємодії різних рівнях моделі OSI. У цьому функції захисту, виконувані різних рівнях еталонної моделі, істотно відрізняються друг від друга. Тому комплексний міжмережевий екран зручно у вигляді сукупності неподільних екранів, кожен із яких орієнтований окремий рівень моделі OSI. Найчастіше комплексний екран функціонує на мережевому, сеансовому та прикладному рівнях еталонної моделі. Відповідно розрізняють такі неподільні брандмауери (рис. А.3), як екрануючий маршрутизатор, екрануючий транспорт (шлюз сеансового рівня), а також шлюз, що екранує (шлюз прикладного рівня).

Враховуючи, що протоколи (TCP/IP, SPX/IPX), що використовуються в мережах, не однозначно відповідають моделі OSI, то екрани перерахованих типів при виконанні своїх функцій можуть охоплювати і сусідні рівні еталонної моделі. Наприклад, прикладний екран може здійснювати автоматичне зашифровування повідомлень при їх передачі у зовнішню мережу, а також автоматичне розшифровування криптографічно закритих даних, що приймаються. У цьому випадку такий екран функціонує не лише на прикладному рівні моделі OSI, а й на рівні вистави. Шлюз сеансового рівня при своєму функціонуванні охоплює транспортний та мережевий рівні моделі OSI. Екрануючий маршрутизатор під час аналізу пакетів повідомлень перевіряє їх заголовки як мережного, а й транспортного рівня.

Міжмережеві екрани кожного з типів мають свої переваги і недоліки. Багато з використовуваних брандмауерів є або прикладними шлюзами, або маршрутизаторами, що екранують, не підтримуючи повну безпеку міжмережевої взаємодії. Надійний захист забезпечують лише комплексні міжмережові екрани, кожен з яких поєднує екрануючий маршрутизатор, шлюз сеансового рівня, а також прикладний шлюз.

Рис. А.3. Типи міжмережевих екранів, що функціонують на окремих рівнях OSI

За відсутності гнучкої фільтрації доступу до мережі Інтернет на частку непотрібних та небезпечних сайтів, які щодня відвідують співробітники, припадає майже половина загального трафіку.

Лідерами у списку небажаних ресурсів є соціальні мережі, портали, що викладають контент непристойного змісту, сервери онлайнових ігор, а також сайти, що генерують так званий "важкий" трафік і пропонують відвідувачам завантажувати та переглядати відеоролики та флеш-банери.

Потенційні загрози, що виникають в результаті відвідування співробітниками різних сайтів, що не належать до виконуваної ними роботи, крім нецільового використання робочого часу, можуть виглядати як:

• надмірне навантаження на мережу, викликане неконтрольованим скачуванням співробітниками об'ємних файлів з Інтернет-мережі. У разі коли йдеться про постійне або виділене підключення з фіксованою швидкістю каналу від провайдера, перегляд або завантаження користувачами відеофайлів негативно позначиться на розподілі ресурсів мережі та завантаженні Інтернет-каналу в цілому, а також на вартості нецільового трафіку;
• нераціональне використання ресурсів мережі та робочого часу внаслідок діяльності любителів онлайнових ігор з відео- або голосовими чатами;
• неконтрольовані віддалені з'єднання співробітників з робочими серверами корпоративних мереж за допомогою VPN-з'єднань або утиліт, пов'язані з ризиком зараження локальної мережі вірусами, що потенційно знаходяться на віддаленому комп'ютері;
• зниження рівня безпеки корпоративної мережі.

Щоб забезпечити безпеку та цілісність бізнесу, перекрити канали можливого витоку інформації та підвищити продуктивність роботи співробітників, необхідно керувати потоком Інтернет-трафіку, що входить до локальної мережі за допомогою фільтрації Інтернет-запитів. Забороняючи за допомогою налаштування фільтрів доступ до тих чи інших ресурсів, можна вирішити питання щодо зниження витрат на нецільові Інтернет-ресурси, а також значно зменшити ризик інфікування внутрішніх ресурсів корпоративної мережі.

Застосування фільтрації у міжмережевих екранах NetDefend D-Link розглянуто у розділі "Функції IDP, WCF, AV" ("Фільтрація Web-вмісту (WCF)").

Віртуальні локальні мережі VLAN

VLAN (Virtual Local Area Network – віртуальна локальна мережа). Віртуальною локальною мережею називається логічна група пристроїв, що мають можливість взаємодіяти між собою безпосередньо на канальному рівні, хоча фізично при цьому вони можуть бути підключені до різних мережних комутаторів. І навпаки, трафік пристроїв, що знаходяться у різних VLAN'ах, повністю ізольований від інших вузлів мережі на канальному рівні, навіть якщо вони підключені до одного комутатора. Це означає, що передача кадрів між різними віртуальними мережами на підставі MAC-адреси неможлива, незалежно від типу адреси – унікальної, групової або широкомовної.

VLAN'и мають такі переваги:

• гнучкість впровадження – VLAN є ефективним способомгрупування мережевих користувачів у віртуальні робочі групи, незважаючи на їхнє фізичне розміщення в мережі;
• застосування VLAN забезпечує можливість контролю широкомовних повідомлень, що збільшує смугу пропускання доступну для користувача;
• застосування VLAN дозволяє підвищити безпеку мережі, визначивши за допомогою фільтрів, налаштованих на комутаторі або маршрутизаторі політику взаємодії користувачів з різних віртуальних мереж;

В системі NetDefendOS віртуальна локальна мережа може підтримувати один або кілька інтерфейсів VLAN, пов'язаних з конкретним фізичним інтерфейсом. У міжмережевих екранах NetDefend інтерфейси VLAN розглядаються як логічні інтерфейси і можуть звертатися до інших інтерфейсів NetDefendOS за допомогою наборів правил і таблиць маршрутизації. Віртуальні локальні мережі, налаштовані в міжмережевих екранах серії DFL-xxx, функціонують лише на рівні L3.

VLAN застосовується у кількох випадках. Звичайне застосування – коли один Ethernet-інтерфейс представлений кілька інтерфейсів. Це означає, що кількість фізичних портів Ethernet на міжмережевих екранах NetDefend не обмежується числом з'єднань зовнішніх мереж.

Віртуальні локальні мережі також використовуються для групування окремих користувачів таким чином, щоб їхній трафік був повністю відокремлений від інших віртуальних локальних мереж. Під керуванням NetDefendOS трафік може проходити між різними VLAN і фільтруватися за допомогою політик безпеки, передбачених правилами системи NetDefendOS.

Конфігурація VLAN системи NetDefendOS включає комбінацію VLAN-каналів (trunk) від міжмережевих екранів NetDefend до комутаторів, інтерфейси яких налаштовані, як VLAN на основі портів (port based VLANs). Будь-який фізичний інтерфейс міжмережевого екрану може одночасно пропускати обидва трафіку – VLAN-трафік для одного або кількох віртуальних локальних мереж та не-VLAN-трафік.

NetDefendOS повністю підтримує стандарт IEEE 802.1Q для віртуальних локальних мереж, що функціонують, додаючи до заголовка Ethernet-кадра ідентифікатор віртуальної локальної мережі (VLAN ID). VLAN ID – це число від 0 до 4095, яке використовується для ідентифікації віртуальної локальної мережі, якій належить кожен кадр. Із застосуванням такого механізму Ethernet-фрейми можуть належати до різних віртуальних локальних мереж і при цьому спільно використовувати один фізичний інтерфейс. У NetDefendOS одному фізичному інтерфейсу може призначатися унікальний VLAN ID і той самий VLAN ID може бути призначений іншим фізичним інтерфейсам, тобто. одна й та сама віртуальна мережадозволяє об'єднати комп'ютери користувачів, підключених до різних фізичних інтерфейсів (рис. 6.1 – VLAN1 та VLAN2).

Рис. 6.1.

Один або кілька VLAN налаштовані на фізичний інтерфейс міжмережевого екрану NetDefend і з'єднуються прямо з комутатором. Це з'єднання працює як VLAN-канал (trunk). Комутатор повинен підтримувати тип port based VLANs. Конфігурація порту комутатора, який з'єднується з міжмережевим екраном, має бути налаштована на прийом VLAN ID, які передаватимуться через VLAN-канали (trunk).

Так само як у проводовій локальній мережі представлена ​​можливість використання VLAN'ів, так і бездротової мережіІснують механізми розмежування бездротових клієнтів.

Віртуальні приватні мережі (VPN)

Інтернет все частіше використовується як засіб комунікації між комп'ютерами, оскільки він пропонує ефективний та недорогий зв'язок. Однак Інтернет є мережею загального користування і для того, щоб забезпечувати безпечну комунікацію через нього, необхідний якийсь механізм, що задовольняє як мінімум наступним завданням:

• конфіденційність інформації;
• цілісність даних;
• доступність інформації;

Цим вимогам відповідає механізм, названий VPN(Virtual Private Network – віртуальна приватна мережа) – узагальнена назва технологій, що дозволяють забезпечити одне або декілька мережевих з'єднань(логічну мережу) поверх іншої мережі (наприклад, Інтернет) з використанням засобів криптографії (шифрування, автентифікації, інфраструктури відкритих ключів, засобів захисту від повторів та змін повідомлень, що передаються по логічній мережі).

Створення VPN не вимагає додаткових інвестицій і дозволяє відмовитись від використання виділених ліній. Залежно від протоколів і призначення, що застосовуються, VPN може забезпечувати з'єднання трьох видів: хост-хост, хост-мережа та мережа-мережа.

Для наочності представимо наступний приклад: підприємство має кілька територіально віддалених філій та "мобільних" співробітників, які працюють вдома або в роз'їзді. Необхідно об'єднати всіх працівників підприємства на єдину мережу. Найпростіший спосіб – це поставити модеми в кожній філії та організовувати зв'язок у міру потреби. Таке рішення, однак, не завжди зручне і вигідне – часом потрібний постійний зв'язок та велика пропускна спроможність. Для цього доведеться або прокладати виділену лінію між філіями або орендувати їх. І те, й інше досить дорого. І тут як альтернатива при побудові єдиної захищеної мережі можна застосовувати VPN-підключення всіх філій фірми через Інтернет та налаштування VPN-засобів на хостах мережі.

Рис. 6.5.

У цьому випадку вирішуються багато проблем - філії можуть розташовуватися будь-де по всьому світу.

Небезпека тут полягає в тому, що відкрита мережа доступна для атак з боку зловмисників усього світу. По-друге, по Інтернету всі дані передаються у відкритому вигляді, і зловмисники, зламавши мережу, будуть мати всю інформацію, що передається по мережі. І, по-третє, дані можуть бути не лише перехоплені, а й замінені у процесі передачі через мережу. Зловмисник може, наприклад, порушити цілісність баз даних, діючи від імені клієнтів однієї з довірених філій.

Щоб цього не сталося, у рішеннях VPN використовуються такі засоби, як шифрування даних для забезпечення цілісності та конфіденційності, автентифікація та авторизація для перевірки прав користувача та дозволу доступу до віртуальної приватної мережі.

З'єднання VPN завжди складається з каналу типу точка-точка, також відомого під назвою тунель. Тунель створюється в незахищеній мережі, якою найчастіше виступає Інтернет.

Тунелювання (tunneling)або інкапсуляція (encapsulation)– це спосіб передачі корисної інформаціїчерез проміжну мережу. Такою інформацією можуть бути кадри (або пакети) іншого протоколу. При інкапсуляції кадр не передається у тому вигляді, в якому він був згенерований хостом-відправником, а забезпечується додатковим заголовком, що містить інформацію про маршрут, що дозволяє інкапсульованим пакетам проходити через проміжну мережу (Інтернет). На кінці тунелю кадри деінкапсулюються та передаються одержувачу. Як правило, тунель створюється двома прикордонними пристроями, розміщеними в точках входу до публічної мережі. Однією з явних переваг тунелювання є те, що дана технологія дозволяє зашифрувати вихідний пакет повністю, включаючи заголовок, в якому можуть бути дані, що містять інформацію, яку зловмисники використовують для злому мережі (наприклад, IP-адреси, кількість підмереж і т.д.) .

Хоча тунель VPN встановлюється між двома точками, кожен вузол може встановлювати додаткові тунелі з іншими вузлами. Для прикладу, коли трьом віддаленим станціям необхідно зв'язатися з тим самим офісом, буде створено три окремі VPN-тунелі до цього офісу. Для всіх тунелів вузол на боці офісу може бути одним і тим самим. Це можливо завдяки тому, що вузол може шифрувати та розшифровувати дані від імені всієї мережі, як це показано на малюнку:

Користувач встановлює з'єднання з VPN-шлюзом, після чого користувач відкриває доступ до внутрішньої мережі.

Усередині приватної мережі самого шифрування немає. Причина в тому, що ця частина мережі вважається безпечною та перебуває під безпосереднім контролем у протилежність до Інтернету. Це справедливо і при з'єднанні офісів за допомогою VPN-шлюзів. Таким чином, гарантується шифрування лише тієї інформації, яка передається небезпечним каналом між офісами.

Існує безліч різних рішень для побудови приватних віртуальних мереж. Найбільш відомі та широко використовувані протоколи – це:

• PPTP(Point-to-Point Tunneling Protocol) – цей протокол став досить популярним завдяки його включенню до операційних систем фірми Microsoft.
• L2TP(Layer-2 Tunneling Protocol) – поєднує протокол L2F (Layer 2 Forwarding) і протокол PPTP. Як правило, використовується в парі з IPSec.
• IPSec(Internet Protocol Security) – офіційний Інтернет-стандарт, розроблений спільнотою IETF (Internet Engineering Task Force).

Перелічені протоколи підтримуються пристроями D-Link.

Протокол PPTP, в першу чергу, призначений для приватних віртуальних мереж, заснованих на комутованих з'єднаннях. Протокол дозволяє організувати віддалений доступ, завдяки чому користувачі можуть встановлювати комутовані з'єднання з Інтернет-провайдерами та створювати захищений тунель до своїх корпоративних мереж. На відміну від IPSec, протокол PPTP спочатку не призначався для організації тунелів між локальними мережами. PPTP розширює можливості PPP - протоколу, розташованого на канальному рівні, який спочатку був розроблений для інкапсуляції даних та їх доставки за з'єднаннями типу точка-точка.

Протокол PPTP дозволяє створювати захищені канали обмінюватись даними з різних протоколів – IP, IPX, NetBEUI та інших. Дані цих протоколів упаковуються у кадри PPP, інкапсулюються з допомогою протоколу PPTP в пакети протоколу IP. Далі вони переносяться за допомогою IP у зашифрованому вигляді через будь-яку мережу TCP/IP. Вузол, що приймає, витягує з пакетів IP кадри PPP, а потім обробляє їх стандартним способом, тобто. витягує з кадру PPP пакет IP, IPX або NetBEUI і відправляє його через локальну мережу. Таким чином, протокол PPTP створює з'єднання точка-точка в мережі і створений захищений канал передає дані. Основна перевага таких інкапсулюючих протоколів, як PPTP – це їхня багатопротокольність. Тобто. захист даних на канальному рівні є прозорим для протоколів мережного та прикладного рівнів. Тому всередині мережі як транспорт можна використовувати як протокол IP (як у випадку VPN, заснованого на IPSec), так і будь-який інший протокол.

В даний час за рахунок легкості реалізації протокол PPTP широко використовується як для отримання надійного захищеного доступу до корпоративної мережі, так і для доступу до мереж Інтернет-провайдерів, коли клієнту потрібно встановити з'єднання PPTP з Інтернет-провайдером для отримання доступу в Інтернет.

Метод шифрування, який використовується в PPTP, специфікується на рівні PPP. Зазвичай як клієнт PPP виступає настільний комп'ютерз операційною системою Microsoft, а як протокол шифрування використовується протокол Microsoft Point-to-Point Encryption (MPPE). Цей протоколґрунтується на стандарті RSA RC4 і підтримує 40- або 128-розрядне шифрування. Для багатьох програм такого рівня шифрування використання даного алгоритмуцілком достатньо, хоча він і вважається менш надійним, ніж ряд інших алгоритмів шифрування, пропонованих IPSec, зокрема 168-розрядний Triple-Data Encryption Standard (3DES).

Як встановити з'єднання PPTP?

PPTP інкапсулює пакети IP для передачі через IP-мережі. Клієнти PPTP створюють з'єднання, що управляє тунелем, яке забезпечує працездатність каналу. Цей процес виконується на рівні моделі OSI. Після створення тунелю комп'ютер-клієнт та сервер розпочинають обмін службовими пакетами.

На додаток до керуючого з'єднання PPTP створюється з'єднання для пересилання даних тунелю. Інкапсуляція даних перед відправкою тунель включає два етапи. Спочатку створюється інформаційна частина PPP кадри. Дані проходять зверху донизу, від прикладного рівня OSI до канального. Потім отримані дані відправляються вгору моделі OSI і інкапсулюються протоколами верхніх рівнів.

Дані канального рівня досягають транспортного рівня. Однак, інформація не може бути надіслана за призначенням, оскільки за це відповідає канальний рівень OSI. Тому PPTP шифрує поле корисного навантаження пакета і перебирає функції другого рівня, зазвичай належать PPP, т. е. додає до PPTP-пакету PPP-заголовок (header) і закінчення (trailer). У цьому створення кадру канального рівня закінчується. Далі PPTP інкапсулює PPP-кадр у пакет Generic Routing Encapsulation (GRE), який належить мережевому рівню. GRE інкапсулює протоколи мережного рівня, наприклад IP, IPX, щоб забезпечити можливість їх передачі IP-мережами. Однак застосування тільки GRE-протоколу не забезпечить встановлення сесії та безпеки даних. Для цього використовується здатність PPTP створювати з'єднання для керування тунелем. Застосування GRE як метод інкапсуляції обмежує поле дії PPTP лише мережами IP.

Після того, як кадр PPP був інкапсульований у кадр із заголовком GRE, виконується інкапсуляція в кадр з IP-заголовком. IP-заголовок містить адреси відправника та одержувача пакета. На закінчення PPTP додає PPP заголовок та закінчення.

На рис. 6.7 показана структура даних для пересилання тунелем PPTP:

Для організації VPN на основі PPTP не потрібні великі витрати та складні налаштування: достатньо встановити в центральному офісі сервер PPTP (рішення PPTP існують як для Windows, так і для Linux платформ), а на клієнтських комп'ютерах виконати необхідні налаштування. Якщо ж потрібно об'єднати кілька філій, то замість налаштування PPTP на всіх станціях клієнтів краще скористатися Інтернет-маршрутизатором або міжмережевим екраном з підтримкою PPTP: налаштування здійснюються тільки на прикордонному маршрутизаторі (міжмережевому екрані), підключеному до Інтернету, для користувачів все абсолютно прозоро. Прикладом таких пристроїв можуть бути багатофункціональні Інтернет-маршрутизатори серії DIR/DSR та міжмережні екрани серії DFL.

GRE-тунелі

Generic Routing Encapsulation (GRE) – протокол інкапсуляції мережевих пакетів, що забезпечує тунелювання трафіку через мережі без шифрування. Приклади використання GRE:

• передача трафіку (у тому числі широкомовного) через обладнання, що не підтримує певного протоколу;
• тунелювання IPv6-трафіку через мережу IPv4;
• передача даних через громадські мережі для реалізації захищеного VPN-з'єднання.

Рис. 6.8.

Між двома маршрутизаторами A і B ( мал. 6.8) знаходиться кілька маршрутизаторів, GRE-тунель дозволяє забезпечити з'єднання між локальними мережами 192.168.1.0/24 і 192.168.3.0/24 так, як якщо маршрутизатори A і B були підключені безпосередньо.

Протокол L2TPз'явився внаслідок об'єднання протоколів PPTP та L2F. Головне достоїнство протоколу L2TP у цьому, що дозволяє створювати тунель у мережах IP, а й у мережах ATM, X.25 і Frame relay. L2TP застосовує як транспорт протокол UDP і використовує однаковий формат повідомлень як для управління тунелем, так і для пересилання даних.

Як і у випадку з PPTP, L2TP починає складання пакета передачі тунель з того, що до поля інформаційних даних PPP додається спочатку заголовок PPP, потім заголовок L2TP. Отриманий у такий спосіб пакет інкапсулюється UDP. Залежно від вибраного типу політики безпеки IPSec, L2TP може шифрувати UDP-повідомлення та додавати до них заголовок та закінчення Encapsulating Security Payload (ESP), а також закінчення IPSec Authentication (див. розділ L2TP over IPSec). Потім проводиться інкапсуляція в ІР. Додається IP-заголовок, що містить адреси відправника та одержувача. На завершення L2TP виконує другу PPP-інкапсуляцію для підготовки даних до передачі. На рис. 6.9 показано структуру даних для пересилання тунелем L2TP.

Комп'ютер-отримувач приймає дані, обробляє заголовок та закінчення PPP, прибирає заголовок IP. За допомогою IPSec Authentication проводиться автентифікація інформаційного поля IP, а ESP-заголовок IPSec допомагає розшифрувати пакет.

Далі комп'ютер обробляє заголовок UDP та використовує заголовок L2TP для ідентифікації тунелю. Пакет PPP тепер містить лише корисні дані, які обробляються або надсилаються вказаному одержувачу.

IPsec(Скорочення від IP Security) – набір протоколів для забезпечення захисту даних, що передаються по міжмережевому протоколу IP, дозволяє здійснювати підтвердження автентичності та/або шифрування IP-пакетів. IPsec також включає протоколи для захищеного обміну ключами в мережі Інтернет.

Безпека IPSec досягається рахунок додаткових протоколів, додають до IP-пакету власні заголовки – інкапсуляції. Т.к. IPSec – стандарт Інтернет, то для нього існують документи RFC:

• RFC 2401 (Security Architecture for the Internet Protocol) – архітектура захисту протоколу IP.
• RFC 2402 (IP Authentication header) – автентифікаційний заголовок IP.
• RFC 2403 (The Use of HMAC-MD5-96 within ESP and AH) - використання алгоритму хешування MD-5 для створення аутентифікаційного заголовка.
• RFC 2404 (The Use of HMAC-SHA-1-96 with ESP and AH) – використання алгоритму хешування SHA-1 для створення аутентифікаційного заголовка.
• RFC 2405 (ESP DES-CBC Cipher Algorithm With Explicit IV) – використання алгоритму шифрування DES.
• RFC 2406 (IP Encapsulating Security Payload (ESP)) - Шифрування даних.
• RFC 2407 (Internet IP Security Domain of Interpretation for ISAKMP) – сфера застосування протоколу управління ключами.
• RFC 2408 ( Internet Security Association and Key Management Protocol (ISAKMP) – керування ключами та автентифікаторами захищених з'єднань.
• RFC 2409 (The Internet Key Exchange (IKE)) – обмін ключами.
• RFC 2410 (Null Encryption Algorithm and Its Use With IPsec) – нульовий алгоритм шифрування та його використання.
• RFC 2411 (IP Security Document Roadmap) - розвиток стандарту.
• RFC 2412 (The OAKLEY Key Determination Protocol) – перевірка автентичності ключа.

IPsec є невід'ємною частиною Інтернет-протоколу IPv6 та необов'язковим розширенням версії Інтернет-протоколу IPv4.

Механізм IPSec вирішує такі завдання:

• автентифікацію користувачів чи комп'ютерів під час ініціалізації захищеного каналу;
• шифрування та автентифікацію даних, що передаються між кінцевими точками захищеного каналу;
• автоматичне постачання кінцевих точок каналу секретними ключами, необхідними роботи протоколів аутентифікації і шифрування даних.

Компоненти IPSec

Протокол AH(Authentication Header) – протокол ідентифікації заголовка. Забезпечує цілісність шляхом перевірки того, що жоден біт в частині пакета, що захищається, не був змінений під час передачі. Але використання AH може викликати проблеми, наприклад, при проходженні пакета через пристрій NAT. NAT змінює IP-адресу пакета, щоб дозволити доступ до Інтернету із закритої локальної адреси. Т.к. пакет у такому разі зміниться, то контрольна сума AH стане невірною (для усунення цієї проблеми розроблено протокол NAT-Traversal (NAT-T), що забезпечує передачу ESP через UDP і порт UDP 4500, який використовує в своїй роботі). Також слід зазначити, що AH розроблявся лише задля забезпечення цілісності. Він не гарантує конфіденційності шляхом шифрування вмісту пакета.

Протокол ESP(Encapsulation Security Payload) забезпечує не тільки цілісність та автентифікацію даних, що передаються, але ще й шифрування даних, а також захист від помилкового відтворення пакетів.

Протокол ESP – інкапсулюючий протокол безпеки, який забезпечує цілісність і конфіденційність. У режимі транспорту ESP-заголовок знаходиться між вихідним заголовком IP і заголовком TCP або UDP. У режимі тунелю ESP-заголовок розміщується між новим IP-заголовком та повністю зашифрованим вихідним IP-пакетом.

Т.к. обидва протоколи - AH і ESP - додають власні заголовки IP, кожен з них має свій номер (ID) протоколу, за яким можна визначити, що слідує за IP-заголовком. Кожен протокол, згідно з IANA (Internet Assigned Numbers Authority – організація, відповідальна за адресний простір мережі Інтернет), має власний номер (ID). Наприклад, для TCP цей номер дорівнює 6, а для UDP – 17. Тому дуже важливо під час роботи через міжмережевий екран налаштувати фільтри таким чином, щоб пропускати пакети з ID AH та/або ESP протоколу.

Щоб вказати, що у заголовку IP присутня AH, встановлюється ID протоколу 51, а ESP – номер 50.

УВАГА: ID протоколу не те саме, що номер порту.

Протокол IKE(Internet Key Exchange) – стандартний протокол IPsec, який використовується для забезпечення безпеки взаємодії у віртуальних приватних мережах. Призначення IKE – захищене узгодження та доставка ідентифікованого матеріалу для асоціації безпеки (SA).

SA– це термін IPSec для позначення з'єднання. Встановлений SA (захищений канал, званий "безпечною асоціацією" або "асоціацією безпеки" - Security Association, SA) включає секретний ключ і набір криптографічних алгоритмів.

Протокол IKE виконує три основні завдання:

• забезпечує засоби аутентифікації між двома кінцевими точками VPN;
• встановлює нові зв'язки IPSec (створює пару SA);
• керує існуючими зв'язками.

IKE використовує порт UDP з номером 500. При використанні функції NAT Traversal, як згадувалося раніше, протокол IKE використовує порт UDP з номером 4500.

Обмін даними в IKE відбувається у 2 фази. У першій фазі встановлюється асоціація SA IKE. При цьому виконується аутентифікація кінцевих точок каналу та вибираються параметри захисту даних, такі як алгоритм шифрування, сесійний ключ та ін.

У другій фазі SA IKE використовується узгодження протоколу (зазвичай IPSec).

При настроєному VPN-тунелі для кожного протоколу, що використовується, створюється одна пара SA. SA створюються парами, т.к. кожна SA – це односпрямоване з'єднання, а дані необхідно передавати у двох напрямках. Отримані пари SA зберігаються кожному вузлі.

Так як кожен вузол здатний встановлювати кілька тунелів з іншими вузлами, кожен SA має унікальний номер, що дозволяє визначити, до якого сайту він відноситься. Цей номер називається SPI(Security Parameter Index) або індекс параметра безпеки.

SA зберігатися у базі даних (БД) SAD(Security Association Database).

Кожен вузол IPSec також має другу БД – SPD(Security Policy Database) - БД політики безпеки. Вона містить налаштовану політику вузла. Більшість VPN-рішень дозволяють створення кількох політик з комбінаціями відповідних алгоритмів кожного вузла, з яким необхідно встановити з'єднання.

p align="justify"> Гнучкість IPSec полягає в тому, що для кожного завдання пропонується кілька способів її вирішення, і методи, вибрані для одного завдання, зазвичай не залежать від методів реалізації інших завдань. Разом з тим, робоча група IETF визначила базовий набір функцій і алгоритмів, що підтримуються, який повинен бути однотипно реалізований у всіх продуктах, що підтримують IPSec. Механізми AH та ESP можуть використовуватися з різними схемами автентифікації та шифрування, деякі з яких є обов'язковими. Наприклад, IPSec визначається, що пакети аутентифікуються або за допомогою односторонньої функції MD5, або за допомогою односторонньої функції SHA-1, а шифрування здійснюється з використанням алгоритму DES. Виробники продуктів, у яких працює IPSec, можуть додавати інші алгоритми автентифікації та шифрування. Наприклад, деякі продукти підтримують такі алгоритми шифрування, як 3DES, Blowfish, Cast, RC5 та ін.

Для шифрування даних IPSec може бути застосований будь-який симетричний алгоритм шифрування, що використовує секретні ключі.

Протоколи захисту потоку, що передається (AH і ESP) можуть працювати в двох режимах - в транспортному режиміі в режимі тунелювання. Працюючи у транспортному режимі IPsec працює лише з інформацією транспортного рівня, тобто. шифрується лише поле даних пакета, що містить протоколи TCP/UDP (заголовок IP-пакету не змінюється (не шифрується)). Транспортний режим зазвичай використовується для встановлення з'єднання між хостами.

У режимі тунелювання шифрується весь IP-пакет, включаючи заголовок мережного рівня. Щоб його можна було передати по мережі, він поміщається в інший IP-пакет. Фактично, це захищений IP-тунель. Тунельний режим може використовуватися для підключення віддалених комп'ютерів до приватної віртуальної мережі (схема підключення "хост-мережа") або для організації безпечної передачі даних через відкриті канали зв'язку (наприклад, Інтернет) між шлюзами для об'єднання різних частин віртуальної приватної мережі (схема підключення "мережа") -мережа").

Режими IPsec не є взаємовиключними. На тому самому вузлі деякі SA можуть використовувати транспортний режим, інші – тунельний.

На фазі автентифікації обчислюється контрольна сума пакета ICV (Integrity Check Value). При цьому передбачається, що обидва вузли знають секретний ключ, який дозволяє одержувачу обчислити ICV і порівняти з результатом, надісланим відправником. Якщо порівняння ICV пройшло успішно, вважається, що відправник пакета автентифікований.

В режимі транспорту AH

• весь IP-пакет, за винятком деяких полів у заголовку IP, які можуть бути змінені під час передачі. Ці поля, значення яких для розрахунку ICV дорівнюють 0, можуть бути частиною служби (Type of Service, TOS), прапорами, зміщенням фрагмента, часом життя (TTL), а також заголовком контрольної суми;
• всі поля в AH;
• корисні дані пакетів IP.

AH у режимі транспорту захищає IP-заголовок (за винятком полів, для яких дозволені зміни) та корисні дані у вихідному IP-пакеті (рис. 3.39).

У тунельному режимі вихідний пакет міститься у новий IP-пакет, і передачі даних виконується виходячи з заголовка нового IP-пакета.

Для тунельного режиму AHпри виконанні розрахунку контрольну суму ICV включаються такі компоненти:

• всі поля зовнішнього заголовка IP, за винятком деяких полів у заголовку IP, які можуть бути змінені під час передачі. Ці поля, значення яких для розрахунку ICV дорівнюють 0, можуть бути частиною служби (Type of Service, TOS), прапорами, зміщенням фрагмента, часом життя (TTL), а також заголовком контрольної суми;
• усі поля AH;
• вихідний IP-пакет.

Як бачимо на наступній ілюстрації, режим тунелювання AH захищає весь вихідний IP-пакет за рахунок додаткового зовнішнього заголовка, який у режимі транспорту AH не використовується:

В режимі транспорту ESPаутентифікує не весь пакет, а забезпечує захист лише корисних даних IP. Заголовок ESP в режимі транспорту ESP додається в IP-пакет відразу після заголовка IP, а закінчення ESP (ESP Trailer) відповідно додається після даних.

Режим транспорту ESP шифрує такі частини пакету:

• корисні дані IP;
• ESP Trailer.

Алгоритм шифрування, який використовує режим шифрування блоків ланцюжка (Cipher Block Chaining, CBC) має незашифроване поле між заголовком ESP і корисним навантаженням. Це поле називається вектором ініціалізації IV (Initialization Vector) для розрахунку CBC, яке виконується на одержувачі. Так як це поле використовується для початку процесу розшифрування, воно не може бути зашифрованим. Незважаючи на те, що зловмисник має можливість перегляду IV, він ніяк не зможе розшифрувати зашифровану частину пакета без ключа шифрування. Для запобігання зловмисникам зміни вектора ініціалізації він охороняється контрольною сумою ICV. У цьому випадку ICV виконує такі розрахунки:

• всі поля у заголовку ESP;
• корисні дані, включаючи відкритий текст IV;
• всі поля в ESP Trailer, за винятком поля даних автентифікації.

Тунельний режим ESP інкапсулює весь вихідний IP-пакет у заголовок нового IP, заголовок ESP та ESP Trailer. Для того, щоб вказати, що в заголовку IP є ESP, встановлюється ідентифікатор протоколу IP 50, причому вихідний заголовок IP і корисні дані залишаються без змін. Як і у випадку з тунельним режимом AH, зовнішній IP-заголовок базується на конфігурації тунелю IPSec. У разі використання тунельного режиму ESP область автентифікації IP-пакету показує, де було поставлено підпис, що засвідчує його цілісність та справжність, а зашифрована частина показує, що інформація є захищеною та конфіденційною. Вихідний заголовок міститься після заголовка ESP. Після того, як зашифрована частина інкапсулюється в новий тунельний заголовок, який не зашифровується здійснюється передача IP-пакета. При надсиланні через загальнодоступну мережу такий пакет маршрутизується на IP-адресу шлюзу мережі, а вже шлюз розшифровує пакет і відкидає заголовок ESP з використанням вихідного заголовка IP для подальшої маршрутизації пакета на комп'ютер, що знаходиться у внутрішній мережі. Режим тунелювання ESP шифрує такі частини пакета:

• вихідний IP-пакет;
• ESP Trailer.
• Для тунельного режиму ESP розрахунок ICV проводиться так:
• всі поля у заголовку ESP;
• вихідний IP пакет, включаючи відкритий текст IV;
• всі поля заголовка ESP, за винятком поля даних автентифікації.

Резюме із застосуванням режимів IPSec:

• Протокол – ESP (AH).
• Режим – тунельний (транспортний).
• Спосіб обміну ключами – IKE (ручний).
• Режим IKE - main (aggressive).
• Ключ DH – group 5 (group 2, group 1) – номер групи вибору динамічно створюваних ключів сеансу, довжина групи.
• Автентифікація - SHA1 (SHA, MD5).
• Шифрування – DES (3DES, Blowfish, AES).

При створенні політики, як правило, можливе створення впорядкованого списку алгоритмів та груп Diffie-Hellman. Diffie-Hellman (DH)– протокол шифрування, який використовується для встановлення спільних секретних ключів для IKE, IPSec та PFS (Perfect Forward Secrecy – досконала пряма секретність). У такому випадку буде використано першу позицію, яка збіглася на обох вузлах. Дуже важливо, щоб все в безпеці дозволяло досягти цього збігу. Якщо, за винятком однієї частини політики, все інше збігається, вузли все одно не зможуть встановити з'єднання VPN. При настроюванні VPN-тунелю між різними системами потрібно з'ясувати, які алгоритми підтримуються кожною стороною, щоб була можливість вибору найбезпечнішої політики з усіх можливих.

Основні налаштування, які включає політика безпеки:

1. Симетричні алгоритми шифрування/дешифрування даних.
2. Криптографічні контрольні сумидля перевірки цілісності даних.
3. Спосіб ідентифікації вузла. Найпоширеніші способи - це встановлені ключі (pre-shared secrets) або сертифікати СА.
4. Використовувати режим тунелю чи транспорт.
5. Яку використовувати групу Diffie-Hellman (DH group 1 (768-bit); DH group 2 (1024-bit); DH group 5 (1536-bit)).
6. Чи використовувати AH, ESP, або обидва разом.
7. Чи використовувати PFS.

Обмеженням IPSec і те, що він підтримує лише передачу даних лише на рівні протоколу IP.

Існують дві основні схеми застосування IPSec, що відрізняються роллю вузлів, що утворюють захищений канал.

У першій схемі захищений канал утворюється між кінцевими хостами мережі. У цій схемі протокол IPSec захищає той вузол, на якому виконується:

Рис. 6.13.

У другій схемі захищений канал встановлюється між двома безпековими шлюзами. Ці шлюзи приймають дані від кінцевих хостів, підключених до мереж, що розташовані за шлюзами. Кінцеві хости в цьому випадку не підтримують протокол IPSec, трафік, що направляється до публічної мережі, проходить через шлюз безпеки, який захищає від свого імені.

Для хостів, що підтримують IPSec, можливе використання транспортного та тунельного режимів. Для шлюзів дозволяється використовувати лише тунельний режим.

Встановлення та підтримка VPN

Як згадувалося вище, встановлення та підтримка VPN-тунелю виконується у два етапи. На першому етапі (фазі) два вузли домовляються про метод ідентифікації, алгоритм шифрування, хеш-алгоритм і групу Diffie-Hellman. Вони також ідентифікують одне одного. Все це може пройти в результаті обміну трьома нешифрованими повідомленнями (так званий агресивний режим, Aggressive mode) або шістьма повідомленнями, з обміном зашифрованою інформацією про ідентифікацію (стандартний режим, Main mode).

У режимі Main Mode забезпечується можливість узгодження всіх параметрів конфігурації пристроїв відправника та одержувача, у той час як у режимі Aggressive Mode такої можливості немає, і деякі параметри (група Diffie-Hellman, алгоритми шифрування та аутентифікації, PFS) мають бути заздалегідь однаково налаштовані на кожному пристрої. Однак, у цьому режимі менше і кількість обмінів, і кількість пакетів, що пересилаються при цьому, в результаті чого потрібно менше часу для встановлення сеансу IPSec.

Припускаючи, що операція успішно завершилася, створюється SA першої фази – Phase 1 SA(також званий IKE SA) і процес переходить до другої фази.

На другому етапі генеруються дані ключів, вузли домовляються про політику, що використовується. Цей режим, також званий швидким режимом (Quick mode), відрізняється від першої фази тим, що може встановити лише після першого етапу, коли всі пакети другої фази шифруються. Правильне завершення другої фази призводить до появи Phase 2 SAабо IPSec SAі на цьому встановлення тунелю вважається завершеним.

Спочатку на вузол прибуває пакет з адресою призначення в іншій мережі, і вузол ініціює першу фазу з вузлом, який відповідає за іншу мережу. Допустимо, тунель між вузлами був успішно встановлений і чекає на пакети. Однак вузлам необхідно переідентифікувати один одного і порівняти політику за певний період часу. Цей період називається час життя Phase Oneабо IKE SA lifetime.

Вузли також повинні змінити ключ для шифрування даних через час, який називається часом життя Phase Twoабо IPSec SA lifetime.

Phase Two lifetime коротше, ніж першої фази, т.к. ключ необхідно міняти частіше. Потрібно встановити однакові параметри часу життя для обох вузлів. Якщо цього не виконати, то можливий варіант, коли спочатку тунель буде встановлено успішно, але після першого неузгодженого проміжку часу життя зв'язок перерветься. Проблеми можуть виникнути і в тому випадку, коли час життя першої фази менший за аналогічний параметр другої фази. Якщо налаштований раніше тунель припиняє роботу, то перше, що потребує перевірки – це час життя на обох вузлах.

Ще слід зазначити, що при зміні політики на одному з вузлів зміни набудуть чинності лише за наступного наступу першої фази. Щоб зміни набули чинності негайно, треба забрати SA для цього тунелю з бази даних SAD. Це спричинить перегляд угоди між вузлами з новими налаштуваннями політики безпеки.

Іноді при настроюванні IPSec-тунелю між обладнанням різних виробниківвиникають складнощі, пов'язані з узгодженням параметрів при встановленні першої фази. Слід звернути увагу на такий параметр, як Local ID – це унікальний ідентифікаторкінцевої точки тунелю (відправника та одержувача). Особливо це важливо при створенні кількох тунелів та використанні протоколу NAT Traversal.

Dead Peer Detection

В процесі роботи VPN, за відсутності трафіку між кінцевими точками тунелю, або при зміні вихідних даних віддаленого вузла (наприклад, зміна динамічно призначеної IP-адреси), може виникнути ситуація, коли тунель по суті таким вже не є, стаючи як би тунелем-примарою . Для того щоб підтримувати постійну готовність до обміну даними у створеному IPSec-тунелі, механізм IKE (описаний у RFC 3706) дозволяє контролювати наявність трафіку від віддаленого вузла тунелю, і у разі його відсутності протягом встановленого часу, посилається hello-повідомлення (у міжмережевих екранах D-Link надсилається повідомлення "DPD-R-U-THERE"). За відсутності відповіді на це повідомлення протягом певного часу, в міжмережевих екранах D-Link, заданого налаштуваннями "DPD Expire Time", тунель демонтується. Міжмережевий екран D-Link після цього, використовуючи налаштування "DPD Keep Time" (рис. 6.18), автоматично намагаються відновити тунель.

Протокол NAT Traversal

IPsec-трафік може маршрутизуватися за тими самими правилами, як і інші IP-протоколи, але оскільки маршрутизатор який завжди може отримати інформацію, характерну протоколів транспортного рівня, то проходження IPsec через NAT-шлюзи неможливо. Як згадувалося раніше, для вирішення цієї проблеми IETF визначила спосіб інкапсуляції ESP в UDP, який отримав назву NAT-T (NAT Traversal).

NAT Traversal інкапсулює трафік IPSec і одночасно створює пакети UDP, які NAT коректно пересилає. Для цього NAT-T містить додатковий заголовок UDP перед пакетом IPSec, щоб він у всій мережі оброблявся як звичайний пакет UDP і хост одержувача не проводив жодних перевірок цілісності. Після надходження пакета за місцем призначення заголовок UDP видаляється і пакет даних продовжує свій подальший шлях як інкапсульований пакет IPSec. Таким чином, за допомогою механізму NAT-T можливе встановлення зв'язку між клієнтами IPSec у захищених мережах та загальнодоступними хостами IPSec через міжмережові екрани.

При налаштуванні міжмережевих екранів D-Link у пристрої-одержувачі слід зазначити два пункти:

• у полях Remote Network та Remote Endpoint вказати мережу та IP-адресу віддаленого пристрою-відправника. Необхідно дозволити перетворення IP-адреси ініціатора (відправника) за допомогою технології NAT (рис. 3.48).
• При використанні спільних ключів з кількома тунелями, підключеними до одного віддаленого міжмережевого екрану, які були перетворені за допомогою NAT в одну і ту ж адресу, важливо переконатися, що Local ID є унікальним для кожного тунелю.

Local IDможе бути одним з:

• Auto– як локальний ідентифікатор використовується IP-адреса інтерфейсу вихідного трафіку.
• IP– IP-адреса WAN-порту віддаленого міжмережевого екрану
• DNS– DNS-адреса
• Email– Email

IPSec у міжмережевих екранах D-Link

Міжмережні екрани NetDefend дозволяють створювати IPSec-тунелі на основі IKE-ключів та сертифікатів.

Використання ключів (Pre-Shared Key)

При мінімальних налаштуваннях для роботи сервера VPN необхідно:

• Створити об'єкти (у папці Objects):
  • IP-адресу віддаленої точки (наприклад, IPSec_remote_endpoint) та віддаленої мережі (наприклад, IPSec_remote_net);
  • ключ Pre-shared Key (Autentication Objects), об'єкт IKE Algorithmsта об'єкт IPSec Algorithms (VPN Objects). За замовчуванням у DFL об'єкти IKE Algorithms, IPSec Algorithmsта алгоритми шифрування та хешування вже задані, але можна змінити або додати алгоритми, які можуть бути використані при обміні ключами (IKE Algorithms) та самому шифруванні трафіку (IPSec Algorithms).
• Створити IPSec Tunnel(в папці Interfaces).
• Створити дозвільні правила (у папці IP Rules) для доступу трафіку з тунелю у внутрішню мережу та назад.

Використання сертифікатів (Certificates)

Сертифікати X.509 базуються на методі шифрування з відкритим ключем. Кожен сертифікат поряд з іншою інформацією (терміном дії, ім'ям власника тощо) містить публічний ключ. Секретний ключ власник зберігає у окремому файлі.

Сертифікати підписуються центром Certificate Authority (CA), що дозволяє підтвердити справжність сертифіката, інформації, що міститься в сертифікаті та, зрештою, віддаленого хоста. Справжність CA перевіряється відповідно до його свідоцтва, яке є загальнодоступним.

Сертифікати є цифровим підтвердженням особистості та можуть бути використані для автентифікації індивідуальних користувачів або інших користувачів. Для встановлення VPN-тунелю з автентифікацією сертифікатів міжмережевого екрану необхідно мати власний сертифікат і сертифікат віддаленого міжмережевого екрану. Ці сертифікати можуть бути самопідписаними або підписані центром сертифікації (CA).

Під час встановлення VPN-тунелю міжмережевий екран повинен знати, кому він повинен довіряти. При використанні попередньо розподілених ключів все просто. Міжмережевий екран довіряє всім, хто має такий самий ключ. У разі використання сертифікатів міжмережевий екран повинен довіряти всім, чий сертифікат підписаний CA. Перш ніж сертифікат буде прийнято, виконуються такі дії для автентифікації сертифіката:

• створюється шлях сертифікації до кореневого CA, якому довіряють;
• перевіряються підписи всіх сертифікатів у дорозі сертифікації.

Зазвичай VPN-тунель встановлюється, якщо сертифікат віддаленого вузла, підписаний CA, представлений у полі Root certificatesу вкладці Authenticationу меню створеного VPN-тунелю. Однак у деяких випадках виникає необхідність обмежити тих, хто може встановлювати VPN-тунель навіть серед вузлів, підписаних тим самим CA. Список осіб може бути обраний у полі Identification List Відмінність цих двох режимів у тому, що Aggressive mode передасть більша кількістьінформації в меншій кількості пакетів (зменшується час з'єднання (створення IPSec-тунелю)), але він не забезпечує захист автентичності.

Група ключів DH IKE (IKE DH Group). DH – Diffie-Hellman – криптографічний протокол, який дозволяє двом сторонам, які спілкуються через небезпечну мережу (наприклад, Інтернет), згенерувати спільний секретний ключ, який згодом використовуватиметься для шифрування даних між цими сторонами.

Криптостійкість алгоритму визначається розміром ключа: 1 (768 bit), 2 (1024 bit) або 5 (1536 bit). Розмір ключа DH групи 1 дорівнює 768 біт. Розмір ключа DH групи 2 дорівнює 1024 біт. Розмір ключа DH групи 5 дорівнює 1536 біт. Чим вища група, тим більше криптоскоїм стає алгоритм, і тим більше ресурсівпроцесора він споживає.

PFS(Perfect Forward Secrecy – досконала пряма секретність) – додаткове шифрування під час обміну ключами у другій фазі.

Якщо функцію PFS увімкнено, для кожного узгодження на другій фазі буде виконуватися новий обмін за протоколом Diffie-Hellman, забезпечуючи нові дані для ключів. Внаслідок чого система має більшу стійкість щодо криптографічних атак. Якщо один ключ буде зламаний, інший ключ не зможе бути отриманий під час використання тієї ж інформації. При цьому збільшується завантаження процесора та знижується загальна продуктивністьсистеми.

NAT Traversalвикористовується у випадку, якщо обидва пристрої, що встановлюють IPSec-тунель, працюють під NAT'ом. Можливий вибір опцій:

Disabled – міжмережевий екран не надсилатиме ідентифікатор "vendor ID".

On if supported and NATed – якщо один із пристроїв IPSec-тунелю працює під NAT'ом і DFL повідомляє про це другого пристрою, надсилаючи ідентифікатор "vendor ID".

On if supported – завжди використовувати NAT, коли встановлюється тунель.

Keep-aliveнадсилає повідомлення "ping" у тому випадку, якщо один пристрій під час відправлення даних тунелю не отримує відгуку від другого пристрою. Можливий вибір опцій:

Disable – механізм Keep-alive вимкнено

Auto – міжмережевий екран надсилатиме повідомлення ping ICMP на IP-адреси, автоматично знайдені у параметрах тунелю VPN.

Засоби фільтрації трафіку

Завданнями засобів фільтрації трафіку є контроль мережевого трафіку (вмісту мережних пакетів) та блокування (фільтрація) трафіку, що не відповідає заданим правилам безпеки. Фільтри трафіку проводять контроль та аналіз вмісту мережевих пакетів на прикладному рівні, але на відміну від міжмережевих екранів, не здійснюють посередницьку функцію між двома вузлами для виключення їхньої безпосередньої взаємодії (мережеві екрани та проксі сервера). На відміну від засобів IDS/IPS фільтри трафіку не забезпечують виявлення та запобігання мережевим вторгненням та атакам.

До засобів фільтрації трафіку відносяться:

• фільтри мережевих протоколів;
• контент-фільтри, у тому числі URL-фільтри;
• спам-фільтри;
• фільтри веб-трафіку для захисту веб-додатків(Web Security).

Зазначені засоби фільтрації трафіку вбудовані та застосовуються всередині окремих засобів захисту, таких як Firewall, Network Antivirus, Proxy Server, IDS/IPS, UTM, WAF, E-Mail Security, HIPS, з вирішенням різних завдань або реалізуються у вигляді окремих програмних та апаратно -програмних засобів. Додатково засоби фільтрації трафіку використовуються в системах білінгу, облік та тарифікація трафіку; контролю, статистики, моніторингу мережевої активності користувачів у реальному часі та користування мережею Інтернет та ін.

Фільтри за мережевими протоколамипропускають трафік за певними мережевими протоколами та блокують трафік інших протоколів. Дані кошти встановлюються межі мережі, забезпечуючи пропуск лише необхідного мережного трафіку за певними протоколами усередину мережі та/або у зовнішню мережу, тобто. забезпечують виконання мережевих політик.

Контент-фільтри

Контент-фільтри(Content Monitoring and Filtering, CMF) блокують доступ до небажаних контентів мережі Інтернет. Є фільтрами веб-трафіку (протоколи http/https).

Фільтрування веб-трафіку проводиться за URL-адресами сайтів «чорного списку» (URL-фільтри), ключовим словом, сигнатурою або типом файлу, за вмістом сайтів з використанням морфологічного аналізу. ін) або на робочих станціях в антивірусах (функція «батьківський контроль», для захисту від фішинг-сайтів), персональних firewall тощо. Можуть застосовуватись як окремі програмні засоби.

Фільтри веб-трафіку (WebSecurity)

Фільтри веб-трафіку (WebSecurity)використовують для захисту веб-програм від різних видів загроз, що надходять по веб-трафіку, у тому числі від проникнення шкідливого коду. Є фільтрами веб-трафіку (протоколи http/https). Функції фільтрації веб-трафіку застосовуються в таких засобах захисту, як WAF . Для того, щоб захистити від загроз, що походять від веб-трафіку, рекомендується застосовувати спеціалізовані рішення класу Web Security.

Основні функції засобів Web Security:

• захист веб-трафіку від вірусів та шкідливого програмного забезпечення;
• блокування доступу до шкідливих сайтів;
• захист від фішингових атак;
• контроль доступу користувачів до різних веб-ресурсів;
• URL-фільтрація та категорування сайтів.

Як я вже не раз говорив у своїх статтях щодо брандмауера Windows в режимі підвищеної безпеки, починаючи з операційних систем Windows Vista та Windows Server 2008 R2, брандмауер Windows за замовчуванням покращує безпеку кожного комп'ютера в організації шляхом блокування всього вхідного трафіку, який не було дозволено явно. При встановленні програми або компонента операційної системи, якому потрібні вхідні підключення, операційна система автоматично включає вхідні правила брандмауера і вам, як правило, не доводиться конфігурувати їх вручну. Якщо ви відкриєте оснастку безпосередньо з панелі управління або виконавши команду wf.msc у діалоговому вікні «Виконати», або в командному рядку, то побачите, що ви вже деякі правила автоматично включені. Наприклад, це може бути правило, яке автоматично створюється з установкою програми Windows Live Messenger або при розгортанні ролі Hyper-V, як показано на наступній ілюстрації:

Рис. 1. Правила вхідних підключень, що автоматично віддаються

Але не завжди правила вхідних підключень брандмауера Windows створюються автоматично. Для деяких програм, які не створюють правила вхідних підключень за промовчанням, вам доведеться створювати правила вручну. Якщо така програма встановлена ​​на одному комп'ютері або на кількох комп'ютерах, які розташовані в робочій групі, ви можете створювати правила безпосередньо в оснастці "Брандмауер Windows у режимі підвищеної безпеки". Але що робити, якщо комп'ютери ваших співробітників є членами домену та таких комп'ютерів десятки, а то й сотні? У такому випадку для використання адміністратором правил брандмауера Windows в організації слід скористатися груповою політикою, яка надає аналогічний інтерфейс.

У цій статті ви дізнаєтеся про те, як гнучке керування брандмауером Windows можна виконувати в режимі підвищеної безпеки засобами групових політик, а саме про створення вхідних та вихідних підключень для певної групи користувачів.

Створення об'єкта групової політики для керування брандмауерами Windows у режимі підвищеної безпеки

Перш ніж створювати правила вхідних та вихідних підключень для брандмауерів Windows у режимі безпеки клієнтських комп'ютерів вашої організації, вам потрібно знайти підрозділи, які містять облікові записикомп'ютерів вашої організації та створити об'єкт GPO, який потім міститиме набір політик з параметрами, призначеними для конкретного набору комп'ютерів. Після цього, за допомогою оснастки , потрібно буде конфігурувати правила для вхідних та вихідних підключень. У процесі створення об'єкта групової політики, призначеної для керування брандмауерів Windows у режимі підвищеної безпеки немає нічого специфічного. Для цього виконайте такі дії:

Після того, як ви виконаєте всі вказані раніше дії, можна зайнятися створенням вхідних та вихідних правил для брандмауера Windows у режимі підвищеної безпеки.

Налаштування правила для вхідного та вихідного підключення

На цьому етапі ми створимо правило для вхідних підключень, яке застосовується до програми Windows Live Messenger на 1900 порт для 64-розрядних операційних систем Windows Vistaі Windows 7, а також правило для вихідного підключення, що дозволяє запити від браузера Internet Explorer в об'єкті групової політики, який створювався у попередньому розділі цієї статті. За умовчанням члени локальної групи адміністраторів також можуть створювати та змінювати правила для вхідних та вихідних підключень у оснащенні "Брандмауер Windows у режимі підвищеної безпеки". Такі правила поєднуються з правилами, отриманими з групових політик, і застосовуються до конфігурації комп'ютера. Щоб створити правило вхідного підключення у створеному раніше об'єкті групової політики, виконайте такі дії:

1. У вузлі «Об'єкти групової політики»оснастки виберіть створений раніше об'єкт GPO, в даному випадку об'єкт "Налаштування брандмауера Windows", натисніть на ньому правою кнопкою миші «Змінити»;
2. У оснащенні Редактор управління груповими політикамиу дереві консолі розгорніть вузол Конфігурація комп'ютера\Політики\Конфігурація Windows\Параметри безпеки\Брандмауер Windows у режимі підвищеної безпеки\Брандмауер Windows у режимі підвищеної безпеки\Правила для вхідних підключень . Клацніть правою кнопкою миші елемент "Правила для вхідних підключень"і із контекстного менювиберіть команду "Створити правило", як показано на наступній ілюстрації:





Рис. 6. Створення нового правила для вхідних підключень

3. На першій сторінці «Майстра створення правила для нового вхідного підключення»ви можете вибрати одну з опцій, які докладно описані далі:
   • Для програми. Цей тип правила для брандмауера служить для створення правила, що дозволяє або блокує підключення конкретного файлу, незалежно від використовуваних номерів портів. Більшість людей цей тип правила може бути найкориснішим, оскільки далеко ще не всі знають, які порти використовує конкретна програма. Найкраще в більшості випадків застосовувати саме цей тип правила, але варто звернути увагу на те, що даний тип не застосовується в тому випадку, якщо конкретна служба не містить власний файл, що виконується;
   • Для порту. Цей тип правила для брандмауера служить для створення правила, що дозволяє або блокує комунікації для певного TCP або UDP порту, незалежно від програми, яка генерує трафік. Створюючи правило цього типу, ви можете вказати одночасно кілька портів;
   • Обумовлені. Цей тип правила для брандмауера служить для створення правила, що управляє підключеннями конкретної програми або служби операційної системи, яка відображається у відповідному списку, що розкривається. Деякі програми після своєї установки додають свої записи до цього списку для спрощення процесу створення правил для вхідних підключень;
   • Настроювані. Цей тип правила для брандмауера служить для створення правила, яке може комбінувати відомості про програму та порт одночасно.

Щоб розглянути максимальну кількість сторінок майстра, виберемо тип «Налаштовується правило»;




Рис. 7. Сторінка «Тип правила» майстра створення правила для нового вхідного підключення

4. На сторінці "Програма"Майстер створення правила для нового вхідного підключення дозволяє вказати шлях до програми, яку перевірятиме брандмауер Windows в режимі підвищеної безпеки на те, щоб пакети, що посилаються або приймаються, задовольняли даному правилу. У нашому випадку встановимо перемикач на опцію «Шлях програми»і у відповідному текстовому полі введемо "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe", як показано нижче:



Рис. 8. Сторінка «Програма» майстра створення правила для нового вхідного підключення

5. На сторінці «Протокол та порти»майстри створення правила для нового вхідного підключення ви можете вказати протокол та порти, які використовуються в мережевому пакеті, які задовольнятимуть поточне правило. Якщо вам потрібно вказати кілька портів, ви можете ввести їх через кому. А якщо вам необхідно вказати цілий діапазон портів, розділіть менше і більше портів дефісом. Коротко розглянемо параметри локальних портів для правил підключення:
   • Усі порти. Правило застосовується для всіх вхідних та вихідних підключень за протоколами TCP чи UDP;
   • Спеціальні порти. У цьому випадку ви можете вказати конкретні порти, які будуть застосовуватись для вхідного або вихідного підключення за протоколами TCP або UDP;
   • Зіставник кінцевих точок RPC. Це значення можна вибрати лише для підключення до протоколу TCP. У цьому випадку комп'ютер отримуватиме вхідні RPC-запити за протоколом TCP через порт 135 у запиті RPC-EM, де вказується мережева служба і запитує номер порту, яким і прослуховується дана мережна служба;
   • Динамічні порти RPC. Так само як і для попереднього значення, дане значенняможна вибрати тільки для вхідних підключень за протоколом TCP, де комп'ютер отримуватиме вхідні мережеві RPC-пакети через порти, які призначаються середовищем виконання RPC;
   • IPHTTPS. Це значення доступне лише для підключення до протоколу TCP. У цьому випадку дозволяється приймати вхідні пакети за протоколом тунелювання IPHTTPS, що підтримує впровадження пакетів IPv6 у пакети мережі IPv4 HTTPS від віддаленого комп'ютера;
   • Обхід вузлів. Ви можете вибрати це значення лише для вхідних підключень за протоколом UDP, яке дозволяє отримувати вхідні мережні пакети Teredo.

Наприклад, щоб вказати для програми Windows Live Messenger TCP порти 80, 443 і 1900, у списку, що розкривається "Тип протоколу"Виберіть "TCP", у списку, що розкривається «Локальний порт»виберіть значення «Спеціальні порти», а в текстовому полі, розташованому під вказаним вище розкривним меню, введіть "80, 443, 1900". Залишіть значення списку, що розкривається «Віддалений порт»без змін та натисніть на кнопку «Далі»;




Рис. 9. Сторінка «Протокол та порти» майстра створення правила для нового вхідного підключення

6. На сторінці «Область»даного майстра ви можете вказати IP-адреси локальних та віддалених комп'ютерів, мережевий трафік яких буде застосовуватись для поточного правила. Тут доступні два розділи: локальні та віддалені IP-адреси, до яких застосовуватиметься це правило. Як у першому, так і в другому розділах, мережевий трафік задовольнятиме це правило лише в тому випадку, якщо IP-адреса призначення є в даному списку. При виборі опції «Будь-яка IP-адреса», правилу будуть задовольняти мережеві пакети з будь-якою IP-адресою, які будуть вказані як адреса локального комп'ютераабо які будуть адресовані від будь-якої IP-адреси (у разі правила для вхідного підключення). Якщо вам потрібно вказати конкретні IP-адреси, встановіть перемикач на опцію «Вказані IP-адреси»і певну адресу або підмережа використовуючи діалогове вікно, що відкривається після натискання на кнопку «Додати». У нашому випадку залишимо цю сторінку без змін і натиснемо на кнопку «Далі»;



Рис. 10. Сторінка «Область» майстра створення правила для нового вхідного підключення

7. На сторінці "Дія"ви можете вибрати дію, яка буде виконуватися для вхідних або вихідних пакетів у даному правилі. Тут ви можете вибрати одну з трьох таких дій:
   • Дозволити підключення. При виборі даного значення ви дозволяєте всі підключення, які відповідають критерію, вказаному на всіх попередніх сторінках майстра;
   • Дозволити безпечне підключення. Поточне значення для правила брандмауера Windows у режимі підвищеної безпеки дозволяє дозволяти підключення лише в тому випадку, якщо вони відповідають критеріям, вказаним вами раніше, а також захищені за протоколом IPSec. Не будемо зупинятись на даному значенні, оскільки воно буде детально розглянуто у моїх наступних статтях;
   • Блокувати підключення. У цьому випадку брандмауер Windows у режимі підвищеної безпеки скидатиме будь-які спроби підключення, які відповідають критеріям, зазначеним вами раніше. Незважаючи на те, що спочатку всі підключення блокуються брандмауером, це значення доцільно вибирати в тому випадку, якщо вам потрібно заборонити підключення для конкретної програми.

Оскільки нам потрібно дозволити доступ до програми Windows Live Messenger, встановлюємо перемикач на опції «Дозволити підключення»та натискаємо на кнопку «Далі»;




Рис. 11. Сторінка «Дія» майстра створення правила для нового вхідного підключення

8. На сторінці «Профіль»майстра створення правила для нового вхідного підключення ви можете вибрати профіль, до якого буде застосовано це правило. Ви можете вибрати або один із трьох доступних профілівабо одразу кілька. Найчастіше для організації вибирається або профіль «Доменний»або всі три профілю. Якщо ж у вашій організації не використовуються доменні служби Active Directoryабо ви налаштовуєте правила брандмауера для домашнього комп'ютера, вам буде достатньо вказати тільки профіль «Приватний». Правила для профілю «Публічне»створюються для загальнодоступних підключень, що, в принципі, робити небезпечно. У нашому випадку встановимо прапорці на всіх трьох профілях і натиснемо на кнопку «Далі»;



Рис. 12. Сторінка «Профіль» майстра створення правила для нового вхідного підключення

9. На сторінці «Ім'я»вкажіть ім'я для створеного вами нового правила брандмауера Windows у режимі підвищеної безпеки для вхідного підключення, за необхідності введіть опис для поточного правила та натисніть кнопку «Готово».



Рис. 13. Сторінка «Ім'я» майстра створення правила для нового вхідного підключення

За промовчанням брандмауер Windows у режимі підвищеної безпеки дозволяє весь вихідний трафік, що, по суті, піддає комп'ютер меншій загрозі злому, ніж дозвіл вхідного трафіку. Але, в деяких випадках, вам необхідно контролювати не тільки вхідний, але й вихідний трафік на комп'ютерах ваших користувачів. Наприклад, такі шкідливі програмні продуктияк черв'яки та деякі типи вірусів можуть виконувати реплікацію самих себе. Тобто, якщо вірус успішно зміг ідентифікувати комп'ютер, він намагатиметься всіма доступними (для себе) способами відправляти вихідний трафік для ідентифікації інших комп'ютерів цієї мережі. Таких прикладів можна наводити чимало. Блокування вихідного трафіку обов'язково порушить роботу більшості вбудованих компонентів операційної системи та встановленого програмного забезпечення. Тому, при включенні фільтрації вихідних підключень вам потрібно ретельно протестувати кожну встановлену на комп'ютерах додаток.

Створення вихідних правил трохи відрізняється від зазначеної вище процедури. Наприклад, якщо ви заблокували на комп'ютерах всі вихідні підключення, а вам потрібно відкрити користувачам доступ на використання браузера Internet Explorer, виконайте наступні дії:

1. Якщо вам потрібно, щоб правило брандмауера Windows для вихідного підключення було призначено в новому об'єкті групової політики, виконайте дії, які вказані в розділі "Створення об'єкта групової політики для керування брандмауерами Windows у режимі підвищеної безпеки";
2. У оснащенні Редактор управління груповими політикамиу дереві консолі розгорніть вузол Конфігурація комп'ютера\Політики\Конфігурація Windows\Параметри безпеки\Брандмауер Windows у режимі підвищеної безпеки\Брандмауер Windows у режимі підвищеної безпеки\Правила вихідних підключень . Клацніть правою кнопкою миші елемент "Правила для вихідних підключень"та з контекстного меню виберіть команду "Створити правило";
3. На сторінці майстра «Тип правила»виберіть опцію «Для програми»та натисніть на кнопку «Далі»;
4. На сторінці "Програма", встановіть перемикач на опцію «Шлях програми»та введіть у відповідне текстове поле %ProgramFiles%\Internet Explorer\iexplore.exe або виберіть цей файл, натиснувши на кнопку «Огляд»;
5. На сторінці "Дія"даного майстра виберіть опцію «Дозволити підключення»та натисніть на кнопку «Далі»;
6. На сторінці «Профіль»погодьтеся зі значеннями за замовчуванням та натисніть кнопку «Далі»;
7. На заключній сторінці, сторінці «Ім'я», введіть ім'я для цього правиланаприклад, "Правило для браузера Internet Explorer"та натисніть на кнопку «Готово».

В області відомостей оснащення Редактор управління груповими політикамиу вас має відображатись створене правило, як показано на наступній ілюстрації:

Рис. 14. Створене правило для вихідного підключення

Призначення фільтрації для створеного правила

Тепер, після того, як ви створили об'єкт групової політики з вхідним та вихідним правилом для підключень, вам потрібно звернути увагу на наступний момент. Під час створення правила для вхідного підключення ми вказали шлях до Windows Live Messenger для 64-розрядної операційної системи. Чи всі комп'ютери у вашій організації оснащені 64-розрядними операційними системами. Якщо все, то вам дуже пощастило і більше нічого не потрібно робити. Але якщо у вас є клієнтські комп'ютери з 32-розрядними ОС, то ви зіткнетеся з проблемою. Правило просто не працюватиме. Звичайно, ви можете створити різні підрозділи для комп'ютерів із 32-розрядними та для комп'ютерів із 64-розрядними операційними системами, але це не зовсім раціонально. Іншими словами, вам потрібно вказати в оснастці «Управління груповою політикою», що об'єкт GPO повинен застосовуватися лише на комп'ютерах із 64-розрядною операційною системою. Таке обмеження можна створити за допомогою WMI-фільтра. Докладніше про фільтрацію WMI ви дізнаєтеся в одній із наступних статей, а зараз варто лише зупинитися на створенні такого фільтра. Щоб вказати WMI-фільтр для визначення 64-розрядних операційних систем, виконайте такі дії:

Висновок

У цій статті ви дізнаєтесь про те, як можна створити правила брандмауера Windows у режимі підвищеної безпеки для вхідних та вихідних підключень засобами оснащення "Брандмауер Windows у режимі підвищеної безпеки", а також за допомогою групових політик для комп'ютерів організації, які є членами домену Active Directory. Описано попередні роботи, а саме створення підрозділу з комп'ютерами, а також об'єкта групової політики. Були розглянуті приклади створення настроюваного правила для вхідного підключення, а також правило типу «Для програми»для вихідного підключення.