Ази Windows Firewall

Microsoft послідовно виконує обіцянку закрити проломи в операційних системах сімейства Windows. Пакет оновлень Windows XP SP2 включає в себе брандмауер Windows Firewall, Який допоможе посилити захищеність корпоративних мереж. Брандмауер Windows, що є розвитком продукту Internet Connection Firewall (ICF), являє собою персональний брандмауер, що підтримує централізовану налаштування через групові політики (GP) служби каталогу AD. Брандмауер ICF хоча і надав користувачам систем Windows 2000 кошти фільтрування IP пакетів в залежності від стану з'єднання, не отримав широкого розповсюдження з кількох причин. По-перше, при установці системи ICF за замовчуванням відключений, і, по-друге, ICF не підтримує централізоване управління. Навпаки, брандмауер Windows надає кошти розширеного ведення журналів, централізованого управління, більш деталізовані правила фільтрування, одним словом хороший брандмауер мережного рівня. І, що приємно, користувач отримує брандмауер Windows безкоштовно та автоматично у складі пакету оновлень Windows XP SP2.

Принципи захисту


Брандмауери мережевого рівня захищають мережу від атак, при яких зловмисники відшукують прогалини в захисті мережі або намагаються використовувати уразливості внутрішніх серверів мережі. Ці брандмауери не захищають мережу від черв'яків і вірусів, що передаються через легітимний трафік, як, наприклад, вкладені файли електронної пошти або при завантаженні файлів з мережі. На жаль, користувачі не завжди підключають свої комп'ютери до Internet через захищені брандмауером з'єднання. У аеропорту, готелі, при відвідуванні клієнта або будинку – комп'ютер може бути підключений до незахищеної мережі, поза безпечного периметра. Адміністратори корпоративних мереж можуть мінімізувати ці ризики, застосовуючи на мережевих комп'ютерах користувачів персональні брандмауери, такі як брандмауер Windows. Персональний брандмауер працює на більш низькому рівні стека протоколів, ніж прикладні програми та перевіряє звістку вхідний і вихідний трафік на комп'ютері, на якому він встановлений.


Як і інші брандмауери мережевого рівня, брандмауер Windows перевіряє весь вхідний трафік і блокує весь трафік, який не запитаний користувачем і не дозволений списками доступу ACL. Брандмауер Windows використовує технологію визначення стану підключення для визначення запитаного трафіку. При Web-серфінгу брандмауер запам'ятовує з'єднання браузера і динамічно відкриває порт для отримання даних на локальному комп'ютері. Після закриття з'єднання брандмауер автоматично закриває порт.


Використання персональних брандмауерів типу брандмауерів Windows на настільних комп'ютерах в додаток до спільного захисту периметра мережі дозволяє досягти більш високого ступеня безпеки корпоративної мережі. Нерідким є сценарій, коли черв'як заражає ноутбук мобільного користувача через незахищене з'єднання, а потім ноутбук підключається до корпоративної мережі, і хробак поширюється з корпоративної мережі, захищеної тільки по зовнішньому периметру. Персональні брандмауери, встановлені на настільних системах, дозволяють запобігти поширенню шкідливих програм і мінімізувати можливі збитки.


Використання персональних брандмауерів в корпоративній мережі вимагає значних зусиль з боку ІТ-персоналу, оскільки вимагає установки і налаштування на кожному окремому комп'ютері в мережі. ICF вимагає індивідуальної настройки брандмауера для кожного мережевого адаптера, що робить розгортання захисту досить трудомістким процесом. Брандмауер Windows дозволяє скоротити трудовитрати, захищаючи комп'ютер у цілому і використовуючи централізоване керування параметрами захисту. Крім того, брандмауер Windows є чутливим до стану підключення, тобто коли комп'ютер підключений до корпоративної мережі, можна використовувати більш м'які правила захисту, ніж коли комп'ютер підключений до Internet і необхідна максимальна захист. Захист брандмауера Windows слід включити навіть у разі підключення до локальної корпоративної мережі, щоб виключити розповсюдження хробаків, які використовують для поширення підключення до випадкових портів або сканування портів. Необхідно настроїти брандмауер Windows таким чином, щоб дозволити роботу легальних програм, таких як віддалений моніторинг і управління, спільний доступ до файлів та інші служби, використовувані в корпоративній мережі.


Безконтрольний вихідний трафік


Брандмауер Windows забезпечує більш тонке налаштування списків контролю доступу ACL, ніж ICF, але все ще не забезпечує такої повноти налаштувань, як багато продуктів, пропоновані незалежними розробниками. Брандмауер перевіряє тільки вхідний трафік і чи то дозволяє, або забороняє його. Він дозволяє настроїти правила, що дозволяють або забороняють вхідний трафік, дозволяючи при цьому весь вихідний трафік і допустимий запитаний вхідний трафік. Така конфігурація дозволяє блокувати значну частину зовнішніх атак, допускаючи при цьому роботу протоколів віддаленого управління. Більш складні персональні брандмауери аналізують також вихідний трафік, який може бути сформований програмою-шпигуном або хробаком. Microsoft рекомендує використовувати фільтрування IP Security (IPSec) та політики управління вихідним трафіком, але слід враховувати, що технологія IPSec не має коштів перемикання типу небезпечне / безпечне підключення, так що доведеться залишити досить значне число відкритих портів для вирішення отримання зворотних викликаючи від віддалених комп'ютерів. Наприклад, якщо для управління комп'ютерами використовується протокол RPC, можна налаштувати брандмауер Windows для прийому вхідного трафіку, а заодно потрібно фільтр IPSec вихідного трафіку для перевірки вихідного трафіка, якому зазвичай необхідно відкрити порт з номером більше 1024.


Більшість брандмауерів дозволяє задавати правила, що враховують такі характеристики мережевого трафіку, як адреса і протокол. Персональні брандмауери за визначенням мають у своєму розпорядженні більшу інформацію про програми, генеруючих мережевий трафік, оскільки встановлені на тих же системах. Брандмауер Windows використовує цю інформацію, підтримуючи не тільки ACL для параметрів мережевих з'єднань (наприклад, дозволити використання порту 25, SMTP), але і ACL, накладені на програми. Наприклад, якщо створити запис в ACL, що дозволяє MSN Messenger підключатися до вашого комп'ютера, брандмауер Windows пропустить будь Незатребуване запит до MSN Messenger, коли він надійде на захищений комп'ютер. Таким чином, брандмауер Windows відкриває порти для цього трафіку, дозволяючи безперешкодно працювати програмі MSN Messenger.


Брандмауер Windows дозволяє легко налаштовувати трафік залежно від його джерела. Наприклад, можна дозволити доступ до зазначеного комп'ютера для інших комп'ютерів мережі. Брандмауер Windows дозволяє вказати в якості значення вихідного IP-адреси будь-який комп'ютер (Any computer), локальну мережу (підмережа) (My network (subnet)), або список комп'ютерів та мереж (Custom list). Локальна мережа (підмережа) визначає сегмент мережі, в якому встановлений даний комп'ютер. Щоб дозволити спільне використання файлів і принтерів, можна задати правило, яке дозволяє використовувати окремі порти (наприклад, TCP 135 -139 і 445) і визначити правила, що базуються на адресу джерела (наприклад, всі комп'ютери в корпоративній мережі). Параметр Custom list дозволяє вказати список або діапазон адрес IP і масок підмереж (наприклад, 192.168.0.0/255.255.255.0, 192.168.0.10). Можливість використання множинних підмереж і мереж з подсетями важливо для великих організацій, що використовують складну систему підмереж в корпоративній мережі.



Встановлення та налаштування брандмауера Windows


При установці XP SP2 відбувається автоматична установка брандмауера Windows і включення брандмауера для всіх мережевих адаптерів. Нижче буде показано, як відключити брандмауер Windows перед установкою SP2 – Це може знадобитися при використанні інших брандмауерів, розроблених сторонніми виробниками.


Локальна настройка брандмауера Windows для всіх мережевих адаптерів здійснюється через панель управління.




Панель управління Windows Firewall

Для виконання налаштування параметрів брандмауера Windows необхідно мати права локального адміністратора.


Брандмауер Windows може працювати в одному з трьох режимів – включений (за замовчуванням), не дозволяти виключення, і вимкнений. У брандмауері Windows винятками називаються списки управління доступом ACL. У стані "Увімкнено" брандмауер Windows захищає комп'ютер, допускаючи трафік, дозволений на вкладці виключень (Exceptions). При установці прапорця "Не дозволяти виключення (Don` t allow exceptions) "брандмауер Windows блокує всі без винятку входять Незатребуване пакети, пропускаючи тільки затребувані дані і весь вихідний трафік.


Налаштування брандмауера Windows відбувається, в першу чергу, шляхом вказівки виключень. Для локального управління винятками необхідно запустити програму "Брандмауер Windows" в панелі управління і перейти на вкладку винятків (Exceptions).




Налаштування виключень Windows Firewall

Ця вкладка дозволяє вказати програми та порти, запити для яких брандмауер буде пропускати.


Брандмауер Windows управляє всіма наявними на комп'ютері мережевими підключеннями, але брандмауер можна відключити для окремих мережних адаптерів на вкладці "Додатково" (Advanced). Інші налаштування на цій вкладці дозволяють налаштовувати ведення журналу та вказувати правила для протоколу управління ICMP (Internet Control Message Protocol).


Управління брандмауером Windows через групові політики


Одним з найбільш цінних якостей брандмауера Windows є можливість застосування групових політик для управління його налаштуваннями на комп'ютерах користувачів. Групові політики дозволяють централізовано настроювати будь-які виключення для всіх комп'ютерів в мережі. Можна також настроювати різні параметри захисту для окремих груп користувачів. Наприклад, можна створити організаційну одиницю (OU) Sales_Laptops, містить всі ноутбуки відділу продажів. Далі можна створити об'єкт групової політики Group Policy Object (GPO), який включає брандмауер Windows тільки для цієї групи комп'ютерів. Ці налаштування будуть активовані на ноутбуках відділу продажів, коли ці комп'ютери оновлять GPO. Цей метод дозволяє задати стандартні налаштування брандмауера Windows для будь-якого домену, сайту або OU. Об'єкт групової політики для брандмауера Windows дозволяє управляти тільки комп'ютерами з Windows XP SP2, Що входять в дану організаційну одиницю.


Адміністратор може використовувати нові елементи об'єкта групової політики (GPO) брандмауера Windows, створивши об'єкт GPO на комп'ютері XP SP2. У редакторі групових політик елементи GPO для брандмауера Windows розташовані в розділі "Конфігурація комп'ютера, Адміністративні шаблони Мережа, Мережеві підключення, Брандмауер Windows" (Computer Configuration, Administrative Templates, Network, Network Connections, Windows Firewall). Використання групових політик для управління брандмауером Windows дозволяє заборонити користувачеві змінювати ці налаштування локально, навіть якщо користувач володіє правами локального адміністратора. Об'єкт GPO "Дозволити винятки для локальних портів" (Allow Local Port Exceptions) дозволяє дозволити або заборонити введення особистого брандмауера Windows локального адміністратора. Нові об'єкти GPO для управління брандмауером Windows перераховані нижче:



Відкриті системи
 

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*