Ази Windows Firewall, Безпека ПЗ, Security & Hack, статті

Microsoft послідовно виконує обіцянку закрити проломи в операційних системах сімейства Windows. Пакет оновлень Windows XP SP2 включає в себе брандмауер Windows Firewall, Який допоможе посилити захищеність корпоративних мереж. Брандмауер Windows, що є розвитком продукту Internet Connection Firewall (ICF), являє собою персональний брандмауер, що підтримує централізовану настройку через групові політики (GP) служби каталогу AD. Брандмауер ICF хоча і надав користувачам систем Windows 2000 кошти фільтрування IP пакетів в залежності від стану з’єднання, не отримав широкого розповсюдження з кількох причин. По-перше, при установці системи ICF за замовчуванням відключений, і, по-друге, ICF не підтримує централізоване управління. Навпаки, брандмауер Windows надає засоби розширеного ведення журналів, централізованого управління, більш деталізовані правила фільтрування, одним словом хороший брандмауер мережевого рівня. І, що приємно, користувач отримує брандмауер Windows безкоштовно і автоматично у складі пакету оновлень Windows XP SP2.

Принципи захисту


Брандмауери мережевого рівня захищають мережу від атак, при яких зловмисники відшукують проломи в захисті мережі або намагаються використовувати уразливості внутрішніх серверів мережі. Ці брандмауери не захищають мережу від черв’яків і вірусів, що передаються через легітимний трафік, як, наприклад, вкладені файли електронної пошти або при завантаженні файлів з мережі. На жаль, користувачі не завжди підключають свої комп’ютери до Internet через захищені брандмауером з’єднання. В аеропорту, готелі, при відвідуванні клієнта або будинку – комп’ютер може бути підключений до небезпечної мережі, поза безпечного периметра. Адміністратори корпоративних мереж можуть мінімізувати ці ризики, застосовуючи на мережевих комп’ютерах користувачів персональні брандмауери, такі як брандмауер Windows. Персональний брандмауер працює на більш низькому рівні стека протоколів, ніж прикладні програми та перевіряє звістку вхідний і вихідний трафік на комп’ютері, на якому він встановлений.


Як і інші брандмауери мережевого рівня, брандмауер Windows перевіряє весь вхідний трафік і блокує весь трафік, який не запитаний користувачем і не дозволений списками доступу ACL. Брандмауер Windows використовує технологію визначення стану підключення для визначення запитаного трафіку. При Web-серфінгу брандмауер запам’ятовує з’єднання браузера і динамічно відкриває порт для отримання даних на локальному комп’ютері. Після закриття з’єднання брандмауер автоматично закриває порт.


Використання персональних брандмауерів типу брандмауерів Windows на настільних комп’ютерах в додаток до загальної захисту периметра мережі дозволяє досягти більш високого ступеня безпеки корпоративної мережі. Нерідким є сценарій, коли черв’як заражає ноутбук мобільного користувача через незахищене з’єднання, а потім ноутбук підключається до корпоративної мережі, і хробак поширюється з корпоративної мережі, захищеної тільки по зовнішньому периметру. Персональні брандмауери, встановлені на настільних системах, дозволяють запобігти поширенню шкідливих програм і мінімізувати можливі збитки.


Використання персональних брандмауерів в корпоративній мережі вимагає значних зусиль з боку ІТ-персоналу, оскільки вимагає установки і настройки на кожному окремому комп’ютері в мережі. ICF вимагає індивідуальної настройки брандмауера для кожного мережевого адаптера, що робить розгортання захисту досить трудомістким процесом. Брандмауер Windows дозволяє скоротити трудовитрати, захищаючи комп’ютер в цілому і використовуючи централізоване управління параметрами захисту. Крім того, брандмауер Windows є чутливим до стану підключення, тобто коли комп’ютер підключений до корпоративної мережі, можна використовувати більш м’які правила захисту, ніж коли комп’ютер підключений до Internet і необхідна максимальна захист. Захист брандмауера Windows слід включити навіть у разі підключення до локальної корпоративної мережі, щоб виключити поширення хробаків, що використовують для поширення підключення до випадкових портів або сканування портів. Необхідно налаштувати брандмауер Windows таким чином, щоб дозволити роботу легальних програм, таких як віддалений моніторинг і управління, спільний доступ до файлів та інші служби, які використовуються в корпоративній мережі.


Безконтрольний вихідний трафік


Брандмауер Windows забезпечує більш тонке налаштування списків контролю доступу ACL, ніж ICF, але все ще не забезпечує такої повноти налаштувань, як багато продуктів, що пропонуються незалежними розробниками. Брандмауер перевіряє тільки вхідний трафік і або дозволяє, або забороняє його. Він дозволяє настроїти правила, що дозволяють або забороняють вхідний трафік, дозволяючи при цьому весь вихідний трафік і допустимий запитаний вхідний трафік. Така конфігурація дозволяє блокувати значну частину зовнішніх атак, допускаючи при цьому роботу протоколів віддаленого управління. Більш складні персональні брандмауери аналізують також вихідний трафік, який може бути сформований програмою-шпигуном або хробаком. Microsoft рекомендує використовувати фільтрування IP Security (IPSec) та політики управління вихідним трафіком, але слід враховувати, що технологія IPSec не має коштів перемикання типу небезпечне / безпечне підключення, так що доведеться залишити досить значне число відкритих портів для дозволу одержання зворотних викликаючи від віддалених комп’ютерів. Наприклад, якщо для управління комп’ютерами використовується протокол RPC, можна налаштувати брандмауер Windows для прийому вхідного трафіку, а заодно потрібно фільтр IPSec вихідного трафіку для перевірки вихідного трафіку, якому зазвичай необхідно відкрити порт з номером більше 1024.


Більшість брандмауерів дозволяє задавати правила, що враховують такі характеристики мережевого трафіку, як адреса і протокол. Персональні брандмауери за визначенням мають більшу інформацію про програми, генеруючих мережевий трафік, оскільки встановлені на тих же системах. Брандмауер Windows використовує цю інформацію, підтримуючи не тільки ACL для параметрів мережевих з’єднань (наприклад, дозволити використання порту 25, SMTP), але і ACL, накладені на програми. Наприклад, якщо створити запис в ACL, що дозволяє MSN Messenger підключатися до вашого комп’ютера, брандмауер Windows пропустить будь Незатребуване запит до MSN Messenger, коли він надійде на захищений комп’ютер. Таким чином, брандмауер Windows відкриває порти для цього трафіку, дозволяючи безперешкодно працювати програмі MSN Messenger.


Брандмауер Windows дозволяє легко налаштовувати трафік в залежності від його джерела. Наприклад, можна дозволити доступ до вказаного комп’ютера для інших комп’ютерів мережі. Брандмауер Windows дозволяє вказати як значення вихідного IP-адреси будь-який комп’ютер (Any computer), локальну мережу (підмережа) (My network (subnet)), або список комп’ютерів і мереж (Custom list). Локальна мережа (підмережа) визначає сегмент мережі, в якому встановлений даний комп’ютер. Щоб дозволити спільне використання файлів і принтерів, можна задати правило, яке дозволяє використовувати окремі порти (наприклад, TCP 135 -139 і 445) і визначити правила, що базуються на адресу джерела (наприклад, всі комп’ютери в корпоративній мережі). Параметр Custom list дозволяє вказати список або діапазон адрес IP і масок підмереж (наприклад, 192.168.0.0/255.255.255.0, 192.168.0.10). Можливість використання множинних підмереж і мереж з підмережами важливо для великих організацій, що використовують складну систему підмереж в корпоративній мережі.



Установка і настройка брандмауера Windows


При установці XP SP2 відбувається автоматична установка брандмауера Windows і включення брандмауера для всіх мережевих адаптерів. Нижче буде показано, як відключити брандмауер Windows перед установкою SP2 – Це може знадобитися при використанні інших брандмауерів, розроблених сторонніми виробниками.


Локальна настройка брандмауера Windows для всіх мережевих адаптерів здійснюється через панель управління.


Налаштування виключень Windows Firewall


Ця вкладка дозволяє вказати програми та порти, запити для яких брандмауер буде пропускати.


Брандмауер Windows управляє всіма наявними на комп’ютері мережевими підключеннями, але брандмауер можна відключити для окремих мережевих адаптерів на вкладці “Додатково” (Advanced). Інші настройки на цій вкладці дозволяють налаштовувати ведення журналу і вказувати правила для протоколу управління ICMP (Internet Control Message Protocol).


Управління брандмауером Windows через групові політики


Одним з найбільш цінних якостей брандмауера Windows є можливість застосування групових політик для управління його настройками на комп’ютерах користувачів. Групові політики дозволяють централізовано настроювати будь-які винятки для всіх комп’ютерів в мережі. Можна також настроювати різні параметри захисту для окремих груп користувачів. Наприклад, можна створити організаційну одиницю (OU) Sales_Laptops, містить всі ноутбуки відділу продажів. Далі можна створити об’єкт групової політики Group Policy Object (GPO), який включає брандмауер Windows тільки для цієї групи комп’ютерів. Ці налаштування будуть активовані на ноутбуках відділу продажів, коли ці комп’ютери оновлять GPO. Цей метод дозволяє задати стандартні настройки брандмауера Windows для будь-якого домену, сайту або OU. Об’єкт групової політики для брандмауера Windows дозволяє управляти тільки комп’ютерами з Windows XP SP2, Що входять в дану організаційну одиницю.


Адміністратор може використовувати нові елементи об’єкта групової політики (GPO) брандмауера Windows, створивши об’єкт GPO на комп’ютері XP SP2. В редакторі групових політик елементи GPO для брандмауера Windows розташовані в розділі “Конфігурація комп’ютера, Адміністративні шаблони Мережа, Мережеві підключення, Брандмауер Windows” (Computer Configuration, Administrative Templates, Network, Network Connections, Windows Firewall). Використання групових політик для управління брандмауером Windows дозволяє заборонити користувачеві змінювати ці налаштування локально, навіть якщо користувач має права локального адміністратора. Об’єкт GPO “Дозволити винятки для локальних портів” (Allow Local Port Exceptions) дозволяє дозволити або заборонити введення особистого брандмауера Windows локальному адміністратору. Нові об’єкти GPO для управління брандмауером Windows перераховані нижче:



                                                                                        Відкриті системи
 

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*