Обмеження можливості мережевого доступу

Можливість мережевого доступу реалізується завдяки зайвому колі-честву мережевих сервісів, за замовчуванням надаються сервером ОС Win-dows Server 2003 Впорядкований по найменуванню перелік мережевих серви-сов, що функціонують в ОС за замовчуванням, наведено в табл 61 Повний перелік мережевих сервісів ОС Windows Server 2003 наведено у додатку 2

Таблиця 61

Перелік мережевих сервісів ОС Windows Server 2003

Порт

Тип

Протокол

Найменування системної служби

137

TCP

NetBIOS Name Resolution

Computer Browser

137

UDP

NetBIOS Name Resolution

Computer Browser

138

UDP

NetBIOS Datagram Service

Computer Browser

139

TCP

NetBIOS Session Service

Computer Browser

139

TCP

NetBIOS Session Service

Fax Service

445

TCP

SMB

Fax Service

445

UDP

SMB

Fax Service

500

UDP

IPSec ISAKMP

IPSec Services

138

UDP

NetBIOS Datagram Service

License Logging Service

139

TCP

NetBIOS Session Service

License Logging Service

445

TCP

SMB

License Logging Service

445

UDP

SMB

License Logging Service

138

UDP

NetBIOS Datagram Service

Messenger

137

TCP

NetBIOS Name Resolution

Net Logon

137

UDP

NetBIOS Name Resolution

Net Logon

138

UDP

NetBIOS Datagram Service

Net Logon

139

TCP

NetBIOS Session Service

Net Logon

3389

TCP

Terminal Services

NetMeeting Remote Desktop Sharing

139

TCP

NetBIOS Session Service

Performance Logs and Alerts

139

TCP

NetBIOS Session Service

Print Spooler

445

TCP

SMB

Print Spooler

445

UDP

SMB

Print Spooler

135

TCP

RPC

Remote Procedure Call

139

TCP

NetBIOS Session Service

Remote Procedure Call Locator

445

TCP

SMB

Remote Procedure Call Locator

445

UDP

SMB

Remote Procedure Call Locator

4500

UDP

NAT-T

Routing and Remote Access

137

TCP

NetBIOS Name Resolution

Server

137

UDP

NetBIOS Name Resolution

Server

138

UDP

NetBIOS Datagram Service

Server

139

TCP

NetBIOS Session Service

Server

445

TCP

SMB

Server

445

UDP

SMB

Server

1900

UDP

SSDP

SSDP Discovery Service

5000

TCP

SSDP legacy event notification

SSDP Discovery Service

3389

TCP

Terminal Services

Terminal Services

137

TCP

NetBIOS Name Resolution

Windows Internet Name Service

137

UDP

NetBIOS Name Resolution

Windows Internet Name Service

123

UDP

NTP

Windows Time

123

UDP

SNTP

Windows Time

Як відомо, перелік відкритих мережевих портів може бути отриманий командою netatat-aon Результати виконання цієї команди для ОС Windows Server 2003 наведено на рис 61

Рис 61 Результати виконання команди netstat

Згідно з наведеною вище схемою організації доступу до захищається даними, сервер термінального доступу повинен виконувати тільки завдання забезпечення служби MSTS Сервер термінального доступу, зокрема, не повинен виконувати функції контролера домену Таким чином, з переліку функціонуючих за замовчуванням мережевих служб повинні бути виключені всі служби крім служби Terminal Services, TCP-порт 3389

Для забезпечення захисту мережевого трафіку додатково може пона-

домогтися функціонування служби IPSec Services (UDP-порт 500), а також інших служб, що використовуються спеціалізованими СЗІ

Виняток служб може бути здійснено двома способами: оста-

новому служби в оснащенні Services (рис 62) або забороною доступу до служби із застосуванням міжмережевого екранування

Способом зупину повинні бути виключені служби: Computer

Browser, Server, Windows Internet Name Service, Net Logon, Messenger, License

Logging Service, Fax Service, Performance Logs and Alerts, Print Spooler, Remote Procedure Call Locator, Routing and Remote Access, SSDP Discovery Service, Windows Time Відключення служби Remote Procedure Call, функціоную-щей на 135 TCP-порту, призводить до непрацездатності вузла, тому заборона доступу до цього порту буде проводитися з використанням технології міжмережевого екранування

Шляхом модифікації налаштування мережевих зєднань (рис 63) і отклю-чення служби NetBIOS через TCP / IP забороняються служби, що використовують порт TCP 139

Рис 62 Вікно переліку служб ОС Windows

Рис 63 Вікно налаштування властивостей протоколу TCP / IP

У підсумку після відключення вищевказаних служб відкритими залишаються порти TCP: 135, 445, 1025, 3389 UDP: 445, 500, 4500 (рис 64) Заборонити дані порти, які є, безумовно, небезпечними з точки зору здійснюва- лення несанкціонованого доступу, можливо лише шляхом міжмережевого ек-ранірованія

Рис 64 Перелік відкритих портів, що залишаються після зупину мережних служб

Технологія міжмережевого екранування в ОС Windows Server 2003 мо-

жет бути застосована з використанням:

– Налаштувань протоколу IPSec

– Штатного брандмауера «Брандмауер Windows»

– Додаткового брандмауера, реалізованого сертифікований-

вим засобом захисту інформації

У разі використання налаштувань протоколу IPSec обмеження доступу до портів може бути здійснено або через параметри фільтрації прото-

кола TCP / IP у вікні додаткових параметрів властивостей протоколу TCP / IP (рис 65), або шляхом створення шаблону безпеки для IP-протоколу у вікні

«Локальна політика безпеки» (рис 66)

При використанні параметрів фільтрації протоколу TCP / IP необ-

димо заборонити всі порти, крім порту TCP 3389, що відповідає за функцио-

нирование MSTS (рис 67) Однак у цьому випадку не вдається заборонити функ-ціонірованіе протоколу ICMP, тобто неможливо виключити входять ICMP-запити та вихідні ICMP-відповіді

При використанні шаблону безпеки для IP-протоколу створюється нова політика, роздільна функціонування TCP-порту 3389 і забороняє-щающая функціонування інших IP-протоколів, включаючи ICMP

У разі використання штатного брандмауера «Брандмауер

Windows »(рис 68) необхідно також заборонити використання всіх портів, за винятком TCP-порту 3389 (рис 610) Зазначений порт іменується в про-грамі «Дистанційним керуванням робочим столом» (рис 69) Додат-ково слід відключити функціонування протоколу ICMP (рис 611)

Рис 65 Вікно додаткових параметрів властивостей протоколу TCP / IP

Рис 66 Вікно «Локальна політика безпеки»

Застосування спеціалізованих сертифікованих засобів захисту, що реалізують засоби міжмережевого екранування, зокрема СЗІ VipNet, є, безумовно, більш кращим, ніж використання штатних засобів ОС Windows

Рис 67 Установка фільтра, дозволяючого зєднання

Рис 68 Вікно штатного брандмауера Брандмауер Windows

Рис 69 Вікно настройок «Брандмауера Windows»

Рис 610 Вікно налаштування служби «Дистанційне керування робочим столом»

Рис 611 Вікно відключення протоколу ICMP

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*