DOMICA Team

:: Блог - Спутниковое телевидение :: :: ВКонтакте - Спутниковое телевидение:: :: Одноклассники - Спутниковое телевидение:: :: FACEBOOK - Спутниковое телевидение::

Автор Тема: Брандмауэр Windows  (Прочитано 6085 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Kires

  • Глобальный модератор
  • Оффлайн

  • *
  • Сообщений: 1 088
  • Country: 00
  • Статус: +6085/-1
  • Пол: Мужской
  • Mой ресивер: D-800HD
  • Антенны: 53Е,56Е,58Е,75Е,80Е,90Е,96E. 1,1-1,3-1,5-1,8м
Брандмауэр Windows
« : 26 июня 2008, 17:40:35 »
  • Nikname of reply

  •                   Будущее и настоящее брандмауэров Windows

     В брандмауэре в исходном выпуске Windows® XP многое оставляло желать лучшего. Хотя он в полной мере соответствовал функциональным возможностям обеспечения безопасности коммерческих отдельных брандмауэров того времени, в нем не было ничего нового или новаторского.

     Версия, включенная в пакет обновления 2 (SP2) для Windows XP, была полностью изменена. Она была специально разработана для упрощения управляемости предприятия. Брандмауэр, входящий в состав Windows XP с пакетом обновления 2 (SP2), является очень привлекательным с точки зрения небольшого размера, централизованного управления, эффективности и отсутствия вмешательства в работу системы. Но что, возможно, самое важное, брандмауэр, входящий в состав Windows XP с пакетом обновления 2 (SP2), предоставляет крайне важную возможность: защита системы при загрузке.

     Последнее является исключительно важным. В прошлом я видел множество систем, зараженных во время загрузки даже при включенном брандмауэре. Фактически, во время пика эпидемии вируса Blaster фиксировалась одна атака каждые четыре минуты. Другими словами, если компьютер, подключенный к Интернету, оставался в незащищенном состоянии, он мог быть заражен в среднем через четыре минуты. А если использовался брандмауэр, не защищающий систему при загрузке, 1 система из 12 заражалась при загрузке. Эти цифры и вынудили корпорацию Майкрософт включить в брандмауэр Windows XP с пакетом обновления 2 (SP2) возможность защиты системы при загрузке.

     В Windows Vista брандмауэр был снова полностью реконструирован. Наиболее очевидным изменением с точки зрения управления является объединение интерфейсов управления протокола IPsec и брандмауэра. Это очень логичное изменение. Протокол IPsec и брандмауэр предназначены для блокирования неразрешенных действий. Отличие заключается в том, что параметры брандмауэра, определяющие разрешенные действия, не детализированы, а блокирование или разрешение адресного пространства большого объема в IPsec является громоздким.

     Благодаря наличию двух функций в одном интерфейсе управления администраторы могут беспрепятственно использовать обе технологии, меньше беспокоясь о том, что для чего-то необходимо правило IPsec, а для другого – фильтр брандмауэра. По существу, доступно единое представление поверхности сетевой атаки системы, позволяющее свести к минимуму опасность возникновения ошибок.

     В пакете обновления 1 (SP1) для Windows Vista к функциям брандмауэра был добавлен ряд улучшений надежности. Также были добавлены новые алгоритмы, прежде всего алгоритмы набора B, для использования в IPsec. Это набор алгоритмов шифрования, включающий алгоритмы Advanced Encryption System (AES), Elliptic Curve Cryptography (ECC) и Secure Hash Algorithm (SHA) 256 и 384.

     Однако, что самое главное, в пакете обновления 1 (SP1) добавлена поддержка защиты доступа к сети (NAP). NAP – это средство применения политики, обеспечивающее установку для управляемых и нескомпрометированных клиентов последних политик безопасности, обновлений и определений защиты от вредоносных программ до разрешения подключения клиентов к сети. NAP не может предотвратить подключение к сети вредоносных узлов, однако он гарантирует полное соответствие всех подобных узлов, если они не скомпрометированы активно.

     Брандмауэр Windows, называемый брандмауэром Windows в режиме повышенной безопасности, также входит в состав Windows Server® 2008. Кроме того, все функции могут управляться удаленно и настраиваться по сети с помощью групповой политики. :s-domica:) :smoke:

    Kires

    • Глобальный модератор
    • Оффлайн

    • *
    • Сообщений: 1 088
    • Country: 00
    • Статус: +6085/-1
    • Пол: Мужской
    • Mой ресивер: D-800HD
    • Антенны: 53Е,56Е,58Е,75Е,80Е,90Е,96E. 1,1-1,3-1,5-1,8м
    Re: Брандмауэр Windows
    « Ответ #1 : 26 июня 2008, 19:58:16 »
  • Nikname of reply

  •                             Типы правил и ситуации

     Сочетание возможностей брандмауэра и IPsec в интерфейсе управления означает появление двух различных типов правил: правил направления и правил подключения. Правила направления – это стандартные правила брандмауэра, определяющие разрешенный трафик в соответствующем направлении. Правила подключения определяют параметры защиты для подключений между компьютерами. Если проводить аналогию, правила направления схожи с правилами брандмауэра, известными из предыдущих версий брандмауэров, а правила подключения сходны с правилами IPsec, используемыми вместе с брандмауэром в Windows XP с пакетом обновления 2 (SP2).

     Совмещение брандмауэра и IPsec в одном интерфейсе делает доступными несколько очень интересных ситуаций. Например, изоляция систем в сети – одна из наиболее ценных из доступных сегодня концепций безопасности. Корпорация Майкрософт называет это «изоляцией серверов и доменов».

     При изоляции серверов и доменов используются как возможности IPsec, так и возможности брандмауэра. В соответствие с этим в новый интерфейс управления брандмауэра входят специальные функции для правил изоляции. Они используются, например, при необходимости ограничения подключения на основе атрибутов исходной системы или системы назначения, например, на основе членства в домене.

     При запуске мастера создания правила для нового безопасного подключения появляется запрос на указание типа создаваемого правила. При выборе «Изоляция» мастер настраивает определенные параметры, соответствующие правилу изоляции. Также можно заметить, что в правиле изоляции упоминается состояние работоспособности. Правила, используемые для изоляции серверов и доменов и для защиты доступа к сети (NAP), одинаковы.

     Для некоторых типов трафика невозможно применить проверку подлинности. Например, проверка подлинности для механизма разрешения имен через DNS, скорее всего, не требуется. Для конечных точек этого типа трафика необходимо правило освобождения от проверки подлинности. Правило освобождения от проверки подлинности в точности соответствует своему названию – оно освобождает трафик от требований IPsec.

     Правило сервер-сервер названо не совсем верно. Хотя оно в основном используется для серверов, оно также может использоваться с клиентами. Правило сервер-сервер просто настраивает подключение на необходимость проверки подлинности. Оно отличается от правила изоляции не только тем, что для правила изоляции необходима проверка подлинности, также необходимо выполнение определенного дополнительного критерия, такого как членство в домене или состояние работоспособности.

     Правило туннеля фактически определяет виртуальную частную сеть (VPN) типа «сеть-сеть» и туннель между шлюзами. Правила туннеля редко используются в Windows Vista, поскольку маловероятно, чтобы в Windows Vista использовались ее возможностями шлюза. Можно создавать полностью настраиваемые правила. Это позволяет настраивать все параметры правила.

    Kires

    • Глобальный модератор
    • Оффлайн

    • *
    • Сообщений: 1 088
    • Country: 00
    • Статус: +6085/-1
    • Пол: Мужской
    • Mой ресивер: D-800HD
    • Антенны: 53Е,56Е,58Е,75Е,80Е,90Е,96E. 1,1-1,3-1,5-1,8м
    Re: Брандмауэр Windows
    « Ответ #2 : 26 июня 2008, 20:27:37 »
  • Nikname of reply

  •                           Порядок правил

     Порядок правил на первый взгляд может показаться довольно сложным. Для ознакомления с порядком правил необходимо сначала забыть о порядке. Смысл заключается не столько в порядке, сколько в выборе соответствия. Рассмотрим в качестве примера входящий трафик. Входящий трафик, не соответствующий правилам, разрешающим его, блокируется по умолчанию. Это можно рассматривать как порядок «разрешающие правила учитываются в первую очередь», но это предположение будет неверным. Если определенный пакет соответствует как разрешающему правилу, так и правилу блокировки, приоритет имеет блокирующее правило. Это означает, что соответствие, говоря простым языком, это следующее:
      1.Правила блокировки. Если пакет или подключение соответствует одному из них, оно отвергается.
      2.Разрешающие правила. Если пакет или подключение соответствует одному из них, оно разрешается.
      3.Поведение правила направления по умолчанию. Если отсутствуют соответствующие разрешающие правила или правила блокировки, трафик обрабатывается в соответствие с поведением, указанным в качестве поведения по умолчанию для трафика данного направления данного профиля. Для входящего трафика всех профилей это означает блокирование трафика в настройке по умолчанию. Для исходящего правила по умолчанию это означает разрешение трафика в настройке по умолчанию.

     Процесс сопоставления управляется правилами обхода для проверенной подлинности (IPsec). При использовании этого типа правил разрешается весь трафик, прошедший проверку подлинности и соответствующий другим параметрам правила, независимо от его соответствия другим правилам. Правила обхода для проверенной подлинности – это правила направления, для которых установлен флажок «Переопределить правила блокировки». Они учитываются в первую очередь, чтобы трафик, прошедший проверку подлинности, всегда достигал системы. Это ключ к простому разрешению трафика от узлов, прошедших проверку подлинности, и блокировании трафика от остальных узлов. Это правило можно рассматривать в качестве 0 в порядке.
     Таким образом, полный список порядка правил выглядит следующим образом.
         0. Правила обхода для проверенной подлинности

         1. Правила блокировки

         2. Разрешающие правила

         3. Поведение правила направления по умолчанию


     Наличие нескольких правил в каждом классе, соответствующем шаблону трафика, не имеет значения. Если устанавливается соответствие трафика какому-либо правилу, обработка правила прекращается.

    Kires

    • Глобальный модератор
    • Оффлайн

    • *
    • Сообщений: 1 088
    • Country: 00
    • Статус: +6085/-1
    • Пол: Мужской
    • Mой ресивер: D-800HD
    • Антенны: 53Е,56Е,58Е,75Е,80Е,90Е,96E. 1,1-1,3-1,5-1,8м
    Re: Брандмауэр Windows
    « Ответ #3 : 30 июня 2008, 04:13:31 »
  • Nikname of reply

  •                         Общий, частный и доменный

     Новый брандмауэр имеет три профиля: общий, частный и доменный. С другой стороны, брандмауэр Windows XP с пакетом обновления 2 (SP2) имел два сетевых профиля: стандартный и доменный. Доменный профиль запускается автоматически при обнаружении компьютером контроллера домена. В противном случае в Windows XP использовался стандартный профиль. Благодаря этому для администратора безопасности предоставлялись многосторонние функции, с помощью которых он мог полностью заблокировать компьютер при его перемещении, сохраняя возможности удаленного управления, необходимого в сети организации. Но этот подход создавал определенные проблемы для некоторых пользователей, в частности, пользователей с личными домашними сетями. Поскольку в случаях, когда контроллер домена был недоступен для системы, всегда использовался стандартный профиль, доступ пользователя к системе был заблокирован.

     Новый частный профиль, входящий в состав Windows Vista, помогает решить эту проблему. Теперь при подключении системы к новой сети необходимо указать, является ли сеть общедоступной (это просто новое название прежнего стандартного профиля) или частной, и настроить систему соответствующим образом. Система использует настроенные параметры при каждом подключении к этой сети на основе сетевых параметров, предоставленных серверами инфраструктуры сети. Это ни коим образом не стопроцентно надежное решение, но оно помогает лучше защищать большее количество сетей.

     Также улучшена логика определения нахождения системы в домене. Результатом является более быстрый и надежный переход, а также меньшее количество систем, полагающих, что необходимо использовать общедоступный или частный профиль, в то время как система в действительности находится в домене.

     Можно привязать правила к определенному типу сети, устраняя предоставление излишней информации и попытки подключения к системам в недоверенных сетях. Это одна из областей, в которых интеграция брандмауэра и IPsec начинает оправдывать себя.

     Используя эти новые правила, можно указать некоторые ограничения, которые ранее были недоступны. Например, в течение многих лет злоумышленники использовали атаки с приманкой, направленные на то, чтобы пользователи выполнили подключения SMB (для сетей Windows) к недоверенным узлам, тем самым вызывая последовательность проверки подлинности, предоставляющую им пару вызов/ответ, которая может использоваться для взлома паролей. Более старые версии подобной атаки также использовались для снижения до обычной проверки подлинности или для повторного отображения пары вызов/ответ пользователя на исходном компьютере. Возможность использования первого приема была устранена несколько лет назад. Второй прием был устранен в Windows XP с пакетом обновления 2 (SP2), но необходимо иметь в виду, что предоставление пар вызов/ответ все равно является неразумным.

     Во избежание этого можно использовать другую новую функцию брандмауэра Windows Vista— фильтрацию исходящего трафика. Например, администратор может заблокировать все исходящие подключения SMB (завершающиеся на портах TCP 135, 139, 445 и UDP 137, 138, 445) в общем профиле. Это усложняет использование системы в атаке с приманкой для получения пар вызов/ответ и предотвращает доступ к недоверенным общим файловым ресурсам Windows в Интернете.

     Это опять же не является стопроцентно надежным решением. Например, если система уже скомпрометирована, это правило не прекратит передачу данных системой, поскольку злоумышленник может просто отключить его. Однако это может быть полезным в качестве меры защиты стабильных, но потенциально уязвимых систем.

     В данном контексте необходимо упомянуть, что так же, как и в Windows XP с пакетом обновления 2 (SP2), в Windows Vista и Windows Server 2008 одновременно может быть активным только один профиль. Если в системе существуют два сетевых интерфейса, один из которых находится в домене, в другой – в общедоступной сети, к обоим интерфейсам будет применяться общедоступный профиль брандмауэра. Всегда будет использоваться наиболее ограничивающий профиль. Как вы можете догадаться, общедоступный профиль является более ограничивающим, чем частный, а частный профиль – более ограничивающим, чем доменный профиль. Так что имейте в виду, что правило блокировки исходящего трафика SMB может заблокировать много трафика через подключения VPN.

     Для разрешения трафика через подключения VPN, если компьютер находится в частной или общедоступной сети, создаются правила направления, применяемые только к интерфейсам VPN. Чтобы это работало, интерфейсы VPN должны распознаваться Windows. Если не используется сервер VPN служб маршрутизации и удаленного доступа Microsoft®, перед широким развертыванием эту функцию необходимо проверить. В основном это проблема входящего трафика на клиент и любых создаваемых настраиваемых правил для исходящих подключений.
                              :s-domica:) :smoke:

    Kires

    • Глобальный модератор
    • Оффлайн

    • *
    • Сообщений: 1 088
    • Country: 00
    • Статус: +6085/-1
    • Пол: Мужской
    • Mой ресивер: D-800HD
    • Антенны: 53Е,56Е,58Е,75Е,80Е,90Е,96E. 1,1-1,3-1,5-1,8м
    Re: Брандмауэр Windows
    « Ответ #4 : 30 июня 2008, 14:00:04 »
  • Nikname of reply

  •                      Создание правил брандмауэра

     Создание правил в новом брандмауэре осуществляется гораздо проще. Мастер создания нового правила,  позволяет определить правила всех обычных типов. Также включены предопределенные правила для определенных служб.
     
     Предопределенные правила особенно важны. Изоляция серверов – это, по сути, такое ограничение служб, при котором они доступны только системам, для которых они необходимы. В серверных продуктах для упрощения этого может использоваться мастер настройки безопасности Windows, хотя при этом все-таки возникают определенные трудности. (Мастер настройки безопасности Windows рассматривался в выпуске журнала TechNet Magazine за март 2008 г.)

     Но до настоящего времени подобные функции отсутствовали в клиентских версиях Windows. При использовании предопределенного правила большая часть тяжелой работы выполняется за вас — задача определения конечных точек, используемых службой. Брандмауэру известно, какую программу представляет «служба iSCSI» не только на уровне приложений; он также содержит предопределенные правила, описывающие определенные функции. Это позволяет обратить основное внимание на компьютеры, на которые должно распространяться правило. Это все еще трудная и требующая больше времени задача, но по крайней мере она уникальная для вашей среды.

     Также присутствует настраиваемое правило предоставляющее всю гибкость, ожидаемую от брандмауэра с проверкой подлинности. Например, при необходимости правила, разрешающего только трафик, зашифрованный с помощью IPsec, на странице «Действие» мастера следует установить флажок для разрешения только безопасных подключений.

     При установке этого флажка также можно включить шифрование. Если не включать шифрование, трафик будет использовать ESP-NULL (ESP с ключом NULL). Для проверки подлинности рекомендуется использовать IPsec. Это позволяет работать большинству средств управления сетями, поскольку трафик проходит через сеть в открытом виде, при возникновении же необходимости в шифровании необходимо просто установить флажок.

     Во многих случаях шифрование сетевого трафика не настолько важно, как непринятие трафика от вредоносных узлов. Шифрование трафика в сети предотвращает просмотр содержимого пакета злоумышленником, получившим доступ к самой сети. Необходимость проверки подлинности в первую очередь может помешать отправке пакета и доступу злоумышленника. Конечно, во многих случаях шифрование на уровне сети имеет большое значение, но также существует множество случаев, когда необходима только проверка подлинности.  :smoke: :s-domica:)

    Kires

    • Глобальный модератор
    • Оффлайн

    • *
    • Сообщений: 1 088
    • Country: 00
    • Статус: +6085/-1
    • Пол: Мужской
    • Mой ресивер: D-800HD
    • Антенны: 53Е,56Е,58Е,75Е,80Е,90Е,96E. 1,1-1,3-1,5-1,8м
    Re: Брандмауэр Windows
    « Ответ #5 : 01 июля 2008, 22:33:38 »
  • Nikname of reply

  •                                 Создание правил изоляции доменов

     В большинстве сред возможность отправки трафика рабочей станции должно иметь ограниченное количество компьютеров. По крайней мере, правила изоляции доменов должны быть настроены для всех рабочих станций. Это сложно выполняется в Windows XP, но просто в Windows Vista.

     Сначала откройте используемое средство управления и выберите узел «Правила безопасности подключения». Затем щелкните узел правой кнопкой мыши и выберите «Новое правило», появится диалоговое окно, показанное на рис. 1. Выберите узел «Изоляция» и щелкните «Далее». Теперь следует выбрать необходимость принудительного выполнения правила. В большинстве случаев на рабочих станциях не требуется проверка подлинности для входящего трафика. Благодаря рабочей станции могут отправлять трафик только компьютеры, входящие в домен. Однако для запроса служб от служб инфраструктуры система должна разрешать передачу определенного исходящего трафика в открытом виде. Поэтому наилучшим вариантом является необходимость проверки подлинности для входящих подключений и запрос проверки подлинности для исходящих подключений.

     Затем выберите метод проверки подлинности. Метод по умолчанию называется «По умолчанию» - определенно не очень полезное название. Метод проверки подлинности по умолчанию можно настроить для всех компьютеров по отдельности в свойствах IPsec (для доступа к ним необходимо щелкнуть узел «Брандмауэр Windows в режиме повышенной безопасности» правой кнопкой мыши и выбрать свойства). Методом проверки подлинности по умолчанию всегда является Kerberos, поскольку это наиболее простой и безопасный метод. Однако в целях ясности я рекомендую выбирать его при создании собственных правил. Обычно необходима проверка подлинности компьютера, а не пользователя. При необходимости проверки подлинности как компьютера, так и пользователя может быть невозможным получение некоторых видов трафика управления, например, анонимно передаваемого трафика SNMP.

     После выбора метода проверки подлинности все, что необходимо сделать, это просто выбрать профили, в которых будет доступно это правило. Поскольку это правило применяется к присоединенным к домену компьютерам, которые могут предоставлять билет Kerberos, нет смысла открывать эту брешь в частных или общих профилях. Сохраните правило, и все готово.

     Основные правила изоляции больше не являются сложными. Однако, чтобы использовать для изоляции возможности IPsec, необходимо реализовать изоляцию серверов даже на рабочих станциях. Это позволяет ограничить рабочие станции от прослушивания других клиентов. Вместо этого они будут отвечать только соответствующим станциям управления. Представьте, насколько меньше воздействие различных вредоносных проникновений на клиентские системы, не прослушивающие другие клиенты.
                   :s-domica:) :smoke:

    Kires

    • Глобальный модератор
    • Оффлайн

    • *
    • Сообщений: 1 088
    • Country: 00
    • Статус: +6085/-1
    • Пол: Мужской
    • Mой ресивер: D-800HD
    • Антенны: 53Е,56Е,58Е,75Е,80Е,90Е,96E. 1,1-1,3-1,5-1,8м
    Re: Брандмауэр Windows
    « Ответ #6 : 06 июля 2008, 20:37:11 »
  • Nikname of reply

  •                       Создание сценариев для брандмауэра

     В состав нового брандмауэра входит важный интерфейс API, позволяющий создавать сценарии для развертывания и оценки. В идеале для развертывания необходимо использовать групповую политику, но поскольку она не всегда доступна, важно именно верный набор интерфейсов API для настройки брандмауэра. Интерфейсы API сгруппированы в набор INetFWPolicy2. В пакете SDK и библиотеке MSDN® содержатся более подробные сведения об их использовании, но главную идею можно проиллюстрировать с помощью всего нескольких примеров.
     Один общий пример необходим для определения включения группы правил. Например, приложению или администратору необходимо определить, разрешен ли для системы общий доступ к файлам и принтерам. Это можно сделать с помощью INetFWPolicy2::IsRuleGroupCurrentlyEnabled.
                 Использование INetFWPolicy2::IsRuleGroupCurrentlyEnabled
     ' Create the FwPolicy2 object.
    Dim fwPolicy2
    Set fwPolicy2 = CreateObject("HNetCfg.FwPolicy2")

    ' Get the Rules object
    Dim RulesObject
    Set RulesObject = fwPolicy2.Rules

    'Create a profile object
    Dim CurrentProfile
    CurrentProfile = fwPolicy2.CurrentProfileTypes

    'Check whether File and Printer Sharing is on, and turn it on if not
    if fwPolicy2.IsRuleGroupEnabled(CurrentProfile, "File and Printer Sharing")  TRUE then
        fwPolicy2.EnableRuleGroup CurrentProfile, "File and Printer Sharing", TRUE
    end if
     Теперь, если общий доступ к файлам и принтерам выключен, и его необходимо разрешить, сначала необходимо убедиться, что это может быть выполнено и не будет переопределяться групповой политикой. Это выполняется с помощью интерфейса API INetFWPolicy2::LocalPolicyModifyState. Основа, которую можно заполнить фактическим кодом, показана ниже:
    Const NET_FW_MODIFY_STATE_OK = 0
    Const NET_FW_MODIFY_STATE_GP_OVERRIDE = 1
    Const NET_FW_MODIFY_STATE_NO_EXCEPTIONS = 2

    Dim PolicyModifyState
    PolicyModifyState = fwPolicy2.LocalPolicyModifyState
    Select Case PolicyModifyState
      Case NET_FW_MODIFY_STATE_OK
      Case NET_FW_MODIFY_STATE_GP_OVERRIDE
      Case NET_FW_MODIFY_STATE_NO_EXCEPTIONS
    End Select
                      :s-domica:) :smoke:

     

    :: спутниковые ресиверы ::