Процесс настройки firewall для корпоративной сети

Введение
С быстрым ростом интереса к Интернету и операционной системе Windows NT безопасность сети стала важной задачей для многих компаний во всем мире. Тот факт, что информация о взломе и проникновении в корпоративные сети и средства, необходимые для этого, легко и широко доступны, еще больше усиливает актуальность проблем безопасности. В связи с этим администраторы сети часто тратят гораздо больше усилий и времени на защиту сетей, чем на установку программ и администрирование.
Вопросы защиты особенно важны для системы, установленной на компьютере, поддерживающем постоянное соединение с интернет.
Для защиты компьютера от вторжения по сети используется сетевой экран. Сетевой экран – Firewall является основой безопасности и первым кольцом защиты вторжения извне. Межсетевой экран обеспечивает защиту посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении на основе заданных правил, проводя, таким образом, разграничение доступа субъектов из одной системы к объектам другой.
Каждое правило запрещает или разрешает передачу информации определенного вида между субъектами и объектами. Интерпретация набора правил выполняется последовательностью фильтров, которые разрешают или запрещают передачу данных (пакетов) на следующий фильтр или уровень протокола.
1 Технологии работы FirewallFirewall - это система, управляющая прохождением пакетов данных через систему на основе заданных администратором правил и информации, содержащейся в заголовках пакетов. Обычное использование firewall - запрещение прохождения нежелательных пакетов, например, отключение абонента, не оплатившего услуги связи, или закрытие части сервисов локальной сети от внешнего мира.
Немного о Firewall
Сетевой фильтр, шлюз безопасности, брандмауэр или Firewall, вот, сколько названий имеет программа, которая словно огненная стена (fire – огонь, wall – стена) стоит на пути компьютерных вирусов и людей, стремящихся получить несанкционированный доступ к вашему ПК.Основная задача сетевого экрана - не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации сетевого экрана.
Все Firewall выполняют функцию анализа сетевого трафика и направляют его на основе набора правил, однако, методы, которые они используют для этого, могут различаться.[11]
Существуют три фундаментальные технологии, на основе которых работают Firewall - брандмауэр сетевой пакетный фильтрация:
Статическая пакетная фильтрация (packet filtering) – пакеты фильтруются на основе статической информации в заголовке сетевых пакетов;
Прокси-фаервол (proxy firewall) – устройство находится между клиентом и внешней сетью и все запросы и соединения клиента с внешними хостами осуществляются от имени прокси сервера;
Пакетная фильтрация с запоминанием состояния (stateful packet filtering) – сочетает в себе лучшее первых двух.
С помощью межсетевого экрана прямо из панели управления можно управлять доступом к серверу, сетевыми пакетами данных.
Рисунок 1 - Межсетевой экран Firewall
Firewall служит для безопасной работы компьютеров в локальной сети и Интернет. Firewall предотвращает несанкционированный доступ к ресурсам сети. Правильная настройка Firewall делает компьютер невидимым в сети Интернет. Firewall ограничивает или запрещает доступ к ресурсам.
Будучи сочетанием программного и аппаратного обеспечения компьютера, Firewall является частью его комплексной системы безопасности, а не единственным незаменимым компонентом.[10]
2 Особенности настройки firewallНастройка персонального и корпоративного файрволаПерсональный Firewall представляет собой программу, которая является элементом операционной системы Windows или же она может быть установлена как часть прикладного программного обеспечения. Обычно настройка firewall не является столь сложной, поскольку программа имеет понятный для простых пользователей интерфейс. С его помощью несложно разрешить подключение к интернету всем программам, которые действительно имеют к нему отношение (Skype, Torrent, Mail.Ru, Internet Explorer и т.д.). А также не позволить отправлять в сеть или принимать из неё пакетные данные какому-нибудь блокноту (в котором могут быть пароли и личная информация), для которого вообще такая деятельность является не естественной.[9]
Корпоративный Firewall защищает локальные сети различных компаний от «непредусмотренных сетевых запросов». Он блокирует все такие запросы и спрашивает пользователя о разрешении создания такого подключения. Установку и настройку корпоративных «стен» производит системный администратор.
Firewall по умолчанию должен владеть информацией обо всех системных службах и прикладном программном обеспечении, нуждающемся в доступе в интернет и производящем обмен пакетными данными. Он не должен всё время спрашивать о разрешении подключения таким приложениям. Он должен делать это автоматически. В общем, брандмауэр должен иметь хороший Мастер настройки, который автоматизирует её процесс.
Firewall может иметь несколько уровней защиты. Если угроза высока, то можно поставить уровень, который будет контролировать весь трафик и память. Но такая защита может заметно оказывать влияние на производительность системы, если конфигурация компьютера ниже среднего уровня. Уровень низкого контроля будет отсекать самые явные угрозы. Firewall считается хорошим, только в том случае, если он оказывает заметное влияние на производительность системы, но при этом даёт ей степень защиты выше среднего.
Для того чтобы проверить эффективность работы Firewall существует множество утилит, например Atelier Web Firewall Tester . Это специальные программы, которые работают по принципу «троянских коней» и им подобных программ. Если им удаётся отправлять и получать информацию в обход вашей «стены» то, значит в ней есть брешь, и её ценность сводится к нулю. Опишем, как выполнить требуемые настройки для сетевых экранов:
3 Настройка сетевого экрана Windows XP Microsoft Firewall
Чтобы использовать на компьютере сетевой экран Microsoft Firewall, его надо включить. Сетевой экран Microsoft Firewall включается следующим образом. В главном меню Windows выбрать Settings ==> Control Panel (см. Рисунок 2), затем в открывшемся окне <Control Panel> найти и открыть окно сетевого экрана двойным щелчком по значку Windows Firewall (см. Рисунок 3).
Рисунок 2 - Control Panel
Рисунок 3 - Окно сетевого экрана
Во вкладке General окна <Windows Firewall> включить опцию On (recommended) и, таким образом, включить работу сетевого экрана Microsoft Firewall (см. Рисунок 4). Далее выполняется настройка сетевого экрана. Чтобы настройки соответствовали требованиям Регламента, надо разрешить следующее сетевые взаимодействия:
Разрешить ping-тестирование вашего компьютера;
Разрешить доступ к вашему компьютеру по протоколу HTTP для программ пакета BotikTools.
Рисунок 4 - Сетевой экран Microsoft Firewall
Рисунок 5 - Сетевой экран Microsoft Firewall3.1 Настройка разрешения ping-тестированияВо вкладке Advanced окна <Windows Firewall> (см. Рисунок. 6) щелкнуть Settings в разделе ICMP. В открывшемся окне <ICMP Settings> установить флаг Allow incoming echo request (см. Рисунок 7) и щелкнуть OK. Теперь компьютер доступен для ping-тестирования.
Рисунок 6 - Вкладка Advanced
Рисунок 7 - Окно ICMP Settings3.2 Настройка разрешения доступа по протоколу HTTP
Сетевой экран блокирует входящие сетевые соединения с программами, которые установлены на компьютере. Тем самым обеспечивается защита от несанкционированного доступа. Для корректной работы некоторых программ необходимо сделать исключение и разрешить возможность таких соединений. Эти программы перечислены во вкладке Exceptions (Исключения).
В окне <Windows Firewall> необходимо выбрать вкладку Exceptions (см. Рисунок 7). Здесь перечислены программы и сервисы, которым разрешены входящие соединения по протоколу HTTP. В число этих программ надо включить программу wish.exe, которая обеспечивает сетевые соединения для программ пакета BotikTools. Для этого щелкните Add Program. В открывшемся окне <Add a Program> (см. Рисунок 8) щелкните Browse, чтобы указать путь к программе wish.exe. Если установили программы пакета BotikTools в папку Program Files, то путь к программе wish.exe будет таким, какой показан на Рисунке 8.
Рисунок 8 - Путь к программе wish.exe
Рисунок 9 - Окно BrowseНа Рисунке 9 показано стандартное окно <Browse> папки C:\Program Files\BotikTools\bin, в которой хранится программа wish.exe. Отметив программу wish.exe, щелкните Open в окне <Browse> и, таким образом, введите путь к программе wish.exe в поле Path окна <Add a Program>. В окне <Add a Program> щелкните OK, чтобы добавить программу wish.exe в список Exceptions. Теперь сетевой экран разрешит доступ по протоколу HTTP программам пакета BotikTools.
Сетевой экран Microsoft Firewall настроен в соответствии с требованиями Регламента предоставления услуг компании[9]
4 Настройка сетевого экрана Outpost FirewallПерсональный сетевой экран Outpost Firewall позволят создавать более подробные настройки для ограничения сетевого доступа на уровне приложений. В Outpost Firewall пользователь может создавать списки приложений, имеющих сетевой доступ и указывать действующие протоколы, порты, адреса хостов и направления сетевого трафика для каждого из приложений, то есть создавать для приложений правила, разрешающие или запрещающие приложениям те или иные сетевые взаимодействия. Далее опишем, как провести настройку этого брандмауэра для версии OutpostPro Firewall 7.1
Чтобы разрешать использование программы ping.exe для проверки связи с компьютером Абонента, а также обеспечить корректную работу программ, входящих в состав пакета BotikTools (например, программы wish.exe) сетевой эран Outpost Firewall должен быть настроен так, чтобы:
Разрешать исходящие TCP-соединения для приложения wish.exe на следующие адреса:
Адрес для порта 25: mail.botik.ru.
Адреса для порта 53: dns1.botik.ru, dns2.botik.ru.
Адрес для порта 80: www.botik.ru.
Адреса для порта 443: nadmin.botik.ru, informer.botik.ru, map.botik.ru.
Для порта 12040 нужно разрешить адрес шлюза (адрес Вашего шлюза см. в Nadmin::Абоненту  меню Мои услуги => Подключения => далее щелчком по имени Вашего подключения открываете страницу с данными подключения, среди которых указан адрес шлюза).Адреса для порта 21564:speedtest.botik.ru, speedtest2.botik.ru.
Разрешать все исходящие и входящие ICMP Эхо-запросы и все исходящие и входящие ICMP Эхо-ответы.Разрешать входящие TCP-соединения с адреса localhost на порт 12040. Это нужно программе BotikKey для проверки единственности запущенного приложения, и связано с тем, что на одном компьютере должна работать только одна копия программы.
Разрешать исходящие TCP-соединения с адреса localhost к домашнему роутеру через порт 7737 в том случае, если у абонента есть домашний роутер и на нём установлен gBotikKeyd. Программа BotikKey позволяет управлять работой gBotikKeyd на роутере (переключать режимы доступа, задавать пароль и т.д.).
При настройке сетевого экрана лучше указывать доменные имена хостов, а не их IP-адреса.[12]
4.1 Настройка исходящих TCP-соединений для приложения wish.exeСначала надо добавить приложение wish.exe в список пользовательских приложений, для которых в Outpost Firewall можно создавать правила. Для этого в меню "Настройки" программы Outpost Firewall надо выбрать подменю "Правила для приложений" и щелкнуть по кнопке Добавить (см. Рисунок 10).
Рисунок 10 - Подменю "Правила для приложений"
Откроется стандартное окно <Open> (см. Рисунок 11), в котором надо открыть папку C:\Program Files\Botik Tools\bin, выбрать в ней файл приложения wish.exe и щелкнуть Оpen.
Рисунок 11 - Окно <Open>
В результате в список приложений в окне <Настройки> брандмауэра Outpost Firewall будет добавлено приложение wish.exe (см.Рисунок 12). Чтобы начать создавать правила для этого приложения, выберите его в списке и щелкните по кнопке Редактировать.
Рисунок 12 - Приложение wish.exe
Откроется окно <Редактор правил> для приложения wish.exe (см. Рисунок 13). В этом окне пока не сформулировано ни одного правила для приложения wish.exe. Для создания правила щелкните кнопку Новое.
Рисунок 13 - Окно <Редактор правил>
Откроется окно <Правило>, в котором можно выбрать событие для правила и выполнить описание правила. (см. Рисунок 14)
Опишем процедуру создания правила для приложения wish.exe, которое будет разрешать передачу исходящих TCP-пакетов через порт 443 на хост с адресом nadmin.botik.ru.
Для начала необходимо установить направление передачи TCP-пакетов. Для этого надо в первом поле ввода "1. Выберите событие для правила" установить флаг "Где направление" (см. Рисунок 14). В поле ввода "3. Расшифровка правила" появится строка "направление Не определено". Щелчком по ссылке Не определено откроем окно <Выбор направления>, в котором выберем параметр "Исходящее" и щелкнем по кнопке OK.
Рисунок 14 - Приложение wish.exe
Далее необходимо указать адрес хоста, на который будем разрешать передачу исходящих TCP-пакетов. Для этого в поле ввода "1. Выберите событие для правила" устанавливаем флаг "Где удаленный адрес" (см. Рисунок 15). В поле "3. Расшифровка правила" появится сторока "удаленный адрес Не определено". Щелчком по ссылке Не определено откроем окно <Выбор адреса> . Из списка предлагаемых вариантов ввода адреса выберите вариант "Имя домена" и в поле ввода (отмечено на Рисунке 15 красной точкой) введите адрес хоста: nadmin. botik.ru и щелкните по кнопке Добавить.
Рисунок 15 - Передача исходящих TCP-пакетов
И, наконец, завершает создание правила для хоста с адресом nadmin.botik.ru выбор порта, через который приложению wish.exe будет разрешена передача исходящих TCP-пакетов. Для этого в поле ввода "1. Выберите событие для правила" устанавливаем флаг "Где удаленный порт" (см. Рисунок 16). В поле "3. Расшифровка правила" появится строка "удаленный порт Не определено". Щелчком по ссылке Не определено откроем окно <Выбор порта>. Здесь можно либо ввести в поле ввода, отмеченное на рисунке красной точкой, номер порта 443; либо выбрать порт из списка имен портов (имя порта 443 - HTTPS) и щелкнуть по кнопке ОК.
Рисунок 16 - Выбор события
Щелчком по кнопке ОК создаем правило с именем "Разрешать Исходящее TCP на HTTPS для WISH.EXE" (см. Рисунок 17).
Рисунок 17 - Создание правила
Правила для остальных адресов (informer.botik.ru и map.botik.ru) для порта 443, а также все остальные правила для приложения wish.exe, перечисленные в пункте 1, создаются аналогично.
4.2 Настройка параметров протокола ICMP
Далее необходимо установить параметры протокола ICMP, что позволит проводить ping-тестирование компьютера. В соответствии с пунктом 2 в перечне "Что настроить", надо сделать следующее:
Разрешать все исходящие и входящие ICMP Эхо-запросы и все исходящие и входящие ICMP Эхо-ответы.
Для этого в меню "Настройки" программы Outpost Firewall выбрать подменю "Сетевые правила" (см. Рисунок 18), и щелкнуть по кнопке Настройки ICMP (отмечена на рисунке красной точкой).
Рисунок 18 - Меню "Настройки" программы Outpost FirewallОткроется окно <Настройки ICMP> (см. Рисунок 19), в котором нужно для ICMP-сообщений Эхо-ответ и Эхо-запрос установить флажки Вх и Исх так, как это показано на Рисунке. 19 и щелкнуть OK.
Рисунок 19 - Окно <Настройки ICMP>
4.3 Настройка входящих TCP-соединений с адреса localhost на порт 12040
Настройка для приложения wish.exe входящих TCP-соединений с адреса localhost на порт 12040 (пункт 3 в "Что настроить?") необходима программе BotikKey для проверки единственности запущенного приложения, поскольку на одном компьютере должна работать только одна копия программы.
Дополнительно для этого правила в окне <Правило> надо установить флаг Где локальный порт совпадает с удаленным (см. Рисунок 20) и щелчком по кнопке ОКзавершить создание правила с именем "Разрешать Входящее TCP на 12040 для WISH.EXE".
Рисунок 20 - Окно <Правило>
На этом настройку сетевого экрана Outpost Firewall в соответствии с требованиями Регламента предоставления услуг можно считать завершенной.
6 Анализ AWS Firewall Manager
AWS Firewall Manager автоматически обеспечивает соответствие как существующих, так и новых ресурсов заданному обязательному набору политик безопасности. Сервис обнаруживает новые ресурсы по мере их создания во всех аккаунтах. Например, если требуется обеспечить соответствие нормативным требованиям Управления по контролю над иностранными активами, можно использовать Firewall Manager для развертывания правила AWS WAF, которое будет блокировать трафик из стран, в отношении которых действует эмбарго, по всем используемым аккаунтам Application Load Balancer, API Gateway и Amazon CloudFront. Все создаваемые ресурсы будут автоматически проверяться на соответствие политикам и корректироваться необходимым образом.
Простое развертывание управляемых правил для различных аккаунтов
Сервис AWS Firewall Manager интегрирован с управляемыми правилами для AWS WAF, что существенно упрощает развертывание предварительно сконфигурированных правил WAF для приложений. Теперь можно выбрать любые из предлагаемых продавцами AWS Marketplace управляемых правил и согласованно выполнить их развертывание в масштабах всей инфраструктуры Application Load Balancer, API Gateway и Amazon CloudFront за пару щелчков мышью в консоли. К примеру, можно подписаться на одно из представленных в AWS Marketplace управляемых правил для WAF, для которого обеспечивается регулярное обновление в целях защиты от угроз из общего перечня уязвимостей и рисков (CVE), и без лишних усилий обеспечить защиту всей организации от уязвимостей нулевого дня. Так же можно использовать AWS Firewall Manager вместе с Shield Advanced, чтобы обеспечить автоматическую защиту от разных типов DDoS-атак, например, атак отражения UDP, SYN-флудинга, флудинга запросами DNS и HTTP-флудинга во всех аккаунтах.
AWS Firewall Manager может быстро реагировать на атаки из Интернета, он может отправлять специалистам по безопасности оповещения об угрозах, позволяя им оперативно принимать меры для нейтрализации атак. Например, если Amazon GuardDuty обнаруживает попытку доступа к приложению с подозрительного IP-адреса, можно быстро применить политику защиты брандмауэра для блокировки этого IP-адреса во всех балансировщиках Application Load Balancer и API Gateway, а также базах раздачи Amazon CloudFront по всей организации.
Заключение
В заключение можно сделать вывод, что межсетевые экраны выполняют достаточно важные функции по контролю трафика, проходящего сквозь них, и так же защищают сети от различных компьютерных угроз, которые могут угрожать при соединении с Интернетом. Правильно настроенные брандмауэры могут оказаться очень полезными и даже незаменимыми при реализации политики сетевой безопасности.
Сетевой экран помогает защищать данные, но основным блюстителем порядка является администратор, который должен постоянно следить за безопасностью и выявлять атаки. Вновь разработанная атака сможет преодолеть сетевой экран, и компьютер ничего не заподозрит, потому что определяет только заложенные в программу алгоритмы. Чтобы обработать нестандартную ситуацию, за системой должен наблюдать администратор, который будет реагировать на любые нештатные изменения основных параметров.
В современных сетевых экранах простая замена IP-адреса не позволить извне проникнуть в систему. Сейчас используются намного более сложные методы идентификации. С помощью подмены можно получить большие привилегии только в рамках сети, а не извне, да и то лишь при плохих настройках.
Может сложиться впечатление, что Firewall – это пустое развлечение и трата денег. Это не так. Если он хорошо настроен, постоянно контролируется, а в системе используются защищенные пароли, то сетевой экран может предотвратить большинство проблем.
Хороший экран имеет множество уровней проверки прав доступа, и нельзя использовать только один из них. Если ограничить доступ к Интернету исключительно по IP-адресу, то нужно будет оплачивать большой трафик. Но если при проверке прав доступа используется IP-адрес в сочетании с МАС-адресом и паролем, то такую систему взломать уже намного сложнее. Да, и MAC и IP-адрес легко подделать, но можно для полной надежности подключить к системе защиты и порты на коммутаторе. В этом случае, даже если злоумышленник будет знать пароль, то для его использования нужно сидеть именно за тем компьютером, за которым он закреплен. А это уже не просто.
Защита может и должна быть многоуровневой. Если имеются данные, которые нужно оградить от посторонних, то лучше использовать максимальное количество уровней. В Windows XP уже имеется Firewall – это ipchains и iptables, которые при правильной настройке будут отлично защищать сервер от вторжения. Поэтому устанавливать Firewall отдельно не обязательно.
Умение правильно настраивать Firewall на системе Windows XP позволяет защитить сервер данных, не прибегая к дорогостоящим коммерческим продуктам.
Список использованной литературы
Стаханов, А.А. Сетевое администрирование Windows XP /А.А. Стаханов. –М.: БХВ-Петрбург, 2019. – 480 с.
Немеет, Эви, Снайдер, Гарт, Хейн, Трент. Руководство администратора Windows XP / Немеет [и др.]. - М.: ООО «И.Д. Вильямс», 2019. – 1072с.
Зиглер, Роберт. Брагдмауэры в Windows XP / Зиглер, Роберт - М.: Издательский дом «Вильямс», 2018. – 384с.
Фленов М. Е. Windows XP глазами хакера / М.Е. Фленов. – М.: БХВ-Петербург, 2019. – 544 с.
Межсетевые экраны: сб. основных нормативно – техн. док. – М.: Гостехкоммисия России, 2019.-13с.
Простой способ настройки шлюза на Windows XP [Электронный ресурс] / Режим доступа: http/www.Voler.ruНастройка IPTables в Windows XP [Электронный ресурс] / Режим доступа: http/www.OpenNET.ruFirewall [Электронный ресурс] / Режим доступа: http/ru.wikipedia.org/wiki/Firewall
Firewall в Windows XP [Электронный ресурс] / Режим доступа: http/www.libermedia.ru/html/firewall_ Windows XP.html
http: [Электронный ресурс] / Режим доступа: //support.microsoft.com/?kbid=837243. ПАзы Windows Firewall, [Электронный ресурс] / Режим доступа: http://www.osp.ru/win2000/safety/507_6.htmPort Reporter, [Электронный ресурс] / Режим доступа: http://www.osp.ru/win2000/worknt/509_3.htmWindows Server 2003 Service Pack 1 (SP1), [Электронный ресурс] / Режим доступа: http://www.microsoft.com/windowsserver2003/ downloads/servicepacks/sp1/default.mspxWindows XP SP2, [Электронный ресурс] / Режим доступа: http://www.microsoft.com/windowsxp/sp2/default.mspxMicrosoft Help and Support, [Электронный ресурс] / Режим доступа: http://support.microsoft.com