В данной статье я более подробно рассматриваю некоторые функции брандмауэра Windows Vista®, разработанные специально для упрощения управлением предприятием. Я также даю советы по их использованию для упрощения вашей работы и повышения безопасности пользователей.
Недавний выпуск пакета обновления 1 (SP1) для Windows Vista дает основания ожидать начала процесса развертывания Windows Vista на предприятиях. (Обычно предприятия переходят на новую ОС после выпуска первого пакета обновления для этой ОС.) Если вы являетесь одним из специалистов по ИТ и теперь более серьезно рассматриваете вопрос о развертывании Windows Vista в среде вашего предприятия, вам следует обратить внимание на брандмауэр. После изучения возможностей брандмауэра Windows Vista вы можете захотеть пересмотреть соглашение по пакету безопасности стороннего производителя, чтобы исключить из него брандмауэр.
Будущее и настоящее брандмауэров Windows
В брандмауэре в исходном выпуске Windows® XP многое оставляло желать лучшего. Хотя он в полной мере соответствовал функциональным возможностям обеспечения безопасности коммерческих отдельных брандмауэров того времени, в нем не было ничего нового или новаторского.
Версия, включенная в пакет обновления 2 (SP2) для Windows XP, была полностью изменена. Она была специально разработана для упрощения управляемости предприятия. Брандмауэр, входящий в состав Windows XP с пакетом обновления 2 (SP2), является очень привлекательным с точки зрения небольшого размера, централизованного управления, эффективности и отсутствия вмешательства в работу системы. Но что, возможно, самое важное, брандмауэр, входящий в состав Windows XP с пакетом обновления 2 (SP2), предоставляет крайне важную возможность: защита системы при загрузке.
Последнее является исключительно важным. В прошлом я видел множество систем, зараженных во время загрузки даже при включенном брандмауэре. Фактически, во время пика эпидемии вируса Blaster фиксировалась одна атака каждые четыре минуты. Другими словами, если компьютер, подключенный к Интернету, оставался в незащищенном состоянии, он мог быть заражен в среднем через четыре минуты. А если использовался брандмауэр, не защищающий систему при загрузке, 1 система из 12 заражалась при загрузке. Эти цифры и вынудили корпорацию Майкрософт включить в брандмауэр Windows XP с пакетом обновления 2 (SP2) возможность защиты системы при загрузке.
В Windows Vista брандмауэр был снова полностью реконструирован. Наиболее очевидным изменением с точки зрения управления является объединение интерфейсов управления протокола IPsec и брандмауэра. Это очень логичное изменение. Протокол IPsec и брандмауэр предназначены для блокирования неразрешенных действий. Отличие заключается в том, что параметры брандмауэра, определяющие разрешенные действия, не детализированы, а блокирование или разрешение адресного пространства большого объема в IPsec является громоздким.
Благодаря наличию двух функций в одном интерфейсе управления администраторы могут беспрепятственно использовать обе технологии, меньше беспокоясь о том, что для чего-то необходимо правило IPsec, а для другого – фильтр брандмауэра. По существу, доступно единое представление поверхности сетевой атаки системы, позволяющее свести к минимуму опасность возникновения ошибок.
В пакете обновления 1 (SP1) для Windows Vista к функциям брандмауэра был добавлен ряд улучшений надежности. Также были добавлены новые алгоритмы, прежде всего алгоритмы набора B, для использования в IPsec. Это набор алгоритмов шифрования, включающий алгоритмы Advanced Encryption System (AES), Elliptic Curve Cryptography (ECC) и Secure Hash Algorithm (SHA) 256 и 384.
Однако, что самое главное, в пакете обновления 1 (SP1) добавлена поддержка защиты доступа к сети (NAP). NAP – это средство применения политики, обеспечивающее установку для управляемых и нескомпрометированных клиентов последних политик безопасности, обновлений и определений защиты от вредоносных программ до разрешения подключения клиентов к сети. NAP не может предотвратить подключение к сети вредоносных узлов, однако он гарантирует полное соответствие всех подобных узлов, если они не скомпрометированы активно.
Брандмауэр Windows, называемый брандмауэром Windows в режиме повышенной безопасности, также входит в состав Windows Server® 2008. Кроме того, все функции могут управляться удаленно и настраиваться по сети с помощью групповой политики.
Типы правил и ситуации
Сочетание возможностей брандмауэра и IPsec в интерфейсе управления означает появление двух различных типов правил: правил направления и правил подключения. Правила направления – это стандартные правила брандмауэра, определяющие разрешенный трафик в соответствующем направлении. Правила подключения определяют параметры защиты для подключений между компьютерами. Если проводить аналогию, правила направления схожи с правилами брандмауэра, известными из предыдущих версий брандмауэров, а правила подключения сходны с правилами IPsec, используемыми вместе с брандмауэром в Windows XP с пакетом обновления 2 (SP2).
Совмещение брандмауэра и IPsec в одном интерфейсе делает доступными несколько очень интересных ситуаций. Например, изоляция систем в сети – одна из наиболее ценных из доступных сегодня концепций безопасности. Корпорация Майкрософт называет это «изоляцией серверов и доменов».
При изоляции серверов и доменов используются как возможности IPsec, так и возможности брандмауэра. В соответствие с этим в новый интерфейс управления брандмауэра входят специальные функции для правил изоляции. Они используются, например, при необходимости ограничения подключения на основе атрибутов исходной системы или системы назначения, например, на основе членства в домене.
Как показано на рис. 1, при запуске мастера создания правила для нового безопасного подключения появляется запрос на указание типа создаваемого правила. При выборе «Изоляция» мастер настраивает определенные параметры, соответствующие правилу изоляции.
Рис. 1 Использование мастера создания правила для нового безопасного подключения для создания правила изоляции
На рис. 1 также можно заметить, что в правиле изоляции упоминается состояние работоспособности. Правила, используемые для изоляции серверов и доменов и для защиты доступа к сети (NAP), одинаковы.
Для некоторых типов трафика невозможно применить проверку подлинности. Например, проверка подлинности для механизма разрешения имен через DNS, скорее всего, не требуется. Для конечных точек этого типа трафика необходимо правило освобождения от проверки подлинности. Правило освобождения от проверки подлинности в точности соответствует своему названию – оно освобождает трафик от требований IPsec.
Правило сервер-сервер названо не совсем верно. Хотя оно в основном используется для серверов, оно также может использоваться с клиентами. Правило сервер-сервер просто настраивает подключение на необходимость проверки подлинности. Оно отличается от правила изоляции не только тем, что для правила изоляции необходима проверка подлинности, также необходимо выполнение определенного дополнительного критерия, такого как членство в домене или состояние работоспособности.
Правило туннеля фактически определяет виртуальную частную сеть (VPN) типа «сеть-сеть» и туннель между шлюзами. Правила туннеля редко используются в Windows Vista, поскольку маловероятно, чтобы в Windows Vista использовались ее возможностями шлюза. Можно создавать полностью настраиваемые правила. Это позволяет настраивать все параметры правила.
Порядок правил
Порядок правил на первый взгляд может показаться довольно сложным. Для ознакомления с порядком правил необходимо сначала забыть о порядке. Смысл заключается не столько в порядке, сколько в выборе соответствия. Рассмотрим в качестве примера входящий трафик. Входящий трафик, не соответствующий правилам, разрешающим его, блокируется по умолчанию. Это можно рассматривать как порядок «разрешающие правила учитываются в первую очередь», но это предположение будет неверным. Если определенный пакет соответствует как разрешающему правилу, так и правилу блокировки, приоритет имеет блокирующее правило. Это означает, что соответствие, говоря простым языком, это следующее:
- Правила блокировки. Если пакет или подключение соответствует одному из них, оно отвергается.
- Разрешающие правила. Если пакет или подключение соответствует одному из них, оно разрешается.
- Поведение правила направления по умолчанию. Если отсутствуют соответствующие разрешающие правила или правила блокировки, трафик обрабатывается в соответствие с поведением, указанным в качестве поведения по умолчанию для трафика данного направления данного профиля. Для входящего трафика всех профилей это означает блокирование трафика в настройке по умолчанию. Для исходящего правила по умолчанию это означает разрешение трафика в настройке по умолчанию.
Процесс сопоставления управляется правилами обхода для проверенной подлинности (IPsec). При использовании этого типа правил разрешается весь трафик, прошедший проверку подлинности и соответствующий другим параметрам правила, независимо от его соответствия другим правилам. Правила обхода для проверенной подлинности – это правила направления, для которых установлен флажок «Переопределить правила блокировки», как показано на рис. 2. Они учитываются в первую очередь, чтобы трафик, прошедший проверку подлинности, всегда достигал системы. Это ключ к простому разрешению трафика от узлов, прошедших проверку подлинности, и блокировании трафика от остальных узлов. Это правило можно рассматривать в качестве 0 в порядке. Таким образом, полный список порядка правил выглядит следующим образом.
Рис. 2 Установка флажка «Переопределить правила блокировки» для настройки правила обхода для проверенной подлинности
0. Правила обхода для проверенной подлинности
1. Правила блокировки
2. Разрешающие правила
3. Поведение правила направления по умолчанию
Наличие нескольких правил в каждом классе, соответствующем шаблону трафика, не имеет значения. Если устанавливается соответствие трафика какому-либо правилу, обработка правила прекращается.
Общий, частный и доменный
Новый брандмауэр имеет три профиля: общий, частный и доменный. С другой стороны, брандмауэр Windows XP с пакетом обновления 2 (SP2) имел два сетевых профиля: стандартный и доменный. Доменный профиль запускается автоматически при обнаружении компьютером контроллера домена. В противном случае в Windows XP использовался стандартный профиль. Благодаря этому для администратора безопасности предоставлялись многосторонние функции, с помощью которых он мог полностью заблокировать компьютер при его перемещении, сохраняя возможности удаленного управления, необходимого в сети организации. Но этот подход создавал определенные проблемы для некоторых пользователей, в частности, пользователей с личными домашними сетями. Поскольку в случаях, когда контроллер домена был недоступен для системы, всегда использовался стандартный профиль, доступ пользователя к системе был заблокирован.
Новый частный профиль, входящий в состав Windows Vista, помогает решить эту проблему. Теперь при подключении системы к новой сети необходимо указать, является ли сеть общедоступной (это просто новое название прежнего стандартного профиля) или частной, и настроить систему соответствующим образом. Система использует настроенные параметры при каждом подключении к этой сети на основе сетевых параметров, предоставленных серверами инфраструктуры сети. Это ни коим образом не стопроцентно надежное решение, но оно помогает лучше защищать большее количество сетей.
Также улучшена логика определения нахождения системы в домене. Результатом является более быстрый и надежный переход, а также меньшее количество систем, полагающих, что необходимо использовать общедоступный или частный профиль, в то время как система в действительности находится в домене.
Можно привязать правила к определенному типу сети, устраняя предоставление излишней информации и попытки подключения к системам в недоверенных сетях. Это одна из областей, в которых интеграция брандмауэра и IPsec начинает оправдывать себя.
Используя эти новые правила, можно указать некоторые ограничения, которые ранее были недоступны. Например, в течение многих лет злоумышленники использовали атаки с приманкой, направленные на то, чтобы пользователи выполнили подключения SMB (для сетей Windows) к недоверенным узлам, тем самым вызывая последовательность проверки подлинности, предоставляющую им пару вызов/ответ, которая может использоваться для взлома паролей. Более старые версии подобной атаки также использовались для снижения до обычной проверки подлинности или для повторного отображения пары вызов/ответ пользователя на исходном компьютере. Возможность использования первого приема была устранена несколько лет назад. Второй прием был устранен в Windows XP с пакетом обновления 2 (SP2), но необходимо иметь в виду, что предоставление пар вызов/ответ все равно является неразумным.
Во избежание этого можно использовать другую новую функцию брандмауэра Windows Vista— фильтрацию исходящего трафика. Например, администратор может заблокировать все исходящие подключения SMB (завершающиеся на портах TCP 135, 139, 445 и UDP 137, 138, 445) в общем профиле. Это усложняет использование системы в атаке с приманкой для получения пар вызов/ответ и предотвращает доступ к недоверенным общим файловым ресурсам Windows в Интернете.
Это опять же не является стопроцентно надежным решением. Например, если система уже скомпрометирована, это правило не прекратит передачу данных системой, поскольку злоумышленник может просто отключить его. Однако это может быть полезным в качестве меры защиты стабильных, но потенциально уязвимых систем.
В данном контексте необходимо упомянуть, что так же, как и в Windows XP с пакетом обновления 2 (SP2), в Windows Vista и Windows Server 2008 одновременно может быть активным только один профиль. Если в системе существуют два сетевых интерфейса, один из которых находится в домене, в другой – в общедоступной сети, к обоим интерфейсам будет применяться общедоступный профиль брандмауэра. Всегда будет использоваться наиболее ограничивающий профиль. Как вы можете догадаться, общедоступный профиль является более ограничивающим, чем частный, а частный профиль – более ограничивающим, чем доменный профиль. Так что имейте в виду, что правило блокировки исходящего трафика SMB может заблокировать много трафика через подключения VPN.
Для разрешения трафика через подключения VPN, если компьютер находится в частной или общедоступной сети, создаются правила направления, применяемые только к интерфейсам VPN. Чтобы это работало, интерфейсы VPN должны распознаваться Windows. Если не используется сервер VPN служб маршрутизации и удаленного доступа Microsoft®, перед широким развертыванием эту функцию необходимо проверить. В основном это проблема входящего трафика на клиент и любых создаваемых настраиваемых правил для исходящих подключений.
Создание правил брандмауэра
Создание правил в новом брандмауэре осуществляется гораздо проще. Мастер создания нового правила, показанный на рис. 3, позволяет определить правила всех обычных типов. Также включены предопределенные правила для определенных служб.
Рис. 3 Предопределенные правила в мастере создания нового правила
Предопределенные правила особенно важны. Изоляция серверов – это, по сути, такое ограничение служб, при котором они доступны только системам, для которых они необходимы. В серверных продуктах для упрощения этого может использоваться мастер настройки безопасности Windows, хотя при этом все-таки возникают определенные трудности. (Мастер настройки безопасности Windows рассматривался в выпуске журнала TechNet Magazine за март 2008 г.)
Но до настоящего времени подобные функции отсутствовали в клиентских версиях Windows. При использовании предопределенного правила большая часть тяжелой работы выполняется за вас — задача определения конечных точек, используемых службой. Брандмауэру известно, какую программу представляет «служба iSCSI» не только на уровне приложений; он также содержит предопределенные правила, описывающие определенные функции. Это позволяет обратить основное внимание на компьютеры, на которые должно распространяться правило. Это все еще трудная и требующая больше времени задача, но по крайней мере она уникальная для вашей среды.
Также присутствует настраиваемое правило (доступно в раскрывающемся списке на рис. 3), предоставляющее всю гибкость, ожидаемую от брандмауэра с проверкой подлинности. Например, при необходимости правила, разрешающего только трафик, зашифрованный с помощью IPsec, на странице «Действие» мастера, показанной на рис. 2, следует установить флажок для разрешения только безопасных подключений.
При установке этого флажка также можно включить шифрование. Если не включать шифрование, трафик будет использовать ESP-NULL (ESP с ключом NULL). Для проверки подлинности рекомендуется использовать IPsec. Это позволяет работать большинству средств управления сетями, поскольку трафик проходит через сеть в открытом виде, при возникновении же необходимости в шифровании необходимо просто установить флажок.
Во многих случаях шифрование сетевого трафика не настолько важно, как непринятие трафика от вредоносных узлов. Шифрование трафика в сети предотвращает просмотр содержимого пакета злоумышленником, получившим доступ к самой сети. Необходимость проверки подлинности в первую очередь может помешать отправке пакета и доступу злоумышленника. Конечно, во многих случаях шифрование на уровне сети имеет большое значение, но также существует множество случаев, когда необходима только проверка подлинности.
Создание правил изоляции доменов
В большинстве сред возможность отправки трафика рабочей станции должно иметь ограниченное количество компьютеров. По крайней мере, правила изоляции доменов должны быть настроены для всех рабочих станций. Это сложно выполняется в Windows XP, но просто в Windows Vista.
Сначала откройте используемое средство управления и выберите узел «Правила безопасности подключения». Затем щелкните узел правой кнопкой мыши и выберите «Новое правило», появится диалоговое окно, показанное на рис. 1. Выберите узел «Изоляция» и щелкните «Далее». Теперь следует выбрать необходимость принудительного выполнения правила. В большинстве случаев на рабочих станциях не требуется проверка подлинности для входящего трафика. Благодаря рабочей станции могут отправлять трафик только компьютеры, входящие в домен. Однако для запроса служб от служб инфраструктуры система должна разрешать передачу определенного исходящего трафика в открытом виде. Поэтому наилучшим вариантом является необходимость проверки подлинности для входящих подключений и запрос проверки подлинности для исходящих подключений.
Затем выберите метод проверки подлинности. Метод по умолчанию называется «По умолчанию» - определенно не очень полезное название. Метод проверки подлинности по умолчанию можно настроить для всех компьютеров по отдельности в свойствах IPsec (для доступа к ним необходимо щелкнуть узел «Брандмауэр Windows в режиме повышенной безопасности» правой кнопкой мыши и выбрать свойства). Методом проверки подлинности по умолчанию всегда является Kerberos, поскольку это наиболее простой и безопасный метод. Однако в целях ясности я рекомендую выбирать его при создании собственных правил. Обычно необходима проверка подлинности компьютера, а не пользователя. При необходимости проверки подлинности как компьютера, так и пользователя может быть невозможным получение некоторых видов трафика управления, например, анонимно передаваемого трафика SNMP.
После выбора метода проверки подлинности все, что необходимо сделать, это просто выбрать профили, в которых будет доступно это правило. Поскольку это правило применяется к присоединенным к домену компьютерам, которые могут предоставлять билет Kerberos, нет смысла открывать эту брешь в частных или общих профилях. Сохраните правило, и все готово.
Основные правила изоляции больше не являются сложными. Однако, чтобы использовать для изоляции возможности IPsec, необходимо реализовать изоляцию серверов даже на рабочих станциях. Это позволяет ограничить рабочие станции от прослушивания других клиентов. Вместо этого они будут отвечать только соответствующим станциям управления. Представьте, насколько меньше воздействие различных вредоносных проникновений на клиентские системы, не прослушивающие другие клиенты.
Создание сценариев для брандмауэра
В состав нового брандмауэра входит важный интерфейс API, позволяющий создавать сценарии для развертывания и оценки. В идеале для развертывания необходимо использовать групповую политику, но поскольку она не всегда доступна, важно именно верный набор интерфейсов API для настройки брандмауэра. Интерфейсы API сгруппированы в набор INetFWPolicy2. В пакете SDK и библиотеке MSDN® содержатся более подробные сведения об их использовании, но главную идею можно проиллюстрировать с помощью всего нескольких примеров.
Один общий пример необходим для определения включения группы правил. Например, приложению или администратору необходимо определить, разрешен ли для системы общий доступ к файлам и принтерам. Это можно сделать с помощью INetFWPolicy2::IsRuleGroupCurrentlyEnabled. На рис. 4 приведен пример сценария VBScript, демонстрирующего эту функцию.
Рис. 4 Использование INetFWPolicy2::IsRuleGroupCurrentlyEnabled
' Create the FwPolicy2 object.
Dim fwPolicy2
Set fwPolicy2 = CreateObject("HNetCfg.FwPolicy2")
' Get the Rules object
Dim RulesObject
Set RulesObject = fwPolicy2.Rules
'Create a profile object
Dim CurrentProfile
CurrentProfile = fwPolicy2.CurrentProfileTypes
'Check whether File and Printer Sharing is on, and turn it on if not
if fwPolicy2.IsRuleGroupEnabled(CurrentProfile, "File and Printer Sharing") TRUE then
fwPolicy2.EnableRuleGroup CurrentProfile, "File and Printer Sharing", TRUE
end if
Теперь, если общий доступ к файлам и принтерам выключен, и его необходимо разрешить, сначала необходимо убедиться, что это может быть выполнено и не будет переопределяться групповой политикой. Это выполняется с помощью интерфейса API INetFWPolicy2::LocalPolicyModifyState. Основа, которую можно заполнить фактическим кодом, показана ниже:
Const NET_FW_MODIFY_STATE_OK = 0
Const NET_FW_MODIFY_STATE_GP_OVERRIDE = 1
Const NET_FW_MODIFY_STATE_NO_EXCEPTIONS = 2
Dim PolicyModifyState
PolicyModifyState = fwPolicy2.LocalPolicyModifyState
Select Case PolicyModifyState
Case NET_FW_MODIFY_STATE_OK
Case NET_FW_MODIFY_STATE_GP_OVERRIDE
Case NET_FW_MODIFY_STATE_NO_EXCEPTIONS
End Select
Командная строка и типы интерфейсов
Ни один брандмауэр не был бы полным без верной командной строки для управления. В командах netsh существует подконтекст advfirewall. Контекст advfirewall предоставляет доступ командной строки ко всем возможностям графического пользовательского интерфейса. Например, при необходимости реализации блокировки исходящего трафика для порта 445 можно выполнить следующую команду в командной строке с повышенными правами:
netsh advfirewall firewall add rule name="Block CIFS Out in the Public profile"
dir=out action=block enable=yes profile=public
localIP=any remoteIP=any remoteport=445 protocol=TCP interfacetype=any
Затем необходимо выполнить эту же команду, заменив TCP на UDP для выполнения блокировки. На этом реализация правила завершена.
Замечательной функцией брандмауэра является возможность настройки правил на основе типа сетевого интерфейса. Напомним, что некоторые правила могут влиять на подключения VPN. До тех пор, пока Windows распознает интерфейс как интерфейс VPN, можно использовать этот тип правила для исключения трафика через этот интерфейс:
netsh advfirewall firewall add rule name="Allow CIFS on VPN interfaces"
dir=out action=allow enable=yes profile=public localIP=any
remoteIP=any remoteport=445 protocol=TCP interfacetype=RAS
Это также можно выполнить с помощью графического интерфейса пользователя, но только после создания правила. После этого необходимо щелкнуть правило правой кнопкой мыши, выбрать «Свойства», затем выбрать вкладку «Дополнительно». В разделе «Типы интерфейса» можно выбрать верные типы интерфейса.
Фильтрация исходящего трафика
Отсутствие фильтрации исходящего трафика в брандмауэре Windows XP с пакетом обновления 2 (SP2) было главным обоснованием того, что брандмауэр был недостаточным с точки зрения безопасности. О том, насколько небезопасным является брандмауэр Windows XP с пакетом обновления (SP2) из-за отсутствия фильтрации исходящей связи, написаны тысячи статей. И все это несмотря на то, что ни один брандмауэр для Windows XP не мог предоставить безопасную фильтрацию исходящей связи.
Фундаментальная функциональность, преобразующая фильтрацию исходящей связи в полезную функцию безопасности из средства ограничения скорости — или средства применения политики, как использовалось ранее — просто отсутствует в Windows XP. Однако ее не существует и в Windows Vista. Поэтому вполне логично, что в новом брандмауэре используется эта функция. По умолчанию большая часть входящего трафика блокируется, а большая часть исходящего – разрешается.
По умолчанию фильтрация исходящего трафика в новом брандмауэре Windows Vista блокирует только ненужный трафик от служб. По существу, это все, что может быть сделано для обеспечения защиты от компрометации на узле, предоставляющем фильтры исходящего трафика, и осуществление этого в Windows XP было бессмысленным.
Службы в Windows Vista могут работать с маркером с высоким уровнем ограничений. По существу, каждая служба имеет собственный уникальный идентификатор безопасности (SID). Этот идентификатор безопасности службы может использоваться для ограничения доступа к ресурсам, таким как сетевые порты. Это та же функциональность, которую мы видели ранее при рассмотрении ограничения трафика пользователям. Это означает, что даже хотя две службы могут работать от имени учетной записи NetworkService, они не могут управлять процессами друг друга, а брандмауэр может быть настроен на разрешение исходящей связи только одной из них. При компрометации одной из заблокированных служб она не может подменить разрешенную службу и использовать ее разрешенный порт для связи, поскольку он ограничен идентификатором безопасности службы.
Эта функциональность – еще одна полезная функция, добавленная в Windows Vista и используемая новым брандмауэром для обеспечения действительной безопасности с помощью фильтрации исходящего трафика.
Фактически, в новом брандмауэре фильтрация по идентификаторам безопасности служб включена по умолчанию. Однако отсутствует графический интерфейс пользователя для ее настройки. Правила предопределены в разделе реестра HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\RestrictedServices. Однако при изменении этого раздела вручную следует быть очень осторожным, поскольку это не поддерживается.
Насколько фильтрация исходящего трафика повышает уровень безопасности?
Сообщество обеспечения безопасности сильно недооценивает значение для безопасности, предоставляемое фильтрацией исходящего трафика. До сих пор я упомянул только два случая обеспечения безопасности посредством фильтрации исходящего трафика, оба из которых основываются на новой функции Windows Vista, которая ранее не была доступна. Несмотря на это, существует общее мнение о том, что фильтрация исходящего трафика полезна в принципе и должна быть ключевым фактором при принятии решений о приобретении брандмауэра.
По иронии множество организации принимают подобные решения о приобретении на основе возможностей фильтрации исходящей связи, а после реализации брандмауэра эти возможности не используются. Это неверно и ведет к трате денег и усилий группы безопасности информации. По-видимому, причина такого решения – стремление выполнить что-то, относящееся к безопасности, а не анализ действительной угрозы. Нередко важные решения основаны не на фактах, а вызваны стремлением к этому типу «театра безопасности».
С фильтрацией исходящего трафика связан один простой факт, не учитываемый сторонниками этого типа фильтрации. Обычный аргумент поставщиков индивидуальных брандмауэров – при нарушении работы системы червем или текущим злоумышленным пользователем фильтрация исходящего трафика предотвратит заражение других систем и передачу данных злоумышленником. Это не так.
В действительности при прочих равных условиях фильтрация исходящего трафика препятствует работе некоторых старых вредоносных программ. Однако если в Windows XP была включена фильтрация исходящего трафика, известные на данный момент черви чаще всего отключали или иным образом обходили ее.
В Windows XP (или более ранних версиях Windows) все черви, запускающиеся в качестве службы (в качестве службы запускались все распространенные черви), могли выполнять подобное. Единственная причина того, что они этого не делали, – практически отсутствовали среды, использующие фильтрацию исходящего трафика, поэтому ее отключение не требовалось. При интерактивной атаке злоумышленник при желании может обойти фильтры исходящего трафика. Если злоумышленник может выполнить произвольный код, это осуществляется очень просто. Но при необходимости злоумышленник может обманным образом вынудить пользователя обойти фильтры.
Обход фильтров индивидуальных брандмауэров исходящего трафика также может быть осуществлен несколькими способами в зависимости от варианта фактической атаки. Проще всего «попросить» пользователя с большими правами сделать это для вас. В слишком многих средах пользователи по-прежнему работают в качестве администраторов. Эти пользователи при желании могут обходить политики безопасности. Все, что требуется злоумышленнику, это предоставить пользователю выбор между неясным и не сразу реализующимся преимуществом с точки зрения безопасности и тем, что нравится пользователю гораздо больше — вошедшими в пословицу танцующими голыми свинками.
Довольно часто пользователю открывается так много диалоговых окон подобного типа, что он быстро щелкает мышью, полностью не осознавая произошедшее. Это главная проблема фильтрации исходящего трафика. При выборе между безопасностью и довольно заманчивыми обещаниями, такими как танцующие голые свинки, всегда выбираются танцующие свинки, поскольку в большинстве диалоговых окон с запросом пользователей на принятие решений относительно безопасности отсутствует какая-либо информация, позволяющая принять такие решения.
Представление диалоговых окон с запросом на принятие решений относительно безопасности с достаточными сведениями, необходимыми для принятия таких решений, гораздо сложнее, чем кажется, поскольку для этого необходимо, чтобы продукт обеспечения безопасности, например, брандмауэр, не только понял порты, протоколы и приложение, осуществляющее запрос, но также и действительную цель запроса и ее значение для пользователя. Эти сведения очень трудно получить программно. Например, тот факт, что Microsoft Word пытается установить исходящее подключение, не так интересен, как точная цель такого подключения.
Необходимо уменьшить, а не увеличить количество бессмысленных диалоговых окон, и брандмауэры фильтрации исходящего трафика не помогают в выполнении этой задачи. Чтобы понять современный уровень предоставления пользователям ценной информации, я изучил документацию по продажам крупного поставщика индивидуальных брандмауэров. Глянцевые журналы расхваливают возможности фильтрации исходящего трафика брандмауэра и доступность рекомендаций. Выполняется определение того, что пытается сделать пользователь, и предоставляются соответствующие рекомендации. Теория выглядит приблизительно так. Текст брошюры сопровождался снимком экрана со следующим текстом: «Advice is not yet available for this program. Choose below or click More Info for assistance.» (Для данной программы пока недоступны рекомендации. Выберите вариант из приведенных ниже или нажмите кнопку «More Info» (Подробнее) для получения справки.) По-видимому, поставщики не могут создать информативные диалоговые окна даже в маркетинговых материалах.
Поскольку у пользователей нет достаточной информации для принятия верных решений относительно безопасности, ответственность за настройку всей исходящей фильтрации несет администратор, так как конечный пользователь не может выполнить это. Это до бесконечности увеличивает задачи по администрированию.
Даже при выборе пользователем варианта «No. Bug me again later» (Нет. Напомнить позже) при появлении запроса брандмауэра обычно вредоносная программа может обойти брандмауэр. До тех пор, пока пользователь, чей вредоносный код выполняется, может открывать исходящие подключения для этого же порта, вредоносный код может просто использовать этот порт. Таким образом, любой процесс может использовать существующий процесс для проникновения. Это разрешается в операционных системах нижнего уровня. Начиная с Windows Vista, процессы могут быть удобным образом ограничены; потому ограниченные по умолчанию службы блокируются фильтрами исходящего трафика по умолчанию.
К сожалению, большинство людей считает, что фильтрация индивидуальных брандмауэров для исходящего трафика предотвращает атаку скомпрометированным активом других активов. Это невозможно. Применять меры защиты для скомпрометированного актива и просить его не компрометировать другие активы просто невозможно. Защита относится к ресурсу, который вы пытаетесь защитить, а не к тому, от которого вы защищаетесь! Обращение к злоумышленникам с просьбой ничего не воровать после того, как они уже проникли в ваш дом, вряд ли будет такой же эффективной, как изначальная защита от их проникновения в дом.
