Обеспечение безопасности в организации, используя брандмауэр Windows, защиту сетевого доступа и технологию IPSec

OSzone.net » Microsoft » Windows Server 2008 » Администрирование » Обеспечение безопасности в организации, используя брандмауэр Windows, защиту сетевого доступа и технологию IPSec
Автор: Дмитрий Буланов
Иcточник: dimanb.wordpress.com
Опубликована: 27.10.2010

В наши дни в большинстве организаций у каждого пользователя на своем рабочем месте есть выход в Интернет. Зачастую эти пользователи занимаются веб-серфингом, они еще изо дня в день обмениваются данными с сотрудниками других организаций и с не идентифицированными в домене компьютерами, что может повлечь за собой вероятность заражения, как компьютера пользователя вашего домена, так и всей сети. Несмотря на то, что, скорее всего, в вашей сети в демилитаризованной зоне развернут межсетевой экран, в операционных системах Windows Vista, Windows 7 и Windows Server 2008/2008 R2 для обеспечения повышения уровня безопасности, применяются такие технологии, как брандмауэр Windows в режиме повышенной безопасности, который включает в себя индивидуальный брандмауэр и протокол IPSec, который совместим со стандартом рабочей группы проектирования Интернета (IETF), а также технология защита сетевого доступа (NAP – Network Access Protection).

В связи с тем, что при подключении к сети Интернет, вы можете быть атакованы тысячами других компьютеров, брандмауэры анализируют коммуникации и сбрасывают пакеты, которые не разрешено пересылать. Брандмауэр сбрасывает нежелательный сетевой трафик и разрешает законный трафик, который основывается на созданных правилах, например, авторизованный общий доступ к файлам и папкам. На каждом компьютере, начиная с операционной системы Windows Vista, брандмауэр Windows в режиме повышенной безопасности работает в качестве индивидуального брандмауэра, что позволяет осуществлять существенную защиту при проникновении недоброжелателей через периметр межсетевого экрана организации. По умолчанию, индивидуальный брандмауэр в брандмауэре Windows в режиме повышенной безопасности включен, причем на нем весь входящий трафик, который не был разрешен явным образом, блокируется, а весь исходящий трафик является разрешенным. В том случае, если у вас на компьютере установлено программное обеспечение, которому нужно обеспечить получение непредусмотренного сетевого трафика, вы можете создавать отдельные правила, которые будут разрешать конкретные входящие подключения. Как я уже не раз указывал в своих статьях, все правила и параметры «Брандмауэра Windows» сохраняются в определенных профилях, которые могут быть связаны с тремя сетевыми расположениями:

Стоит обратить внимание на то, что в операционных системах Windows 7 и Windows Server 2008 R2 вы можете присвоить каждому сетевому адаптеру свой профиль, который одновременно поддерживает различные типы расположения в сети. В операционной системе Windows Vista используется только одно сетевое расположение для всех сетевых адаптеров. А в операционных системах Windows XP и Windows Sever 2003 поддерживается профиль домена, но, в том случае, если компьютер не подключен к домену, вместо частного и общего профилей поддерживается только «стандартный» профиль, в котором можно только создавать правила для входящих подключений.

Как вы знаете, сетевой трафик – это количество информации, представляющее собой пакет или поток пакетов, которые отправляются с исходного порта одного компьютера на целевой порт другого компьютера. В свою очередь, портом называется идентифицируемый номером системный ресурс, выделяемый приложению, выполняемому на некотором сетевом хосте, для связи с приложениями, выполняемыми на других сетевых хостах. Один порт может одновременно прослушивать одна программа, которая должна быть зарегистрирована с зарегистрированным под свою работу портом. После того как входящий пакет поступает на локальный компьютер, операционная система определяет номер порта назначения, после чего передает содержимое пакета программе, которая зарегистрировала этот порт. Порт может находиться в диапазоне от 1 до 65 535. Вкратце, принцип работы индивидуального брандмауэра следующий: брандмауэр Windows в режиме повышенной безопасности проверяет исходные и целевые номера портов, сами порты и адреса компьютеров, после чего сопоставляет их с заданными вами правилами.

Индивидуальный брандмауэр, в частности «Брандмауэр Windows в режиме повышенной безопасности» можно проиллюстрировать следующим образом:

*
Увеличить рисунок

Рис. 1. Принцип работы индивидуального брандмауэра

Следующая технология, которая будет рассмотрена в данном цикле статей – это безопасность подключения и протокол IPSec. Протокол безопасности подключения (Internet Protocol Security - IPSec) используется для защиты сетевых данных и гарантирует их подлинность и конфиденциальность. IPSec считается системой открытых стандартов, которая предназначена для обеспечения защищенных конфиденциальных подключений через IP-сети, выполняя шифрование пакетов IP, используя безопасные подключения. В основу реализации протокола IPSec в Windows были положены стандарты, которые предложила Рабочая группа инженеров Интернета (IETF – Internet Engineering Task Force) IPSec. Данный протокол в большинстве случаев применяется для обеспечения безопасности коммуникаций между двумя узлами или для защиты трафика Интернет в сценариях с использованием виртуальной частной сети. Данный протокол поддерживает одноранговую проверку подлинности на уровне сети, проверку подлинности источника данных, целостность данных, их шифрование и защиту повторения, причем реализация данного протокола полностью интегрирована в сетевой уровень 3сетевой модели OSI, что позволяет обеспечить защиту независимо от программного обеспечения, которое выполняется на компьютере.

Политики IPSec определяют, каким образом компьютер или группа компьютеров управляет коммуникациями IPSec. Вы можете настроить политики IPSec для отдельного компьютера, который даже не подключен к домену при помощи правил безопасности подключения для определенного сетевого трафика в брандмауэре Windows в режиме повышенной безопасности или при помощи оснастки «Локальная политика безопасности». Для группы компьютеров, которые подключены к домену, принято использовать групповую политику. При создании политики IPSec принято использовать следующие службы:

Указанные выше технологии позволяют вам существенно повысить безопасность в вашей организации. Но даже несмотря на правильно настроенные правила брандмауэра Windows в режиме повышенной безопасности, правила IPSec и межсетевые экраны, размещенные в демилитаризованной зоне, ваша сеть все еще может подвергаться угрозам. К сожалению, компьютеры любых, даже самых защищенных сетей всегда находятся во враждебной обстановке и всегда хватает недоброжелателей, которые хотят найти погрешность в вашей инфраструктуре. Например, вы могли предоставить одному из своих пользователей прямой выход в Интернет и этот пользователь, принимая свою электронную почту, мог занести червя, который быстро распространится по компьютерам вашей сети, принеся вам множество неудобств, а, возможно, и убытков. Или при подключении мобильного компьютера к беспроводной сети, где также можно занести червя, по приезду в организацию, случайным образом распространить его на уязвимые компьютеры, миновав систему безопасности на периметре.

Вы можете предотвратить все возможные сценарии при помощи такой технологии, как «Защита доступа сети NAP» (Network Access Protection), компоненты которой могут использоваться на операционных системах, начиная с Windows XP SP3. При помощи этой технологии вы можете создавать решения, предназначенные для проверки компьютеров при подключении к локальной сети, предоставляя доступ к необходимым обновлениям, управлять доступом клиентских компьютеров к сетевым ресурсам на основе удостоверения компьютера и соответствия корпоративным политикам. При подключении к локальной сети компьютеры должны соответствовать конкретным требованиям состояния, таким, как установка самых последних обновлений. Если компьютер не соответствует таким требованиям, то он может быть помещен в сетевой карантин, где будут загружены последние обновления, антивирусное программное обеспечение, а также получены дополнительные сведения о LAN. С помощью защиты доступа к сети системные администраторы могут устанавливать и автоматически применять политики работоспособности, которые включают в себя требования к программному обеспечению, требования к обновлению для системы безопасности, обязательные конфигурации компьютеров и другие параметры. Другими словами, платформа NAP предназначена для подключения узлов к сетевым ресурсам в зависимости от текущего состояния и их работоспособности. Такое разделение сетевых ресурсов реализуется с помощью виртуальных частных сетей, IP-фильтров, подсетей, статических маршрутов, а также IP-безопасности.

Об этих трех технологиях, а также о многом другом вы узнаете из следующих статей данного цикла.


Ссылка: http://www.oszone.net/13621/wfipsec