Файл: Методические подходы к разработке правил ИБ для файрволлов (Добавление правила для брандмауэра Windows).pdf

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 26.05.2023

Просмотров: 65

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

Даже если вредоносный код проник на ПК, сетевой должен предотвратить утечку информации, заблокировав вирусу выход в сеть.

  • Контроль приложений.

Неизбежное наличие открытых портов является одним из самых узких мест в блокировке утечки информации, а один из самых надежных способов воспрепятствовать проникновению злоумышленника через эти пути — контроль приложений, запрашивающих разрешение на доступ. Кроме банальной проверки по имени файла, весьма желательна проверка аутентичности приложения.

  • Поддержка зональной защиты;

Работа в локальной сети часто подразумевает безопасность хранящегося контента, что открывает уникальные возможности по использованию новейших угроз. Параллельно, уровень доверия к Интернет-контенту значительно ниже, а значит, необходим отличающийся подход к анализу опасности того или иного содержания.

  • Протоколирование и предупреждение.

Брандмауэр должен собирать лишь необходимый объем информации — избыток (равно как и недостаток) сведений недопустим. Возможность настройки файлов регистрации и указания причин для привлечения внимания пользователя весьма приветствуются.

  • Максимально прозрачная работа.

Эффективность системы часто обратно пропорциональны сложности ее настройки, администрирования и сопровождения. Несмотря на традиционное неприятие мастеров по настройке, даже опытные администраторы не пренебрегают ими в целях экономии времени.

В зависимости от уровня организации сетевого экрана относительно сетевой модели OSI (Таблица 1), на основе которого работает файрволл, тем надёжнее защита.

Таблица 1

Модель OSI

Уровень

Функции

7. Прикладной (приложений)

Доступ к сетевым службам

6. Представления

Представление и шифрование данных

5. Сеансовый

Управление сеансом связи

4. Транспортный

Прямая связь между конечными пунктами и её надёжностью

3. Сетевой

Определение маршрута и логическая адресация

2. Канальный

Физическая адресация

1. Физический

Работа со средой передачи, сигналами и двоичными данными

Рассмотрим основные категории межсетевых экранов:

  • Управляемые коммутаторы;

Можно причислить управляемые коммутаторы к числу брандмауэров, но фильтрация трафика в них происходит только на уровне LAN, за счёт чего его нельзя назвать полноценным межсетевым экраном.


  • Пакетные фильтры;

Функционируют на сетевом и транспортном уровнях, получая информацию о портах и IP адресах получателя и отправителя, а также о типе транспортного протокола (в основном протоколы TCP и UDP). Это минимальный уровень анализа трафика для использования в пограничных брандмауэрах.

  • Шлюзы сеансового уровня;

Файрволл данного уровня выступает в качестве промежуточного узла при обмене пакетами между отправителем и получателем, при первом контакте создавая запись в журнале сеансов (логах), фиксируя адреса отправителя и получателя, протоколы транспортного и сетевого уровня, а также информацию о состоянии соединения. Все последующие пакеты в рамках установленной сессии не будут фильтроваться. После завершения сеанса все данные о соединении удаляются. Первый пакет следующего соединения проходит стандартную фильтрацию. Данный алгоритм обеспечивает защиту от пакетов, маскирующиеся под пакет завершённого сеанса.

  • Посредники прикладного уровня;

Посредники используют все преимущества шлюзов сеансового уровня, но, в отличие от них, способны определять контекст содержания пакета, отбраковывая определённые паттерны информации. Например, анализ почтового сообщения посредником прикладного уровня способен обнаружить содержащийся в отправлении вредоносный исполняемый код.

  • Инспекторы состояния;

Данная категория сетевых экранов объединяет в себе механики взаимодействия от 3 до 7 уровня модели OSI, включая в себе принципы всех вышеназванных файрволлов. Таким образом инспекторы состояния:

    • Фильтруют пакеты на основе правил;
    • Устанавливают сессии и фиксируют в таблице состояний;
    • Проверяют приложения на основе разработанных посредников.

Как мы выяснили в главе 1, как узлы, так и маршрутизатор могут стать целью атаки. Первый аппарат при атаке извне является маршрутизатор, поэтому на него в обязательном порядке нужно устанавливать и настраивать сетевой экран.

Атака из интрасети может затронуть узлы локальной сети, в архитектурах, в которых узлы соединены друг с другом последовательно и параллельно относительно маршрутизатора, поэтому в подобных реализация локальной сети настройка брандмауэра требуется и для каждого узла, так как антивирус не всегда может быть эффективен.

2.2. Практическая часть


2.2.1. Добавление правила для маршрутизатора Asus

На примере личного маршрутизатора Asus RT-AC51U, работающий с транспортным и сетевым уровнем модели OSI, рассмотрим механизмы настройки файрволла, позволяющие защитить домашнюю локальную сеть. Меню брандмауэра отображено на рисунке 10.

Данное меню содержит вкладки:

  • Общие – вкладка для включения брандмауэра;
  • Фильтр URL-адресов – организация белого или чёрного списка, фильтрующего ресурсы по веб-адресу;
  • Фильтр ключевых слов – организация белого или чёрного списка, фильтрующего ресурсы по содержащимся на странице ключевым словам;
  • Фильтр сетевых служб – то, что нас интересует. В данном меню мы можем включить межсетевой фильтр, задать тип фильтрации (белый или чёрный список), расписание, в какое время данные правила будут работать, типы фильтруемых пакетов, а также самое важное: настраиваемые правила (Рисунок 11);
  • Брандмауэр для IPv6 – версия фильтра для 128 битовых адресов.

Так как маршрутизатор бюджетный и находится в сегменте домашнего применения, возможность настройки не предоставляет гибкости, как решения от MikroTik.

Рисунок 10 – Меню маршрутизатора

Рисунок 11 – Меню настройки экрана

Допустим, мы хотим запретить пользователям локальной сети пользоваться веб-сёрфингом. Для этого в чёрном списке прописываем порт 80 с протоколом TCP.

2.2.2. Добавление правила для MikroTik RouterOS

В разделе меню IP -> Firewall на вкладке Filter Rules, добавляем новое правило красной кнопкой «+» в левом верхнем углу окна.

Рисунок 12

Для примера возьмём первое правило:

«add chain=input protocol=icmp action=accept comment=”Allow Ping”»

В открывшемся окне, на вкладке General, мы выбираем цепочку Chain – input, а протокол, Protocol – icmp.

Рисунок 13

Переходим на вкладку «Action», где в поле «Action» выбираем accept.

Рисунок 14

И, если нужно добавить комментарий, то нажимаем в правой части окна кнопку Comment и добавляем необходимый комментарий.

Рисунок 15

После чего сохраняем правило.


2.2.3. Добавление правила для брандмауэра Windows

Помимо маршрутизаторов, применить и настроить брандмауэр мы можем на каждом узле локальной сети. Опустим момент с развёрткой Windows Server и централизованной установкой и настройкой пользовательских систем, включение их в домен и автоматизированную установку правил сетевого экрана, предполагая, что это было выполнено сетевым специалистом.

Для этого заходим в меню брандмауэра защитника Windows (Рисунок 16). Здесь мы можем наблюдать три профиля, отвечающие за разный способ подключения к сети (Таблица 2)

Рисунок 16

Таблица 2 – Описание профилей

Профиль

Описание

Домен

Применяется к сетевому адаптеру, подключенному к сети, в которой он может обнаружить контроллер домена, содержащего данный компьютер

Частный

Применяется к сетевому адаптеру, если он подключен к сети, которая идентифицирована администратором как частная. Частная сеть — это сеть, которая подключена к Интернету не напрямую, но находится за каким-либо устройством безопасности, например маршрутизатором с преобразованием сетевых адресов (NAT) или аппаратным брандмауэром. Параметры частного профиля должны устанавливать большие ограничения, чем параметры профиля домена.

Общий

Применяется к сетевому адаптеру, если он подключен к публичной сети, например в аэропорту или кафе. Публичная сеть — это сеть, которая не имеет устройств безопасности между компьютером и Интернетом. Настройки общего профиля должны быть наиболее строгими, поскольку компьютер подключен к публичной сети, безопасность в которой нельзя контролировать.

В интерфейсе в левом столбце можно наблюдать две вкладки: «Правила для входящих подключений» и «Правила для исходящего подключения». В данных вкладках описываются все правила, которыми руководствуется брандмауэр узла. Попробуем создать новое правило для исходящего подключения для пограммы. Для этого кликнем правой кнопкой мыши на «Правила для исходящего сообщения», далее «Создать правило…» (Рисунок 17).

Рисунок 17

Открывается пошаговый конструктор-установщик правила. Первым шагом устанавливаем для чего устанавливается правило (Рисунок 18). Выбираем «Для программы», нажимаем кнопку «Далее»


Рисунок 18 – Тип правила

Затем выбираем, для какой или каких приложений правило работает. В данном случае мы хотим дать доступ в сеть для определённого приложения-калькулятора. Найдём его и установим адрес (Рисунок 19).

Рисунок 19 - Программа

В следующем пункте мы выбираем, что должно происходить, если подключение соответствует правилу (Рисунок 20).

Рисунок 20 - Действие

В случае, если мы хотим настроить безопасное подключение, то выбираем соответствующий пункт и настраиваем вложенные параметры (Рисунок 21).

Рисунок 21 – Параметры безопасности

В случае, если мы выбрали «Разрешить подключение» или «Блокировать подключение», следующий пункт установщика предложит указать, для каких профилей будет действовать данное правило (Рисунок 22). При «Разрешить безопасное подключение» перед пунктом настройки соответствия профилям, будет окно настройки, какие авторизованные ПК могут использовать это подключение (Рисунок 23)

Последний пункт настройки правила (Рисунок 24) – это выдача имени и описания правилу. Рекомендуется наиболее подробно описать правило для того, чтобы другой сетевой специалист, работающий с вашей локальной сетью, тратил меньше рабочего времени на анализ и больше на рефакторизацию логики правил.

Рисунок 22 – Профиль

Рисунок 23 - Компьютеры

Рисунок 24

Нажатием кнопки «Готово», правило сохраняется в соответствующей вкладке.

Данными простыми методами мы можем установить правила для файрволла. Процесс создания правил мало отличается в различных операционных системах и оболочках, за счёт чего мы можем сказать, что овладели мультиплатформенным навыком.

3. Основные принципы создания правил брандмауэра

Изучив структуру локальной сети, назначения брандмауэра, способы настройки брандмауэра, составим тезисы, которых стоит придерживаться при разработке правил брандмауэра: