Лабораторная работа 9.2
	Технология защиты сетевых компьютеров. Брандмауэр.

• аппаратные: компьютер, подключенный к ЛВС;
• программные: ОС Windows XP; приложение ВМ: VirtualBox; виртуальная машина: VM-1.

Теоретические сведения

Особенности защиты информации в компьютерных сетях обусловлены тем, что сети, обладая несомненными преимуществами обработки информации, по сравнению с локальными компьютерами, усложняют организацию защиты, образуя следующие основные проблемные направления:

1. Разделение совместно используемых ресурсов.
2. Расширение зоны контроля.
3. Комбинация различных программно-аппаратных средств.
4. Неизвестный периметр.
5. Множество точек атаки.
6. Сложность управления и контроля доступа к системе.

Сообществом Интернета под эгидой Тематической группы по технологии Интернета (Internet Engineering Task Force, IETF) разработано много рекомендаций по отдельным аспектам сетевой безопасности, тем не менее, целостной концепции или архитектуры безопасности пока не предложено.

Основная идея состоит в том, чтобы средствами оконечных систем обеспечивать сквозную безопасность.

Экранирование - единственный сервис безопасности, для которого Гостехкомиссия России одной из первых в мире разработала и ввела в действие Руководящий документ, основные идеи которого получили международное признание и фигурируют в профилях защиты, имеющих официальный статус в таких странах, как США. Политика безопасности межсетевого экрана базируется на принципе «все, что не разрешено, запрещено»

Межсетевой экран или Брандмауэр — это «полупроницаемая мембрана», которая располагается между защищаемым внутренним сегментом сети и внешней сетью или другими сегментами сети интранет и контролирует все информационные потоки во внутренний сегмент и из него. Контроль трафика состоит в его фильтрации, то есть выборочном пропускании через экран, а иногда и с выполнением специальных преобразований и формированием извещений для отправителя, если его данным в пропуске было отказано. Фильтрация осуществляется на основании набора условий, предварительно загруженных в брандмауэр и отражающих концепцию информационной безопасности корпорации. Брандмауэры могут быть выполнены как в виде аппаратного, так и программного комплекса, записанного в коммутирующее устройство или сервер доступа (сервер-шлюз, прокси-сервер, хост-компьютер и т. д.). Работа брандмауэра заключается в анализе структуры и содержимого информационных пакетов, поступающих из внешней сети, и в зависимости от результатов анализа пропуска пакетов во внутреннюю сеть (сегмент сети) или полное их отфильтровывание. Эффективность работы межсетевого экрана обусловлена тем, что он полностью переписывает реализуемый стек протоколов TCP/IP, и поэтому нарушить его работу с помощью искажения протоколов внешней сети (что часто делается хакерами) невозможно.

Межсетевые экраны обычно выполняют следующие функции:

• физическое отделение рабочих станций и серверов внутреннего сегмента сети (внутренней подсети) от внешних каналов связи;
• многоэтапная идентификация запросов, поступающих в сеть (идентификация серверов, узлов связи и прочих компонентов внешней сети);
• проверка полномочий и прав доступа пользователей к внутренним ресурсам сети;
• регистрация всех запросов к компонентам внутренней подсети извне;
• контроль целостности программного обеспечения и данных;
• экономия адресного пространства сети (во внутренней подсети может использоваться локальная система адресации серверов);
• сокрытие IP-адресов внутренних серверов с целью защиты от хакеров.

Брандмауэры могут работать на разных уровнях протоколов модели OSI.
На сетевом уровне выполняется фильтрация поступающих пакетов, основанная на IP-адресах (например, не пропускать пакеты из Интернета, направленные на те серверы, доступ к которым извне не должен осуществляться; не пропускать пакеты с фальшивыми обратными адресами или с IP-адресами, занесенными в «черный список» и т. д.).
На транспортном уровне фильтрация возможна еще и по номерам портов TCP и флагов, содержащихся в пакетах (например, запросов на установление соединения).
На прикладном уровне может выполняться анализ прикладных протоколов (FTP, HTTP, SMTP и т. д.) и контроль за содержанием потоков данных (запрет внутренним абонентам на получение каких-либо типов файлов: рекламной информации или исполняемых программных модулей, например).
В брандмауэре возможно наличие экспертной системы, которая, анализируя трафик, диагностирует события, потенциально представляющие угрозу безопасности внутренней сети, извещает об этом администратора сети, а в случае опасности она может автоматически ужесточать условия фильтрации и т. д.

Основные компоненты брандмауэра:

• политика сетевого доступа;
• механизмы усиленной аутентификации;
• фильтрация пакетов;
• прикладные шлюзы.

В качестве популярных эффективных брандмауэров называются: Netscreen 100, CyberGuard Firewall, Kerio Winroute Firewall, Zone Alarm, Agnitum Autpost Firewall, Jetico Personal Firewall, Internet Connection Firewall. Еще одним способом сетевой защиты может быть установленное на сервере специальное программное обеспечение, которое позволяет остальным компьютерам сети эмулировать выход в Интернет, оставаясь при этом «невидимым» со стороны глобальной сети. Такой компьютер называют прокси-сервером (proxy - доверенный). Например, Microsoft Proxy Server 2.0. который, являясь кэширующим сервером (повышает эффективность работы сети – сокращает сетевой трафик), выполняет функции брандмауэра и обеспечивает безопасный доступ в Интернет и имеет два сетевых адаптера – один соединяет его с сетью, другой – с Интернет. Так как локальная сеть «не видна» из Интернет, то легальный IP-адрес имеет только внешний сетевой интерфейс, а IP-адреса внутри сети могут быть выданы из пула, зарезервированного для изолированных сетей. В ОС Windows XP с установленным SP2 (Service Pack 2 – пакет обновлений 2) входит брандмауэр. Основные возможности: блокировка доступа компьютерным вирусам и червям, запрос пользователя о выборе действия, ведение журнала безопасности.

Выполнение работы

1. Задание 1. Подготовьте компьютер для выполнения лабораторной работы:

1. Запустите виртуальную машину VM-1.
   
2. Перейдите в полноэкранный режим работы
   Выполняйте остальные задания лабораторной работы в виртуальной машине.

Задание 2. Создайте новую политику IP-безопасности на локальном компьютере:

1. Откройте оснастку Управление политикой безопасности IP:
   • откройте диалоговое окно Запуск программ (Пуск/Выполнить);
   • введите команду mmc и нажмите клавишу ENTER;
   • выполните команду меню Консоль/Добавить или удалить оснастку;
   • откройте окно с доступными оснастками с помощью кнопки Добавить;
   • выберите в списке элемент Управление политикой безопасности IP и добавьте его с помощью кнопки Добавить;
   • завершите добавление оснастки кнопкой Готово;
   • закройте диалоговое окно Добавить изолированную оснастку;
   • закройте диалоговое окно Добавить/Удалить оснастку с помощью кнопки OK.
2. Активизируйте оснастку Политика безопасности IP на «Локальный компьютер».
   Справа отобразятся установленные по умолчанию политики.
3. Запустите мастер создания политик безопасности:
   • вызовите контекстное меню оснастки Политика безопасности IP на «Локальный компьютер»
   • выполните команду Создать политику безопасности IP….
4. Ознакомьтесь с информацией мастера и щелкните по кнопке Далее.
5. Установите Имя политики безопасности IP:
   • введите в поле Имя – My_politic.
   • введите в поле Описание – Это политика IP безопасности локального компьютера и щелкните по кнопке Далее.
6. Настройте политику безопасного соединения. Для этого установите флажок Использовать правило по умолчанию и щелкните по кнопке Далее.
7. Установите Способ проверки подлинности правила отклика по умолчанию:
   • активизируйте Использовать данную строку для защиты обмена ключами;
   • введите в нижнее поле 123456789;
   • закройте окно кнопкой Далее.
8. Закройте мастера создания политики безопасности кнопкой Готово.
   Откроется диалоговое окно Свойства: My_politic.
10. Запустите Мастер правил безопасности и настройте правила безопасности:
    • запустите мастер кнопкой Добавить;
    • ознакомьтесь с описанием мастера и - Далее;
    • выберите Это правило не определяет туннель и щелкните Далее;
    • выберите Локальные сетевые подключения и щелкните Далее;
    • выберите Использовать сертификат данного центра сертификации (ЦС);
    • щелкните Обзор и выберите любой сертификат, кнопка Далее;
    • в списке фильтров IP выберите Полный IP трафик и щелкните Далее;
    • добавьте новое действие фильтра:
      • щелкните по кнопке Добавить;
      • ознакомьтесь с описанием запустившегося мастера и - Далее;
      • введите в поле Имя – My_filter и щелкните по кнопке Далее;
      • выберите Разрешить и щелкните по кнопке Далее;
      • завершите добавление нового действия кнопкой Готово.
    • активизируйте созданное вами действие и измените его параметры:
      • щелкните по кнопке Изменить;
      • выберите Согласовать безопасность;
      • щелкните по кнопке Добавить и выберите Шифрование и обеспечение целостности;
      • установите флажок Принимать небезопасную связь, но отвечать с помощью IPSEC и щелкните по кнопке Далее;
    • завершите работу мастер кнопкой Готово.
11. Добавьте в политику фильтр для блокировки всех входящих подключений:
    • отключите использование мастера (флажок Использовать мастер);
    • откройте диалоговое окно Созданий новых правил кнопкой Добавить;
    • откройте диалоговое окно Добавление фильтра кнопкой Добавить;
    • добавьте новый фильтр:
      • сбросьте флажок Использовать мастер;
      • откройте диалоговое окно Свойства: Фильтр кнопкой Добавить;
      • в поле Адрес источника пакетов выберите Любой адрес IP;
      • в поле Адрес назначения пакетов выберите Мой IP адрес;
      • установите флажок Отраженный для блокировки приходящих пакетов;
      • установите протокол TCP для фильтрации (вкладка Протокол\раскрывающийся список Выберите протокол);
      • завершите настройку нового фильтра кнопкой ОК;
    • закройте диалоговое окно Список фильтров кнопкой ОК.
    • завершите добавление нового правила кнопкой ОК.
12. Закройте диалоговое окно Свойства: My_politic.
13. Активизируйте выбранную политику (контекстное меню созданной политики/Назначить).
14. Проверьте работу политики, воспользовавшись утилитой ping на другом компьютере.
    Если политика настроена верно, то утилита ping выдаст сведения о том что данный компьютер недоступен.

Задание 3.Настройте фильтрацию IP -трафика.

1. Откройте диалоговое окно свойств Подключения по локальной сети (Пуск/Панель управления/Сетевые подключения).
2. Откройте диалоговое окно Свойства: Протокол Интернета (TCP/IP) и щелкните по кнопке Дополнительно.
3. Перейдите на вкладку Параметры.
4. Откройте окно Фильтрация TCP/IP с помощью кнопки Свойства.
5. Установите TCP-порты, которые можно использовать:
   • выберите в разделе TCP-порты переключатель Только и щелкните по кнопке Добавить;
   • введите номер порта для протокола HTTPS – 443;
   • аналогично добавьте порты
     • для протокола отправки почты SMTP – 25;
     • для протокола получения почты POP3 – 110;
     • протокол FTP – 21;
     • протокол Telnet - 23.
   • Щелкните ОК для применения параметров.
6. Запретите использование протокола Telnet.
7. Закройте окно Дополнительные параметры TCP/IP кнопкой ОК.
8. Закройте окно Свойства: Протокол Интернета (TCP/IP) кнопкой ОК.
9. Проверьте настроенную фильтрацию. Для этого подключитесь по протоколу Telnet с другого компьютера (программа Telnet входит в состав ОС Windows и используется для работы на удаленном компьютере в командной строке).

Задание 4. Настройте брандмауэр Windows:

1. Откройте настройки брандмауэра (Пуск/Панель управления/Центр обеспечения безопасности/Брандмауэр Windows).
2. Разрешите доступ браузеру Internet Explorer к Интернету:
   • перейдите на вкладку Исключения и щелкните по кнопке Добавить программу.
   • выберите в списке Internet Explorer и щелкните по кнопке ОК.
3. Включите ведение журнала безопасности:
   • перейдите на вкладку Дополнительно;
   • щелкните по кнопке Параметры в разделе Ведение журнала безопасности;
   • включите запись пропущенных и успешных пакетов;
   • сохраните сделанные изменения кнопкой ОК.
4. Завершите конфигурирование брандмауэра кнопкой ОК.
5. Подключитесь к сети Интернет с помощью браузера Internet Explorer
   Если все настроено правильно, то вы сможете выйти в Интернет, в противном случае брандмауэр выдаст сообщение о том, что какая-то программа пытается получить доступ в Интернет.

Задание 5. Выполните самостоятельные задания 4-6