Вcтроенный межсетевой экран (firewall) Windows Server 2012 Теретический материал
Вcтроенный межсетевой экран (firewall) Windows Server 2012
Firewall (сетевой экран, брандмауэр) — это система компонентов, предназначенная для защиты информационной системы от внешних и внутренних атак. Он также может служить средством управления доступом к информационным ресурсам вашей компании для внешних и внутренних пользователей.
В круг его задач входит не только обеспечение безопасности, но и другие:
Кэширование, это свойство характерно для сетей, содержащих Web-серверы с большим объемом информации, доступной из Internet; Трансляция сетевых адресов (NAT), возможность применения во внутренней сети любого IP адреса; Фильтрация контента, то есть ограничение информации, получаемой из Internet; Переадресация, путем изменения запросов, распределение нагрузки между несколькими серверами.
Сочетание этих возможностей дает определенные преимущества в защите рабочих станций и серверов.
Основные механизмы для пропускания и блокирования трафика:
Фильтр пакетов, принимающий решения на основе анализа заголовков пакетов; Proxy-серверы, контроль на уровне приложений; Шифрование трафика.
Обычно используют сочетание этих механизмов для грамотного планирования системы безопасности сети.
Фильтрацию пакетов осуществляют маршрутизаторы или компьютер, с соответствующим программным обеспечением, в которых заданы наборы правил, устанавливающие разрешенные типы сетевого трафика, имеющие право проходить через подключенные к нему сетевые интерфейсы. Им приходится принимать решения только на основе информации в заголовке пакета. В заголовок пакета не включены детали, которые могли бы помочь фильтру решить, следует ли пропускать пакет через межсетевой экран. Поэтому нет возможностей распознать тип запроса. Proxy-сервер — это программа, которая выполняется на брандмауэре и перехватывает трафик приложений определенного типа. Пакетный фильтр гарантирует определенную степень защиты, а proxy-серверы обеспечивают дальнейшее блокирование нежелательного трафика между локальной и внешней сетью. Если proxy-сервер выйдет из строя, пакетный фильтр останется вашей первой линией обороны, пока работа proxy-сервера не будет восстановлена. Наиболее продвинутые фаерволы, обладают функцией proxy-сервера.
Персональный межсетевой экран появился в операционных системах семейства Windows, начиная с Windows XP / Windows Server 2003. В Windows Server 2012 возможности этого компонента существенно расширены, что позволяет более гибко производить настройки.
Текущие настройки можно посмотреть, запустив из Диспетчера серверов брандмауэр.
Брандмауэр позволяет настраивать правила для входящих и исходящих подключений. А также – правила безопасности подключений.
Правила настраиваются отдельно для входящих и отдельно – для исходящих подключений.
Щелкаем (справа) «Создать правило».
Данный файервол является шлюзом как сетевого, так и прикладного уровней.
Поэтому мы можем создать правило как для программы, так и для порта.
Задание №1. Создайте правило, разрешающее исходящие соединения с сервером по порту 80 (TCP).
Далее необходимо выбрать протокол, по которому будет произведено соединение
После этого мы можем настроить действие с пакетами: можем разрешить подключение по указанному порту, можем – разрешить безопасное подключение (pptp, l2tp+ipsec), либо заблокировать подключение.
Далее создаём профиль, для которого применяется подключение.
И задаём имя правила.
Создайте правило, разрешающее подключение по протоколам PPTP, SSL, HTTP, FTP, Telnet для данного сервера.
Сделайте ваш сервер веб-сервером и FTP-сервером и попросите друга (с другой виртуалки!), чтобы он попытался подключиться к вашему серверу. Если это удалось сделать, то задание выполнено частично правильно.
Проверять, удаётся ли подключиться по протоколу PPTP и SSL, мы будем позже.
Задание №3. Изучите возможности средства «Наблюдение» за фаерволом. Опишите их назначение в отчёте.
Задание №4. Создайте правило, разрешающее отсылку ICMP-пакетов echo reguest. Проверьте его работу для какого-нибудь узла из локальной или внешней сети, используя его ip-адрес (например, командой ping 192.168.0.10 можно проверить доступность компьютера с указанным адресом). Если ответ пришел, можно переходить ко второй части задания. Если ответа нет, попробуйте найти такой узел, который пришлет ответ.
Задание №5. Создайте правило, запрещающее отсылку icmp-пакетов на данный узел. Проверьте его работу.
Задание №6. Изучите возможности мастера создания правил безопасности для нового подключения. Опишите их назначение в отчёте.
Задание №7. Создайте правило безопасности для туннеля.
Обеспечьте проверку подлинности отправителя (компьютера клиента) сервером на основе сертификата компьютера.
Обеспечьте проверку подлинности соединения между любыми конечными точками туннеля.
Создайте VPN туннель между вашим компьютером и компьютером друга.
Задача №8. Обеспечить обмен электронной почтой между внутренним и внешним SMTP серверами.
Настройте правила в соответствие с таблицей:
Задача №9 (доработка задачи №8). Защитите свою сеть от троянских программ (обращаем внимание и на порт источника).
Защищаемая организация имеет сеть 123.45.0.0/16
Запретить из Интернет доступ в сеть 123.45.0.0/16
Но разрешить доступ в подсеть 123.45.6.0/24 данной сети из сети 135.79.0.0/16
При этом специально запретить в защищаемую сеть доступ из подсети 135.79.6.0/24, за исключением доступа к подсети 123.45.6.0/24
Защищаемая организация имеет сеть 123.4.0.0/16
Входящие соединения TELNET разрешаются только с хостом 123.4.5.6
Входящие соединения SMTP разрешаются только с хостами 123.4.5.7 и 123.4.5.8
Входящий обмен по NNTP разрешается только от сервера новостей 129.6.48.254 и только с хостом 123.4.5.9
Входящий протокол NTP (сетевого времени) — разрешается для всех
ВТОРАЯ ЧАСТЬ ПРАКТИЧЕСКОЙ РАБОТЫ
«Изучение настройки файервола в командной строке».
Все задания этой части (№12-№18) необходимо выполнить в командной строке. Не через графический интерфейс!
Программа netsh. exe позволяет администратору настраивать компьютеры с ОС Windows и наблюдать за ними из командной строки или с помощью пакетного файла.
При использовании средства netsh вводимые команды направляются соответствующим помощникам, которые и производят их выполнение.
Многие из описанных параметров конфигурации можно настроить и с помощью программы netsh.
Расмотрим несколько примеров как создавать правила из командной строки, также эти команды можно использовать при написании своих пакетных сценариев cmd, bat, powershell.
Задача №12. Включите файервол.
Включение и выключение файервола:
Включить брандмауэр: netsh advfirewall set allprofiles state on
Выключить брандмауэр: netsh advfirewall set allprofiles state off
Включение отдельных профилей:
netsh advfirewall set domainprofile state on
netsh advfirewall set privateprofile state on
netsh advfirewall set publicprofile state on
Отключите частный профиль. Включите профиль в домене и публичный профиль.
Запретите все входящие соединения и разрешите все исходяшие:
netsh advfirewall set allprofiles firewallpolicy blockinbound, allowoutbound
Для всех профилей Блокировать Разрешать
входящий трафик исходящий
Правила на порты
netsh advfirewall firewall add rule name=»HTTP» protocol=TCP localport=80 action=allow dir=IN
Добавляет правило, разрешающее (action=allow) соединения по протоколу TCP (protocol=TCP) для 80 порта (localport=80) для входящего трафика (dir=IN, dir – от direction – направление. OUT – исходящий трафик, IN – входящий трафик).
Разрешите входящие соединения для 80 порта по протоколам TCP и UDP с консоли.
Запретите исходящие соединения на 80 порт.
Откройте диапазон портов для исходящего UDP трафика
netsh advfirewall firewall add rule name=» =»Port range» protocol=UDP localport=5000-5100 action=allow dir=OUT
Задача №15. Ограничения по IP адресам
netsh advfirewall firewall add rule name=»HTTP» protocol=TCP localport=80 action=allow dir=IN remoteip=192.168.0.1
Разрешите входящий трафик от веб-сервера с dns-именем yandex. ru (вы должны определить ip-адрес по dns-имени!)
Разрешите входящий трафик от серверов с адресами 192.168.1.4, 192.168.1.5, 192.168.1.6 и запретите от 192.168.1.10, 192.168.1.11
Возможно ограничение и по подсетям.
netsh advfirewall firewall add rule name=»HTTP» protocol=TCP localport=80 action=block dir=IN remoteip=10.0.0.0/16
netsh advfirewall firewall add rule name=»HTTP» protocol=TCP localport=80 action=allow dir=IN remoteip=10.0.0.1-10.0.0.10
netsh advfirewall firewall add rule name=»HTTP» protocol=TCP localport=80 action=block dir=IN remoteip=localsubnet
Доработайте правило из задачи №15 с использованием адресов подсетей для блокировки и разрешения трафика.
Создайте правило, разрешающее входящий трафик программе C:\Windows\explorer. exe
netsh advfirewall firewall add rule name=»My Application» dir=in action=allow program=»C:\Windows\Explorer. exe» enable=yes
Дополнительно (не к №17):
При необходимости – возможно и комбинирование параметров. Например:
netsh advfirewall firewall add rule name=»My Application» dir=in action=allow program=»C:\MyApp\MyApp. exe» enable=yes remoteip=157.60.0.1,172.16.0.0/16,LocalSubnet profile=domain
Настройте файервол в соответствие со следующими требованиями:
Запретить доступ в подсеть 172.16.0.0/16 Разрешить доступ в подсеть 192.168.2.0/24 Разрешить входящий и исходящий трафик первым 10 адресам подсети 192.168.3.0/24, всем остальным – запретить. Разрешить входящий и исходящий трафик к серверам (их адреса указаны в таблице).
