В наши дни в большинстве организаций у каждого пользователя на своем рабочем месте есть выход в Интернет. Зачастую эти пользователи занимаются веб-серфингом, они еще изо дня в день обмениваются данными с сотрудниками других организаций и с не идентифицированными в домене компьютерами, что может повлечь за собой вероятность заражения, как компьютера пользователя вашего домена, так и всей сети. Несмотря на то, что, скорее всего, в вашей сети в демилитаризованной зоне развернут межсетевой экран, в операционных системах Windows Vista, Windows 7 и Windows Server 2008/2008 R2 для обеспечения повышения уровня безопасности, применяются такие технологии, как брандмауэр Windows в режиме повышенной безопасности, который включает в себя индивидуальный брандмауэр и протокол IPSec, который совместим со стандартом рабочей группы проектирования Интернета (IETF), а также технология защита сетевого доступа (NAP – Network Access Protection).
В связи с тем, что при подключении к сети Интернет, вы можете быть атакованы тысячами других компьютеров, брандмауэры анализируют коммуникации и сбрасывают пакеты, которые не разрешено пересылать. Брандмауэр сбрасывает нежелательный сетевой трафик и разрешает законный трафик, который основывается на созданных правилах, например, авторизованный общий доступ к файлам и папкам. На каждом компьютере, начиная с операционной системы Windows Vista, брандмауэр Windows в режиме повышенной безопасности работает в качестве индивидуального брандмауэра, что позволяет осуществлять существенную защиту при проникновении недоброжелателей через периметр межсетевого экрана организации. По умолчанию, индивидуальный брандмауэр в брандмауэре Windows в режиме повышенной безопасности включен, причем на нем весь входящий трафик, который не был разрешен явным образом, блокируется, а весь исходящий трафик является разрешенным. В том случае, если у вас на компьютере установлено программное обеспечение, которому нужно обеспечить получение непредусмотренного сетевого трафика, вы можете создавать отдельные правила, которые будут разрешать конкретные входящие подключения. Как я уже не раз указывал в своих статьях, все правила и параметры «Брандмауэра Windows» сохраняются в определенных профилях, которые могут быть связаны с тремя сетевыми расположениями:
- общим – сетевое расположение, которое присваивается при первом подключении к сети, сетям в кафе, аэропортах и прочее;
- частным – сетевое расположение, которое присваивается вручную и предназначено для подключения к домашним сетям, сетям малого офиса, а также к сетям общего доступа, созданных средствами устройства для преобразования сетевых адресов;
- доменным – сетевое расположение, которое применяется при подключении компьютера к домену Active Directory и может проходить проверку подлинности в данном домене.
Стоит обратить внимание на то, что в операционных системах Windows 7 и Windows Server 2008 R2 вы можете присвоить каждому сетевому адаптеру свой профиль, который одновременно поддерживает различные типы расположения в сети. В операционной системе Windows Vista используется только одно сетевое расположение для всех сетевых адаптеров. А в операционных системах Windows XP и Windows Sever 2003 поддерживается профиль домена, но, в том случае, если компьютер не подключен к домену, вместо частного и общего профилей поддерживается только «стандартный» профиль, в котором можно только создавать правила для входящих подключений.
Как вы знаете, сетевой трафик – это количество информации, представляющее собой пакет или поток пакетов, которые отправляются с исходного порта одного компьютера на целевой порт другого компьютера. В свою очередь, портом называется идентифицируемый номером системный ресурс, выделяемый приложению, выполняемому на некотором сетевом хосте, для связи с приложениями, выполняемыми на других сетевых хостах. Один порт может одновременно прослушивать одна программа, которая должна быть зарегистрирована с зарегистрированным под свою работу портом. После того как входящий пакет поступает на локальный компьютер, операционная система определяет номер порта назначения, после чего передает содержимое пакета программе, которая зарегистрировала этот порт. Порт может находиться в диапазоне от 1 до 65 535. Вкратце, принцип работы индивидуального брандмауэра следующий: брандмауэр Windows в режиме повышенной безопасности проверяет исходные и целевые номера портов, сами порты и адреса компьютеров, после чего сопоставляет их с заданными вами правилами.
Индивидуальный брандмауэр, в частности «Брандмауэр Windows в режиме повышенной безопасности» можно проиллюстрировать следующим образом:
Увеличить рисунокРис. 1. Принцип работы индивидуального брандмауэра
Следующая технология, которая будет рассмотрена в данном цикле статей – это безопасность подключения и протокол IPSec. Протокол безопасности подключения (Internet Protocol Security - IPSec) используется для защиты сетевых данных и гарантирует их подлинность и конфиденциальность. IPSec считается системой открытых стандартов, которая предназначена для обеспечения защищенных конфиденциальных подключений через IP-сети, выполняя шифрование пакетов IP, используя безопасные подключения. В основу реализации протокола IPSec в Windows были положены стандарты, которые предложила Рабочая группа инженеров Интернета (IETF – Internet Engineering Task Force) IPSec. Данный протокол в большинстве случаев применяется для обеспечения безопасности коммуникаций между двумя узлами или для защиты трафика Интернет в сценариях с использованием виртуальной частной сети. Данный протокол поддерживает одноранговую проверку подлинности на уровне сети, проверку подлинности источника данных, целостность данных, их шифрование и защиту повторения, причем реализация данного протокола полностью интегрирована в сетевой уровень 3сетевой модели OSI, что позволяет обеспечить защиту независимо от программного обеспечения, которое выполняется на компьютере.
Политики IPSec определяют, каким образом компьютер или группа компьютеров управляет коммуникациями IPSec. Вы можете настроить политики IPSec для отдельного компьютера, который даже не подключен к домену при помощи правил безопасности подключения для определенного сетевого трафика в брандмауэре Windows в режиме повышенной безопасности или при помощи оснастки «Локальная политика безопасности». Для группы компьютеров, которые подключены к домену, принято использовать групповую политику. При создании политики IPSec принято использовать следующие службы:
- Шифрование. Для того чтобы при передаче данные нельзя было прочитать или перехватить их, при помощи протокола IPSec вы можете шифровать данные;
- Проверка подлинности данных.
- Проверка подлинности приходящих данных. После того как протокол IPSec будет настроен, можно гарантировать, что каждый пакет, получаемый от доверенной стороны, представляет подлинные данные доверенной стороне, а не искажен на маршруте. В большинстве случаев, проверка подлинности позволяет компьютерам получать подтверждения, но, при необходимости, вы можете осуществлять аналогичные сценарии и на уровне пользователей. В большинстве случаев применяются такие методы проверки подлинности, как сертификаты компьютера или пользователя, которые можно проверить, а также маркеры Kerberos;
- Целостность данных. При помощи протокола IPSec вы можете обеспечивать гарантии того, что данные не будут изменены во время передачи. Принцип проверки целостности данных у данного протокола следующий: через подключение под защитой IPSec отправляется сетевой пакет, который содержит зашифрованный хэш-код пакета. Хэш-код вычисляется компьютером отправителя, шифруется и включается в пакет. После того как второй компьютер получает хэш-код, данный компьютер проводит независимые вычисления хэша, после чего расшифровывает хэш, содержащийся в пакете, и сравнивает эти два значения. В том случае, если эти пакеты не совпадают, то при передаче пакет был поврежден или изменен, а если они полностью совпадают, то пакет принимается к дальнейшей обработке;
- Защита от повторного воспроизведения. Протокол IPSec может проверять уникальность каждого пакета, чтобы предотвратить дублирование.
Указанные выше технологии позволяют вам существенно повысить безопасность в вашей организации. Но даже несмотря на правильно настроенные правила брандмауэра Windows в режиме повышенной безопасности, правила IPSec и межсетевые экраны, размещенные в демилитаризованной зоне, ваша сеть все еще может подвергаться угрозам. К сожалению, компьютеры любых, даже самых защищенных сетей всегда находятся во враждебной обстановке и всегда хватает недоброжелателей, которые хотят найти погрешность в вашей инфраструктуре. Например, вы могли предоставить одному из своих пользователей прямой выход в Интернет и этот пользователь, принимая свою электронную почту, мог занести червя, который быстро распространится по компьютерам вашей сети, принеся вам множество неудобств, а, возможно, и убытков. Или при подключении мобильного компьютера к беспроводной сети, где также можно занести червя, по приезду в организацию, случайным образом распространить его на уязвимые компьютеры, миновав систему безопасности на периметре.
Вы можете предотвратить все возможные сценарии при помощи такой технологии, как «Защита доступа сети NAP» (Network Access Protection), компоненты которой могут использоваться на операционных системах, начиная с Windows XP SP3. При помощи этой технологии вы можете создавать решения, предназначенные для проверки компьютеров при подключении к локальной сети, предоставляя доступ к необходимым обновлениям, управлять доступом клиентских компьютеров к сетевым ресурсам на основе удостоверения компьютера и соответствия корпоративным политикам. При подключении к локальной сети компьютеры должны соответствовать конкретным требованиям состояния, таким, как установка самых последних обновлений. Если компьютер не соответствует таким требованиям, то он может быть помещен в сетевой карантин, где будут загружены последние обновления, антивирусное программное обеспечение, а также получены дополнительные сведения о LAN. С помощью защиты доступа к сети системные администраторы могут устанавливать и автоматически применять политики работоспособности, которые включают в себя требования к программному обеспечению, требования к обновлению для системы безопасности, обязательные конфигурации компьютеров и другие параметры. Другими словами, платформа NAP предназначена для подключения узлов к сетевым ресурсам в зависимости от текущего состояния и их работоспособности. Такое разделение сетевых ресурсов реализуется с помощью виртуальных частных сетей, IP-фильтров, подсетей, статических маршрутов, а также IP-безопасности.
Об этих трех технологиях, а также о многом другом вы узнаете из следующих статей данного цикла.