Настройка Firewall`а

 Подборка: Daemon

Рассмотрим пример построения системы сетевой защиты на основе брандмауэра Kerio Personal Firewall версии 2.1.4 (далее Kerio PF). Выбор обусловлен надежностью работы этого брандмауэра, легкостью в настройке, интуитивно понятным интерфейсом и тем, что для персонального использования он распространяется бесплатно.

Дистрибутив: kerio-pf-214-en-win.exe (2,05 Мбайт);
Поддерживаемые ОС: Windows 98/Me/NT 4.0/2000/XP;
Интерфейс: англоязычный;
Разработчик: Kerio Technologies Inc., www.kerio.com;
Примечание: срок пробного использования для корпоративных пользователей 30 дней.


Kerio Personal Firewall (версия 2.1.4) разработан той же группой программистов, что и Tiny Personal Firewall (версия 2.0.15 А). Используя более совершенный драйвер, Kerio PF (версия драйвера 3.0.0 против 2.0.15 в Tiny PF) унаследовал целиком внешний вид и функции администрирования от Tiny PF. Программа по умолчанию устанавливается в каталог C:\Program Files\Kerio\Personal Firewall.

Минимальные требования, предъявляемые к системе:

- Процессор Intel Pentium или полностью совместимый;
- 32 Mбайт оперативной памяти;
- 3 Mбайт свободного дискового пространства;
- Windows 98/Me/NT 4.0/ 2000/XP.

После установки в программной группе Kerio Personal Firewall создаются следующие ссылки:

- Firewall Engine - загрузка ядра Kerio PF;
- Firewall Administration – администрирование брандмауэра;
- Firewall Status - просмотр информации о соединениях и разнообразная статистика.

После завершения установки требуется перезагрузить систему.


Политика безопасности:

Уровень безопасности - это инструкция брандмауэру, как поступить с сетевым соединением, для которого нет соответствующего правила. Возможные действия: запретить, спросить у пользователя, разрешить. Установка уровня безопасности производится вызовом Firewall Administration - Firewall.

Kerio PF поддерживает три основных уровня безопасности:

1. Permit Unknown - уровень минимальной безопасности. Брандмауэр разрешает установление всех соединений, кроме явным образом запрещенных в правилах. Можно сказать так: все, что не запрещено, - разрешено.
   

2. Ask Me First - настройка брандмауэра. Брандмауэр блокирует все соединения, кроме явным образом разрешенных, потом выводит диалоговое окно с сообщением о попытке установки соединения и вопросом о том, разрешить или запретить это соединение. На основе ответа пользователя можно сформировать правило, регламентирующее данный тип соединений.
   

3. Deny Unknown - уровень максимальной безопасности. Запрещены все соединения, кроме явным образом разрешенных, т. е. все, что не разрешено, - запрещено.
   

Первый запуск:

После запуска брандмауэра в панели управления появится пиктограмма, анимирующая сетевой трафик. Зеленая стрелка означает разрешенные в правилах соединения. Появление красной стрелки говорит о попытке установить запрещенное соединение. По умолчанию брандмауэр работает как сервис системного сервиса или пользовательского приложения установить сетевое соединение, брандмауэр блокирует данное соединение и запросит пользователя о его разрешении (Permit) или запрещении (Deny). Указав опцию Create appropriate filter rule and don’t ask me again, вы даете брандмауэру распоряжение создать правило, описывающее данный тип соединений для данного приложения. Выбрав Customize rule, можно просмотреть характеристики создаваемого правила и изменить их. При регистрации брандмауэром попытки соединения по протоколу NetBIOS (сеть Microsoft) Kerio PF выводит диалоговое окно настройки безопасности сети Microsoft (более подробно об этом - в разделе «Настройка сети Microsoft»). Если у вас один компьютер, не подключенный к домашней или офисной сети, разрешать доступ к ресурсам вашего компьютера нельзя. Большинство хищений данных происходит через ресурсы общего доступа сети Microsoft. После завершения настройки установите уровень безопасности Deny Unknown.


Создание и редактирование правил:

Просмотреть, изменить порядок следования, отредактировать, удалить или добавить новое правило можно, вызвав Firewall Adminstration-Advanced-Filter Rules. Двойной щелчок левой клавиши мыши по записи из списка правил вызывает окно редактирования со следующими полями:

Description - краткое описание правила;

Protocol - коммуникационный протокол TCP, UDP, TCP и UDP, ICMP или OTHER для других IP-протоколов. Опция Any означает любой протокол из стека TCP/IP;

Direction - направление соединения (Outgoing - исходящие, Incoming - входящие, Both - двусторонние).

Группа Local endpoint section - описывает локальную точку соединения. Поля: Port type - порт (только если выбран протокол TCP и/или UDP). Возможные значения: Any (любой порт), Single Port (один порт), Port Range (диапазон портов) или List of ports (список портов, разделенных «,»); Application - при значении Only selected below показывает, что правило действует только для указанного приложения. При значении Any правило действует для всех приложений.

Группа Remote endpoint section - описывает удаленную точку сетевого соединения. Поля: Address type - IP-адрес удаленного компьютера. Можно указать Any address (любой IP-адрес), Single address (один IP-адрес), Network/Mask (сеть/маска), Network/Range (диапазон адресов) или Custom Address Group (определенную пользователем группу IP-адресов).

Port type - удаленный порт.


Дополнительные параметры:

Rule valid - временной диапазон действия правила.

Always - действует все время.

In this time interval only - задать интервал действия. Например: пятница, с 18:00 до 22:00.

Action - действие, применяемое к сетевым пакетам, определяемым этим правилом. Permit – пропустить или Deny - отбросить.

Log when this rule matches - записать данные о сетевом пакете при выполнении этого правила. Запись идет в файл fulter.log или на syslog-сервер.

Display alert box when this rule matches - при совпадении сетевого пакета с правилом брандмауэр выводит сообщение Firewall Rule Alert, содержащее подробные характеристики сетевого пакета.


Настройка сети Microsoft:

Получить доступ к настройкам безопасности сети Microsoft можно, вызвав Firewall Administration • Advanced • Microsoft Networking.

Вот несколько наиболее типичных примеров конфигурации:

1. компьютер не подключен к локальной сети (домашний компьютер с выходом в Интернет через модем) - установите опцию For Microsoft Networking Use These Rules Instead Of Filter Rules и отключите все остальные опции. Это запретит все соединения для сети Microsoft;
   
   

2. компьютер подключен к локальной сети, клиентам которой вы доверяете и хотите разрешить доступ к от крытым ресурсам и принтерам вашего компьютера. Установите все опции, кроме Ask Me For Each Access to My Shared Folder («Cпрашивать меня каждый раз при попытке доступа к открытым ресурсам компьютера»). В группе Trusted Address Group определите IP-адреса клиентов сети Microsoft, которым вы разрешаете доступ к ресурсам;
   
   

3. компьютер подключен к локальной сети. Вы разрешаете клиентам этой сети, определенным в группе Trusted Address Group, доступ к открытым ресурсам, но хотите контролировать устанавливаемые подключения. Сделайте настройки, как в предыдущем примере, затем установите опцию Ask Me For Each Access to My Shared Folder.

ICS-сервер:

Для организации доступа в Интернет всех компьютеров из домашней или небольшой офисной сети можно использовать стандартный компонент операционных систем Windows 98/SE/Me/2000/XP Internet Connection Sharing (ICS). Настроив компьютер (шлюз), подключенный к Интернету как ICS-сервер, вы организуете доступ в Интернет для всех компьютеров локальной сети. Причем ничем не защищенный, так как ICS-сервис не подразумевает сетевой защиты.

Установив на шлюз Kerio PF, вы обеспечиваете сетевую защиту локальной сети. Для работы на шлюзе в Kerio PF необходимо изменить конфигурацию. Надо вызвать Firewall Administration • Advanced • Miscellaneous, отметить опцию Is Running on Internet Gateway.

Это разрешит брандмауэру пропускать через защищаемый компьютер сетевые пакеты из одной сети в другую.

Внимание! Не устанавливайте эту опцию, если компьютер не является шлюзом: это уменьшает сетевую безопасность системы.


Создание групп IP-адресов:

Иногда в правилах, разрешающих или запрещающих доступ к ресурсам, требуется указать список IP-адресов. Например: разрешить доступ к ftp-серверу с IP-адресов 192.168.1.1, 192.168.1.5 и с 192.168.1.9 по 192.168.1.25, а также разрешить доступ из подсети 192.168.1.80/255.255.255.248. Чтобы не писать четыре одинаковых правила, заменяя лишь IP-адреса, создайте и используйте группу IP-адресов. Определить ее можно так: Firewall Administration • Advanced • Miscellaneous • Custom Address Group. В группу заносятся единичные IP-адреса (Single address), подсеть (Network/Mask) или диапазон IP-адресов (Network/ Range). Записи в группе можно редактировать и удалять. Затем, редактируя правило в поле Address type (тип адреса), выбрать Custom Address Group. Правило будет действовать сразу для всех IP-адресов из группы. Но нельзя создать больше одной группы.


Общие административные функции:

Установка пароля на изменение конфигурации брандмауэра и просмотр статистики, разрешения на удаленное подключение к Kerio PF осуществляются во вкладке Authentication приложения Firewall Administration. В Miscellaneous в группе Firewall Engine Service можно выбрать, запускать ли брандмауэр при старте операционной системы или вручную. Kerio PF позволяет использовать несколько профилей конфигурации - группа Firewall Configuration Files.


Проверка подлинности программ:

Kerio PF проверяет подлинность программ, участвующих в соединениях, по цифровой подписи файла, полученной по алгоритму MD5. При обновлении программы или заражении ее вирусом цифровая подпись изменяется. При попытке установить соединение брандмауэр обнаруживает это изменение и блокирует соединение, сообщая пользователю о причине блокировки. Пользователь либо разрешает установить соединение (и обновить цифровую подпись программы), либо оставляет его заблокированным - скажем, до выяснения всех обстоятельств.

Самостоятельно просмотреть список цифровых подписей программ, проверить подлинность или стереть запись для какой либо программы, можно следующим образом: Firewall Administration • Advanced • Application’s MD5. Опция Check MD5 Signature включает/отключает проверку подлинности программ, участвующих в соединении. Delete удаляет выбранные записи из списка. Select All выбирает все записи из списка. Check All Paths проверяет существование всех программ, внесенных в список. Если программа не найдена указанным путем, то брандмауэр запросит пользователя об удалении записи для этой программы. Check MD5 Now проверяет подлинность программы для выбранной записи. При несовпадении цифровой подписи брандмауэр запросит пользователя об изменении записи. Примечание: можно одновременно выбрать несколько записей, используя клавиши или .


Ведение и чтение журнала:

Защита не может считаться полной, если отсутствует возможность анализа истории работы системы. KerioPF предоставляет следующие возможности записи в журнал:

- при попытке установления соединения, описанного определенным правилом. Эта возможность включается в окне редактирования правила (Filter rule) опцией Log when this rule matches;

- при попытке установления соединения с закрытым локальным портом. Включается: Firewall Administration • Advanced • Miscellaneous • Log Packets Addressed To Unopened Ports. Обычно множественные сообщения о попытках открыть соединения с закрытыми портами означают сетевое сканирование;

- при появлении сетевых пакетов, не относящихся ни к одному установленному соединению и не начинающих новое соединение.

Включается: Firewall Administration • Advanced • Miscellaneous • Log Suspicious Packets. Это могут быть случайные пакеты, вызванные ошибками в работе сети, или разновидность сканирования TCP-ping.

Запись ведется в файл filter.log, расположенный в корневом каталоге Kerio PF. Можно включить передачу записей на сервер syslog. Включается: Firewall Administration • Advanced • Miscellaneous • Log Into Syslog, в поле Syslog server address указать IP-адрес или доменное имя сервера.

Просмотреть записи из файла filter.log можно, вызвав Firewall Status • Logs • Firewall Log.

Если вы включите в брандмауэре запись сетевой активности, то необходимо зарезервировать примерно 10 Мбайт на каждый день для лог-файла (размер зависит от конфигурации и сетевой активности), поскольку брандмауэр не проверяет наличие свободного дискового пространства перед записью в журнал. Иначе какой-нибудь злоумышленник, атакуя ваш компьютер и не сумев взломать сетевую защиту, сам о том не подозревая, удачно выполнит DоS-атаку (отказ в обслуживании), так как брандмауэр заполнит все доступное дисковое пространство файлом filter.log.


Просмотр статистики:

Вызвав Firewall Status, в появившемся окне можно наблюдать все TCP/IP-соединения, устанавливаемые операционной системой. Приводится детальная информация: статус (Listening - для ожидающих, Connected In - для соединений, установленных удаленным компьютером с локальным сервисом, Connected Out – для соединений, установленных локальным приложением с удаленным сервером), протокол (TCP или UDP), адрес удаленного компьютера, время создания соединения, количество полученной и переданной информации в байтах (Rx/Tx), средняя скорость получения и передачи в килобайтах (Rx Speed/Tx Speed). Внизу окна выводится текущая статистика соединений: количество ожидающих и установленных TCP- и UDP-соединений, средняя скорость передачи/получения данных.

Примечание: просмотр соединений очень полезен при диагностике работы какого-либо сетевого приложения.


Подключение к Kerio PF на удаленном компьютере:

Kerio PF предоставляет возможность сетевого подключения с другого компьютера для администрирования брандмауэра, просмотра текущих сетевых соединений и статистики. Подключение устанавливается вызовом Firewall Status • File • Connect. В появившемся окне в поле Host надо указать IP-адрес или доменное имя удаленного компьютера. Выбрать сервис удаленного Kerio PF: Admin Configuration для администрирования или Status Window для просмотра статистики. В поле Password ввести пароль доступа к выбранному сервису.

Примечание: очевидно, что на удаленном Kerio PF должно стоять разрешение на сетевое подключение. Разрешение устанавливается: Firewall Administration • Authentification • Enable Remote Administration (для удаленного администрирования) и Enable Remote Access To Statistics And Logs (для просмотра сетевых соединений, статистики и лог-файла).


Поддержка Kerio PF:

Служба технической поддержки компании Kerio Technologies Inc. в течение двух дней ответит на ваш запрос, высланный электронной почтой по адресу support@kerio.com. Существует также дискуссионная группа по обсуждению Kerio PF. Подписаться на участие в ней можно по адресу groups.yahoo.com/group/keriofirewall.


Аудит системы безопасности:

После завершения настройки программного брандмауэра необходимо провести проверку системы сетевой безопасности, чтобы выявить бреши. Помощь в этом могут оказать ресурсы, предоставляемые, например, на серверах www.void.ru и www.inprotect.com. Без положительных результатов проверки настройку сетевой безопасности нельзя считать законченной.

Необходимо также учитывать, что тема сетевой безопасности постоянно эволюционирует. И если вы хотите построить надежную систему безопасности, то должны постоянно отслеживать сообщения о новых ошибках и уязвимых местах, обнаруженных в программном обеспечении, о появлении новых методов нападения и защиты.


Вместо заключения:

Наличие на ПК Kerio PF или других брандмауэров, установленных на минимальный уровень безопасности, создает лишь иллюзию защиты. Установив брандмауэр и не пожелав тратить время на настройку собственной системы безопасности, вы останетесь так же уязвимы, как и раньше. Степень безопасности, обеспечиваемая брандмауэром, прямо пропорциональна тщательности его настройки.

В заключение хотел бы заметить, что компьютерная безопасность - задача комплексная. Брандмауэр не освобождает от необходимости проверять файлы антивирусом и руководствоваться здравым смыслом.

Надежных разработок в области сетевой безопасности сегодня довольно много. Вот некоторые из них.

Agnitum Outpost Firewall PRO и Agnitum Outpost Firewall FREE
Agnitum Limited
www.agnitum.com

McAfee Personal Firewall
McAfee.com
www.mcafee.com

Sygate Personal Firewall PRO и Sygate Personal Firewall
Sygate Technologies, Inc.
www.sygate.com

Norton Internet Security, Norton Personal Firewall
Symantec Corporation
www.norton.com

Tiny Personal Firewall
Tiny Software Inc.
www.tinysoftware.com

Zone Alarm Pro и Zone Alarm
Zone Labs Inc.
www.zonelabs.com

Все эти брандмауэры обладают рядом достоинств, но я хотел бы отметить Agnitum Outpost Firewall FREE (версия 1.0.1817, далее Outpost FREE):

Дистрибутив: OutpostInstall.exe (2,72 Мбайт).
Поддерживаемые операционные системы: Windows 95/98/Me/NT 4.0/2000/XP.
Интерфейс: русский/английский.

Разработчики предоставляют документацию на русском языке в pdf-формате:

«Outpost Personal Firewall. Приступая к работе», Outpost_Getting_Started_(RU).pdf (459 Кбайт) и «Outpost Personal Firewall. Руководство пользователя», Outpost_User_Guide_(RU).pdf (1,05 Мбайт).

Помимо пакетной фильтрации Outpost FREE предлагает функции фильтрации и блокирования содержимого Web- и e-mail-трафика (ActiveX-компоненты, Java-аплеты, Java/VBS-скрипты, реклама и т.д.). Возможность разработки и подключения дополнительных модулей для брандмауэра существенно расширяет его потенциальные возможности. Необходимо также отметить, что Outpost FREE не поддерживает работу на ICS-сервере, многопрофильную конфигурацию, удаленное администрирование, передачу информации syslog-серверу и паролирование системы.

:: на начало ::