ПЗ (1195114), страница 6
Текст из файла (страница 6)
Как видно из тестирования HTTP фильтра все заложенные в него функции работают нормально, что позволяет нам, убедится в его работоспособности.
5 Мастер настройки
Так как драйверы не могут уметь графический интерфейс, из за чего их настройка затруднена, а изменение параметров можно осуществить, только перезагрузив драйвер. Но существует механизм взаимодействия с драйверами, что позволяет разработать утилиту для настройки драйвера в реальном времени. Именно такой утилитой и является «Мастер настройки».
Основными функциями этого мастера является настройка правил фильтрации TCP/IP пакетов и настройка HTTP фильтра. Дополнительно мастер настройки ведёт лог работы драйвера, который выводится в его окне, а также записывается в файл. Также его можно использовать для отладки межсетевого экрана, так как он может перехватывать пакеты проходящие через драйвер, и сохранять их в выбранную папку.
5.1 TCP/IP фильтр
TCP/IP фильтр является основным, через него проходят все пакеты передаваемые и получаемые из сети. Именно он определяет, что делать с пакетами, а также вызывает остальные фильтры. Именно его правильная настройка и является гарантией безопасности. В качестве примера будет использоваться компьютер с двумя сетевыми подключениями, первое имеет IP адрес 192.168.1.4 и подключено к локальной сети, второе имеет IP адрес 82.114.91.155 и имеет подключение с Интернетом. Так как драйвер явно не различает из какой сети пошел пакет, то необходимо указывать IP адрес для того чтобы это определить. И при изменении IP адресов необходимо изменять.
5.1.1 Запрет прохождения пакетов с фальсифицированными адресами
Один из способов атаки на компьютер является посылка на компьютер пакетов с поддельными адресами. Более подробно об этом написано в главе 2.3. Первое что необходимо сделать это запретить пакеты у которых в качестве адреса отправителя указан адрес этого компьютера(правила 1 и 2 из таблицы 5.1). Вторым надо запретить адреса, подпадающие под зарезервированные диапазоны и которые не используются в Интернете:
-
класс A в диапазоне от 10.0.0.0 до 10.255.255.255 это сеть 10.0.0.0/255.0.0.0(правило 3 из таблицы 5.1);
-
класс B в диапазоне от 172.16.0.0 до 172.31.255.255 это сеть 172.16.0.0/255.240.0.0(правило 4 из таблицы 5.1);
-
класс C в диапазоне от 192.168.0.0 до 192.168.255.255 это сеть 192.168.0.0/255.255.0.0(правило 5 из таблицы 5.1);
-
класс D в диапазоне от 224.0.0.0 до 224.255.255.255 это сеть 224.0.0.0/240.0.0.0(правило 6 из таблицы 5.1). такого исходящего адреса просто не может существовать;
-
класс Е в диапазоне от 240.0.0.0 до 247.255.255.255 это сеть 240.0.0.0/248.0.0.0(правило 7 из таблицы 5.1). Данный диапазон является зарезервированным;
-
подсеть обратной петли 127.0.0.0/255.0.0.0. Пакет с таким адресом не может быть отправлен (правило 8 из таблицы 5.1) или получен (правило 9 из таблицы 5.1).
Это обязательные правила и должны быть включены постоянно так как если пакет подпадает под одно из этих правил то он явно фальшивый и должен быть удален/3/.
Таблица 5.1 – Правила запрещающие фальсифицированные пакеты.
| № | Направление | Действие | Локальный | Удалённый | Протокол | ||
| адрес сети (IP/Маска) | порт | адрес сети (IP/Маска) | порт | ||||
| 1 | Вх. | Запретить | – | – | 85.114.91.155/ 255.255.255.255 | – | – |
| 2 | Вх. | Запретить | – | – | 192.168.1.1/ 255.255.255.255 | – | – |
| 3 | Вх./Исх. | Запретить | 85.114.91.155/ 255.255.255.255 | – | 10.0.0.0/ 255.0.0.0 | – | – |
| 4 | Вх./Исх. | Запретить | 85.114.91.155/ 255.255.255.255 | – | 172.16.0.0/ 255.240.0.0 | – | – |
| 5 | Вх./Исх. | Запретить | 85.114.91.155/ 255.255.255.255 | – | 192.168.0.0/ 255.255.0.0 | – | – |
| 6 | Вх./Исх. | Запретить | – | – | 224.0.0.0/ 240.0.0.0 | – | – |
| 7 | Вх./Исх. | Запретить | – | – | 240.0.0.0/ 248.0.0.0 | – | – |
| 8 | Вх./Исх. | Запретить | 127.0.0.0/ 255.0.0.0 | – | – | – | |
| 9 | Вх./Исх. | Запретить | – | – | 127.0.0.0/ 255.0.0.0 | – | – |
Эти правила должны, находится в начале списка правил, для того чтобы иметь наивысший приоритет.
5.1.2 Противодействие smurf-атакам
При организации smurf-атаки пакеты ping, содержащие сообщение Echo Request, передаются в широковещательном режиме. Исходный IP адрес в составе пакета подменяется IP адресом того узла против которого направлена атака. В результате все узлы сети, получившие сообщение Echo Request, передают ответ по адресу «жертвы», загружая линии связи ICMP-пакетами. В результате, если у вас канал не очень широкий – вы лишаетесь доступа в Интернет.
Так как широковещательные пакеты неразрешены не одним правилом они будут удаленны, так как последним правилом будет запрещение всех пакетов.
5.1.3 Разрешение функционирования служб
Ранее мы определили правила, позволяющие отклонять сетевые пакеты с сомнительными адресами. В результате мы получили нормально функционирующий локальный компьютер с полностью отсутствующим доступом в Интернет. Наша дальнейшая задача — обеспечить нормальное функционирование локального компьютера (сети) в Интернете. Для того чтобы ваш компьютер мог принимать и отправлять почту, работать по FTP, HTTP и т. п., необходимо разрешить прохождение сетевых пакетов с определенными портами. На первый взгляд — задача объемная, впрочем, необходимо обеспечить прохождение пакетов всего от десятка служб, что не так уж и много.
5.1.3.1 Служба DNS
Служба DNS использует в работе порт 53 и протоколы UDP и TCP. Соединение может устанавливаться как между клиентом и сервером, так и между двумя серверами. Для разрешения взаимодействия между клиентом и сервером необходимо добавить правило 1 из таблицы 5.2.
В том случае, если ответ сервера не помещается в одной UDP-датаграмме, между клиентом и сервером устанавливается TCP-соединение. Обычно это происходит при передаче данных зоны между первичным и вторичным DNS-серверами. Для этого случая необходимо в цепочку правил добавить правила 2-4 из таблицы 5.2/3/.
Таблица 5.2 – Правила разрешающие работу службы DNS.
| № | Направление | Действие | Локальный | Удалённый | Протокол | ||
| адрес сети (IP/Маска) | порт | адрес сети (IP/Маска) | порт | ||||
| 1 | Вх./Исх. | Разрешить | – | – | 53 | UDP | |
| 2 | Вх./Исх. | Разрешить | – | 53 | – | – | UDP |
| 3 | Вх./Исх. | Разрешить | – | – | 53 | TCP | |
| 4 | Вх./Исх. | Разрешить | – | 53 | – | – | TCP |
| 5 | Вх./Исх. | Разрешить | 192.168.0.0/ 255.255.0.0 | 53 | – | – | UDP |
| 6 | Вх./Исх. | Разрешить | 192.168.0.0/ 255.255.0.0 | 53 | – | – | TCP |
В том случае, если у вас есть локальный DNS-сервер, и вы предоставляете его услуги каким-либо клиентам (например, компьютерам вашей локальной сети), желательно ограничить конкретным списком компьютеров доступ к вашему локальному DNS-серверу. Для этого добавить правило 5 приведенное в таблице 5.2 для UDP и правило 6 приведенное в таблице 5.2 для TCP протокола.
5.1.3.2 Почтовая служба Email
Для приема и пересылки электронной почты используются следующие протоколы:
- SMTP порт 25 TCP;
- РОРЗ порт 110 TCP;
- IMAP порт 143 TCP.
Для работы этой протокола SMTP разрешим передачу на 25 порт(правило 1 из таблицы 5.3), для протокола РОРЗ разрешим 110 порт(правило 2 из таблицы 5.3), а для протокола IMAP разрешим 143 порт(правило 3 из таблицы 5.3).
Если вы используете Email клиента, то необходимо разрешить обращается к удалённым портам 25,110,143 для этого необходимо создать правила 3-6 из таблицы 5.3/3/.
Таблица 5.3 – Правила разрешающие работу службы DNS.
| № | Направление | Действие | Локальный | Удалённый | Протокол | ||
| адрес сети (IP/Маска) | порт | адрес сети (IP/Маска) | порт | ||||
| 1 | Вх./Исх. | Разрешить | – | 25 | – | – | TCP |
| 2 | Вх./Исх. | Разрешить | – | 110 | – | – | TCP |
| 3 | Вх./Исх. | Разрешить | – | 143 | – | – | TCP |
| 4 | Вх./Исх. | Разрешить | – | – | – | 25 | TCP |
| 5 | Вх./Исх. | Разрешить | – | – | – | 110 | TCP |
| 6 | Вх./Исх. | Разрешить | – | – | – | 143 | TCP |
5.1.3.3 Служба новостей NNTP
Сервер новостей использует порт 199 и протокол TCP.
Если вы используете сервер новостей необходимо разрешить разрешить удалённый порт 119 для протокола TCP(правило 1 из таблицы 5.4).
Таблица 5.4 – Правила разрешающие работу службы новостей NNTP.
| № | Направление | Действие | Локальный | Удалённый | Протокол | ||
| адрес сети (IP/Маска) | порт | адрес сети (IP/Маска) | Порт | ||||
| 1 | Вх./Исх. | Разрешить | – | – | – | 119 | TCP |
| 2 | Вх./Исх. | Разрешить | – | 119 | – | – | TCP |
А если вы имеете свой собственный сервер то необходимо разрешить как отправку так и получение на порт 119 протокола TCP(правило 2 из таблицы 5.4) /3/.
5.1.3.4 Служба Telnet
Telnet использует порт 23 TCP. Применение протокола удаленного доступа Telnet было очень популярно еще пять-шесть лет назад, однако из-за того, что этот протокол абсолютно не защищен, а также вследствие появления альтернативы в виде протокола SSH — категорически не рекомендуется разрешать доступ извне по данному протоколу/3/.
5.1.3.5 Служба SSH
Протокол SSH использует порт 22 и TCP. Защищенная замена Telnet и г-командам. При функционировании использует привилегированные порты 513-1023.
Чтобы применять протокол SSH для доступа из локальной сети к Интернету, SSH-серверам необходимо ввести правило из таблицы 5.5.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
