Ім'я файлу: Лабораторна робота 1.docx
Розширення: docx
Розмір: 673кб.
Дата: 07.11.2023
скачати
Пов'язані файли:
pr_1_linux_metod.doc
Розширення: docx
Розмір: 673кб.
Дата: 07.11.2023
скачати
Пов'язані файли:
pr_1_linux_metod.doc
Лабораторна робота №1
Тема: Вбудовані інструментальні засоби захисту, firewall’и
Мета роботи: ознайомитись з основними видами firewall’ів, принципами їх роботи, ефективність, можливості.
Теоретичні відомості.
Поняття брандмауера
Брандмауер - це не просто маршрутизатор, хост або група систем, які забезпечують безпеку в мережі, швидше, брандмауер - це підхід до безпеки; він допомагає реалізувати політику безпеки, яка визначає дозволені служби і типи доступу до них, і є реалізацією цієї політики в термінах мережевої конфігурації, декількох хостов і маршрутизаторів, і інших заходів захисту, таких як посилена аутентифікація замість статичних паролів. Основна мета системи брандмауера - управління доступом До або З мережі, що захищається. Він реалізує політику мережевого доступу, примушуючи проходити усі з'єднання з мережею через брандмауер, де вони можуть бути проаналізовані і дозволені або знехтувані.
Рисунок 1.1 Приклад брандмауера з маршрутизатором і прикладним
шлюзом
Система брандмауера може бути маршрутизатором, персональним комп'ютером, хостом, або групою хостів, створеною спеціально для захисту мережі або підмережі від неправильного використання протоколів і служб хостами, що знаходяться поза цією підмережею. Зазвичай система брандмауера створюється на основі маршрутизаторів верхнього рівня, зазвичай на тих, які сполучають мережу з Інтернетом, хоча може бути створена і на інших маршрутизаторах, для захисту тільки частини хостов або підмереж.
Компоненти брандмауера.Основними компонентами брандмауера є:
політика мережевого доступу
механізми посиленої аутентифікації
фільтрація пакетів
прикладні шлюзи
Наступні розділи описують детальніше кожну з цих компонент.
Політика мережевого доступу
Є два види політики мережевого доступу, які впливають на проектування, установку і використання системи брандмауера. Політика верхнього рівня є проблемною концептуальною політикою, яка визначає, доступ до яких сервісів буде дозволений або явно заборонений з мережі, що захищається, як ці сервіси використовуватимуться, і за яких умов робитиметься виключення і політика не дотримуватиметься. Політика нижнього рівня описує, як брандмауер повинен насправді обмежувати доступ і фільтрувати сервіси, які вказані в політиці верхнього рівня. Наступні розділи коротко описують ці політики.
Політика доступу до сервісів
Політика доступу до сервісів повинна фокусуватися на проблемах використання Інтернету, описаних вище, і, судячи з усього, на усьому доступі до мережі ззовні (тобто політика доступу по модемах, з'єднань SLIP і PPP). Ця політика має бути уточненням загальної політики організації відносно захисту інформаційних ресурсів в організації. Щоб брандмауер успішно захищав їх, політика доступу до сервісів має бути реалістичною і узгоджуватися із зацікавленими особами перед установкою брандмауера. Реалістична політика - це така політика, в якій знайдений баланс між захистом мережі від відомих ризиків, але в той же час забезпечений доступ користувачів до мережевих ресурсів. Якщо система брандмауера забороняє або обмежує використання деяких сервісів, то в політиці має бути явно описана суворість, з якою це робиться, щоб запобігти зміні параметрів засобів управління доступом миттєвим чином. Тільки підтримувана керівництвом реалістична політика може забезпечити це.
Брандмауер може реалізовувати ряд політик доступу до сервісів, але типова політика може забороняти доступ до мережі з Інтернету, і дозволяти тільки доступ до Інтернету з мережі. Іншою типовою політикою може бути дозвіл деякого доступу з Інтернету, але тільки до обраних систем, таким як інформаційні сервера і поштові сервера. Брандмауери часто реалізують політик доступу до сервісів, які дозволяють користувачам мережі працювати з Інтернету з деякими обраними хостами, але цей доступ надається, тільки якщо він поєднується з посиленою аутентифікацією.
Політика брандмауера
Вона специфічна для конкретного брандмауера. Вона визначає правила, використовувані для реалізації політики доступу до сервісів. Не можна розробляти цю політику, не розуміючи такі питання, як можливості і обмеження брандмауера, і погрози і узявимые місця, пов'язані з TCP/IP. Як правило, реалізується одна з двох базових політик проекту:
дозволити доступ для сервісу, якщо він явно не заборонений
заборонити доступ для сервісу, якщо він явно не дозволений Брандмауер, який реалізує першу політику, пропускає усі сервіси в мережу
за умовчанням, нсли тільки цей сервіс не був явно вказаний в політиці
управління доступом як заборонений. Брандмауер, який реалізує другу політику, за умовчанням забороняє усі сервіси, але пропускає ті, які вказані в списку
дозволених сервісів. Друга політика наслідує класичну модель доступу, використовувану в усіх областях інформаційну безпеку.
Перша політика менш бажана, оскільки вона надає більше способів обійти брандмауер, наприклад, користувачі можуть дістати доступ до нових сервісів, що не забороняються політикою (або навіть не вказаних в політиці), або запустити заборонені сервіси на нестандартних портах TCP/UDP, які не заборонені політикою. Певні сервіси, такі як X Windows, FTP, ARCHIE і RPC, складно фільтрувати, і для них краще підходить брандмауер, що реалізовує першу політику. Друга політика більш суворо і безпечніше, але її важче реалізувати і вона може вплинути на роботу користувачів в тому відношенні, що ряд сервісів, такі, як описані вище, можуть виявитися блокованими або використання їх буде обмежено.
Взаємозв'язок між концептуальною політикою доступу до сервісів і відповідною їй другою частиною описаний вище. Цей взаємозв'язок існує через те, що реалізація політики доступу до сервісів сильно залежить від можливостей і обмежень системи брандмауера, а також вразливих місць, наявних в дозволених інтернетівських сервісах. Наприклад, може виявитися необхідним заборонити сервіси, дозволені політикою доступу до сервісів, якщо вразливі місця в них не можуть ефективно контролюватися політикою нижнього рівня і, якщо безпека мережі найважливіша. З іншого боку, організація, яка сильно залежить від цих сервісів при рішенні своїх завдань, може прийняти це вищий ризик і дозволити доступ до цих сервісів. Цей взаємозв'язок призводить до того, що формулювання обох політик стає ітеративним процесом.
Політика доступу до сервісів - найважливіший компонент з чотирьох, описаних вище. Інші три компоненти використовуються для реалізації політики. (політика доступу до сервісів повинна відбивати загальну політику безпеки організації). Ефективність системи брандмауера при захисті мережі залежить від типу використовуваної реалізації його, від правильності процедур роботи з ним, і від політики доступу до сервісів.
Посилена аутентифікація
Розроблений ряд заходів посиленої аутентифікації, таких як смарт-карти, біометричні механізми, і програмні механізми, для захисту від уразливості звичайних паролів. Хоча вони і відрізняються один від одного, усі вони однакові в тому відношенні, що паролі, генеровані пристроєм посиленої аутентифікації, не можуть бути повторно використані таким, що атакує, який перехоплює трафік з'єднання. Оскільки проблема з паролями в Інтернеті є постійною, брандмауер для з'єднання з Інтернетом, який не має засобів посиленої аутентифікації або не використовує їх, бессмысленен.
Ряд найбільш популярних пристроїв посиленої аутентифікації, використовуваних сьогодні, називаються системами з одноразовими паролями. Смарт-карта, наприклад, генерує відповідь, яку хост використовує замість традиційного пароля. Оскільки смарт-карта працює спільно з програмою або устаткуванням на хосте, генеровані відповіді унікальні для кожного встановлення сеансу. Результатом є одноразовий пароль, який, якщо перехоплюється, не може бути використаний зловмисником для встановлення сеансу з хостом під виглядом користувача.
Рисунок 1.2 Використання посиленої аутентифікації в брандмауері для попередньої аутентифікації трафіку TELNET, FTP
Оскільки брандмауери можуть централізувати управління доступом в мережі, вони є логічним місцем для установки програм або пристроїв посиленої аутентифікації. Хоча заходи посиленої аутентифікації можуть використовуватися на кожному хосте, більше практичним є їх розміщення на брандмауері. Малюнок 2.2 показує, що в мережі без брандмауера, що використовує заходи посиленої аутентифікації, неаутентифицированный трафік таких застосувань як TELNET або FTP, може безпосередньо проходити до систем в мережі. Якщо хосты не використовують заходів посиленої аутентифікації, зловмисник може спробувати зламати паролі або перехоплювати мережевий трафік знайти в нім сеанси, в ході яких передаються паролі. Малюнок
2.2 також показує мережа з брандмауером, що використовує посилену аутентифікацію, при якій сеанси TELNET або FTP, що встановлюються з боку Інтернету з системами мережі, повинні проходити перевірку за допомогою посиленої аутентифікації перед початком роботи. Самі системи мережі можуть продовжувати вимагати статичні паролі перед доступом до себе, але ці паролі не можна буде використовувати, навіть якщо їх перехопити, оскільки заходи посиленої аутентифікації і інші компоненти брандмауера не дозволять зловмисникові проникнути або обійти брандмауер.
Фільтрація пакетів
Фільтрація IP -пакетов зазвичай виконується за допомогою маршрутизатора з фільтрацією пакетів, що здійснює її, коли пакети передаються між інтерфейсами маршрутизатора. Маршрутизатор, що фільтрує, зазвичай може фільтрувати IP -пакеты на основі групи полів з наступних полів пакету:
IP -адрес відправника
IP -адрес одержувача
TCP/UDP -порт відправника
TCP/UDP -порт одержувача
Не усі маршрутизатори, що фільтрують, зараз фільтрують по TCP/UDP - порту відправника, але багато виробників почали включати таку можливість. Деякі маршрутизатори перевіряють, з якого мережевого інтерфейсу маршрутизатора прийшов пакет, і потім використовують цю інформацію як додатковий критерій фільтрації. Деякі версії Unix мають можливість фільтрації пакетів, але далеко не усе.
Фільтрація може бути використана по-різному для блокування з'єднань від або до окремих хостам або мереж, і для блокування з'єднань до різних портів. Організації може знадобитися блокувати з'єднання від специфічних адрес, таких як хосты або мережі, які вважаються ворожими або ненадійними. Або ж організація може захотіти блокувати з'єднання від усіх адрес, зовнішніх по відношенню до організації (з невеликими виключеннями, такими як SMTP для отримання пошти).
Додавання фільтрації по портах TCP і UDP до фільтрації по IP -адресам дає велику гнучкість. Нагадаємо главу 1, в якій говорилося, що сервера, такі як демон TELNET, пов'язані зазвичай з конкретними портами, такими як порт 23 для TELNET. Якщо брандмауер може блокувати з'єднання TCP або UDP або від певних портів, то можна реалізувати політику, при якій певні види з'єднань можуть бути здійснені тільки з конкретними хостами, але не з іншими. Наприклад, організація може захотіти блокувати усі з'єднання, що входять, для усіх хостов, окрім декількох систем, що входять до складу брандмауера. Для цих систем можуть бути дозволені тільки певні сервіси, такі як SMTP для однієї системи, і TELNET або FTP для іншої. При фільтрації по портах TCP і UDP ця політика може бути легко реалізована маршрутизатором з фільтрацією пакетів або хостом з можливістю фільтрації пакетів.
Рисунок 1.3 Приклад фільтрації пакетів для TELNET і SMTP
Для прикладу розглянемо політику, в якій дозволяються тільки певні з'єднання з мережею з адресою 123.4.*.* З'єднань TELNET дозволяються тільки з одним хостом, 123.4.5.6, який може бути прикладним TELNET -шлюзом мережі, а SMTP - з'єднання дозволяються тільки з двома хостами, 123.4.5.7 і 123.4.5.8, які можуть бути двома поштовими шлюзами мережі. NNTP (Network News Transfer Protocol) звільняється тільки від сервера новин, що взаємодіє з мережею, 129.6.48.254, і тільки з NNTP -сервером мережі, 123.4.5.9, а протокол NTP(мережевого часу) дозволений для усіх хостов. Усі інші сервіси і пакети блокуються. Приклад набору правил наведений ниже:
| Тип | Адреса відправника | Адреса одержувача | Порт джерела | Порт одержувача | Дія |
| tcp | * | 123.4.5.6 | >1023 | 23 | дозволити |
| tcp | * | 123.4.5.7 | >1023 | 25 | дозволити |
| tcp | * | 123.4.5.8 | >1023 | 25 | дозволити |
| tcp | 129.6.48.254 | 123.4.5.9 | >1023 | 119 | дозволити |
| udp | * | 123.4.*.* | >1023 | 123 | дозволити |
| * | * | * | * | * | заборонити |
Перше правило дозволяє пропускати пакети TCP з Інтернету від будь- якого джерела, що мають порт відправника більше ніж 1023, до адреси 123.4.5.6, якщо з'єднання встановлюється з портом 23. Порт 23 - це порт, пов'язаний з сервером TELNETa, а усі клієнти TELNETа повинні використовувати непривілейовані порти більше, ніж 1024. Друге і третє правило працюють аналогічно, крім того, що дозволяються адреси призначення 123.4.5.7 і 123.4.5.8 і порт 25 - SMTP. Четверте правило пропускає пакети до NNTP -серверу мережі, але тільки від адреси 129.6.48.254 до адреси 123.4.5.9 з портом призначення 119 (129.6.48.254 - єдиний NNTP -сервер, від якого мережа отримує новини, тому доступ до мережі відносно NNTP обмежений тільки цією системою). П'яте правило дозволяє трафік NTP, який використовує UDP, а не TCP, від будь-якого джерела до будь-якої системи в мережі. Нарешті, шосте правило блокує усі інші пакети - якщо цього правила не було б, маршрутизатор міг блокувати, а міг і не блокувати інші типи пакетів. Це дуже простий приклад фільтрації пакетів. Справжні правила дозволяють здійснити складнішу фільтрацію і є гнучкішими.
Які протоколи фільтрувати
Рішення про те, які протоколи або групи портів фільтрувати, залежить від політики мережевого доступу, тобто від того, які системи повинні мати доступ до Інтернету і які типи доступу дозволені. Описані нижче сервіси потенційно уразливі до атак і зазвичай блокуються на брандмауері при вході в мережу або виході з неї.
Tftp, порт 69, спрощений FTP, використовуваний для завантаження ОС на бездисковых робочих станціях, термінальних серверах і маршрутизаторах, може також бути використаний для читання будь-якого файлу в системі при його неправильній установці.
RPC, порт 111, служби виклику видалених процедур, включаючи NIS і NFS, які можуть використовуватися для крадіжки системної інформації, включаючи паролі, а також читання і записи файлів
rlogin, rsh, rexec, порти 513, 514, 512, служби, які можуть при їх неправильній конфігурації привести до неавторизованого доступу в систему
Ряд інших засобів також зазвичай фільтрується або їх використання дозволяється тільки для тих систем, яким вони насправді потрібні. У це список входять:
TELNET, порт 23, часто дозволяється тільки для окремих систем
FTP, порти 20 і 21, аналогічно TELNET його використання дозволене тільки для окремих систем
SMTP, порт 25, часто дозволяється тільки для центрального поштового сервера
RIP, порт 520, протокол передачі інформації про маршрутизацію пакетів, може бути фальсифікований для перенаправлення пакетів
DNS, порт 53
UUCP, порт 540, UNIX - to - UNIX CoPy, при неправильній конфігурації може бути використаний для діставання неавторизованого доступу
NNTP, порт 119, протокол передачі мережевих новин, для доступу і читання мережевих новин
Gopher, http, порти 70 і 80,
Хоча деякі з цих служб, такі як TELNET і FTP, є небезпечними за своєю суттю, повне блокування доступу до інших може виявитися неприйнятним для багатьох організацій. Проте, не усі системи вимагають доступу до усіх служб. Наприклад, дозвіл доступу по TELNET і FTP з Інтернету тільки до тих систем, яким потрібний цей вид доступу, може поліпшити безпеку, не заподіюючи незручності користувачам. Такі служби, як NNTP, на перший погляд не представляють особливої небезпеки, але дозвіл цих служб тільки для тих систем, яким вони потрібні, допоможе створити більше впорядковане мережеве середовище і зменшить вірогідність їх використання такими, що атакують із-за ще невідомих вразливих місць.
Проблеми з маршрутизаторами з фільтрацією пакетів
Маршрутизатори з фільтрацією пакетів мають ряд недоліків. Правила фільтрації пакетів складно формулюються і зазвичай немає засобів для тестування їх коректності (окрім як ручне тестування). У деяких маршрутизаторів немає засобів протоколювання, тому якщо правила фільтрації пакетів все-таки дозволять небезпечним пакетам пройти маршрутизатора, такі пакети не зможуть бути виявлені до виявлення проникнення.
Часто вимагається зробити виключення з правил, щоб дозволити певні види доступу, які зазвичай блокуються. Але виключення з правил фільтрації іноді можуть зробити правила фільтрації такими складними, що вони стануть неконтрольованими. Наприклад, досить просто написати правило для блокування усіх з'єднань, що входять, до порту 23 (серверу TELNETa). Якщо ж робляться виключення, тобто якщо з деякими системами мережі дозволяється мати прямі з'єднання по TELNET, то має бути додане правило для кожної такої системи. Іноді додавання певних правил може ускладнити усю схему фільтрації. Як було вже сказано, тестування складного набору правил на їх коректність може виявитися дуже важким.
Деякі маршрутизатори з фільтрацією пакетів не фільтрують по порту TCP/UDP відправника, що може зробити набір правил фільтрації дуже складним і створити "діри" в схемі фільтрації. Якщо система ініціює SMTP -з’єднання з сервером, портом джерела буде випадково вибраний порт з номером більше 1024, а портом одержувача буде буде порт з номером 25, порт, який слухає сервер SMTP. Сервер повертатиме пакети з номером порту відправника 25, і номером порту одержувача, рівним випадково вибраному клієнтом номеру порту. Якщо в мережі дозволені ті, що входять і витікаючі SMTP -соединения, то маршрутизатор повинен дозволяти з'єднання з портами відправника і одержувача, великими 1023, в обох напрямах. Якщо маршрутизатор може фільтрувати по порту відправника, він може блокувати усі пакети, що входять в мережу організації, у яких порт одержувача більше 1023, а порт відправника не дорівнює 25. Якщо він не може фільтрувати пакети по порту відправника, маршрутизатор повинен дозволити з'єднання, які використовують порти відправника і одержувача більше 1024. Користувачі іноді можуть спеціально запустити сервера на портах, великих 1023, і обходити таким чином політику
фільтрації (тобто зазвичай сервер telnet в системі слухає порт 23, але може бути конфігурований так, що слухатиме замість цього порт 9876; і користувачі в Інтернеті зможуть організувати telnet -сеанс з цим сервером навіть, якщо маршрутизатор блокує з'єднання з портом призначення 23).
Іншою проблемою є те, що ряд служб RPC дуже важко заблокувати через те, що сервера для цих служб слухають порти, випадково вибирані в процесі завантаження системи. Служба, відома під назвою portmapper відображує первинні виклики служб RPC в призначені їм номери служб, але її еквіваленту не існує для маршрутизатора з фільтрацією пакетів. Оскільки маршрутизатору не можна повідомити, з яким портом працює служба, не можна повністю заблокувати ці служби, хіба що заблокувати повністю усі пакети UDP (RPC - службы в-основном використовують UDP). Блокування усіх пакетів UDP приведе до блокування ряду інших корисних служб, таких як DNS. Тому блокування RPC призводить до дилеми.
Маршрутизатори з фільтрацією пакетів з більш ніж двома інтерфейсами іноді не мають можливостей по фільтрації пакетів залежно від того, з якого інтерфейсу прийняті пакети, і куди мають бути спрямовані. Фільтрація пакетів, що входять і витікаючих, спрощує правила фільтрації пакетів і дозволяє маршрутизатору легко визначити, який IP -адрес справжній, а який - фальшивий. Маршрутизатори без такої можливості утрудняють реалізацію стратегій фільтрації.
Прикладні шлюзи
Щоб захиститися від ряду вразливих місць, пов'язаних з маршрутизаторами з фільтрацією пакетів, в брандмауерах треба використовувати прикладні програми для перенаправлення і фільтрації з'єднань з такими службами, як TELNET і FTP. Таке застосування називається прокси- службой, а хост, на якому працює прокси-служба, - прикладним шлюзом. Прикладні шлюзи і маршрутизатори з фільтрацією пакетів можуть бути об'єднані для досягнення вищої безпеки і гнучкості, чим була б досягнута, якби вони використовувалися окремо.
Наприклад, розглянемо мережу, в якій блокуються з'єднання TELNET і FTP, що входять, за допомогою маршрутизатора з фільтрацією пакетів. Цей маршрутизатор дозволяє пропускати пакети TELNET або FTP тільки до однієї машини, прикладного шлюзу TELNET/FTP. Користувач, який хоче з'єднатися зовні з системою в мережі, повинен спочатку з'єднатися з прикладним шлюзом, а потім вже з потрібним хостом:
спочатку користувач встановлює telnet -з’єднання з прикладним шлюзом і вводить ім'я внутрішнього хоста
шлюз перевіряє IP -адрес користувача і дозволяє або забороняє з'єднання відповідно до того або іншого критерію доступу
може знадобитися аутентифікація користувача(можливо за допомогою одноразових паролів)
проксі-сервер створює telnet -з’єднання між шлюзом і внутрішнім хостом
проксі-сервер передає дані між цими двома з'єднаннями
прикладний шлюз протоколює з'єднання
Рисунок 1.4 Віртуальні з'єднання, що реалізовуються за допомогою прикладного шлюзу і проксі-служб
Цей приклад демонструє декілька переваг використання проксі-служб. По- перше, проксі- служби дозволяють тільки ті служби, для яких є проксі. Іншими словами, якщо прикладний шлюз містить проксі для FTP і TELNET, то в підмережі, що захищається, будуть дозволені тільки FTP і TELNET, а інші служби будуть повністю блоковані. Для деяких організацій такий вид безпеки важливий, оскільки гарантує, що тільки ті служби, які вважаються безпечними, пропускатимуться через брандмауер. Цей підхід також оберігає від можливості розробки нових небезпечних служб без повідомлення адміністраторів брандмауера.
Іншою перевагою використання проксі-служб є те, що може бути здійснена фільтрація протоколів. Наприклад, деякі брандмауери, можуть фільтрувати ftp - з'єднання і забороняти використання команди FTP put, що було б корисно для отримання гарантій того, що користувачі не можуть, наприклад, писати на анонімний FTP -сервер.
Прикладні шлюзи мають ряд серйозних переваг в порівнянні із звичайним режимом, при якому прикладний трафік пропускається безпосередньо до внутрішніх хостам. Вони включають:
приховання інформації, при якому імена внутрішніх систем необов'язково будуть відомі зовнішнім системам за допомогою DNS, оскільки прикладний шлюз може бути єдиним хостом, чиє ім'я має бути відоме зовнішнім системам.
надійна аутентифікація і протоколювання, при якому прикладний трафік може бути попередній аутентифицирован до того, як він досягне внутрішніх хостов, і може бути запротокольований ефективніше, ніж стандартні засоби протоколювання хоста.
оптимальне співвідношення між ціною і ефективністю через те, що додаткові програми або устаткування для аутентифікації або протоколювання треба встановлювати тільки на прикладному шлюзі.
прості правила фільтрації, оскільки правила на маршрутизаторі з фільтрацією пакетів будуть менш складними, чим вони були б, якби
маршрутизатор сам фільтрував прикладний трафік і відправляв його великому числу внутрішніх систем. Маршрутизатор повинен тільки пропускати прикладний трафік до прикладного шлюзу і блокувати увесь інший трафік.
Недолік прикладного шлюзу полягає в тому, що при використанні клієнт- серверних протоколів, таких як TELNET, потрібно двокрокову процедуру для входження всередину або виходу назовні. Деякі прикладні шлюзи вимагають модифікованих клієнтів, що може розглядатися або як недолік, або як перевагу, залежно від того, чи роблять модифіковані клієнти легшим використанням брандмауера. Прикладний шлюз TELNET необов'язково вимагає модифікованого клієнта TELNET, проте він вимагає іншої логіки дій від користувача: користувач повинен встановити з'єднання (але не сеанс) з брандмауером, а не безпосередньо встановити сеанс з хостом. Але модифікований клієнт TELNET робить брандмауер прозорим, дозволяючи користувачеві вказати кінцеву систему (а не брандмауер) в команді TELNET. Брандмауер є як би дорогим до кінцевої системи і тому перехоплює з'єднання, а потім виконує додаткові кроки, такі як запит одноразового пароля. Користувачеві не треба в цьому випадку нічого робити, але на кожній системі має бути встановлений модифікований клієнт.
Окрім TELNET, зазвичай прикладні шлюзи використовуються для FTP і електронної пошти, а також X Windows і ряду інших служб. Деякі прикладні шлюзи FTP мають можливості блокування команд get і put для деяких хостов. Наприклад, зовнішній користувач, FTP, що встановив, сеанс (через прикладний шлюз FTP) з внутрішньою системою, такою, як анонімний FTP - сервер, може спробувати скопіювати файли на сервер. Прикладний шлюз може фільтрувати FTP -протокол і блокувати усі команди put для анонімного FTP - сервера; це дозволить гарантувати, що ніхто не зможе завантажити на сервер чого-небудь, і дасть великі гарантії, чим проста упевненість в тому, що права доступу до файлів на анонімному FTP-сервері встановлені коректно (деякі організації ввели політики, в яких забороняються команди get і put для певних директорій; наявність брандмауера, , що фільтрує FTP -команди, була б особлива корисно в цій ситуації. Деякі місця заборонили команди get для зовнішніх хостов, щоб користувачі не могли рахувати інформацію або програми із зовнішніх хостов. У інших же мережах заборонена команда put для зовнішніх хостов, щоб користувачі не могли зберегти локальну інформацію на зовнішніх FTP -серверах. Але типовим є варіант. Коли забороняються команди put, що входять, щоб зовнішні користувачі не могли писати на FTP -сервера в мережі)
Прикладний шлюз для електронної пошти служить для централізованого збору електронної пошти і поширення її по внутрішніх хостам і користувачах. Для зовнішніх користувачів усі внутрішні користувачі матимуть адресу виду пользователь@почтовый хост, де поштовий хост - ім'я шлюзу для пошти. Шлюз повинен приймати пошту від зовнішніх користувачів, а потім переправляти її на інші внутрішні системи. Користувачі, що посилають електронні листи з внутрішніх систем, можуть посилати їх безпосередньо з внутрішніх систем, або,
якщо внутрішні імена систем не відомі зовні мережі, лист має бути посланий на прикладний шлюз, який потім переправить його до хосту призначення. Деякі поштові шлюзи використовують безпечнішу версію програми sendmail для прийому пошти.
2. Приклад налаштування брандмауера Windows 7
Дві віртуальні машини з ОС Windows 7, підключені одна до одної безпосередньо або через концентратор. (https://www.youtube.com/watch?v=MRF49ksuUuE)
Комп'ютери повинні знаходитися в одній робочій групі і мати загальну маску підмережі.
Порядок виконання роботи:
На комп'ютері 1 клацніть правою кнопкою миші на диску С і виберіть Создать > Папку.
Задайте ім'я новій теці – ШАРА_Прізвище.
Змініть ідентифікаційне ім’я комп’ютера на ваше Прізвище і перезавантажте систему.
Клацніть правою кнопкою миші на теці і виберіть Свойства > Доступ > Расширенная настройка общего доступа > Расширенная настройка.
Відкриється вікно «Расширенная настройка общего доступа».
Надайте загальний доступ до цієї теки, використовуючи ім'я за умовчанням.
На комп'ютері 2 натисніть кнопку Пуск, потім виберіть Панель управления > Центр управления сетями и общим доступом > Сеть.
Двічі клацніть компьютер 1.
Чи видно загальну теку?
Примітка. Якщо відповідь негативна, звернетеся по допомогу до статті - https://new.thin.kiev.ua/25-obschij-dostup-windows-7.html.
Перевірте ще раз видимість загальної теки.
Закрийте Сеть.
Примітка. При виконанні частини лабораторної роботи, що залишилася, використайте комп'ютер 1, якщо не вказано інакше.
Перейдіть до брандмауера Windows 7.
Виберіть Пуск > Панель управления > Система и безопасность > Брандмауэр Windows.
Індикатор брандмауера показує стан брандмауера. Стандартная настройка
«Включен».
Вкажіть переваги брандмауера Windows
Перейдіть за посилкою Разрешить запуск программы или компонента через брандмауэр Windows.
Відкриється вікно «Разрешенные программы».
Програми і служби, що не блокуються брандмауером Windows, будуть помічені прапорцями.
ЗАПИШІТЬ У ЗВІТ НАЗВИ ДОЗВОЛЕНИХ ПРОГРАМ
Можна додавати додатка до цього списку. Це може бути необхідно, якщо у клієнта є додаток, що вимагає зв'язку із зовнішньою мережею, але по какой- те причині брандмауер Windows не може виконати налаштування автоматично. Для завершення цієї процедури необхідно увійти до системи на цьому комп'ютері в якості адміністратора.
Перейдіть по посиланню Риски разрешения связи для программы. Відкриється вікно «Справка и поддержка».
Створення занадто великого числа виключень у файлі "Програми і служби" може спричинити негативні наслідки.
Опишіть негативні наслідки великої кількості виключень.
Закрийте вікно «Справка и поддержка».
З комп'ютера 1 виконаєте наступні дії:
Натисніть спочатку на кнопку «Изменить параметры» і Клацніть вікно «Разрешенные программы», щоб активувати його.
Для відключення виключення зніміть прапорець Общий доступ к файлам и принтерам > нажмите кнопку «OК».
З комп'ютера 2 виконаєте наступні дії:
Змініть ідентифікаційне ім’я комп’ютера на ваше Ім’я і перезавантажте систему.
Відкрийте мережеве підключення до комп'ютера 1.
Послідовно виберіть Пуск > Панель управления > Центр управления сетями и общим доступом > Сеть.
Чи можна підключитися до комп'ютера 1?
У ЗВІТ ДОДАЙТЕ СКРИН ВІКНА ОПОВІЩЕННЯ ПІСЛЯ СПРОБИ ПІДКЛЮЧЕННЯ.
З комп'ютера 1 виконаєте наступні дії:
Для включення - виключення встановите прапорець Общий доступ к файлам и принтерам > нажмите кнопку «OК».
З комп'ютера 2 виконаєте наступні дії:
Оновіть вікно Сеть і підключіться до комп'ютера 1.
Чи можна підключитися до комп'ютера 1?
Завершіть сеанс на комп'ютері 2.
Використайте комп'ютер 1 в тій частині лабораторної роботи, що залишилася.
Виберіть Пуск > Панель управления > Система и безопасность > Администрирование > Брандмауэр Windows в режиме повышенной безопасности > Правила для входящих подключений.
Розгорніть вікно, щоб можна було побачити повне ім'я правил для підключень, що входять. Знайдіть «Общий доступ к файлам и принтерам (эхо- запрос – входящий трафик ICMPv4)».
Клацніть правило правою кнопкою миші, виберіть Свойства > вкладка Дополнительно > натисніть кнопку Настроить.
На вкладці «Дополнительно " відображається профіль(-і), використовуваний комп'ютером, а у вікні «Настройка типов интерфейсов» відображаються різні підключення, налаштовані на комп'ютері.
Натисніть кнопку ОК.
Перейдіть на вкладку Программы и службы. Натисніть кнопку «Настроить». Відкриється вікно «Настройка параметров службы».
ПЕРЕРАХУЙТЕ І ЗАПИШІТЬ У ЗВІТ КОРОТКІ ІМЕНА ДОСТУПНИХ КЛІЄНТІВ.
Натисніть кнопку Отмена.
Існує безліч додатків, зазвичай непомітних для користувача, яким необхідно мати доступ до комп'ютера через брандмауер Windows. Це команди рівня мережі, що направляють трафік в мережі і Інтернеті.Перейдіть на вкладку Протоколы и порты. Для налаштування ICMP натисніть кнопку Настроить. Можна буде побачити меню, в якому настроюються виключення ICMP.
В даному прикладі дозвіл вхідних ехо-запитів дозволяє користувачам мережі перевірити, чи є присутнім в ній комп'ютер. Він також дозволяє бачити, наскільки швидко передається інформація до комп'ютера і від нього.
ПЕРЕРАХУЙТЕ У ЗВІТ КІЛЬКА ТИПІВ ICMP. Закрийте усі вікна.
Порядок виконання роботи
Розглянути які існують програмні засоби захисту.
Визачити для чого використовуються firewall’и.
Здійснити дії наведені в пункті 2.
Дослідити стан захисту операційної системи для наступних випадків:
без увімкнутого брандмауера,
використовуючи вбудований в ОС брандмауер,
Описати принцип роботи і політики безпеки вбудованого брандмауера
Навести приклади журналу фільтрації мережевого трафіку
Визначити можливості і недоліки використовуваного брандмауера.
Дані по результатах дослідження оформити у вигляді таблиці
Оформити звіт по роботі