Разработка сетевой защиты

Размещено на http://allbest.ru

1. Обеспечение защиты ОС от атак по компьютерным сетям

защита компьютерный сеть

1.1 Сетевая защита и брандмауэр

Как бы ни была безопасна система, всегда есть риск, что кто-то извне по компьютерной сети будет пытаться ее взломать. Единственным решением, которое позволяет в большинстве случаев решить эту проблему является своевременное обновление версий программного обеспечения. Но и в этом случае можно найти какую-то особенность в функционировании программного обеспечения и использовать ее для взлома системы. Например: использование пользователем демонстрационной версии программного продукта или используемая версия программного обеспечения больше не поддерживается разработчиком. В этих ситуациях, если не использовать каких-либо дополнительных мер, пользователь может оказаться беззащитным от атак извне.

Понимая опасность таких ситуаций, многие исследовательские центры и частные компании занимались решением этой проблемы. Разработчики рассудили: раз сетевой взломщик не должен взломать компьютер пользователя, то он просто не должен получить к нему доступ, т.е. необходимо гарантированно закрыть доступ к компьютеру несанкционированным пользователям. Разработанный метод защиты похож на стену, окружающую со всех сторон компьютер, поэтому он и получил название Firewall (пожарная стена), иначе сетевой экран или фильтр, который отфильтровывает запросы сетевых пользователей к системе. В официальной русской версии Windows XP он переведен как брандмауэр.

Брандмауэр - это специальное программное обеспечение, поставляемое вместе с операционной системой или устанавливаемое пользователем, которое позволяет запретить любой доступ нежелательных пользователей из сети к системе. Брандмауэр помогает повысить безопасность компьютера. Он ограничивает информацию, поступающую на компьютер с других компьютеров, позволяя лучше контролировать данные на компьютере и обеспечивая линию обороны компьютера от людей или программ (включая вирусы и «черви»), которые несанкционированно пытаются подключиться к компьютеру. Брандмауэр - это пограничный пост, на котором проверяется информация (трафик), приходящая из Интернета или по локальной сети. В ходе проверки брандмауэр отклоняет или пропускает информацию на компьютер в соответствии с установленными параметрами.

В состав Windows XP входит встроенная версия брандмауэра (в пакет обновления SP2 для Microsoft Windows XP брандмауэр включен по умолчанию), основной алгоритм работы которого обеспечивает защиту от несанкционированных пользователей. Практически невозможно найти уязвимость, которая бы обеспечивала проникновение взломщика на защищенную сетевым экраном систему. Функции, выполняемые брандмауэром:

- блокировка доступа на компьютер вирусам и «червям»;

- запрос пользователя о выборе блокировки или разрешения для определенных запросов на подключение;

- ведение журнала безопасности и по желанию пользователя запись разрешенных и заблокированных попыток подключения к компьютеру, журнал может оказаться полезным для диагностики неполадок.

Идея атак взломщиков основывается на работе низкоуровневых алгоритмов обработки сетевых запросов, в некоторых старых версиях программного обеспечения их можно было пытаться использовать для возможного проникновения через сетевой экран. В современных версиях брандмауэра, если грамотно его настроить, можно избежать любых атак взломщиков.

Когда на компьютер поступает непредусмотренный запрос (кто-то пытается подключиться из Интернета или по локальной сети), брандмауэр блокирует подключение. Если на компьютере используются программы передачи мгновенных сообщений или сетевые игры, которым требуется принимать информацию из Интернета или локальной сети, брандмауэр запрашивает пользователя о блокировании или разрешении подключения. Если пользователь разрешает подключение, брандмауэр создает исключение, чтобы в будущем не тревожить пользователя запросами по поводу поступления информации для этой программы. Предусмотрена так же возможность отключения брандмауэра для отдельных подключений к Интернету или локальной сети, но это повышает вероятность нарушения безопасности компьютера.

1.2 Настройка брандмауэра

Если брандмауэр подключен, то для его настройки следует:

- войти в систему под учетной записью системного администратора;

- открыть папку, в которой находятся сетевые подключения:

Пуск\Настройка\Панель управления\Сетевые подключения (рис.1.1.);

- выбрать строку, например, Подключение по локальной сети (рис.1.2.);

- во вкладке Общие сделать щелчок по кнопке Свойства (рис.1.2.);

- появится дополнительное окно Свойства, в котором выбрать вкладку Дополнительно (рис.1.2.);

- во вкладке Дополнительно нажать кнопку Параметры (рис.1.3.);

- появится окно программы Брандмауэр Windows (рис.1.3.).

Аналогичное окно появится при выборе программы Брандмауэр Windows из списка программ в Панели управления:

Пуск - Настройки - Панель управления - Брандмауэр Windows (рис.1.4.)

Для получения подробной информации в окне программы Брандмауэр Windows следует сделать щелчок по ссылке Подробнее о Брандмауэре Windows. Появится окно Центр справки и поддержки, в котором будет приведена вся информация о назначении и использовании брандмауэра.

Рисунок 1.1. Окно программы Сетевые подключения

Рисунок 1.2. Окна программы Подключение по локальной сети

Рисунок 1.3. Окно вкладки Дополнительно и окно программы Брандмауэр

Рисунок 1.4. Окно Панель управления и окно программы Брандмауэр Windows

Закладка Общие окна настроек брандмауэра является главной, по умолчанию брандмауэр включен (рис.1.4.). Закладка содержит ряд опций.

Опция Включить (рекомендуется) включает брандмауэр. Опция Не разрешать исключения может использоваться только вместе с опцией Включить (рекомендуется). Она позволяет повысить уровень безопасности системы в случае ее использования в публичных местах, таких как аэропорты, кафе, кинотеатры и пр., оборудованные доступом в Интернет. Уровень безопасности будет увеличен за счет запрета работы программ, к которым разрешается получать доступ из сети, прегражденной сетевым фильтром. Сообщения об отказе доступа пользователям к таким приложениям система генерировать не будет.

Опция Выключить (не рекомендуется) полностью выключает брандмауэр. В этом случае система оказывается совершенно незащищенной от атак извне. Единственный случай, когда это может быть оправдано, это когда нужно кратковременно протестировать работу какого-либо приложения, которое не хочет работать с активным сетевым экраном.

Брандмауэр Windows блокирует входящие сетевые подключения, исключая программы и службы, выбранные пользователем. Добавление исключений улучшает работу некоторых программ, но повышает риск безопасности. Закладка Исключения позволяет указать программы и сервисы, к которым могут быть осуществлены соединения пользователей со стороны Интернета (рис.1.5.). Фактически, для этих программных продуктов сетевой фильтр работать не будет, пропуская все запросы к ним через себя.

Рисунок 1.5. Закладка Исключения

Закладка Исключения представляет собой список программ и сервисов, к которым можно разрешить доступ со стороны Интернета, посредством установки рядом с ними флажка. Опция Отображать уведомление, когда брандмауэр блокирует программу, в случае ее активизации, заставляет Windows выдавать сообщение о попытке доступа из сети. По умолчанию опция включена, т.к. она помогает лучше понять процессы, происходящие внутри системы. Если на закладке Общие установлена опция Не разрешать исключения сообщение выдаваться не будет.

Для удаления программы или сервиса из списка разрешенных объектов к обращению из сети Интернет следует выделить объект из списка окна и нажать кнопку Удалить. Данную операцию стоит проводить с программами или сервисами, которые больше не должны быть доступны для пользователей из Интернета.

Для редактирования определенного объекта из списка программ и сервисов, разрешенных к обращению из Интернета следует выделить редактируемый объект и нажать кнопку Изменить, появится окно Изменение программы (рис.1.6). Диалоговое окно содержит имя редактируемой программы и путь к ее исполняемому файлу. Кнопка Изменить область позволяет указать, каким именно сетевым компьютерам будет доступна выбранная программа или сервис. В данном окне можно указать три режима, в соответствии с которыми будет осуществляться доступ из сети к программе или сервису, расположенному в системе.

Режим Любой компьютер (включая из Интернета) указывает, что доступ к данной программе будет возможен со всех сетевых компьютеров, включая расположенные в Интернете. Не рекомендуется выбирать режим без особой необходимости, т.к. будет предоставлена возможность любому пользователю извне пробовать подключаться к определенному программному обеспечению. А в случае наличия в нем уязвимостей, пользователь может получить доступ к системе или нарушить ее нормальное функционирование.

Режим Только локальная сеть (подсеть) позволяет сделать возможным доступ к программному обеспечению только из сети, в которой находится система, что значительно снижает риск взлома даже при наличии уязвимостей в программном обеспечении. Если нужно разрешить доступ только с некоторых сетевых компьютеров, рекомендуется использовать третью опциею.

Рисунок 1.6. Диалоговое окно Изменение программы

Рисунок 1.7. Диалоговое окно Изменение области

Режим Особый список позволяет указать в нижележащем поле ввода список IP-адресов (сетевой адрес вида a.b.c.d) компьютеров, которым будет разрешен доступ к выбранному сервису или программе. Это наиболее удобный и безопасный способ осуществления разрешения на доступ из сети, так как в этом случае всегда можно контролировать компьютеры, которые его получают, и быть уверенными в том, что система надежно защищена от атак. Рекомендуется использовать данный режим (если позволяет ситуация), как самый оптимальный из всех. Кнопка ОК сохраняет внесенные изменения в окне, кнопка Отмена - их отменяет.

Рисунок 1.8. Диалоговое окно Добавление программы

В закладке Исключения кнопка Добавить программу позволяет добавить программы, к которым следует разрешить доступ со стороны сети (рис.1.8.). Из предлагаемого списка требуется выбрать нужное приложение или воспользоваться кнопкой Обзор и указать его исполняемый файл в файловой системе компьютера. С помощью кнопки Изменить область можно указать с каких сетевых компьютеров будет возможен доступ к данному приложению. Кнопка ОК сохраняет внесенные изменения, закрывая окно добавления программы, кнопка Отмена приводит к отмене всех дополнений сделанных в окне.

В закладке Исключения нажатие кнопки Добавить порт выводит диалоговое окно Добавление порта (рис.1.9.). Номер порта представляет собой канал, выраженный целочисленным десятичным числом, по которому приложения могут обмениваться информацией. Если используемому приложению требуется открыть определенный канал, то в поле Имя следует ввести имя приложения, в поле Номер порта - номер порта, сообщенный приложением. Флажковые опции TCP и UDP позволяют указать какой порт требуется приложению. Если необходимо создать два порта с одинаковыми номерами, но разными типами (TCP или UDP), то следует дважды воспользоваться функцией дополнения порта (кнопкой Добавить порт) (рис.1.9.), и с помощью кнопки Изменить область указать с каких сетевых компьютеров будет возможен доступ к данному порту. Кнопка ОК сохраняет внесенные изменения, кнопка Отмена приводит к отмене всех дополнений сделанных в окне.

Рисунок 1.9. Диалоговое окно Добавление порта

1.3 Дополнительные параметры брандмауэра

В окне настроек брандмауэра в закладке Дополнительно находятся некоторые важные настройки (рис.1.10).

Первая группа элементов управления Параметры сетевого подключения позволяют избирательно использовать брандмауэр для сетевых интерфейсов системы. Сетевой фильтр включен только для интерфейсов, отмеченных флажками в списке Службы (рис.1.10.). Кнопка Параметры вызывает окно для настройки доступа сетевых пользователей к сетевым сервисам для выбранного сетевого соединения. Сетевыми сервисами называют программное обеспечение, запросы на обработку к которому поступают по сети. В этом случае компьютеры, от которых поступают запросы, называются клиентами, а компьютеры, которые их обрабатывают - серверами.

По умолчанию в окне представлено несколько наиболее часто используемых в Интернете сервисов. В случае их использования можно разрешить к ним доступ сетевых пользователей. Например, если используется в системе FTP- или Web-сервер, то можно разрешить к ним доступ пользователей из сети. Для этого необходимо установить флажки в режимах, соответственно, с FTP-сервер и Веб-сервер (HTTP) (рис.1.10.).

После установки флажка в любом из пунктов появится диалоговое окно, в котором система поинтересуется, на каком компьютере установлен сервис, к которому нужно разрешить доступ. По умолчанию предлагается адрес системы, на которой осуществляется настройка брандмауэра (рис.1.11.).

В поле ввода Имя или IP-адрес компьютера вашей сети, на котором располагается эта служба (например, 192.168.0.12) нужно ввести адрес компьютера, на котором расположен сервис (если он отличается от адреса системы с настраиваемым брандмауэром). Нажатие кнопки ОК приводит к закрытию окна Параметры службы, а в окне Дополнительные параметры (рис.1.10.) рядом с соответствующим пунктом появляется флажок. Кнопки Добавить и Изменить в окне Дополнительные параметры (рис.1.10.) приводят, соответственно к добавлению или редактированию существующего сервиса (рис.1.11.)

Размещено на http://allbest.ru

Рисунок 1.10. Закладка Дополнительно и окно выбора дополнительных параметров сетевого подключения

Рисунок 1.11. Установка адреса системы, на которой расположен сервис, доступ к которому открывается для сетевых пользователей

Закладка ICMP окна Дополнительные параметры позволяет установить доступность сетевых сервисов, выполняющих служебные функции (рис. 1.12.). ICMP (Internet Control and Message Protocol) означает отношение приведенных в окне Дополнительные параметры - закладка ICMP сервисов к протоколу обмена контрольной информацией в Интернете. Данный протокол предназначен для технических целей и поддерживает корректную работу компьютерной сети, а также может использоваться при поиске неисправности, неизбежно возникающих в сложных сетевых вычислительных структурах. Он реализован с помощью ряда программных сервисов, которые перечислены в списке данного окна.

Вышеперечисленные сервисы предназначены для решения только технических задач. Но существует, как минимум, два пути нарушения нормальной работы системы или причинения ей значительного вреда, если указанные сервисы не будут установлены.

защита компьютерный сеть

Рисунок 1.12. Закладка ICMP

Во-первых, возможен запрос взломщиков со стороны сети на выполнение системой различных действий для достижения определенных технических целей. Например, они могут послать системе запрос о ее существовании на определенный сетевой адрес. Если система находится по указанному адресу и функционирует нормально, то она может ответить на запрос. Взломщики могут послать множество таких запросов. Система будет отвечать на них, в результате чего ее производительность для полезных задач резко упадет, т.о. достигается атака Отказ в обслуживании (DoS, Denied of Service).

Также существуют методы посылки специфических запросов, которые будут вынуждать ОС расточительно использовать свои системные ресурсы, вследствие чего наступит момент, когда система перестанет функционировать и ее придется перезагружать.

Во-вторых, возможна атака, целью которой является получение контроля над системой. Она может иметь самые различные алгоритмы. Наиболее вероятным сценарием взлома является посылка специфического запроса системе, который не может быть корректно обработан и вызовет запуск определенной программы, содержащейся в нем (запросе). Эта программа может что-нибудь уничтожить в системе или открыть к ней доступ из Интернета для взломщиков.

Вышеприведенные ситуации говорят о том, что нужно очень осторожно относиться ко всей информации, приходящей из сети, даже если она содержится в служебных запросах. Поэтому все служебные сервисы по умолчанию заблокированы сетевым экраном.

Второй раздел элемента управления Ведение журнала безопасности вкладки Дополнительно (рис.1.10.) позволяет задавать настройки, позволяющие отслеживать и сохранять в файле состояние сетевого экрана. При нажатии кнопки Параметры появится окно настроек протоколирования работы брандмауэра (рис.1.13.).

Рис.1.13. Окно настроек протоколирования работы сетевого экрана

Режим Записывать пропущенные пакеты в случае установки флажка позволяет системе сохранять в файле C:\WINDOWS\pfirewall.log все пакеты, отклоненные системой, что необходимо для просмотра возможных атак из сети или запрещенных адресов.

Режим Записывать успешные подключения в случае установки флажка, позволяет производить запись всех удачных соединений, произведенных с системой.

В разделе Параметры файла журнала находятся опции, в которых указывается имя файла для протоколирования действий брандмауэра и его максимальный размер. При указании пути и имени этого файла в поле ввода Имя следует учесть, чтобы данный файл не был доступен простым пользователям, которые могут использовать его по своему усмотрению. Поле Предельный размер (КБ) позволяет указать максимальный размер этого файла в килобайтах, по умолчанию установлен размер четыре мегабайта. Нажатие кнопки ОК сохраняет внесенные изменения и приводит к закрытию окна.

Третий раздел элемента управления Протокол ICMP (рис.1.13.) задает настройки, позволяющие отслеживать обработку системой ICMP-запросов сети. При нажатии кнопки Параметры появится диалоговое окно Параметры ICMP. Рекомендуется разрешать работу для сетевых пользователей только необходимых сервисов. По умолчанию разработчиками системы заданы настройки, подходящие для большинства пользователей.

Для восстановления принятых по умолчанию параметров брандмауэра предлагается нажать кнопку По умолчанию (рис. 1.13.).

Рис.1.13. Окно настроек Протокола ICMP

1.4 Удаленные сеансы пользователей

Пользователям, у которых возникают вопросы по работе с системой, Windows XP предлагает помощь в виде развитой системы файлов помощи и в виде интерактивной помощи, одним из видов которой является помощь пользователей друг другу. Специальный механизм Удаленные сеансы позволяет пользователям помогать друг другу:

Пуск\Программы\Удаленный помощник (1.14.)

Настройка входа в систему удаленных пользователей:

- войти в систему под учетной записью администратора;

- в Панели управления выбрать программу Система:

Пуск\Настройка\Панель управления\Система (рис.1.15.)

- в появившемся окне Свойства системы выбрать закладку Удаленные сеансы (рис.1.16.)

Рисунок 1.14. Окно программы Удаленный помошник

Рис. 1.15. Закладка Удаленные сеансы программы Система

Для дезактивации механизма удаленной помощи нужно убрать флажок в режиме Разрешить отправку приглашений удаленному помощнику, для использования механизма удаленной помощи нужно поставить флажок в данном режиме и нажать кнопку Дополнительно (рис.1.16.). Для осуществления полноценной процедуры поддержки пользователем (к которому нужно обратиться за помощью), следует установить флажок в режиме Разрешить удаленное управление этим компьютером. Следует осторожно относиться к данному режиму, т.к. он дает возможность выбранному пользователю управлять компьютером удаленно, поэтому, если намерения пользователя не ясны, то лучше этого не делать.

Рисунок 1.16. Окно настройки удаленной помощи

Последний режим определяет интервал времени, в течение которого запрос о помощи остается в силе для других пользователей. Нажатие кнопки ОК приводит к активизации выбранных настроек.

В целях безопасности рекомендуется запрещать механизм удаленной помощи, лучше обратиться в техническую поддержку Microsoft.

1.5 Удаленные пользователи

Если необходимо временно разрешить удаленный вход в систему сетевых пользователей с получением полного доступа следует:

- войти в систему под учетной записью администратора;

- в Панели управления выбрать программу Система:

Пуск\Настройка\Панель управления\Система (рис.1.15.)

- в появившемся окне Свойства системы выбрать закладку Удаленные сеансы (рис.1.16.);

- в поле Дистанционной управление рабочим столом поставить флажок в режиме Разрешить удаленный доступ к этому компьютеру (рис.1.17.);

- для уточнения пользователей, которым разрешен доступ сделать щелчок по кнопке Выбрать удаленных пользователей (рис.1.17.);

- появится диалоговое окно Пользователи удаленного рабочего стола в котором с помощью кнопок Добавить и Удалить можно, соответственно, добавлять и удалять пользователей;

- для добавления пользователей сделать щелчок по кнопке Добавить;

- в появившемся диалоговом окне Выбор: Пользователи сделать щелчок по кнопке Дополнительно (рис.1.18.);

- появится дополнительное окно со списком пользователей, которым разрешен доступ;

- щелчком выбрать имя пользователя, после чего окно закроется;

- для сохранения установленных настроек нажать кнопку ОК, для отмены - кнопку Отмена;

- после возврата к окну Пользователи удаленного доступа нажатие кнопки ОК приведет к тому, что все пользователи, отображенные в списке, получат возможность удаленно входить в систему и пользоваться ее интерфейсом, приложениями и документами, соответствующими учетной записи, под которой они входят в систему; все они должны быть локально прописанными в системе.

Рисунок 1.17. Окно определения пользователей, имеющих права работать удаленно

Рисунок 1.18. Выбор пользователей

Размещено на Allbest.ru