Как настроить фильтр исходящего трафика с компьютера в Интернет

Обновлено: 21.11.2024

В этой главе обсуждается настройка маршрутизатора и брандмауэра, а также трансляция сетевых адресов, описанная в экзамене 70-642 MCTS Windows Server 2008.

Эта глава из книги

Эта глава из книги

Эта глава из книги 

Термины, которые вам необходимо понять:

  • Маршрутизатор
  • Метрика
  • Прыжок
  • Статические маршруты
  • Динамические маршруты
  • Информационный протокол маршрутизатора (RIP)
  • Расщепление горизонта
  • Сначала открыть кратчайший путь (OSPF)
  • Брандмауэр
  • Брандмауэр с отслеживанием состояния
  • Брандмауэр Windows
  • Брандмауэр Windows в режиме повышенной безопасности
  • Профиль использования
  • Преобразование сетевых адресов (NAT)

Методы/концепции, которые вам необходимо освоить:

  • Настройте статические маршруты с помощью консоли маршрутизатора и удаленного доступа (RRAS) и команды Route.exe.
  • Настройте протокол информации о маршрутизаторе (RIP).
  • Настройте фильтрацию пакетов, брандмауэр Windows и брандмауэр Windows в режиме повышенной безопасности.
  • Настройте коммутируемую маршрутизацию.
  • Настройте преобразование сетевых адресов.

маршрутизатор – это устройство, которое управляет потоком данных между сегментами сети или подсетями. Поскольку несколько локальных сетей или сегментов соединены вместе, создается несколько маршрутов для передачи данных из одной локальной сети или сегмента в другую. Маршрутизатор направляет входящие и исходящие пакеты на основе имеющейся у него информации о состоянии его собственных сетевых интерфейсов и списка возможных направлений для сетевого трафика.

Спрогнозировав потребности в сетевом трафике и маршрутизации, вы можете решить, хотите ли вы использовать выделенный аппаратный маршрутизатор, например маршрутизатор Cisco, или программный маршрутизатор, например, включенный в Windows Server 2008. требования маршрутизации, вы почти всегда будете использовать выделенные аппаратные маршрутизаторы. Для небольших сетей можно использовать программное решение для маршрутизации. Для маршрутизации Microsoft Windows Server 2008 включает службу маршрутизации и удаленного доступа.

Маршрутизация и маршрутизаторы

Когда вы отправляете пакет с одного компьютера на другой, он сначала определяет, отправляется ли пакет локально на другой компьютер в той же локальной сети или на маршрутизатор, чтобы его можно было перенаправить в локальную сеть назначения. Если пакет предназначен для отправки на компьютер в другой локальной сети, он отправляется на маршрутизатор (или шлюз). Затем маршрутизатор определяет наилучший маршрут и перенаправляет пакеты по этому маршруту. Затем пакет переходит к следующему маршрутизатору, и весь процесс повторяется до тех пор, пока он не попадет в локальную сеть назначения. Затем маршрутизатор назначения пересылает пакеты на компьютер назначения.

Для определения наилучшего маршрута используются сложные алгоритмы маршрутизации, которые учитывают множество факторов, включая скорость каждой среды передачи, количество сегментов сети и сегмент сети, через который проходит наименьший трафик. Затем маршрутизаторы обмениваются информацией о состоянии и маршрутизации с другими маршрутизаторами, чтобы они могли лучше управлять трафиком и обходить медленные соединения. Кроме того, маршрутизаторы предоставляют дополнительные функции, такие как возможность фильтровать сообщения и пересылать их в разные места на основе различных критериев. Большинство маршрутизаторов являются многопротокольными, поскольку они могут маршрутизировать пакеты данных с использованием множества различных протоколов.

Метрика – это стандарт измерения, например количество переходов, который используется алгоритмами маршрутизации для определения оптимального пути к месту назначения. Переход – это путь, по которому пакет данных проходит от одного маршрутизатора к другому или от маршрутизатора к другой промежуточной точке в другой точке сети. В большой сети количество прыжков, которые пакет совершил до места назначения, называется счетчиком прыжков. Когда компьютер обменивается данными с другим компьютером, и компьютер должен пройти через четыре маршрутизатора, количество переходов равно четырем. Без учета других факторов метрика будет равна четырем. Если бы у маршрутизатора был выбор между маршрутом с четырьмя метриками и маршрутом с шестью метриками, он предпочел бы маршрут с четырьмя метриками маршруту с шестью метриками. Конечно, если вы хотите, чтобы маршрутизатор выбирал маршрут с шестью метриками, вы можете перезаписать метрику для маршрута с четырьмя переходами в таблице маршрутизации на более высокое значение.

Чтобы отслеживать различные маршруты в сети, маршрутизаторы создают и поддерживают таблицы маршрутизации. Маршрутизаторы взаимодействуют друг с другом, чтобы поддерживать свои таблицы маршрутизации посредством сообщения обновления маршрутизации. Сообщение обновления маршрутизации может состоять из всей или части таблицы маршрутизации. Анализируя обновления маршрутов от всех других маршрутизаторов, маршрутизатор может составить подробную картину топологии сети.

Статические и динамические маршруты

Алгоритмы статической маршрутизации вряд ли вообще являются алгоритмами, а представляют собой сопоставления таблиц, установленные сетевым администратором до начала маршрутизации. Эти сопоставления не изменяются, пока администратор сети не изменит их. Алгоритмы, использующие статические маршруты, просты в разработке и хорошо работают в средах, где сетевой трафик относительно предсказуем, а структура сети относительно проста.

Поскольку системы статической маршрутизации не могут реагировать на изменения в сети, они обычно считаются неподходящими для современных крупных меняющихся сетей. Большинство доминирующих алгоритмов маршрутизации — это алгоритмы динамической маршрутизации, которые адаптируются к изменяющимся условиям сети путем анализа входящих сообщений об обновлении маршрута. Если сообщение указывает, что произошло изменение сети, программное обеспечение маршрутизации пересчитывает маршруты и отправляет новые сообщения об обновлении маршрута. Эти сообщения проходят через сеть, побуждая маршрутизаторы повторно запускать свои алгоритмы и соответствующим образом изменять свои таблицы маршрутизации.

При необходимости алгоритмы динамической маршрутизации могут быть дополнены статическими маршрутами.

Алгоритм вектора расстояния и состояния канала

Маршрутизаторы используют протоколы маршрутизации на основе вектора расстояния для периодического объявления или широковещательной рассылки маршрутов в своих таблицах маршрутизации, но они отправляют их только своим соседним маршрутизаторам. Информация о маршрутизации, которой обмениваются типичные маршрутизаторы на основе вектора расстояния, не синхронизируется и не подтверждается. Протоколы маршрутизации на основе вектора расстояния просты, понятны и просты в настройке. Недостатком является то, что несколько маршрутов к данной сети могут отражать несколько записей в таблице маршрутизации, что приводит к большой таблице маршрутизации. Кроме того, если у вас есть большая таблица маршрутизации, сетевой трафик увеличивается, поскольку он периодически сообщает таблицу маршрутизации другим маршрутизаторам, даже после конвергенции сети. Наконец, конвергенция протоколов вектора расстояния в крупных сетях может занять несколько минут.

Алгоритмы состояния канала также известны как алгоритмы поиска кратчайшего пути. Вместо широковещательной рассылки маршрутизаторы состояния канала отправляют обновления напрямую (или с помощью многоадресного трафика) всем маршрутизаторам в сети. Однако каждый маршрутизатор отправляет только ту часть таблицы маршрутизации, которая описывает состояние его собственных каналов. По сути, алгоритмы состояния канала повсюду рассылают небольшие обновления. Поскольку они сходятся быстрее, алгоритмы состояния канала несколько менее подвержены петлям маршрутизации, чем алгоритмы вектора расстояния. Кроме того, алгоритмы состояния канала не обмениваются информацией о маршрутизации, когда объединенная сеть сходится. У них небольшие таблицы маршрутизации, потому что они хранят один оптимальный маршрут для каждого идентификатора сети. С другой стороны, алгоритмы состояния канала требуют большей мощности ЦП и памяти, чем алгоритмы вектора расстояния. Поэтому алгоритмы состояния канала могут быть более дорогими в реализации и поддержке и считаются более сложными для понимания.

Протокол информации о маршрутизации

Популярным протоколом маршрутизации является протокол информации о маршрутизации (RIP), который представляет собой дистанционно-векторный протокол, предназначенный для обмена информацией о маршрутизации в сетях малого и среднего размера. Самым большим преимуществом RIP является то, что его очень просто настроить и развернуть.

RIP использует единую метрику маршрутизации, состоящую из числа переходов (количество маршрутизаторов), для измерения расстояния между исходной и целевой сетью. Каждому переходу на пути от источника к получателю назначается значение счетчика переходов, которое обычно равно 1. Когда маршрутизатор получает обновление маршрута, содержащее новую или измененную запись сети назначения, маршрутизатор добавляет единицу к значению метрики, указанному в update и входит в сеть в таблице маршрутизации. В качестве следующего прыжка используется IP-адрес отправителя.

Поскольку RIP использует только количество переходов для определения наилучшего пути к объединенной сети. Если RIP находит несколько ссылок на одну и ту же удаленную сеть с одинаковым количеством переходов, он автоматически выполняет циклическую балансировку нагрузки. RIP может выполнять балансировку нагрузки для шести каналов равной стоимости.

Однако проблема с использованием прыжков в качестве единственного показателя возникает, когда два канала к удаленной сети имеют разную пропускную способность. Например, если у вас есть одна коммутируемая ссылка размером 56 КБ, а T1 работает со скоростью 1,544 Мбит/с, будет некоторая неэффективность при отправке одинаковых данных по обоим путям. Это известно как перегрузка точечного отверстия. Чтобы преодолеть перегрузку точечных отверстий, необходимо спроектировать сеть с каналами с одинаковой пропускной способностью или использовать протокол маршрутизации, учитывающий пропускную способность.

RIP предотвращает бесконечное продолжение циклов маршрутизации, вводя ограничение на количество прыжков, разрешенных на пути от источника к месту назначения. Максимальное количество переходов на пути равно 15. Если маршрутизатор получает обновление маршрута, содержащее новую или измененную запись, и если увеличение значения метрики на единицу приводит к тому, что метрика становится бесконечной (в данном случае 16), сеть пункт назначения считается недостижимым.Конечно, это делает невозможным масштабирование RIP для больших или очень больших сетевых сетей. Примечание. Проблема счета до бесконечности является причиной того, что максимальное число переходов RIP для межсетевых IP-сетей установлено на 15 (16 для недостижимых). Более высокие значения максимального числа переходов увеличат время конвергенции, когда произойдет счет до бесконечности.

Изначально таблица маршрутизации для каждого маршрутизатора включает только те сети, которые к нему физически подключены. Маршрутизатор RIP периодически (каждые 30 секунд) отправляет объявления, содержащие записи его таблицы маршрутизации, чтобы другие маршрутизаторы могли обновлять свои таблицы маршрутизации. RIP версии 1 использует широковещательные IP-пакеты для своих объявлений. RIP версии 2 использует многоадресные или широковещательные пакеты для своих объявлений. Все сообщения RIP отправляются через UDP-порт 520.

Маршрутизаторы RIP также могут передавать информацию о маршрутизации через триггерные обновления, которые запускаются при изменении топологии сети. В отличие от запланированных объявлений, инициированные обновления отправляются немедленно, а не сохраняются для следующего периодического объявления. Например, когда маршрутизатор обнаруживает канал или сбой маршрутизатора, он обновляет свою собственную таблицу маршрутизации и отправляет обновленные маршруты. Каждый маршрутизатор, который получает инициированное обновление, изменяет свою собственную таблицу маршрутизации и распространяет изменение на другие маршрутизаторы.

Вы можете настроить каждый маршрутизатор RIP со списком маршрутизаторов (по IP-адресам), которые принимают объявления RIP. При настройке списка одноранговых узлов RIP объявления RIP от неавторизованных маршрутизаторов RIP отбрасываются. Кроме того, чтобы предотвратить получение RIP-трафика каким-либо узлом, кроме соседних RIP-маршрутизаторов, можно настроить некоторые маршрутизаторы на использование одноадресных объявлений RIP для соседних RIP-маршрутизаторов.

Поскольку RIP является протоколом с вектором расстояния, по мере увеличения размера объединенных сетей периодические объявления каждого маршрутизатора RIP могут вызывать чрезмерный трафик. Еще одним недостатком RIP является большое время сходимости. При изменении топологии сети может пройти несколько минут, прежде чем маршрутизаторы RIP перенастроятся на новую топологию сети. По мере перенастройки сети могут образовываться петли маршрутизации, что приводит к потере или невозможности доставки данных. Чтобы избежать петель маршрутизации, RIP реализует расщепление горизонта.

Для преодоления некоторых недостатков RIP была представлена ​​RIP версии 2 (RIP II). RIP v2 предоставляет следующие возможности:

  • Вы можете использовать пароль для проверки подлинности, указав ключ, который используется для проверки подлинности сведений о маршрутизации на маршрутизаторе. Простая аутентификация по паролю была определена в RFC 1723, но доступны более новые механизмы аутентификации, такие как Message Digest 5 (MD5).
  • RIP v2 включает маску подсети в информацию о маршрутизации и поддерживает подсети переменной длины. Маски подсети переменной длины могут быть связаны с каждым пунктом назначения, что позволяет увеличить количество хостов или подсетей, которые возможны в вашей сети.
  • Таблица маршрутизации может содержать информацию об IP-адресе маршрутизатора, который следует использовать для достижения каждого пункта назначения. Это помогает предотвратить пересылку пакетов через дополнительные маршрутизаторы в системе.
  • Многоадресные пакеты взаимодействуют только с маршрутизаторами RIP v2 и используются для снижения нагрузки на узлы, которые не прослушивают пакеты RIP v2. Многоадресный IP-адрес для пакетов RIP v2 — 224.0.0.9. Примечание. Тихие узлы RIP также должны прослушивать многоадресный трафик, отправляемый на адрес 224.0.0.9. Если вы используете Silent RIP, убедитесь, что ваши узлы Silent RIP могут прослушивать многоадресные объявления RIP v2, прежде чем развертывать многоадресный RIP v2.

RIPv2 поддерживает многоадресную рассылку для обновления таблиц маршрутизации. RIPv1 не поддерживает эту функцию. Маршрутизаторы RIPv1 не могут обмениваться данными с маршрутизаторами RIPv2, использующими многоадресную рассылку для обновлений.

Сначала открыть кратчайший путь (OSPF)

Для небольших или средних сетей распределение данных по сети и ведение таблицы маршрутов на каждом маршрутизаторе не является проблемой. Когда сеть разрастается до размеров, включающих сотни маршрутизаторов, таблица маршрутизации может быть довольно большой (несколько мегабайт), а расчет маршрутов требует значительного времени по мере увеличения или уменьшения количества интерфейсов маршрутизатора.

Некоторые протоколы, такие как Сначала открывайте кратчайший путь (OSPF), позволяют объединять области (группы смежных сетей) в автономную систему (AS). Области, составляющие автономные области, обычно соответствуют административному домену, такому как отдел, здание или географический объект. AS может быть отдельной сетью или группой сетей, которыми владеет и управляет общий сетевой администратор или группа администраторов.

OSPF – это протокол маршрутизации на основе состояния канала, используемый в сетях среднего и крупного размера, который вычисляет записи таблицы маршрутизации путем построения дерева кратчайших путей. OSPF предназначен для крупных объединенных сетей (особенно тех, которые охватывают более 15 переходов маршрутизатора).Недостатком OSPF является то, что его обычно сложнее настроить и требуется определенное планирование.

Компонент протокола маршрутизации Open Shortest Path First (OSPF) в службе маршрутизации и удаленного доступа был удален из Windows Server 2008.

В этом уроке из Учебного комплекта для самостоятельного обучения MCTS (экзамен 70-642): Настройка сетевой инфраструктуры Windows Server 2008, 2-е издание описано, как спланировать и внедрить брандмауэр Windows и NAP с помощью Windows Server 2008 R2. .

Сети по своей природе могут позволить исправным компьютерам обмениваться данными с неработоспособными компьютерами и вредоносными инструментами для атаки на законные приложения. Это может привести к дорогостоящим нарушениям безопасности, например к червю, который быстро распространяется по внутренней сети, или к изощренному злоумышленнику, который крадет конфиденциальные данные по сети.

Windows Server 2008 R2 поддерживает две технологии, полезные для повышения сетевой безопасности: брандмауэр Windows и защиту доступа к сети (NAP). Брандмауэр Windows может фильтровать входящий и исходящий трафик, используя сложные критерии, чтобы различать законные и потенциально вредоносные сообщения. NAP требует, чтобы компьютеры прошли проверку работоспособности, прежде чем разрешать неограниченный доступ к вашей сети, и облегчает решение проблем с компьютерами, которые не соответствуют требованиям к работоспособности.

В этом уроке описывается, как спланировать и внедрить брандмауэр Windows и NAP с помощью Windows Server 2008 R2.

Цели экзамена в этой главе:

Настройте брандмауэр Windows в режиме повышенной безопасности.

Настроить защиту доступа к сети (NAP).

Уроки этой главы:

Урок 1. Настройка брандмауэра Windows

Урок 2. Настройка защиты доступа к сети

Прежде чем начать

Чтобы выполнить уроки в этой главе, вы должны быть знакомы с сетью Windows и уметь выполнять следующие задачи:

Добавление ролей на компьютер под управлением Windows Server 2008 R2

Настройка контроллеров домена Active Directory и присоединение компьютеров к домену

Настройка базовой сети, включая настройку параметров IP

Вам также потребуется следующее непроизводственное оборудование, подключенное к тестовым сетям:

Компьютер с именем Dcsrv1, который является контроллером домена в домене Nwtraders.msft. Этот компьютер должен иметь хотя бы один сетевой интерфейс, который можно подключить к Интернету или частной сети.

ПРИМЕЧАНИЕ. Имена компьютеров и доменов

Используемые вами имена компьютеров и доменов не повлияют на эти упражнения. Однако в этой главе для простоты используются имена этих компьютеров.

Компьютер с именем Hartford, работающий под управлением Windows 7 Professional, Enterprise или Ultimate и являющийся членом домена Nwtraders.msft. Вы должны использовать Windows 7, так как Windows Server 2008 R2 не поддерживает средство проверки работоспособности Windows Security.

Вместо абсолютных значений безопасность можно измерять только степенью риска. Хотя NAP не может помешать решительному и опытному злоумышленнику подключиться к вашей сети, NAP может повысить безопасность вашей сети, помогая поддерживать компьютеры в актуальном состоянии и предотвращая случайное подключение законных пользователей к вашей внутренней сети без соблюдения ваших требований безопасности.< /p>

При оценке NAP как способа защиты от злоумышленников помните, что NAP доверяет агенту работоспособности системы (SHA) отчет о работоспособности клиента. SHA также работает на клиентском компьютере. Так что это немного похоже на то, как служба безопасности аэропорта просто спрашивает людей, есть ли у них какие-либо запрещенные вещества — люди без каких-либо злонамеренных намерений с радостью добровольно отдадут все, что они случайно принесли. Люди со злым умыслом будут просто лгать.

Это совсем не так просто, как просто солгать, потому что SHA подписывает Заявление о состоянии здоровья (SoH), чтобы подтвердить подлинность отчета о состоянии здоровья. Дополнительные меры безопасности, такие как требование безопасности подключения IPsec, могут помочь еще больше уменьшить возможности для злоумышленников. Тем не менее, потратив некоторое время и усилия, вполне возможно, что кто-то создаст вредоносный SHA, который выдает себя за законный SHA.

Блог The Security Skeptic посвящен всем вопросам, связанным с интернет-безопасностью, от доменных имен (DNS), брандмауэров и сетевой безопасности до фишинга, вредоносного ПО и социальной инженерии.

Рекомендации по использованию брандмауэра — фильтрация исходящего трафика

Слишком многие сетевые администраторы при оценке угроз безопасности думают только о защите своих частных сетевых ресурсов от внешних атак. Сегодняшний ландшафт изобилует угрозами, которые исходят от конечных точек, зараженных вредоносным ПО. Злоумышленники могут использовать их для сбора и пересылки конфиденциальной информации из вашей сети, а также для атаки или рассылки спама в другие сети.Большие и малые компании лучше обслуживаются, когда сетевые администраторы одинаково обеспокоены угрозами, связанными с исходящими соединениями. В этой колонке я обсуждаю, как организации могут улучшить свой профиль рисков и стать более активными пользователями сети, внедрив фильтрацию исходящего трафика.

Если вы не ограничите службы, к которым могут получить доступ хосты в ваших внутренних сетях, вредоносное ПО неизбежно проникнет на некоторые из ваших хостов и может передать данные в место, контролируемое злоумышленником. Эксфильтрация данных также может быть непреднамеренной, т. е. инсайдер может неправильно прикрепить конфиденциальную информацию к сообщению электронной почты, чтобы загрузить его в службу обмена документами. К сожалению, эксфильтрация данных часто является результатом ошибки конфигурации: неверно настроенный трафик NetBIOS, DNS или другой службы может утечь из ваших надежных сетей и быть перехваченным или использованным третьими лицами.

Независимо от причины, эксфильтрация данных — это угроза, которую вы не можете уменьшить без принудительного контроля исходящего трафика, и которую вы не можете легко обнаружить, если не регистрируете и не отслеживаете поведение трафика, связанного с разрешенными и запрещенными службами.

В самых нестрогих конфигурациях — и, к сожалению, во многих конфигурациях по умолчанию — брандмауэр или маршрутизатор могут обрабатывать и перенаправлять трафик, который он получает с любого исходного адреса, как допустимый. Фред Аволио называет это «Гнусным Any». Такие конфигурации являются зеленым полем для атак с использованием поддельных исходных IP-адресов (IP-спуфинг). Скомпрометированные или неавторизованные хосты, которые получают доступ к вашим локальным сетям, часто используют спуфинг IP-адресов для атак (DDoS) на другие сети, для хранения жестокого обращения с детьми или других незаконных материалов, а также для проведения спамовых или фишинговых кампаний. Это достаточно проблематично в средах NAT: в плохо реализованных конфигурациях маршрутизатора, особенно при наличии нескольких точек доступа к Интернету, ваша организация может непреднамеренно вести себя как транзитная сеть для поддельного злонамеренного трафика, исходящего от других организаций.

Скомпрометированные или несанкционированные системы могут играть роль в преступной деятельности и без использования поддельных адресов. Скомпрометированный сервер или пользовательское устройство в любой из ваших внутренних сетей (доверенной, демилитаризованной, гостевой) может использоваться для создания спама, размещения вредоносных программ или фишинговых сайтов. На скомпрометированном сервере DNS-имен могут размещаться данные зоны для вредоносного домена. Неправильно настроенный преобразователь DNS или, возможно, любая используемая вами служба на основе UDP (зарядка, NTP) могут поддерживать преступный сговор!

Фильтрация исходящего трафика может помочь предотвратить утечку данных из ваших сетевых активов, а также защитить мир от вашей сети.

Мотивированы? Хорошо. Начните с ознакомления с Политикой безопасности вашей компании и/или Политикой допустимого использования (AUP). Если у вас нет таких политик, соберите заинтересованные стороны и определите их. Включите в качестве заинтересованных лиц лиц, которые несут ответственность не только за реализацию сетевой безопасности вашей компании, но и тех лиц, которые участвуют в управлении рисками и их снижении. Без четко определенных понятий сетевой безопасности и строгой политики приложений и трафика, которую вы намерены применять, конфигурация вашего брандмауэра в конечном итоге будет не более чем случайным и хлопотным списком исходящих правил для удовлетворения предполагаемых потребностей пользователей, а не хорошо продуманная политика, направленная на защиту ресурсов компании.

Если ваша организация поддерживает такие службы, как электронная почта и DNS, со своих внутренних серверов, составьте список этих служб и хостов служб (доменные имена и IP-адреса). Перечислите все интернет-серверы, с которыми они должны взаимодействовать. Если, например, вы используете разделенную DNS, то включите все общедоступные серверы, с которыми ваш DNS-сервер связывается для передачи зон, использует их в качестве распознавателей и т. д. Если вы используете SMTP, включите все почтовые серверы, с которыми вы обмениваетесь почтой напрямую (обычно это почтовые хосты). Если вы собираетесь внедрить контроль выхода контента через прокси-сервер или брандмауэр, перечислите типы контента, которые вы разрешаете или запрещаете. Многие также считают необходимым определить наборы разрешений для групп пользователей, если ваш контроль выхода контента не является политикой «одна перчатка подходит всем».

Примите тот факт, что конфигурация вашего брандмауэра будет отклоняться от идеальной политики принудительного применения, которую вы разработаете после выполнения этого упражнения. Такие отклонения или исключения могут быть необходимы для согласования со высшим руководством, деловыми отношениями или иногда из-за отсутствия лучшего или более безопасного пути к завершению важного проекта. Оцените риск каждого отклонения, обратите внимание на риски безопасности, связанные с любыми изменениями, которые вам необходимо внести в политику исходящего трафика брандмауэра, и подумайте, как вы можете компенсировать это, внедрив дополнительные меры безопасности.

Лучший способ настроить политики фильтрации исходящего трафика — начать с политики исходящего трафика DENY ALL, фильтра пакетов или правила брандмауэра. Это создает базовый уровень безопасности «ничего не покидает мою сеть без явного разрешения».Затем добавьте правила, разрешающие авторизованный доступ к внешним службам, указанным в вашей политике принудительного использования исходящего трафика. Добавьте детализированные ограничительные правила, чтобы разрешить администраторам доступ к сети и системам безопасности за пределами вашего брандмауэра. И наконец, добавьте правила, позволяющие серверам, которыми вы управляете из доверенной сети, взаимодействовать с серверами, размещенными в Интернете.

Давайте подробно рассмотрим каждую из этих общих политик.

Во многих брандмауэрах политика исходящего трафика по умолчанию для доверенных сетей разрешает любой адрес источника в исходящих пакетах: буквально, если адрес источника синтаксически верен, ваш брандмауэр перенаправит его. Это чрезмерно допустимо для любой сети, большой или маленькой. Обрежьте это. Перечислите номера IP-подсетей или отдельные IP-адреса хостов, которым разрешено (доверено) использовать внешние службы.

Ограничьте адреса, которым разрешено отправлять трафик в пункты назначения в Интернете, настроив следующие политики:

    Блокировать спуфинг IP. Разрешайте только исходные адреса из номеров IP-сетей, которые вы назначаете внутренним сетям, для прохождения через ваш брандмауэр (доверенный, DMZ, гостевой). Сюда входят основные и дополнительные сетевые номера, а также подсети, которые направляются в Интернет через брандмауэр (включая адреса, зарезервированные для VPN-клиентов).

Гнусный ANY снова появляется в политике исходящего трафика брандмауэров по умолчанию, которая разрешает узлам во внутренних сетях получать доступ к любой службе (порту) на узлах в Интернете, если разрешена переадресация к месту назначения.

Ограничьте порты назначения для интернет-трафика следующими способами:

    Разрешайте исходящие подключения только к тем службам, которые разрешены вашей политикой ограничения исходящего трафика.

Тестирование и мониторинг политик исходящего трафика

Тестирование конфигурации брандмауэра остается приобретенным навыком, эффективно выполняемым экспертами по брандмауэрам, аудиторами или специалистами по безопасности, обладающими этим специальным опытом. Поскольку многие политики обработки исходящего трафика будут зависеть от исходного адреса, вы можете добиться некоторой уверенности в том, что ваша конфигурация удовлетворяет вашим политикам, путем интенсивного ведения журнала, запуска инструментов сканирования адресов и портов и подтверждения того, что ваши результаты разрешения/запрета соответствуют вашим ожиданиям. Тщательное ведение журнала отклоненных исходящих подключений может помочь выявить нарушителей, которые либо не знают, либо игнорируют ваш AUP, а также обеспечить раннее предупреждение о заражении. По возможности заставляйте потенциально опасные отклоненные исходящие пакеты инициировать уведомление для дальнейшего расследования. Рассмотрите также такие инструменты, как ftester (теперь устаревший, но все еще доступный), NMAP, Nessus или некоторые из коммерческих программ, перечисленных в Security Wizardry, если вы ищете автоматизированные альтернативы.

Когда мы впервые написали эту статью вместе с Натаном Баффом в 2003 году, мы пришли к выводу, что настройка политик исходящего трафика, по общему признанию, занимает больше времени, чем нет, и что ваша организация должна правильно оценить, соответствуют ли затраченное время и улучшенный профиль риска при принятии эта инициатива оправдана. Возможно, это была слишком мягкая реклама. События последних 18 месяцев (2013-2014 гг.) свидетельствуют о том, что мотивы для эксфильтрации данных будут только возрастать. Теперь я считаю, что правительства и частные организации близки к переломному моменту и больше не желают пассивно мириться с текущим состоянием угрозы, а теперь активно изучают способы уменьшения вреда, причиняемого небрежными методами безопасности других. Соблюдение нормативных требований или боязнь быть обвиненными в соучастии в преступных действиях или ответственность за финансовые потери могут стать лишь небольшим вопросом времени, когда многие организации примут решение о внедрении строгих политик в отношении исходящего трафика.

Используйте время с умом.

Оригинальную (2003 г.) версию этой статьи можно найти здесь.

Комментарии

Вы можете следить за этой беседой, подписавшись на ленту комментариев к этому сообщению.

Брандмауэр является важной частью вашей сетевой безопасности, но только в том случае, если он правильно настроен. Одна из областей, которую люди часто упускают из виду и неправильно настраивают, — это выходной фильтр.

Фильтрация исходящего трафика контролирует трафик, который пытается покинуть сеть. Прежде чем разрешить исходящее соединение, оно должно пройти правила фильтра (т. е. политики). Эти правила устанавливаются администратором.

Почти каждый брандмауэр UTM обеспечивает фильтрацию исходящего трафика (также известную как исходящая фильтрация). Однако он никогда не включается по умолчанию. Стандартная настройка обычно позволяет любому компьютеру в сети подключаться к любому хосту через любой порт.

Поскольку по умолчанию она отключена, многие малые и средние организации никогда не используют фильтрацию исходящего трафика. Но если вы серьезно относитесь к безопасности, то это абсолютно необходимо.

Почему следует использовать фильтрацию исходящего трафика?

Фильтрация исходящего трафика очень важна. Он предотвращает исходящие подключения к опасным и нежелательным хостам. Он не решит всех ваших потребностей в безопасности, но есть много причин для его использования:

Деактивировать вредоносное ПО

Если компьютер в вашей сети заражен вредоносным ПО, выходной фильтр может помешать ему подключиться к командному серверу вредоносного ПО. И если вредоносная программа попытается экспортировать данные машины, выходной фильтр может помешать ей подключиться к месту назначения.

Блокировать нежелательные службы

Допустим, пользователям не разрешено выходить в Интернет или общаться с друзьями в Skype. Выходной фильтр может блокировать порты и протоколы, используемые для этих служб, чтобы пользователи не могли получить к ним доступ. Он также может ограничить блокировку только определенными исходными IP-адресами или диапазонами IP-адресов.

Не участвуйте в атаках

Фильтрация исходящего трафика полезна и для более широкого круга пользователей. Блокируя определенные типы трафика, он предотвращает использование ваших компьютеров для DDoS-атак, размещения вредоносного ПО, рассылки спама и создания бот-сетей.

Больше информации о сетевом трафике

Использование выходного фильтра позволит вам больше узнать о несанкционированной активности в сети.

Например, фильтр в AccessEnforcer предоставит вам ценную информацию журнала в разделе «Сетевые оповещения». Если компьютер попытается выполнить несанкционированное подключение, в журналах появятся предупреждения, и вы будете знать, что нужно предпринять дальнейшие действия, чтобы найти причину.

Где использовать выходной фильтр

Лучшее место для развертывания исходящей фильтрации — на границе сети. Обычно именно здесь размещается брандмауэр UTM, такой как AccessEnorcer, что делает его идеальным выбором для этой задачи.

Чтобы покинуть сеть, все в сети должно пройти через брандмауэр. Единственным аппаратным обеспечением за пределами фильтра является модем.

Существует два подхода к исходящей фильтрации: по умолчанию-разрешить и по умолчанию-запретить.

Политика разрешения по умолчанию

Это самый простой тип выходного фильтра. Весь исходящий трафик разрешен, если в политике не указано, что он запрещен.

Этот подход похож на игру в сетевую игру "Ударь крота". Администратор должен разрешить весь трафик, найти плохой трафик и удалить его.

Как правило, политики создаются для блокировки трафика, использующего протоколы и порты назначения, которые не нужны или часто используются не по назначению.

Например, Институт SANS рекомендует блокировать исходящий трафик, использующий следующие порты:

  • MS RPC — порт TCP и UDP 135
  • NetBIOS/IP — порты TCP и UDP 137–139
  • SMB/IP — TCP-порт 445
  • Упрощенный протокол передачи файлов (TFTP) — UDP-порт 69
  • Системный журнал — UDP-порт 514
  • Простой протокол управления сетью (SNMP) — порты UDP 161–162
  • Интернет-релейный чат (IRC) – TCP-порты 6660–6669

Этот список является лишь отправной точкой. Осталось много кротов, которых нужно прибить. Например, если организации не нужен FTP, то можно заблокировать и TCP-порт 21.

Политики исходящего трафика также могут препятствовать установлению исходящих подключений с определенных исходных IP-адресов. Это может быть полезно для блокировки терминалов, которые используются для обработки платежей и должны соответствовать стандарту PCI DSS.

Отклоняющий по умолчанию исходящий фильтр обычно более безопасен (при условии, что он правильно настроен). Он блокирует все типы исходящего трафика, если в политике не указано, что он разрешен.

К сожалению, многие небольшие организации не используют запрет по умолчанию, даже если это отвечает их интересам безопасности. Это связано с тем, что отказ по умолчанию может быть разрушительным.

При запрете по умолчанию каждое приложение, использующее Интернет, например электронная почта, мгновенные сообщения и веб-браузеры, должно иметь политику, разрешающую пропускать трафик. Проблема в том, что большинство небольших организаций не знают всего спектра систем и приложений, которые они используют, поэтому они не знают, какие типы трафика следует пропускать.

Сетевые администраторы знают, что им потребуются политики для пропуска распространенных типов трафика, таких как:

Но есть много других типов исходящего трафика, которые нужны бизнесу для нормального функционирования, и большинство администраторов не знают их навскидку.

Вместо того, чтобы бить крота по сети, им приходится искать иголки в стоге сена сети. Часто они будут:

  1. Включите исходящий фильтр по умолчанию.
  2. Узнайте, какие приложения перестают работать
  3. Просмотрите сетевые журналы, чтобы обнаружить связанный трафик.
  4. Создайте новую политику, чтобы разрешить трафик.

Кроме того, если на компьютере развернуто новое приложение, администратору, скорее всего, придется создать новую политику фильтрации исходящего трафика, чтобы предоставить ему доступ к Интернету.

Многие организации не хотят заморачиваться установкой запрета по умолчанию, поэтому используйте разрешение по умолчанию, хотя это и менее безопасно.

Запрет фильтрации по IP-адресу

При запрете по умолчанию вы также можете разрешить определенным IP-адресам и диапазонам устанавливать исходящие соединения, а также управлять службами, которые им разрешено использовать.

Еще хорошие идеи:

  • Ограничьте исходящий трафик источниками, находящимися в IP-подсети вашей сети. Это поможет предотвратить атаки с подделкой IP-адресов.
  • Если вы используете стороннюю службу электронной почты, ограничьте SMTP- и POP-соединения со сторонними серверами.
  • Если вы используете внутренний почтовый сервер, разрешите исходящие SMTP-подключения только этому серверу.
  • Ограничьте DNS-запросы известными и надежными DNS-серверами

Таким образом, если компьютер будет заражен, он не сможет напрямую подключиться к Интернету.

Баланс безопасности и удобства

Процесс выявления и разрешения легитимного трафика выходит за рамки некоторых компаний. Как и все в безопасности, это баланс удобства и безопасности. Политика разрешения по умолчанию может с меньшей вероятностью прерывать обычные бизнес-операции, но она также менее безопасна.

Эффективную фильтрацию исходящего трафика реализовать непросто, но она того стоит. И это может стать более распространенным в будущем. Например, этого требует стандарт PCI DSS, и этому могут последовать другие отраслевые нормы.

Фильтрация исходящего трафика и даже запрет по умолчанию отвечают интересам безопасности организации, даже если иногда они неудобны.

Читайте также: