Вивчаючи брандмауер Windows

Клієнтські брандмауери і "театр безпеки"
Мережеві профілі
Управління вихідними підключеннями
Захистіть свій комп'ютер

Якщо ви працюєте в операційній системі Windows XP або вже перейшли на Windows Vista, брандмауер Windows доступний всім вашим клієнтам і забезпечить захист, яка необхідна для поліпшення безпеки в межах організації - навіть якщо ваші мобільні співробітники знаходяться за тисячі кілометрів від офісу.

У давні часи, в палеокомпьютерную еру ніхто не замислювався про встановлення брандмауера на кожен окремий комп'ютер. Та й навіщо? Тоді навряд чи хто-небудь чув про Інтернет, ніхто не знав про TCP / IP, а маршрути протоколів локальний мереж не виходили за межі будівлі або за територію підприємства. Важливі дані зберігалися на мейнфрейми або файлових серверах - інформація, яку люди тримали на своїх настільних комп'ютерах, була не особливо важливою, а власна вага комп'ютера забезпечував чималу ступінь фізичної безпеки. Якщо було підключення до Інтернету, використовувалося кілька перетворювачів протоколів і маршрутизатор з фільтрацією пакетів (я маю на увазі "брандмауер") на кордоні мережі, який, швидше за все, вимагав налаштування величезного числа правил і винятків.
Сучасні комп'ютерні середовища значно відрізняються від таких древніх. Все навколо підключено до Інтернету (і використовує протокол TCP / IP), а мобільні пристрої - просто буденність. Роботодавець забезпечує вас переносним комп'ютером не тому, що піклується про вас - він піклується про те, щоб отримати від вас більше користі. Він хоче, щоб ви працювали завжди, коли у вас з'явиться п'ять вільних хвилин і підключення по Wi-Fi. Переносні комп'ютери коштують дорожче, ніж настільні, але це повністю окупається продуктивністю. Як ви розумієте, саме мобільність робить їх такими привабливими для вас і ваших конкурентів.
Задамося таким питанням: який відсоток від загальної кількості часу, протягом якого ваш комп'ютер підключено до будь-якої мережі, становить час підключення до вашої корпоративної мережі? Якщо ви працюєте в режимі, схожому на мій, то не більше 20 відсотків. Це означає, що тільки 20 відсотків часу мій переносний комп'ютер знаходиться в безпеці в межах корпоративної мережі корпорації Майкрософт, захищений від зовнішніх атак механізмами демілітаризованої зони.Но як же бути з тими 80 відсотками часу, коли мій переносний комп'ютер з різними цілями підключається безпосередньо до Інтернету ? (А я дуже часто підключаюся до найнебезпечнішим мереж в світі: до ЛВС готелю під час конференції з комп'ютерної безпеки!) Та й при підключенні до корпоративної мережі - як щодо загроз, що виходять від інших комп'ютерів в цьому середовищі?
Засоби безпеки розробляються після, а іноді значно пізніше, появи загроз. Віруси були клієнтської проблемою, тому що люди широко використовували дискети, і тому перша антивірусна програма з'явилася на клієнтському комп'ютері. Пізніше, коли з ростом популярності електронної пошти шкідливі програми перетворилися в мережевих черв'яків, які поширювалися по ній, програми захисту від шкідливого ПО також еволюціонували, і з'явилися шлюзи електронної пошти. З розвитком Інтернету до шкідливих програм додалися трояни, і слідом за цим антивірусне програмне забезпечення перемістилося на проксі-сервери доступу в Інтернет. Це широко відомий еволюційний шлях, який ніхто не ставить під сумнів.
А тепер давайте застосуємо ту ж логіку до брандмауерів. Для захисту від комп'ютерних загроз вчорашнього дня брандмауера на кордоні мережі вистачало. Тепер його недостатньо, тому що загрози більш численною, складніше і все швидше поширюються. При цьому ми ще не торкаємося того, що обладнання і способи роботи значно відрізняються від використовуваних в минулому. Багато комп'ютерів містять секретну інформацію, збережену локально, і вони можуть тривалий час перебувати далеко від корпоративної мережі (тобто за кордоном мережі). Тому брандмауера судилося стати захисним механізмом кожного окремого клієнта. Для клієнтів брандмауери більше не є необов'язковими. Не робіть цієї помилки: не нехтуйте ними. Для захисту комп'ютера від вашої власної корпоративної мережі і від Інтернету клієнтські брандмауери життєво важливі.

Клієнтські брандмауери і "театр безпеки"

Багато людей не знали про те, що перший випуск Windows® XP містив клієнтський брандмауер. Це й не дивно, так як за замовчуванням брандмауер був вимкнений, а включити його можна було, зробивши досить багато кліків мишкою. Брандмауер просто з'явився, причому досить приховано, при цьому не наполягаючи на своєму використанні і не даючи посібників по застосуванню. Але він дійсно працював. Якби ви включили цей брандмауер, то він захистив би вас від вірусів Nimda, Slammer, Blaster, Sasser, Zotob і будь-яких інших спроб передати непрошений трафік через порт вашої мережі. Розуміння важливості захисту клієнта, розробники пакету оновлень 2 (SP2) для Windows XP включили брандмауер за замовчуванням, створили два профілі (Інтернет і корпоративна мережа) і інтегрували його з груповими політиками.
На жаль, два фактора забарилися сприйняття брандмауера Windows XP SP2: проблеми з додатками і "театр безпеки". Багато боялися, що брандмауер завадить правильній роботі їх додатків. Таке, однак, траплялося нечасто, що пояснюється принципом роботи брандмауера. Він дозволяв будь-кому вихідного трафіку покинути комп'ютер, але при цьому блокував весь вхідний трафік, який не був відповіддю на деякий попередній вихідний запит. Єдиний випадок, коли така схема порушувала роботу клієнтського додатку, - якщо воно створювало прослуховує сокет і чекало отримання вхідних запитів. Брандмауер Windows XP забезпечував прості настройки винятків для програм або портів (але, на жаль, не за допомогою групової політики).
Великою перешкодою був "театр безпеки", що влаштовується виробниками інших клієнтських брандмауерів. Деякі люди вважали, що принципу роботи брандмауера Windows XP, а саме дозволу вихідного трафіку безперешкодно залишати комп'ютер, для повнофункціональної роботи клієнтського брандмауера недостатньо. Аргументом було те, що клієнтський брандмауер повинен затримувати весь трафік, вхідний і вихідний, до тих пір, поки користувач не дасть явного дозволу.

Давайте розберемося. Тут виникають два сценарії.

Якщо ви працюєте з правами локального адміністратора, і ваш комп'ютер заражений шкідливою програмою, то вона просто відключить брандмауер. Ви програли.
Якщо ви не працюєте як локальний адміністратор, і ваш комп'ютер заразився шкідливою програмою, то ця програма змусить брандмауер стороннього виробника відкрити діалогове вікно, яке містить іноземний текст (там щось про порти і IP-адреси) і задає дуже серйозне питання: "Ви дозволяєте це зробити? ". Єдиною відповіддю, звичайно, буде "Так, так, так, тупий комп'ютер, а Свій мене діставати!" І як тільки цей діалог зникне з екрану, зникне і ваша безпека. Або, що ще частіше трапляється, шкідлива програма просто потрапити в існуючий сеанс програми, дії якої вже схвалені, і ви навіть не побачите діалогове вікно. Ви знову програли.

Існує важливий постулат безпеки, який необхідно засвоїти: захист відноситься до ресурсу, який ви хочете захистити, а не до того, від чого ви захищаєтеся. Правильний підхід - це запустити простий, але ефективний брандмауер Windows на кожному комп'ютері вашої організації для захисту кожного комп'ютера від інших комп'ютерів по всьому світу. Якщо ви намагаєтеся заблокувати вихідні підключення від комп'ютера, безпеку якого вже порушена, то як ви можете бути впевнені, що комп'ютер робить те, що ви просите? Відповідь проста: ніяк. Вихідна захист - це "театр безпеки", це виверт, яка тільки створює враження поліпшення безпеки, при цьому не роблячи нічого для дійсного її поліпшення. Ось чому виходить захисту не було в брандмауері Windows XP і ось чому її немає і в брандмауері Windows Vista ™. (Далі я ще зупинюся на управлінні вихідний трафік в Windows Vista.)

Що нового в Windows Vista?

Основою для брандмауера Windows Vista є платформа фільтрації Windows, частина нового мережевого стека. Як і Windows XP, Windows Vista за замовчуванням блокує вхідний трафік. Залежно від того, який профіль використовується на комп'ютері, застосовується кілька стандартних винятків для мережевих служб (про профілі я розповім далі). При бажанні можна написати правила, які дозволяють підключення до вашого комп'ютера. Так само, як і Windows XP, Windows Vista за замовчуванням пропускає весь вихідний трафік інтерактивних процесів, але обмежує вихідний трафік служб, який визначений в обмеженнях служб. І, знову ж таки, можна написати правила для блокування додаткових вихідних підключень.
Серйозною відмінністю Windows Vista від Windows XP є новий інтерфейс підвищеної безпеки і повна підтримка групових політик в області налаштувань і правил (див. Рис. 1). Стара панель управління в інтерфейсі користувача залишилася практично без змін, тільки настройки журналу і протоколу ICMP перемістилися в новий інтерфейс. Цей новий інтерфейс користувача, оснащення MMC "Підвищена безпека", забезпечує нові можливості і гнучкість. Є також новий контекст netsh advfirewall в команді netsh, за допомогою якого можна запускати сценарії додавання і видалення правил, налаштовувати і показувати глобальні і профільні політики і переглядати стан активності брандмауера. Для вас, розробники: файли FirewallAPI.dll і Netfw.h забезпечують програмне керування всіма параметрами брандмауера.

Рис. 1 Брандмауер Windows в режимі підвищеної безпеки (Клацніть зображення, щоб зменшити його)

Управління в оснащенні MMC "Підвищена безпека" здійснюється за допомогою майстра. При створенні правила ви можете вибрати один з чотирьох типів: для програми, для порту, зумовлене або призначене для користувача. Пояснення см. На рис2.

При написанні правил можна використовувати безліч елементів - всі вони доступні для локальних правил і правил, що застосовуються за допомогою групової політики. В їх число входять: облікові записи і групи користувачів і комп'ютерів служби Active Directory®, вихідні та кінцеві IP-адреси, вихідні та кінцеві порти TCP і UDP, номери протоколів IP, програми та служби, типи інтерфейсів (провідний, бездротової або віддалений доступ) і типи та коди ICMP.

Будучи налаштованим, брандмауер обробляє правила в наступному порядку.

Обмеження служб Деякі служби в Windows Vista обмежують себе для зниження ймовірності нової атаки типу Blaster. Одне з обмежень - це список портів, які необхідні даної службі. Брандмауер стежить за цим і забороняє використання (або вказівка використовувати) цією службою іншого порту.

Правила безпеки підключення Оснащення MMC "Підвищена безпека" поряд з підтримкою брандмауера відповідає і за роботу протоколу IPsec. Будь-які правила, які включають політики IPsec, виконуються в другу чергу.

Обхід перевірки автентичності Це дозволяє певним комп'ютерам, які пройшли перевірку автентичності, обійти інші правила.

Блокуючі правила Ці правила явно блокують певний вхідний і вихідний трафік.

Дозволяють правила Ці правила явно дозволяють певний вхідний і вихідний трафік.

Правила брандмауера зберігаються в реєстрі, але де саме, я не скажу. Ну ... ладно, ви знайдете їх тут:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Defaults \ FirewallPolicy \ FirewallRule
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Parameters \ FirewallPolicy \ FirewallRules
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Parameters \ FirewallPolicy \ RestrictedServices \ Static \ System

Але тільки не редагуйте ці правила прямо в реєстрі. Інакше ми знайдемо вас, викрадемо вашого домашнього улюбленця і продамо на eBay! Ну, може, до цього і не дійде, але єдиний підтримуваний спосіб редагувати правила - це використовувати MMC режиму підвищеної безпеки.

Мережеві профілі

У Windows Vista визначено три мережевих профілю: доменний, приватний і загальний. Якщо комп'ютер належить домену, і вхід в домен успішно виконаний, автоматично застосовується профіль домену - самостійно зробити цей вибір ви не можете. При підключенні комп'ютера до внутрішньої мережі, в якій немає домену (наприклад до домашньої мережі або мережі в невеликому офісі), ви (або адміністратор) повинні застосувати приватний профіль. Нарешті, коли комп'ютер підключений безпосередньо до Інтернету, слід застосувати загальний профіль.

Як Windows Vista визначає, куди помістити ваш комп'ютер? Якщо відбувається зміна мережі (отримано новий IP-адреса, виявлений новий шлюз, який застосовується за умовчанням, або отримано новий інтерфейс), служба мережевого розташування (NLA) виявляє це зміна. Вона створює мережевий профіль, який включає інформацію про існуючі інтерфейси, про те, чи пройшов комп'ютер перевірку справжності при підключенні до контролера домену, MAC-адресу шлюзу і т.д., і привласнює цим профілем GUID. Потім NLA повідомляє брандмауер, і той застосовує відповідну політику (для кожного з трьох існуючих профілів визначена своя політика).

Якщо інтерфейс новий і комп'ютер раніше з ним не стикався, а служба NLA не вибрала профіль домену, ви побачите діалогове вікно, в якому вас попросять вказати тип мережі, до якої ви підключаєтеся. Як не дивно, варіантів три: домашня, робоча і публічна. Ви можете подумати, що "робоча" означає профіль домену, але насправді це не одне і те ж. Пам'ятайте, що профіль домену ви не побачите, так як при підключенні комп'ютера до домену служба NLA вибирає його автоматично. Насправді обидва варіанти - "домашня" і "робоча" - відносяться до приватного профілем. Функціонально вони однакові - відрізняються тільки значки. (Примітка. Щоб вибрати приватний профіль, ви повинні бути локальним адміністратором або мати можливість підвищити права до локального адміністратора.) Як і слід було очікувати, "публічна" відноситься до загального профілю.

У Windows Vista мережевий профіль застосовується до всіх інтерфейсів комп'ютера. Ось короткий опис алгоритму дерева рішень служби NLA.

Дослідити всі підключені мережі.
Чи є інтерфейс, підключений до мережі, визначеної як публічна? Якщо так, налаштувати профіль комп'ютера як загальний і вийти.
Чи є інтерфейс, підключений до мережі, визначеної як приватна? Якщо так, налаштувати профіль комп'ютера як приватний і вийти.
Чи всі інтерфейси бачать контролер домену і виконав комп'ютер успішний вхід в нього? Якщо так, налаштувати профіль комп'ютера як доменний і вийти.
Інакше налаштувати профіль комп'ютера як загальний.

Метою є вибір якомога більше обмежує профілю. Однак тут є два очевидних побічних ефекту. По-перше, якщо порт Ethernet вашого комп'ютера підключений до вашої корпоративної мережі, а його адаптер бездротового зв'язку підключений до мережі кафе Starbucks поверхом нижче, комп'ютер вибере загальний профіль, а не профіль домену. По-друге, якщо ваш комп'ютер підключений прямо до Інтернету (загалом профілі) або підключений до вашої домашньої ЛВС (в приватному профілі), і ви встановлюєте VPN-підключення до корпоративної мережі, ваш комп'ютер залишається в загальному або приватному профілі.

Що це може означати? Політика брандмауера для профілю домену включає правила для віддаленої підтримки, віддаленого адміністрування, загального доступу до файлів і принтера і т.д. Якщо ви використовуєте ці правила, щоб віддалено підключитися до клієнта, у вас нічого не вийде, якщо клієнт вибрав будь-якої іншої профіль. Але не турбуйтеся - можна написати правила брандмауера, які дозволяють необхідні вам вхідні підключення, а потім застосувати їх тільки до VPN-подключеніям.Теперь можна виконувати адміністрування ваших клієнтів за допомогою VPN, навіть якщо вони не використовують профіль домену.

Управління вихідними підключеннями

Раніше я згадував, що виходить захист в клієнтських брандмауерах - не більше ніж "театр безпеки". Однак один з видів управління вихідної захистом дуже корисний: це адміністративне управління певними типами трафіку, які ви напевне не хочете вирішувати. Брандмауер Windows Vista вже робить це для обмежень служб. Він дозволяє службі використовувати необхідні їй порти і блокує будь-які інші її дії. Можна створити додаткові правила, які будуть дозволяти або блокувати певний трафік відповідно політикою безпеки вашої організації (див. Рис. 3).

Рис. 3 Майстер створення правила для нового вхідного підключення (Клацніть зображення, щоб збільшити його)

Скажімо, ви раптом захотіли заборонити користувачам працювати з певним клієнтом миттєвої передачі повідомлень. Ви можете створити правило (звичайно, в груповій політиці) для блокування підключень цього клієнта до реєстраційних серверів.

Альо на шляху! Застосування такого підходу є Практичні обмеження. Наприклад, Windows Live ™ Messenger (який ви, можливо, все ще знаєте як MSN® Messenger) має безліч різних серверів, які можуть використовуватися для входу, і їх список постійно змінюється. Крім того, якщо буде використовуватися під порт 1863 / tcp заблокований, він переключиться на порт 80 / tcp. Правило для блокування підключення Windows Live Messenger до реєстраційних серверів буде занадто складним і схильним постійним коректуванням. Я навів цей приклад, щоб проілюструвати, що адміністративне управління вихідний трафік може бути корисним, але воно не замінює політик обмеженого використання програм, якщо необхідно дотримуватися строгий контроль програмного забезпечення, яке користувачам дозволено встановлювати і запускати.

Захистіть свій комп'ютер

Демілітаризованої зони більше немає. Тепер кожен комп'ютер повинен стежити за власною безпекою. Як програми захисту від шкідливого програмного забезпечення були перенесені з комп'ютера клієнта на кордон, так і брандмауери повинні бути переміщені з кордону на клієнтів. Ви можете зробити це миттєво, включивши брандмауер, який у вас вже встановлений.

Стів Райлі (Steve Riley), старший фахівець з розробки стратегій безпеки в групі корпорації Майкрософт з питань надійного використання комп'ютерної техніки і що пише редактор журналу TechNet Magazine. Він постійно літає по всьому світу, виступаючи на конференціях і допомагаючи замовникам в забезпеченні безпеки. Його остання книга - Protect Your Windows Network (Захист мережі Windows. Видавництво Addison-Wesley, 2005 р.) З ним можна зв'язатися за адресою [email protected] .
Та й навіщо?
Задамося таким питанням: який відсоток від загальної кількості часу, протягом якого ваш комп'ютер підключено до будь-якої мережі, становить час підключення до вашої корпоративної мережі?
Но як же бути з тими 80 відсотками часу, коли мій переносний комп'ютер з різними цілями підключається безпосередньо до Інтернету ?
Та й при підключенні до корпоративної мережі - як щодо загроз, що виходять від інших комп'ютерів в цьому середовищі?
Якщо ви намагаєтеся заблокувати вихідні підключення від комп'ютера, безпеку якого вже порушена, то як ви можете бути впевнені, що комп'ютер робить те, що ви просите?
Що нового в Windows Vista?
Як Windows Vista визначає, куди помістити ваш комп'ютер?
Чи є інтерфейс, підключений до мережі, визначеної як публічна?
Чи є інтерфейс, підключений до мережі, визначеної як приватна?