Брандмауер Windows Vista

  1. Що змінилося в Windows Firewall
  2. Нова оснащення MMC
  3. Блокування вхідних і вихідних підключень
  4. Доступ до нових можливостей брандмауера
  5. Навчання на прикладах
  6. Вихідні сполуки
  7. журнал
  8. Інтеграція з IPsec
  9. Інструмент той же, можливостей більше
Що змінилося в Windows Firewall

Сьогодні ж атаки все частіше зароджуються всередині самої організації. При цьому співробітникам компанії зовсім не обов'язково ставати хакерами; мова йде скоріше про інфікування (наприклад, через вкладення електронної пошти), здавалося б, надійних, які заслуговують на довіру комп'ютерів, підключених до локальної мережі. Хакери виявляють велику винахідливість, поєднуючи прийоми соціального інжинірингу та технологічні хитрощі, обманним шляхом змушуючи легковажних користувачів встановлювати шпигунське програмне забезпечення, «троянців» або «черв'яків». Досить один раз встановити таку руйнівну програму, і вона починає самостійно і дуже швидко поширюватися по всій мережі. Налаштувавши індивідуальний брандмауер на персональному комп'ютері, можна заблокувати невідомий або підозрілий трафік, спрямований в вашу сторону з боку комп'ютерів локальної мережі компанії.

До складу операційної системи Windows XP розробники Microsoft включили базовий брандмауер, спочатку отримав назву Internet Connection Firewall і недавно перейменований в Windows Firewall. Уже перша версія Windows Firewall дозволяла дуже багато зробити в плані захисту від злому, наприклад налаштовуватися як за допомогою Group Policy Object (GPO) так і з командного рядка. Однак можливостей захисту явно не вистачало в таких областях, як настройка правил доступу та фільтрація вихідного трафіку. Версія Windows Firewall, яка буде поставлятися разом з Windows Vista, дозволить накласти обмеження на використовувані служби і налаштувати безпечні зовнішні підключення. У цій статті читачам пропонується огляд основних поліпшень, виконаних Microsoft в Windows Firewall станом на лютий 2006 року у версії February 2006 Community Technology Preview (CTP) Windows Vista. Природно, деякі можливості продукту до моменту виходу готового релізу Vista можуть бути змінені.

Нова оснащення MMC

Windows Firewall бере «під своє крило» як персональні комп'ютери пересічних користувачів, так і робочі станції великих компаній, підтримуючи, з одного боку, централізоване адміністрування продукту і, з іншого, зберігши простоту його використання. На перший погляд можна навіть не помітити ніяких відмінностей в порівнянні з попередньою версією брандмауера, так як Microsoft спакувала всі нові можливості в нову MMC-консоль, що отримала назву Windows Firewall with Advanced Security (див. Екран 1). Деякі параметри брандмауера можна як і раніше налаштувати централізовано через Group Policy або ж налаштувати брандмауер локально за допомогою командної утиліти Netsh. Як і інші оснастки, Windows Firewall with Advanced Security підтримує віддалений доступ, який дозволяє управляти настроюванням брандмауера на віддаленій станції.

Відзначимо, що, хоча правила, створені в Control Panel, видно в новій оснащенні, правила, змінені або створені безпосередньо в MMC, не завжди відображаються в Control Panel. Наприклад, якщо нова оснащення використовується для редагування базового правила, спочатку створеного в Control Panel, то після завершення редагування ви більше не побачите цього правила в Control Panel.

Блокування вхідних і вихідних підключень

Брандмауер Windows Vista блокує вхідний трафік за замовчуванням, так що необхідно відразу ж налаштувати список Exceptions, якщо планується працювати з мережевим додатком. Exceptions - це те, що Microsoft називає правилами (rules), а точніше, списки ACL.

У багатьох випадках хост-брандмауери, написані незалежними розробниками, видають попередження при спробі встановити вихідні повідомлення і запитують дозвіл у користувача. На основі отриманої відповіді брандмауер може навіть створити правило реагування на такі події в майбутньому. Брандмауер Windows Vista надходить інакше - весь вихідний трафік за замовчуванням дозволено. Створення винятків для вихідного трафіку - процедура нескладна, але вона вимагає використання нової оснастки. Більшість користувачів про це навіть і не згадає, але адміністратори систем повинні як слід розібратися у всіх обов'язкових настройках Windows Firewall with Advanced Security.

Доступ до нових можливостей брандмауера

Більшість нових функцій розглянутого брандмауера з'явилося в грудневій версії December 2005 Vista CTP, хоча Microsoft в February CTP Microsoft внесла деякі незначні поліпшення. У процесі знайомства з Windows Firewall with Advanced Security додавання їх легко помітити. Слід клацнути на значку Start, набрати

mmc

в поле пошуку і натиснути Enter. У відповідь на що з'явився запит потрібно натиснути Allow, щоб дозволити MMC працювати в привілейованому режимі. В меню File потрібно клацнути Add / Remove Snap-in, вибрати Windows Firewall with Advanced Security і клацнути Add. Виберіть комп'ютер для управління, натисніть Finish і ОК.

Нова оснащення дозволяє налаштувати всі функції брандмауера. У лівій панелі можна вибрати Inbound Exceptions, Outbound Exceptions, Computer Connection Security або Firewall Monitoring, двічі клацнути по вибраному елементу - вузлу структури - і побачити додаткові настройки в центральній панелі. На правій панелі розташовується список всіх доступних дій для вибраного вузла. Така побудова консолі робить процес настройки брандмауера інтуїтивно зрозумілою процедурою; наприклад, якщо потрібно ввімкнути або вимкнути правило, досить натиснути правою кнопкою миші, викликавши контекстне меню, або ж на правій панелі вибрати потрібну дію. Більшість дій вступає в силу негайно, що спрощує налагодження при налаштуванні брандмауера. Щоб переглянути та задати властивості брандмауера, необхідно відкрити контекстне меню Windows Firewall with Advanced Security в лівій панелі і вибрати Properties.

Ті, хто добре знайомий з попередніми версіями Windows Firewall, помітять, що в новій версії збережена концепція доменного і стандартного профілів. Можна налаштувати індивідуальні правила для кожного профілю, і Windows автоматично визначить, який профіль слід використовувати в кожному конкретному випадку. Профіль домену застосовується при підключенні комп'ютера до мережі, в якій використовується домен, наприклад до локальної мережі компанії. Стандартний профіль використовується у всіх інших випадках, коли комп'ютер підключений до зовнішньої мережі. Властивості брандмауера можна налаштувати по-різному для доменного і стандартного профілю - наприклад, можна створити правило, яке дозволить вхідний трафік для доступу до комп'ютера при підключенні до локальної мережі, і заборонити доступ до станції, якщо ви подорожуєте. Крім того, можна налаштувати дії за замовчуванням (наприклад, блокування або дозвіл на установку вхідних і вихідних підключень) і налаштування IPSec (такі, як обмін ключами, які використовуються алгоритми шифрування і дешифрування, методи аутентифікації).

Навчання на прикладах

Microsoft разом з Windows Firewall пропонує цілий ряд заздалегідь підготовлених правил. За замовчуванням вони відключені, але з їх допомогою не важко створити власні або змінити існуючі правила. Всі брандмауери, як правило, дозволяють налаштовувати правила, дозволяючи або забороняючи роботу з певними протоколами (TCP, UDP і т. Д.) І портами. Крім цього Windows Firewall дає можливість обмежити доступ різних програм або служб до портів або протоколів.

Обмеження по додатках. Для ілюстрації гнучкості використовуваних в Windows Firewall правил давайте розглянемо правило для служби Background Intelligent Transfer Service (BITS), служби, використовуваної для завантаження оновлень з віддалених комп'ютерів. Розглянуте правило дозволяє заблокувати тільки службу BITS, вказавши батьківське додаток і відповідний мережевий порт. В оснащенні Windows Firewall with Advanced Security слід вказати Inbound Exceptions в лівій панелі і двічі клацнути на правилі BITS Service на середньої панелі для доступу до сторінки властивостей обраного правила. На вкладці General потрібно задати ім'я правила, включити його і вказати, чи можна запускати на комп'ютері всі програми або тільки деякі. Як видно з екрану 2, в правилі було показано, що може використовуватися тільки програма svchost.exe (програмна оболонка для запуску служб Windows). При натисканні ОК для всіх відмінних від svchost.exe програм відразу ж встановлюється заборона на використання даного правила. Секція Actions дозволяє дозволити або блокувати всі підключення або встановити параметр Allow only secure connections. Безпечні підключення базуються на IPSec в питанні шифрування і підтримки цілісності мережевих комунікацій, і це дозволяє для аутентифікації з'єднання вказувати ім'я користувача або назву комп'ютера.

Обмеження по протоколу і порту. Найперша версія Windows Firewall вже дозволяла налаштувати віддалений порт, але тільки для двох протоколів: TCP і UDP. Наприклад, щоб дозволити вихідні підключення HTTP, слід вказати протокол і номер порту (наприклад, TCP 80) для підключень. Брандмауер Vista дозволяє налаштувати більше 20 зумовлених протоколів або описати власний протокол і крім віддаленого порту вказати локальний порт комп'ютера. Крім того, з одним-єдиним правилом можна зв'язати безліч портів. Наприклад, для «поглинання» шифрованого і відкритого Web-трафіку в одному правилі ви називаєте це правило, скажімо, Web Traffic, і дозволяєте проходження TCP по портам 80 і 443. На вкладці Protocols and Ports для правила BITS Service розробники Microsoft описали BITS-трафік як TCP на локальному порту 2126. Можна вказати використання протоколу Internet Control Message Protocol (ICMP), налаштувавши спеціальним чином такі параметри, як echo request і router reply або спеціальний тип ICMP і його код.

Обмеження за мережевою адресою. Вкладка Scope дозволяє вказати локальні і віддалені мережеві адреси, до якої застосовуватиметься правило. Вказується адреса IP або підмережа (т. Е. 10.0.0.10, 192.168.0.0/24) або ж діапазон адрес (наприклад, з 192.168.0.0 по 192.168.0.10). Для віддаленого адреси можна вибрати зумовлений адреса, наприклад шлюз або сервери DHCP (див. Екран 3). Наявність визначених адрес спрощує завдання реконфігурації правил при внесенні змін до мережеву середу. Наприклад, можна дозволити доступ по протоколу FTP тільки для комп'ютерів з локальної підмережі. Динамічні правила дозволяють обмежити трафік без настройки індивідуальних правил для кожної мережі.

Обмеження по типу інтерфейсу. Вкладка Advanced дозволяє накладати виключення на певний тип інтерфейсу: Local Area Network, Remote Access або Wireless. Коли користувачеві крім локального (всередині компанії) підключення потрібно підключитися до віддаленої мережі, але небажано ризикувати корпоративними даними через відкриття зовнішнього доступу, можна налаштувати виключення (exception) для блокування всіх вхідних підключень і застосувати це правило до інтерфейсу, що дивиться «назовні». При цьому користувачі як і раніше зможуть приймати нові сполуки з локальної мережі - але не з віддалених мереж.

Обмеження по службі. Багато хто, напевно, пам'ятають, що зумовлене правило BITS Service дозволяє підключення до вашого комп'ютера по порту TCP 2126 програмою svchost.exe. Подальше посилення для BITS Service може бути налаштоване в вікні Services. Тут вказується, на які служби поширюється правило. Для цього потрібно перейти на вкладку Advanced у вікні BITS Service Properties, потім клацнути Settings. У багатьох випадках достатньо буде просто обмежити трафік по протоколу і порту, але іноді може знадобитися більш тонка настройка обмежень і потрібно детально прописати служби, яким дозволяється або забороняється встановлювати мережеві з'єднання.

Вихідні сполуки

Брандмауер в Vista дозволяє налаштовувати вихідні з'єднання приблизно за тими ж принципами, що і вхідний трафік. Можливість розпізнати і відфільтрувати вихідні підключення - це одна з сильних сторін брандмауера, так як з її допомогою можна управляти роботою комп'ютера в мережі самим детальним чином. Вихідні виключення (outbound exceptions) - цей той механізм, який дозволяє мережевий доступ таких додатків, як Microsoft Internet Explorer (IE), Outlook, і іншим відомим мережевим програмами і одночасно відключає залишився вихідний трафік.

Наприклад, якщо компанії необхідний proxy-сервер з аутентифікацією підключень, який використовує порт TCP 8080 за замовчуванням, ви можете реєструвати і блокувати весь вихідний трафік по порту TCP 80 (стандартний порт TCP), щоб закрити «чужим» програмам можливість обходу proxy в спробах встановити підключення із зовнішнім Web-сервером. Дуже часто користувачі ненавмисно встановлюють у себе шпигунське та інше несанкціоноване програмне забезпечення, яке намагається пробитися в Internet, а згадані винятки блокують такі спроби.

На відміну від брандмауерів інших фірм, розрахованих на установку на хості клієнта, бета-версія Windows Firewall, не видає попередження при блокуванні вихідного підключення. Але якщо налаштувати журнал брандмауера, то заблоковані підключення можна побачити в файлі журналу.

У складі Windows Firewall є кілька вихідних фільтрів віддалених підключень, і, скориставшись ними, можна в віддаленому режимі заблокувати підозрілі комп'ютери, - можливо, вони інфіковані вірусом або «хробаком». Нагадаю, що в подібних випадках єдина можливість, доступна в ранніх версіях Windows Firewall - вимкнути станцію або від'єднати її від мережі. Брандмауер Vista дозволяє віддалено підключитися до підозрілого комп'ютера через консоль MMC, включити блокування вихідного трафіку і активувати функцію журналювання брандмауера, дозволивши обмін даними через мережевий порт тільки заданій множині комп'ютерів. Це дозволяє обмежити масштаб лиха і зберегти можливість віддаленого управління станцією.

Також Microsoft додала для Windows Firewall новий контекст в Netsh для обліку нових функцій брандмауера, таких як правила для вихідного трафіку. Можна запустити команду Netsh в інтерактивному режимі або пов'язати її разом з іншими командами і субконтекстамі. Наприклад, команда:

netsh advfirewall outbound show all

запускає Netsh, змінює контекст на advfirewall і вихідний субконтекст, після чого запускається команда Show All. Результатом роботи цієї конструкції буде відображення на екрані вихідних винятків (outbound exceptions), налаштованих на брандмауері. У будь-якій команді ви можете визначити символ «?» Для перерахування підтримуваних команд і субконтекстов. Netsh дозволяє експортувати конфігурації і копіювати їх на інші комп'ютери або використовувати сценарії для додавання нових правил з командного рядка. Для отримання списку наявних правил слід використовувати команду Show і Add для створення нового правила.

журнал

Як і попередні версії Windows Firewall, брандмауер Vista підтримує ведення журналу брандмауера (за замовчуванням це файл c: windowspfirewall.log). Реєстрацію заблокованих пакетів і успішних підключень також можна налаштувати.

Інтеграція з IPsec

Брандмауер Vista містить в своїх правилах настройки IPSec. Microsoft надзвичайно зацікавлена ​​в просуванні IPSec, але, за моїми спостереженнями, мало хто використовує цю можливість. На шляху поширення IPSec лежать реальні або вважаються такими труднощі - не так просто правильно налаштувати роботу з використанням IPSec, є ризик закрити доступ до комп'ютера в разі неправильної настройки, немає можливості задіяти традиційний мережевий інструментарій для контролю або керування трафіком IPSec. Новий брандмауер перераховані ризики не усуває, хоча і спрощує процедуру налаштування IPSec. Розробники Microsoft переписали майстер настройки IPSec, щоб спростити роботу з цим протоколом.

Інструмент той же, можливостей більше

Я думаю, професіонали в галузі безпеки захочуть перевірити функціональність нового брандмауера Windows Vista. Можливість створювати двонаправлені списки контролю доступу буде цікава багатьом. Так, є розробки хост-брандмауерів незалежних розробників, де функцій набереться побільше, але Windows Firewall б'є всіх конкурентів ціною продукту, а включення його в кожну версію Vista дозволить захистити навіть «коробковий» комп'ютер. Крім того, брандмауер від Microsoft дає можливість задіяти для настройки Netsh і GPO. Організації, що використовують Group Policy і Vista, отримають ефективне, централізовано кероване рішення для розгортання хост-брандмауерів.

Джеф Феллінг - позаштатний редактор Windows IT Pro з питань безпеки та інжинірингу, віце-президент компанії aQuantive. [email protected]

У будь-якій команді ви можете визначити символ «?