Комплексная защита типовой локальной вычислительной сети (стр. 8 из 12)
Настройка таблицы локальных адресов
Таблица локальных адресов (LAT – Local Address Table) используется прокси-сервером для определения того, какие IP-адреса принадлежат внутренней сети организации, а какие – внешней (Интернету). Ее необходимо составлять тщательно и без ошибок, т.к. если в эту таблицу попадут адреса, на самом деле принадлежащие внешней сети, к ним не будут применяться правила фильтрации пакетов, и злоумышленник, работающий с этих адресов, фактически будет приравнен в правах к пользователям внутренней сети. По этой же причине необходимо тщательно отслеживать все изменения LAT.
Для изменения LAT необходимо в свойствах любой из служб прокси нажать кнопку Local Address Table… При этом откроется окно следующего вида:
В поле Edit задаются начальный и конечный IP-адреса диапазона внутренних IP-адресов. В правой части собственно и показана LAT.
Нажатие кнопки Construct Table открывает окно, в котором можно задать параметры для автоматической конфигурации LAT. Делать это рекомендуется только в том случае, когда точно неизвестны IP-адреса, принадлежащие внутренней сети.
Для нашей типовой сети рекомендуется диапазон 192.168.0.0 – 192.168.0.255, – адреса, выделенные для сетей, которые не подключаются к Интернет напрямую.
Настройка разрешений пользователям и группам
В соответствии с политикой безопасности организации отдельным пользователям может быть разрешен полный доступ в Интернет, отдельным – доступ только к FTP ресурсам, или, например, электронной почте. MS Proxy Server 2.0 тесно интегрирован с системой безопасности Windows NT и может использовать список пользователей и групп для разрешения им доступа в Интернет по различным протоколам.
Рекомендуется завести отдельные локальные группы для пользователей различных протоколов, например – «Users of FTP Proxy», «Users of WWW Proxy» и т.п. Далее, в настройках Permissions службы Web Proxy или WinSock Proxy нужно дать каждой группе право пользования соответствующим протоколом. Теперь, чтобы дать конкретному пользователю право работать по данному протоколу, достаточно просто включить его в соответствующую группу. И наоборот, чтобы запретить использование протокола – удалить его из группы.
Чтобы включить контроль доступа, необходимо на вкладке Permissions соответствующей службы Proxy (Web Proxy или WinSock Proxy) поставить галочку в поле Enable access control. Кнопка Edit позволяет редактировать список пользователей, которым разрешен доступ к данному протоколу.
Для аутентификации пользователя могут применяться протоколы Basic и Windows NT Challenge / Response. Задать использование протокола можно в свойствах службы WWW.
Протокол аутентификации Basic плох тем, что пароль в нем по сети передается в открытом, т.е. не зашифрованном, виде. В отличие от Basic, протокол Windows NT Challenge / Response всегда передает пароль только в зашифрованном виде. Его преимуществом также является то, что пользователю при доступе не нужно вводить имя / пароль – используются значения, указанные им при входе в сеть. Но этот протокол поддерживается только Microsoft Internet Explorer 2.0 и выше. Т.о., если во внутренней сети функционируют приложения, не поддерживающие Windows NT Challenge / Response, и необходимо ограничить отдельным пользователям доступ в Интернет, единственным выходом остается использование протокола Basic.
В случае, если разрешен анонимный доступ, то пользователи, не указывающие имя / пароль, олицетворяются аккаунтом, указанном в поле Anonymous Logon. Этот тип доступа включать не рекомендуется.
Служба Socks Proxy не поддерживает аутентификацию на уровне пользователей. Для этой службы можно задать фильтр, в котором присутствуют адрес источника, приемника и номер порта.
В поле Action выбирается deny (запретить) или permit (разрешить). В качестве параметров для фильтра указываются:
- в поле Source (отправитель) и Destination (получатель): ALL – все компьютеры; Domain / Zone – домен или зона, указываемая в форме полного доменного имени (например, mycompany.com); IP Address – конкретный IP-адрес с маской подсети;
- в поле Port: операция над номером порта (EQ – равно, NEQ – не равно, GT – больше, LT – меньше, GE – больше или равно, LE – меньше или равно). В поле Port number or service name – номер порта или название службы TCP/IP, с которым происходит сравнение при выполнении указанной операции.
- Порт и получатель учитываются только, если поставить соответствующие галочки.
Т.о., для протокола Socks можно запретить доступ к определенным службам отдельным компьютерам. Вообще, если в сети все клиенты работают под управлением MS Windows, то применять протокол Socks не рекомендуется, – его вполне заменяет WinSock.
Для нашей типовой сети рекомендуется следующая политика разграничения доступа:
- служба Socks Proxy отключена;
- включена аутентификация с помощью протокола Windows NT Challenge / Response, аутентификация с помощью протокола Basic отключена, анонимный доступ также отключен;
- для служб Web Proxy и WinSock Proxy включен контроль доступа;
- созданы глобальные группы “Users of Proxy – unlimited”, “Users of WWW Proxy”, “Users of FTP Proxy”, “Users of Gopher Proxy”, “Users of SSL Proxy”, “Users of Email”, “Users of News” и т.п.;
- для Web Proxy разрешен доступ соответствующим группам по четырем поддерживаемым службой протоколам;
- для WinSock Proxy соответствующим группам разрешен доступ к соответствующим протоколам;
- группе “Users of Proxy – unlimited” разрешен доступ ко всем протоколам Web Proxy и Unlimited Access для WinSock Proxy. В эту группу рекомендуется включать только администраторов и руководителей;
- в службе WinSock Proxy доступ к протоколу DNS разрешен группе “Everyone”.
Настройка фильтрации пакетов
Окно настройки открывается нажатием кнопки Security в свойствах любой из служб прокси и выбором вкладки Packet Filters.
Как принято во всех брандмауэрах, прохождение всех пакетов данных по умолчанию запрещено. Чтобы разрешить прохождение определенных пакетов, надо явно задать для него правило в списке исключений.
Фильтрация пакетов включается установкой галочки в поле Enable packet filtering for external interface.
Поле Enable dynamic packet filtering of Microsoft Proxy Server packets позволяет включить создание динамических фильтров для соединений, открываемых одной из служб прокси. Если отключить эту возможность, то нужно очень тщательно создавать фильтры вручную.
Поле Enable filtering of IP fragments позволяет включить контроль над фрагментами датаграмм и пакетов данных.
В поле Exceptions собственно и находится список фильтров.
В Microsoft Proxy Server имеется большое количество встроенных фильтров, которые можно добавить кнопкой Add… Также можно создавать пользовательские фильтры.
Параметры фильтра включают в себя протокол (ICMP, TCP, UDP), направление (In, Out, Both), номер локального порта, номер удаленного порта, IP-адрес локального хоста, IP-адрес удаленного хоста. Таким образом, IP-пакет пропускается только в том случае, если его параметры удовлетворяют указанному в одном из фильтров.
Рекомендуется установить следующие настройки:
- включить динамическое создание фильтров;
- отключить фильтрацию IP-фрагментов (так как это увеличивает нагрузку на прокси-сервер);
- в дополнение к фильтрам по умолчанию установить фильтры из таблицы 1, которые разрешают доступ к внутренним Web и Mail серверам.
Таблица 1. Настройка доступа к отдельным узлам и доменам Интернета
| Dir | Protocol | Local port | Remote port | Local address | Remote address |
| Both | TCP | Dynamic | Any | Default | Any |
| In | TCP | 21 | Any | Default | Any |
| In | TCP | HTTP Server (port 80) | Any | Default | Any |
| In | TCP | POP3 | Any | Default | Any |
| In | TCP | SMTP | Any | Default | Any |
Окно настройки открывается нажатием кнопки Security в свойствах любой из служб прокси и выбором вкладки Domain Filters.
Здесь можно ограничить доступ к конкретным узлам и доменам Интернета в соответствии с политикой организации.
Настройка генерации предупреждений
Окно настройки открывается нажатием кнопки Security в свойствах любой из служб прокси и выбором вкладки Alerting.
На этой вкладке можно настроить генерацию предупреждений (Alerts) на три типа событий: Rejected Packets (отброшенные пакеты), Protocol violations (выявление в отброшенных пакетах потенциально опасных), Disk full (диск заполнен).
Основанием для генерации предупреждения становится появление события не реже заданного количества раз в секунду.
Рекомендуется оставить настройки по умолчанию. Системному администратору рекомендуется не реже одного раза в сутки просматривать журнал событий Windows NT компьютера, выполняющего функции прокси-сервера.
Настройка ведения лог-файлов
Окно настройки открывается нажатием кнопки Security в свойствах любой из служб прокси и выбором вкладки Logging.
Лог можно в обычном (Regular) и подробном (Verbose) формате.
Рекомендуется оставить настройки по умолчанию. Системному администратору рекомендуется раз в сутки просматривать сгенерированный за прошедшие сутки лог-файл.
Безопасность Microsoft Exchange Server 5.5
Общая информация
Microsoft Exchange Server предоставляет решения для организаций в области обмена сообщениями и совместного использования информации. Серверная часть Microsoft Exchange включает службу каталога, хранилище информации, агента передачи сообщений, коннекторы. Все эти компоненты запускаются как Microsoft Windows NT сервисы и работают совместно, обеспечивая следующие возможности: