Max

Защита подключения к Интернет


1
Для обеспечения безопасности при подключении к Интернет необходимо:
Активизировать брандмауэр подключения к Интернет (Internet Connection Firewall) или установить брандмауэр третьих фирм
Отключить Службу доступа к файлам и принтерам сетей Microsoft
Брандмауэром подключения к Интернет называется программный компонент, блокирующий нежелательный трафик.
Активация Брандмауэра подключения к Интернет.
Откройте Панель управления – Сетевые подключения
Щелкните правой кнопкой мыши на соединении, которое вы хотите защитить и выберите из меню пункт Свойства/
Перейдите на вкладку Дополнительно, поставьте галочку Защитить мое подключение к Интернет

2
используем IPSec для защиты IP пакетов (аутентификация, целостность и защита от повторного использования IP) и ESP (протокол защищенной инкапсуляции) для обеспечения конфиденциальности данных.

IPSec поддерживает блокировку портов протокола, или фильтрацию пакетов. Фильтрация реализуется на основе последовательности правил, каждое из которых на основе IP-адресов клиента и сервера, номера порта и типа протокола определяет допустимость обмена пакетами между сервером и клиентом.
В качестве стандартной утилиты предлагается использовать IPSecPol.exe, по умолчанию она есть в серверных ОС windows, для рабочих станций необходимо достать отдельно, можете у нас (ipsecpol_setup.exe).
Следующие команды утилиты ipsecpol.exe позволяют оставить открытым на данном хосте только порт 80:

ipsecpol \имя_компьютера –w REG –p “Web” –o

ipsecpol \имя_компьютера –x –w REG –p “Web” –r “BlockAll” –n BLOCK –f 0+*

ipsecpol \имя_компьютера –x –w REG –p “Web” –r “OkHTTP” –n PASS –f 0:80+*::TCP

Две последние команды создают политику IPSec под названием Web, включающую два правила фильтрации. Первое из них, BlockAll, блокирует все протоколы поступающих и исходящих соединений для данного хоста, а второе, ОkHTTP, разрешает трафик через порт 80. Если нужно разрешить использование утилиты ping, или других программ, работающих на основе протокола ICMP, то в политику Web можно включить такое правило:

ipsecpol \имя_компьютера –x –w REG –p “Web” –r “OkICMP” –n PASS –f 0+*::ICMP

В этом примере политика устанавливается для всех адресов, однако ее можно легко модифицировать на случай одного IP-адреса с помощью ключа –f (см. ниже) и направить действие этого правила на один интерфейс. Если система сконфигурирована с помощью этого примера, то при сканировании портов будет виден только 80 порт. После отключения политики все порты снова станут доступными.

Параметры утилиты ipsecpol, используемые для фильтрации трафика через компьютеры под управлением Windows:

-w REG Переводит ipsecpol в статический режим (static mode), при котором выполняется запись политики в указанное местоположение (в отличии от используемого по умолчанию динамического режима, который действует только во время функционирования службы Policy Agent). Параметр REG определяет, что политика будет записана в системный реестр и подходит для отдельно стоящих Web-серверов (другой параметр, DS, позволяет записывать политику в каталог);

-p Задает произвольное имя (например, Web) для данной политики. Если уже существует политика с таким именем, то данное правило добавляется к ней. Например, в третьей строке к политике Web добавляется правило OkHTTP.

-r Задает произвольное имя для правила. Если политика уже включает правило с таким именем, то новое правило его заменит.

-n В статическом режиме может принимать одно из трех значений: BLOCK, PASS и INPASS. Конкретные значения параметра описываются ниже.

BLOCK Исключает остальные значения параметра –n и создает фильтры блокировки. Эта команда аналогична выбору переключателя Block в программе управления политикой IPSec с графическим интерфейсом.

PASS Исключает остальные значения параметра –n и создает фильтры, обеспечивающие передачу данных через порты. Эта команда аналогична выбору переключателя Permit в программе управления политикой IPSec с графическим интерфейсом.

- f Создает список из одного или нескольких IP – фильтров. Правила фильтрации задаются в следующем формате, получившем название спецификации фильтра (filterspec):

A.B.C.D/маска:порт=A.B.C.D/маска:порт:Ipprotocol

где в левой части равенства всегда задается адрес источника, а в правой – адрес получателя. Если знак = заменить на символ +, то будут созданы два зеркальных (mirrored) фильтра, по одному в каждом направлении. Маску и номер порта задавать необязательно. Если они не указаны, то в качестве маски подсети используется 255.255.255.255, а в качестве номера порта – любой порт. Комбинацию A.B.C.D/маска можно заменить следующими символами:
0 - задает адрес локальной системы
* - задает произвольный адрес
имя DNS (заметим, что множественное разрешение игнорируется).
Тип IP протокола (например, ICMP) задавать необязательно. Если, он не указан, то подразумевается любой IP-протокол. Чтобы задать конкретный IP протокол, перед его названием необходимо точно указать номер порта или символ : :

-х Необязательный параметр, активизирующий политику в случае ее записи в системный реестр локальной машины (он использовался в предыдущем примере при определении первого правила. По каким-то причинам (?!) этот параметр работает только при создании первого фильтра политики).

-y Необязательный параметр, отключающий политику в случае ее записи в системный реестр локальной машины.

-o Необязательный параметр, удаляющий политику, имя которой задано параметром –p. (Заметим, что при этом удаляются все аспекты указанной политики. Его не следует использовать, если другие политики ссылаются на объекты данной политики).

Следует отметить, что фильтры IPSec не блокируют порт 500 (UDP) или, на контроллерах домена Windows 2000, порт 88 (TCP/UDP), используемые для аутентификации IPSec (порт 88 применяется протоколом Kerberos, а 500 – для обмена ключами IKE (Internet Key Exchange)). Сервисный пакет Service Pack 1 включает новый параметр реестра, позволяющий закрыть порты Kerberos путем отмены привилегий для драйвера IPSec:

HKLMSYSTEM\CurrentControlSet\Services\IPSEC\NoDefa ultExempt

Type: DWORD
Max: 1
Min: 0
Default: 0

Трафик IKE всегда был привилегированным, и параметры системного реестра на него не влияли. Если же этот параметр реестра принимает значение 1, то все «льготы» для протоколов Kerberos и RSVP отменяются по умолчанию.
Поскольку ipsecpol использует синтаксис командной строки, с ней нужно обращаться очень осторожно. В рассмотренном выше примере предполагается, что список фильтров обрабатывается сверху вниз. Простое изменение порядка следования записей в списке может привести к неправильной работе фильтров. Кроме того, утилита не позволяет задать диапазон портов для источника или назначения. Так что, несмотря на значительные улучшения, обеспечиваемые фильтрами IPSec по сравнению с фильтрами TCP/IP, с ними нужно обращаться очень аккуратно. Иначе желание блокировать порты так и останется лишь желанием. Отметим еще несколько особенностей, выявленных в процессе интенсивного тестирования ipsecpol:
- для отмены политики иногда приходится отключать ее с помощью ключа –y до или после ее удаления с использованием параметра –о. Иногда приходилось сталкиваться с ситуацией, когда даже удаленная политика продолжает действовать до момента ее отключения.
- при изменении политики необходимо пользоваться либо только утилитой командной строки ipsecpol, либо исключительно программой с графическим интерфейсом, входящей в состав Windows. Если политика была создана с помощью ipsecpol, а затем отредактирована другой программой, то при ее работе возможны сбои и бреши в защите.
- во избежании конфликтов, следует помнить об удалении ненужных фильтров. Эту задачу иногда лучше выполнять с помощью программы с графическим интерфейсом, поскольку в ней отображается список всех существующих фильтров.

__________________
Не задавай вопросов, если не знаешь, что делать с ответом.