Глава 5
Рис. 5.1.
Установка роли
Удаленный доступ
в Windows Server 2016
Рис. 5.2.
Установка службы ролей
Работа в глобальной сети
195
связь между филиалами (складами) или предоставить мобильным пользователям
доступ к ресурсам локальной сети, то вам может пригодиться служба роли
DirectAccess и VPN (RAS)
. Служба
Прокси-сервер веб-приложений
нужна, если
вы хотите организовать прокси-сервер с целью кэширования веб-трафика.
После установки ролей и служб из меню
Средства
оснастки
Диспетчер серверов
выберите команду
Маршрутизация и удаленный доступ
(рис. 5.3).
Рис. 5.3.
Диспетчер серверов
В открывшемся окне
Маршрутизация и удаленный доступ
нужно выбрать
команду
Действие | Настроить и включить маршрутизацию и удаленный дос-
туп
. Далее выберите требуемую конфигурацию (рис. 5.4). В самом простом случае
достаточно выбрать
Преобразование сетевых адресов (NAT)
.
Затем нужно выбрать интерфейс, который будет использоваться для доступа к Ин-
тернету. У вас должно быть как минимум два сетевых интерфейса (рис. 5.5): один
будет использоваться для подключения к Сети, а второй — «смотреть» в локаль-
ную сеть.
196
Глава 5
Рис. 5.4.
Выбор нужной конфигурации
Рис. 5.5.
Выбор интерфейса для соединения с Интернетом
Работа в глобальной сети
197
Все — осталось лишь нажать кнопку
Готово
в следующем окне (рис. 5.6). Вы ду-
мали, что будет сложнее? Конечно, желательно еще настроить DHCP-сервер, чтобы
он раздавал всем остальным рабочим станциям сетевые параметры, в которых бы
указывался в качестве адреса шлюза по умолчанию адрес сервера Windows Server
2016, на котором вы включили NAT. Также хорошо бы настроить и брандмауэр,
чтобы запретить доступ извне к ресурсам локальной сети (или, наоборот, разре-
шить, например, доступ к веб-серверу компании).
Рис. 5.6.
Нажмите кнопку
Готово
Аппаратный NAT
Как уже отмечалось, этот способ для небольшого предприятия является самым
удобным. Вполне приличные маршрутизаторы Wi-Fi можно приобрести за 1100–
1300 рублей. Как правило, маршрутизаторы Wi-Fi несут «на борту» и несколько
(обычно — четыре) портов Ethernet (LAN), но можно поискать модели и с бо´льшим
их количеством. Например, недорогие модели: D-Link DIR-632 или TP-LINK TL-
R860 — оснащены восемью LAN-портами.
К LAN-портам следует подключать в первую очередь устройства, которым нужно
обеспечить стабильное соединение, — например, сервер каталогов (Active Directory),
сетевое хранилище, веб-сервер и т. п., а потом уже думать о подключении к LAN-
портам компьютеров, у которых нет адаптеров Wi-Fi. Поскольку стабильность со-
единений по Wi-Fi иногда оставляет желать лучшего, особенно если рядом много
точек доступа ваших соседей, вполне логично подключить по Ethernet серверы,
а уже потом (если останутся свободные порты) — рабочие станции. Конечно, если
198
Глава 5
есть такая необходимость, можно приобрести и подключить к маршрутизатору
Wi-Fi дополнительный коммутатор.
Рекомендуется также приобретать маршрутизатор с несколькими (тремя-четырьмя)
съемными антеннами. Именно съемными — так при необходимости можно до-
вольно незадорого «модернизировать» маршрутизатор, заменив антенны на более
мощные.
Все имеющиеся маршрутизаторы построены на базе Linux и имеют несложный веб-
интерфейс. Настраиваются они тоже весьма просто — подключить кабель, ведущий
к провайдеру, возможно, выбрать тип соединения, указать имя пользователя/пароль
(в случае PPPoE
1
) и задать пароль и SSID вашей точки доступа.
Реализация NAT средствами Linux
Настроить NAT можно и в Linux. Для этого нужно первым делом включить IPv4-
переадресацию (собственно, эта команда и превращает обычный компьютер
в шлюз):
# echo 1 > /proc/sys/net/ipv4/ip_forward
Эту команду надо добавить в сценарии загрузки системы, чтобы не вводить ее при
каждом перезапуске.
Затем настроить брандмауэр iptables командой:
# iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
П
ОЯСНЕНИЕ
Здесь
eth0
— это интерфейс к провайдеру.
Конечно, кроме этой команды нужно еще создать правила фильтрации пакетов. Не
забывайте о них!
Фильтрация трафика
Очень важно не просто предоставить локальным компьютерам доступ к Интернету,
но еще и защитить их от злоумышленников, находящихся вовне. Каждая информа-
ционная система (ИС) должна быть защищена межсетевым экраном (брандмау-
эром). При обработке особо важных данных, например конфиденциальных или от-
носящихся к государственной тайне, межсетевыми экранами должна защищаться
каждая система в составе ИС. Другими словами, брандмауэр должен быть установ-
лен не только на шлюзе, но и на каждом компьютере сети.
1
PPPoE (от англ. Point-to-point protocol over Ethernet) — сетевой протокол канального уровня переда-
чи кадров PPP через Ethernet. В основном используется
x
DSL-сервисами. Предоставляет дополни-
тельные возможности: аутентификацию, сжатие данных, шифрование.
Работа в глобальной сети
199
Демилитаризованная зона
Если вы когда-либо настраивали брандмауэр, особенно по некоторым устаревшим
руководствам, то сталкивались с понятием
демилитаризованной зоны
(Demilitarized
zone, DMZ). В DMZ следует помещать компьютеры, ресурсы которых могут быть
опубликованы в Интернете. Остальные компьютеры, которые не предоставляют
пользователям Интернета свои ресурсы, должны находиться за пределами DMZ.
DMZ — это специально организованная подсеть локальной сети, которая отделена
как от Интернета, так и от локальной сети (рис. 5.7). Даже если злоумышленник
взломает компьютер из DMZ, он не сможет, используя его, обратиться к локальным
ресурсам предприятия, что очень важно.
Создать DMZ можно путем использования двух межсетевых экранов (рис. 5.7,
слева
) или одного, но имеющего три сетевых адаптера (рис. 5.7,
справа
). Второй
вариант несколько дешевле, но реализовать его сложнее.
Сегодня понятие DMZ осталось в прошлом, поскольку считается, что защищать
межсетевыми экранами нужно не отдельные сегменты локальной сети, а все серве-
ры и рабочие станции.
Рис. 5.7.
Варианты создания демилитаризованной зоны:
слева
— с использованием двух межсетевых экранов;
справа
— с использованием одного межсетевого экрана
Межсетевой экран (брандмауэр)
Межсетевой экран
(МЭ), или
брандмауэр
(firewall), — это комплекс технических,
программных и организационных мер по безопасному подключению одной сети
к другой.
200
Глава 5
Что собой представляет МЭ? Это программа-фильтр пакетов. Межсетевой экран
обладает набором правил, который просматривается при прохождении через него
различных пакетов. МЭ анализирует каждый проходящий пакет на основании на-
бора правил и решает, что с этим пакетом делать: разрешить, запретить, перенапра-
вить и т. д.
Многое зависит от того, где запущен МЭ: на том самом маршрутизаторе Wi-Fi, на
сервере удаленного доступа и, конечно же, на всех остальных компьютерах вашей
сети. Но брандмауэры везде разные. На маршрутизаторе Wi-Fi, скорее всего, это
будет программа iptables, поскольку такие маршрутизаторы построены на базе
Linux. На Windows-системах, если нет особых требований к защите данных, в каче-
стве маршрутизатора может использоваться встроенный брандмауэр Windows.
Выбор межсетевого экрана
В «раньшие» времена хороших межсетевых экранов было относительно немного.
Из программ, ставших классикой, можно вспомнить Outpost Firewall и Kerio
WinRoute Firewall. Сейчас эти программы канули в Лету, а на их место пришли ин-
тегрированные продукты (Internet Security или Security Suite), сочетающие в себе
функции как брандмауэра, так и антивируса. Примеров можно привести множест-
во: тот же Kaspersky Internet Security, Avast! Internet Security, ESET NOD32 Smart
Security 7, Comodo Internet Security, Outpost Security Suite и Symantec Endpoint Pro-
tection. И это далеко не все программные продукты, содержащие в себе функции
межсетевого экрана, а только лишь те, которые мы вспомнили, не прибегая к по-
мощи всезнающего Google.
Примерно все эти решения предоставляют одинаковую функциональность (кроме,
разве что, Symantec Endpoint Protection — его развертывание лучше применять
только в крупных предприятиях), поэтому вы можете выбрать подходящий вам
продукт, основываясь на тестах независимых экспертов и, конечно же, на их стои-
мости.
Если ваше предприятие не обрабатывает конфиденциальные (персональные) дан-
ные, можно остановить выбор на любом лицензионном программном продукте.
При желании сэкономить, можно выбрать также и бесплатный программный про-
дукт наподобие Comodo Internet Security или вообще установить в качестве антиви-
руса бесплатные Avast! или Avira (решения уровня Internet Security у них, как пра-
вило, коммерческие) и использовать встроенный брандмауэр Windows, который
тоже неплох. Тратиться есть смысл только на решения для защиты сервера.
Но совсем другое дело, если ваше предприятие обрабатывает конфиденциальные
(персональные) данные. В этом случае следует ориентироваться только на серти-
фицированное ФСТЭК программное обеспечение. Вопросам сертификации можно
посвятить отдельную книгу, поэтому есть два способа решения вопроса сертифика-
ции: или обратиться к специалистам, или перелопатить несколько нормативных
актов и самостоятельно определить, какое программное обеспечение вам необхо-
димо.
Вкратце поясним, что в зависимости от типа обрабатываемых данных и от их коли-
чества вам нужно будет определить требуемый уровень защищенности этих дан-
Работа в глобальной сети
201
ных и наметить программное обеспечение соответствующего класса. Так, в самом
простом случае вам потребуется межсетевой экран 5-го класса.
П
ОЯСНЕНИЕ
Защищенность нарастает по уровням по нисходящей — так, 4-й класс обеспечивает
лучшую защищенность, чем 5-й, 3-й — лучшую, чем 4-й, и т. д.
Определив класс требуемого ПО, нужно посетить реестр ФСТЭК (находится на
сайте
http://fstec.ru/
) и найти в нем ПО, которое вы планировали установить. Если
это ПО есть в реестре, и его класс соответствует вашему уровню защищенности,
ПО можно устанавливать. Если нет, тогда придется искать другой программный
продукт. Другими словами, даже если вам нравится какой-то продукт, но он не сер-
тифицирован, или его сертификат не соответствует необходимому уровню защи-
щенности, устанавливать такой продукт нельзя.
Обращайте также внимание на то, как именно сертифицирован тот или иной про-
дукт. Например, некоторые продукты ЗАО «Лаборатория Касперского» сертифи-
цированы как средство антивирусной защиты, а не как средство межсетевого экра-
нирования, хотя межсетевой экран и входит в состав продукта.
Что выбрать? Как уже отмечалось, для самого простого случая подойдет межсете-
вой экран 5-го или 4-го уровня, — например, Security Studio Endpoint Protection
Personal Firewall.
Нужен ли прокси-сервер?
Понятно, что межсетевой экран просто необходим в качестве средства защиты сети
от вторжений извне. Но нужен ли прокси-сервер? Это зависит от ряда обстоя-
тельств. Если у вас есть лишний компьютер, который можно выделить под прокси-
сервер, и размер сети довольно большой (скажем, от 50 компьютеров), или же сеть
поменьше, но пользователи работают с одними и теми же интернет-ресурсами,
тогда прокси нужен. С его помощью вы сможете обеспечить кэширование полу-
чаемой из Интернета информации (а это не только HTML-код, но еще и картинки,
сценарии, файлы стилей и т. п.), что повысит скорость открытия страниц, сэко-
номит трафик и нагрузку на сеть. Прокси-сервер может также запретить доступ
к определенным узлам Интернета, но с этой функцией с легкостью справится и
межсетевой экран, поэтому основная функция прокси-сервера — все же, кэширова-
ние информации.
Системы обнаружения вторжений
Межсетевой экран сам по себе является весьма простым решением — он сопостав-
ляет проходящий через него пакет списку правил и выполняет заданные правилами
действия над этим пакетом. Например, вы запретили отправку пакетов на IP-адрес
111.111.111.079. Если через межсетевой экран попытается пройти исходящий пакет
с таким IP-адресом в качестве получателя, пакет будет блокирован. Брандмауэр ни-
чего больше не делает с пакетом: или разрешает, или запрещает его (есть и другие
действия, но, в основном, все сводится к этим двум). Остальные пакеты, которые не
202
Глава 5
соответствуют ни одному из правил, либо по умолчанию пропускаются, либо бло-
кируются (все зависит от настроек брандмауэра).
Но вредоносные программы могут «замаскироваться» и отправлять пакеты, кото-
рые с точки зрения брандмауэра выглядят полностью нормальными. Брандмауэр,
скорее всего, пропустит такие пакеты, что может повлечь за собой многомиллион-
ные убытки. Для обнаружения таких «вторжений» используются
системы обна-
ружения вторжений
(СОВ), в англоязычной литературе называемые Intrusion
Detection Systems (IDS).
Существуют и
системы предотвращения вторжений
(СПВ) — Intrusion Prevention
Systems (IPS) — выполняющие активную функцию. Они не только обнаруживают
вторжение, но и блокируют подозрительный трафик. СПВ могут обнаружить под-
готовку DoS-атаки (атаки на отказ), выявить сетевые черви, активность эксплойтов
и т. п.
Принцип действия СПВ основывается на сравнении передаваемой по сети инфор-
мации с заранее подготовленной базой данных сигнатур, которые присутствуют во
вредоносных программах. Способны СПВ обнаруживать и аномальные изменения
трафика, например резкое увеличение пакетов определенного типа, и сохранять
пропускную способность канала для полезных данных.
Понятно, что база данных сигнатур вредоносных программ растет с каждым днем,
и защита всего сетевого трафика без снижения производительности просто невоз-
можна. Производители этого не скрывают, и та же Cisco в ее аппаратных решениях
заявляет, что включение функции Cisco Intrusion Detection Systems на коммутато-
рах Cisco приведет к снижению производительности.
Программных решений IDS/IPS также достаточно много. Как и в случае с бранд-
мауэрами, многие поставщики предоставляют IDS/IPS в качестве одного комплек-
са, содержащего также антивирус и брандмауэр. В качестве примера можно при-
вести Security Studio Endpoint Protection — кроме того, что в состав этого комплек-
та входят брандмауэр, СОВ и антивирус, продукт является сертифицированным,
что позволяет использовать его при обработке конфиденциальной информации.
Варианты межсетевых экранов
Как уже отмечалось, межсетевые экраны бывают как аппаратными, так и про-
граммными. Разница между ними весьма условна. Ведь так называемое
аппаратное
решение
представляет собой компьютер с ограниченной функциональностью, на
котором запущена та самая программа-фильтр. Как правило, такие компьютеры
работают или под управлением Linux (бюджетные решения), или под управлением
ОС собственной разработки (например, IOS у Cisco).
Программное решение
Программное решение — это установка программы-фильтрации на персональный
компьютер. Какая именно программа будет заниматься фильтрацией трафика, зави-
сит от операционной системы. Как уже отмечалось, в Linux — это iptables, а для
Работа в глобальной сети
203
Windows существует множество программ (в том числе и встроенный брандмауэр
Windows).
Аппаратные решения
Самое дешевое аппаратное решение — это маршрутизатор Wi-Fi, в состав ПО ко-
торого уже, как правило, входит программа-брандмауэр. Даже самые дешевые мо-
дели поддерживают статическую фильтрацию пакетов, обеспечивают наличие
DMZ-портов, возможность создания VPN-подключений, NAT-трансляцию с серве-
ром DHCP, средства предупреждения администратора (отправка ему e-mail и т. п.).
Однако не все так просто, если вы обрабатываете конфиденциальную информацию.
В этом случае нужно выбирать сертифицированное аппаратное решение, а таковых
не так уж и много. Сейчас можно выбрать его из числа следующих устройств:
ViPNet Coordinator HW, «АПКШ Континент», ALTELL NEO, а также из бесчис-
ленных вариантов от Cisco, в том числе:
Cisco PIX-501 (кл. 3, кл. 4);
Cisco PIX-506 (кл. 3, кл. 4);
Cisco PIX-515E (кл. 3, кл. 4);
Cisco PIX-520 (кл. 3, кл. 4);
Cisco PIX-525 (кл. 3, кл. 4);
Cisco PIX-535 (кл. 3, кл. 4) ;
Cisco FWSM (кл. 3, кл. 4);
Cisco WS-SVC-FWM-1 (кл. 4).
Полный список сертифицированного ФСТЭК оборудования от Cisco можно найти
по адресу:
http://www.cisco.com/web/RU/downloads/broch/Cisco_Certified-092013.pdf
.
Список не самый актуальный (сентябрь 2013 года), но более точную информацию
вы всегда сможете получить у партнеров Cisco.
П
РИМЕЧАНИЕ
В предыдущем издании в этой главе описывалась программа «Киберсейф Межсете-
вой экран». Оказалось, что в 2018-м году заканчивается срок действия сертификата
ФСТЭК, и разработчик, т. е. компания «Киберсофт», не собирается продлевать срок
его действия. Именно поэтому программа «Киберсейф Межсетевой экран» удалена из
этого издания.
Настройка параметров межсетевого экрана
при помощи групповой политики
В последних версиях Windows брандмауэр по умолчанию включен. Однако его па-
раметры, установленные по умолчанию, удобны не для всех: защита активна, но
задействованы исключения, обеспечивающие работу компьютера в локальной сети.
В сетях с развернутыми системами управления брандмауэр будет блокировать дос-
туп таких программ. Не будет обеспечиваться и должный уровень защиты в пуб-
204
Глава 5
личных сетях. Именно поэтому брандмауэры Windows нуждаются в централизо-
ванной настройке с помощью групповых политик.
Параметры настройки групповой политики брандмауэра Windows можно найти по
следующему пути:
Конфигурация компьютера |
Административные шаблоны |
Сеть
|
Сетевые подключения
|
Брандмауэр Защитника Windows
(рис. 5.8).
Рис. 5.8.
Настройка параметров брандмауэра Windows при помощи групповых политик
В политике
Брандмауэр Защитника Windows
вы найдете контейнеры
Профиль
домена
и
Стандартный профиль
. Первый используется при работе компьютера в
домене, а второй — когда компьютер подключен к сети, где нет домена Windows.
Если на предприятии внедрена система удаленного мониторинга, то нужно открыть
для этой программы все порты и включить опцию
Разрешать исключения для
удаленного управления
— что даст возможность управления через удаленную
консоль.
Для стандартного профиля нужно запретить использование всех исключений
брандмауэра, потому что такой вариант является самым безопасным для публичной
сети, а мы организуем сеть предприятия.
Рекомендуемые настройки параметров групповой политики для брандмауэра
Windows приведены в табл. 5.3.
Работа в глобальной сети
205
Таблица 5.3.
Рекомендуемые параметры настройки брандмауэра Windows
Параметр
Профиль домена
Стандартный профиль
Защитить все сетевые подключения
Включен
Включен
Не разрешать исключения
Не задан
Включен, и настроены
исключения для используе-
мых программ
Задать исключения для программ
Включен, и настроены
исключения для исполь-
зуемых программ
Включен, и настроены
исключения для используе-
мых программ
Разрешать локальные исключения
для программ
Отключен Отключен
Разрешать исключения
для удаленного управления
Отключен Отключен
Разрешать исключения для общего
доступа к файлам и принтерам
Отключен Отключен
Разрешать исключения ICMP
Отключен
Отключен
Разрешать исключения
для удаленного рабочего стола
Включен Включен
Разрешать исключения для UPnP-
инфраструктуры
Отключен Отключен
Запретить уведомления
Отключен
Отключен
Разрешать ведение журнала
Не задан
Не задан
Запретить одноадресные ответы
на многоадресные или
широковещательные запросы
Включен Включен
Задать исключения портов
Отключен
Отключен
Разрешать локальные исключения
для портов
Отключен Отключен
Межсетевой экран Linux
В состав практически всех современных дистрибутивов Linux входит весьма мощ-
ный брандмауэр (межсетевой экран) — iptables. Как правило, в случае с Linux
никто не прибегает к установке сторонних продуктов фильтрации пакетов, а все так
называемые брандмауэры для Linux (вроде Firestarter) являются лишь оболочками
для того же iptables.
Настройки запуска
Обычно при установке Linux задается вопрос, хотите ли вы активировать сетевой
экран по умолчанию или нет. Предположим, что администратор, производивший
установку Linux, ответил на этот вопрос утвердительно.
206
Достарыңызбен бөлісу: |