Задание. 5.1 Изучите принципы создание пользовательских сервисов

5.1 Изучите принципы создание пользовательских сервисов.

5.1.1 В навигаторе выберите папку «Objects», а затем «Services». В главном окне перечислены сервисы, определенные в межсетевом экране по умолчанию (рисунок 1).

Рисунок 1 – Вид списка сервисов, определенных по умолчанию

В системе NetDefend существует объект «Сервис», который описывает параметры протоколов, проходящих через МСЭ. Чтобы создать сервис протокола (например HTTP, FTP, Telnet и т.д.) нужно указать какой из транспортных протоколов он использует (например, TCP или UDP) и номер порта, через который он работает.

Программы и протоколы для выхода в интернет используют «двери», роль дверей в компьютере выполняют порты (их диапазон от 0 до 65535). Любой протокол имеет конкретный для него диапазон портов. Например, если создать сервис для протокола HTTP, то этот сервис определяется, как использующий TCP-протокол с соответствующим портом назначения 80 и любым портом источника (от 0 до 65535).

Фильтрацию осуществляют по портам назначения (трафик извне), значение исходящих портов может лежать в диапазоне от 0 до 65535.

Большое число сервисных объектов заранее задано в ОС межсетевого экрана. Стандартные сервисы можно изменять подобно обычным определенным пользователем сервисам. Однако, рекомендуется не изменять стандартные сервисы, вместо этого следует создавать пользовательские сервисы с нужными характеристиками.

5.1.2 Создайте новый сервис для протокола MySQL, для этого:

1 В главном окне кликните Add, затем создать TCP/UDP сервис «TCP/UDP Service». Внешний вид настроек показан на рисунке 2.

Рисунок 2 – Вид параметров сервиса

2 В поле «Name» укажите подходящее имя для сервиса. В рамках выполнения лабораторной работы, рекомендуется начинать имя с префикса A_ (например A_MySQL). Такой вид записи позволит отобразить созданный сервис в самой верхней строке списка.

3 В поле «Type» укажите тип протокола. MySQL использует протокол TCP.

4 В после «Source» укажите диапазон исходящих портов. От 0 до 65535.

5 В поле «Destination» укажите входящий порт. MySQL использует входящий порт 3306. При создании нового сервиса, лучшей стратегией безопасности, является сужение списка портов, которое сможет использовать протокол, чтобы пропускались только те протоколы, которые действительно необходимы.

6 В поле «Comments» оставьте комментарий.

7 Нажмите ОК, создание сервиса для протокола MySQL будет завершено.

Был создан сервис, описывающий правило для протокола MySQL, разрешающий входящее соединение только через 3306 порт.

Если нажать «Add» в главном окне «Services» можно увидеть, что создаваемые сервисы могут быть одними из следующих:

а) TCP/UDP-сервис – Сервис, базирующийся на UDP или TCP-протоколе, или и тем и другом.

б) ICMP-сервис – Сервис, основанный на ICMP-протоколе.

в) IP Protocol-сервис – Сервис, основанный на определенном пользователем протоколе.

г) Группа сервисов (Service Group) – Группа сервисов, состоящая из несколько сервисов.

5.1.3 Самостоятельное задание:

1 Создайте сервис для протокола NetBIOS. NetBIOS использует транспортный протокол TCP/UDP, диапазон портов от 137 до 139.

2 Создайте сервис для протокола HTTP и HTTPS, порты 80 и 443 соответственно.

3 Создайте сервис для протокола SMTP (порт 25, транспортный протокол TCP).

4 Создайте группу сервисов (Service Group) и поместите в неё три созданных сервиса для протоколов HTTP, HTTPS и SMTP.

5 Рекомендации к выполнению задания:

Используйте следующие способы определения номеров порта:

а) Единственный порт - для многих сервисов достаточно одного порта назначения, как в вышеописанном примере. Для таких типов сервисов единственный номер порта просто указывается в определении сервиса как одно число.

б) Диапазоны портов - некоторые сервисы используют диапазоны портов назначения. Для определения диапазона портов в объекте TCP/UDP-сервис используется формат mmm-nnn. Обозначение 121-123означает, что в этот диапазон входят 121, 122 и 123порты.

в) Множественный доступ к порту и диапазоны портов - множественные диапазоны портов или индивидуальные порты можно вводить, разделяя их запятыми, что позволяет охватывать широкий диапазон портов с использованием только одного объекта TCP/UDP- сервис. Вид записи будет выглядеть 121-123,45. Это значит, что сервис будет использовать порты в диапазоне 121- 123, и 45й порт.

Сервисы являются пассивными объектами в том смысле, что они не могут самостоятельно выполнять действия в конфигурации. Сервисные объекты должны быть связаны с правилами (IP Rule).

5.2 Создайте для организованных выше сервисов правила «IP Rule».

5.2.1 В навигаторе нажмите «Rule», выберите «IP Rules» (рисунок 3).

Рисунок 3 – Вид создания правил

5.2.2 Создайте новую папку с правилами, для этого в главном окне нажмите «Add», затем «IP Rule Folder».

5.2.3 В созданной папке добавьте новое правило, нажатием «Add», и выбрав из выпадающего меню «IP Rule».

Правила действуют как фильтр, и определяют, какой трафик может проходить через МСЭ NetDefend, а какой нет. В этом примере рассматривается создание простого правила «Allow», разрешающего открытие HTTP-соединения через «lannet»-сеть на «lan»-интерфейсе к любой сети («all-nets») на wan-интерфейсе.

1 В поле «Name» укажите подходящее имя для правила, например LAN_HTTP.

2 В поле «Service» выберите созданный выше сервис для HTTP.

3 В поле «Source Interface» (интерфейс источника), укажите: lan.

4 В поле «Source Network» (сеть источника), укажите: lannet.

5 В поле «Destination Interface» (интерфейс назначения), укажите: wan.

6 В поле «Destination Network» (сеть назначения),укажите: all-nets.

7 В поле «Schedules» - расписание оставляем пустым, оно будет рассмотрено позднее.

8 В поле «Action» укажите действие, которое должно происходить с правилом: «Allow».

Можно также устанавливать одно из следующих видов действий:

а) «Allow». Пакеты пропускаются дальше. Как правило, применяется к только что открытому соединению, в «таблицу состояний» производится запись о том, что соединение открыто. Остальные пакеты данного соединения будут подвергаться проверке «Stateful engine» системы NetDefendOS.

б) «FwdFast». Пусть, например, пакет проходит через межсетевой экран NetDefend без установки его состояния в таблицу состояний. Это означает, что процесс «stateful inspection» не осуществляется, что менее безопасно, чем правила «Allow» или «NAT». Время обработки пакета медленнее, чем при использовании правила «Allow», поскольку каждый пакет проверяется всем набором правил.

в) «NAT». Подобно правилу «Allow», но с использованием динамической трансляции адресов.

г) «SAT». Уведомляет NetDefendOS о выполнении статического преобразования адреса. Правило SAT всегда требует получения разрешения о прохождении трафика от правил Allow, NAT или FwdFast.

д) «Drop». Уведомляет NetDefendOS о том, что пакет необходимо отклонить. Это более строгая версия правила «Reject», так как при этом отправителю не посылается ответ. Очень часто это правило предпочтительнее, так как потенциальные злоумышленники не знают о том, что случилось с их пакетом.

е) «Reject». Данное действие работает примерно так же, как правило «Drop», при этом возвращается сообщение «TCP RST» или «ICMP Unreachable», информирующее компьютер отправителя о том, что его пакет был отклонен.

5.3 Создайте для созданного выше правила расписание «Schedules»

5.3.1 В навигаторе откройте «Objects», выберите Schedules

Для любого IP правила можно определять расписание его действия. Например, в IT-политике предприятия может оговариваться, что web-трафик от конкретного отдела будет проходить только в течение рабочего времени. Другим примером может служить аутентификация с использованием определенного VPN-туннеля, которая допускается только по будням до полудня.

В этом примере создается объект «Schedule», предназначенный для рабочих часов в будние дни и связанный с IP-правилом, разрешающим прохождение HTTP-трафика.

1 Создайте новое расписание, нажав «Add Schedule».

2 Дайте подходящее имя, например «AllowHTTP».

3 Выберите в таблице период действие расписания: 08-17, с понедельника по пятницу, как показано на рисунке 4. В этой таблице определяется время, в течение каждой недели, когда применяется график. Время округляется до ближайшего часа. Расписание активно или неактивно в течение каждого часа каждый день недели. На рисунке 4 показано правило заполнения таблицы расписания для этого случая.

Рисунок 4 – Вид создания расписания для периода действия с понедельника по пятницу с 8:00 до 17:00

Также объект «Schedule» предоставляет возможность вводить несколько временных диапазонов для каждого дня недели. Кроме того, можно указать период запуска и остановки действия расписания (в полях «Start Date» и «End Date»), что будет накладывать дополнительные ограничения на расписание. Если используется опция «Start Date», то после истечения данного времени объект «Schedule» становится активным. Если используется опция «End Date», то после истечения данного времени объект Schedule становится неактивным.

4 Оставьте комментарий.

5 Нажатием кнопку OK, создание расписания завершится.

6 Вернитесь в созданное правило LAN_HTTP, созданное ранее, и выберите в поле «Schedule» значение только что созданного расписание «Allow HTTP». Таким образом правило «LAN_HTTP» будет применяться по расписанию «Allow HTTP».

5.3.2 Самостоятельное задание: «Создание сервера почты».

1) Создайте правило, позволяющее принимать рабочей станции трафик E-mail без проверки в рабочее время.

2) Исходные данные:

а) Протоколы электронной почты: SMTP (входящий порт 25), POP3 (порт 110), IMAP (порт 143).

б) Рабочее время: Понедельник, Среда, Пятница с 9:00 до 21:00.

3) Рекомендации по выполнению задания:

а) Создать сервис для входящих протоколов, объединить их в группу.

б) Определить только одно IP-правило, которое будет использоваться группой сервисов.

в) Создать расписание, и привязать его к IP правилу.

5.4 Изучите методы блокировки сайтов с помощью DFL-800

Web-трафик является одним из крупнейших источников нарушения безопасности и неправомерного использования сети Интернет. Просмотр Web-страниц может стать причиной угрозы безопасности сети. Производительность и пропускная способность Интернет-каналов также может быть нарушена.

Существуют следующие виды фильтраций Web-содержимого:

а) Функция «Active Content Handling» может использоваться для фильтрации Web-страниц с содержимым, рассматриваемым администратором как потенциальная угроза, например, объекты «ActiveX» и «Java Applets».

б) С помощью функции «Static Content Filtering» (Фильтрация статического содержимого) можно вручную классифицировать Web-сайты на разрешенные и запрещенные. Эта функция также известна как «белый/черный список» URL-адресов.

в) «Dynamic Content Filtering» (фильтрация динамического содержимого) – это эффективная функция, позволяющая администратору разрешать или блокировать доступ к Web-сайтам в зависимости от категории их классификации, выполненной службой автоматической классификации. Фильтрация динамического содержимого требует минимум усилий администратора и обеспечивает высокую точность.

Для примера заблокируем web-сайт http://www.google.ru/.

С помощью HTTP ALG система NetDefendOS может блокировать или разрешать доступ к определенным Web-страницам на основе списков URL-адресов, которые носят название «черные/белые списки». Этот тип фильтрации также известен как Static Content Filtering. Функции фильтрации статического содержимого является отличным инструментом и помогает принимать решения относительно того, разрешить или заблокировать доступ.

Для того чтобы начать создания правил фильтрации:

5.4.1 В меню навигатора выберите «Objects» а затем «ALG», как показано на рисунке 5.

Рисунок 5 – Вид расположения вкладки ALG

Для выполнения фильтрации пакетов нижнего уровня, с помощью которой выполняется проверка только заголовков пакетов, относящихся к протоколам IP, TCP, UDP и ICMP, межсетевые экраны NetDefend применяют «Application Layer Gateways» (ALGs), обеспечивающие фильтрацию на более высоком уровне в модели OSI, на уровне приложений.

Объект ALG действует как посредник для получения доступа к широко используемым Интернет приложениям за пределами защищенной сети, например, Web-доступ, передача файлов и мультимедиа. Шлюз прикладного уровня (ALG) обеспечивает высокий уровень безопасности, так как он способен выполнять тщательную проверку трафика по определенному протоколу, а также проверку на самых верхних уровнях стека TCP/IP.

5.4.2 Добавьте новый HTTP ALG, в главном окне нажмите «Add», а затем выберите «HTTP ALG».

Примечание: Протокол HTTP (HyperText Transfer Protocol) - это первичный протокол, используемый World Wide Web (WWW). HTTP является протоколом прикладного уровня на основе архитектуры запрос/ответ. Это протокол передачи без установления соединения, не использующий информацию о состоянии. Клиент, например Web-браузер, отправляет запрос на установку TCP/IP-соединения на известный порт (как правило, порт 80) удаленного сервера. Сервер отправляет ответ в виде строки, а затем собственное сообщение. Этим сообщением может быть, например, HTML-файл в Web-браузере, компонент ActiveX, работающий на клиенте, или уведомление об ошибке.

5.4.3 Установите галочки:

а) Strip ActiveX objects (including Flash);

б) Strip Java applets;

в) Strip JavaScript/VBScript.

Это позволит в созданном ALG проверять ActiveX объекты (в том числе Flash), Java и JavaScript/VBScript. Остальные поля оставьте без изменений, нажмите ОК.

5.4.4 Зайдите в созданный «HTTP ALG». В главном окне кликните «Add», и добавьте в него «HTTP ALG URL».

5.4.5 В поле «Action» из выпадающего списка выберите «Blacklist».

5.4.6 Для того чтобы добавить сайт yahoo.com в черный список, в поле URL введите URL: *.google.ru/*

Ниже приведены корректные и некорректные примеры использования URL-адресов в «черном списке»:

*.example.com/* - корректно, блокировка всех хостов в домене example.com и всех Web-страниц, используемых этими хостами.

www.example.com/* - корректно, блокировка Web-сайтов www.example.com и всех Web-страниц.

*/*.gif – корректно, блокировка всех файлов с расширением.gif.

www.example.com - некорректно, блокировка только первого запроса доступа на Web-сайт. Доступ, например на www.example.com/index.html, не будет заблокирован.

*example.com/* - некорректно, блокировка доступа на www.myexample.com, так как будет запрещен доступ на все сайты, имя которых заканчивается на example.com.

5.4.6 Нажмите OK.

5.4.7 Для созданного ALG необходимо создать сервис, для этого:

1 В навигаторе выберите папку «Objects», а затем «Services». В главном окне перечислены сервисы, определенные в межсетевом экране по умолчанию (рисунок 6).

Рисунок 6 – Список сервисов, определенных по умолчанию

2 Добавьте TCP/IP service, для этого:

3 В главном окне кликните «Add», из выпадающего списка выберите TCP/UDP Service.

4 В поле Name дайте имя создаваемому сервису. В рамках выполнения лабораторной работы, рекомендуется начинать имя с префикса A_ (например A_MySQL). Такой вид записи позволит отобразить созданный сервис в самой верхней строке списка.

5 В поле Type укажите тип протокола. HTTP использует протокол TCP.

6 В после Source укажите диапазон исходящих портов. От 0 до 65535.

7 В поле Destination укажите входящий порт. HTTP использует входящий порт 80. Также необходимо указать порт 3128 (этот порт является рабочим портом прокси-сервера института.). При создании нового сервиса, лучшей стратегией безопасности, является сужение списка портов, которое сможет использовать протокол, чтобы пропускались только те протоколы, которые действительно необходимы.

8 Во вкладке ALG выберите «Application Layer Gateway», созданный для сайта google.ru.

9 Нажмите ОК, создание сервиса для протокола HTTP будет завершено.

Примечание: был создан сервис, описывающий правило для протокола HTTP, разрешающее входящее соединение только через 80 порт.

5.4.8 Создайте для организованных выше сервисов правила «IP Rule». Для этого:

1 В навигаторе нажмите «Rule», выберите «IP Rules».

2 Создайте новую папку с правилами, для этого в главном окне нажмите «Add», затем «IP Rule Folder».

3 В созданной папке добавьте новое правило, нажатием «Add», и выбрав из выпадающего меню «IP Rule».

Правила действуют как фильтр, и определяют, какой трафик может проходить через МСЭ NetDefend, а какой нет. В этом примере рассматривается создание простого правила «Allow», разрешающего открытие HTTP-соединения через «lannet»-сеть на «lan»-интерфейсе к любой сети («all-nets») на wan-интерфейсе.

4 В поле «Name» укажите имя для создаваемого правила, например http_ALG.

5 В поле «Service» выберите сервис, созданный ранее.

6 В поле «Source Interface» (интерфейс источника), укажите: lan.

7 В поле «Source Network» (сеть источника), укажите: lannet.

8 В поле «Destination Interface» (интерфейс назначения), укажите: any.

9 В поле «Destination Network» (сеть назначения), укажите: all-nets.

10 В поле «Schedules» - расписание оставляем пустым.

11 В поле Action указывает действие, которое должно происходить с правилом, указываем: «NAT».

12 Нажмите правой кнопкой мыши на «http_ALG rule», далее нажмите «Move to Top», как показано на рисунке 7.

Рисунок 7 – Вид перемещения правил по списку

Подобное расположение необходимо соблюдать, т.к. МСЭ при работе с правилами просматривает список и выполняет требуемые операции, следуя сверху вниз по списку.

5.4.9 Сохраните и активируйте настройки.

Проверьте правильность настройки, открыв в браузере google.ru, если все сделано правильно появится сообщение о том, что политики безопасности запрещают доступ к этой странице (рисунок 8).

Рисунок 8 – Вид окна браузера, запрещающего доступ к странице

5.4.10 Самостоятельное задание: «Создание правил доступа к URL»

1) Заблокировать весь web-сайт http://www.yahoo.com/

2) Позволить посещение только http://sports.yahoo.com/

3) Рекомендации к выполнению задания: чтобы позволить посещать раздел сайта http://sports.yahoo.com/ необходимо произвести все те же настройки как в примере, описанном выше, но *.sports.yahoo.com/*добавить в белый лист (White List). Приоритет белого листа выше черного. Это значит, что в IP_Rule, правило, описывающее белый лист должно находиться выше правила, описывающего черный список.

5) Сделайте «Screen shot» настроек, прикрепите его к отчету.

5.5 Настроить авторизацию пользователей для доступа к интернету

Эта инструкция показывает, как настроить межсетевой экран для аутентификации пользователя с целью доступа в Интернет. Сначала необходимо определить, что пользователи, подключенные к Lan-интерфейсу, для доступа в интернет будут должны пройти авторизацию.

5.5.1 Зайдите в адресную книгу, для этого откройте в окне навигатора вкладку «Objects», выберите «Address Book».

1 Добавьте новый объект «IP address».

2 Во вкладке «General» дайте новой записи имя «Name» lan-auth (сокращение от аутентификация), и диапазон адресов – все адреса класса С: «IP Address» 192.168.1.0/24.

3 Во вкладке «User Authentication» в текстовое поле введите «webuser». Тем самым создается правило для пользователей с адресами класса С, принадлежащих группе «webuser».

4 Нажмите OК.