Działanie izolacji domen w Microsoft Windows     Obsługa zapory sieciowej Windows Firewall with Advanced Security w systemach Windows Vista i Windows Server 2008 – cz. 2.

Obsługa zapory sieciowej Windows Firewall with Advanced Security w systemach Windows Vista i Windows Server 2008 – cz. 1. Udostępnij na: Facebook

Opublikowano: 29 stycznia 2008

Zawartość strony
 Wstęp   Wstęp
 Windows Firewall with Advanced Security w ramach strategii bezpieczeństwa Defense in depth   Windows Firewall with Advanced Security w ramach strategii bezpieczeństwa "Defense in depth"
 Rodzaje zapór sieciowych   Rodzaje zapór sieciowych
 Zapory zlokalizowane w sieci granicznej   Zapory zlokalizowane w sieci granicznej
 Zapory instalowane na serwerach   Zapory instalowane na serwerach
 Podstawowe scenariusze związane z wdrażaniem zapór   Podstawowe scenariusze związane z wdrażaniem zapór
 Zapora na serwerze wykrywająca zmiany w sieci   Zapora na serwerze wykrywająca zmiany w sieci
 Izolowanie domeny i serwera   Izolowanie domeny i serwera
 Nowe lub ulepszone funkcje programu Windows Firewall with Advanced Security   Nowe lub ulepszone funkcje programu Windows Firewall with Advanced Security
 Podsumowanie   Podsumowanie

Wstęp

Windows Firewall with Advanced Security w systemach Windows Vista® i Windows Server® 2008 to rozbudowana, wykorzystująca serwer zapora sieciowa, która filtruje przesyłane pakiety w oparciu o reguły ustalone w trakcie jej konfiguracji. Konfiguracja na poziomie użytkownika nadal jest przeprowadzana za pośrednictwem panelu Windows Firewall Control Panel, ale zaawansowana konfiguracja odbywa się z użyciem wtyczki Windows Firewall with Advanced Security, działającej w ramach programu Microsoft Management Control (MMC). Zapewnia ona interfejs, pozwalający konfigurować zaporę sieciową Windows Firewall zarówno na lokalnych komputerach, jak i zdalnie, z wykorzystaniem narzędzi Group Policy. Ustawienia zapory są zintegrowane z protokołem IPsec, dzięki czemu może ona regulować przepływ pakietów w oparciu o wyniki przeprowadzonych przez niego negocjacji.

Windows Firewall with Advanced Security obsługuje osobne profile komputerów przypisanych do określonej domeny lub połączonych z prywatną albo publiczną siecią. Pozwala również definiować reguły umożliwiające izolowanie serwerów i domen. Omawiana aplikacja daje możliwość stosowania bardziej szczegółowych reguł niż poprzednie wersje zapory sieciowej Windows Firewall. Dotyczy to m. in. obsługi użytkowników i grup w ramach usługi Active Directory, określania adresów źródła i celu w protokole Internet Protocol (IP), definiowania numerów IP portów oraz ustawień ICMP i IPsec, korzystania z różnych typów interfejsów i usług oraz wielu innych.

 Do początku strony Do początku strony

Windows Firewall with Advanced Security w ramach strategii bezpieczeństwa "Defense in depth"

"Defense in depth" to implementacja strategii bezpieczeństwa, zakładająca stosowanie różnorodnych metod w celu chronienia komputerów oraz pozostałych elementów sieci przed atakami i innymi zagrożeniami. Ochrona musi obejmować zarówno sieć graniczną, jak i sieci wewnętrzne, aplikacje uruchomione na serwerach i klientach oraz zgromadzone tam dane.

 Do początku strony Do początku strony

Rodzaje zapór sieciowych

Zapora sieciowa może być zlokalizowana w sieci granicznej lub na specjalnym serwerze, stanowiącym część sieci wykorzystywanej w organizacji.

 Do początku strony Do początku strony

Zapory zlokalizowane w sieci granicznej

Zapory zlokalizowane w sieci granicznej zwykle mają wiele różnych funkcji. Opierają się one na rozwiązaniach sprzętowych, programowych lub na połączeniu technologii obu typów. Niektóre z nich zapewniają również usługi przejścia w warstwie aplikacji, np.: Microsoft® Internet Security and Acceleration (ISA) Server.

Większość tego typu zapór sieciowych posiada niektóre lub wszystkie z wymienionych poniżej funkcji:

  • Kontrola i zarządzanie ruchem w sieci poprzez kontrolowanie pakietów, monitorowanie połączeń i filtrowanie na poziomie aplikacji.
  • Rozbudowana analiza połączenia poprzez kontrolowanie komunikacji między hostami i przechowywanie zgromadzonych w ten sposób informacji w tabelach stanu.
  • Pełnienie funkcji bramy w wirtualnej sieci prywatnej (VPN) poprzez szyfrowanie, uwierzytelnianie w ramach protokołu IPsec oraz wykorzystanie technologii Network Address Translation-Traversal (NAT-T), pozwalającej na tłumaczenie adresów publicznych na adresy w sieci prywatnej.

Uwaga:

Nowa metoda NAT dla protokołu IPv6 o nazwie Teredo jest również dostępna w systemach Windows Vista i Windows Server 2008.

 Do początku strony Do początku strony

Zapory instalowane na serwerach

Zapory zlokalizowane w sieci granicznej nie są w stanie chronić zasobów organizacji przed zagrożeniami powstałymi wewnątrz jej sieci. Z tego względu pojawia się konieczność zainstalowania dodatkowych zapór na znajdujących się w niej komputerach, dzięki czemu będą one chronione przed nieuprawnionym dostępem i atakami. Przykład tej zapory to Windows Firewall with Advanced Security.

Aplikację Windows Firewall with Advanced Security można również skonfigurować tak, aby blokowała ona określone typy wysyłanych pakietów. W Windows Firewall with Advanced Security filtrowanie oraz ochrona oparta na protokole IPsec są ze sobą zintegrowane. Redukuje to prawdopodobieństwo konfliktu między regułami zapory oraz ustawieniami protokołu.

Uwaga:

Protokół IPsec udostępnia strukturę bezpieczeństwa dla warstwy sieciowej w stosie protokołu IPsec. Jest to zestaw protokołów zapewniający bezpieczeństwo, uwierzytelnianie i integrację danych.

 Do początku strony Do początku strony

Podstawowe scenariusze związane z wdrażaniem zapór

Korzystając z aplikacji Windows Firewall with Advanced Security, można zaimplementować następujące scenariusze:

  • Zapora na serwerze wykrywająca zmiany w sieci,
  • Izolowanie serwera i domeny.

 Do początku strony Do początku strony

Zapora na serwerze wykrywająca zmiany w sieci

Bardzo wiele aplikacji łączy się z Internetem w celu pobrania uaktualnień i danych oraz umożliwienia współpracy między użytkownikami. Niemniej opracowanie programu automatycznie dostosowującego się do zmiennych warunków w sieci jest trudnym zadaniem. Interfejsy API typu Network Awareness umożliwiają aplikacjom wykrywanie zmian w sieci, do której podłączony jest komputer, na którym zostały uruchomione (zauważane jest np. przejście przenośnego komputera w stan oczekiwania, a następnie jego ponowne uruchomienie w bezprzewodowym punkcie aktywnym). Dzięki temu systemy operacyjne Windows Vista i Windows Server 2008 mogą powiadamiać aplikacje o zmianach w sieci, pozwalając im odpowiednio zmodyfikować wykonywane operacje.

W systemach Windows Vista i Windows Server 2008 zapisywane są informacje na temat wszystkich sieci, do których zostały one podłączone. Interfejsy Network Awareness pozwalają aplikacjom wysyłać zapytania dotyczące różnych parametrów tych sieci, wliczając w to:

  • Łączność. Sieć może być całkowicie odłączona, zapewniać dostęp wyłącznie do lokalnych zasobów lub do sieci lokalnej i Internetu.
  • Połączenia. Komputer działający pod systemem Windows Vista lub Windows Server 2008 może wykorzystywać jedno lub więcej połączeń w celu uzyskania dostępu do sieci. Interfejsy Network Awareness pozwalają aplikacjom określić, z których połączeń system korzysta w danej chwili, łącząc się z określoną siecią.
  • Kategoria. W systemach Windows Vista i Windows Server 2008 każda sieć ma przypisaną kategorię identyfikującą jej typ. Niektóre ustawienia mogą ulec zmianie w zależności od kategorii sieci, do której komputer został podłączony. Na takiej zasadzie działa na przykład zapora sieciowa Windows Firewall with Advanced Security.

W aplikacji Windows Firewall with Advanced Security zdefiniowano trzy typy lokalizacji sieciowych:

  • Domeny. Systemy Windows Vista i Windows Server 2008 automatycznie umieszczają w tej kategorii sieci, w których mogą uzyskać dostęp do kontrolera domeny przypisanej do danego komputera. Żadna inna sieć nie może zostać umieszczona w tej kategorii.
  • Publiczna. Wszystkie sieci niezaklasyfikowane do pierwszej kategorii są wstępnie określane jako publiczne. Sieci posiadające bezpośrednie połączenie z Internetem lub znajdujące się w miejscach publicznych (takich, jak lotniska czy kawiarnie) należy pozostawić w tej kategorii.
  • Prywanta. Sieć może zostać przypisana do tej kategorii tylko wtedy, gdy aplikacja użytkownika tak ją zaklasyfikuje. Jedynie sieci chronione urządzeniem NAT (najlepiej sprzętową zaporą sieciową) można umieszczać w tej kategorii. Użytkownicy z reguły umieszczają w tej kategorii sieci domowe lub działające w ramach małych firm.

Kiedy użytkownik uzyska połączenie z siecią, która nie została zaklasyfikowana jako sieć domeny, system Windows prosi go o przypisanie jej do jednej z pozostałych dwóch kategorii. Aby zdefiniować sieć jako prywatną, użytkownik musi być administratorem komputera. Po wybraniu kategorii system może zoptymalizować niektóre ze swoich ustawień (zwłaszcza konfigurację zapory sieciowej) pod kątem wskazanego typu sieci.

Windows Firewall with Advanced Security jest aplikacją uwzględniającą parametry sieci. Administrator może opracować osobny profil (zawierający różne ustawienia zapory sieciowej) dla każdego typu sieci. Przykładowo, aplikacja Windows Firewall może automatycznie zezwalać na połączenia wykonywane przez wybrane narzędzie do zarządzania komputerami biurowymi, kiedy komputer połączony jest do sieci domeny, ale blokować te połączenia w sieciach prywatnych i publicznych. Dzięki temu uzyskiwana jest elastyczność w ramach sieci wewnętrznej, bez konieczności zmniejszania bezpieczeństwa w sytuacji, gdy jej użytkownicy się przemieszczają. Profil przeznaczony dla sieci publicznej powinien się cechować zaostrzonymi regułami, w celu ochrony lokalnych zasobów przed niepowołanym dostępem. Profil dla sieci prywatnej warto opracować w mniej restrykcyjny sposób, dzięki czemu możliwe będzie współdzielenie plików, zasobów i drukarek, odkrywanie urządzeń sieciowych oraz uzyskiwanie dostępu do urządzeń. W danej chwili wykorzystywany może być tylko jeden profil. Profile przypisywane są w następującej kolejności: publiczny, prywatny oraz domeny.

Profil ustalany jest w następujący sposób:

  1. Jeśli wszystkie interfejsy zostaną przypisane do kontrolera domeny odpowiadającej danemu komputerowi, wybierany jest profil domeny.
  2. Jeśli wszystkie interfejsy zostaną przypisane do kontrolera domeny lub są połączone z sieciami zaklasyfikowanymi jako prywatne, wybierany jest profil prywatny.
  3. W pozostałych przypadkach wybierany jest profil publiczny.

Domyślnie blokowana jest większość przysyłanych pakietów, tzn. blokowane są wszystkie pakiety za wyjątkiem podstawowej komunikacji w sieci. W profilu prywatnym dopuszczona jest komunikacja związana z odkrywaniem urządzeń sieciowych oraz pomocą zdalną. W celu dopuszczenia innego rodzaju połączeń należy opracować specjalne reguły dla zapory sieciowej. Domyślne ustawienia dopuszczają połączenia wychodzące. Niepożądane programy lub typy pakietów trzeba osobno zdefiniować.

 Do początku strony Do początku strony

Izolowanie domeny i serwera

W sieci zarządzanej z użyciem systemu Windows możemy logicznie wyizolować zasoby serwera i domeny, przyznając dostęp do nich jedynie uwierzytelnionym komputerom. Przykładowo, w ramach istniejącej sieci fizycznej możemy utworzyć sieć logiczną, w której komputery będą się komunikować w oparciu o wspólne zasady bezpieczeństwa. Każdy komputer w tak utworzonej sieci logicznej musi przejść proces uwierzytelniania przed nawiązaniem połączenia z inną maszyną.

Dzięki tego typu izolacji blokowany jest niepowołany dostęp do zasobów. Zapytania przesyłane z komputerów niebędących częścią sieci logicznej są ignorowane. Izolacja serwera i domeny może wspomóc ochronę cennych serwerów i danych oraz zabezpieczyć zarządzane komputery przed niepowołanym dostępem ze strony innych komputerów oraz użytkowników.

W celu ochrony zasobów sieciowych możemy zastosować dwa rodzaje izolacji:

  • Izolacja serwera. Izolacja serwera polega na ograniczeniu nawiązywanych z nim połączeń w ramach protokołu IPsec. Przykładowo, możemy skonfigurować serwer bazy danych tak, aby akceptował on wyłącznie połączenia z serwerem obsługującym aplikację sieciową.
  • Izolacja domeny. W celu wyizolowania domeny, wykorzystujemy członkostwo Active Directory. Ograniczamy za jego pomocą komunikację z komputerami wchodzącymi w jej skład do zabezpieczonych i uwierzytelnionych połączeń z innych komputerów, będących członkami tej samej domeny. Wyizolowana sieć składa się wyłącznie z komputerów należących do danej domeny. W ramach omawianego rozwiązania ochrona komunikacji między członkami domeny (w tym również serwerami i klientami) realizowana jest z użyciem protokołu IPsec.

 Do początku strony Do początku strony

Nowe lub ulepszone funkcje programu Windows Firewall with Advanced Security

Integracja z protokołem IPsec

We wtyczce Windows Firewall with Advanced Security filtrowanie pakietów oraz konfigurowanie reguł protokołu IPsec są zintegrowane. Aby skonfigurować protokół IPsec na komputerach działających pod wcześniejszymi wersjami systemu Windows, należy się posłużyć wtyczką IPsec Policy Management.

Rozbudowane możliwości uwierzytelnionego obejścia

Dzięki uwierzytelnianiu w ramach protokołu IPsec możemy skonfigurować reguły uwierzytelnionego obejścia dla wybranych komputerów tak, aby mogły one pomijać inne reguły zdefiniowane w aplikacji Windows Firewall with Advanced Security. Umożliwia to ograniczanie określonych rodzajów komunikacji do wybranych komputerów. Technikę tę warto zastosować wobec skanerów wyszukujących słabe punkty w systemie oraz aplikacji skanujących inne programy, komputery oraz sieci w poszukiwaniu luk w bezpieczeństwie (jako przykład można tu podać skaner portów). W poprzednich wersjach systemu możliwe było przyznanie komputerowi pełnego dostępu do zasobów innej maszyny pod warunkiem, że konfiguracja przeprowadzana była z wykorzystaniem protokołu IPsec. Nawet wtedy niemożliwe było jednak określanie portów, protokołów itp. Krótko mówiąc: wszystko albo nic. W systemach Windows Vista i Windows Server 2008 program Windows Firewall pozwala definiować bardziej szczegółowe reguły uwierzytelnionego obejścia. Dzięki nim administrator może wybrać porty, programy, komputery oraz grupy komputerów, które mogą uzyskać dostęp do określonych zasobów.

Ograniczenia Windows Service Hardening

Windows Service Hardening zapobiega wykorzystywaniu krytycznych usług systemu w atakach na system plików, rejestr oraz sieć. Aktywność zdefiniowana w regułach sieciowych Windows Service Hardening jako odbiegająca od normy jest natychmiast blokowana. Jeśli dana usługa zostanie wykorzystana do uruchomienia szkodliwego kodu, mechanizm uniemożliwia jej wysyłanie i otrzymywanie pakietów przez niedozwolone porty sieciowe. Zmniejsza to wpływ szkodliwego kodu na system. Zakres działania Windows Service Hardening nie jest ograniczony do usług systemu Windows — mechanizm ten może być również wykorzystany w produktach niezależnych producentów.

Bardziej szczegółowe reguły

Domyślnie Windows Firewall obsługuje zarówno połączenia wychodzące, jak i przychodzące. Domyślny profil zakłada blokowanie większości połączeń przychodzących i zezwalanie na połączenia wychodzące. Interfejs aplikacji Windows Firewall with Advanced Security można wykorzystać do skonfigurowania reguł dla obu wymienionych typów połączeń. Program obsługuje również filtrowanie wszystkich numerów protokołów Internet Assigned Numbers Authority (IANA), podczas gdy jego poprzednie wersje obsługiwały jedynie protokoły UDP, TCP oraz ICMP. Windows Firewall with Advanced Security umożliwia skonfigurowanie kont i grup Active Directory, nazw aplikacji, protokołów: TCP, UDP, ICMPv4 i ICMPv6, lokalnych i zdalnych adresów IP, typów interfejsów, jak również typu protokołu ICPM i mechanizmów filtrowania kodu.

Filtrowanie pakietów wychodzących

Aplikacja Windows Firewall umożliwia filtrowanie zarówno pakietów przychodzących, jak i wychodzących. Pozwala to administratorom wyznaczyć aplikacje, które mogą przesyłać dane do sieci, dzięki czemu łatwo osiągnąć zgodność z ustaloną strategią bezpieczeństwa organizacji.

Profile uwzględniające aplikacje

Możemy opracować różne reguły i ustawienia dla poniższych profili zapory sieciowej:

  • Profil domeny. Wykorzystywany, gdy komputer jest połączony z domeną Active Directory, której jest członkiem. Profil ten jest aktywny, gdy wszystkie interfejsy mogą nawiązać połączenie z kontrolerem domeny.
  • Profil prywatny. Wykorzystywany, gdy komputer jest podłączony do prywatnej sieci, chronionej przez bramę lub router. Sieć może być przypisana do tej kategorii wyłącznie przez użytkownika o uprawnieniach administratora.
  • Profil publiczny. Ten profil stosuje się, gdy komputer jest podłączony bezpośrednio do nowej sieci w miejscu publicznym. Profil publiczny jest aktywowany, jeśli maszyna ma dostęp do przynajmniej jednej sieci publicznej o niezdefiniowanych połączeniach.

Obsługa użytkowników, komputerów i grup Active Directory

Możliwe jest tworzenie reguł filtrujących połączenia w oparciu o dane użytkowników, komputerów oraz grup w ramach usługi Active Directory. W przypadku tych reguł połączenie musi być zabezpieczone z użyciem protokołu IPsec wykorzystującego mechanizm uwierzytelniania, uwzględniający informacje o koncie Active Directory (na przykład Kerberos V5).

Obsługa protokołu IPv6

Windows Firewall with Advanced Security w pełni obsługuje rdzenne protokoły IPv6, od IPv6 do IPv4 (od 6 do 4) oraz nową metodę NAT dla protokołu IPv6 noszącą nazwę Teredo.

 Do początku strony Do początku strony

Podsumowanie

W drugiej części artykułu omówimy zagadnienia zarządzania aplikacją Windows Firewall with Advanced Security i pojedynczym komputerem za pomocą wtyczki Windows Firewall with Advanced Security; aplikacją Windows Firewall with Advanced Security z użyciem narzędzi Group Policy oraz sposób korzystania z narzędzia Netsh advfirewall.

 Do początku strony Do początku strony


Działanie izolacji domen w Microsoft Windows     Obsługa zapory sieciowej Windows Firewall with Advanced Security w systemach Windows Vista i Windows Server 2008 – cz. 2.