Занятие 2. Контроль входящих соединений и защита сети

(Продолжительность занятия 15 минут)

Proxy Server может обеспечивать защиту Вашей интрасети и контроль доступа к ней из Интернета. Это занятие посвящено методам и средствам обеспечения безопасности Вашей сети.

Изучив материал этого занятия, Вы сможете:

• защитить Вашу локальную сеть от входящих соединений;
• объяснить важность отключения IP- маршрутизации;
• описать процедуру установки Proxy Server в многодоменной среде Windows NT;
• перечислить методы шифрования и аутентификации, поддерживаемые Proxy Server.

Если Вашим пользователям требуется только доступ в Интернет из локальной сети, то Proxy Server и Ваша сеть будут видны из Интернета лишь эпизодически. Такое положение не угрожает безопасности сети, так как в этом случае Proxy Server не находится в Интернете постоянно. Однако если Ваша компания предоставляет пользователям Интернета доступ к своим ресурсам, то Proxy Server, a возможно и вся Ваша сеть, постоянно доступны пользователям Интернета.

Правильный подход к созданию узла и применение соответствующих возможностей Proxy Server позволит Вам обеспечить защиту сети.

Контроль доступа к внутренней сети

Proxy Server контролирует сетевые соединения и повышает производительность работы пользователей, подключившихся через Интернет.

После установки Proxy Server локальная сеть полностью защищена от пользователей Интернета:

IP-маршрутизация на сервере отключена. При этом для маршрутизации всех соединений между внутренней и внешней сетями используется информация из таблицы локальных адресов (LAT);

прослушивание входных портов служб, необходимое для Web-публикаций, отключено. Пользователи Интернета не могут инициировать соединения с портами каких-либо служб, кроме разрешенных явным образом.

IP-маршрутизация

IP-маршрутизация обеспечивает свободное прохождение пакетов между внешним и внутренним сетевыми интерфейсами. Однако благодаря этому локальная сеть оказывается доступной из Интернета. Внешний пользователь может попытаться сначала проникнуть в локальную сеть, а затем атаковать какие-либо службы сервера. Такое вторжение, в свою очередь, открывает «гостю» другие серверы или конфиденциальные данные в сети, хотя это и маловероятно.

Если в Вашей частной сети используется протокол TCP/IP, возложите маршрутизацию всех пакетов на Proxy Server, предотвратив таким образом попадание несанкционированных IP-пакетов в Вашу сеть. Для этого на сервере сбросьте флажок Enable IP Forwarding на вкладке Routing диалогового окна Microsoft TCP/IP Properties. Последнее доступно с помощью апплета Network панели управления.

В приведенном ниже упражнении Вы убедитесь, что IP-маршрутизация отключена. Это необходимо для защиты Вашей внутренней сети от доступа из Интернета.

> Проверка состояния IP-маршрутизации

1. В Панели управления дважды щелкните значок Network. Появится диалоговое окно Network.
2. Откройте вкладку Protocols.
3. Выберите в списке пункт TCP/IP и щелкните кнопку Properties. Появится диалоговое окно Microsoft TCP/IP Properties.



4. Откройте вкладку Routing.
5. Убедитесь, что флажок Enable IP Forwarding сброшен.
6. Щелкайте кнопку ОК до тех пор, пока не закроете все диалоговые окна.

Планирование структуры доменов Windows NT

В многодоменных средах вероятны ситуации, когда пользователи Интернета имеют доступ к Proxy Server. В такой среде рассмотрите вариант установки Proxy Server на контроллере домена, у которого есть односторонние доверительные отношения с другим доменом Вашей частной сети. При этом домен, куда входит компьютер Proxy Server, называется доменом-доверителем, а внутренний домен - доверенным.

В случае попытки вторжения извне такая конфигурация ограничит несанкционированный доступ пределами домена, куда входит компьютер Proxy Server, и обеспечит защиту остальных доменов Вашей локальной сети от взломщика. Кроме того, впоследствии новые серверы Proxy Server Вы сможете добавлять в один и тот же домен, сохраняя преимущества защиты, присущие этой модели.

Более подробную информацию об установке доверительных отношений и о концепции доменов Вы найдете в комплекте документации Windows NT Server.

Предоставление прав доступа внешним пользователям

В некоторых случаях требуется предоставить внешнему пользователю — например, доверенному партнеру или клиенту — доступ к внутренней сети. Назначая права доступа внешним пользователям, руководствуйтесь следующими соображениями:

• предоставляйте права доступа только тогда, когда это действительно необходимо;
• усложните пароли и посоветуйте пользователям следовать рекомендациям по выбору надежных паролей;
• по возможности используйте встроенные учетные записи. Иногда требуется обеспечить отдельным пользователям защищенное индивидуальное соединение с Вашим внутренним Web-сервером. В этом случае усложните все пароли и порекомендуйте пользователям установить Web-обозреватель, поддерживающий механизм аутентификации Challenge/Response Windows NT (например, Internet Explorer 3.0);
• переименуйте учетную запись Administrator и группу Administrators;
• аутентифицируйте пользователей с помощью механизма Challenge/Response Windows NT;
• будьте умеренны, открывая внешние порты сетевых протоколов;
• тщательно настройте доступ к портам TCP/IP в Windows NT;
• будьте особенно внимательны при назначении прав доступа к портам протоколов службы WinSock Proxy.

  Никогда не предоставляйте пользователям Интернета неограниченный доступ к портам протоколов прикладного уровня. В большинстве случаев должен быть разрешен только доступ к протоколам HTTP или HTTP-S. Если Вы работаете с протоколами UDP для потоковых технологий (таких, как RealAudio или VDOLive), примените встроенную гостевую учетную запись, чтобы присвоить соответствующие права доступа и обеспечить полную аутентификацию пользователей таких служб.

Контроль доступа на уровне пакетов

Proxy Server способен контролировать поступление внешних пакетов ( из Интернета) во внутреннюю сеть с помощью фильтрования пакетов внешнего сетевого интерфейса. Эту функцию можно включить в любой службе Proxy Server, причем все изменения параметров фильтрования распространяются на все службы.

При фильтровании пакеты из Интернета перехватываются и анализируются до того, как они попадают к Proxy Server. Можно настроить фильтр так, чтобы принимать или игнорировать заданные типы пакетов, дейтаграммы или фрагменты пакетов, проходящие через Proxy Server. Кроме того, Вы вправе блокировать прием пакетов с конкретных узлов Интернета.

Режимы фильтрования пакетов

Контроль за тем, какие порты TCP или UDP открыты для соединения, осуществляется в двух режимах: динамическом (автоматическом) и статическом (ручном).

При использовании динамического фильтрования пакетов указанные порты автоматически открываются для приема и передачи данных. После прерывания соединения любой службой Proxy Server эти порты немедленно закрываются. Таким образом минимизируются число открытых портов и время, в течение которого порт остается открытым. В результате достигается высокий уровень безопасности и простота администрирования — всю работу выполняют службы Web Proxy,

WinSock Proxy и Socks Proxy. Настоятельно рекомендуем Вам включить динамическое фильтрование пакетов.

Для более тонкого контроля средствами соответствующего интерфейса задайте статические фильтры. Они понадобятся и в том случае, когда на компьютере Proxy Server выполняются приложения, которым требуется доступ в Интернет.

Шифрование

Proxy Server может использовать средства аутентификации и защиты Internet Information Server. Когда пользователю разрешается доступ к службе Web Proxy, no умолчанию включается туннелирование SSL.

SSL поддерживает шифрование данных и аутентификацию на сервере. Все данные, передаваемые с помощью SSL от клиента и обратно, шифруются. Если совместно с SSL применяется механизм базовой аутентификации HTTP, имя пользователя и его пароль передаются серверу только после шифрования клиентскими средствами SSL.

Если для обеспечения дополнительной гибкости и безопасности работы клиентов Вы хотите использовать протокол РРТР, можно сконфигурировать Proxy Server так, чтобы разрешить прохождение соответствующих пакетов.

ISAPI-расширения также позволяют расширить возможности аутентификации запроса. Подробнее об ISAPI-расширениях — в главе 18, «Архитектура Microsoft Proxy Server».

Резюме

Для обеспечения безопасности локальной сети отключите прослушивание входных портов служб и (если в Вашей сети используется протокол TCP/IP) убедитесь, что отключена IP-маршрутизация. Если требуется предоставить внешнему пользователю доступ к Вашей внутренней сети, делайте это осторожно и учитывайте рекомендации данного занятия. В больших сетях на базе Windows NT для обеспечения максимальной защиты рекомендуется создать в локальной сети отдельный домен для серверов Proxy Server и установить с ним односторонние доверительные отношения.