Вcтроенный межсетевой экран (firewall) Windows Server 2008
Персональный межсетевой экран появился в операционных системах семейства Windows, начиная с Windows XP / Windows Server 2003. В Windows Server 2008 возможности этого компонента существенно расширены, что позволяет более гибко производить настройки.
Текущие настройки можно посмотреть, запустив из Панели управления (ontrol Panel) Windows Firewall и выбрав в открывшемся окне ссылкуChange Settings. Появившееся окно управления параметрами межсетевого экрана содержит 3 вкладки (рис.11.1 a),b),c)). Первая из них позволяет включить или отключить межсетевой экран. Во включенном состоянии он может разрешать определенные входящие подключения или запрещать все входящие подключения (флажок Block all incoming connections).
Рис. 11.1. Окно управления параметрами межсетевого экрана
Упомянутые исключения определяются на вкладке Exceptions. Там есть ряд предопределенных правил, а также пользователь может добавлять свои. Если нужно, чтобы какое-то приложение при включенном межсетевом экране обслуживало входящие подключения, для него должно быть описано правило. Сделать это можно, либо указав программу (кнопка Add program), либо описав разрешаемый порт и протокол (кнопка Add Port). Пример формирования подобного правила представлен на рис. 11.1 d). Там дается разрешение для подключения на TCP-порт 8080. Если надо ограничить перечень IP-адресов, с которых производится подключение, это можно сделать, нажав кнопку Change Scope (по умолчанию, разрешены подключения с любого адреса).
Установка флажка Notify me when Windows Firewall blocks a new program приводит к тому, что при попытке нового приложения принимать входящие подключения, пользователю будет выдано сообщение. Если пользователь разрешит такой программе работать, для нее будет сформировано разрешающее правило.
Вкладка Advanced (рис. 11.1 c) позволяет включить или отключить межсетевой экран для отдельных сетевых интерфейсов.
Задание
Откройте окно управления межсетевым экраном.
Опишите действующие настройки.
Создайте новое разрешающее правило.
Пока что работа с межсетевым экраном практически не отличалась от того, что было в Windows Server 2003. Новые возможности мы увидим, если из меню Administrative Tools запустить оснастку Windows Firewall with Advanced Security. В окне оснастки можно увидеть настройки для разных профилей и выполнить более тонкую настройку правил фильтрации (рис. 11.2).
Рис. 11.2. Окно оснастки Windows Firewall with Advanced Security
Обратим внимание на правила фильтрации. Они разделены на две группы – входящие правила и исходящие правила. В нашем примере мы работаем на контроллере домена. И для контроллеров определено правило, разрешающее отправку icmp пакетов echo request (они, в частности, отправляются, если надо проверить доступность удаленного узла с помощью команды ping).
Задание
1. Найдите правило, разрешающее отсылку ICMP-пакетов echo reguest. Проверьте его работу для какого-нибудь узла из локальной или внешней сети, используя его IP-адрес (например, командой ping 192.168.0.10 можно проверить доступность компьютера с указанным адресом). Если ответ пришел, можно переходить ко второй части задания. Если ответа нет, попробуйте найти такой узел, который пришлет ответ.
2. Выбрав кнопку New Rule, создайте правило, запрещающее отсылку icmp-пакетов на данный узел. Проверьте его работу.
Теперь рассмотрим настройку, связанную с ведением журналов межсетевого экрана. По умолчанию журналирование отключено. Но если возникает подозрение, что межсетевой экран мешает установлению какого-то типа сетевых соединений, можно включить эту опцию и проанализировать журнал.
На рис. 11.3 представлено главное окно оснастки. Выберем пункт Firewall Properties и активируем ведение журнала отброшенных пакетов (рис. 11.4).
Рис. 11.3. Главное окно оснастки
Рис. 11.4. Активируем ведение журнала
Для этого в группе Logging в окне рис. 11.4 a) надо нажать кнопку Customize и выполнить настройку, представленную на рис. 11.4 b).
Задание
Активируйте ведение журнала.
Выполните команду ping для узла, для которого создавалось блокирующее правило.
Проверьте содержимое файла журнала (путь к нему описан в окне 11.4 b)
Записи должны быть примерно следующего вида:
Version: 1.5
#Software: Microsoft Windows Firewall
#Time Format: Local
#Fields: date time action protocol src- IP dst- IP src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path
2009-01-31 22:43:02 DROP ICMP 192.168.131.65 195.242.2.2 - - 0 - - - - 8 0 - SEND
2009-01-31 22:43:03 DROP ICMP 192.168.131.65 195.242.2.2 - - 0 - - - - 8 0 - SEND
2009-01-31 22:43:04 DROP ICMP 192.168.131.65 195.242.2.2 - - 0 - - - - 8 0 - SEND
2009-01-31 22:43:05 DROP ICMP 192.168.131.65 195.242.2.2 - - 0 - - - - 8 0 – SEND
Лабораторная работа 12
Настройка протокола IPSec
В данной лабораторной работе мы рассмотрим порядок настройки защищенного с помощью протокола IPSec соединения между клиентом и сервером.
Итак, у нас есть домен test.domain, в который входит сервер Server1, работающий под управлением операционной системы Windows Server2008. В домен также входит рабочая станция, которая работает под управлением ОС Windows. В домене развернут центр сертификации.
Целью работы является настройка протокола IPSec для шифрования всех данных, передаваемых между указанным сервером и рабочей станцией.
Для работы с политиками IPSec существует оснастка IPSecurity Policy Management. Если запустить консоль mmc и добавить эту оснастку, появится запрос, для какого объекта будет использоваться оснастка (рис. 12.1)
Рис. 12.1. Выбираем объект для работы
Настройку будем делать с помощью доменной политики, что и выбираем.
В ней существуют уже три предопределенные политики (рис. 12.2). Но нам нужна будет новая, управляющая работой конкретного сервера и клиента. Поэтому в контекстном меню выбираем пункт Create new security policy. И по запросу мастера назначаем ей имя Server1_Vista1.
Настройка в следующее окно понадобится в случае, если используются предыдущие (по сравнению с Windows Server 2008 / Windows Vista) версии операционных систем.
Выбрав в окне (рис. 12.4) пункт Edit Properties переходим непосредственно к созданию настроек.
Рис. 12.2. Предопределенные политики IPSec
Рис. 12.3. Окно мастера IP Security Policy
Рис. 12.4. Окно мастера IP Security Policy
Рис. 12.5. Добавляем правило
Нам понадобится новое правило, поэтому в окне, представленном на рис. 12.5, нажимаем кнопку Add. В следующем окне указываем, надо ли определять туннель. Так как мы планируем использовать IPSec в транспортном режиме, это не понадобится.
Рис. 12.6. Выбор типа соединения
Следующий запрос касается того, для каких подключений действует правило – для всех, подключений из локальной сети или извне. Нас устроит вариант "для всех" (All network connections). После этого будет предложено определить, в отношении какого типа трафика действует создаваемая политика (рис. 12.7).
Рис. 12.7. Фильтры позволяют определить, какие пакеты будут защищаться IPSec
Предустановленные правила нас не устраивают, т.к. нам нужно защищенное соединение между двумя конкретными узлами. Нажимаем кнопку Add, чтобы добавить новый список фильтров (рис. 12.8). Задаем ему имя и нажимаем кнопку Add, что приводит к запуску очередного мастера.
Рис. 12.8. Добавляем новый список фильтров
Работая с мастером, определим источник (source) пакетов (в выпадающем списке выберем A specific DNS name и укажем имяVista1.test.domain, для простоты будем считать, что IP-адрес этого хоста неизменен), получатель server1.test.domain. Далее можно выбрать защищаемый протокол. В нашем примере – любой (Any).
Таким образом, мы создали фильтр и теперь нужно отметить его, как использующийся (рис. 12.9).
Рис. 12.9. Выбираем созданный фильтр
В следующем окне запрашивается действие, если приходит незащищенный пакет. Его можно принять, при этом отвечая защищенной посылкой, а можно заблокировать (для этого предопределенного правила нет, нужно создать новое, нажав кнопку Add). Выбранный на рис. 12.10 вариант Require Security предполагает, что сервер может принимать незащищенные пакеты, но в ответ предлагает установку защищенного соединения.
Далее предлагается выбрать метод аутентификации (рис. 12.11). Выбор делается между Kerberos, сертификацией на основе цифровых сертификатов и предопределенным ключом. Последний вариант наименее надежен. Что же касается первых двух, то если подключения производятся внутри домена, можно выбрать Kerberos. Если узел внешний, но например, для него нашим корпоративным центром сертификации выпущен сертификат, можно применить второй метод аутентификации.
Таким образом, мы создали новую политику. Теперь ее надо назначить (Assign). Сделать это можно в редакторе доменной политики (Start—> Administrative Tools—> Group Policy Management найти Default Domain Policy и в контекстном меню выбрать Edit, после чего в разделе Computer Configuration —>Policies—> Windows Settings—>Security Settings найти политики IPSec, выбрать нужную и в контекстном меню выбрать Assign – рис. 12.12).
Рис. 12.10. Действия при получении незащищенного пакета
Рис. 12.11. Выбор метода аутентификации
Рис. 12.12. Назначение политики
Задание
Создайте политику IPSec.
Применив политику, проверьте соединение между компьютерами.
Вполне возможно, что сразу установить соединение не получится. Проблемы может вызвать использование межсетевых экранов (как встроенных в Windows, так и отдельных решений), трансляция адресов (NAT), если она применяется. Возможны и другие причины.
При выяснении причин неправильной работы может использоваться оснастка MMC IPSec Monitor (по умолчанию она не устанавливается, ее надо добавлять) – рис. 12.13.
Помощь может также оказать использование утилиты Network Monitor и анализ журналов межсетевых экранов (для встроенного МЭ Windows порядок работы описан в предыдущей лабораторной).
Рис. 12.13. Оснастка IPSec Monitor
Лабораторная работа 13