Брандмауэр в составе Windows XP
Андрей Фетисов
andreyf@ecoinvent.ru
Новая ОС Microsoft Windows XP включает встроенную систему сетевой защиты — Брандмауэр подключения к Интернету (Internet Connection Firewall, ICF). Это средство предназначено прежде всего для защиты компьютеров, либо непосредственно связанных с общедоступной сетью, либо использующих общее подключение к Интернету (Internet Connection Sharing, ICS). Брандмауэр подключения к Интернету может оказаться полезным инструментом для защиты домашней сети или сети небольшого офиса.
Принцип работы
Брандмауэр ICF осуществляет анализ и фильтрацию трафика, проходящего через сетевой интерфейс, используя для этого набор правил. Фильтрация пакетов подразумевает принятие или отклонение передаваемых через сеть данных — решение основывается на анализе информации в заголовке каждого пакета данных. В результате применения правил сетевой пакет либо отклоняется, либо пропускается. Критериями фильтрации пакетов обычно служат такие данные, как IP-адрес источника, номер порта и т. д.
По умолчанию все подключения к Интернету, созданные с помощью мастера создания сетевых подключений, защищаются брандмауэром ICF. Для изменения параметров ICF необходимо войти в систему, используя учетную запись пользователя из группы "Администраторы".
Чтобы включить или отключить брандмауэр для Интернет-соединений, выполните
следующие действия:
- Откройте элемент Панели управления "Сетевые подключения"..
- Выделите соединение, которое требуется защитить брандмауэром, — удаленный
доступ, подключение по локальной сети или высокоскоростное подключение к Интернету,
и затем в группе "Типичные сетевые задачи" нажмите кнопку "Изменение настроек
отдельного подключения".. - На вкладке "Дополнительные параметры" в группе "Брандмауэр подключения к
Интернету" установите или снимите флажок "Защитить мое подключение к Интернету"
— брандмауэр будет соответственно включен или выключен (рис. 1).
Рис. 1. Включение брандмауэра.
|
В корпоративной среде системный администратор может ограничить возможности пользователей настраивать брандмауэр ICF с помощью групповой политики. Например, можно задать принудительное включение брандмауэра ICF при работе пользователя за пределами корпоративной сети.
Фильтрация пакетов на основе состояния
В отличие от статического фильтра пакетов, принимающего решения о приеме или отклонении пакета исключительно на основе адресной информации, фильтр пакетов на основе состояния принимает решение с учетом информационного контекста сеанса — это обеспечивает более широкие возможности фильтрации.
Информация о состоянии сеанса представляет собой таблицу потоков сетевых подключений. Для протоколов, ориентированных на соединение, например, TCP, поток подключения эквивалентен определению протокола подключения (включая адрес источника и адрес назначения, номера используемых портов и используемый протокол). Поток подключения для протокола без установления логического соединения, например, UDP, представляет собой набор пакетов, переданных между общими конечными точками (например, IP-адрес1/Порт1 и IP-адрес2/Порт2) без прерывания. Прерыванием в данном случае называется отсутствие пакетов, соответствующих данному потоку, в течение определенного периода времени. По завершении потока подключения информация о состоянии удаляется из таблицы.
Политика защиты на основе состояния включает три правила.
- Любой пакет, соответствующий установленному потоку подключения, принимается.
- Исходящий пакет, не соответствующий установленному потоку подключения, создает
новый вход в таблице потока подключения и пересылается. - Принятый пакет, не соответствующий установленному потоку подключения, отклоняется.
Настройка параметров защиты
Параметры ICF, заданные по умолчанию, в большинстве случаев не требуют изменений. Они ориентированы на использование обычного клиентского доступа в Интернет (просмотр Web-страниц, работа с электронной почтой). При этом все незапрашиваемые входящие подключения отклоняются.
Если пользователям требуется доступ к сетевым службам за брандмауэром ICF (например, к Web-сайту фирмы, расположенному во внутренней сети), следует настроить статические фильтры, обеспечивающие правила в системе сетевой защиты для обработки входящих сетевых подключений. В этом случае в окне "Дополнительные параметры" нужно нажать кнопку "Добавить" и в появившемся диалоговом окне "Параметры службы" ввести следующую информацию (рис. 2):
- описание службы: Web Server (HTTP);·
- имя или IP-адрес: 192.168.0.4 (IP-адрес Web-сервера);·
- номер внешнего порта службы: 80;·
- номер внутреннего порта службы: 80.
Рис. 2. Добавление фильтра для обработки входящих сетевых подключений.
|
Чтобы обеспечить доступ к файлам на локальном компьютере, необходимо в окне
"Дополнительные параметры" нажать кнопку "Добавить" и в появившемся диалоговом
окне "Параметры службы" ввести следующую информацию (рис. 3):
- описание службы: SMB traffic TCP;
- имя или IP-адрес: 127.0.0.1;
- номер внешнего порта службы: 445;
- номер внутреннего порта службы: 445.
Рис. 3. Добавление фильтра для доступа к файлам на локальном компьютере.
|
Ведение журнала безопасности
В брандмауэре ICF есть возможность вести журнал безопасности. Формат файла журнала соответствует спецификации Extended Log File Format (расширенный формат файла журнала), предложенной организацией W3C (http://www.w3.org/TR/WD-logfile.html). Журнал безопасности представляет собой текстовый ASCII-файл, который можно импортировать для анализа данных.
По умолчанию ведение журнала безопасности ICF отключено. Брандмауэр ICF поддерживает
четыре основные функции журнала регистрации (рис. 4):
- Запись пропущенных пакетов — в журнал заносятся сведения обо всех потерянных
пакетах, исходящих из внутренней сети или из Интернета. - Запись успешных подключений — в журнал заносятся сведения обо всех успешных
подключениях, инициированных из внутренней сети или из Интернета. - Задание имени и местоположения журнала. По умолчанию имя файла журнала —
pfirewall.log. Файл журнала по умолчанию располагается в папке %windir%. Пользователь
может изменять имя и расположение файла журнала. - Управление размером журнала. По умолчанию размер файла — 4096 Кбайт; максимальный
размер — 32 767 Кбайт.
Рис. 4. Параметры журнала безопасности.
|
Регистрация всех успешных подключений может значительно увеличить объем журнала безопасности, однако контроль неудачных попыток соединений может оказаться полезным и дать хорошее представление о сетевых атаках, предпринятых против вашей системы.
Чтобы изменить путь и имя файла журнала безопасности, откройте элемент Панели управления "Сетевые подключения", выделите подключение, защищенное брандмауэром, затем в группе "Типичные сетевые задачи" щелкните ссылку "Изменение настроек отдельного подключения". На вкладке "Дополнительные параметры" нажмите кнопку "Настройка". На вкладке "Ведение журнала безопасности" в группе "Параметры файла журнала" нажмите кнопку "Обзор" и укажите то место, где должен будет храниться файл журнала. В поле "Имя файла" введите новое имя файла журнала (или оставьте поле незаполненным, чтобы ему было присвоено имя по умолчанию — pfirewall.log) и нажмите кнопку "Открыть".
Вид журнала безопасности приведен на рис. 5. В табл. 1 и 2 описываются сведения, хранящиеся в журнале.
Рис. 5. Файл журнала безопасности.
|
Таблица 1. Заголовок журнала безопасности
Элемент | Описание | Пример |
#Version: | Номер установленной версии журнала безопасности Брандмауэра подключения к Интернету |
1.0 |
#Software: | Имя программы, создающей журнал безопасности | Microsoft Internet Connection Firewall |
#Time: | Режим отсчета времени при записи в журнал отметок времени | Local |
#Fields: | Статический список полей, доступных для записей журнала безопасности при наличии данных |
date, time, action, protocol, src-ip, dst-ip, src-port, dst-port, size, tcpflags, tcpsyn, tcpack, tcpwin, icmptype, icmpcode, info |
Таблица 2. Тело журнала
Поле | Описание | Пример |
date | Дата регистрации события. Представляется в формате ГГГГ-ММ-ДД (ГГГГ — год, ММ — месяц, ДД — число) |
2001-01-27 |
time | Время регистрации события с точностью до секунды. Время записывается в формате ЧЧ:ММ:СС, где ЧЧ — часы в 24-часовом цикле, ММ — минуты, СС — секунды |
21:36:59 |
action | Операция, зарегистрированная брандмауэром. Могут записываться следующие действия: OPEN (открытие), CLOSE (закрытие), DROP (отклонение) и INFO-EVENTS-LOST (потерянные события). Для действия INFO-EVENTS-LOST указывается число событий, которые имели место, но не были занесены в журнал |
OPEN, CLOSE, DROP, INFO-EVENTS-LOST |
protocol | Протокол, использовавшийся для передачи данных. Если протокол отличен от TCP, UDP и ICMP, в этом поле указывается число пакетов |
TCP, UDP, ICMP |
src-ip | Исходный IP-адрес (адрес компьютера, пытавшегося установить связь). Записывается в следующем формате: (число).(число).(число).(число) |
192.168.0.1 |
dst-ip | IP-адрес назначения (адрес объекта, с которым исходный компьютер пытался установить связь). Записывается в следующем формате: (число).(число).(число).(число) |
192.168.0.1 |
src-port | омер исходного порта на компьютере-отправителе. Задается целым числом в диапазоне от 1 до 65 535. Действительное значение порта возвращают только протоколы TCP и UDP. Все остальные протоколы не поддерживают параметр src-port, для них в этом поле записывается знак "- (дефис) |
4039 |
dst-port | орт компьютера назначения. Номер порта задается целым числом в диапазоне от 1 до 65 535. Действительное значение порта возвращают только протоколы TCP и UDP. Все остальные протоколы не поддерживают параметр dst-port, для них в этом поле записывается знак "- (дефис) |
53 |
size | Размер пакета в байтах | 60 |
tcpflags | Флаги управления TCP, содержащиеся в заголовке TCP пакета IP: Ack Acknowledgment field significant (включение поля подтверждения) Fin No more data from sender (конец массива данных отправителя) Psh Push Function (функция принудительной доставки) Rst Reset the connection (сброс подключения) Syn Synchronize sequence numbers (синхронизация порядковых номеров) Urg Urgent Pointer field significant (включение поля указателя срочных данных). Флаги записываются прописными буквами. Содержимое полей флагов TCP предназначено для пользователей, обладающих углубленными знаниями о протоколе TCP. Дополнительные сведения о протоколе можно найти в спецификации RFC 793 |
AFP |
tcpsyn | Порядковый номер TCP в пакете | 1315819770 |
tcpack | Номер подтверждения TCP в пакете | 0 |
tcpwin | Размер окна TCP в байтах, указанный в пакете | 64240 |
icmptype | Число, представляющее значение поля Type (Тип) в сообщении ICMP | 8 |
icmpcode | Число, представляющее значение поля Code (Код) в сообщении ICMP | 0 |
Info | Сведения, зависящие от типа действия. Например, для действия INFO-EVENTS-LOST записывается число событий, произошедших с момента последней регистрации события этого типа, но не занесенных в журнал |
23 |
Протокол ICMP
В Брандмауэре подключения к Интернету имеется возможность настройки параметров протокола межсетевых управляющих сообщений ICMP (Internet Control Message Protocol) (рис. 6). Протокол ICMP — обязательный стандарт TCP/IP, описанный в документе RFC 792. С помощью ICMP узлы и маршрутизаторы, использующие протокол IP, могут сообщать об ошибках и обмениваться ограниченной управляющей информацией и сведениями о состоянии.
Рис. 6. Дополнительные параметры ICMP.
|
Для отправки эхо-запросов и приема эхо-ответов ICMP можно использовать команду ping. Сообщения ICMP позволяют выявлять неполадки в работе сетей и узлов, а также устранять другие неполадки TCP/IP-соединений. По умолчанию брандмауэр ICF не отвечает на входящие ICMP-пакеты.
Программные интерфейсы ICF
Microsoft предлагает набор программных интерфейсов API, позволяющий независимым разработчикам ПО реализовывать программное взаимодействие с брандмауэром ICF. При вызове методов ICF из приложения появляется диалоговое окно, дающее пользователю возможность принять или отклонить выполняемое действие. Подавить появление такого окна программным способом невозможно.
Современная домашняя сеть или локальная сеть небольшого офиса должна быть оборудована
надежным средством сетевой защиты. Встроенная в Windows XP система сетевой защиты
отличается простотой настройки и ориентирована на домашних пользователей. В
то же время для более опытных пользователей существует возможность более гибкой
настройки параметров сетевой защиты.
Источники дополнительной информацииДополнительную информацию о брандмауэре ICF можно найти в официальных http://www.microsoft.com/windowsxp/pro/techinfo/planning/firewall/default.asp http://www.microsoft.com/windowsxp/pro/techinfo/planning/security/ http://support.microsoft.com/support/kb/articles/Q310/4/05.asp http://support.microsoft.com/support/kb/articles/Q308/1/27.asp http://support.microsoft.com/support/kb/articles/Q283/6/73.asp http://support.microsoft.com/support/kb/articles/Q298/8/04.asp http://support.microsoft.com/support/kb/articles/Q307/5/54.asp http://msdn.microsoft.com/library/default.asp? |