Cетевой экран Kaspersky Internet Security, разбираемся с настройками по умолчанию

Alexander Antipov

Первый шаг к безопасному путешествию по бескрайним просторам всевозможных сетей это конечно же установка надежного средства защиты. Одним из немногих таких средств является комплексный продукт Kaspersky Internet Security.


Первый шаг к безопасному путешествию по бескрайним просторам всевозможных сетей это конечно же установка надежного средства защиты. Одним из немногих таких средств является комплексный продукт Kaspersky Internet Security . Несмотря на то, что KIS продукт достаточно сложный, он сразу после установки готов выполнять все возложенные на него обязанности. Необходимость в дополнительных настойках возникает крайне редко, и это очень большой плюс разработчикам. Но необходимо понимать, что эта возможность базируется на острой грани компромиссных решений. В чем они заключаются рассмотрим на примере сетевого экрана.

Настройки сетевого экрана состоят из двух частей: правила для программ и пакетные правила. При помощи правил программ можно разрешать или запрещать определенным программам или группам программ посылать или принимать пакеты или устанавливать сетевые соединения. При помощи пакетных правил разрешается или запрещается устанавливать входящие или исходящие соединения, и передача или прием пакетов.

Посмотрим, что представляют собой правила для программ.

Все программы имеется четыре категории:

  1. Доверенные - им разрешено все без исключения.
  2. Слабые ограничения - установлено правило “запрос действия”, позволяющее пользователю по самостоятельно принимать решение о целесообразности сетевого общения программ этой группы.
  3. Сильные ограничения - в части разрешения работы с сетью, то же, что и слабые.
  4. Не доверенные - по умолчанию этим программам запрещено любое сетевое общение (по человечески очень жаль их).

В группу “доверенные” по умолчанию помещены все программы от Микрософт, собственно сам KIS и другие программы известных производителей. Для настроек по умолчанию выбор хороший, но лично я не стал бы всем программам, пусть даже и именитых производителей, так безраздельно доверять.

Как же попадают программы в ту или иную группу? Здесь все не так просто. Решение о помещении конкретной программы в одну из четырех групп принимается на основе нескольких критериев:

  1. Наличие сведений о программе в KSN (Kaspersky Security Network).
  2. Наличие у программы цифровой подписи (уже проходили).
  3. Эвристический анализ для неизвестных программ (что то типа гадания).
  4. Автоматически помещать программу в заранее выбранную пользователем группу.

Все эти опции находится в настройках “Контроль программ”. По умолчанию установлены первые три опции, использование которых и приводит к большому количеству “доверенных” программ. Четвертую опцию можно выбрать самостоятельно как альтернативу первым трем.

Проведем эксперимент. Поместим какую либо программу (например, браузер “Opera”) в список программ со слабыми ограничениями и посмотрим как работает правило “запрос действия”. Для вступления правил программ в действие нужно закрыть и снова открыть программу, правила для которой были изменены. Если теперь попробовать зайти на любой сайт, то никакого запроса действия не произойдет, а программа спокойно установит сетевое соединение. Как оказалось, правило “запрос действия” работает только если в основных параметрах защиты снят флажок с опции “Выбирать действие автоматически”.

Еще один сюрприз ожидает пользователей сетевых утилит типа ping, tracert (если правило “запрос действия” распространить на доверенные программы), putty (ssh клиент) и, возможно, им подобных. Для них KIS упорно не хочет выводить экран запроса действия. Здесь выход может быть только один - устанавливать разрешения для конкретной программы вручную.

Прежде, чем перейти к пакетным правилам, позволю себе один совет: создавайте для каждой группы программ свои подгруппы. Например: “Сетевые утилиты”, “Офисные программы”, “Программы для Интернета”, и т.д. Во первых, всегда можно будет быстро найти нужную программу, и, во вторых, можно будет устанавливать правила на определенные группы, вместо установки правил для отдельных программ.

Пакетные правила.

В пакетных правилах определяются отдельные признаки пакетов: протокол, направление, локальный или удаленный порт, сетевой адрес. Пакетные правила могут действовать как “разрешающие”, “запрещающие” и “по правилам программ”. Правила просматриваются сверху вниз пока не будет найдено разрешающее или запрещающее правило по совокупности признаков. Если правило для пакета не найдено, то применяется правило по умолчанию (последнее). Обычно в сетевых экранах последним правилом устанавливают запрет на прием и передачу любых пакетов, но для KIS это правило разрешающее.

Действие “по правилу программ” является по своей природе “окном” для собственно действий правил программ. Это удобно, поскольку можно определять очередность выполнения правил. Например, программа пытается отправить пакет на 53 порт DNS сервера. Если есть пакетное правило с действием “по правилам программ”, направлением “исходящее”, удаленный порт 53 (или не определен), и для программы установлено разрешающее правило для отправки пакета на 53 порт, то пакет будет отправлен, если программе запрещено отправлять пакеты на 53 порт, то этот пакет отправлен не будет.

Область действия правил охватывает определенную область: “любой адрес” (все адреса), “адрес подсети” - здесь можно выбрать тип подсети “доверенные”, “локальные” или “публичные”, и “адреса из списка” - указать IP адреса или доменные имена вручную. Отношение конкретной подсети к “доверенной”, “локальной” или “публичной” устанавливается в общих нстройках сетевого экрана.

Пакетные правила KIS, в отличие от большинства сетевых экранов, перегружены большим числом направлений: “входящее”, “входящее (поток)”, “исходящее”, “исходящее (поток)”, и “входящее/исходящее”. Причем, правила с некоторыми сочетаниями протокола и направления не работают. Например, правило запрета ICMP в сочетании с потоковыми направлениями работать не будет, т.е. запрещенные пакеты будут проходить. К UDP пакетам почему то применяются потоковые направления, хотя UDP протокол по своей природе как такового “потока” не создает, в отличии от TCP.

Еще один, не совсем приятный момент заключается в том, что в пакетных правилах отсутствует возможность указать реакцию на запрет входящего пакета: запретить прием пакета с уведомлением отправившей его стороны или просто отбросить пакет. Это так называемый режим “невидимости”, который раньше в сетевом экране присутствовал.

Теперь обратимся к собственно правилам.

1 и 2 правила разрешают по правилам программ отправлять DNS запросы по протоколам TCP и UDP. Безусловно, оба правила полезны, но в основном такие сетевые программы как почтовые и браузеры запрашивают адреса сайтов через системную службу DNS, за работу которой отвечает системная программа “svchost.exe”. В свою очередь, сама служба использует вполне конкретные адреса DNS серверов, указываемые вручную или через DHCP. Адреса DNS серверов меняются редко, так что вполне хватило бы разрешения отправки DNS запросов для системной службы “svchost.exe” на фиксированные сервера доменных имен.

3 правило разрешает программам отправку электронной почты по протоколу TCP. Здесь также, как и для первых двух правил, достаточно было бы создать правило для конкретной программы работы с электронной почтой указав на какой порт и сервер производить отправку.

4 правило разрешает любую сетевую активность для доверенных сетей. Будьте очень внимательны при включении этого правила, не перепутайте случайно тип сети. Это правило фактически отключает функции сетевого экрана в доверенных сетях.

5 правило разрешает любую сетевую активность по правилам программ для локальных сетей. Это правило хоть и не отключает полностью сетевой экран, но в значительной степени ослабляет его контрольные функции. По логике 4 и 5 правила нужно было бы разместить в самом верху, чтобы предотвратить обработку пакетов правилами 1 - 3 при нахождении компьютера в доверенной или локальной сети.

6 правило запрещает удаленное управление компьютером по протоколу RDP. Хотя область действия правила “все адреса”, но фактически оно действует только в “публичных сетях”.

7 и 8 правило запрещает доступ из сети к сетевым службам компьютера по протоколам TCP и UDP. Фактически правило действует только в “публичных сетях”.

9 и 10 правила разрешают всем без исключения подключаться к компьютеру из любых сетей, конечно исключая службы, запрещенные правилами 6 - 8. Действует правило только для программ с разрешенной сетевой активностью. Но будьте очень внимательны, сетевая активность по умолчанию разрешена практически всем программам за исключением не доверенных.

11 - 13 правила разрешают прием входящих ICMP пакетов для всех программ. Смысла в этих правилах не больше, чем в 1 - 3, потому, что ICMP в подавляющем большинстве случаев использует программа ping и tracert.

14 правилом запрещается прием всех типов ICMP пакетов, разумеется за исключением разрешенных правилами 11 - 13.

16 правило запрещает входящий ICMP v6 эхо запрос. ICMP v6 в подавляющем большинстве случаев не нужен. Можно было бы запретить его полностью.

17 правило разрешает все, что явно не разрешено или запрещено предыдущими правилами. Это правило хотя и не отображается на экране, но помнить о его существовании безусловно необходимо.

Настройки сетевого экрана KIS по умолчанию безусловно хороши и подходят большинству пользователей домашних компьютеров, на которых, собственно, и ориентирован этот продукт. Но гибкость и нетребовательность к дополнительным настройкам, о которой упоминалось в начале статьи, к сожалению достигается за счет безопасности самих же пользователей, делая эту самую безопасность очень сильно зависимой от человеческого фактора: знаний и безошибочных действий самого пользователя.

Чтобы добавить или изменить правило доступа к веб-ресурсам, выполните следующие действия:

  1. Откройте окно настройки параметров программы .
  2. В левой части окна в разделе Контроль рабочего места выберите подраздел Веб-Контроль .

    В правой части окна отобразятся параметры компонента Веб-Контроль.

  3. Выполните одно из следующих действий:
    • Если вы хотите добавить правило, нажмите на кнопку Добавить .
    • Если вы хотите изменить правило, выберите правило в таблице и нажмите на кнопку Изменить .

    Откроется окно .

  4. Задайте или измените параметры правила. Для этого выполните следующие действия:
    1. В поле Название введите или измените название правила.
    2. В раскрывающемся списке Фильтровать содержание выберите нужный элемент:
      • Любое содержание .
      • По категориям содержания .
      • По типам данных .
      • По категориям содержания и типам данных .
    3. Если выбран элемент, отличный от Любое содержание , откроются блоки для выбора категорий содержания и / или типов данных. Установите флажки напротив названий желаемых категорий содержания и / или типов данных.

      Установка флажка напротив названия категории содержания и / или типа данных означает, что Kaspersky Endpoint Security, в соответствии с правилом, контролирует доступ к веб-ресурсам, принадлежащим к выбранным категориям содержания и / или типам данных.

    4. В раскрывающемся списке Применять к адресам выберите нужный элемент:
      • Ко всем адресам .
      • К отдельным адресам .
    5. Если выбран элемент К отдельным адресам , откроется блок, в котором требуется создать список адресов веб-ресурсов. Вы можете добавлять или изменять адреса веб-ресурсов, используя кнопки Добавить , Изменить , Удалить .
    6. Установите флажок Укажите пользователей и / или группы .
    7. Нажмите на кнопку Выбрать .

      Откроется окно Microsoft Windows Выбор пользователей или групп .

    8. Задайте или измените список пользователей и / или групп пользователей, для которых разрешен или ограничен доступ к веб-ресурсам, описанным в правиле.
    9. Из раскрывающегося списка Действие выберите нужный элемент:
      • Разрешать . Если выбрано это значение, то Kaspersky Endpoint Security разрешает доступ к веб-ресурсам, удовлетворяющим параметрам правила.
      • Запрещать . Если выбрано это значение, то Kaspersky Endpoint Security запрещает доступ к веб-ресурсам, удовлетворяющим параметрам правила.
      • Предупреждать . Если выбрано это значение, то при попытке доступа к веб-ресурсам, удовлетворяющим правилу, Kaspersky Endpoint Security выводит предупреждение о том, что веб-ресурс не рекомендован для посещения. По ссылкам из сообщения-предупреждения пользователь может получить доступ к запрошенному веб-ресурсу.
    10. Выберите из раскрывающегося списка Расписание работы правила название нужного расписания или сформируйте новое расписание на основе выбранного расписания работы правила. Для этого выполните следующие действия:
      1. Нажмите на кнопку Настройка напротив раскрывающегося списка Расписание работы правила .

        Откроется окно Расписание работы правила .

      2. Чтобы добавить в расписание работы правила интервал времени, в течение которого правило не работает, в таблице с изображением расписания работы правила левой клавишей мыши выберите ячейки таблицы, соответствующие нужному вам времени и дню недели.

        Цвет ячеек изменится на серый.

      3. Чтобы в расписании работы правила изменить интервал времени, в течение которого правило работает, на интервал времени, в течение которого правило не работает, левой клавишей мыши выберите серые ячейки таблицы, соответствующие нужному вам времени и дню недели.

        Цвет ячеек изменится на зеленый.

      4. Нажмите на кнопку Сохранить как .

        Откроется окно Название расписания работы правила .

      5. Введите название расписания работы правила или оставьте название, предложенное по умолчанию.
      6. Нажмите на кнопку OK .
  5. В окне Правило доступа к веб-ресурсам нажмите на кнопку OK .
  6. Нажмите на кнопку Сохранить , чтобы сохранить внесенные изменения.

Нередко случается, что антивирус касперского, который должен обеспечивать безопасность локальной сети, наоборот всячески мешает доступу к сетевым ресурсам.

Поэтому здесь мы разберем, что делать, если касперский блокирует локальную сеть, и какие настройки необходимы, если доступ к компьютеру ограничен.

Прежде чем приступать к диагностике проблемы, убедитесь, что

  • - у вас установлена свежая версия антивируса;
  • - на компьютере обновлен драйвер на сетевую карту.

Что делать, если касперский блокирует локальную сеть?

Для проверки следует временно отключить защиту. Для этого правой кнопкой мыши кликните по значку антивируса в системном трее и выберите пункт «приостановить защиту».

Также необходимо отключить брандмауэр windows - Касперский сам выполнит задачу сетевого экрана, присвоит статусы и будет контролировать сетевое соединение. Если же оставить брандмауэр включённым, то антивирус будет периодически отключать сеть.

Необходимо сразу запомнить название сети и .

Для этого зайдите «Пуск» - «Панель управления» - «Сеть и интернет» - «Центр управления сетями и общим доступом» - «Изменение параметров адаптера» - «Подключение по локальной сети» (имя локальной сети по умолчанию - модель сетевой карты: Realtek RTL8102E…, Atheros и другие).

Настройка касперского для локальной сети:

1) откройте главное окно антивируса;
2) внизу слева кликните знак настройки (шестерёнка);
3) в левой колонке нажмите «защита»;
4) далее в правом окне - «сетевой экран»;

5) внизу - кнопку «сети»;
6) выберите свою сеть (название которой вы запомнили ранее)

Двойным кликом откройте свойства сети и выберите тип сети «доверенная сеть».
Далее по необходимости можно отключить драйвер NDIS filter (скорость обмена по сети значительно увеличится). Отключается он в настройках локальной сети и настройке не подлежит.

Включать и перезагружать компьютер необходимо с включенной локальной сетью и подключенным к сетевой карте компьютера кабелем, т.к. Касперский начинает конфликтовать со службой «Обозреватель компьютеров».

Также можно запрещать или ограничивать определённым программам выход в локальную сеть. Для этого выполните пункты с первого по четвёртый и выберите «Настроить правила программ».

Здесь есть на выбор четыре группы: доверенные, слабые ограничения, сильные ограничения и недоверенные. С помощью правой кнопки мыши выберите подходящий приоритет для работы программ, после чего добавьте новые группы и программы. Для этого выберите:

1)подробности и правила
2)сетевые правила
3)ограничения
4)сбросить параметры
5)удалить из списка
6)открыть папку программы

Правила программ по умолчанию «наследуются» от установленной программы, но их можно поменять на необходимые. Для этого правой кнопкой мыши кликните нужную программу (или подгруппу) и выберите соответствующий пункт в меню.

Расширенные функции администрирования у
позволяют удаленно централизовать и автоматизировать мониторинг уязвимостей, распространение исправлений и обновлений, ведение учета и развертывания программ, что не только экономит время администраторов, но и повышает безопасность организации.

Расширенные возможности системного администрирования подразумевают полный контроль администратора над подконтрольными устройствами через единую консоль управления. Благодаря данной функции, администратор может в любое время:

1. Узнать о появлении нового устройства или приложения, в том числе гостевого устройства. Данная функция позволяет централизованно управлять доступом пользователей и устройств к корпоративным данным и приложениям в соответствии с политикой компании.

2. Самостоятельно загружать, устанавливать, тестировать, обновлять приложения. Администратор может настроить автоматическую загрузку обновлений и исправлений с серверов «Лаборатории Касперского». Перед установкой программы, администратор вправе протестировать приложение на нагрузку производительности системы.

3. Проверять сеть для учета программного и аппаратного обеспечения. При проверке сети, администратор может получить полную картину корпоративной сети со всеми устройствами и определить устаревшие версии ПО, которые необходимо обновить, для повышения безопасности системы.

4. Выявлять уязвимости. Поиск уязвимостей может выполняться не только автоматически, но и по расписанию, которое задано администратором.

На данный момент сетевая инфраструктура предприятия требует усиленной защиты каждого элемента сети. Одним из самых уязвимых мест для атаки вредоносного ПО является файловый сервер. Чтобы защитить сервер требуется специализированное решение, которое способно обеспечить его должным уровнем безопасности.

Обладает большим количеством функций нежели . Одно из главных преимуществ этой программы является то, что она способна защитить файловые серверы от атаки шифровальщиков.

Функция

Kaspersky Endpoint Security 10 для Windows

(для файловых серверов)

Kaspersky Security 10 для Windows Server

Единая консоль Kaspersky Security Center 10

Защита терминальных серверов

Terminal Services (Remote Desktop Services) Windows Server 2008 R2

Terminal Services Windows Server 2008 R2 / 2012 / 2012 R2 Citrix XenApp 6.0, 6.5, 7.0, 7.5, 7.6 Citrix XenDesktop 7.0, 7.1, 7.5, 7.6

Распределение нагрузки на сервер

Определение серверов, работающих с высокой нагрузкой

Поддержка конфигурации Cluster mode

Поддержка конфигурации Core mode

Поддержка локальной операционной системы ReFS, используемой в Windows Server

Поддержка сетевого протокола управления SNMP устройствами в сетях TCP/UDP

Индивидуальная настройка защитных параметров для каждой защищаемой области

Контроль запуска приложений

Сетевой экран

Защита от шифровальщиков

Преследуемые цели – безопасность и еще раз безопасность

Давайте представим очень распространенную ситуацию: у вас в сети множество серверов, которые предоставляют какие-то сервисы. Очень вероятно, что некоторые из них имеют внешний интерфейс, который смотрит в WAN, т.е. в глобальную сеть. Обычно это Прокси-сервер, Web-сервер, почтовый и т.д. Ни для кого не секрет, что уже сам этот факт заставляет задуматься вас, как грамотного системного администратора о безопасности вашей сетевой инфраструктуры. Не имеет смысла рассказывать, чем может быть чревато проникновение хакера в вашу сеть. Есть множество вариантов обезопаситься от атак злоумышленика. Среди них – построение у себя так называемую демилитаризованную зону или опубликовать сервер через свой прокси, который уж точно (ведь так?) у вас настроен очень жестко и серьезно. Первый вариант (ДМЗ) пока не “поднят” ввиду каких-либо причин. Пусть это будет нехватка времени и оборудования у системного администратора. Второй (опубликовать через другой сервер) весьма спорный, его пока опустим. А пока для начала давайте настроим сетевой экран, он же брандмауэр, он же фаервол. Основная функция любого firewall – обезопасить доступ к нашему компьютеру извне. Я специально написал слово “компьютер”, ввиду того, что домашние компьютеры и рабочие станции тоже можно обезопасить с помощью экрана. Естественно, нет 100%-защиты при программном брандмауэре, но лучше так, чем ничего. К тому же, у меня такое ощущение, что после сегодняшних моих манипуляций сервер уже не будет подвержен риску Приступим.

Лабораторный стенд

Имеется сервер на базе Windows Server 2008 R2, предоставляющий сервис VPN с помощью службы Microsoft RAS. Брандмауэр Windows настроен по умолчанию. В нем я не копался, хотя стоило бы. Но т.к. есть корпоративная лицензия Kaspersky Enterprise Space Security, почему бы ей не воспользоваться и не установить Kaspersky Endpoint Security 8, в состав которого входит программный сетевой экран.

Настройка сетевого экрана Kaspersky

Сетевой экран Kaspersky Endpoint Security 8 идентичен многим экранам данного производителя, включая домашнюю версию Kaspersky Internet Security 2013, поэтому если у кого-то будет другая версия антивируса, то скорее всего данная статья ему также поможет. А теперь начнем.

Настройка – антивирусная защита – сетевой экран. Кликаем кнопку “Сетевые пакетные правила”. Получаем список правил, которые в данный момент работают. Какие-то из них что-то запрещают, другие – разрешают. В данный момент все выглядит примерно так:

Если вы заметили, скриншот неродной. Я его взял из другого продукта – KIS2013, но поверьте на слово – в KES8 все было точно также. И это сервер, где защита должна быть на высшем уровне! Как мы видим, тут многое есть и все примерно понятно: запросы DNS (TCP/UDP), отправка сообщений, любая активность с доверенных сетей полностью разрешена, с локальных – частично, отключен порт, отвечающий за удаленный рабочий стол, отключены различные порты TCP/UDP, а вот активность извне – частично, в конце 5 правил протокола ICMP. Да уж, половина правил непонятна, половина лишние. Давайте создадим лист с нуля и создадим свои собственные правила.

Первое, что я сделал, создал свое любимое правило – Deny All (запретить все)

и поместил его вниз. Затем с помощью поиска в интернете я выяснил, какие порты использует технология VPN. Это Protocol 47 , который имеет еще название GRE :

Правило с GRE я поместил выше запрещающего правила. Еще один порт, который надо открыть для VPN – 1723 . Поэтому я создал правило VPN_IN:

Правило с портом 1723 я поместил на самый верх. Остальные правила я немного видоизменил, некоторые оставил. Получился такой список (Firewall List):

Прокомментирую каждое.

Сразу оговорюсь, что полностью полагаться на эту статью не стоит. Возможно, что-то я упустил из виду. В вопросах безопасности я не гуру, поэтому заранее прошу прощения, если допустил какие-либо ошибки. Критика, пожелания и похвалы приветствуется, пишите комментарии внизу.

Вам так же понравится:

Мониторим нагрузку сервера с Munin