Защитна стена Kaspersky InternetСигурност, работа с настройките по подразбиране

Александър Антипов

Първата стъпка към безопасното пътуване през необятните пространства на всякакви мрежи е, разбира се, инсталирането на надеждно средство за защита. Един от малкото такива инструменти е комплексният продукт Kaspersky интернет сигурност.


Първата стъпка към безопасното пътуване през необятните пространства на всякакви мрежи е, разбира се, инсталирането на надеждно средство за защита. Един от малкото такива инструменти е комплексният продукт Kaspersky Internet Security. Въпреки факта, че продуктът KIS е доста сложен, той е готов да изпълни всички възложени му задължения веднага след инсталирането. Необходимостта от допълнителни настройки е изключително рядка и това е много голям плюс за разработчиците. Но трябва да се разбере, че тази възможност се основава на остър ръб на компромисни решения. Какви са те, нека да разгледаме примера за защитна стена.

Настройките на защитната стена се състоят от две части: правила за приложения и правила за пакети. С помощта на правилата на приложението можете да разрешите или блокирате определени програми или групи от програми да изпращат или получават пакети или да установяват мрежови връзки. Правилата за пакети позволяват или отказват входящи или изходящи връзки, както и изпращане или получаване на пакети.

Нека да видим какви са правилата за програмите.

Всички програми имат четири категории:

  1. Доверени – позволено им е всичко без изключение.
  2. Слаби ограничения - установено е правилото „заявка за действие“, което позволява на потребителя самостоятелно да решава целесъобразността на мрежовата комуникация между програмите от тази група.
  3. Силни ограничения - по отношение на разрешението за работа с мрежата, същите като слабите.
  4. Untrusted - по подразбиране на тези програми е забранена каквато и да е мрежова комуникация (човешки, те много съжаляват).

По подразбиране групата „доверени“ включва всички програми от Microsoft, самата KIS и други програми от известни производители. За настройките по подразбиране изборът е добър, но лично аз не бих се доверил толкова напълно на всички програми, дори и на известни производители.

Как програмите попадат в една или друга група? Тук всичко не е толкова просто. Решението за поставяне на определена програма в една от четирите групи се взема въз основа на няколко критерия:

  1. Наличие на информация за приложението в KSN (Kaspersky Security Network).
  2. Програмата има цифров подпис(вече премина).
  3. Евристичен анализза неизвестни програми (нещо като гадаене).
  4. Автоматично поставяне на програмата в предварително избрана от потребителя група.

Всички тези опции се намират в настройките „Контрол на приложенията“. По подразбиране са зададени първите три опции, чието използване води до голям брой „доверени“ програми. Четвъртият вариант може да бъде избран независимо като алтернатива на първите три.

Нека направим експеримент. Нека поставим някоя програма (например браузър „Opera“) в списъка с програми със слаби ограничения и да видим как работи правилото „заявка за действие“. За да влязат в сила правилата на приложението, трябва да затворите и отворите отново приложението, чиито правила са променени. Ако сега се опитате да отидете на който и да е сайт, тогава няма да се появи заявка за действие и програмата тихо ще се инсталира мрежова връзка. Както се оказа, правилото „заявка за действие“ работи само ако опцията „Изберете действие автоматично“ не е отметната в основните настройки на защитата.

Друга изненада очаква потребителите на мрежови помощни програми като ping, tracert (ако правилото „заявка за действие“ се разшири до надеждни програми), putty (ssh клиент) и, вероятно, други подобни. За тях KIS упорито отказва да покаже екрана със заявка за действие. Може да има само един изход - ръчно да зададете разрешения за конкретна програма.

Преди да преминете към правилата на пакета, позволете ми да ви дам един съвет: създайте свои собствени подгрупи за всяка група програми. Например: „Мрежови помощни програми“, „ Офис програми“, „Програми за интернет” и др. Първо, винаги ще бъде възможно бързо да се намери желаната програма, и второ, ще бъде възможно да се задават правила за конкретни групи, вместо да се задават правила за отделни програми.

Пакетни правила.

Пакетните правила определят индивидуалните характеристики на пакетите: протокол, посока, локален или отдалечен порт, мрежов адрес. Правилата за пакети могат да действат като "разрешаване", "отказ" и "според правилата на програмата". Правилата се сканират отгоре надолу, докато се намери разрешаващо или отказващо правило въз основа на комбинацията от функции. Ако правилото за пакета не бъде намерено, се прилага правилото по подразбиране (последното). Обикновено при защитните стени последното правило е да се забрани приемането и предаването на всякакви пакети, но за KIS това правило е допустимо.

Действието „по програмно правило“ по своята същност е „прозорец“ за действителните действия на програмните правила. Това е удобно, защото можете да определите реда, в който се изпълняват правилата. Например, програмата се опитва да изпрати пакет до порт 53 на DNS сървъра. Ако има правило за пакет с действие „съгласно правилата на приложението“, посока „изходящ“, отдалечен порт 53 (или не е дефиниран) и е зададено правило за разрешаване на приложението да изпрати пакет до порт 53, тогава пакетът ще бъде изпратен, ако на програмата е забранено да изпраща пакети към порт 53, този пакет няма да бъде изпратен.

Обхватът на правилата обхваща конкретна област: „всеки адрес“ (всички адреси), „адрес на подмрежа“ - тук можете да изберете типа на подмрежата „доверен“, „местен“ или „публичен“ и „адреси от списъка“ - посочете IP адреси или имена на домейниръчно. Връзката на конкретна подмрежа с „доверена“, „локална“ или „обществена“ се задава в общите настройки на защитната стена.

KIS пакетните правила, за разлика от повечето защитни стени, са претоварени с голям брой посоки: „входящ“, „входящ (поток)“, „изходящ“, „изходящ (поток)“ и „входящ/изходящ“. Освен това правилата с някои комбинации от протокол и посока не работят. Например правило за отказ на ICMP няма да работи в комбинация с указания за поточно предаване; забранените пакети ще преминат. По някаква причина указанията за поточно предаване се прилагат към UDP пакети, въпреки че UDP протоколът по своята същност не създава „поток“ като такъв, за разлика от TCP.

Друг, не съвсем приятен момент е, че правилата за пакети нямат възможност да определят реакция при отказ на входящ пакет: да забранят получаването на пакет с известие на страната, която го е изпратила, или просто да отхвърлят пакета . Това е така нареченият режим на „невидимост“, който съществуваше в защитната стена.

Сега нека се обърнем към действителните правила.

Правила 1 и 2 позволяват, съгласно правилата на програмата, да изпращат DNS заявки чрез TCP и UDP протоколи. Разбира се, и двете правила са полезни, но основно такива мрежови програми като пощенски програми и браузъри изискват адреси на сайтове чрез системната услуга DNS, която се контролира от системната програма „svchost.exe“. От своя страна самата услуга използва много специфични адреси на DNS сървъри, посочени ръчно или чрез DHCP. Адресите на DNS сървърите рядко се променят, така че би било достатъчно да се разреши изпращането на DNS заявки за системната услуга „svchost.exe“ към сървъри с фиксирани имена на домейни.

Правило 3 позволява на програмите да изпращат електронна поща през TCP протокола. Тук, както и за първите две правила, би било достатъчно да създадете правило за конкретна програма, с която да работите електронна пощауказвайки към кой порт и сървър да се изпрати.

Правило 4 позволява всяка мрежова дейност за надеждни мрежи. Бъдете много внимателни, когато активирате това правило, не объркайте случайно типа мрежа. Това правило ефективно деактивира функционалността на защитната стена в надеждни мрежи.

Правило 5 позволява всяка мрежова дейност според правилата на програмите за локални мрежи. Въпреки че това правило не деактивира напълно защитната стена, то значително отслабва контролните й функции. Според логиката на 4 и 5, правилата трябваше да бъдат поставени най-отгоре, за да се предотврати обработката на пакети от правила 1 - 3, когато компютърът е в надеждна или локална мрежа.

Правило 6 забранява дистанционнокомпютър, използващ RDP протокол. Въпреки че обхватът на правилото е „всички адреси“, всъщност то работи само в „публични мрежи“.

Правила 7 и 8 забраняват достъпа от мрежата до мрежовите услуги на компютъра чрез TCP и UDP протоколите. Всъщност правилото важи само за „обществени мрежи“.

Правила 9 и 10 позволяват на всички без изключение да се свързват към компютъра от всякакви мрежи, разбира се, с изключение на услугите, забранени от правила 6 - 8. Правилото се прилага само за програми с разрешена мрежова активност. Но бъдете много внимателни, мрежовата активност е разрешена по подразбиране за почти всички програми, с изключение на ненадеждните.

Правила 11 - 13 позволяват получаването на входящи ICMP пакети за всички програми. Няма повече смисъл в тези правила, отколкото в 1 - 3, защото ICMP в по-голямата част от случаите използва пинг програмаи трасиращо устройство.

Правило 14 забранява получаването на всички видове ICMP пакети, разбира се, с изключение на разрешените от правила 11 - 13.

Правило 16 отказва входяща ICMP v6 ехо заявка. ICMP v6 не е необходим в по-голямата част от случаите. Може да бъде напълно забранено.

Правило 17 позволява всичко, което не е изрично разрешено или забранено от предишните правила. Въпреки че това правило не се показва на екрана, със сигурност е необходимо да запомните неговото съществуване.

Настройките на защитната стена по подразбиране на KIS със сигурност са добри и подходящи за повечето потребители на домашни компютри, към които всъщност е насочен този продукт. Но гъвкавост и неизискващ към допълнителни настройки, което беше споменато в началото на статията, за съжаление се постига за сметка на сигурността на самите потребители, правейки тази сигурност много зависима от човешкия фактор: знанията и безпогрешните действия на самия потребител.

За да добавите или редактирате правило за достъп до уеб ресурс:

  1. Отворете прозореца с настройки на програмата.
  2. От лявата страна на прозореца, в секцията Контрол на работното мястоизберете подраздела Уеб контрол.

    Настройките на компонента Web Control ще се покажат в дясната част на прозореца.

  3. Извършете едно от следните действия:
    • Ако искате да добавите правило, щракнете върху бутона Добавяне.
    • Ако искате да промените правилото, изберете правилото в таблицата и щракнете върху бутона Редактиране.

    Ще се отвори прозорец.

  4. Задайте или променете настройките на правилата. За да направите това, изпълнете следните стъпки:
    1. В полето Име въведете или променете името на правилото.
    2. Изпускайте Филтриране на съдържаниеизберете желания артикул:
      • Всякакво съдържание.
      • По категория съдържание.
      • По тип данни.
      • По категория съдържание и тип данни.
    3. Ако артикул, различен от Всякакво съдържание, ще се отворят полета за избор на категории съдържание и/или типове данни. Поставете отметки в квадратчетата до имената на желаните категории съдържание и/или типове данни.

      Поставянето на отметка в квадратчето до името на категорията съдържание и/или тип данни означава, че Kaspersky Endpoint Security, в съответствие с правилото, контролира достъпа до уеб ресурси, принадлежащи към избраните категории съдържание и/или типове данни.

    4. Изпускайте Приложете на адресиизберете желания елемент:
      • до всички адреси.
      • До индивидуални адреси.
    5. Ако е избран елемент До индивидуални адреси, ще се отвори блок, в който искате да създадете списък с адреси на уеб ресурси. Можете да добавяте или променяте адреси на уеб ресурси, като използвате бутоните Добавяне, Редактиране, Изтриване.
    6. Квадратче за отметка Посочете потребители и/или групи.
    7. Кликнете върху бутона Избор.

      Ще се отвори прозорец Microsoft Windows Избор на потребители или групи.

    8. Задайте или променете списъка с потребители и/или потребителски групи, за които е разрешен или ограничен достъп до уеб ресурсите, описани в правилото.
    9. От падащия списък Действие изберете необходимия елемент:
      • разрешително . Ако тази стойност е избрана, Kaspersky Endpoint Security позволява достъп до уеб ресурси, които отговарят на настройките на правилото.
      • Забранете . Ако тази стойност е избрана, Kaspersky Endpoint Security отказва достъп до уеб ресурси, които отговарят на настройките на правилото.
      • предупреди . Ако тази стойност е избрана, при опит за достъп до уеб ресурси, които отговарят на правилото, Kaspersky Endpoint Security показва предупреждение, че уеб ресурсът не се препоръчва за посещение. Използвайки връзките в предупредителното съобщение, потребителят може да получи достъп до искания уеб ресурс.
    10. Изберете от падащия списък График на правилатаимето на необходимия график или генерирайте нов график въз основа на избрания график за работа на правилото. За да направите това, изпълнете следните стъпки:
      1. Щракнете върху бутона Настройки до падащия списък График на правилата.

        Ще се отвори прозорец График на правилата.

      2. За да добавите интервал от време към графика на действие на правилото, през който правилото не работи, в таблицата с изображението на графика на действие на правилото щракнете с левия бутон върху клетките на таблицата, съответстващи на часа и деня от седмицата, от които се нуждаете.

        Цветът на клетката ще се промени на сив.

      3. За да промените интервала от време, през който правилото работи в графика за работа на правилото, на интервала от време, през който правилото не работи, изберете сивите клетки на таблицата, съответстващи на часа и деня от седмицата, от които се нуждаете, с левия бутон бутон на мишката.

        Цветът на клетката ще се промени на зелен.

      4. Кликнете върху бутона Запиши като.

        Ще се отвори прозорец Име на графика на правилото.

      5. Въведете име за графика на правилото или оставете името по подразбиране.
      6. Кликнете върху бутона OK.
  5. В прозореца Правило за достъп до уеб ресурсикликнете върху бутона OK.
  6. Щракнете върху бутона Запиши, за да запазите промените си.

Често се случва Kaspersky Anti-Virus, който трябва да гарантира сигурността на локалната мрежа, напротив, по всякакъв начин пречи на достъпа до мрежовите ресурси.

Ето защо тук ще анализираме какво да правим, ако Kaspersky блокира локална мрежаи какви настройки са необходими, ако достъпът до компютъра е ограничен.

Преди да диагностицирате проблем, уверете се, че

  • - сте инсталирали свежа версияантивирусна;
  • - драйверът за мрежовата карта е актуализиран на компютъра.

Какво да направите, ако Kaspersky блокира локалната мрежа?

За да проверите, временно деактивирайте защитата. За това Кликнете с десния бутонщракнете с мишката върху иконата на антивирусна програма в системната област и изберете „пауза на защитата“.

Също така е необходимо да деактивирате защитната стена на Windows - самият Kaspersky ще изпълнява задачата на защитната стена, ще задава статуси и ще контролира мрежовата връзка. Ако оставите защитната стена активирана, антивирусната програма периодично ще изключва мрежата.

Трябва незабавно да запомните името на мрежата и.

За да направите това, отидете на "Старт" - "Контролен панел" - "Мрежа и интернет" - "Център за мрежа и контрол" публичен достъп" - "Промяна на настройките на адаптера" - "Връзка с локална мрежа" (името на локалната мрежа по подразбиране е моделът на мрежовата карта: Realtek RTL8102E ..., Atheros и други).

Конфигуриране на Kaspersky за локалната мрежа:

1) отворете главния прозорец на антивирусната програма;
2) долу вляво щракнете върху знака за настройки (зъбно колело);
3) в лявата колона щракнете върху „защита“;
4) по-нататък в десния прозорец - "защитна стена";

5) в долната част - бутонът "мрежа";
6) изберете вашата мрежа (чието име сте запомнили по-рано)

Щракнете двукратно, за да отворите свойствата на мрежата и изберете типа на мрежата „доверена мрежа“.
Освен това, ако е необходимо, можете да деактивирате драйвера на филтъра NDIS (скоростта на мрежовия обмен ще се увеличи значително). Той е деактивиран в настройките на локалната мрежа и не може да бъде конфигуриран.

Необходимо е да включите и рестартирате компютъра с включена и свързана локална мрежа мрежова картакомпютърен кабел, т.к Kaspersky започва да влиза в конфликт с услугата Computer Browser.

Можете също да деактивирате или ограничите определени програмидостъп до локалната мрежа. За да направите това, следвайте стъпките от първа до четвърта и изберете „Конфигуриране на правила за приложение“.

Има четири групи за избор: надеждни, слаби ограничения, силни ограничения и ненадеждни. Използвайте десния бутон на мишката, за да изберете подходящия приоритет за изпълняваните програми и след това добавете нови групи и програми. За да направите това, изберете:

1) подробности и правила
2) мрежови правила
3) ограничения
4) нулиране на параметрите
5) премахване от списъка
6) отворете папката на програмата

Правилата на програмата са "наследени" по подразбиране от инсталирана програма, но те могат да бъдат променени до необходимите. За да направите това, щракнете с десния бутон върху желаната програма (или подгрупа) и изберете съответния елемент в менюто.

Разширени административни функции
ви позволяват дистанционно да централизирате и автоматизирате наблюдението на уязвимостите, разпространението на корекции и актуализации, управлението на инвентара и внедряването на софтуер, което не само спестява време на администраторите, но също така повишава сигурността на организацията.

Разширени възможности системна администрацияпредполагат пълен администраторски контрол върху контролираните устройства чрез единна конзола за управление. С тази функция администраторът може по всяко време:

1. Научете за ново устройство или приложение, включително устройство за гости. Тази функцияви позволява централно да управлявате достъпа на потребителите и устройствата до корпоративни данни и приложения в съответствие с фирмената политика.

2. Самостоятелно изтегляне, инсталиране, тестване, актуализиране на приложения. Администраторът може да задава автоматично изтеглянеактуализации и корекции от сървърите на Kaspersky Lab. Преди да инсталира програмата, администраторът има право да тества приложението за натоварване на производителността на системата.

3. Проверете мрежата за софтуер и хардуер. При проверка на мрежата администраторът може да получи пълна картина корпоративна мрежас всички устройства и идентифициране на остарели версии на софтуера, които трябва да бъдат актуализирани, за да се подобри сигурността на системата.

4. Идентифицирайте уязвимостите. Търсенето на уязвимости може да се извършва не само автоматично, но и по график, зададен от администратора.

На този моментмрежовата инфраструктура на предприятието изисква подобрена защитавсеки елемент от мрежата. Едно от най-уязвимите места за атака на зловреден софтуер е файловият сървър. За защита на сървъра е необходимо специализирано решение, което да му осигури необходимото ниво на сигурност.

Има повече функции от. Едно от основните предимства на тази програма е, че тя може да защити файловите сървъри от ransomware атаки.

функция

Kaspersky Endpoint Security 10 за Windows

(за файлови сървъри)

Kaspersky Security 10 за Windows сървър

Унифицирана конзола на Kaspersky Център за сигурност 10

защита терминални сървъри

Терминални услуги (услуги за отдалечен работен плот) Windows Server 2008 R2

Терминални услуги Windows Server 2008 R2 / 2012 / 2012 R2 Citrix XenApp 6.0, 6.5, 7.0, 7.5, 7.6 Citrix XenDesktop 7.0, 7.1, 7.5, 7.6

Разпределение на натоварването на сървъра

Идентифициране на сървъри, работещи под високо натоварване

Поддръжка за конфигуриране на клъстерен режим

Поддръжка на конфигурация на основния режим

Подкрепа за местни операционна система ReFS, използван в Windows Server

Поддръжка на мрежов протокол за управление на SNMP устройства в TCP/UDP мрежи

Индивидуална настройка на параметрите на защита за всяка защитена зона

Контрол на стартирането на приложението

Защитна стена

Защита от рансъмуер

Преследвани цели - безопасност и още веднъж безопасност

Нека си представим много често срещана ситуация: имате много сървъри във вашата мрежа, които предоставят някакъв вид услуга. Много е вероятно някои от тях да имат външен интерфейс, който гледа към WAN, т.е. към глобалната мрежа. Обикновено това е прокси сървър, уеб сървър, пощенски сървър и др. Не е тайна, че самият този факт ви кара да се замислите колко сте компетентни системен администраторотносно сигурността на вашата мрежова инфраструктура. Няма смисъл да ви казвам какво може да бъде проникването на хакер във вашата мрежа. Има много възможности да се защитите от атаки на нарушител. Сред тях - изграждане на така наречената демилитаризирана зона или публикуване на сървър през вашето прокси, което със сигурност (дали е така?) сте го настроили много трудно и сериозно. Първата опция (DMZ) все още не е „повдигната“ поради някакви причини. Нека да е липсата на време и оборудване на системния администратор. Второто (публикуване през друг сървър) е много спорно, засега ще го пропуснем. Междувременно, като за начало, нека настроим защитна стена, тя е защитна стена, тя също е защитна стена. Основната функция на всяка защитна стена е да осигури достъп до нашия компютър отвън. Специално написах думата „компютър“, защото домашните компютри и работни станции също могат да бъдат защитени с екран. Естествено няма 100% защита със софтуерна защитна стена, но е по-добре от нищо. Освен това имам чувството, че след днешните ми манипулации сървърът вече няма да бъде изложен на риск. Да започваме.

лабораторен стенд

Има сървър, базиран на Windows Server 2008 R2, който предоставя VPN услугас помощта на услугата Microsoft RAS. Защитна стена на Windowsконфигуриран по подразбиране. Не се задълбочих, въпреки че трябваше. Но тъй като има корпоративен лиценз за Kaspersky Enterprise Space Security, защо не го използвате и не инсталирате Kaspersky Endpoint Security 8, който включва софтуерна защитна стена.

Конфигуриране на защитната стена на Kaspersky

Защитната стена на Kaspersky Endpoint Security 8 е идентична с много защитни стени от този производител, включително началния екран. Kaspersky версия Internet Security 2013, така че ако някой има различна версия на антивирусната програма, най-вероятно тази статия също ще му помогне. А сега да започваме.

настройка - антивирусна защита- мрежов екран. Щракнете върху бутона „Правила за мрежови пакети“. Получаваме списък с правила, които работят в момента. Някои от тях забраняват нещо, други го позволяват. В момента всичко изглежда така:

Ако забележите, екранната снимка не е естествена. Взех го от друг продукт - KIS2013, но повярвайте ми на думата - всичко беше абсолютно същото в KES8. И това е сървър, където защитата трябва да е на най-високо ниво! Както виждаме, тук има много и всичко е приблизително ясно: DNS заявки (TCP / UDP), изпращане на съобщения, всяка дейност от надеждни мрежи е напълно разрешена, от локални - частично, портът, отговорен за отдалечения работен плот, е деактивиран , различни TCP / портове са деактивирани UDP, но активността отвън е частично, в края на 5 правила на ICMP протокола. Да, половината правила са неразбираеми, половината са излишни. Нека създадем лист от нулата и да създадем наши собствени правила.

Първото нещо, което направих, беше да създам любимото си правило - Отречи всички(бан всички)

и го постави долу. След това, като потърсих в Интернет, разбрах кои портове използва VPN технологията. то Протокол 47, което също има името GRE:

Поставих правилото GRE над правилото за забрана. Друг порт за отваряне за VPN е 1723 . Затова създадох правило VPN_IN:

Поставих правилото с порт 1723 най-отгоре. Промених малко останалите правила, оставих някои. Полученият списък (Списък на защитната стена):

Ще коментирам всеки.

Веднага трябва да кажа, че не трябва да разчитате напълно на тази статия. Може би съм пропуснал нещо. Не съм гуру по отношение на сигурността, така че се извинявам предварително, ако съм допуснал грешки. Критиките, пожеланията и похвалите са добре дошли, напишете коментари по-долу.

Ще харесате още:

Наблюдавайте натоварването на сървъра с Munin