Firewall Kaspersky Internet Zabezpečení, zabývající se výchozím nastavením

Alexandr Antipov

Prvním krokem k bezpečné cestě přes obrovské rozlohy všemožných sítí je samozřejmě instalace spolehlivého ochranného prostředku. Jedním z mála takových nástrojů je komplexní produkt Kaspersky internetová bezpečnost.

Prvním krokem k bezpečné cestě přes obrovské rozlohy všemožných sítí je samozřejmě instalace spolehlivého ochranného prostředku. Jedním z mála takových nástrojů je komplexní produkt Kaspersky Internet Security. Přestože je produkt KIS poměrně složitý, je ihned po instalaci připraven plnit všechny povinnosti, které mu byly přiděleny. Potřeba dalších nastavení je extrémně vzácná a to je velmi velké plus pro vývojáře. Je ale třeba chápat, že tato možnost je založena na ostré hraně kompromisních řešení. Jaké to jsou, podívejme se na příklad firewallu.

Nastavení brány firewall se skládá ze dvou částí: pravidel aplikace a pravidel paketů. Pomocí pravidel aplikace můžete povolit nebo zablokovat určitým programům nebo skupinám programů odesílání nebo přijímání paketů nebo vytváření síťových připojení. Pravidla pro pakety povolují nebo zakazují příchozí nebo odchozí spojení a odesílání nebo přijímání paketů.

Podívejme se, jaká jsou pravidla pro programy.

Všechny programy mají čtyři kategorie:

1. Důvěryhodní – je jim dovoleno vše bez výjimky.
2. Slabá omezení - bylo zavedeno pravidlo „požadavek na akci“, které uživateli umožňuje samostatně rozhodnout o účelnosti síťové komunikace mezi programy této skupiny.
3. Silná omezení – ohledně povolení pracovat se sítí, stejná jako ta slabá.
4. Nedůvěryhodný - ve výchozím nastavení je těmto programům zakázána jakákoli síťová komunikace (lidsky je to velmi líto).

Ve výchozím nastavení skupina „důvěryhodná“ zahrnuje všechny programy od společnosti Microsoft, samotný KIS ​​a další programy od známých výrobců. Pro výchozí nastavení je výběr dobrý, ale osobně bych všem programům, i slavným výrobcům, tak úplně nevěřil.

Jak se programy dostanou do té či oné skupiny? Všechno zde není tak jednoduché. Rozhodnutí zařadit konkrétní program do jedné ze čtyř skupin se provádí na základě několika kritérií:

1. Dostupnost informací o aplikaci v KSN (Kaspersky Security Network).
2. Program má digitální podpis(již prošlo).
3. Heuristická analýza pro neznámé programy (něco jako věštění).
4. Automaticky umístěte program do skupiny předem zvolené uživatelem.

Všechny tyto možnosti se nacházejí v nastavení „Ovládání aplikací“. Ve výchozím nastavení jsou nastaveny první tři možnosti, jejichž použití vede k velkému počtu „důvěryhodných“ programů. Čtvrtou možnost lze zvolit nezávisle jako alternativu k prvním třem.

Udělejme experiment. Zařaďme nějaký program (například prohlížeč „Opera“) do seznamu programů se slabými omezeními a podívejme se, jak funguje pravidlo „žádost o akci“. Aby pravidla aplikace vstoupila v platnost, musíte zavřít a znovu otevřít aplikaci, jejíž pravidla byla změněna. Pokud se nyní pokusíte přejít na jakoukoli stránku, nedojde k žádnému požadavku na akci a program se tiše nainstaluje internetové připojení. Jak se ukázalo, pravidlo „požadavek na akci“ funguje pouze v případě, že v hlavním nastavení ochrany není zaškrtnuta možnost „Vybrat akci automaticky“.

Další překvapení čeká na uživatele síťových utilit jako ping, tracert (pokud se pravidlo „request for action“ rozšíří na důvěryhodné programy), putty (ssh klient) a případně podobně. Pro ně KIS tvrdošíjně odmítá zobrazit obrazovku s žádostí o akci. Existuje pouze jedna cesta ven - nastavit oprávnění pro konkrétní program ručně.

Než přejdeme k pravidlům pro balíčky, dovolte mi dát vám jednu radu: vytvořte si vlastní podskupiny pro každou skupinu programů. Například: „Síťové nástroje“, „ Kancelářské programy““, „Programy pro internet“ atd. Za prvé, bude vždy možné rychle najít požadovaný program a za druhé bude možné nastavit pravidla pro konkrétní skupiny, namísto nastavování pravidel pro jednotlivé programy.

Pravidla pro pakety.

Pravidla paketů definují jednotlivé vlastnosti paketů: protokol, směr, místní nebo vzdálený port, síťovou adresu. Pravidla paketů mohou fungovat jako „povolit“, „zakázat“ a „podle pravidel programu“. Pravidla jsou kontrolována shora dolů, dokud není nalezeno povolovací nebo zakazovací pravidlo na základě kombinace funkcí. Pokud není pravidlo pro balíček nalezeno, použije se výchozí pravidlo (poslední). Obvykle je u firewallů posledním pravidlem zákaz příjmu a přenosu jakýchkoli paketů, ale pro KIS je toto pravidlo povoleno.

Akce „podle programového pravidla“ je svou povahou „oknem“ pro skutečné akce programových pravidel. To je výhodné, protože můžete určit pořadí, ve kterém se pravidla provádějí. Program se například pokusí odeslat paket na port 53 serveru DNS. Pokud existuje pravidlo pro pakety s akcí „podle pravidel aplikace“, směr „odchozí“, vzdálený port 53 (nebo není definován) a je nastaveno pravidlo povolení, aby aplikace odeslala paket na port 53, paket bude Pokud má program zakázáno odesílat pakety na port 53, tento paket nebude odeslán.

Rozsah pravidel zahrnuje konkrétní oblast: „libovolná adresa“ (všechny adresy), „adresa podsítě“ – zde můžete vybrat typ podsítě „důvěryhodná“, „místní“ nebo „veřejná“ a „adresy ze seznamu“ – zadejte IP adresy popř. názvy domén ručně. Vztah konkrétní podsítě k „důvěryhodné“, „lokální“ nebo „veřejné“ se nastavuje v obecném nastavení firewallu.

Pravidla paketů KIS jsou na rozdíl od většiny firewallů přetížena velkým počtem směrů: „příchozí“, „příchozí (tok)“, „odchozí“, „odchozí (tok)“ a „příchozí/odchozí“. Navíc pravidla s některými kombinacemi protokolu a směru nefungují. Například pravidlo odepření ICMP nebude fungovat v kombinaci se směry streamování; zakázané pakety projdou. Z nějakého důvodu jsou směry streamování aplikovány na pakety UDP, ačkoli protokol UDP ze své podstaty nevytváří „stream“ jako takový, na rozdíl od TCP.

Dalším, ne úplně příjemným bodem je, že pravidla pro pakety nemají možnost specifikovat reakci na odmítnutí příchozího paketu: zakázat příjem paketu s upozorněním na stranu, která jej odeslala, nebo paket jednoduše zahodit. . Toto je takzvaný režim „neviditelnosti“, který býval ve firewallu.

Nyní pojďme ke skutečným pravidlům.

Pravidla 1 a 2 umožňují podle pravidel programu zasílat DNS požadavky přes protokoly TCP a UDP. Obě pravidla jsou samozřejmě užitečná, ale v zásadě takové síťové programy, jako jsou mailery a prohlížeče, požadují adresy stránek prostřednictvím systémové služby DNS, která je řízena systémovým programem „svchost.exe“. Samotná služba zase používá velmi specifické adresy serverů DNS, zadané ručně nebo pomocí DHCP. Adresy serverů DNS se mění jen zřídka, takže by stačilo povolit odesílání požadavků DNS pro systémovou službu „svchost.exe“ na servery s pevnými názvy domén.

Pravidlo 3 umožňuje programům odesílat e-maily přes protokol TCP. Zde, stejně jako u prvních dvou pravidel, by stačilo vytvořit pravidlo pro konkrétní program pro práci e-mailem určující, na který port a server se má odeslat.

Pravidlo 4 povoluje jakoukoli síťovou aktivitu pro důvěryhodné sítě. Při povolování tohoto pravidla buďte velmi opatrní, nenechte si omylem splést typ sítě. Toto pravidlo účinně zakáže funkčnost brány firewall v důvěryhodných sítích.

Pravidlo 5 umožňuje jakoukoli síťovou aktivitu podle pravidel programů pro místní sítě. Toto pravidlo sice zcela nevyřadí firewall z provozu, ale výrazně oslabí jeho kontrolní funkce. Podle logiky 4 a 5 měla být pravidla umístěna úplně nahoře, aby se zabránilo zpracování paketů pravidly 1 - 3, když je počítač v důvěryhodné nebo lokální síti.

Pravidlo 6 zakazuje dálkové ovládání počítač používající protokol RDP. Ačkoli je rozsah pravidla „všechny adresy“, ve skutečnosti funguje pouze ve „veřejných sítích“.

Pravidla 7 a 8 zakazují přístup ze sítě k síťovým službám počítače prostřednictvím protokolů TCP a UDP. Ve skutečnosti toto pravidlo platí pouze pro „veřejné sítě“.

Pravidla 9 a 10 umožňují každému bez výjimky připojit se k počítači z libovolných sítí, samozřejmě s výjimkou služeb zakázaných pravidly 6 - 8. Pravidlo platí pouze pro programy s povolenou síťovou aktivitou. Buďte ale velmi opatrní, síťová aktivita je standardně povolena téměř u všech programů, s výjimkou nedůvěryhodných.

Pravidla 11 - 13 umožňují příjem příchozích paketů ICMP pro všechny programy. Tato pravidla nemají větší smysl než 1 - 3, protože ICMP v drtivé většině případů používá ping program a tracer.

Pravidlo 14 zakazuje příjem všech typů ICMP paketů, samozřejmě s výjimkou těch povolených pravidly 11-13.

Pravidlo 16 zamítne příchozí žádost o echo ICMP v6. ICMP v6 není v naprosté většině případů potřeba. Dalo by se to úplně zakázat.

Pravidlo 17 povoluje vše, co není výslovně povoleno nebo zakázáno předchozími pravidly. Toto pravidlo se sice na obrazovce nezobrazuje, ale určitě je nutné si jeho existenci připomenout.

Výchozí nastavení firewallu KIS je jistě dobré a vhodné pro většinu domácích uživatelů počítačů, na které je ve skutečnosti tento produkt zaměřen. Ale flexibilita a nenáročnost další nastavení, který byl zmíněn na začátku článku, je bohužel dosahován na úkor bezpečnosti samotných uživatelů, čímž je právě toto zabezpečení velmi závislé na lidském faktoru: znalostech a nezaměnitelném jednání samotného uživatele.

Postup přidání nebo úpravy pravidla přístupu k webovému prostředku:

1. Otevřete okno nastavení programu.
2. Na levé straně okna, v sekci Kontrola pracoviště vyberte podsekci Web Control.

   Nastavení komponenty Web Control se zobrazí v pravé části okna.

3. Proveďte jednu z následujících akcí:
   • Pokud chcete přidat pravidlo, klikněte na tlačítko Přidat.
   • Pokud chcete pravidlo změnit, vyberte pravidlo v tabulce a klikněte na tlačítko Upravit.

   Otevře se okno.

4. Nastavte nebo změňte nastavení pravidel. Chcete-li to provést, postupujte takto:
   1. Do pole Název zadejte nebo změňte název pravidla.
   2. Pokles Filtrujte obsah vyberte požadovanou položku:
      • Jakýkoli obsah.
      • Podle kategorie obsahu.
      • Podle typu dat.
      • Podle kategorie obsahu a typu dat.
   3. Pokud jde o jinou položku než Jakýkoli obsah, otevřou se políčka pro výběr kategorií obsahu a/nebo datových typů. Zaškrtněte políčka vedle názvů požadovaných kategorií obsahu a/nebo datových typů.

      Zaškrtnutí políčka vedle názvu kategorie obsahu a/nebo datového typu znamená, že aplikace Kaspersky Endpoint Security v souladu s pravidlem řídí přístup k webovým zdrojům patřícím do vybraných kategorií obsahu a/nebo datových typů.

   4. Pokles Použít na adresy vyberte požadovaný prvek:
      • na všechny adresy.
      • Na jednotlivé adresy.
   5. Pokud je vybrána položka Na jednotlivé adresy, otevře se blok, ve kterém chcete vytvořit seznam adres webových zdrojů. Adresy webových zdrojů můžete přidat nebo změnit pomocí tlačítek Přidat , Upravit , Odstranit.
   6. Zaškrtávací políčko Zadejte uživatele a/nebo skupiny.
   7. Klikněte na tlačítko Vybrat.

      Otevře se okno Microsoft Windows Výběr uživatelů nebo skupin.

   8. Nastavte nebo změňte seznam uživatelů a/nebo skupin uživatelů, kterým je povolen nebo omezen přístup k webovým zdrojům popsaným v pravidle.
   9. Z rozevíracího seznamu Akce vyberte požadovanou položku:
      • Povolení . Pokud je vybrána tato hodnota, Kaspersky Endpoint Security umožňuje přístup k webovým zdrojům, které odpovídají nastavení pravidla.
      • Zakázat . Pokud je vybrána tato hodnota, Kaspersky Endpoint Security odepře přístup k webovým zdrojům, které odpovídají nastavení pravidla.
      • Varovat . Pokud je tato hodnota vybrána, při pokusu o přístup k webovým zdrojům, které odpovídají pravidlu, aplikace Kaspersky Endpoint Security zobrazí varování, že webový zdroj není doporučen k návštěvě. Pomocí odkazů ve výstražné zprávě může uživatel získat přístup k požadovanému webovému zdroji.
   10. Vyberte z rozevíracího seznamu Plán pravidel název požadovaného plánu nebo vygenerujte nový plán na základě zvoleného plánu provozu pravidel. Chcete-li to provést, postupujte takto:
       1. Klikněte na tlačítko Nastavení vedle rozevíracího seznamu Plán pravidel.

          Otevře se okno Plán pravidel.

       2. Chcete-li do plánu operací pravidla přidat časový interval, během kterého pravidlo nefunguje, v tabulce s obrázkem plánu operací pravidla klikněte levým tlačítkem na buňky tabulky odpovídající požadovanému času a dni v týdnu.

          Barva buňky se změní na šedou.

       3. Chcete-li změnit časový interval, během kterého pravidlo funguje v plánu činnosti pravidla na časový interval, během kterého pravidlo nefunguje, vyberte šedé buňky tabulky odpovídající požadovanému času a dni v týdnu levým tlačítkem tlačítko myši.

          Barva buňky se změní na zelenou.

       4. Klikněte na tlačítko Uložit jako.

          Otevře se okno Název plánu pravidla.

       5. Zadejte název plánu pravidla nebo ponechte výchozí název.
       6. Klepněte na tlačítko OK.
5. V okně Pravidlo přístupu k webovému prostředku klikněte na tlačítko OK.
6. Kliknutím na tlačítko Uložit změny uložíte.

Často se stává, že Kaspersky Anti-Virus, který má zajistit bezpečnost místní sítě, naopak všemi možnými způsoby narušuje přístup k síťovým zdrojům.

Proto zde budeme analyzovat, co dělat, pokud Kaspersky blokuje lokální síť a jaká nastavení jsou potřeba, pokud je přístup k počítači omezen.

Před diagnostikou problému se ujistěte

• - nainstalovali jste čerstvá verze antivirus;
• - byl v počítači aktualizován ovladač síťové karty.

Co dělat, když kaspersky blokuje místní síť?

Pro kontrolu dočasně deaktivujte ochranu. Pro tohle klikněte pravým tlačítkem myši klikněte myší na ikonu antiviru v systémové liště a vyberte "pozastavit ochranu".

Je také nutné deaktivovat bránu firewall systému Windows - sama Kaspersky bude plnit úlohu brány firewall, přidělovat stavy a kontrolovat síťové připojení. Pokud ponecháte firewall povolený, antivirus bude síť pravidelně vypínat.

Musíte si okamžitě zapamatovat název sítě a.

Chcete-li to provést, přejděte na "Start" - "Ovládací panely" - "Síť a internet" - "Centrum sítí a ovládacích prvků" veřejný přístup" - "Změna nastavení adaptéru" - "Připojení k místní síti" (výchozí název místní sítě je model síťové karty: Realtek RTL8102E ..., Atheros a další).

Konfigurace Kaspersky pro místní síť:

1) otevřete hlavní okno antiviru;
2) vlevo dole klikněte na znaménko nastavení (ozubené kolo);
3) v levém sloupci klikněte na „ochrana“;
4) dále v pravém okně - "firewall";

5) ve spodní části - tlačítko "síť";
6) vyberte svou síť (jejíž název jste si dříve zapamatovali)

Dvojitým kliknutím otevřete vlastnosti sítě a vyberte typ sítě „důvěryhodná síť“.
Dále, pokud je to nutné, můžete zakázat ovladač filtru NDIS (rychlost síťové výměny se výrazně zvýší). Je zakázáno v nastavení místní sítě a nelze jej konfigurovat.

Je nutné zapnout a restartovat počítač se zapnutou a připojenou lokální sítí mapa sítě počítačový kabel, protože Kaspersky začne být v konfliktu se službou Počítačový prohlížeč.

Můžete také zakázat nebo omezit určité programy přístup k místní síti. Chcete-li to provést, postupujte podle kroků od prvního do čtvrtého a vyberte "Konfigurovat pravidla aplikace".

Na výběr jsou čtyři skupiny: důvěryhodný, slabá omezení, silná omezení a nedůvěryhodný. Pomocí pravého tlačítka myši vyberte příslušnou prioritu pro spouštění programů a poté přidejte nové skupiny a programy. Chcete-li to provést, vyberte:

1) podrobnosti a pravidla
2) pravidla sítě
3) omezení
4) resetujte parametry
5) odstranit ze seznamu
6) otevřete složku programu

Pravidla programu jsou ve výchozím nastavení "zděděna". nainstalovaný program, ale lze je změnit na nezbytné. Chcete-li to provést, klepněte pravým tlačítkem myši na požadovaný program (nebo podskupinu) a vyberte příslušnou položku v nabídce.

Pokročilé funkce správy
umožňují vzdáleně centralizovat a automatizovat monitorování zranitelnosti, distribuci oprav a aktualizací, správu zásob a nasazení softwaru, což nejen šetří čas správcům, ale také zvyšuje bezpečnost organizace.

Rozšířené schopnosti administrace systému implikuje plnou administrátorskou kontrolu nad ovládanými zařízeními prostřednictvím jediné konzoly pro správu. Pomocí této funkce může správce kdykoli:

1. Informujte se o novém zařízení nebo aplikaci, včetně zařízení hosta. Tato funkce umožňuje centrálně spravovat přístup uživatelů a zařízení k podnikovým datům a aplikacím v souladu s firemní politikou.

2. Nezávisle stahujte, instalujte, testujte a aktualizujte aplikace. Správce může nastavit automatické stahování aktualizace a opravy ze serverů Kaspersky Lab. Před instalací programu má administrátor právo otestovat aplikaci na výkonnostní zatížení systému.

3. Zkontrolujte, zda v síti není software a Hardware. Při kontrole sítě si správce může udělat úplný obrázek firemní síť se všemi zařízeními a identifikovat zastaralé verze softwaru, které je třeba aktualizovat, aby se zlepšilo zabezpečení systému.

4. Identifikujte zranitelná místa. Vyhledávání zranitelností lze provádět nejen automaticky, ale také podle harmonogramu nastaveného správcem.

Na tento moment vyžaduje podniková síťová infrastruktura zvýšená ochrana každý prvek sítě. Jedním z nejzranitelnějších míst pro útok malwaru je souborový server. K ochraně serveru je zapotřebí specializované řešení, které mu může poskytnout náležitou úroveň zabezpečení.

Má více funkcí než . Jednou z hlavních výhod tohoto programu je, že je schopen chránit souborové servery před útoky ransomwaru.

Sledované cíle – bezpečnost a ještě jednou bezpečnost

Představme si velmi běžnou situaci: ve vaší síti máte mnoho serverů, které poskytují nějaký druh služby. Je velmi pravděpodobné, že některé z nich mají externí rozhraní, které se dívá do WAN, tzn. do globální sítě. Obvykle se jedná o proxy server, webový server, poštovní server atd. Není žádným tajemstvím, že právě tato skutečnost vás nutí přemýšlet o tom, jak kompetentní správce systému o bezpečnosti vaší síťové infrastruktury. Nemá smysl vám říkat, jaká může být penetrace hackerů do vaší sítě. Existuje mnoho možností, jak se chránit před útoky vetřelce. Mezi ně patří - budování tzv. demilitarizované zóny nebo publikování serveru přes váš proxy, což je jistě (je to tak?) nastaveno velmi tvrdě a vážně. První možnost (DMZ) dosud nebyla z žádných důvodů „vyzvednuta“. Budiž to nedostatkem času a vybavením správce systému. Druhý (publikovat přes jiný server) je velmi kontroverzní, zatím ho vynecháme. Mezitím si pro začátek nastavíme firewall, je to firewall, je to také firewall. Hlavní funkcí každého firewallu je zabezpečit přístup k našemu počítači zvenčí. Konkrétně jsem napsal slovo „počítač“, protože domácí počítače a pracovní stanice mohou být také zabezpečeny obrazovkou. Přirozeně neexistuje 100% ochrana pomocí softwarového firewallu, ale je to lepší než nic. Kromě toho mám pocit, že po mých dnešních manipulacích už server nebude v ohrožení Začněme.

laboratorní stojan

K dispozici je server založený na systému Windows Server 2008 R2, který poskytuje Služba VPN pomocí služby Microsoft RAS. Brána firewall systému Windows nakonfigurován ve výchozím nastavení. Neponořil jsem se do toho, i když jsem měl. Ale od existuje firemní licence pro Kaspersky Enterprise Space Security, proč ji nevyužít a nenainstalovat aplikaci Kaspersky Endpoint Security 8, která obsahuje softwarový firewall.

Konfigurace brány Kaspersky Firewall

Firewall Kaspersky Endpoint Security 8 je identický s mnoha firewally tohoto výrobce, včetně domovské obrazovky. Verze Kaspersky Internet Security 2013, takže pokud má někdo jinou verzi antiviru, tak mu nejspíš pomůže i tento článek. A teď začneme.

Nastavení - antivirová ochrana- síťová obrazovka. Klikněte na tlačítko "Pravidla síťových paketů". Získáme seznam pravidel, která aktuálně fungují. Někteří z nich něco zakazují, jiní povolují. Momentálně vše vypadá takto:

Pokud si všimnete, snímek obrazovky není nativní. Vzal jsem to z jiného produktu - KIS2013, ale vezmi na slovo - v KES8 bylo všechno úplně stejné. A to je server, kde by ochrana měla být na nejvyšší úrovni! Jak vidíme, je toho zde hodně a vše je přibližně jasné: DNS dotazy (TCP / UDP), odesílání zpráv, jakákoli aktivita z důvěryhodných sítí je zcela povolena, z lokálních - částečně je deaktivován port zodpovědný za vzdálenou plochu , různé TCP / porty jsou zakázány UDP, ale aktivita zvenčí je částečně, na konci 5 pravidel protokolu ICMP. Ano, polovina pravidel je nesrozumitelná, polovina je nadbytečná. Pojďme vytvořit list od začátku a vytvořit si vlastní pravidla.

První věc, kterou jsem udělal, bylo vytvoření mého oblíbeného pravidla - Odepřít vše(zakázat vše)

a položil to dolů. Pak jsem hledáním na internetu zjistil, jaké porty technologie VPN používá. to Protokol 47, který má také jméno GRE:

Postavil jsem pravidlo GRE nad pravidlo zákazu. Dalším portem k otevření pro VPN je 1723 . Tak jsem udělal pravidlo VPN_IN:

Pravidlo s portem 1723 jsem umístil úplně nahoře. Zbytek pravidel jsem trochu pozměnil, některá jsem nechal. Výsledný seznam (seznam brány firewall):

Ke každé se vyjádřím.

Hned musím říct, že byste se na tento článek neměli úplně spoléhat. Možná jsem něco přehlédl. Pokud jde o bezpečnost, nejsem žádný guru, takže se předem omlouvám, pokud jsem udělal nějakou chybu. Kritika, přání a pochvala jsou vítány, pište komentáře níže.

Také se vám bude líbit:

Monitorujte zatížení serveru pomocí Muninu