Požarni zid Kaspersky Internet Security, razumevanje privzetih nastavitev. Dodajanje in urejanje pravila za dostop do spletnih virov Omrežno dovoljenje je omogočeno v Kaspersky 10

Napredne funkcije upravljanja
omogočajo oddaljeno centralizacijo in avtomatizacijo spremljanja ranljivosti, distribucijo popravkov in posodobitev, upravljanje inventarja in uvajanje programske opreme, kar ne le prihrani čas skrbnikov, ampak tudi poveča varnost organizacije.

Razširjene zmogljivosti sistemska administracija pomenijo popoln skrbniški nadzor nad nadzorovanimi napravami prek ene same upravljalne konzole. S to funkcijo lahko skrbnik kadar koli:

1. Pozanimajte se o novi napravi ali aplikaciji, vključno z napravo za goste. Ta funkcija vam omogoča centralno upravljanje dostopa uporabnikov in naprav do podatkov in aplikacij podjetja v skladu s politiko podjetja.

2. Samostojno prenesite, namestite, preizkusite, posodobite aplikacije. Skrbnik lahko konfigurira samodejni prenos posodobitev in popravkov s strežnikov Kaspersky Lab. Pred namestitvijo programa ima skrbnik pravico preizkusiti obremenitev delovanja sistema.

3. Preverite omrežje za programsko opremo in strojna oprema. Pri preverjanju omrežja lahko skrbnik dobi popolno sliko omrežja podjetja z vsemi napravami in prepozna zastarele različice programske opreme, ki jih je treba posodobiti za izboljšanje varnosti sistema.

4. Ugotovite ranljivosti. Iskanje ranljivosti se lahko izvede ne samo samodejno, ampak tudi po urniku, ki ga določi skrbnik.

Trenutno omrežna infrastruktura podjetja zahteva izboljšano zaščito vsakega elementa omrežja. Eno najbolj ranljivih mest za napad zlonamerne programske opreme je datotečni strežnik. Za zaščito strežnika je potrebna specializirana rešitev, ki mu lahko zagotovi ustrezno raven varnosti.

Poseduje velika količina funkcije kot . Ena od glavnih prednosti tega programa je, da lahko zaščiti datotečne strežnike pred napadi izsiljevalske programske opreme.

Zasledovani cilji - varnost in še enkrat varnost

Predstavljajmo si zelo običajno situacijo: v omrežju imate veliko strežnikov, ki zagotavljajo neke vrste storitev. Zelo verjetno je, da imajo nekateri od njih zunanji vmesnik, ki gleda na WAN, tj. v globalno omrežje. Običajno je to strežnik proxy, spletni strežnik, poštni strežnik itd. Nobena skrivnost ni, da vas že to dejstvo prisili v razmišljanje o tem, kako kompetentni sistemski administrator o varnosti vaše omrežne infrastrukture. Nima smisla vam govoriti, kakšen je lahko hekerski prodor v vaše omrežje. Obstaja veliko možnosti, da se zaščitite pred napadi vsiljivca. Med njimi - izgradnja tako imenovanega demilitariziranega območja ali objavljanje strežnika prek vašega proxyja, kar je zagotovo (ali je tako?) Nastavili ste ga zelo težko in resno. Prva možnost (DMZ) zaradi kakršnih koli razlogov še ni bila "dvignjena". Naj bo to pomanjkanje časa in opreme sistemskega skrbnika. Drugi (objava prek drugega strežnika) je zelo sporen, zaenkrat ga bomo izpustili. Vmes pa za začetek postavimo požarni zid, požarni zid je, tudi požarni zid je. Glavna naloga vsakega požarnega zidu je, da zavaruje dostop do našega računalnika od zunaj. Besedo »računalnik« sem posebej napisal, ker lahko domače računalnike in delovne postaje zavarujemo tudi z zaslonom. Seveda ni 100-odstotne zaščite s programskim požarnim zidom, vendar je bolje kot nič. Poleg tega imam občutek, da po mojih današnjih manipulacijah strežnik ne bo več ogrožen. Začnimo.

laboratorijska miza

Vklopljen je strežnik Osnova Windows Zagotavljanje strežnika 2008 R2 storitev VPN z uporabo storitve Microsoft RAS. Požarni zid Windows je privzeto konfiguriran. V to se nisem poglabljal, čeprav bi se moral. Toda odkar obstaja korporativna licenca za Kaspersky Enterprise Space Security, zakaj je ne bi uporabili in namestili Kaspersky Endpoint Security 8, ki vključuje programski požarni zid.

Konfiguracija požarnega zidu Kaspersky

Požarni zid Kaspersky Endpoint Security 8 je enak mnogim požarnim zidom tega proizvajalca, vključno z domačo različico Kaspersky Internet Varnost 2013, tako da če ima kdo drugo različico protivirusnega programa, mu bo najverjetneje pomagal tudi ta članek. In zdaj začnimo.

Nastavitve - protivirusna zaščita - požarni zid. Kliknite gumb "Pravila za omrežne pakete". Dobimo seznam pravil, ki trenutno delujejo. Eni nekaj prepovedujejo, drugi dovoljujejo. Trenutno vse izgleda takole:

Če opazite, posnetek zaslona ni izviren. Vzel sem ga iz drugega izdelka - KIS2013, vendar verjemite na besedo - v KES8 je bilo vse popolnoma enako. In to je strežnik, kjer mora biti zaščita na najvišji ravni! Kot lahko vidimo, je tukaj veliko in vse je približno jasno: poizvedbe DNS (TCP / UDP), pošiljanje sporočil, kakršna koli dejavnost iz zaupanja vrednih omrežij je popolnoma dovoljena, iz lokalnih - delno so vrata, odgovorna za oddaljeno namizje, onemogočena , različna TCP / vrata so onemogočena UDP, vendar je aktivnost od zunaj delno, na koncu 5 pravil protokola ICMP. Ja, polovica pravil je nerazumljivih, polovica odveč. Ustvarimo list iz nič in ustvarimo lastna pravila.

Prvo, kar sem naredil, je bilo, da sem ustvaril svoje najljubše pravilo - Zavrni vse(prepovedati vse)

in ga položil dol. Nato sem z iskanjem po internetu ugotovil, katera vrata uporablja tehnologija VPN. to Protokol 47, ki ima tudi ime GRE:

Pravilo GRE sem postavil nad pravilo prepovedi. Druga vrata za VPN so 1723 . Zato sem si postavil pravilo VPN_IN:

Pravilo s portom 1723 sem postavil čisto na vrh. Ostala pravila sem malo spremenila, nekatera sem pustila. Nastali seznam (Firewall List):

Vsako bom komentiral.

Takoj moram reči, da se ne smete popolnoma zanašati na ta članek. Mogoče sem kaj spregledal. Nisem guru, kar zadeva varnost, zato se že vnaprej opravičujem, če sem naredil kakšno napako. Kritike, želje in pohvale so dobrodošle, spodaj napišite komentarje.

Všeč vam bo tudi:

Spremljajte obremenitev strežnika z Muninom

Pogosto se zgodi, da protivirusni program Kaspersky, ki naj bi zagotavljal varnost lokalnega omrežja, nasprotno, na vse možne načine posega v dostop do omrežnih virov.

Zato bomo tukaj analizirali, kaj storiti, če Kaspersky blokira lokalno omrežje, in katere nastavitve so potrebne, če je dostop do računalnika omejen.

Preden diagnosticirate težavo, se prepričajte, da

• - imate nameščeno najnovejšo različico protivirusnega programa;
• - gonilnik za omrežno kartico je bil posodobljen v računalniku.

Kaj storiti, če kaspersky blokira lokalno omrežje?

Če želite preveriti, začasno onemogočite zaščito. Če želite to narediti, z desno miškino tipko kliknite ikono protivirusnega programa v sistemski vrstici in izberite "začasno ustavi zaščito".

Prav tako morate onemogočiti požarni zid windows- Kaspersky bo opravil nalogo sam požarni zid, bo dodelil statuse in bo nadzoroval omrežno povezavo. Če pustite požarni zid omogočen, bo protivirusni program občasno izklopil omrežje.

Takoj si morate zapomniti ime omrežja in.

Če želite to narediti, pojdite na "Start" - "Nadzorna plošča" - "Omrežje in internet" - "Omrežje in nadzorni center" javni dostop" - "Spreminjanje nastavitev adapterja" - "Povezava lokalnega omrežja" (privzeto ime lokalnega omrežja je model omrežne kartice: Realtek RTL8102E ..., Atheros in drugi).

Konfiguracija Kaspersky za lokalno omrežje:

1) odprite glavno protivirusno okno;
2) levo spodaj kliknite znak za nastavitve (zobnik);
3) v levem stolpcu kliknite "zaščita";
4) naprej v desnem oknu - "požarni zid";

5) na dnu - gumb "omrežje";
6) izberite svoje omrežje (katerega ime ste si zapomnili prej)

Dvokliknite, da odprete lastnosti omrežja in izberite vrsto omrežja "zaupanja vredno omrežje".
Poleg tega lahko po potrebi onemogočite gonilnik filtra NDIS (hitrost omrežne izmenjave se bo znatno povečala). V nastavitvah lokalnega omrežja je onemogočen in ga ni mogoče konfigurirati.

Potrebno je vklopiti in znova zagnati računalnik z vklopljenim in povezanim lokalnim omrežjem omrežno kartico računalniški kabel, saj Kaspersky začne navzkriž s storitvijo Computer Browser.

Nekaterim programom lahko tudi blokirate ali omejite dostop do lokalnega omrežja. Če želite to narediti, sledite korakom od prvega do četrtega in izberite »Konfiguriraj pravila aplikacije«.

Izbirate lahko med štirimi skupinami: zaupanja vrednimi, šibkimi omejitvami, močnimi omejitvami in nezaupljivimi. Z desnim gumbom miške izberite ustrezno prednost za programe, ki se bodo izvajali, nato pa dodajte nove skupine in programe. Če želite to narediti, izberite:

1) podrobnosti in pravila
2) pravila omrežja
3) omejitve
4) ponastavite parametre
5) odstrani s seznama
6) odprite mapo programa

Programska pravila so privzeto "podedovana" od nameščen program, vendar jih je mogoče spremeniti v potrebne. Če želite to narediti, kliknite z desno miškino tipko želeni program(ali podskupina) in v meniju izberite ustrezen element.

Požarni zid Kaspersky Internet Security, razumevanje privzetih nastavitev

Aleksander Antipov

Prvi korak do varnega potovanja po širnih prostranstvih najrazličnejših omrežij je seveda namestitev zanesljive zaščite. Eno redkih tovrstnih orodij je celovit izdelek Kaspersky Internet Security.

Prvi korak do varnega potovanja po širnih prostranstvih najrazličnejših omrežij je seveda namestitev zanesljive zaščite. Eno redkih tovrstnih orodij je celovit izdelek Kaspersky Internet Security. Kljub temu, da je izdelek KIS precej kompleksen, je takoj po namestitvi pripravljen za opravljanje vseh nalog, ki so mu dodeljene. Potreba po dodatnih nastavitvah je izjemno redka, kar je zelo velik plus za razvijalce. Vendar je treba razumeti, da ta možnost temelji na ostrem robu kompromisnih rešitev. Kaj so, poglejmo na primeru požarnega zidu.

Nastavitve požarnega zidu so sestavljene iz dveh delov: aplikacijskih pravil in paketnih pravil. S pravili aplikacije lahko dovolite ali blokirate določene programe ali skupine programov za pošiljanje ali prejemanje paketov ali vzpostavljanje omrežnih povezav. Pravila paketov dovoljujejo ali zavračajo dohodne ali odhodne povezave ter pošiljanje ali prejemanje paketov.

Poglejmo, kakšna so pravila za programe.

Vsi programi imajo štiri kategorije:

1. Zaupanja vredni – dovoljeno jim je vse brez izjeme.
2. Šibke omejitve - vzpostavljeno je pravilo "zahteve za dejanje", ki uporabniku omogoča, da se samostojno odloči o primernosti omrežne komunikacije med programi te skupine.
3. Močne omejitve - glede dovoljenja za delo z omrežjem, enake šibkim.
4. Nezaupanja vreden - tem programom je privzeto prepovedana kakršna koli omrežna komunikacija (človeško jim je zelo žal).

Skupina »zaupanja vredna« privzeto vključuje vse Microsoftove programe, sam KIS in druge programe znanih proizvajalcev. Za privzete nastavitve je izbira dobra, vendar osebno ne bi tako popolnoma zaupal vsem programom, tudi znanim proizvajalcem.

Kako se programi uvrstijo v eno ali drugo skupino? Tukaj ni vse tako preprosto. Odločitev o uvrstitvi določenega programa v eno od štirih skupin se sprejme na podlagi več kriterijev:

1. Razpoložljivost informacij o aplikaciji v KSN (Kaspersky Security Network).
2. Program ima digitalni podpis(že opravljeno).
3. Hevristična analiza za neznane programe (nekaj podobnega vedeževanju).
4. Samodejno postavite program v skupino, ki jo vnaprej izbere uporabnik.

Vse te možnosti se nahajajo v nastavitvah »Nadzor aplikacij«. Privzeto so nastavljene prve tri možnosti, katerih uporaba vodi do velikega števila »zaupanja vrednih« programov. Četrto možnost lahko izberete neodvisno kot alternativo prvim trem.

Naredimo poskus. Postavimo kakšen program (na primer brskalnik »Opera«) na seznam programov s šibkimi omejitvami in poglejmo, kako deluje pravilo »zahteva za dejanje«. Če želite, da pravila aplikacije začnejo veljati, morate zapreti in znova odpreti aplikacijo, katere pravila so bila spremenjena. Če zdaj poskusite iti na katero koli spletno mesto, potem ne bo prišlo do nobene zahteve za dejanje in program bo tiho vzpostavil omrežno povezavo. Izkazalo se je, da pravilo »zahteva za dejanje« deluje le, če možnost »Samodejno izberi dejanje« ni potrjena v glavnih nastavitvah zaščite.

Še eno presenečenje čaka uporabnike omrežnih pripomočkov, kot so ping, tracert (če se pravilo »zahteve za ukrepanje« razširi na zaupanja vredne programe), putty (odjemalec ssh) in po možnosti podobno. Za njih KIS trmasto noče prikazati zaslona z zahtevo po akciji. Obstaja lahko le en izhod - ročna nastavitev dovoljenj za določen program.

Preden preidem na pravila paketa, naj vam dam en nasvet: ustvarite lastne podskupine za vsako skupino programov. Na primer: »Omrežni pripomočki«, » Pisarniški programi«, »Programi za internet« itd. Prvič, vedno bo možno hitro najti želeni program, drugič pa bo možno nastaviti pravila za določene skupine, namesto da bi določali pravila za posamezne programe.

Pravila paketov.

Paketna pravila določajo posamezne lastnosti paketov: protokol, smer, lokalno oz oddaljena vrata, omrežni naslov. Pravila paketov lahko delujejo kot "dovoli", "zavrni" in "v skladu s programskimi pravili". Pravila se pregledujejo od zgoraj navzdol, dokler se na podlagi kombinacije funkcij ne najde pravilo, ki dovoljuje ali zavrača. Če pravila za paket ni mogoče najti, se uporabi privzeto pravilo (zadnje). Običajno je pri požarnih zidovih zadnje pravilo prepoved sprejemanja in prenosa kakršnih koli paketov, za KIS pa je to pravilo dovoljeno.

Dejanje »po pravilu programa« je po svoji naravi »okno« za dejanska dejanja pravil programa. To je priročno, ker lahko določite vrstni red, v katerem se izvajajo pravila. Na primer, program poskuša poslati paket na vrata 53 strežnika DNS. Če obstaja paketno pravilo z dejanjem »v skladu s pravili aplikacije«, smer »izhodno«, oddaljena vrata 53 (ali niso definirana) in je nastavljeno pravilo dovoljenja, da aplikacija pošlje paket na vrata 53, bo paket če je programu prepovedano pošiljanje paketov na vrata 53, ta paket ne bo poslan.

Obseg pravil zajema določeno področje: »poljubni naslov« (vsi naslovi), »naslov podomrežja« - tukaj lahko izberete vrsto podomrežja »zaupanja vredno«, »lokalno« ali »javno« in »naslovi s seznama ” - ročno določite naslove IP ali imena domen. Odnos posameznega podomrežja do »zaupanja vrednega«, »lokalnega« ali »javnega« je nastavljen v splošnih nastavitvah požarnega zidu.

Pravila paketov KIS so za razliko od večine požarnih zidov preobremenjena z velikim številom smeri: "vhodno", "vhodno (pretok)", "izhodno", "izhodno (pretok)" in "vhodno/izhodno". Poleg tega pravila z nekaterimi kombinacijami protokola in smeri ne delujejo. Na primer, pravilo zavrnitve ICMP ne bo delovalo v kombinaciji z navodili za pretakanje; prepovedani paketi bodo prešli. Iz nekega razloga se navodila za pretakanje uporabljajo za pakete UDP, čeprav protokol UDP po svoji naravi kot tak ne ustvarja "toka", za razliko od TCP.

Druga, ne povsem prijetna točka je, da paketna pravila nimajo možnosti, da bi določili reakcijo na zavrnitev dohodnega paketa: prepovedati prejem paketa z obvestilom strani, ki ga je poslala, ali preprosto zavreči paket . To je tako imenovan način "nevidnosti", ki je bil včasih prisoten v požarnem zidu.

Zdaj pa se obrnemo na dejanska pravila.

Pravili 1 in 2 omogočata, v skladu s programskimi pravili, pošiljanje zahtev DNS preko protokolov TCP in UDP. Seveda sta uporabna oba pravila, a v bistvu ta omrežni programi kako pošta in brskalniki prek sistema zahtevajo naslove spletnih mest storitev DNS, za katerega je odgovoren sistemski program"svchost.exe" Po drugi strani pa storitev sama uporablja precej specifične naslove DNS strežniki, določen ročno ali prek DHCP. Naslovi DNS strežnikov se redko spreminjajo, zato bi bilo dovolj, da omogočite pošiljanje DNS zahtev za sistemsko storitev “svchost.exe” na fiksne domenske strežnike.

Pravilo 3 omogoča programom pošiljanje e-pošte prek protokola TCP. Tukaj, tako kot za prvi dve pravili, bi bilo dovolj, da ustvarite pravilo za določen program za delo E-naslov določa, katera vrata in strežnik poslati.

Pravilo 4 dovoljuje kakršno koli omrežno dejavnost za zaupanja vredna omrežja. Pri omogočanju tega pravila bodite zelo previdni, ne zamenjajte vrste omrežja. To pravilo dejansko onemogoči delovanje požarnega zidu v zaupanja vrednih omrežjih.

Pravilo 5 dovoljuje katero koli omrežno dejavnost v skladu s pravili programov za lokalna omrežja. Čeprav to pravilo ne onemogoči popolnoma požarnega zidu, bistveno oslabi njegove nadzorne funkcije. Po logiki 4 in 5 bi morala biti pravila postavljena na sam vrh, da bi preprečili obdelavo paketov po pravilih 1 - 3, ko je računalnik v zaupanja vrednem ali lokalnem omrežju.

Pravilo 6 prepoveduje daljinec računalnik z protokol RDP. Čeprav je obseg pravila »vsi naslovi«, dejansko deluje le v »javnih omrežjih«.

Pravili 7 in 8 prepovedujeta dostop iz omrežja do omrežnih storitev računalnika prek protokolov TCP in UDP. Pravzaprav pravilo velja le za »javna omrežja«.

Pravili 9 in 10 dovoljujeta vsem, brez izjeme, povezavo z računalnikom iz katerega koli omrežja, seveda razen storitev, ki so prepovedane s pravili 6 - 8. Pravilo velja le za programe z dovoljeno omrežno aktivnostjo. Vendar bodite zelo previdni, omrežna dejavnost je privzeto dovoljena za skoraj vse programe, z izjemo nezaupljivih.

Pravila 11–13 dovoljujejo prejemanje dohodnih paketov ICMP za vse programe. Ta pravila nimajo več smisla kot 1 - 3, ker ICMP v veliki večini primerov uporablja programa ping in tracert.

Pravilo 14 prepoveduje prejemanje vseh vrst paketov ICMP, seveda z izjemo tistih, ki jih dovoljujejo pravila 11–13.

Pravilo 16 zavrača dohodno zahtevo za odmev ICMP v6. ICMP v6 v veliki večini primerov ni potreben. Lahko bi ga popolnoma prepovedali.

Pravilo 17 dovoljuje vse, kar prejšnja pravila niso izrecno dovoljena ali prepovedana. Čeprav to pravilo ni prikazano na zaslonu, se je vsekakor treba spomniti na njegov obstoj.

Privzete nastavitve požarnega zidu KIS so vsekakor dobre in primerne za večino uporabnikov domačih računalnikov, čemur je ta izdelek pravzaprav tudi namenjen. Toda prilagodljivost in nezahtevnost do dodatne nastavitve, ki smo jo omenili na začetku članka, žal dosegamo na račun varnosti samih uporabnikov, zaradi česar je prav ta varnost zelo odvisna od človeškega faktorja: znanja in nezmotljivega ravnanja samega uporabnika.