Администрирование. Администрирование_СЗИ_ViPNet._Практикум_5.1.2-3._ViPNet_Client. 5 Настройка фильтров защищенной сети
Скачать 0.73 Mb.
|
5.1.2. Настройка фильтров защищенной сети При формировании периметра системы защиты информации стоит прорабатывать все возможные векторы атак. Поэтому стоит проводить ревизию не только фильтров открытой сети, но и не забывать про фильтры защищенной сети, так как со стороны других защищенных узлов, которые могут быть потенциально заражены или попасть под контроль злоумышленника в силу ошибок сотрудников (компрометация узла). С таких узлов могут реализовывать внутренние векторы атак. В связи с этим стоит обратить внимание на настраиваемы предустановленные фильтры защищенной сети, в частности разрешающее правило доступа и подключения со всех узлов связанных с вашим узлом по протоколу RDP. Чтобы минимизировать риски закроем доступ по протоколу RDP. Для этого на рабочем месте Главный администратор создадим запрещающее правило. В рамках данного задания перед нами стоит цель не просто отключить существующее правило, а на практике закрепить создание правил фильтрации. Для создания нового правила необходимо выполнить следующие действия: 1. Удалите существующее правило разрешающее трафик по протоколу RDP. В разделе Фильтры защищенной сетиНастраиваемые фильтры выделите разрешающее правило и нажмите кнопку Удалить; 2. После того как было удалено правило в данное разделе нажмите кнопку Создать; 3. В появившемся окне в разделе Основные параметры задайте имя фильтра Запрет подключения по RDP. Действие Блокировать трафик; 4. Раздел Источник оставляем неизменным, так как правило будет запрещать весь входящий трафик по протоколу RDP; 5. В разделе Назначение нажмите кнопку ДобавитьВсе координаторы (это необходимо для того чтобы Главный администратор сети ViPNet мог подключаться к координаторам своей сети по RDP, то есть был разрешен исходящий трафик на защищенные узлы по данному протоколу); 6. Далее в разделе Протоколы нажмите кнопку ДобавитьГруппа протоколовRDP; 7. После внесения и проверки данных необходимо нажать кнопку ОК; В завершении не забывайте после изменения правил фильтрации или добавления новых нажимать кнопку Применить. 5.1.3. Перевод защищенного сетевого узла в статус незащищенного сетевого узла Если возникает необходимость защищенный сетевой узел перевести в разряд незащищённого сетевого узла, то можно сделать это двумя способами: − удалить программное обеспечение ViPNet Client; − с помощью настроек сделать сетевой узел с установленным программным обеспечением ViPNet Client незащищенным. Так как в дальнейшем потребуется использование программного обеспечения ViPNet Client, в рамках лабораторной работы будет выбран второй способ. В качестве незащищенного узла будет выбрана виртуальная машина Сотрудник_2 Филиал. 1. Для того, чтобы сделать сетевой узел с установленным программным обеспечением ViPNet Client незащищенным, необходимо на в окне программы ViPNet Client Монитор зайти в меню Файл, выбрать раздел Конфигурации и во всплывающем окне выбрать пункт Отключить защиту (рисунок 171). Рисунок 1 – Отключение защиты в окне программы ViPNet Client Монитор 2. В результате отобразится окно с подтверждением выполнения операции по отключению защиты сетевого узла (Рисунок 172). Рисунок 2 – Окно с подтверждением выполнения операции по отключению защиты сетевого узла 3. Нажмите кнопку Отключить защиту. Данным действием отключается ViPNet-драйвер, в результате чего перестает работать персональный сетевой экран и отключается функция шифрования-расшифрования исходящего и входящего трафика и сетевой узел Сотрудник_2 Филиал станет незащищенным. Но при этом возникает следующая ситуация. С одной стороны, раз сетевой узел Сотрудник_2 Филиал стал незащищенным, то на сетевом узле Сотрудник_1 Центр офис трафик, поступающий с сетевого узла Сотрудник_2 Филиал, должен начать обрабатываться фильтрами открытой сети. Но легко убедиться, что на сетевом узле Сотрудник_1 Центр офис, трафик поступающий от сетевого узла Сотрудник_2 Филиал будет блокироваться. 4. Для этого от сетевого узла Сотрудник_2 Филиал в командной строке операционной системы Windows выдайте команду ping в адрес сетевого узла Сотрудник_1 Центр офис и убедитесь, что сетевой узел Сотрудник_1 Центр офис будет не доступен по протоколу ICMP. 5. Для того, чтобы понять, почему так происходит, необходимо на сетевом узле Сотрудник_1 Центр офис войти в раздел Журнал IP- пакетов, выбрать событие Блокированные IP-пакеты и нажать кнопку Поиск. В открывшемся Журнале регистрации IP-пакетов можно увидеть, что трафик по протоколу ICMP от источника с IP-адресом сетевого узла Сотрудник_2 Филиал к назначению с IP-адресом сетевого узла Сотрудник_1 Центр офис был заблокирован фильтром защищенной сети событием: 22-незашифрованный IP-пакет от сетевого узла (Рисунок 173). Рисунок 3 – Блокировка фильтром защищенной сети событием 22-незашифрованный IP- пакет от сетевого узла трафика по протоколу ICMP от источника с IP-адресом сетевого узла Сотрудник_2 Филиал к назначению с IP-адресом сетевого узла Сотрудник_1 Центр офис Таким образом, несмотря на то, что сетевой узел Сотрудник_2 Филиал стал незащищенным, пакеты от него по-прежнему блокируются фильтром защищенной сети сетевого узла Сотрудник_1 Центр офис. Это происходит из-за того, что в адресных справочниках сетевого узла Сотрудник_1 Центр офис, сетевой узел Сотрудник_2 Филиал сохранился как защищённый узел и по политикам безопасности программного обеспечения ViPNet, весь сетевой трафик, поступающий от защищенного узла в открытом (незашифрованном) виде блокируется. 6. В этом случае возобновление обмена трафиком можно организовать следующим способом: на сетевом узле Сотрудник_1 Центр офис в разделе Защищенная сеть выбрать сетевой узел Сотрудник_2 Филиал и дважды щёлкнуть по нему указателем мышки. В открывшемся окне Свойства узла (Сотрудник_2 Филиал) войдите во вкладку IP-адреса, выделить IP-адрес сетевого узла Сотрудник_2 Филила и нажать кнопку Удалить (рисунок 174). Рисунок 4 – Удаление IP-адреса сетевого узла Сотрудник_2 Филиал 7. В появившемся окне Управление IP-адресами подтвердить желание об удалении информации с IP-адресом, нажав на кнопку Да. 8. В окне Свойства узла (Сотрудник_2 Филиал) нажать кнопку ОК. В результате для сетевого узла Сотрудник_1 Центр офис сетевой узел Сотрудник_2 Филиал будет исключен из перечня защищенных узлов и к нему начнут применяться фильтры открытой сети. 9. Для того, чтобы убедиться в этом, с виртуальной машины VM_3 в командной строке операционной системы Windows выдайте команду ping в адрес сетевого узла Сотрудник_1 Центр офис и убедитесь, что сетевой узел Сотрудник_1 Центр офис стал доступен по протоколу ICMP. 10. В разделе Журнал IP-пакетов сетевого узла Сотрудник_1 Центр офис установите фильтр по событию Все IP-пакеты и ограничьте фильтр выборкой протоколов ICMP (рисунок 175). Рисунок 5 – Установка фильтра Журнала IP-пакетов сетевого узла Сотрудник_1 Центр офис по событию Все IP-пакеты и ограничение выборкой протоколов ICMP 11. После нажатия на кнопку Поиск отобразится Журнал регистрации IP-пакетов, из которого можно сделать вывод, что от источника с IP- адресом сетевого узла Сотрудник_2 Филиал пакет по протоколу ICMP был пропущен фильтром открытой сети по событию 60-пропущен незашифрованный локальный IP-пакет. Таким образом, для сетевого узла Сотрудник_1 Центр офис, сетевой узел Сотрудник_2 стал незащищенным, несмотря на то, что он продолжает отображаться в списках защищенной сети, но с IP-адресом 0.0.0.0. |