Контрольные вопросы
-
Какие риски несет в себе взаимодействие компьютеров по сети?
-
Что понимают под межсетевым экраном?
-
Какие виды МЭ выделяют и как, в общем, они функционируют?
-
Опишите фильтрующие МЭ.
-
Опишите МЭ сетевого уровня.
-
Опишите МЭ прикладного уровня.
-
Дайте краткий обзор возможностей Outpost Firewall Pro 4.0.
-
Охарактеризуйте имеющиеся у Outpost Firewall Pro 4.0 подключаемые модули.
-
Какие политики имеются у Outpost?
-
К каким группам может быть отнесено конкретное приложение в Outpost? Охарактеризуйте каждую из них.
-
Какие возможности имеются у Kerio WinRoute Firewall 6.3.1?
-
Сравните возможности межсетевых экранов Kerio WinRoute Firewall 6.3.1 и Outpost Firewall Pro 4.0. Какие у них имеются достоинства и недостатки?
Задание на лабораторную работу № 2
Название работы
Межсетевые экраны и фильтры.
Задание (не забудьте оформить отчет)
-
Изучить основные возможности Outpost Firewall Pro 4.0 (см. файл с теорией к лабораторной работе, а также файл-приложение из каталога \FOR_READING\).
-
Начать установку Outpost Firewall Pro 4.0 (из каталога \DATA\SOFT\) с правами администратора. Позволить Outpost автоматически найти и сгенерировать правила для приложений. После установки, возможно, придется перезагрузить компьютер.
-
Запустить консоль администрирования Outpost («Пуск» – «Все программы» – «Agnitum» – «Outpost Firewall»). Определите, сколько и какие программы обнаружил Outpost, какой уровень доверия им присвоен и какие правила для них (внести в отчет).
-
Добавить новое сетевое приложение (например, IExplorer). Создать для него правила на основе предустановок, как для браузера.
-
Поэкспериментировать с добавлением и удалением правил для приложений, сменой их уровня доверия.
-
Разрешите доступ к Интернет только Internet Explorer, а остальным приложениям запретите.
-
Исследуйте правила Internet Explorer. Через какие порты разрешен доступ (внесите в отчет)? Подробно опишите в отчете правило Internet Explorer FTP connection.
-
Изучить настройки контроля Anti-Leak. Какие возможности он предоставляет (внести в отчет)?
-
Исследовать настройки контроля компонентов. Какие возможности он предоставляет (внести в отчет)?
-
Исследовать доступные политики МЭ. Сменить политику на «Блокировать». Попытайтесь подключиться к соседнему компьютеру (через «Сетевое окружение»). Удалось ли это сделать? Почему? Сменить политику на «Запрещать». Удалось ли подключиться теперь? Внести в отчет результаты.
-
Изучите системные настройки («Параметры» – «Системные»). Какие возможности здесь предоставлены (внести в отчет)? Чем отличается режим невидимости от обычного режима (внести в отчет)?
-
Изучить дополнительные подключаемые модули Outpost. Внесите в отчет возможности, которые они предоставляют.
-
Отключите службу Outpost и выйдете из этого приложения.
-
Перед изучением межсетевого экрана Kerio установите FTP-сервер Serv-U FTP Server 6.1 (из каталога \DATA\SOFT\) с правами администратора. Все настройки оставьте по умолчанию. Этот сервер будет нужен для фильтрации обращений к нему с помощью Kerio. Сконфигурируем сервер далее.
-
Запустите FTP-сервер. Разверните вкладку «Local Server». Щелкните правой кнопкой на «Domains» и добавьте новый домен. Укажите Domain IP address: 127.0.0.1; Domain name: например, Domain_1, Domain, My_Domain; Port: 21; тип домена выберете любой, например, укажите Domain Type: Store in .INI file. Нажмите далее и завершите создание домена. Внесите в отчет все указанные вами настройки домена.
-
Создайте нового пользователя. Щелкните правой кнопкой на «Users» и добавьте нового пользователя. Задайте ему любое имя (например, user_1, Vasya, Masha). Укажите пароль на вход для этого пользователя. Укажите в качестве домашней директории: d:\Stud\ На следующей вкладке заблокируйте пользователя в этом каталоге (выберете «Yes»). На вкладке «Dir Access» у созданного вами пользователя для каталога d:\Stud\ укажите доступ, например, на чтение, запись, удаление. Внесите в отчет все указанные вами настройки пользователя.
-
Скопируйте несколько файлов с различными расширениями (.exe, .txt, .com, .doc, и т.п.), из имеющихся на компьютере, в домашнюю директорию.
-
Теперь возможно подключение по протоколу FTP с любой машины в сети. Попробуйте, например, самостоятельно получить доступ с другой машины к вашему FTP-каталогу используя Total Commander. Или же запустив консоль (ПУСК – cmd) и набрав команду ftp в командной строке. Далее наберите команду: Open < адрес вашей машины> для соединения с FTP-сервером. Как работать с командами FTP можно узнать, набрав команду help <команда>. Убедитесь, что с других машин возможен доступ по FTP и копирование любых файлов с вашей машины.
-
Изучить основные возможности Kerio WinRoute Firewall 6.3.1 (см. файл с теорией к лабораторной работе, а также файл-приложение из каталога \FOR_READING\).
-
Начните установку МЭ Kerio WinRoute Firewall 6.3.1 (из каталога \DATA\SOFT\) с правами администратора. Настройки оставьте по умолчанию. Возьмите простые имя и пароль для входа в консоль администрирования Kerio. После установки, возможно, придется перезагрузить компьютер.
-
Запустить консоль администрирования Kerio щелчком по его значку в трее. Ознакомиться с доступными в левой панели сервисами Kerio.
-
Откройте вкладку «Traffic Policy». По аналогии с Outpost, определите, какие правила и для каких служб по умолчанию создал Kerio. Внесите их в отчет по лабораторной.
-
Попробуйте отключить обработку каких-либо правил. Для этого достаточно снять галочку справа от соответствующего правила и нажать кнопку Apply. Отключите обработку правил Local Traffic. Что при этом произошло? Возможно ли обратиться к другим машинам в локальной сети?
-
Новые правила добавляются кнопкой «Add», а их редактирование осуществляется щелчком правой кнопки по соответствующему столбцу в новом правиле и указании действия (например, «Edit Rule»). Поэкспериментируйте с созданием новых правил по аналогии с Outpost.
-
Запретим службу Telnet. Нажмите на кнопку «Add». Когда «New rule» появится в таблице политик для трафика, подведите к нему мышку и нажмите левую кнопку. Теперь введите название правила и дайте ему описание. Отредактируем правила. В диалоге «Edit Source» возможно выбрать, либо «Any», либо «Add», чтобы задать конкретный источник. Выберите «Host» и, когда появится соответствующий диалог, введите IP-адрес соседней машины (его можно узнать командой «Пуск» – «cmd» – «ipconfig»). Отредактируйте столбец «Destination», выбрав еще раз «Host» и введите свой собственный IP-адрес. Затем отредактируйте столбец «Service». Когда щелкните на кнопке «Add» в диалоге «Edit Service/Port», то сможете выбрать и службу, и порт. Выберите службу «Telnet» и «TCP» порт «23». Укажите «Deny» в опциях столбца «Action».
-
Самостоятельно заблокируйте сервис HTTP. Какое правило вы для этого создали? Внесите его в отчет.
-
У вас работает FTP-сервер. Самостоятельно создайте правило, на основе которого никто не сможет использовать эту службу и подключиться к серверу. Внесите правило в отчет.
-
Вам не всегда нужно полностью ограничивать доступ к службе. Иногда необходимо ограничить лишь получаемые/передаваемые данные. Для этого используют контентную фильтрацию. Вновь разрешите службу FTP. Перейдите на вкладку Content Filtering – HTTP Policy. Создадим возможность доступа для администратора ко всем сайтам, в названии которых есть *ya (ya.ru, yandex.ru).
-
Добавьте новое URL-правило во вкладке «URL Rules». Нажмите на кнопку «Add», чтобы открыть диалог «HTTP Rule». На вкладке «General» диалога по созданию HTTP-правила определите имя правила: «Администратору разрешен доступ к *ya». Это правило будет разрешать администратору доступ к Web-сайтам, адрес которых начинается со слова ya. «If user accessing the URL is»: укажите здесь пользователя (с помощью кнопки SET, чтобы выбрать администратора из внутренней базы данных пользователей). «Критерий для совпадения с URL» (And URL matches criteria): укажите *ya. Action: выберете «Разрешить доступ к выбранному веб-сайту». На вкладке «Advanced» оставьте настройки по-умолчанию.
-
Теперь откройте вкладку «Content Rules». Здесь укажите – разрешить весь контент, предполагая, что интегрированное антивирусное решение может выявлять потенциально вредоносный веб-контент.
-
Перейдите ко вкладке «FTP Policy». Добавим новую FTP-политику, которая запрещает скачивать по протоколу FTP любые исполняемые файлы (*.exe) для любого сотрудника организации за исключением группы администраторов. Для этого нажмите на кнопку ADD в разделе «FTP-Policy». Появится диалог по созданию FTP-правила. Заполните поля следующим образом. На вкладке «General»: укажите Description – «Запрет на скачивание *.exe», If user accessing the FTP server is – any user (любой пользователь), And the FTP server is – any server (любой сервер), Action – Deny (запретить доступ), Log –поставить галочку. На вкладке «Advanced»: укажите Valid at time interval – Always, Valid for IP address group – Any, Content Type – Download *.exe.
-
Чтобы исключить из правила группу администраторов, персонально разрешите этой группе обращаться к любым файлам по FTP. Какое правило вы для этого создадите? Внесите его в отчет.
-
Изучите оставшиеся возможности Kerio во вкладке «Configuration». Внесите их и их предназначение в отчет.
-
Откройте вкладку «Users and Groups». Внесите в отчет список пользователей и групп на вашей машине.
-
Откройте вкладку «Status» – «Statistics». Какую информацию можно здесь получить? Внесите ее в отчет.
-
Откройте и изучите вкладу «Logs». Какие отчеты можно получить с помощью Kerio? Укажите их в отчете по лабораторной.
-
Отыщите среди логов те записи, которые касаются закачивания файлов с вашего FTP-сервера. Внесите их в отчет.
-
Внести в отчет ответы на контрольные вопросы к данной лабораторной работе.