Контрольные вопросы

1. Какие риски несет в себе взаимодействие компьютеров по сети?

2. Что понимают под межсетевым экраном?

3. Какие виды МЭ выделяют и как, в общем, они функционируют?

4. Опишите фильтрующие МЭ.

5. Опишите МЭ сетевого уровня.

6. Опишите МЭ прикладного уровня.

7. Дайте краткий обзор возможностей Outpost Firewall Pro 4.0.

8. Охарактеризуйте имеющиеся у Outpost Firewall Pro 4.0 подключаемые модули.

9. Какие политики имеются у Outpost?

10. К каким группам может быть отнесено конкретное приложение в Outpost? Охарактеризуйте каждую из них.

11. Какие возможности имеются у Kerio WinRoute Firewall 6.3.1?

12. Сравните возможности межсетевых экранов Kerio WinRoute Firewall 6.3.1 и Outpost Firewall Pro 4.0. Какие у них имеются достоинства и недостатки?

Задание на лабораторную работу № 2

Название работы

Межсетевые экраны и фильтры.

Задание (не забудьте оформить отчет)

1. Изучить основные возможности Outpost Firewall Pro 4.0 (см. файл с теорией к лабораторной работе, а также файл-приложение из каталога \FOR_READING\).

2. Начать установку Outpost Firewall Pro 4.0 (из каталога \DATA\SOFT\) с правами администратора. Позволить Outpost автоматически найти и сгенерировать правила для приложений. После установки, возможно, придется перезагрузить компьютер.

3. Запустить консоль администрирования Outpost («Пуск» – «Все программы» – «Agnitum» – «Outpost Firewall»). Определите, сколько и какие программы обнаружил Outpost, какой уровень доверия им присвоен и какие правила для них (внести в отчет).

4. Добавить новое сетевое приложение (например, IExplorer). Создать для него правила на основе предустановок, как для браузера.

5. Поэкспериментировать с добавлением и удалением правил для приложений, сменой их уровня доверия.

6. Разрешите доступ к Интернет только Internet Explorer, а остальным приложениям запретите.

7. Исследуйте правила Internet Explorer. Через какие порты разрешен доступ (внесите в отчет)? Подробно опишите в отчете правило Internet Explorer FTP connection.

8. Изучить настройки контроля Anti-Leak. Какие возможности он предоставляет (внести в отчет)?

9. Исследовать настройки контроля компонентов. Какие возможности он предоставляет (внести в отчет)?

10. Исследовать доступные политики МЭ. Сменить политику на «Блокировать». Попытайтесь подключиться к соседнему компьютеру (через «Сетевое окружение»). Удалось ли это сделать? Почему? Сменить политику на «Запрещать». Удалось ли подключиться теперь? Внести в отчет результаты.

11. Изучите системные настройки («Параметры» – «Системные»). Какие возможности здесь предоставлены (внести в отчет)? Чем отличается режим невидимости от обычного режима (внести в отчет)?

12. Изучить дополнительные подключаемые модули Outpost. Внесите в отчет возможности, которые они предоставляют.

13. Отключите службу Outpost и выйдете из этого приложения.

14. Перед изучением межсетевого экрана Kerio установите FTP-сервер Serv-U FTP Server 6.1 (из каталога \DATA\SOFT\) с правами администратора. Все настройки оставьте по умолчанию. Этот сервер будет нужен для фильтрации обращений к нему с помощью Kerio. Сконфигурируем сервер далее.

15. Запустите FTP-сервер. Разверните вкладку «Local Server». Щелкните правой кнопкой на «Domains» и добавьте новый домен. Укажите Domain IP address: 127.0.0.1; Domain name: например, Domain_1, Domain, My_Domain; Port: 21; тип домена выберете любой, например, укажите Domain Type: Store in .INI file. Нажмите далее и завершите создание домена. Внесите в отчет все указанные вами настройки домена.

16. Создайте нового пользователя. Щелкните правой кнопкой на «Users» и добавьте нового пользователя. Задайте ему любое имя (например, user_1, Vasya, Masha). Укажите пароль на вход для этого пользователя. Укажите в качестве домашней директории: d:\Stud\ На следующей вкладке заблокируйте пользователя в этом каталоге (выберете «Yes»). На вкладке «Dir Access» у созданного вами пользователя для каталога d:\Stud\ укажите доступ, например, на чтение, запись, удаление. Внесите в отчет все указанные вами настройки пользователя.

17. Скопируйте несколько файлов с различными расширениями (.exe, .txt, .com, .doc, и т.п.), из имеющихся на компьютере, в домашнюю директорию.

18. Теперь возможно подключение по протоколу FTP с любой машины в сети. Попробуйте, например, самостоятельно получить доступ с другой машины к вашему FTP-каталогу используя Total Commander. Или же запустив консоль (ПУСК – cmd) и набрав команду ftp в командной строке. Далее наберите команду: Open < адрес вашей машины> для соединения с FTP-сервером. Как работать с командами FTP можно узнать, набрав команду help <команда>. Убедитесь, что с других машин возможен доступ по FTP и копирование любых файлов с вашей машины.

19. Изучить основные возможности Kerio WinRoute Firewall 6.3.1 (см. файл с теорией к лабораторной работе, а также файл-приложение из каталога \FOR_READING\).

20. Начните установку МЭ Kerio WinRoute Firewall 6.3.1 (из каталога \DATA\SOFT\) с правами администратора. Настройки оставьте по умолчанию. Возьмите простые имя и пароль для входа в консоль администрирования Kerio. После установки, возможно, придется перезагрузить компьютер.

21. Запустить консоль администрирования Kerio щелчком по его значку в трее. Ознакомиться с доступными в левой панели сервисами Kerio.

22. Откройте вкладку «Traffic Policy». По аналогии с Outpost, определите, какие правила и для каких служб по умолчанию создал Kerio. Внесите их в отчет по лабораторной.

23. Попробуйте отключить обработку каких-либо правил. Для этого достаточно снять галочку справа от соответствующего правила и нажать кнопку Apply. Отключите обработку правил Local Traffic. Что при этом произошло? Возможно ли обратиться к другим машинам в локальной сети?

24. Новые правила добавляются кнопкой «Add», а их редактирование осуществляется щелчком правой кнопки по соответствующему столбцу в новом правиле и указании действия (например, «Edit Rule»). Поэкспериментируйте с созданием новых правил по аналогии с Outpost.

25. Запретим службу Telnet. Нажмите на кнопку «Add». Когда «New rule» появится в таблице политик для трафика, подведите к нему мышку и нажмите левую кнопку. Теперь введите название правила и дайте ему описание. Отредактируем правила. В диалоге «Edit Source» возможно выбрать, либо «Any», либо «Add», чтобы задать конкретный источник. Выберите «Host» и, когда появится соответствующий диалог, введите IP-адрес соседней машины (его можно узнать командой «Пуск» – «cmd» – «ipconfig»). Отредактируйте столбец «Destination», выбрав еще раз «Host» и введите свой собственный IP-адрес. Затем отредактируйте столбец «Service». Когда щелкните на кнопке «Add» в диалоге «Edit Service/Port», то сможете выбрать и службу, и порт. Выберите службу «Telnet» и «TCP» порт «23». Укажите «Deny» в опциях столбца «Action».

26. Самостоятельно заблокируйте сервис HTTP. Какое правило вы для этого создали? Внесите его в отчет.

27. У вас работает FTP-сервер. Самостоятельно создайте правило, на основе которого никто не сможет использовать эту службу и подключиться к серверу. Внесите правило в отчет.

28. Вам не всегда нужно полностью ограничивать доступ к службе. Иногда необходимо ограничить лишь получаемые/передаваемые данные. Для этого используют контентную фильтрацию. Вновь разрешите службу FTP. Перейдите на вкладку Content Filtering – HTTP Policy. Создадим возможность доступа для администратора ко всем сайтам, в названии которых есть *ya (ya.ru, yandex.ru).

29. Добавьте новое URL-правило во вкладке «URL Rules». Нажмите на кнопку «Add», чтобы открыть диалог «HTTP Rule». На вкладке «General» диалога по созданию HTTP-правила определите имя правила: «Администратору разрешен доступ к *ya». Это правило будет разрешать администратору доступ к Web-сайтам, адрес которых начинается со слова ya. «If user accessing the URL is»: укажите здесь пользователя (с помощью кнопки SET, чтобы выбрать администратора из внутренней базы данных пользователей). «Критерий для совпадения с URL» (And URL matches criteria): укажите *ya. Action: выберете «Разрешить доступ к выбранному веб-сайту». На вкладке «Advanced» оставьте настройки по-умолчанию.

30. Теперь откройте вкладку «Content Rules». Здесь укажите – разрешить весь контент, предполагая, что интегрированное антивирусное решение может выявлять потенциально вредоносный веб-контент.

31. Перейдите ко вкладке «FTP Policy». Добавим новую FTP-политику, которая запрещает скачивать по протоколу FTP любые исполняемые файлы (*.exe) для любого сотрудника организации за исключением группы администраторов. Для этого нажмите на кнопку ADD в разделе «FTP-Policy». Появится диалог по созданию FTP-правила. Заполните поля следующим образом. На вкладке «General»: укажите Description – «Запрет на скачивание *.exe», If user accessing the FTP server is – any user (любой пользователь), And the FTP server is – any server (любой сервер), Action – Deny (запретить доступ), Log –поставить галочку. На вкладке «Advanced»: укажите Valid at time interval – Always, Valid for IP address group – Any, Content Type – Download *.exe.

32. Чтобы исключить из правила группу администраторов, персонально разрешите этой группе обращаться к любым файлам по FTP. Какое правило вы для этого создадите? Внесите его в отчет.

33. Изучите оставшиеся возможности Kerio во вкладке «Configuration». Внесите их и их предназначение в отчет.

34. Откройте вкладку «Users and Groups». Внесите в отчет список пользователей и групп на вашей машине.

35. Откройте вкладку «Status» – «Statistics». Какую информацию можно здесь получить? Внесите ее в отчет.

36. Откройте и изучите вкладу «Logs». Какие отчеты можно получить с помощью Kerio? Укажите их в отчете по лабораторной.

37. Отыщите среди логов те записи, которые касаются закачивания файлов с вашего FTP-сервера. Внесите их в отчет.

38. Внести в отчет ответы на контрольные вопросы к данной лабораторной работе.