Ограничение возможности сетевого доступа

Возможность сетевого доступа реализуется благодаря излишнему коли- честву сетевых сервисов, по умолчанию предоставляемых сервером ОС Win- dows Server 2003. Упорядоченный по наименованию перечень сетевых серви- сов, функционирующих в ОС по умолчанию, приведен в табл. 6.1. Полный перечень сетевых сервисов ОС Windows Server 2003 приведен в Приложе- нии 2.

Таблица 6.1

Перечень сетевых сервисов ОС Windows Server 2003

Порт

Тип

Протокол

Наименование системной службы

137

TCP

NetBIOS Name Resolution

Computer Browser

137

UDP

NetBIOS Name Resolution

Computer Browser

138

UDP

NetBIOS Datagram Service

Computer Browser

139

TCP

NetBIOS Session Service

Computer Browser

139

TCP

NetBIOS Session Service

Fax Service

445

TCP

SMB

Fax Service

445

UDP

SMB

Fax Service

500

UDP

IPSec ISAKMP

IPSec Services

138

UDP

NetBIOS Datagram Service

License Logging Service

139

TCP

NetBIOS Session Service

License Logging Service

445

TCP

SMB

License Logging Service

445

UDP

SMB

License Logging Service

138

UDP

NetBIOS Datagram Service

Messenger

137

TCP

NetBIOS Name Resolution

Net Logon

137

UDP

NetBIOS Name Resolution

Net Logon

138

UDP

NetBIOS Datagram Service

Net Logon

139

TCP

NetBIOS Session Service

Net Logon

3389

TCP

Terminal Services

NetMeeting Remote Desktop Sharing

139

TCP

NetBIOS Session Service

Performance Logs and Alerts

139

TCP

NetBIOS Session Service

Print Spooler

445

TCP

SMB

Print Spooler

445

UDP

SMB

Print Spooler

135

TCP

RPC

Remote Procedure Call

139

TCP

NetBIOS Session Service

Remote Procedure Call Locator

445

TCP

SMB

Remote Procedure Call Locator

445

UDP

SMB

Remote Procedure Call Locator

4500

UDP

NAT-T

Routing and Remote Access

137

TCP

NetBIOS Name Resolution

Server

137

UDP

NetBIOS Name Resolution

Server

138

UDP

NetBIOS Datagram Service

Server

139

TCP

NetBIOS Session Service

Server

445

TCP

SMB

Server

445

UDP

SMB

Server

1900

UDP

SSDP

SSDP Discovery Service

5000

TCP

SSDP legacy event notification

SSDP Discovery Service

3389

TCP

Terminal Services

Terminal Services

137

TCP

NetBIOS Name Resolution

Windows Internet Name Service

137

UDP

NetBIOS Name Resolution

Windows Internet Name Service

123

UDP

NTP

Windows Time

123

UDP

SNTP

Windows Time

Как известно, перечень открытых сетевых портов может быть получен командой netatat –aon. Результаты выполнения этой команды для ОС Windows Server 2003 приведены на рис. 6.1.

Рис. 6.1. Результаты выполнения команды netstat

Согласно приведенной выше схеме организации доступа к защищаемым данным,  сервер  терминального  доступа  должен  выполнять  только  задачу обеспечения службы MSTS. Сервер терминального доступа, в частности, не должен выполнять функции контроллера домена. Таким образом, из перечня функционирующих по умолчанию сетевых служб должны быть исключены все службы кроме службы Terminal Services, TCP-порт 3389.

Для обеспечения защиты сетевого трафика дополнительно может пона-

добиться функционирование службы IPSec Services (UDP-порт 500), а также иных служб, используемых специализированными СЗИ.

Исключение служб может быть осуществлено двумя способами: оста-

новом службы в оснастке Services (рис. 6.2) либо запрещением доступа к службе с применением межсетевого экранирования.

Способом   останова   должны   быть   исключены   службы:   Computer

Browser, Server, Windows Internet Name Service, Net Logon, Messenger, License

Logging Service, Fax Service, Performance Logs and Alerts, Print Spooler, Remote Procedure Call Locator, Routing and Remote Access, SSDP Discovery Service, Windows Time. Отключение службы Remote Procedure Call, функционирую- щей на 135 TCP-порту, приводит к неработоспособности узла, поэтому запрет доступа к этому порту будет производиться с  использованием технологии межсетевого экранирования.

Путем модификации настройки сетевых соединений  (рис. 6.3) и отклю- чения службы NetBIOS через TCP/IP запрещаются службы, использующие порт TCP 139.

Рис. 6.2. Окно перечня служб ОС Windows

Рис. 6.3. Окно настройки свойств протокола TCP/IP

В итоге после отключения вышеуказанных служб открытыми остаются порты TCP: 135, 445, 1025, 3389; UDP: 445, 500, 4500 (рис. 6.4). Запретить данные порты, являющиеся, безусловно, опасными с точки зрения осуществ- ления несанкционированного доступа, возможно лишь путем межсетевого эк- ранирования.

Рис. 6.4. Перечень открытых портов, остающихся после останова сетевых служб

Технология межсетевого экранирования в ОС Windows Server 2003 мо-

жет быть применена с использованием:

?    настроек протокола IPSec;

?    штатного межсетевого экрана «Брандмауэр Windows»;

?    дополнительного межсетевого экрана, реализованного сертифицирован-

ным средством защиты информации.

В случае использования настроек протокола IPSec ограничение доступа к портам может быть осуществлено либо через параметры фильтрации прото-

кола TCP/IP в окне дополнительных параметров свойств протокола TCP/IP (рис. 6.5), либо путем создания шаблона безопасности для IP-протокола в окне

«Локальная политика безопасности» (рис. 6.6).

При использовании параметров фильтрации протокола TCP/IP необхо-

димо запретить все порты, кроме порта TCP 3389, отвечающего за функцио-

нирование MSTS (рис. 6.7). Однако в этом случае не удается запретить функ- ционирование протокола ICMP, т. е. невозможно исключить входящие ICMP- запросы и исходящие ICMP-ответы.

При использовании шаблона безопасности для IP-протокола создается новая политика, разрешающая функционирование TCP-порта 3389 и запре- щающая функционирование иных IP-протоколов, включая ICMP.

В  случае  использования  штатного  межсетевого  экрана  «Брандмауэр

Windows» (рис. 6.8) необходимо также запретить использование всех портов, за исключением TCP-порта 3389 (рис. 6.10). Указанный порт именуется в про- грамме «Дистанционным управлением рабочим столом» (рис. 6.9). Дополни- тельно следует отключить функционирование протокола ICMP (рис. 6.11).

Рис. 6.5. Окно дополнительных параметров свойств протокола TCP/IP

Рис. 6.6. Окно «Локальная политика безопасности»

Применение специализированных сертифицированных средств защиты, реализующих средства межсетевого экранирования, в частности СЗИ VipNet, является, безусловно, более предпочтительным, чем использование штатных средств ОС Windows.

Рис. 6.7. Установка фильтра, разрешающего соединение

Рис. 6.8. Окно штатного межсетевого экрана «Брандмауэр Windows»

Рис. 6.9. Окно настроек «Брандмауэра Windows»

Рис. 6.10. Окно настройки службы «Дистанционное управление рабочим столом»

Рис. 6.11. Окно отключения протокола ICMP

Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий