May 21st, 2012 
admin
Возможность сетевого доступа реализуется благодаря излишнему коли- честву сетевых сервисов, по умолчанию предоставляемых сервером ОС Win- dows Server 2003. Упорядоченный по наименованию перечень сетевых серви- сов, функционирующих в ОС по умолчанию, приведен в табл. 6.1. Полный перечень сетевых сервисов ОС Windows Server 2003 приведен в Приложе- нии 2.
Таблица 6.1
Перечень сетевых сервисов ОС Windows Server 2003
|
Порт |
Тип |
Протокол |
Наименование системной службы |
|
|
137 |
TCP |
NetBIOS Name Resolution |
Computer Browser |
|
|
137 |
UDP |
NetBIOS Name Resolution |
Computer Browser |
|
|
138 |
UDP |
NetBIOS Datagram Service |
Computer Browser |
|
|
139 |
TCP |
NetBIOS Session Service |
Computer Browser |
|
|
139 |
TCP |
NetBIOS Session Service |
Fax Service |
|
|
445 |
TCP |
SMB |
Fax Service |
|
|
445 |
UDP |
SMB |
Fax Service |
|
|
500 |
UDP |
IPSec ISAKMP |
IPSec Services |
|
|
138 |
UDP |
NetBIOS Datagram Service |
License Logging Service |
|
|
139 |
TCP |
NetBIOS Session Service |
License Logging Service |
|
|
445 |
TCP |
SMB |
License Logging Service |
|
|
445 |
UDP |
SMB |
License Logging Service |
|
|
138 |
UDP |
NetBIOS Datagram Service |
Messenger |
|
|
137 |
TCP |
NetBIOS Name Resolution |
Net Logon |
|
|
137 |
UDP |
NetBIOS Name Resolution |
Net Logon |
|
|
138 |
UDP |
NetBIOS Datagram Service |
Net Logon |
|
|
139 |
TCP |
NetBIOS Session Service |
Net Logon |
|
|
3389 |
TCP |
Terminal Services |
NetMeeting Remote Desktop Sharing |
|
|
139 |
TCP |
NetBIOS Session Service |
Performance Logs and Alerts |
|
|
139 |
TCP |
NetBIOS Session Service |
Print Spooler |
|
|
445 |
TCP |
SMB |
Print Spooler |
|
|
445 |
UDP |
SMB |
Print Spooler |
|
|
135 |
TCP |
RPC |
Remote Procedure Call |
|
|
139 |
TCP |
NetBIOS Session Service |
Remote Procedure Call Locator |
|
|
445 |
TCP |
SMB |
Remote Procedure Call Locator |
|
|
445 |
UDP |
SMB |
Remote Procedure Call Locator |
|
|
4500 |
UDP |
NAT-T |
Routing and Remote Access |
|
|
137 |
TCP |
NetBIOS Name Resolution |
Server |
|
|
137 |
UDP |
NetBIOS Name Resolution |
Server |
|
|
138 |
UDP |
NetBIOS Datagram Service |
Server |
|
|
139 |
TCP |
NetBIOS Session Service |
Server |
|
|
445 |
TCP |
SMB |
Server |
|
|
445 |
UDP |
SMB |
Server |
|
|
1900 |
UDP |
SSDP |
SSDP Discovery Service |
|
|
5000 |
TCP |
SSDP legacy event notification |
SSDP Discovery Service |
|
|
3389 |
TCP |
Terminal Services |
Terminal Services |
|
|
137 |
TCP |
NetBIOS Name Resolution |
Windows Internet Name Service |
|
|
137 |
UDP |
NetBIOS Name Resolution |
Windows Internet Name Service |
|
|
123 |
UDP |
NTP |
Windows Time |
|
|
123 |
UDP |
SNTP |
Windows Time |
|
Как известно, перечень открытых сетевых портов может быть получен командой netatat –aon. Результаты выполнения этой команды для ОС Windows Server 2003 приведены на рис. 6.1.
Рис. 6.1. Результаты выполнения команды netstat
Согласно приведенной выше схеме организации доступа к защищаемым данным, сервер терминального доступа должен выполнять только задачу обеспечения службы MSTS. Сервер терминального доступа, в частности, не должен выполнять функции контроллера домена. Таким образом, из перечня функционирующих по умолчанию сетевых служб должны быть исключены все службы кроме службы Terminal Services, TCP-порт 3389.
Для обеспечения защиты сетевого трафика дополнительно может пона-
добиться функционирование службы IPSec Services (UDP-порт 500), а также иных служб, используемых специализированными СЗИ.
Исключение служб может быть осуществлено двумя способами: оста-
новом службы в оснастке Services (рис. 6.2) либо запрещением доступа к службе с применением межсетевого экранирования.
Способом останова должны быть исключены службы: Computer
Browser, Server, Windows Internet Name Service, Net Logon, Messenger, License
Logging Service, Fax Service, Performance Logs and Alerts, Print Spooler, Remote Procedure Call Locator, Routing and Remote Access, SSDP Discovery Service, Windows Time. Отключение службы Remote Procedure Call, функционирую- щей на 135 TCP-порту, приводит к неработоспособности узла, поэтому запрет доступа к этому порту будет производиться с использованием технологии межсетевого экранирования.
Путем модификации настройки сетевых соединений (рис. 6.3) и отклю- чения службы NetBIOS через TCP/IP запрещаются службы, использующие порт TCP 139.
Рис. 6.2. Окно перечня служб ОС Windows
Рис. 6.3. Окно настройки свойств протокола TCP/IP
В итоге после отключения вышеуказанных служб открытыми остаются порты TCP: 135, 445, 1025, 3389; UDP: 445, 500, 4500 (рис. 6.4). Запретить данные порты, являющиеся, безусловно, опасными с точки зрения осуществ- ления несанкционированного доступа, возможно лишь путем межсетевого эк- ранирования.
Рис. 6.4. Перечень открытых портов, остающихся после останова сетевых служб
Технология межсетевого экранирования в ОС Windows Server 2003 мо-
жет быть применена с использованием:
? настроек протокола IPSec;
? штатного межсетевого экрана «Брандмауэр Windows»;
? дополнительного межсетевого экрана, реализованного сертифицирован-
ным средством защиты информации.
В случае использования настроек протокола IPSec ограничение доступа к портам может быть осуществлено либо через параметры фильтрации прото-
кола TCP/IP в окне дополнительных параметров свойств протокола TCP/IP (рис. 6.5), либо путем создания шаблона безопасности для IP-протокола в окне
«Локальная политика безопасности» (рис. 6.6).
При использовании параметров фильтрации протокола TCP/IP необхо-
димо запретить все порты, кроме порта TCP 3389, отвечающего за функцио-
нирование MSTS (рис. 6.7). Однако в этом случае не удается запретить функ- ционирование протокола ICMP, т. е. невозможно исключить входящие ICMP- запросы и исходящие ICMP-ответы.
При использовании шаблона безопасности для IP-протокола создается новая политика, разрешающая функционирование TCP-порта 3389 и запре- щающая функционирование иных IP-протоколов, включая ICMP.
В случае использования штатного межсетевого экрана «Брандмауэр
Windows» (рис. 6.8) необходимо также запретить использование всех портов, за исключением TCP-порта 3389 (рис. 6.10). Указанный порт именуется в про- грамме «Дистанционным управлением рабочим столом» (рис. 6.9). Дополни- тельно следует отключить функционирование протокола ICMP (рис. 6.11).
Рис. 6.5. Окно дополнительных параметров свойств протокола TCP/IP
Рис. 6.6. Окно «Локальная политика безопасности»
Применение специализированных сертифицированных средств защиты, реализующих средства межсетевого экранирования, в частности СЗИ VipNet, является, безусловно, более предпочтительным, чем использование штатных средств ОС Windows.
Рис. 6.7. Установка фильтра, разрешающего соединение
Рис. 6.8. Окно штатного межсетевого экрана «Брандмауэр Windows»
Рис. 6.9. Окно настроек «Брандмауэра Windows»
Рис. 6.10. Окно настройки службы «Дистанционное управление рабочим столом»
Рис. 6.11. Окно отключения протокола ICMP
Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс
Опубликовано в рубрике