Поиск

Этот документ представляет собой перевод с английского языка. В исходный документ на английском языке могли быть внесены изменения после публикации перевода. Компания Symantec не гарантирует, что перевод соответствует полному тексту на английском языке.


Ситуация:

Решение:
Введение
Когда компьютеры из частной сети подключаются к Интернету, их сеть физически подключается к многочисленным неизвестным сетям. И хотя большинство соединений не представляют угрозу ни для компьютера, ни для сети, нельзя забывать о существовании злоумышленников, в том числе хакеров и самоутверждающихся подростков, которые пытаются проникнуть в сеть через незащищенные компьютеры. Успешная атака может привести к раскрытию секретной информации, резкому снижению производительности и, вследствие этого, потере репутации и ценности марки.
Установленные в конечных системах брандмауэры защищают от атак, создавая барьер между компьютерами и внешними сетями, в том числе Интернетом. В этом документе подробно описан компонент защиты от угроз из сети (брандмауэр клиента), входящий в состав Symantec™ Endpoint Protection, в частности назначение брандмауэра клиента, элементы политики брандмауэра, способ обработки правил брандмауэра и практические рекомендации по реализации политики брандмауэра в сети.

Задача настройки брандмауэра клиента
Брандмауэр хорош ровно настолько, насколько хороша реализуемая им политика. Неправильно сформированная политика может на деле пропускать атаки, блокируя доступ к ресурсам из надежных источников. Перед настройкой брандмауэра клиента необходимо понять, каким образом брандмауэр обрабатывает правила, как создать эффективные правила (обеспечить защиту без снижения производительности), и каким образом брандмауэр взаимодействует с другими компонентами Symantec Endpoint Protection.

Что такое Symantec Endpoint Protection 11.0 и защита от угроз из сети?
Symantec Endpoint Protection 11.0 обеспечивает трехуровневую защиту конечных вычислительных устройств, позволяя обезопасить их от вирусов и угроз. Предусмотрены следующие уровни: защита от сетевых угроз, превентивная защита и защита от вирусов и программ-шпионов. Защита от сетевых угроз предотвращает доступ угроз к компьютеру путем применения правил и сигнатур. Превентивная защита выявляет и устраняет угрозы путем анализа их поведения. Защита от вирусов и программ-шпионов выявляет и устраняет угрозы, пытающиеся получить или получившие доступ к компьютерам, путем применения сигнатур Symantec. Брандмауэр клиента Symantec Endpoint Protection устанавливает барьер между компьютером и внешней сетью. Брандмауэр клиента предотвращает несанкционированный доступ пользователей к компьютерам и сетям, подключенным к Интернету, выявляет возможные атаки хакеров, защищает личную информацию и "отсекает" нежелательные источники сетевого трафика. Кроме того, брандмауэр обеспечивает защиту от угроз и вредоносных программ из сети, которые пытаются проникнуть сеть, в том числе ботов. Вся информация, принимаемая клиентским компьютером и отправляемая из него, должна пройти через брандмауэр клиента, который анализирует сетевые пакеты. Брандмауэр клиента блокирует пакеты, которые не соответствуют установленным критериям безопасности.

Политики брандмауэра
Политики брандмауэра представляют собой одно или несколько правил, которые разрешают или запрещают пользователю доступ к сети. В политике брандмауэра предусмотрены следующие элементы:

• Правила брандмауэра
• Проверка с учетом состояния
• Приоритет правила
• Тип управления
• Правила брандмауэра по умолчанию
• Интеллектуальная фильтрация трафика
• NetBIOS и Token Ring
• Параметры скрытого режима

Правила брандмауэра
Правила брандмауэра управляют тем, как клиент защищает компьютер от вредоносного входящего и исходящего трафика, а также приложений. Правила брандмауэра позволяют сделать компьютер невидимым для других пользователей Интернета, защищают удаленных пользователей от атак хакеров и блокируют доступ хакеров к корпоративной сети через "черный ход" на этих компьютерах.
Интеллектуальные фильтры трафика разрешают те разновидности трафика, которые используются в большинстве сетей, например DHCP, DNS и WINS. С помощью параметров скрытого режима и трафика можно активировать дополнительные параметры трафика, в том числе защиту на уровне драйвера, защиту NetBIOS, трафик Token Ring, обратное преобразование DNS и параметры скрытого режима. В целом правила брандмауэра задают условия, при которых сетевое соединение должно быть разрешено или заблокировано.
Для определения критериев, проверяемых в правиле брандмауэра, следует использовать следующие компоненты брандмауэра:

• Триггеры — К триггерам относятся приложения, хосты, протоколы и сетевые адаптеры. Описания триггеров можно объединять в более сложные правила, например для связи конкретного протокола с конкретным целевым адресом. Для того чтобы правило брандмауэра выполнилось, необходимо, чтобы сработали все триггеры. Если какой-либо триггер для текущего пакета не сработал, правило не применяется.

Для определения критериев, проверяемых в правиле брандмауэра, следует использовать следующие компоненты брандмауэра:

• Параметры условий — Параметры условий не описывают аспекты сетевого соединения. Они определяют критерии, определяющие активное состояние правила. Параметры условий не являются обязательными и их можно не определять. Наличие таких параметров напрямую влияет на состояние правила. Можно задать расписание или указать состояние экранной заставки, при котором правило будет активным или неактивным. Неактивные правила не учитываются брандмауэром при получении пакетов.
• Параметры действий — Параметры действий указывают, какие действия должны быть выполнены, если правило сработало. Если в результате получения пакета было выбрано правило, то будут выполнены все действия. Разрешается или запрещается передача пакета, и пакет регистрируется в журнале (если это настроено).

Проверка с учетом состояния
Брандмауэр выполняет проверку с учетом состояния. Проверка с учетом состояния — это процесс, отслеживающий разрешенные в данный момент соединения. Соединение идентифицируется уникальным сочетанием целевого IP-адреса, порта и приложения.
Клиент основывается на этой информации о соединении при принятии решений о пропуске трафика. Если полученный пакет относится к уже разрешенному соединению, то пакет не проходит процедуру проверки правил. Его передача автоматически разрешается. Что еще более важно, проверка с учетом состояния позволяет упростить набор правил. Если трафик передается только в одном направлении, то не требуется создавать правила, разрешающие трафик в обоих направлениях. К числу данных, обычно передаваемых на клиенте в одном направлении, относятся Telnet (порт 23), HTTP (порт 80), HTTPS (порт 443) и FTP (порт 21). Для этих протоколов достаточно создать только правило для исходящего трафика, так как ответный трафик будет разрешен автоматически клиентом SEP.

Как определяется приоритет правил брандмауэра
Каждому правилу в таблице брандмауэра автоматически присваивается номер, определяющий его приоритет. Номера правил задают порядок их обработки. Брандмауэр клиента Symantec Endpoint Protection обрабатывает правила последовательно, начиная с правила номер один.

Серьезность правила (от нуля до пятнадцати) определяет важность правила при срабатывании:

• Критический
• Существенный
• Несущественный
• Информация

Правила никаким образом не объединяются, и брандмауэр не реализует алгоритм выбора наилучшего совпадения. При таком сценарии проще создавать и отлаживать набор правил, так как нет никаких дополнительных критериев выбора правила, кроме простого соответствия трафика.
В наборе правил брандмауэра предусмотрена синяя разделительная линия.
Системный администратор с полным набором прав доступа может изменять наиболее приоритетные правила, расположенные над синей линией.
Клиенты со смешанным управлением иногда могут изменять менее приоритетные правила, расположенные под синей линией.

Тип управления
Правила делятся на правила сервера и правила клиента: Правила сервера создаются на сервере управления и загружаются на клиент. Правилами клиента называются правила, созданные пользователем на клиенте.
Ниже показана взаимосвязь между уровнем управления на клиенте и возможностями пользователя при работе с правилами:

• В случае управления с сервера клиент получает правила сервера. Пользователю запрещено их просматривать. Пользователю запрещено создавать правила клиента.
• В случае смешанного управления клиент получает правила сервера. Пользователю разрешено просматривать правила в окне "Правила брандмауэра". Кроме того, пользователю разрешено создавать правила, которые добавляются к существующим правилам. Однако эти правила размещаются под синей линией как менее приоритетные.
• В случае управления с клиента пользователь клиента получает все права для управления правилами. При выборе смешанного управления или управления с клиента рекомендуется соблюдать осторожность.

Для клиентов со смешанным управлением существует определенный порядок обработки правил сервера и клиента на брандмауэре. Вначале обрабатываются правила сервера с высоким приоритетом. Затем обрабатываются правила клиента, а после этого — правила сервера с низким приоритетом.
Соблюдайте осторожность при выборе смешанного управления на клиенте, так как пользователь получает возможность создать правило, разрешающее весь трафик, которое переопределит все правила сервера, расположенные ниже синей линии.

Правила брандмауэра по умолчанию
Брандмауэр устанавливается с правилами по умолчанию, которые делятся на разрешающие, запрещающие, блокирующие и регистрирующие в журнале и только регистрирующие в журнале.
Разрешающие правила заданы для фрагментированных пакетов и протокола Wireless Extensible Authentication Protocol Over LANS (Wireless EAPOL). В настоящее время Wireless EAPOL определен для локальных сетей Ethernet, в том числе беспроводных сетей 802.1x, а также локальных сетей Token Ring, включая FDDI. Также разрешены MS Remote Access и Routing ARP Driver, весь исходящий трафик бизнес-приложений, все исходящие запросы ping, pong, tracert и VPN.
Запрещающие правила заданы для блокирующего IPv6, IPv6 по IPv4, совместного использования локальных файлов и удаленного администрирования
Регистрирующие в журнале правила включают в себя следующее: не регистрировать оповещение и многоцелевой трафик, блокировать и регистрировать трафик IP, а также блокировать весь остальной трафик.

Интеллектуальная фильтрация трафика
Интеллектуальная фильтрация трафика позволяет использовать стандартные сетевые службы, не определяя правила, явно разрешающие эти службы.
Интеллектуальные фильтры включены по умолчанию. Они определены для следующих служб:

• DHCP
• DNS
• WINS

Интеллектуальная фильтрация производится до обработки набора правил, поэтому любой пакет, соответствующий активному интеллектуальному фильтру, будет разрешен. Все остальные пакеты будут запрещены. Запрос DHCP, DNS или WINS должен быть отправлен компьютером клиента и ответ на него должен быть получен в течение предустановленного пятисекундного интервала. Тип отправляемого сервером ответа при проверке должен соответствовать исходному запросу клиента.

Интеллектуальный DHCP позволяет передавать обычные широковещательные сообщения DHCP, не определяя особое правило. Сообщения DHCP клиента должны быть настроены для автоматического получения IP-адреса.

Как интеллектуальный фильтр обрабатывает обмен сообщениями DHCP:

• Вначале клиент отправляет широковещательное сообщение для поиска DHCP. При отправке этого сообщения создается интеллектуальный фильтр.
• Сервер должен отправить в ответ OFFER в течение пяти секунд. В любом соединении интеллектуального фильтра время ожидания составляет пять секунд.
• После этого клиент отправляет широковещательное сообщение с запросом DHCP, для которого создается другой интеллектуальный фильтр. Сервер должен отправить в ответ ACKNOWLEDGEMENT в течение пяти секунд.

Интерфейс для передачи запросов DNS должен быть настроен в параметрах TCP/IP основного и, при необходимости, вспомогательного сервера DNS. Основной и вспомогательный серверы могут настраиваться вручную, либо через систему адресации DHCP. Разрешены только запросы клиента, адресованные основному или вспомогательному серверу DNS. Любые другие запросы DNS автоматически запрещаются.

Интеллектуальный WINS позволяет использовать службу WINS. Необходимо настроить запросы WINS для применения преобразования WINS в дополнительных параметрах TCP/IP. В отличие от DNS, для которого можно настроить только основной и вспомогательный серверы, для WINS можно определить любое количество серверов. Разрешены только запросы клиента, адресованные одному из определенных серверов WINS. Любые другие запросы WINS автоматически запрещаются. Когда клиент отправляет запрос на преобразование, в список добавляется новый интеллектуальный фильтр, задающий пятисекундный интервал ответа на этот запрос. Приглашенный сервер должен ответить в течение этого периода времени. Содержимое ответа проверяется на соответствие исходному запросу. Недопустимые ответы игнорируются.

NetBIOS и Token Ring
На клиенте можно настроить параметры трафика для обнаружения и блокирования попыток доступа с помощью драйверов, NetBIOS и Token Ring. Кроме того, можно настроить параметры проверки трафика для выявления скрытых атак других типов.

Параметры трафика включают в себя следующее:

• Параметр "Включить защиту на уровне драйвера" включен по умолчанию. Когда этот параметр включен, любой обращающийся к сети драйвер протокола рассматривается как сетевое приложение. Драйверы протокола можно автоматически блокировать или разрешать. Обратите внимание, что параметр "Включить защиту NetBIOS" не выбран по умолчанию. Когда параметр включен, политика брандмауэра запрещает клиенту получать пакеты NetBIOS через порты UDP 88, UDP 137, UDP 138, TCP 135, TCP 139, TCP 445 и TCP 1026, отправленные компьютерами из другой подсети.
• Параметр "Разрешить трафик Token Ring" включен по умолчанию. Если клиенты устанавливают связь через адаптер Token Ring, то следует включить этот параметр в политике брандмауэра, для того чтобы у клиентов был доступ к сети.
• Параметр "Разрешить обратное преобразование DNS" включен по умолчанию. Если клиент перехватывает пакет IP с неизвестным IP-адресом, то этот параметр разрешает отправить запрос к DNS на обратное преобразование доменного имени.
• Параметр "Включить защиту от имитации MAC-адреса" по умолчанию выключен. Когда он включен, то защита от имитации MAC-адреса предотвращает попытки других компьютеров переопределить таблицу адресов MAC.

Параметры скрытого режима
Набор доступных параметров скрытого режима зависит от требований к совместимости. Некоторые параметры могут привести к неправильному отображению веб-сайтов. Другие параметры могут привести к блокированию всего трафика при наличии несовместимой сетевой карты. В отличие от параметров трафика, все параметры скрытого режима по умолчанию выключены.

Можно настроить следующие параметры скрытого режима:

• Включить режим скрытого просмотра веб-страниц: Этот параметр распознает трафик HTTP веб-браузера, передаваемый через порт 80, и удаляет имя и номер версии веб-браузера, имя операционной системы и ссылку на веб-страницу. Это не позволяет другим веб-сайтам узнать тип операционной системы и веб-браузера клиента.
• Включить переупорядочение TCP: Этот параметр предотвращает фальсификацию (или имитацию) IP-адреса компьютера путем перемешивания порядковых номеров TCP.
• Включить маскировку ОС: Этот параметр не позволяет программам определить операционную систему компьютера, на котором установлен клиент SEP. Его рекомендуется применять одновременно с включением переупорядочения TCP. Клиент изменяет значения TTL и идентификатор в пакетах TCP/IP, для того чтобы скрыть тип операционной системы, который может определяться по сигнатурам пакетов.

Порядок обработки правил
Ниже описан порядок, в котором обрабатываются элементы защиты от угроз из сети. Эти элементы включают в себя параметры скрытого режима и трафика:

• Вначале обрабатываются настраиваемые сигнатуры предотвращения вторжений.
• Затем обрабатываются параметры предотвращения вторжений, трафика и скрытого режима.
• После этого обрабатываются интеллектуальные фильтры трафика и правила брандмауэра.
• В последнюю очередь выполняется обнаружение сканирования портов и обрабатываются сигнатуры IPS, загруженные с помощью LiveUpdate.

Предотвращение вторжений
Система предотвращения вторжений (IPS) — это вторая линия обороны клиента после брандмауэра. Это сетевая система, работающая на каждом компьютере, на котором установлен клиент и включена система IPS. При обнаружении атаки ее могут заблокировать одна или несколько технологий предотвращения вторжений.
Клиент содержит интеллектуальные сигнатуры атак, которые более надежно блокируют атаки с вторжением. Кроме того, клиент модуль с учетом состояния, отслеживающий весь входящий и исходящий трафик. В состав стандартного клиента входит модуль предотвращения вторжений и соответствующий набор сигнатур атак.

Типы атак, блокируемых системой предотвращения вторжений, зависят от настроенных на клиенте параметров предотвращения вторжений. Например, для включения модуля сигнатур IPS Symantec и модуля настраиваемых сигнатур IPS необходимо выбрать параметр "Включить предотвращение вторжений".

Можно настроить следующие параметры предотвращения вторжений:

• Включить предотвращение вторжений – для автоматического обнаружения и блокирования атак из сети. Если этот параметр не включен, то клиент не проверяет возможные сигнатуры атак.
• Выявлять отказы в обслуживании – для обнаружения известных атак с участием большого количества пакетов.
• Выявлять сканирование портов – для отслеживания всех входящих пакетов, блокируемых каким-либо правилом безопасности.
• Автоматически блокировать IP-адрес злоумышленника – для блокирования сетевого трафика с атакующего компьютера на заданный период времени (по умолчанию на 10 минут)

Если на клиенте установлен смешанный режим управления, то эти параметры также необходимо активировать в окне "Параметры управления клиентом/сервером".

Практические рекомендации – Применение политик брандмауэра в сети
Перед применением политики брандмауэра во всей сети рекомендуется опробовать ее на небольшом, репрезентативном подмножестве клиентов сети. По возможности политику следует опробовать в тестовой среде. В Symantec Endpoint Protection предусмотрена политика брандмауэра по умолчанию, которую можно взять за основу при создании собственной политики. В большинстве случаев политику брандмауэра по умолчанию требуется изменить в соответствии с архитектурой сети и корпоративными требованиями к безопасности.

Применяемая в брандмауэре проверка с учетом состояния упрощает создание и обслуживание правил, позволяя клиентским компьютерам устанавливать необходимые соединения, оставаясь под защитой. На защиту клиентов работают и те компоненты политики брандмауэра, которые не основаны на правилах. Они включают в себя предотвращение вторжений и интеллектуальные фильтры трафика.

Когда политика брандмауэра будет готова к применению в сети, выполните следующие действия:

• Включите систему предотвращения вторжений
• Примените политику брандмауэра в небольшой группе компьютеров
• Отслеживайте сетевой трафик с помощью журналов
• Исправляйте политику исходя из информации о сети, собранной в журналах
• Когда политика брандмауэра будет готова, примените ее в сети

Включите и настройте систему предотвращения вторжений
Вне зависимости от конфигурации других компонентов защиты от угроз из сети, клиенты и серверы можно защитить от большинства сетевых атак, включив систему предотвращения вторжений. Предотвращение вторжений — это эффективный способ блокирования известных атак. По мере создания сигнатур для новых атак их можно добавлять на компьютер с помощью LiveUpdate для обеспечения дополнительной защиты. Кроме того, можно создать настраиваемые сигнатуры предотвращения вторжений, которые брандмауэр обрабатывает в первую очередь.

Примените политику брандмауэра
Политика брандмауэра по умолчанию потенциально может блокировать трафик, применяемый в деловых операциях компании. Во избежание этого следует изменить политику по умолчанию, сделав ее более либеральной.
Политику по умолчанию можно сделать более либеральной, внеся следующие изменения:

• Измените все или некоторые блокирующие правила на разрешающие, настроив в этих правилах ведение журнала на уровне Занести в журнал трафика, для того чтобы в журнале сохранялась информация обо всех пакетах, соответствующих правилам.
• Создайте новое правило (разрешающее правило), указав действие Разрешить и Заносить в журнал трафика. Переместите разрешающее правило в начало списка правил брандмауэра, для того чтобы оно обрабатывалось первым.

Отслеживайте сетевой трафик
После применения измененной политики брандмауэра следует контролировать и анализировать трафик, передаваемый через клиенты, с помощью консоли Symantec Endpoint Protection Manager. С помощью журналов трафика можно узнать, какой трафик был разрешен или запрещен, отобрав его по приложению, времени дня или службе.

Исправляйте политику брандмауэра
После изучения информации в журналах трафика можно изменить политику брандмауэра, исходя из полученных результатов. Кроме того, можно ослабить или ужесточить политику, настроив параметры трафика и скрытого режима, которые разрешают или запрещают определенные типы сетевого трафика.
В общем случае для ужесточения политики брандмауэра можно запретить приложениям запускаться или обращаться к сети. Для этого необходимо создать правила брандмауэра для отдельных приложений. Следует помнить о том, что правила, блокирующие доступ приложения к сети, не запрещают запуск этого приложения. Результат применения таких правил может отличаться от ожидаемого.
Другой рекомендуемый способ, основанный на использовании политики управления приложениями, может оказаться более эффективным. С помощью политики управления приложениями можно блокировать запуск приложения.
Следует постепенно вводить ограничения в политике брандмауэра. Например, можно блокировать одно-два приложения и снова протестировать политику. Если она работает правильно, можно еще больше ужесточить политику.

Разверните измененную политику брандмауэра во всей сети
После завершения подготовки политики брандмауэра путем анализа журналов трафика и полевых испытаний, ее можно развернуть во всей сети, имея уверенность в том, что брандмауэр будет защищать компьютеры клиентов, разрешая передачу необходимого трафика.

Дополнительные ресурсы
Дополнительные сведения о брандмауэре клиента Symantec Endpoint Protection и управлении приложениями приведены в книгах "Symantec Endpoint Protection: руководство администратора" и "Symantec Endpoint Protection: руководство по работе с клиентом".

Ссылки
Этот документ переведен на следующие языки:

• Brazilian-Portuguese: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/br_docid/20080818101143935
• French: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/fr_docid/20080818101217935
• German: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/de_docid/20080818101244935
• Italian: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/it_docid/20080818101305935
• Polish: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/pl_docid/20080818101329935
• Hungarian: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/hu_docid/20080818101356935
• Czech: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/cz_docid/20080818101448935
• Spanish: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/es_docid/20080818101516935

Номер документа: 20080818101422935
Последнее изменение: 10/29/2008
Дата создания 08/18/2008
Продукт(ы): Endpoint Protection 11

Индекс сайта · Юридическая информация · Политика конфиденциальности · Обратная связь · Сайты по всему миру · Лицензионные соглашения