Питер Нортон - Полное руководство по Microsoft Windows XP

1. Щелкните по кнопке Далее.Появится диалоговое окно Конечная точка туннеля(Tunnel Endpoint). Здесь имеется адрес конечной точки (удаленной машины) для связи. Если это общая настройка, оставьте данное окно незаполненным.

2. Если необходимо, введите значение конечной точки и нажмите Далее.Появится диалоговое окно Тип сети(Network Type). Windows XP делит правила на три группы: распространяющиеся на все сети, на локальную сеть и на удаленные соединения любого типа.

3. Выберите тип сети и нажмите Далее.Откроется диалоговое окно Метод проверки подлинности(Authentication Method). Windows XP не поддерживает протокол безопасности Kerberos без контроллера домена (сервера Windows), который устанавливает служба каталогов Active Directory [53] . Если у вас малая сеть без требуемой поддержки, воспользуйтесь другим методом проверки подлинности в политике.

4. Укажите метод проверки подлинности для правила безопасности. Впишите необходимую информацию и нажмите Далее.Отобразится диалоговое окно Список фильтров IP(IP Filter List). Если вы не хотите устанавливать новый фильтр, Windows XP предложит выбрать стандартный IP или любой из списка фильтров для трафика ICMP (Internet Control Message Protocol). Даже если вы уже задали один из стандартных фильтров, несложно выделить необходимую опцию и нажать кнопку Изменить(Edit), чтобы изменить параметры. Никогда не удаляйте опцию фильтрации по умолчанию.

5. Выберите или создайте опцию IP-фильтрации и нажмите Далее.Появится диалоговое окно Действие фильтра(Filter Action). Фильтр обычно предусматривает три сценария действия. Первый разрешает незащищенные протоколы. Второй требует защищенного протокола, но позволяет использовать незащищенные транзактные сообщения, если клиент или сервер не обеспечивают поддержки. Третий нуждается в защищенных транзактных сообщениях. Сценарии создают при необходимости, используя кнопку Добавить.

6. Выберите или создайте сценарий действия IP-фильтра и нажмите Далее.Откроется завершающее диалоговое окно Мастера нового правила.

7. Щелкните по кнопке Готово.Мастер правил безопасности создаст новое правило.

Безопасность сети

Обеспечение безопасности вашей машины – первый шаг в создании защищенной среды. Однако вы не можете игнорировать саму сеть, потому что взломщик рано или поздно проникнет в нее. Сеть более уязвима для атак, потому что серверы отвечают на запросы – именно в этом крайне заинтересован взломщик. Чаще всего сетевые атаки происходят по каналам новостей. Некоторые атаки на сети, такие как Code Red и Code Blue, разрушительны по своему масштабу. Они затрагивают не только вашу сеть, но и любую другую, с которой ваша сеть взаимодействует.

Многие компании имеют сложную политику защиты, потому что они либо очень большие, либо выполняют что-нибудь особенное, например задание правительства. Если вы трудитесь в компании, подобной этим, то, вероятно, обратитесь за помощью к фирмам, разрабатывающим системы безопасности компьютерных сетей, чтобы установить оптимальную систему безопасности. Желательно нанять хакеров, чтобы имитировать атаку на сеть.

Большинство компаний, однако, имеет более простые требования к безопасности сети. Эти требования можно разбить на три типа, в зависимости от области, на которые они распространяются:

• рабочая группа (Workgroup) определяет защиту пользователей, с которыми вы работаете. Вы можете иметь сервер рабочей группы или групповые политики (Group Policies), которые распространяются на рабочую группу. Система безопасности на уровне рабочих групп – это защита от опасности, возникающей внутри самой группы;

• домен (Domain) задает защиту в компании или филиале. Домен – совокупность всех рабочих групп и индивидуальных пользователей, не принадлежащих к рабочей группе. Большие компании обычно имеют несколько доменов. Защита домена особенно важна, поскольку распространяется на каждого в компании или филиале. Большинство сетевых атак возникает на уровне доменов;

• другие серверы (Other Servers) создает защиту для специализированных серверов, например для конечных серверов, серверов баз данных, Internet-серверов, файловых и печати (допустим, Linux-сервер для работы в Internet или NetWare-сервер для работы с файлами и печати). Большинство сетевых атак на специализированные серверы, осуществляемых продвинутыми взломщиками, происходит на этом уровне. Администраторы считают, что сначала хакеры атакуют Windows-машины, потому что в Windows проникнуть легче, чем в другие операционные системы.

Теперь, когда вы знаете, что угрожает безопасности системы, рассмотрим рабочие группы, домены и другие серверы. В следующем разделе вы получите более подробную информацию о трех уровнях сетевой защиты, которую вы должны использовать при создании системы безопасности сети.

Рабочая группа

Рабочая группа – это небольшая структурная единица. Она обычно устанавливается в отдельном подразделении в пределах компании, например в бухгалтерии или целевой группе. Во многих случаях рабочая группа предполагает одноранговые подключения и общедоступные папки. В некоторых случаях она содержит не слишком мощный сервер, чтобы хранить данные и обеспечивать возможность печати. Вообще рабочая группа не полагается на контроллер домена, даже если сервер использует Windows Server в качестве операционной системы. Мы обсудим, что представляет собой контроллер домена, в разделе «Домен» данной главы.

Может показаться, что небольшой рабочей группе не требуется основательной системы защиты, но нельзя позволять себе пренебрегать ею на этом уровне. Большинство экспертов по безопасности компьютерных сетей приходят к выводу, что раздраженные служащие являются большей проблемой, чем, например, локальный взломщик. Хорошая защита рабочей группы включает три элемента:

• учетные записи пользователей (User Accounts). Первое место при защите рабочей группы занимает работа с учетными записями пользователя. Применение групп позволяет легко настроить защиту. Убедитесь, что каждый сотрудник устанавливает пароль и изменяет его. Проверьте, чтобы пароли были достаточно сложными для взломщиков (см. раздел «Оснастка Локальные пользователи и группы» главы 21);

• общие ресурсы (Shared Resources). Некоторые ресурсы сети всегда являются общими. Например, наверняка вся рабочая группа использует принтеры. Однако другие ресурсы, в частности дисководы, требуют ограниченного совместного доступа (см. раздел «Совместное использование файлов и принтеров» главы 21);

• защищенный ресурс (Secured Resource). «Проще предоставить доступ к ресурсу, чем запретить его» – каждый сетевой администратор должен повесить это правило на видном месте. Во время инсталляции сети все ресурсы компьютера по умолчанию недоступны для общего применения, поэтому пользователь не может потерять то, о чем и не подозревает. Однако, как только пользователь узнает о существовании ресурса, удалить доступ к нему становится трудно: даже если человек не имеет никакой потребности в ресурсе и никогда к нему не обращается, запрещение доступа вызывает ощущение потери. В большинстве случаев лучше не предоставлять доступ к ресурсу, пока не станет очевидно, что пользователь действительно нуждается в нем.