Рекомендации по настройке программных МСЭ
МСЭ имеет некий список контроля доступа, запрещающий или разрешающий прохождение IP-пакетов по тому или иному адресу и по заданным номерам портов.
Как правило МСЭ используются при подключении к сети Интернет или для разграничения трафика внутри организации, например, МСЭ может ограничить соединения с внутренней подсетью компании в которой обрабатывается конфиденциальная информация.
МСЭ позволяют повысить защищенность Вашего компьютера и обеспечить следующие типы защиты:
- защита компьютера от проникновения снаружи;
- защита от утечки информации с компьютера.
В общем случае МСЭ представляет собой некий набор фильтров. При определении правил фильтрации следует руководствоваться одной из двух простых стратегий политики безопасности:
- разрешено все, что не запрещено. Такая стратегия означает, что разрешается весь трафик, не запрещенный правилами фильтрации.
- запрещено все, что не разрешено. Такая стратегия означает, что запрещен весь трафик, не разрешенный правилами фильтрации.
В качестве критериев, по которым осуществляется фильтрация могут быть выбраны:
- определенные параметры трафика, например, объем данных, временные или частотные характеристики;
- содержимое передаваемых пакетов сообщения;
- служебные поля пакетов, содержание, например, сетевые адреса.
По исполнению МСЭ можно разделить на две большие группы:
- Программно-аппаратные (иногда их называют просто аппаратные). Программно-аппаратные МСЭ представляют собой специализированное устройство с несколькими сетевыми интерфейсами. Такие МСЭ считаются наиболее эффективными. Данный тип МСЭ часто содержат собственную специализированную ОС.
- Программные. Данный тип МСЭ представляет собой ПО, устанавливаемое на компьютер. Такой тип МСЭ проще интегрируется с сервисами ОС, функционирующей на компьютере, где устанавливается МСЭ, также такие МСЭ являются более привычными и простыми для их настройки и управления пользователями. Некоторые ОС, например, ОС семейства Windows имеют встроенный МСЭ, который, как правило, включен по умолчанию.
По функционированию на уровнях модели OSI МСЭ можно разделить на следующие группы:
- Коммутаторы, функционирующие на канальном уровне. МСЭ, функционирующие на канальном уровне, позволяют оптимизировать работу внутренней сети за счет организации виртуальных локальных сетей.
- Сетевые или пакетные фильтры, функционирующие на сетевом уровне.
- Шлюзы сеансового уровня (circuit-level proxy).
- Посредники прикладного уровня (application proxy или application gateway).
- Инспекторы состояния (stateful inspection), функционирующие на прикладном уровне.
В общем случае, чем выше уровень, на котором функционирует МСЭ, тем более надежно его можно сконфигурировать и тем выше будет обеспечиваемый им уровень защиты.
Ниже приведены рекомендации по настройке программного МСЭ на примере ViPNet Personal Firewall версия 3.0.
Рекомендации по настройке МСЭ на примере ViPNet версия 3.0
Настройка веб-фильтрации
Настройка веб-фильтрации позволяет блокировать информацию рекламного характера, которая последнее время все чаще встречается на различных сайтах.
Для настройки веб-фильтрации выполните следующие действия:
1. В главном меню c помощью пункта Сервис откройте окно Настройка
2. В окне Настройка откройте раздел Веб-фильтры
3. Выберите один из следующих пунктов:
- Реклама
Настройка блокировки рекламы
Блокировка рекламы позволит избавить от всплывающей рекламы и мелькающих банеров при просмотре веб-сайтов, также блокировки рекламы способствует увеличению скорости загрузки страниц.
Для настройки необходимо:
1. При выборе пункта Реклама раздела Веб-фильтры в окне Настройки, в правой части окна появятся настраиваемые параметры блокировки.
2. По умолчанию опция Блокировать всплывающие окна выключена.
3. По умолчанию опция Блокировать баннеры включена. ViPNet Personal Firewall блокирует наиболее распространенные баннеры. Список шаблонов адресов блокируемых баннеров содержится в окне Реклама ниже опции Блокировать баннеры в виде списка строк фильтрации.
Для добавления строк фильтрации выполните следующие действия:
1. Нажмите кнопку Добавить…
2. В открывшимся окне Строка фильтрации введите строку фильтрации баннера, который необходимо блокировать.
3. Нажмите кнопку ОК.
Для удаления строк фильтрации выполните следующие действия:
1. Выберите строку и нажмите кнопку Удалить.
- Интерактивные элементы
Настройка блокировки интерактивных элементов
Блокировка интерактивных элементов позволяет увеличить скорость загрузки страниц, уменьшить сетевой трафик и обеспечить безопасность информации, хранимой на компьютере.
1. При выборе пункта Интерактивные элементы раздела Веб-фильтры в окне Настройки, в правой части окна появятся настраиваемые параметры блокировки.
2. По умолчанию все опции выключены и никакие интерактивные элементы не блокируются. Для блокировки интерактивных элементов выберите следующие опции:
- Блокировать ActiveX. ActiveX используется для расширения функциональных возможностей веб-обозревателя.
- Блокировать Flash-анимацию. Flash-анимация используется для наполнения веб-страниц анимацией.
- Блокировать Java-приложения. Java-приложения используются для наполнения веб-страниц интерактивными приложениями, например, играми, анимацией, заставками и т.п.
- Блокировать JavaScript и VBScript сценарии. JavaScript и VBScript сценарии применяются для расширения функциональности веб-страниц.
3. Для применения установленных параметров нажмите кнопку ОК или Применить.
- Конфиденциальность
Настройка блокировки Cookies и Referer
Блокировка Cookies и Referer позволяет обеспечить защиту от несанкционированного сбора информации о Ваших действиях в Интернете.
1. При выборе пункта Конфиденциальность раздела Веб-фильтры в окне Настройки, в правой части окна появятся настраиваемые параметры блокировки.
2. По умолчанию все опции выключены и Cookies и Referer не блокируются. Для блокировки Cookies и Referer выберите соответствующие опции:
- Блокировать Cookies. Cookies используются веб-обозревателем для сохранения Вашей личной информации. Это упрощает ввод данных при повторном обращении к веб-странице, пример, при заполнении форм.
- Блокировать Referer. Поле Referer может использоваться веб-обозревателем для сохранения информации о веб-страницах, которые Вы посетили.
3. Для применения установленных параметров нажмите кнопку ОК или Применить.
- Исключения
Настройка исключений
Добавление сайтов в список исключений и задание для них индивидуальных веб-фильтров позволяет избежать проблем с доступом к информации, связанных с блокировкой большой части содержимого сайта настроенными общими веб-фильтрами.
1. При выборе пункта Исключения раздела Веб-фильтры в окне Настройки, в правой части окна появятся настраиваемые параметры. В появившемся окне можно осуществить следующие действия:
Добавление сайта и настройка для него индивидуального веб-фильтра
1. Нажмите кнопку Добавить…
2. В появившемся окне Добавление веб-фильтров введите адрес сайта в строку Введите адрес сайта, для которого необходимо настроить индивидуальный фильтр.
3. Настройте параметры блокировки различных интерактивных элементов на указанном сайте. По умолчанию все элементы разрешены.
4. Для сохранения внесенных данных нажмите ОК.
Удаление сайта из списка исключений
1. Выберите строку с именем сайта, который необходимо удалить и нажмите кнопку Удалить.
2. Для применения установленных параметров нажмите кнопку ОК или Применить.
- Настройка сетевых фильтров
Сетевая фильтрация предназначена для блокирования/пропускания IP-пакетов в зависимости от протокола, параметров протокола, направления соединения или направления пакета и т.д.
После открытия окна Сетевые фильтры можно обнаружить два типа сетевых фильтров:
- Локальные фильтры. Представляют собой группу фильтров, предназначенные для настроек правил для нешироковещательных IP-пакетов, которыми компьютер с установленным ViPNet Personal Firewall обменивается с внешними устройствами.
- Широковещательные фильтры. Представляют собой группу фильтров, предназначенных для настройки правил для широковещательных пакетов.
Добавление нового правила
Для добавления нового правила необходимо выполнить следующие действия:
1. В окне Сетевые фильтры открыть контекстное меню Правила доступа и выбрать команду Создать новое правило доступа…
2. Команда также доступна в главном меню Действия.
3. В зависимости от группы фильтров, куда добавляется правило, откроется одно из окон Локальные или Широковещательное правило
4. Задайте адреса внешних устройств, трафик с которыми должен фильтроваться в соответствии с фильтрами протоколов, подчиненных данному правилу. Для создания правила необходимо настроить следующие параметры:
- Имя правила. Зависит от состояния опции Автоматическое назначение имени. Отключение опции позволяет ввести собственное наименование, которое сохранится до тех пор, пока опция не будет включена.
- Автоматическое назначение имени. Включение опции позволяет автоматически задавать имя правила по некоторому правилу. Выключение опции позволяет задавать имя правила вручную.
- Включить правило. Включение опции означает, что правило будет использовано для фильтрации. При отключении опции правило будет отключено.
- Внешние IP-адреса. В данном поле задаются IP-адреса внешних устройств, трафик с которыми должен фильтроваться в соответствии с фильтрами протоколов, подчиненными данному правилу. Для добавления или изменения IP-адресов нажмите кнопку Добавить или Изменить соответственно.
Добавление нового фильтра протоколов
Для добавления нового правила фильтра протоколов необходимо:
1. Выбрать правило, для которого необходимо добавить фильтр протоколов и открыть контекстное меню Правила доступа и выбрать команду Добавить фильтр протоколов…
2. Команда также доступна в главном меню Действия.
3. В зависимости от группы фильтров, куда добавляется фильтр, откроется одно из окон Локальный или Широковещательный фильтр.
Настройка фильтров протоколов
Для добавления нового фильтра протоколов необходимо:
1. Открыть окно Сетевые фильтры
2. Нажать Правила доступа и выбрать Добавить фильтр протоколов.
3. В открывшемся окне Фильтры настроить следующие параметры:
- Имя фильтра. Зависит от состояния опции Автоматическое назначение имени. Отключение опции позволяет ввести собственное наименование, которое сохранится до тех пор, пока опция не будет включена.
- Автоматическое назначение имени. Включение опции позволяет автоматически задавать имя фильтра по некоторому правилу. Выключение опции позволяет задавать имя фильтра вручную.
- Включить фильтр. Включение опции означает, что правило будет использовано для фильтрации. При отключении опции правило будет отключено.
- Протокол. Необходимо выбрать протокол из списка. Первоначально список содержит только TCP, UDP и ICMP протоколы. Для выбора другого протокола необходимо предварительно добавить их в список, нажав кнопку Список… В открывшемся окне Список протоколов выбрать необходимые протоколы.
- Настройка режима безопасности
ViPNet Personal Firewall имеет 3 основных и 2 тестовых режима безопасности. Выбор одного из трех основных режимов позволяет увеличивать или уменьшать уровень защиты.
- 1 режим. Блокировать IP-пакеты всех соединений. Данный режим блокирует все IP-пакеты независимо от сетевых фильтров, настроенных в окне Сетевые фильтры. Режим блокировки IP-пакетов всех соединений позволяет максимально защитить компьютер и эквивалентен физическому отключению компьютера от сети.
- 2 режим. Блокировать все соединения кроме разрешенных. Данный режим без дополнительных настроек сетевых фильтров в окне Сетевые фильтры не позволит Вашему компьютеру взаимодействовать с другими ресурсами сети. По умолчанию разрешены лишь некоторые безопасные типы трафика, позволяющие компьютеру получить IP-адрес и подключиться к работе в сети.
- 3 режим. Пропустить все исходящие соединения кроме запрещенных. Данный режим позволяет по умолчанию пропускать все инициативные исходящие соединения с Вашего компьютера и блокировать любой несанкционированный входящий трафик. По умолчанию ViPNet Personal Firewall установлен в данном режиме.
Рекомендуется установить этот режим безопасности.
Для тестовых целей существуют следующие режимы:
- 4 режим. Пропускать все соединения. Данный режим не защищает компьютер от несанкционированного доступа из сети, независимо от сетевых фильтров, настроенных в окне Сетевые фильтры.
- 5 режим. Пропускать IP-пакеты без обработки. Данный режим позволяет отключить всю обработку трафика и его фильтрацию. В данном режиме журнал регистрации IP-пакетов не ведется.
Для установки режима безопасности необходимо:
1. Открыть окно Режимы.
2. Выбрать требуемый режим. При необходимости последующего запуска Personal Firewall в выбранном режиме необходимо выбрать требуемый режим из выпадающего списка в разделе При старте программы…
3. Сохраните внесенные изменения, нажав кнопку Применить.
- Настройка системы обнаружения атак
Система обнаружения атак служит для обнаружения и предотвращения атак со стороны злоумышленников, которые могут привести к несанкционированному доступу к информации, хранящейся на компьютере пользователя.
Для настройки системы обнаружения атак необходимо настроить следующие опции:
- Следить за сетевыми атаками во входящем потоке. Данная опция включена по умолчанию. При включенной данной опции осуществляется проверка на сетевые атаки всего входящего трафика компьютера. Выключать данную функцию не рекомендуется.
- Следить за сетевыми атаками в исходящем потоке. Данная опция включена по умолчанию. При включенной данной опции осуществляется проверка всего исходящего трафика на компьютере.