Windows Firewall with Advance Security (Firewall na naprednom zaštitiom) može se koristiti za zaštitu i klijenata i servera na mreži implementacijom Firewall-a na svakom hostu posebno. Administrator mora da odredi pravila koja će se koristiti da bi se zaštitili kompjuteri na mreži. Ova pravila se nazivaju dolazeća pravila, odlazeća i pravila u vezi sa sigurnočću konekcije. Nakon određivanja pravila koja trebaja da budu implementirana, administrator mora da odredi na koji način će pravila biti kreirana i primenjena na kompjuterima u mreži.
Tipovi pravila
Windows Firewall sa naprednom zaštitom je ažurirana verzija Windows Firewall-a koji se prvi put pojavio u Windows XP-u. Jedna od glavnih unapređenih karakteristika je ubacivanje odlazećih pravila i pravila za sigurnosnu konekciju.
Tipovi pravila su:
- Inbound: Ova pravila kontrolišu mrežne konekcije koje će lokalni kompjuter prihvatiti od drugih kompjutera (dolazeće konekcije). Po defoltu, sve dolazeće konekcije su blokirane.
- Outbound: Ova pravila kontrolišu mrežnu koneciju koju lokalni kompjuter može da kreira sa drugim kompjuterima (dolazeća konekcija). Po defoltu, sve odlazeće konakcije su dozvoljene.
- Connection Security: Ova pravila su zamena za IPSec pravila u ranijim verzijama Windows-a. Koriste se za kreiranje i kontrolisanje IPSec konekcija između kompjutera.
Prilikom korišćenja ovih pravila u Windows Firewall sa naprednom zaštitom potrebno je imati na umu sledeće:
- Blokirane su sve dolazeće konekcije po defoltu. Ovo pravilo štiti kompjuter time što omogućava samo poznate tipove konekcija.
- Potrebno je kreirati dolazeća pravila (Inbound rules) za lokalnu aplikaciju ako je to potrebno. Na primer, ako je serverska aplikacija instalirana i koristi port 8000, potrebno je kreirati novo Inbound pravilo koje dozvoljava konekciju za port 8000.
- Koristiti odlazeća pravila (Outbound) za sprečavanje komunikacije sa specifičnim softverom. Na primer, administrator može da kreira odlazeće pravilo koje sprečava korisnike da pristupaju internom računovodstvenom veb serveru.
- Da bismo povećali sigurnost, potrebno je sprečimo odlazeće konekcije po defoltu. Ova opcija sprečava nepoznati softver na kompjuterima da komunicira sa drugim kompjuterima. Konfiguracijom ovakvog pravila, administrator može da spreči širenje virusa u organizaciji zbog toga što virus na inficiranom kompjuteru neće biti u stanju da kreira konekcije ka drugim kompjuterima. Ipak, administrator će morati malo da se potrudi da bi identifikovao sve dozvoljene aplikacije i da bi kreirao pravila kojim im dozvoljava komunikaciju na mreži.
- Potrebno je koristiti pravila oo sigurnoj konekciji (Connestion Security) da bi se zaštitila komunikacija između komjutera. IPSec protokol koji je startovan koristeći Connection Security pravila, šifruje komunikaciju između kompjutera da bi povećao sigurnost.
Opcije za konfiguraciju pravila
Pravila koja administrator kreira u Windows Firewall and Advanced Security imaju brojne opcije koje mogu da se konfigurišu. Za razliku od nekih Firewall-ova, opcije za konfiguraciju nisu ograničene da bi podržale Port-based pravila. Takođe, mogu se kreirati i pravila koja se odnose na specifične programe.
Windows Firewall sa naprednom zaštitom može da prepozna mrežne profile. Windows Vista i Windows Server 2008 prepoznaju svaku jedinstvenu mrežu na koju smo konektovani na osnovu MAC adrese ili defoltnog mrežni prolaz. Svakoj mreži se može dodeliti ime i profil. Profili su sledeći:
- Public: Ovaj profil znači da će se koristiti na javno pristupačnim mrežama. Obično se koristi za laptop kompjutere koji krstare u javnim lokacijama kao što su hoteli.
- Private: Ovaj profil se koristi na privatnim mrežama gde su drugi kompjuteri dobro poznati i zaštićeni. Private network profil koristi za poverljive lokacije kao što su kućne mreže ili za internu mrežu u organizaciji.
- Domain: Ovaj profil se automatski dodeljuje svakoj mreži koja zahteva autentifikaciju za pristup domenu. U većini slučajeva, ovaj profil će se primenjivati na kompjuterima u internoj mreži organizacije.
Prilikom podešavanja konfiguracionih opcija za pravila potrebno je imati na umu:- Možemo da pojednostavimo konfiguraciju koristeći Program-based pravila. Mnoge aplikacije koje kreiraju odlazeće konekcije koriste nasumične brojeve portova. Kada se koriste nasumični brojevi portova, nije moguće blokirati aplikaciju preko brojeva porta. Ipak, administrator će moći da prokira program.
- Potrebno je koristiti Port-based pravila kada nije moguće kreirati Program-based pravila. Na primer, IIS ne može da se blokira koristeći Program-based pravilo. Za IIS administrator će morati da kreira Port-based pravila.
- Odrediti odgovarajući profil za pravila. Ako primenimo pravilo u pogrešnom profilu, ono neće početi da se koristi. Na primer, server koji je član domena na internoj mreži će koristiti Domain profil. IIS Exception (izuzimanje) za server koji je član domena mora da bude kreirano za Domain profil ili nikad neće biti korišćeno od strane servera.
- Potrebno je trenirati korisnike koji su često u romingu da selektuju odgovarajući profil za novu mrežu. Kada prvi put roming korisnik konektuje svoj laptop kompjuter na novu mrežu, od njega će se tražiti da odredi koji Network profil će se koristiti. Potrebno je objasniti korisnicima koji profil treba da odrede u takvim situacijama da bi zaštitili scvoj laptop kompjuter. Ovo će pomoći da podaci na njihovim kompjuterima ne budu ukradeni i sprečiće unošenje malicioznih softvera i virusa u internu mrežu kompanije.
Connection Security pravila
Windows Vista i Windows Server 2008 uključuju Connection Security pravila kao zamenu za IPSec pravila. Kada se koriste Connection Security pravila, komunikacija između kompjutera je autentifikovana.
Postoji nekoliko tipova Connection Security pravila:
- Isolation rules: Ova pravila se koriste za sprečavanje da neautorizovani kompjuteri ostvare komunikaciju između sebe. Izolacija domena može da se konfiguriše koristeći ova pravila.
- Server-to-server pravila: Ova pravila autentifikuju i šifruju komunikaciju između dva hosta. Ova pravila se najćešće koriste za zaštitu komunikacije između nekoliko hostova zbog toga što administrator može da odredi IP adrese krajnjih tački na koje se ovo pravilo odnosi.
- Tunnel pravila: Ova pravila se koriste kada se Windows Server 2008 kompjuter ponaša kao ruter i IPSec se koristi za zaštitu komunikacije između dva Windows Server 2008 rutera.
- Authentication Exemptions: Ova pravila se koriste da bi se dozvolila komunikacija na mreži za operativne sistemime koji ne podržavaju IPSec. Izuzeci za te kompjutere se dodaju u već postojeća pravila.
Prilikom korišćenja Connection Security pravila potrebno je imati na umu:- Komaptibilna Connection Secuirty pravila moraju postojati na oba hosta da bi se kreirala IPSec konekcija. Autentifikacija se mora konfigurisati na isti način.
- Connection Security pravila se primenjuju na sav saobraćaj između hostova, a ne samo na saobraćaj koji protiče na određenim portovima ili kroz specifične aplikacije.
- Kada je podešeno i primenjeno Connection Security pravilo, druga pravila mogu da se primenjuju u zavisnosti od kompjutera ili korisnika. Ovo omogućava povećanje fleksibilnosti jer je moguće sprečiti korisnike da pristupaju određenim aplikacijama preko korisničkih i kompjuterskih naloga, a ne koristeći njihovu IP adresu. Ovim se izbegavaju problemi koji mogu nastati u slučaju promene IP adrese zbog IP dinamičkog adresiranja.
- Potrebno je koristiti Kerberos autentifikaciju da bi se omogućila autentifikacija i za korisnike i za kompjutere. Kerberos autentifikacija se zasniva na domenskoj autentifikaciji i ne zahteva nikakvu dodatnu konfiguraciju.
- Koristiti IPSec samo ako je potreban kao deo našeg sigurnosnog plana. Korišćenje IPSec-a povećava kompleksnost mreže i ne bi trebalo da se koristi bez tačno definisane svrhe.
Izolacija servera i domena
Izolacija servera i domena (Server and Domain Isolation) je sistem koji koristi IPSec za segmentiranje i izolaciju određenih delova mreže. Kompjuteri na izolovanoj mreži ignorišu sve zahteve koji dolaze od kompjutera koji se nalaze izvan izolovane mreže. Izolovana mreža se kreira koristeći Isolation Connection Security Rules i zahteva autentifikaciju za dolazeće konekcije.
Svi kompjuteri koji se nalaze u izolovanoj mreži moraju da budu članovi domena. Ovo je zbog toga što će Kerberos biti iskorišćen za odrađivanje autentifikacije koja identifikuje kompjutere. Ovo dozvoljava da pristup kompjuterima koji se nalaze u izolovanoj mreži bude obezbeđen na osnovu identiteta kompjutera. Izuzeci se mogu kreirati za specifične hostove koji ne podržavaju IPSec protokol ili koji nisu članovi domena korišćenjem Authentication Exemption Connection Security pravila.
Izolacija domena ograničava komunikaciju na kompjutere koji su članovi domena. Ovo sprečava neautorizovani pristup hostovima na mreži. Na primer, posetilac koji je konektovao svoj laptop u mrežu neće biti u mogućnosti da komunicira sa bilo kojim kompjuterom u domenu.
Izolacija servera ograničava komunikaciju na kompjutere koji su članovi iste radne grupe (Workgroup). Na primer, administrator može da izoluje sve kompjutere u računovodstu i marketing odeljenjima da bi povećao njihovu sigurnost. Da bismo implementirali izolaciju servera, možemo da koristimo grupe u aktivnom direktorijumu za kontrolu pristupa u Windows Firewall pravilima. Grupe u aktivnom direktorijumu za članove mogu imati korisnike ili kompjutere u zavisnosti od cilja koji želimo da postignemo.