Защита вашей сети

Почему я должен делать что-то?

Некоторые люди находят удовольствие в разрушении защиты сетей. Кто-то делает это для смеха, кто-то для шпионажа (для получения списков клиентов), диверсии (удаление файлов) или рекламы (spamming).

Хаккеры могут получить неавторизованный доступ к вашей сети. Более важно, что они могут проникать в другие сети, сначала проникнув вашу. Это должно привести вас к осуждению хаккерства. Если случится что-то серьезное, ваш ISP может закрыть ваш выход в Интернет. Одна из возможностей избежать этого заключается в использовании прокси сервера, такого как WinGate.

Как я должен защищать мою сеть?

Существует несколько методов защиты в WinGate. Это очень просто выполнить, а займет всего пару минут. Есть две возможности защиты.

Логический Установкой правил, определяющих кто может делать определенные вещи в WinGate. Этот метод настраиваемый.
Физический Привязкой сервисов к определенным интерфейсам - сервисы просто становятся недоступными с других интерфейсов. Привязкой сервиса к сетевой карте вашей сети вы предотвращаете любой доступ из Интернет к этому сервису. Этот метод наиболее быстрый и простой.

Вы можете также выбрать комбинацию этих двух методов в зависимости от ваших требований к доступу. Ниже приведен пример различных типичных способов защиты вашего доступа.

Example

Маленькая сеть с WinGate Standard или версии free для сетевого доступа без необходимости запускать какие-либо серверы для доступа к ним из Интернета. Это во многом наиболее общий сценарий.

Вариант 1

Если все сервисы используют настройки установленные по умолчанию, то выполните следующие шаги:

1. Откройте GateKeeper и войдите в него как Administrator.
2. Дважды щелкните мышкой по "System Policies" в секции "Users".
3. Выберите права "Users can access services" в поле "Right".
4. Дважды щелкните мышкой по "Everyone" в поле "Is granted to:".
5. Выберите закладку "Location".
6. Поставьте точку в поле "Specify locations from where this recipient has rights".
7. Через поле "Included locations" добавьте два IP-адреса: 127.0.0.1 и другой, состоящий из первых трех групп чисел, входящих в IP-адрес сетевой карты машины с WinGate, с символом * вместо последней группы. Например, если IP-адрес сетевой карты есть 192.168.0.1, то в качестве второго адреса введите 192.168.0.*. Если в машине с WinGate больше одной сетевой карты, то подобные адреса надо ввести для всех из них, через которые нужен доступ к WinGate.
8. Нажмите все OK и сохраните изменения.

Сейчас только пользователи вашей сети имеют доступ к сервисам WinGate. Если некоторые из ваших пользователей используют свои собственные правила, отличающиеся от общих правил, вы должны выполнить подобные действия для каждого из получателей (recipient) для этих специфических правил.

Вариант 2

Версия WinGate 3 Standard не позволяет привязать сервис более чем к одному интерфейсу (WinGate 3 Pro может это делать). Для того, чтобы использовать вариант 2 для привязки сервисов, необходимо создать отдельные сервисы для каждого интерфейса, к которому надо сделать привязку. Минимум - два интерфейса: localhost интерфейс, который используется для вашей второй свободной лицензии, и интерфейс вашей сетевой карты на WinGate машине. Для каждой сетевой карты на машине вы должны создать другой сервис и привязать к нему IP-адрес сетевой карты.

Для привязки сервиса к интерфейсу сделайте следующее:

1. Откройте GateKeeper и войдите в него как Administrator.
2. Щелкните два раза мышкой на сервисе, который хотите изменить.
3. На страничке "Bindings" поставьте точку в поле "Specify interfaces connections will be accepted on".
4. Проверьте, что список Bound содержит только интерфейсы, к которым вы делаете привязку: ваша сетевая карта и 127.0.0.1 (localhost). Для переноса интерфейса из списка Bound в список Available и наоборот щелкните два раза мышкой по интерфейсу.
5. Нажмите OK.

Замечание. Вы не можете изменить привязки в Remote Control Service в WinGate Standard.

Что если я запускаю сервер позади WinGate, а к нему нужен доступ извне?

Мы рекомендуем не запускать Telnet proxy и SOCKS servers для доступа извне. Если вы это делаете, то захотите ограничить запросы, выполняемые сервером. Вы должны идентифицировать пользователей этих сервисов, приходящих из Интернет. Это ограничит неавторизованный доступ. Также вы можете задать где и в какое время пользователь может подсоединиться.

Что касается WWW-сервера, то вы можете определить, чтобы пользователи из Интернет получили доступ к серверу, а ваши внутренние пользователи имели бы выход в Интернет.

Общая техника и подсказки

Первый вопрос: "Действительно ли я должен позволить доступ к сервису из Интернет, и почему?". Вот несколько ситуаций, когда требуется доступ из Интернет.

Ситуация	Рекомендации / Предложения
Вы можете запустить почтовый, WWW или другой сервер в сети, которые требуют доступа из Интернет.	Имейте отдельно внутренний и внешний WWW proxies. Ограничьте внешние не-прокси запросы. Для почтового сервера введите ограничения на сервера, связанные с вашим сервером POP3, и уменьшите число мест (locations), с которых можно использовать SMTP server.
You may require field staff to telnet into your Unix server from the field. Эта фраза мне не понятна. Может кто из Unix-систов поможет?	Требуется или идентификация с помощью Java client, или ввод правил, разрешающих доступ только с известных IP-адресов, или ограничение серверов, которые могут быть подключены.
Вы желаете использовать защищенное соединение с удаленным офисом.	Как выше..

Если ни одна из этих ситуаций не имеет место, вы должны ответить зачем нужно позволять вам возможность доступа из ИНтернет.

Есть методы, определяющие различные права доступа в зависимости от того приходит запрос на доступ к WinGate. Вы можете или создать дополнительные сервисы, связанные с разными интерфейсами, с разными политиками на сервисах, или вы можете сделать все на одном сервисе с политиками, зависящими от места, с которого приходит запрос.

Например, POP3 сервис, использующий специфические сервисные правили. Создайте два получателя (recipients) 'everyone'. Ппервый с ограничением на местоположение (location) должен соединяться с вашей сетью. Со вторым можно соединяться отовсюду, но должны быть правила, позволяющие соединяться лишь с определенными серверами или портами.

Советы:

• При защите сети начните с полного запрета, а затем добавляйте требуемые запросы. Не начинай те с полного доступа с постепенным введением ограничений.
• Для полной защиты проще всего требовать идентификацию во всех случаях. Клиент регистрации очень полезен в Броузере (browser), когда это необходимо. И проще использовать его, чем строить какие-то сложные правила доступа.
• Большинство сетей требует привязки только к localhost и сетевой карте. Это предотвращает любой внешний доступ.
• Лучше всего иметь простые установки на управление доступами. Сложные установки сложны в настройке и тестировании.
• Для сервиса могут понадобиться правила зависящие от входящего интерфейса. Проще всего для этого надо добавить сервис для каждого интерфейса (они могут иметь один и тот же порт). Затем вы можете построить политику для интерфейса и задать новое имя сервису. Нпример, WWW (non-proxy) - внешний, WWW proxy - внутренний.
• Наиболее уязвимыми являются сервисы SOCKS и Telnet. Убедитесь, что они доступны только из вашей сети.
• Ничего хорошего не обещает вам постоянная привязка к профилям dialer.