20 بهمن 1393 network infrasructure بدون دیدگاه

فصل هشتم: پیکربندی Windows Firewall و Network Access Protection (NAP)

مقدمه

در شبکه ها این امکان وجود دارد که بخواهند با شبکه های ناسالم که همراه با بدافزار ها و … در ارتباط باشند.

این مشکل باعث شده تا برای امنیت هزینه هایی انجام شود تا با برقراری این ارتباطات به شبکه آسیبی نرسد.

ویندوز سرور 2008 از دو تکنولوژی مفید برای بهبود امنیت شبکه استفاده می کند.

Window Firewall و Network Access Protection یا NAP

Windows firewall می تواند ترافیک های ورودی و خروجی را فیلتر کند و جلوی بسیاری از بدافزارها به این شکل گرفته می شود.

NAP کامپیوترها را ملزم می کند تا چک لیستی را تکمیل کنند که این چک لیست بر اساس معیارهای امنیتی تهیه شده اند و اگر کامپیوتری این معیار های امنیتی را تکمیل نکند اجازه ی دسترسی به منابع اصلی و حیاتی به آن داده نمی شود و کامپیوترها ملزم می شوند تا مشکلات را حل کنند تا دسترسی ها برقرار شود.

درس های این فصل

  •  پیکربندی windows firewall
  • پیکربندی Network Access Protection

{tab  درس اول}

عنوان درس اول: پیکربندی windows firewall

Windows firewall ترافیک ورودی را کنترل می کند و اجازه ی ورود ترافیک بار ناخواسته به شبکه را نمی دهد.

هچنین ترافیک های خروجی را نیز بررسی می کند و جلوی ریسک بدافزارها را می گیرد.

به صورت پیش فرض جلوی ترافیک های  ورودی گرفته شده است و به صورت پیش فرض هم پیکربندی شده است اما یک مدیرشبکه می تواند برای بهبود وضعیت شبکه و محافظت بیشتر،به درستی آن را پیکربندی کند.

خلاصه درس

  • Firewallها برای جلوگیری از ارتباطات ناخواسته طراحی شده اند و برقراری ارتباط های سالم را برای شبکه مقدور می سازد.
  • ویندوز 7 و ویندوز 2008 ( به بالا) از 3 پروفایل در فایروال پشتیبانی می کند.

پروفایل Domain، Private و Public

Domain Profile: ارتباطات کامپیوترها (هرچه که باشد) با Domain Controller را برقرار می کند.

Private Profile: در Private Profile باید تنظیمات به صورت دستی به شبکه اعمال شود.

Public Profile: در این پروفایل هر زمان domain دردسترس نباشد تنظیمات را اعمال می کند و در این حالت تنظیمات نباید بر روی Private Profile باشد.

  • در سرویس جدیدی که مایکروسافت در ویندوز سرور 2008 و ویندوز 7 ایجاد کرده است ( به نام windows firewall with advanced security) می توان rule های inbound تعریف کرد تا server application ها بتوانند ترافیک های ورودی را داشته باشند یا نه. همچنین می توان outbound rule تعریف کرد تا client application ها بتوانند تغییری در ترافیک خروجی داشته باشند یا نه.به صورت پیش فرض inbound rule ها allow هستند و می توان آنها را block کرد.
  • ویژگی های firewall قابل تغییر هستند.می توانید محدوده ای را مشخص کنید تا محدودیت ها در آن محدوده اعمال شود.با تعریف محدوده می توان ریسک حملات از شبکه های دیگر را کاهش داد.
  • اگر در محیطی از IPSec استفاده می کنید می توانید rule های firewall را به گونه ای تنظیم کنید که تنها بر پایه ی ارتباطات امن اجازه ترافیک های ورودی و خروجی را صادر کند و تنها به کامپیوترها و یوزرهای مورد تایید اجازه بدهد.
  • Group policy هم یکی از موثرترین راه های پیکربندی تنظیمات windows firewall برای تمامی کامپیوترهای متصل به domain هستند.با استفاده از group policy می توان به سرعت برای تعداد زیادی از کامپیوترها امنیت را بالا برد و application هایی که اجازه ی ورود و ارتباط با شبکه را دارند کنترل کرد.
  • Windows firewall شامل log file است که تمامی اجازه ها و جلوگیری هایی که تنظیم کرده را می تواند لیست کند.این اطلاعات برای رفع خطاهای شبکه ای که firewall بوجود آورده است بسیار مفید است.
  • اگر یک application باید یک سری از ارتباطات ورودی را قبول کند اما توسعه دهنده ی آن برنامه پورت ارتباطی که توسط application مورد استفاده قرار می گیرد را وارد نکرده باشد با استفاده از دستور Netstat می توان پورت موردنظر را مشاهده کرد.بر اساس این اطلاعات می توان rule موردنظر را در firewall تعریف کرد.

{tab درس دوم}

عنوان درس دوم : پیکربندی Network Access Protection

  • برای مثال شما شبکه ای خصوصی را در نظر بگیرید که هزار کامپیوتر دارد.firewall شبکه را ازحملات اینترنتی محافظت می کند.(مثل worm یا کرم های اینترنتی). بعضی از این wormها به دلیل update نبودن کلاینت ها (security) به وجود می آیند.بنابر این  اینکه سیستمی به روز است یا نه در تنظیمات firewall نیست.Network Access Protection (NAP) در چنین شرایطی بسیار موثر و کارا است.زمانی که کامپیوترها به شبکه متصل می شوند اول موارد سلامتی آنها مانند به روز بودن و … بررسی می شود.
  • NAP بر اساس لیستی که از سلامتی ایجاد کرده است سلامتی کلاینت ها را مورد بررسی قرار می دهد و اگر سلامتی تایید شد به کلاینت ها دسترسی نامحدود می دهد.برای اینکه کامپیوترها توسط NAP مورد بررسی قرار بگیرند بایستی از VPN server 802.1x   /IPSec و یا DHCP استفاده کنند.
  • زمانی که NAP راه اندازی می شود ابتدا یک طرح سلامتی ایجاد می شود که در آن موارد مورد اهمیت تنظیم شده است و در صورتی که کلاینت ها موارد را رعایت نکنن از دسترسی آنها در شبکه جلوگیری می شود.
  • قبل از پیاده سازی NAP بایدNAP کلاینت را تنظیم کنید.به علاوه زمانی که از روش IPSec برای عبور و مورد بررسی قرار گرفتن توسط NAP استفاده می کنید باید policyهای مربوط به آن را نیز پیکربندی کنید.
  •  به صورت پیش فرض NAP رخداد ها را در security event log ثبت می کند مثل مواردی که کامپیوتری موارد مورد تایید NAP را نداشته باشد.مدیر شبکه باید log ها را بررسی کرده  و مواردی که نیاز به تغییر دارند را پیکربندی کند تا دسترسی به کلاینت ها ( اعمال کردن قوانین سلامتی ) را برقرار کند.

{tab خلاصه فصل}

خلاصه فصل

  • به صورت پیش فرض windows firewall تمام ارتباطات ناخواسته ی ورودی incoming را جلوگیری می کند.در تنظیمات اضافه تر شما می توانید به یک subnet خاص و یا user و یا گروه خاص ویا applicationهایی که بر روی ارتباطات خروجی تاثیر گذار هستند را کنترل کنید، ارتباطاتی که allow (اجازه داده شده) هستند را محدود کنید.
  • Network Access Protection (NAP) به صورت پیش فرض فعال نیست و نیاز به تنظیمات زیاد و پیچیده ای دارد.بعد از تنظیم کردن، NAP از شبکه به صورت مطلوبی محافظت می کند و براساس لیستی از موارد سلامتی تنها به کامپیوترهایی که مورد تایید قرار می گیرند اجازه ی دسترسی می دهد.

{/tabs}