Ghid de WinRoute
WinRoute oferă următoarele metode pentru manipularea pachetelor (în modelul OSI de protocoale de rețea):
Desemnarea porturilor oferă acces la serviciile selectate protejate de NAT.
Pentru a atinge un nivel ridicat de securitate, WinRoute include și așa-numitele modulul de control. Acesta este un driver special, care comunică între linie și protocolul de rețea al modelului OSI, și utilizează o tehnologie specială, oferă un pachete WinRout'om direct de driverul plăcii de rețea, înainte ca pachetul va fi disponibil pentru orice componentă a sistemului de operare.
Poziția WinRoute modulului de control (verificarea conținutului pachetului) în arhitectura de rețea pentru Windows este prezentată în figura de mai jos: Amplasarea modulului de inspecție al WinRoute (care verifică conținutul pachetelor) în arhitectura de rețea a sistemelor de operare Windows este prezentat în figura de mai jos.
terminologie
La sfârșitul textului de bază folosește niște termeni legați de tehnologii de rețea. Vă sugerăm să vă familiarizați cu acești termeni, acest lucru va fi deosebit de utilă în cazul în care intenționați să configurați filtrarea de pachete, deoarece acest lucru vă va permite să cunoască valoarea informațiilor conținute în header-ul pachetului.
protocoale TCP / IP
WinRoute funcționează cu rețelele TCP / IP. protocoale TCP / IP sunt concepute pentru a fi utilizate în nivelurile. La menționarea TCP / IP se referă la: IP, TCP, UDP, ICMP, si altele.
interfață de rețea
Interfață de rețea este un dispozitiv care servește pentru a stabili conexiunea dintre calculatoare și transfer de date între ele. interfețe de rețea poate fi o placă de rețea, modem, ISDN, etc. Calculatorul trimite și primește pachete de date prin intermediul interfeței de rețea.
pachete
Pachetul - o unitate de informații de bază utilizate pentru a transfera date între calculatoare. Fiecare pachet conține o anumită cantitate de date. Lungimea maximă a pachetului depinde de mediul de rețea. De exemplu, Ethernet lungimea maximă a pachetului de 1500 octeți. Fiecare strat de rețea, putem împărți conținutul pachetului în două părți - un antet și date. Antetul conține informații de control corespunzătoare stratul de rețea, datele corespund stratului mai mare al rețelei. Pentru mai multe informații despre structura pachetului pot fi găsite mai jos în secțiunea de filtrare de pachete.
Cum funcționează NAT
Putem demonstra NAT următorul exemplu:
Notă:
Numerele port din pachetele care sunt transmise prin WinRoute trebuie să fie schimbat, pentru că în cazul în care două sau mai multe stații într-o rețea LAN securizat începe să transmită date utilizând aceleași numere de port, este necesar să se identifice cu ceea ce este pachetul a sosit stație. Modulul NAT atribuie numere de port în intervalul de la 61000 la 61600. Fiecare tranzacție este atribuit un port unic.
momente critice ale NAT
Aplicațiile funcționează cu NAT fără nici o problemă, în cazul în care tranzacția este inițiată de LAN protejate (în cele mai multe cazuri, modul în care este). Cu toate acestea, există aplicații, a căror dezvoltare sunt făcute greșeli, și care nu respectă în totalitate cu modelul „client-server“. Astfel de aplicații nu pot lucra cu NAT, sau anumite caracteristici pot să nu fie disponibile. Motivul ar putea fi utilizarea unor astfel de aplicații peste o singură conexiune și o conexiune suplimentară inițiată de către serverul (localizat undeva pe Internet). NAT, în mod firesc, o astfel de tranzacție blocat.
NAT Setup
configurarea de bază a
În WinRoute NAT pur și simplu pornit / oprit opțiune în setările panoului de interfață de rețea. Desigur, ne referim la interfața prin care accesul la internet LAN. (Ela-arsuri, sau scrierea manuală făcut pentru un tocilar, sau adăugați același :)
NAT este configurat din meniul de mai jos:
Setări => Interfață Table => NAT
Această opțiune permite NAT. NAT se va ocupa de toate pachetele trec prin interfața.
setări avansate
Pentru a utiliza setările avansate NAT, trebuie să fie activat pentru interfață. Adică, ne-am stabilit mai întâi NAT pentru interfață, și apoi, în setările avansate, în cazul în care determină NAT nu se va aplica.
Setări avansate NAT sunt făcute în meniu:
Setări => Avansat => NAT pad => Adăugați butonul Editare /- „Pachetul Descriere“
- „Packet Descriere“
În cazul în care pachetul este utilizat în general, informația pachet este scris. Log este util mai ales în cazul testării configurației sau detectarea problemelor cu ea.
Setările NAT Exemplu avansat
Pentru a configura NAT în această situație, activați mai întâi NAT pentru interfață, oferind acces la Internet (linia 0). Apoi, în setările avansate (Setări avansate), vom dezactiva NAT pentru al treilea segment LAN. Setările avansate sunt prezentate în figura de mai jos:
Desemnarea porturilor
WinRoute foloseste NAT, ceea ce face ca LAN protejate pentru a avea acces la exterior închis. Utilizarea de atribuire a portului poate crea canale de comunicare prin care pot fi aranjate cu acces la servicii în interiorul LAN. Astfel, este posibil să se creeze un serviciu public, cum ar fi WWW-server sau FTP-server, etc.
Cum atribuire a portului
Setarea portului de destinație
atribuire a portului se face din meniul:
Setări => Avansat => Port Mapping => Adăugați butonul Editare /- „Protocolul“
Protocolul utilizat pentru a transmite prin portul desemnat.
Specifică numărul portului sau port intervalul pentru care sunt permise tranzacții.
port de computer în cameră la care sunt transmise pachetele. În cele mai multe cazuri, echivalent cu portul de ascultare.
Unele mapare a portului de configurare utile sunt prezentate în apendice.
filtrare de pachete
Cum pachetul
Pentru a configura filtrarea de pachete, este important să se înțeleagă modul în care manipularea de pachete în nivelul de rețea TCP / IP.
În kazhdoma conținutul nivel al pachetului este împărțit în două părți: antet și date. Antetul conține datele de control ale stratului de rețea. Datele se referă la straturile superioare de rețea. Fiecare strat de rețea adaugă propriul antet, astfel încât pachetul rezultat este după cum urmează:
Următoarele informații se utilizează pentru a configura reguli de filtrare pentru antetul protocolului corespunzător (straturi de rețea):
IP (Internet Protocol) (Level Internet)
IP - de nivel superior protocolul de bază de transfer de date.
Protocolul ICMP (Level Internet)
mesaje de control de protocol Internet (Internet Protocol de control al mesajului) este utilizat pentru a transfera între calculatoare mesaje de eroare și mesajele de control.
Următoarele informații pot fi utilizate pentru filtrarea:- ICMP tip de mesaj
TCP (transport layer)
Protocol de control al transmisiei (Transmission Control Protocol) este folosit pentru transferul de date fiabile între două calculatoare. Calculatoarele comunică folosind „Connect“. Stabilirea unei conexiuni, transfer de date, și de terminare a conexiunii este controlată de umiditate specială în antetul TCP-pachet. Un steag care controlează deschiderea conexiunii este foarte importantă pentru filtrarea de pachete, deoarece datele pot fi transferate numai după ce conexiunea (da, ceea ce spui;).
Următoarele informații se utilizează pentru a filtra:- Port sursă
- Port receptor
- steaguri
protocolul UDP (strat de transport)
Următoarele informații pot fi utilizate pentru filtrarea:- Port sursă
- Port receptor
Ce numere de port sunt folosite de aplicații
În Internet există două tipuri principale de aplicații: server și client. WWW browser - un exemplu de aplicație client, în timp ce WWW-server - în mod natural - (. Trebuie să fie aceeași) o aplicație server. Pentru transferul de date client stabilește o conexiune cu serverul. aplicatii server asteapta o conexiune la numere de port prestabilite. De obicei, acest număr este mai mică decât 1024. Pe de altă parte, nu există o definiție strictă a numerelor de port pentru aplicațiile client, astfel încât acestea portul (e) este alocat în mod dinamic (aplicația solicită sistemul de operare numărul de port disponibil). Numerele de port folosite pentru atribuirea dinamică, în mod normal, de mai sus 1024.
Un exemplu de comunicare între browser și WWW-serverul este prezentat mai jos:
Politica de securitate
Alegerea regulilor de filtrare depinde de ceea ce serviciile de Internet pe care doriți să pună la dispoziția utilizatorilor pe LAN. De asemenea, aceasta depinde de care serviciile de pe LAN, doriți să vă accesibile de pe Internet.
Aplicarea unor norme mai stricte ar putea face indisponibil pentru utilizatorii de LAN serviciile de Internet sigur. De exemplu, acesta este cazul, atunci când aplicația rulează, ceea ce este necesar să se stabilească o conexiune suplimentară la Internet, sau aplicație bazată pe UDP. Pe de altă parte, utilizarea de reguli mai elastice crește numărul de aplicații și reduce securitatea LAN.
Principiul de bază al setărilor de filtrare - pentru a bloca accesul la Internet la LAN, și acces deplin la direcția opusă (de la LAN la Internet). Apoi, în funcție de ceea ce serviciile pe care doriți să asigure accesul la exterior, a face regulile setării.
Cel mai important aspect este acela de a proteja serviciile vitale LAN Aceste servicii (servere de fișiere, servere intranet, serverele SQL), de obicei, monitorizează conexiunile pe un număr de port de mai jos 1024. Serviciile care utilizează numere de port mai puțin de 1024, poate fi realizată nu numai pe serverele chiar mașini personalizate le poate îndeplini, de exemplu, în cazul separării accesului la fișiere (partajare). Pe de altă parte, aplicațiile client să utilizeze numere de port mai mare de 1024, astfel încât acest număr este foarte important pentru a configura politicile de securitate.
Politica sensibilă este blocarea porturilor de acces la Internet, care număr mai mic decât 1024, pentru ambele TCP și UDP. După aceea, puteți configura serviciul să fie disponibil la Ministerul Sănătății Web. De exemplu, pentru WWW vă permite accesul la portul 80 (în general).
O politică mai riguroasă interzice, de asemenea, toate UDP-pachete de intrare și TCP-pachete care încearcă să stabilească o conexiune la Internet pentru porturi al căror număr depășește 1024. Astfel, această politică interzice în legătură cu instalarea internetului o rețea LAN securizat, dar permite toate soedineniniya inițiate din LAN. În aplicarea unor astfel de politici, unele aplicații să nu mai funcționeze (parțial sau complet - este dependentă de aplicație). Probleme pot apărea cu aplicații care așteaptă un răspuns de la cealaltă parte a portului, al cărui număr depășește 1024. De asemenea, nu va funcționa aplicații care utilizează UDP.
Când configurați reguli de filtrare este important să ne amintim că regulile vor fi căutate în tabelul în ordinea în care acestea sunt enumerate acolo, și căutarea unei reguli adecvate se oprește după locația (uimitoare.).
Următoarele exemple arată o politici mai mult sau mai puțin stricte pe care le puteți utiliza atunci când configurați regulile:
politică strictă mai puțin:
Pentru pachetele primite de pe Internet, facem următoarele:- permite în mod individual transmiterea de pachete la / de la numărul de port 1024 pentru serviciile oferite pentru acces extern
- permit trecerea UDP-pachete de DNS-servere, numărul portului pentru care (ref. / ref.) este egal cu 53
- interzice trecerea pentru TCP-pachetele cu un port de destinație de 1024
- interzice trecerea UDP-pachete cu un port de destinație de 1024
O politică mai riguroasă:
Figura de mai jos prezintă o configurație a politicii la filtru de pachete:
Împiedica accesul utilizatorilor la anumite servicii pe Internet
De exemplu, pentru a refuza accesul la FTP (File Transfer Protocol), procedați în felul următor:
Dacă rulați un server proxy, care filtrează pe URL-ul și doriți să faceți utilizatorii LAN pentru a utiliza proxy în loc să aibă acces direct la Internet, utilizați următoarele:
Filtrul de pachete de configurare
Normele de siguranță sunt executate folosind următoarele metode:
Căutați dreptul de a produce, în ordinea în care sunt afișate în caseta de dialog Setări. Când primi sau trimite un pachet, caută în primul rând regulile pentru interfața de la care a primit pachetul. Apoi, uita-te pentru regulile care sunt comune pentru toate interfețele. După ce a constatat o regulă adecvată, căutarea se va opri și să ia măsuri corespunzătoare: fie pachetul este trecut sau blocat. Opțional, informațiile pachet este scris într-un fișier sau o fereastră WinRoute.
Filtrarea de pachete poate fi setat în meniul următor:
Setări => Avansat => Packet Filter => Add / Edit- „Protocolul“
protocol de rețea. Valori posibile: IP, TCP, UDP, ICMP, PPTP.
Puteți specifica, de asemenea, Rin. / Ref. porturi pentru protocoalele TCP și UDP.
Folosit pentru a defini un tip special de mesaj ICMP.
Nu poate fi următoarele:
„Numai conexiunile TCP stabilite“ ( „Numai un TCP conexiune stabilită“): regula se aplică în cazul în care pachetul nu creează o nouă conexiune TCP, și anume, Nu este setat SYN.
„Numai stabilirea de conexiuni TCP“ ( „Numai când conectarea TCP“): regulă se aplică atunci când încearcă să creeze un pachet de conexiune TCP, și anume, este setat SYN.
În cazul în care această regulă este aplicabilă pachetul, următoarele acțiuni sunt efectuate:
Permis (permis) - pachetul este trecut în LAN protejate
Picătură (picătură) - un pachet este anulat
Deny (neagă) - fluxul de pachete este blocat
În cazul în care pachetul este refuzat, acesta este trimis la sursa notificării (mesajul „resetare TCP“ sau „ICMP de port inaccesibil“)
Când utilizați această regulă este scris pe acest pachet. Înregistrarea se face fie în fereastra WinRoute, sau într-un fișier.
Aceasta definește perioada de timp în care funcționează regula. Puteți permite punerea în aplicare a normelor de timp.
verificare
verificarea Setarea
Verificarea poate fi setat în meniul următor:
Setări => Avansat => Anti-Spoofing => Editare buton- "Orice" ( "All")
Pachete li se permite să treacă numai o subrețea conectat direct. Această opțiune este utilizată în mod obișnuit pentru interfețele LAN.
La fiecare încercare de încălcare a dreptului de a face o intrare în fereastra WinRoute sau într-un fișier.
configurație de verificare EXEMPLU
Următorul exemplu arată trei utilizatori:- 192.168.1.0, masca 255.255.255.0
- 192.168.2.0, masca 255.255.255.0
- 194.196.16.0, 255.255.255.0 masca
Verificarea este configurat așa cum se arată mai jos:
Setări casetă de dialog:
intervale de timp
Intervalele de timp pot fi utilizate, de exemplu, prin aplicarea rețelei reguli de filtrare într-o anumită perioadă de timp. Numele gama este folosit pentru a se referi la el.
Intervalele de timp sunt setate în meniul următor:
Setări => Intervale avansat => Timp-
Orice număr de intrări pot fi create cu același nume, care permite timp de configurare foarte flexibil.