1-amaliy ish tarmoqlararo ekran yordamida kiberhujumlarga qarshi himoyani ta’minlash. Ishdan maqsad

TCP uzatishlarini boshqaruv protokoli (6-raqam); UDP

Yüklə 321,85 Kb. səhifə 8/9 tarix 06.06.2023 ölçüsü 321,85 Kb. #127864

Bu səhifədəki naviqasiya:

• IPv6-Frag
• (VRRP)
• Настроить » (Custom
• Настройка » (Customize
• Далее » (Next
• Профиль »(Profile ) va «Имя » (Name
• Правила для исходящих подключений » (Outbound Rules
• Настраиваемые » (Custom
• C:WindowsSystem32mstsc.exe
• Все порты » (Specific Ports
• Любой IP-адрес » (Any IP address
• Указанные IP-адреса » (These IP addresses
• IP-адрес или подсеть » (This IP address or subnet
• Настроить » (Customize
• Block RDP for mstsc.exe

TCP uzatishlarini boshqaruv protokoli (6-raqam); UDP protokoli (foydalanuvchilarning maxsus daytagram protokoli, 17-raqam); IPv6 inkapsulyatsiya protokoli – 41 raqam; IPv6-Route deb nomlangan va 43 raqami ostida belgilanadigan IPv6 uchun Routing Header protokoli; Navbatdagi protokol – Fragment Header for IPv6 — IPv6-Frag, 44 raqam; Tarmoq paketlarini tunnellash protokoli, Generic Routing Encapsulation, GRE, 47-raqam; IPv6 uchun boshqaruv xabarlari protokoli, IPv6-ICMP, 58-raqam; 59-raqamli protokol – No Next Header for IPv6, IPv6-NoNxt; IPv6-Opts protokoli (Destination Options for IPv6), 60-raqam; marshrutizatorlar guruhini bitta virtual routerga birlashtirish va ularga 112 raqami bilan umumiy IP-manzilni (VRRP) belgilash protokoli; Pragmatic General Multicast (PGM) ma’lumotlarni ishonchli ko’pmanzilli uzatish tarmoq protokoli, 113-raqam; Shuningdek, ushbu ro'yxatda taqdim etilgan oxirgi protocol Layer Two tuning Protocol Version 3 (L2TP) tunnellash protokoli bo’lib, u virtual xususiy tarmoqlarni qo'llab-quvvatlash uchun ishlatiladi, 115-raqam. Mahalliy va masofaviy portlarni ko’rsatilgan ro'yxatdan faqat TCP yoki UDP protokoli tanlangan bo'lsangizgina belgilashingiz mumkin. Tabiiyki, barcha mavjud protokollar ushbu ochiladigan ro'yxatda taqdim etilmaydi (ularning 140 dan ortiq turlari mavjud) va agar siz biron bir noyob protokolni belgilashingiz kerak bo'lsa, siz har doim ushbu ro'yxatdan «Настроить» (Custom) opsiyasini tanlashingiz va kerakli protokolning tegishli matn maydoni raqami (nomi emas, balki raqami)ni ko'rsatishingiz zarur. Misol uchun, agar siz RDP protokolini tarmoqlararo ekran qoidasida ko'rsatishingiz kerak bo'lsa, siz shunchaki 27 raqamini kiritasiz. 1.Ushbu misolda, ushbu ro'yxatdan ICMP-v4 protokolini tanlang va agar sizga ushbu protokol uchun qo'shimcha sozlamalar kerak bo'lsa, dialog oynasining pastki qismidagi «Настройка» (Customize) tugmasini bosing. Ko'rsatilgan dialog oynasida, 1.12-rasmda ko'rsatilganidek, qoidangizga qo'llash uchun maxsus ICMP turlarini tanlashingiz mumkin. Bizning misolimizda barcha turlardan foydalaniladi, shuning uchun joriy muloqot oynasiga o'zgartirish kiritish shart emas. Masterning ushbu sahifasida barcha o'zgarishlar amalga oshirilgandan so'ng, siz «Далее» (Next) tugmasini bosishingiz mumkin; 2. «Область» (Scope) sahifasi yana bir bor o‘tkazib yuboriladi va «Действие» (Action) sahifasida vazifaga muvofiq, trafikni blokirovka qilish varianti tanlanadi; 1.12- rasm. Protokollar va portlar uchun maxsus qoidalar sahifasi va ICMP sozlamalari dialog oynasi 3. Oxirgi ikki «Профиль»(Profile) va «Имя» (Name) sahifalarida profillar, shuningdek, yaratilgan qoidaning nomi ko'rsatiladi, aytaylik: «Block ICMP-v4». Shundan so'ng, «Готово» (Finish) tugmasini bosish orqali keyingi qoida yaratiladi. Ushbu qoida to'g'ri ishlayotganini tekshirish qoldi. Buni amalga oshirish uchun buyruq satri oynasini oching va ba'zi manzillarni "ping" qilishga harakat qiling. 1.13-rasmda ko'rib turganingizdek, buni qiib bo’lmadi, bu qoida xatosiz qo'llanilganligini anglatadi. 1.13-rasm. Windows tarmoqlararo ekranining qo’llanilgan qoidasini testlash Qoidalarni faqat tanlangan IP-manzillar uchun qo'llash. Windows tarmoqlararo ekrani qoidalarining oxirgi turi shunday qoidani qo'llash sohasi bilan bog'liq. Boshqacha qilib aytganda, agar siz Windows tarmoqlararo ekrani qoidalarining bir qismini faqat alohida kompyuter guruhiga qo’llashingiz kerak bo'lsa, buning uchun bir nechta guruh siyosati ob'ektlarini yaratishingiz va ularni turli bo'linmalar bilan bog'lashingiz yoki har bir bunday ob'ekt uchun o'z ko'lamini ko'rsatishingiz shart emas. Siz shunchaki bitta GPO ob'ektida qoidalar to'plamini yaratishingiz va ularning o'z qo’llanish doirasini ko'rsatishingiz mumkin. Quyidagi misol mahalliy manzillari 10.1.1.112 - 10.1.1.130 oralig'ida bo'lgan kompyuterlar uchun RDP portini bloklaydigan qoida yaratilgan vaziyatni ko'rsatadi. Bunday qoida yaratish uchun quyidagilarni bajarish zarur: GPME muharririning «Правила для исходящих подключений» (Outbound Rules) tugunida bo'lgan holda, yangi kiruvchi ulanish uchun qoida yaratish masterini oching; Ushbu bo'limdagi oldingi ikkita tasvirlangan holatda bo'lgani kabi, sehrgarning birinchi sahifasida «Настраиваемые» (Custom) opsiyasi tanlanadi, undan so'ng «Далее» (Next) tugmasini bosishingiz mumkin; Foydalanuvchilar 3389-portdagi masofaviy ish stoliga ulanish uchun tez-tez «Подключение к удаленному рабочему столу» dasturidan foydalanganligi sababli, «Программа» (Program) sahifasida «Путь программы» (This program path) parametriga belgi o'rnatish va tegishli matn maydonida «C:WindowsSystem32mstsc.exe»ni qo’shtirnoqsiz kiritish, keyin «Далее» (Next) tugmasini bosish tavsiya etiladi; «Протокол и порты» (Protocols and Ports) sahifasida «Тип протокола» (Protocol type)da ochiladigan ro'yxatdan TCP protokolini tanlang va «Локальный порт» (Local port) ro'yxatida «Все порты» (Specific Ports) opsiyasini tanlang; Keyingi sahifa – Область» (Scope) sahifasi – hozir bizni ko‘proq qiziqtirmoqda. Yuqorida aytib o'tilganidek, masterning ushbu sahifasida siz mahalliy va masofaviy kompyuterlar uchun IP-manzillarni belgilashingiz mumkin, ularga ushbu qoidada o'rnatilgan cheklovlar qo’llaniladi. Bu yerda, 1.14-rasmda ko'rsatilganidek, mahalliy va masofaviy IP-larni boshqarish uchun ikkita asosiy bo'lim mavjud. E'tibor bering, agar mahalliy kompyuterning IP-manzili mahalliy manzillar ro'yxatida paydo bo'lsa, har qanday masofaviy IP-manzildan kiruvchi barcha trafik joriy qoidada belgilangan ruxsatlarni qondiradi. Ushbu sahifada, ham mahalliy, ham masofaviy manzillar bo'lsa, «Любой IP-адрес» (Any IP address) opsiyasini tanlasangiz, qoida mahalliy IP manzil sifatida ko'rsatilgan istalgan manzilga ega tarmoq paketlarini filtrlaydi va mahalliy kompyuter har doim qoidani qondiradi. Agar siz aniq IP manzillarini ko'rsatishingiz kerak bo'lsa, belgini «Указанные IP-адреса» (These IP addresses) opsiyasiga o'rnating va «Добавить» (Add) tugmasini bosganingizda ochiladigan dialog oynasidan foydalanib, ma'lum bir manzilni, manzil oralig'ini yoki qismtarmoqni belgilang. 1.14-rasmda ko'rib turganingizdek, ip-manzillarni qo'shish dialog oynasini chaqirganda, siz birinchi variantda «IP-адрес или подсеть» (This IP address or subnet) yoki alohida IP-manzilni yoki kompaniyaning kompyuterlarining butun qismtarmog'ini belgilashingiz mumkin va «Диапазон IP-адресов» (This IP address range) opsiyasiga tanlanganda esa bunday manzillarning faqat ma'lum bir diapazonini ko’rsatishingiz mumkin. Misol uchun, bu holda, avval o'rnatilgan shartga ko'ra, belgini ikkinchi variantga o'rnatishingiz kerak va tegishli "dan" va "gacha" maydonlariga 10.1.1.112 va 10.1.1.130 manzillarini kiritishingiz kerak. Bundan tashqari, siz yaratgan qoida qo'llaniladigan interfeys turlarini o'rnatish uchun mas'ul bo'lgan «Настроить» (Customize) tugmasini alohida tanlashingiz mumkin. Tanlash uchun lokal, masofaviy yoki simsiz ulanishni o'z ichiga olgan uchta asosiy interfeys turi mavjud. Ko'rib turganingizdek, bu holda, ushbu muloqot oynasidan faqat birinchi va oxirgi pozitsiyalar tanlanadi: 1.14-rasm. "Область" sahifasi va IP manzillarini qo'shish uchun dialog oynalari Shundan so'ng, boshqa misollardan ma'lum bo'lgan uchta sahifa sozlanadi, ya’ni harakat (bu holda u ulanishni blokirovka qiladi), qoida qo’llaniladigan profil (masalan, faqat domen profili) tanlanadi va yaratilgan qoida nomi (masalan, bu qoida «Block RDP for mstsc.exe» deb ataladi).exe») kiritladi. Yaratilgan qoida uchun barcha sozlamalar aniqlangandan so'ng, «Готово» (Finish) tugmasini bosish mumkin. Va yana bir bor natijalarni sinab ko'rish kerak. Buni amalga oshirish uchun ko'rsatilgan manzil diapazoniga kiradigan kompyuterni olish, keyin kerakli dasturni ochish va masofadan ish stoliga ulanishga harakat qilish zarur. 1.15-rasmda ko'rinib turganidek, bu holda hamma narsa to'g'ri amalga oshirildi va foydalanuvchi ulanishni taqiqladi: 1.15-rasm. Tarmoqlararo ekran so’nggi qoidasining sinov natijalari Asosan, ushbu turdagi qoidalar kelajakda turli biznes maqsadlari va ehtiyojlariga mos keladigan murakkab korxona qoidalarini yaratish uchun zarur bo'lgan bazani ta'minlaydi. Vazifa: Tarmoqlararo ekran amaliy qismda ko'rsatilgan ketma-ketlikda sozlang va tarmoqlararo ekran siyosatini ishlab chiqish tartibini o'rganing Yüklə 321,85 Kb. Dostları ilə paylaş: