Для роботи з IPSec нам потрібно запустити оснащення "Локальні параметри безпеки" ( "Пуск"> secpol.msc) і перейти до параметру "Політики безпеки IP".
Коротко про структуру. Кожна політика складається зі списку фільтрів, списків може бути кілька. Кожен список фільтрів виконує певну дію.
Тепер сформулюємо завдання: блокувати небажаний вихідний трафік (з блокуванням вхідного нехай справляється вбудований брандмауер). Чудовим прикладом небажаного вихідного трафіку може бути троянський вірус, який посилає дані про вашому комп'ютері зловмисникові.
Вирішувати поставлену задачу можна двома способами, про кожного з них поговоримо окремо.
Спосіб перший - що не заборонено, то дозволено
Суть в наступному: беремо список портів, які найбільш часто використовуються троянськими програмами (див. Врізку), і забороняємо вихідний трафік з них. Дана міра дозволить захиститися від недосвідчених комп'ютерних хуліганів, які зазвичай не здогадуються змінити стандартні порти в своїх програмах. На щастя, таких "хакерів" більшість.
Продовжуємо настройку фільтра. Прямуємо на закладку "Протокол" і вибираємо TCP (хоча багато трояни вміють працювати і через UDP), встановлюємо значення "Пакети з цього порту" в 31337 - тим самим ми заблокували TCP-порт для легендарного Back Orifice. Так потрібно зробити для кожного з троянів, нікуди не дінешся - щоб потім не довелося клацати дзьобом, доведеться зараз поклацати мишею.
Створивши потрібну кількість фільтрів, вибираємо для нашого списку дію "Заборонити" - і все, політика готова. Призначити її можна правим клацанням і вибором однойменного пункту в меню.
Спосіб другий - що не дозволено, то заборонено
Цей підхід призначений для серверів. В даному випадку створюється два списки фільтрів (взагалі-то вони називаються правилами безпеки): один - заборонний, а другий - дозвільний. Логіка така: спочатку забороняємо все, а потім дозволяємо тільки потрібне.
За протоколами ситуація виглядає наступним чином:
- Певний протокол і певний порт.
- Певний протокол і будь-який порт.
- Будь-протокол.
Фільтри виконуються в порядку проходження пріоритетів. Тобто фільтр з найбільш загальними параметрами виконується найостаннішим, а фільтр з більш конкретними параметрами - перед ним, тим самим його перекриваючи.
Тепер про дозволи. Створивши список дозвільних фільтрів, де буде вказаний певний протокол і певний порт, ми доб'ємося, що цей список буде мати більш високий пріоритет. У нього і слід включити дозволені програми, які будуть використовувати мережеві ресурси. Інформація про портах і протоколах стандартних служб представлена в урізанні.
На локальній машині немає сенсу використовувати описаний спосіб, оскільки в цьому випадку не буде можливості скористатися навіть Internet Explorer, адже він "вішається» не на один конкретний порт, а на будь-який з діапазону 1023-16384. З цієї причини його неможливо вирішити.
Управління фільтрами з консолі
Використання під час налаштування політик безпеки IP-утиліт командного рядка має сенс при написанні сценаріїв, хоча ймовірність допустити помилку в цьому випадку вище, ніж при використанні оснащення "Локальні параметри безпеки".
Більш детальну інформацію по роботі з утилітами ipsecCmd.exe і ipsecpol.exe можна отримати, вказавши ключ / ?.
Порти, які використовують стандартні служби
DNS-сервер - 53-й порт протоколу UDP.
Веб-сервер - 80-й порт TCP 80.
FTP - такі порти протоколу TCP: 20 і 21.
SMTP (для відправки листів) - порт TCP 25.
POP3 (для прийому листів) - порт TCP 110.
IMAP (для прийому листів) - порт TCP 143.
ICQ - зазвичай TCP порт 5190.
Порти, які використовують популярні трояни
TCP 21 - використовується програмами: Back Construction, Blade Runner, Doly Trojan, Fore, FTP Trojan, Invisible FTP, Larva, MBT, Motiv, Net Administrator, Senna Spy FTP Server, WebEx, WinCrash
TCP 23 - Tint Telnet Server, Truva Atl
TCP 25 - Ajan, Antigen, Email Password Sender, Gip, Haebu Coceda, Happy 99, I Love You, Kaung2, Pro Mail Trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy
TCP 666 - Attack FTP, Back Construction, Cain Able, NokNok, Satanz Backdoor, ServeU, Shadow Phyre
TCP 1243, 2773 - використовується SubSeven
TCP 12345 - NetBus, GabanBus, X-Bill, Pie Bill Gates
TCP 12346 - NetBus 1.0, GabanBus, X-Bill
TCP 5000 - Bubbel, Back Door Setup, S ockets de Troie, Socket 23
TCP / UDP 31337 - Back fire, Back Orifice, Deep BO
TCP / UDP 31338 - Back Orifice, Deep BO
Версія для друку