Керування карантином доступу до мережі (частина 1 із 2)

Найлегшим і найпоширенішим способом проникнення у вашу мережу зловмисних користувачів Інтернету та шкідливих програм є не використання проломів у фільтрах або грубий підбір паролів, а перехоплення з'єднання ваших користувачів мобільних пристроїв, коли вони з'єднуються з вашою мережею, перебуваючи у відрядженні або поза офісом.

Постараємося зрозуміти чому. Посвідчення справжності більшості віддалених користувачів відбувається на основі ідентичності імені користувача та пароля; не вживається жодних заходів для перевірки їхнього обладнання та програмного забезпечення на відповідність певним вимогам. Видалені користувачі можуть не дотримуватися таких правил безпеки:

  • Наявність останнього службового пакету (service pack) та/або латка безпеки.
  • Єдине антивірусне ПЗ встановлено та працює, і вірусні бази оновлено.
  • Вимкнено мережну або Інтернет маршрутизацію.
  • Вбудований або інший брандмауер встановлений, працює і активно захищає порти комп'ютера.

Ви думаєте, що всі підлеглі системи дотримуються певної політики, але раніше про користувачів мобільних пристроїв зазвичай забували або робили для них виняток. Однак Windows Server 2003 включає нову функцію у своєму Resource Kit, що має назву «Керування карантином доступу до мережі», яка дозволяє вам фільтрувати з'єднання віддалених користувачів, якщо їх системи не відповідають вимогам безпеки або не мають останнього оновлення.

Як працює Карантин Доступу до Мережі

Щоб використовувати NAQC, ваші віддалені комп'ютери повинні мати відповідні ОС: Windows 98 Second Edition, Windows Millennium Edition, Windows 2000 або Windows XP Home або Professional. Ці версії Windows підтримують модульз'єднання, що містить інформацію про з'єднання, базовий скрипт та компонент оповіщення, який можна створити за допомогою менеджера з'єднань (Connection Manager Administration Kit – CMAK). Додатково вам знадобиться щонайменше одна система Windows Server 2003, з перевіреним слухаючим компонентом, в рамках цієї статті, припустимо, що це сервіс Remote Access Quarantine Agent (RQS.EXE) з Windows Server 2003 Resource Kit. Нарешті, вам знадобиться сервер RADIUS, який узгоджується з NAQC, наприклад Internet Authentication Service у Windows Server 2003, щоб обмежити доступ до мережі.

Покроковий оглядNAQC

Ось докладна схема того, як працюють процеси з'єднання та карантину, маючи на увазі, що ви використовуєте RQC.EXE як клієнта і RQS.EXE як сервер.

У цьому розділі я розгляну безпосередньо встановлення NAQC у вашій мережі. Її можна поділити на шість етапів:

Створення ізольованих ресурсів

Існує два способи, щоб визначити та використовувати ізольовані ресурси. Перший спосіб – ідентифікувати певні сервери у вашій мережі як ізольовані ресурси незалежно від їхнього фізичного та мережевого становища. Це дозволить вам використовувати вже існуючий комп'ютер для організації карантину, але вам доведеться створити для кожного комп'ютера індивідуальний фільтр.

Як написати базовий скрипт

Наступним кроком буде написання базового скрипта, який запускатиметься клієнтом. Кожна організація має свій підхід до вирішення цього завдання, але скрипт повинен запускати RQC.EXE після перевірки сумісності з карантином і містити наступні параметри:

rqc ConnName TunnelConnName TCPPort Domain Username ScriptVersion

Далі пояснюються наведені вище аргументи:

  • Аргумент ConnName – це ім'я модуля з'єднання на віддаленому комп'ютері, найчастіше це значення змінної профілю dial-in %DialRasEntry%.
  • Аргумент TunnelConnName – це ім'я модуля тунелірів на віддаленому комп'ютері, найчастіше це значення змінної профілю dial-in %TunnelRasEntry%.
  • Аргумент TCPPort, звичайно, номер порту, використовуваного компонентом оповіщення. За промовчанням це 7250.
  • Аргумент Domain – це windows-домен віддаленого користувача, найчастіше це значення змінної профілю dial-in %Domain%.
  • Аргумент Username, як ви здогадуєтеся, є ім'я віддаленого користувача, це значення змінної профілю dial-in %UserName%.
  • Аргумент ScriptVersion – текстовий рядок, що містить версію скрипта для звірки із сервером RRAS. Ви можете використовувати будь-який набір клавіатури, крім /0.

Установка слухаючих компонентів.

Агент карантину віддаленого доступу до мережі, також відомий як RQS.EXE, має бути встановлений на машинах з Windows Server 2003, які приймають запити за допомогою RRAS. RQS можна знайти у Windows Server 2003 Resource Kit Tools. Як тільки ви запустите інсталятор для цих інструментів, виберіть опцію Командна Рядок (Command Shell) із групи Програми (Programs) у стартовому меню (Start menu) та запустіть RQS_SETUP /INSTALL із неї. Цей завантажувальний файл перепише необхідні бінарні файли в папку WindowsRoot\System32\RAS і зробить потрібні зміни в налаштуваннях служб і реєстру, щоб слухаючий компонент автоматично розпочинав роботу при завантаженні сервера.

Тут потрібно трохи попрацювати руками: вам треба вказати версію базового скрипту. Слухаючий компонент порівняє версію, передану віддаленим комп'ютером, зі значенням, що зберігається в RRAS, щоб бути впевненим у тому,що клієнт використовує останню версію цього скрипту. Щоб зробити ці зміни вручну після запуску RQS_SETUP:

В якості альтернативи можна змінити завантажувальний файл RQS_SETUP, щоб автоматизувати цей процес у майбутньому. Для цього:

  1. Відкрийте RQS_SETUP.BAT за допомогою Блокнота (Notepad).
  2. Виберіть пункт Знайти з меню Правка.
  3. У рядку пошуку наберіть Version1\0 та натисніть OK. Курсор повинен зупинитися на рядку з такою інформацією:

REM REG ADD %ServicePath% /v AllowedSet /t REG_MULTI_SZ /d Version1\0Version1a\0Test

  1. Щоб додати єдино допустиму версію, заберіть REM.
  2. Тепер, замініть текст "Version1\0Version1a\0Test" рядком з потрібною вам версією скрипта.
  3. Щоб додати більше допустимих версій, замініть текст “Version1\0Version1a\0Test” на рядки з версіями, розділяючи їх на “\0”.
  4. Збережіть файл та закрийте Блокнот.

Два зауваження: RQS встановлено як залежний від RRAS. Однак коли RRAS перезапускається, RQS не запускається автоматично, т.ч. вам доведеться запускати його вручну. Також, за замовчуванням, RQS.EXE слухає порт 7250. Щоб змінити його, виберіть HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Rqs/key, створіть новий рядковий параметр, назвіть його Port і дайте йому значення потрібного вам порту.

Створення ізольованого профілю з'єднання

Наступним кроком є ​​створення ізольованого профілю менеджера з'єднань, який є звичайним профілем з'єднання з деякими змінами. Вам слід додати дію, що виконується після з'єднання, щоб ваш базовий скрипт розпочинав роботу і повертав повідомлення про удачі та невдачі службі RRAS. Вам також потрібно додати компонент оповіщення у профіль.

У цьому розділіпередбачається, що знайомі зі створенням модулів з'єднання за допомогою CMAK Wizard, т.к. цей процес не входить у рамки нашої статті. Процес може розгалужуватись у розділі Спеціалізовані Дії (Custom Actions), і ми почнемо огляд саме з цього моменту.

  1. Дойдіть до розділу Спеціалізовані Дії (Custom Actions), адекватно заповнюючи попередні розділи.

карантином
Мал. 1: Розділ Спеціалізовані Дії майстраCMAK

  1. Виберіть Після підключення (Post-Connect) з поля Тип Дії (Action Type), що розкривається, а потім натисніть кнопку Нове (New), щоб додати дію. З'являється розділ Нова спеціалізована дія, як показано на Мал. 2:

доступу
Figure 2:Розділ Нова спеціалізована дія

  1. Напишіть опис дії у полі Опис (Description). У полі Виконувана Програма (Program to Run) виберіть базовий скрипт. Введіть аргументи скрипту та волі Параметри (Parameters). Нарешті поставте галочки в нижніх двох полях – «Включити програму в цей профіль» та «Взаємодія програми та користувача».
  2. Натисніть OK - ви повернетеся до розділу Спеціалізовані Дії. Натисніть Далі (Next) і заповнюйте наступні розділи, доки не потрапите до розділу Додаткові Файли (Additional Files):

карантином
Figure 3:Розділ Додаткові файли

  1. Натисніть Додати (Add) та виберіть RQC.EXE. Як тільки закінчите, натисніть кнопку Next.
  2. Закінчіть майстер CMAK.

У наступній статті

У наступній частині ми розглянемо розподіл профілів віддаленим користувачам, налаштування політики, яку проводитиме карантин, і як цю технологію впроваджено в новому Microsoft ISA Server 2004.