Сбор сведений о текущей сетевой инфраструктуре Gathering Information about Your Current Network Infrastructure

Область применения Applies to

• Windows 10 Windows 10
• Windows Server 2016 Windows Server 2016

Возможно, самым важным аспектом планирования Защитник Windows брандмауэра с расширенными мерами безопасности является архитектура сети, так как протокол IPsec размещен на самом протоколе Интернета. Perhaps the most important aspect of planning for Windows Defender Firewall with Advanced Security deployment is the network architecture, because IPsec is layered on the Internet Protocol itself. Неполное или неточное понимание сети может предотвратить успешное Защитник Windows брандмауэра. An incomplete or inaccurate understanding of the network can prevent any Windows Defender Firewall solution from being successful. Понимание структуры подсети, схем IP-адресов и схем трафика является частью этой работы, но точное документировать следующие компоненты важно для завершения этапа планирования этого проекта: Understanding subnet layout, IP addressing schemes, and traffic patterns are part of this effort, but accurately documenting the following components are important to completing the planning phase of this project:

Сегментация сети. Network segmentation. К ним относятся карты IP-адресов, показывающие, как маршрутизаторы отделяют каждый сегмент сети. This includes IP addressing maps, showing how your routers separate each network segment. Он включает сведения о настройке маршрутизаторов и о фильтрах безопасности, которые они налагают на сетевой трафик, который проходит через них. It includes information about how the routers are configured, and what security filters they impose on network traffic flowing through them.

Трансляция сетевых адресов (NAT). Network address translation (NAT). NAT — это средство разделения сегментов сети с помощью устройства, которое сопоирует все IP-адреса с одной стороны устройства с одним IP-адресом, доступным с другой стороны. NAT is a means of separating network segments by using a device that maps all of the IP addresses on one side of the device to a single IP address accessible on the other side.

Устройства сетевой инфраструктуры. Network infrastructure devices. К ним относятся маршрутизаторы, коммутаторы, концентраторы и другое сетевое оборудование, которое делает возможным взаимодействие между устройствами в сети. This includes the routers, switches, hubs, and other network equipment that makes communications between the devices on the network possible.

Текущая модель сетевого трафика. Current network traffic model. К ним относятся количество и характеристики сетевого трафика, который проходит по сети. This includes the quantity and the characteristics of the network traffic flowing through your network.

Устройства системы обнаружения вторжений (IDS). Intrusion Detection System (IDS) devices. Вам потребуется определить, есть ли в сети устройства IDS, которые могут отрицательно повлиять на шифрование, введенное в зоне шифрования. You will need to identify if you have any IDS devices on your network that might be negatively impacted by any encryption introduced in an Encryption Zone.

Цель состоит в том, чтобы иметь достаточно информации для определения актива по сетевому расположению в дополнение к его физическому расположению. The goal is to have enough information to be able to identify an asset by its network location, in addition to its physical location.

Не используйте сложную и плохо документированную сеть в качестве отправной точки для разработки, так как в ней может быть слишком много неопознанных областей, которые могут вызывать проблемы во время реализации. Do not use a complex and poorly documented network as a starting point for the design, because it can leave too many unidentified areas that are likely to cause problems during implementation.

Это руководство помогает получить наиболее актуальную информацию для планирования реализации брандмауэра Защитник Windows, но не пытается решить другие проблемы, такие как TCP/IP-адреса или сегментация виртуальной локальной сети (VLAN). This guidance helps obtain the most relevant information for planning Windows Defender Firewall implementation, but it does not try to address other issues, such as TCP/IP addressing or virtual local area network (VLAN) segmentation.

Сегментация сети Network segmentation

Если текущая архитектура сети вашей организации не задокументирована и доступна для справки, эту документацию следует получить как можно скорее, прежде чем продолжить разработку и развертывание. If your organization does not have its current network architecture documented and available for reference, such documentation should be obtained as soon as possible before you continue with the design and deployment. Если документированная информация не является текущей или не была проверена недавно, есть два варианта: If the documented information is not current or has not been validated recently, you have two options:

Примите во мнении, что отсутствие точной информации может вызвать риск для проекта. Accept that the lack of accurate information can cause risk to the project.

Проект обнаружения можно осуществить с помощью ручных процессов или средств анализа сети, которые могут предоставить сведения, необходимые для документации текущей топологии сети. Undertake a discovery project, either through manual processes or with network analysis tools that can provide the information you need to document the current network topology.

Хотя требуемая информация может быть представлена различными способами, ряд схем часто является наиболее эффективным методом иллюстрации и понимания текущей конфигурации сети. Although the required information can be presented in many different ways, a series of schematic diagrams is often the most effective method of illustrating and understanding the current network configuration. При создании сетевых схем не включай слишком много информации. When creating network diagrams, do not include too much information. При необходимости используйте несколько схем, которые показывают различные уровни детализации. If necessary, use multiple diagrams that show different layers of detail. Используйте схему верхнего уровня, которая иллюстрирует основные сайты, которые составляют сеть организации, а затем разберите каждый сайт на более подробную схему, которая будет более подробно описана. Use a top-level diagram that illustrates the major sites that make up your organization’s network, and then break out each site into a more detailed diagram that captures a deeper level of detail. Продолжайте, пока не достигнете уровня отдельной IP-подсети, а также не сможете определить сетевое расположение каждого устройства в организации. Continue until you reach the individual IP subnet level, and so have the means to identify the network location of every device in your organization.

Во время этого процесса можно обнаружить некоторые сетевые приложения и службы, несовместимые с IPsec. During this process, you might discover some network applications and services that are not compatible with IPsec. Например, протокол IPsec нарушает приоритеты сети и управление трафиком на основе портов и протоколов. For example, IPsec breaks network-based prioritization and port/protocol-based traffic management. Если управление трафиком или приоритет должен основываться на портах или протоколах, сам хост должен иметь возможность выполнять управление трафиком или приоритеты. If traffic management or prioritization must be based on ports or protocol, the host itself must be able to perform any traffic management or prioritization.

Другие примеры несовместимости: Other examples of incompatibility include:

Cisco NetFlow на маршрутизаторах не может анализировать пакеты между членами IPsec на основе протокола или порта. Cisco NetFlow on routers cannot analyze packets between IPsec members based on protocol or port.

Качество обслуживания на основе маршрутизатора (QoS) не может использовать порты или протоколы для приоритета трафика. Router-based Quality of Service (QoS) cannot use ports or protocols to prioritize traffic. Однако на использование правил брандмауэра, которые указывают IP-адреса для приоритета трафика, это ограничение QoS не влияет. However, using firewall rules that specify IP addresses to prioritize traffic are not affected by this limitation of QoS. Например, правило «От любого к любому, кто использует порт 80 prioritize» не работает, но правило «От любого до 10.0.1.10 prioritize» работает. For example, a rule that says «From anyone to anyone using port 80 prioritize» does not work, but a rule that says «From anyone to 10.0.1.10 prioritize» works.

Взвешнная ярларовая очередь и другие методы приоритета трафика маршрутизатора на основе потока могут привести к сбойу. Weighted Fair Queuing and other flow-based router traffic priority methods might fail.

Устройства, которые не поддерживают или не поддерживают протокол IP 50, порт, используемый при инкапсуляциях полезной нагрузки системы безопасности (ESP). Devices that do not support or allow IP protocol 50, the port that is used by Encapsulating Security Payload (ESP).

Списки управления доступом маршрутизатора (ALS) не могут проверять поля протокола и порта в пакетах, зашифрованных с помощью ESP, поэтому пакеты отброшены. Router access control lists (ACLs) cannot examine protocol and port fields in ESP-encrypted packets, and therefore the packets are dropped. ALS, основанные только на IP-адресе, переададируются в обычном режиме. ACLs based only on IP address are forwarded as usual. Если устройству не удается разработать ESP, любые ALS, которые определяют порт или правила протокола, не будут обрабатываться в пакетах ESP. If the device cannot parse ESP, any ACLs that specify port or protocol rules will not be processed on the ESP packets. Если на устройстве есть анализатор ESP и используется шифрование, то ALS, которые определяют порт или правила протокола, не будут обрабатываться в пакетах ESP. If the device has an ESP parser and uses encryption, ACLs that specify port or protocol rules will not be processed on the ESP packets.

Средства мониторинга сети могут не иметь возможности анализа пакетов ESP, которые не зашифрованы (ESP-Null). Network monitoring tools might be unable to parse ESP packets that are not encrypted (ESP-Null).

Примечание. Анализатор сообщений Майкрософт может помочь в устранении неполадок с незашифрованными пакетами IPsec. Note: Microsoft Message Analyzer can help in troubleshooting of unencrypted IPsec packets. Последняя версия анализатора сообщений доступна в Центре загрузки Майкрософт. The latest version of Message Analyzer is available on the Microsoft Download Center.

Трансляция сетевых адресов (NAT) Network address translation (NAT)

Обход NAT IPsec (NAT-T) позволяет узлам IPsec, которые находятся за NATs, обнаруживать присутствие NATs, согласовывать связи безопасности IPsec и отправлять данные, защищенные ESP, даже если адреса в пакетах IPv4, защищенных IPsec, меняются. IPsec NAT traversal (NAT-T) enables IPsec peers that are behind NATs to detect the presence of NATs, negotiate IPsec security associations (SAs), and send ESP-protected data even though the addresses in the IPsec-protected IPv4 packets change. IPsec NAT-T не поддерживает использование AH на устройствах NAT. IPsec NAT-T does not support the use of AH across NAT devices.

Устройства сетевой инфраструктуры Network infrastructure devices

Устройства, которые составляют сетевую инфраструктуру (маршрутизаторы, коммутаторы, балансиры нагрузки и брандмауэры), должны иметь возможность взаимодействовать с помощью IPsec после реализации решения. The devices that make up the network infrastructure (routers, switches, load balancers, and firewalls) must be able communicate using IPsec after the solution is implemented. По этой причине необходимо изучить следующие характеристики этих сетевых устройств, чтобы убедиться, что они могут обрабатывать технические и физические требования проекта: For this reason, you have to examine the following characteristics of these network devices to ensure that they can handle the technical and physical requirements of the design:

Make/model. Make/model. Эти сведения можно использовать для определения функций, поддерживаемых устройством. You can use this information to determine the features that the device supports. Кроме того, проверьте версию BIOS или программное обеспечение, запущенное на устройстве, чтобы убедиться, что поддерживается IPsec. In addition, check the BIOS version or software running on the device to ensure that IPsec is supported.

Объем ОЗУ. Amount of RAM. Эти сведения полезны при анализе емкости или влияния IPsec на устройство. This information is useful when you are analyzing capacity or the impact of IPsec on the device.

Анализ трафика. Traffic analysis. Полезно иметь такие сведения, как пиковое использование и ежедневные тенденции или недели. Information, such as peak usage and daily orweekly trends, is helpful to have. Эти сведения помогают предоставить базовый моментальный снимок устройства и его использования с течением времени. The information helps provide a baseline snapshot of the device and how it is used over time. Если после реализации IPsec возникают проблемы, эти сведения могут помочь определить, связана ли корневая причина с более большим использованием устройства. If problems occur after IPsec is implemented, the information can help determine whether the root cause is related to greater usage of the device.

ALS маршрутизатора, которые напрямую влияют на IPsec. Router ACLs that affect IPsec directly. ALS напрямую влияют на возможность работы определенных протоколов. ACLs directly affect the ability of specific protocols to function. Например, блокирование протокола Kerberos V5 (UDP и TCP-порт 88) или протокола IP 50 или 51 предотвращает работу IPsec. For example, blocking the Kerberos V5 protocol (UDP and TCP port 88) or IP protocol 50 or 51 prevents IPsec from working. Устройства также должны быть настроены так, чтобы разрешить трафик IKE (UDP-порт 500) при использовании NAT-T (UDP-порт 4500). Devices must also be configured to allow IKE traffic (UDP port 500) if using NAT-T (UDP port 4500).

Сети и подсети, подключенные к интерфейсам устройств. Networks/subnets connected to device interfaces. Эти сведения предоставляют наилучшее представление о том, как выглядит внутренняя сеть. This information provides the best picture of what the internal network looks like. Определение границы подсетей на основе диапазона адресов очень просто и помогает определить, являются ли другие адреса неугодными или неугодными для внутренней сети (например, IP-адресами в Интернете). Defining the boundary of subnets based on an address range is straightforward and helps identify whether other addresses are either unmanaged or foreign to the internal network (such as IP addresses on the Internet).

Сегментация VLAN. VLAN segmentation. Определение реализации VLANs в сети поможет вам понять шаблоны трафика и требования безопасности, а затем определить, как IPsec может дополнить или помешать выполнению этих требований. Determining how VLANs are implemented on the network can help you understand traffic patterns and security requirements, and then help to determine how IPsec might augment or interfere with these requirements.

Максимальный размер единицы передачи (MTU) в интерфейсах устройств. The maximum transmission unit (MTU) size on device interface(s). MTU определяет самую большую гистограмму, которая может передаваться в определенном интерфейсе, не разделяясь на более мелкие части для передачи (процесс, также известный как фрагментация). The MTU defines the largest datagram that can be transmitted on a particular interface without being divided into smaller pieces for transmission (a process also known as fragmentation). В коммуникациях IPsec MTU необходимо прогнозировать, когда происходит фрагментация. In IPsec communications, the MTU is necessary to anticipate when fragmentation occurs. Маршрутизатор должен отслеживать фрагментацию пакетов для связи с Интернет-безопасностью и протокола управления ключами (ISAKMP). Packet fragmentation must be tracked for Internet Security Association and Key Management Protocol (ISAKMP) by the router. IPsec настраивает для размера MTU сеанса минимальный обнаруженный размер MTU вдоль используемого пути связи, а затем занося в бит don’t Fragment (DF bit) 1. IPsec configures the MTU size on the session to the minimum-discovered MTU size along the communication path being used, and then set the Don’t Fragment bit (DF bit) to 1.

Примечание. Если обнаружение Path MTU (PMTU) включено и работает правильно, вам не нужно собирать размер MTU в интерфейсах устройств. Note: If Path MTU (PMTU) discovery is enabled and functioning correctly, you do not have to gather the MTU size on device interfaces. Несмотря на то что источники, такие как руководство по укреплю Windows Server 2003, рекомендуют отключить обнаружение PMTU, для правильной работы IPsec необходимо включить его. Although sources, such as the Windows Server 2003 Hardening Guide, recommend disabling PMTU discovery, it must be enabled for IPsec to function correctly.

Используемая система обнаружения вторжений (IDS). Intrusion detection system (IDS) in use. У ваших IDS должен быть анализщик, совместимый с IPsec, для обнаружения пакетов ESP. Your IDS must have an IPsec-compatible parser to detect ESP packets. Если у IDS нет такого анализара, он не может определить, шифруются ли данные в этих пакетах. If the IDS does not have such a parser, it cannot determine if data in those packets is encrypted.

После получения этих сведений можно быстро определить, нужно ли обновить устройства для поддержки требований проекта, изменить ALS или принять другие меры, чтобы убедиться, что устройства могут обрабатывать необходимые нагрузки. After you obtain this information, you can quickly determine whether you must upgrade the devices to support the requirements of the project, change the ACLs, or take other measures to ensure that the devices can handle the loads needed.

Текущая модель сетевого трафика Current network traffic model

После сбора сведений об адресной и сетевой инфраструктуре необходимо изучить поток связи. After gathering the addressing and network infrastructure information, the next step is to examine the communications flow. Например, если отдел, например отдел кадров, охватывает несколько зданий и вы хотите использовать изоляцию сервера с шифрованием для защиты информации в этом отделе, необходимо знать, как эти здания связаны, чтобы определить уровень доверия для подключения. For example, if a department such as Human Resources (HR) spans several buildings, and you want to use server isolation with encryption to help protect information in that department, you must know how those buildings are connected to determine the level of «trust» to place in the connection. Надежно защищенное здание, подключенное незащищенным кабельом к другому незащищенным зданиям, может быть скомпрометировано перехватом или атакой с повтором информации. A highly secured building that is connected by an unprotected cable to another building that is not secured can be compromised by an eavesdropping or information replay attack. Если такая атака считается угрозой, протокол IPsec может помочь, предоставив надежные hosts надежное шифрование трафика и взаимную проверку подлинности. If such an attack is considered a threat, IPsec can help by providing strong mutual authentication and traffic encryption for trusted hosts. IPsec позволяет более безопасно взаимодействовать по недоверчивым ссылкам, таким как Интернет. IPsec allows you to more securely communicate across untrusted links such as the Internet.

При анализе потока трафика внимательно посмотрите, как взаимодействуют все управляемые и неугодные устройства. When you examine traffic flow, look closely at how all managed and unmanaged devices interact. К ним относятся устройства, не работающие под управлением Windows под управлением Linux, UNIX и Macintosh. This includes non-Windows-based devices running Linux, UNIX, and Macintosh. Задайте себе такие вопросы, как: Ask yourself such questions as:

Происходит ли связь на уровне порта и протокола или существует много сеансов между одинаковыми хостами по многим протоколам? Do specific communications occur at the port and protocol level, or are there many sessions between the same hosts across many protocols?

Как серверы и клиенты взаимодействуют друг с другом? How do servers and clients communicate with each other?

Существуют ли устройства безопасности или проекты, реализованные или запланированные в настоящее время, которые могут повлиять на развертывание изоляции? Are there security devices or projects currently implemented or planned that could affect an isolation deployment? Например, если вы используете Защитник Windows брандмауэра на устройствах для «блокировки» определенных портов, таких как UDP 500, согласование IKE не удастся. For example, if you use Windows Defender Firewall on your devices to «lock down» specific ports, such as UDP 500, IKE negotiations fail.

Некоторые из наиболее распространенных приложений и протоколов: Some of the more common applications and protocols are as follows:

NetBIOS через TCP/IP (NetBT) и блок сообщений сервера (SMB). NetBIOS over TCP/IP (NetBT) and server message block (SMB). В локальной сети обычно порты 137, 138 и 139 включены для NetBT, а порт 445 включен для SMB. On a LAN, it is common to have ports 137, 138, and 139 enabled for NetBT and port 445 enabled for SMB. Эти порты предоставляют службы разрешения имен NetBIOS и другие функции. These ports provide NetBIOS name resolution services and other features. К сожалению, они также позволяют создавать сеансы null. Unfortunately, they also allow the creation of null sessions. Сеанс null — это сеанс, установленный на хост-сайте, который не использует контекст безопасности известного пользователя или сущности. A null session is a session that is established on a host that does not use the security context of a known user or entity. Часто эти сеансы являются анонимными. Frequently, these sessions are anonymous.

Удаленный вызов процедуры (RPC). Remote procedure call (RPC). RPC работает, прослушивая порт, известный как конечный mapper, TCP-порт 135. RPC operates by listening on a port known as the endpoint mapper, TCP port 135. Ответ на запрос к этому порту — это инструкция по началу связи с другим портом в диапазоне эфемерных портов (порты с номером более 1024). The response to a query on this port is an instruction to begin communication on another port in the ephemeral range (ports numbered over 1024). В сети, сегментации по брандмауэрам, связь RPC представляет проблему конфигурации, так как это означает открытие порта прослушиватель RPC и всех портов больше 1024. In a network that is segmented by firewalls, RPC communication presents a configuration challenge because it means opening the RPC listener port and all ports greater than 1024. Открытие такого числа портов увеличивает поверхность атаки во всей сети и снижает эффективность брандмауэров. Opening so many ports increases the attack surface of the whole network and reduces the effectiveness of the firewalls. Поскольку базовые функции многих приложений зависят от RPC, все брандмауэры и политики безопасности подключений должны учитывать требования RPC. Because many applications depend on RPC for basic functionality, any firewall and connection security policy must take RPC requirements into account.

Другой трафик. Other traffic. Защитник Windows брандмауэр может обеспечить безопасность передачи данных между устройствами, обеспечивая проверку подлинности пакетов в дополнение к шифрованию содержащихся в них данных. Windows Defender Firewall can help secure transmissions between devices by providing authentication of the packets in addition to encrypting the data that they contain. Важно определить, что необходимо защитить, и какие угрозы необходимо устранить. The important thing to do is to identify what must be protected, and the threats that must be mitigated. Изучите и смоделите другие типы трафика, которые должны быть защищены. Examine and model other traffic or traffic types that must be secured.