Pseudozapory sieciowe

Jeśli chcemy podnieść bezpieczeństwo sieci podłączonej do Internetu, a nie mamy pieniędzy na wyrafinowane rozwiązania, możemy rozważyć zastosowanie pseudozapór. Pseudozapora to rozwiązanie zapobiegające dostępowi użytkowników Internetu do chronionej sieci wewnętrznej, polegające na zablokowaniu nieuprawnionego dostępu do usług systemowego protokołu SMB/NetBios, w stosunku do plików i współdzielonych drukarek. Głównym założeniem technik pseudozapór jest uruchomienie NetBEUI dla całej komunikacji wewnętrznej, natomiast TCP/IP dla zewnętrznej komunikacji z Internetem.

Takie rozwiązanie jest relatywnie tanie, ale możliwe do wykorzystania jedynie w małych sieciach. Ograniczenie wynika z własności NetBEUI, który został zaprojektowany jako protokół nie podlegający technice routingu przeznaczony dla małych grup roboczych, liczących nie więcej niż 200 użytkowników. Tworzenie pseudozapory jest łatwe, wystarczy po prostu zainstalować protokoły NetBEUI oraz TCP/IP na wszystkich stacjach roboczych chronionej części sieci. Następnie należy się upewnić, że na komputerze pełniącym rolę bramy do Internetu (gateway machine) działają usługi TCP/IP. Na stacjach klientów powinno być zainstalowane jedynie oprogramowanie klienta TCP/IP, co pozwala użytkownikom korzystać z usług Internetu (FTP, Telnet, HTTP) za pośrednictwem komputera – bramy.

Powyższe czynności realizujemy, tworząc lub likwidując odpowiednie powiązania warstw komunikacyjnych między protokołami NetBEUIa TCP/IP. Do przeglądania i konfiguracji powiązań służy Network Applet, który uruchamia się z Panelu sterowania.

Należy wyłączyć powiązania następujących sesji:

NetBIOS-TCP/IP

Workstation-TCP/IP

Server-TCP/IP

i uaktywnić powiązania sesji dla:

NetBIOS-NetBEUI

Workstation-NetBEUI

Server-NetBEUI

oraz uaktywniać powiązania transportowe dla:

NetBEUI-adapter_sieciowy

TCP/IP-Połączenie RAS modemu

Wykonanie opisanych zmian wymaga zrestartowania komputera. Od tej chwili stacja jest zabezpieczona przed nieupoważnionym dostępem zewnętrznych użytkowników IP.