www.promanski.info

Firewall w Windows

Większość osób korzystających z systemów Windows 2000, XP, 2003 Server korzystających z Internetu doskonale zdaje sobie sprawę z tego, że komputery narażone są na ataki z zewnątrz. Zazwyczaj stosują rozwiązania firm trzecich polegających na instalacji firewalla lub blokadzie portów i usług (taką niewielką funkcjonalność posiada firewall wbudowany w Windows XP). Mało kto jednak wie, że nawet w już w Windows 2000 jest firewall… tak, tak! Tylko Microsoft dość sprytnie go ukrył, dlatego w tym artkule postaram się przedstawić sposób na skonfigurowanie swojego własnego firewalla za pomocą IPSec.

Jako, że konfiguracja zasad IPSec w Windows 2000 i XP jest podobna posłużę się Windows 2000 (sic! – akurat teraz przy takim siedzę).

Budowanie zasad konsoli
Odpalamy pustą konsolę MMC (Start – Uruchom… i wpisujemy mmc. Pojawia się nowa konsola zarządzania
1 konsola1
Klikamy na menu Konsola i wybieramy Dodaj/Usuń przystawkę…, w następnym oknie, w zakładce Autonomicznaklikamy na przycisk Dodaj… i z listy przystawek autonomicznych wybieramy Zarządzanie zasadami zabezpieczeń IP i klikamy Dodaj
2 zarzzas

W następnym oknie zaznaczamy Komputer lokalny i klikamy Zakończ. Po tych ustawieniach nowa konsola powinna wyglądać mniej więcej tak:
3 newkonsola
W lewym panelu konsoli klikamy PPM na Zasady zabezpieczeń IP w Komputer lokalny i wybieramy menu Zaządzanie akcjami filtrowania, w zakładce widać Zarządzanie akcjami filtrowania
4 filterlist
widać wstępnie zdefiniowane filtry, pojmijamy je i klikamy Dodaj…, w oknie Kreatora akcji filtru klikamy na Dalej a w kolejnym oknie wpisujemy nazwę akcji, np. zablokuj, jeśli chcemy możemy dodać opis akcji filtru, w kolejnym oknie zaznaczamy Zablokuj, Dalej i w kolejnym oknie Zakończ. Zamykamy również okno Zarządza listami IP i akcjami filtrów.
5 zarz filtr
Po powrocie do konsoli znów klikamy PPM w lewym panelu na Zasady zabezpieczeń IP w Komputer lokalny i wybieramy menu Utwórz zasadę zabezpieczeń IP, w pierwszym oknie kreatora klikamy Dalej, w kolejnym oknie wpisujemy nazwę zasad zabezpieczeń IP, np. Firewall a w kolejnych oknach klikamy Dalej. W oknie, które się pojawi
6 firewall prop
odznaczamy Uzyj kreatora dodawania oraz w sekcji Reguły zabezpieczeń IP oznaczamy Dynamiczny i klikamy Dodaj…. Powinno pojawić się poniższe okno
7 wlaciwosci reguly
Stworzymy teraz najprostszą regułę, która zablokuje cały ruch wychodzący i przychodzący zarówno ICMP jak i IP. Na początek przechodzimy do zakładki Typ połączenia i wybieramy dla jakich połączeń mają być dane zasady. Następnie wracamy do zakładki Lista filtrów IP zaznaczamy Cały ruch ICMP i przechodzimy do zakładki Akcja filtru i zaznaczamy wcześniej stworzoną akcję filtru zablokuj, klikamy Zastosuj, znów przechodzimy do zakładki Lista filtrów IP i tym razem zaznaczamy Cały ruch IP, przechodzimy do zakładki Akcja filtru i zaznaczamy zablokuj a następnie Zastosuj. Możemy pozamykać wszystkie okienka za wyjątkiem przystawki konsoli, którą wypadałoby zapisać. Wybieramy menu Konsola lub w Windows XP Plik i wybieramy Zapisz jako i podajemy lokalizację do zapisu.

Oczywiście jak na razie stworzona przez nas reguła zabezpieczeń na razie nie działa. Aby ją uaktywnić klikamy PPM na stworzoną regułę (Firewall) i klikamy menu Przypisz.
8 przypisz
No i od tej chwili nasz komputer jest głuchy, tzn. istnieje połączenie sieciowe, jednak żadne pakiety przychodzące i wychodzące nie są przepuszczane (zgodnie z regułą, którą tworzyliśmy zablokowaliśmy cały ruch sieciowy). Komputer nie będzie odpowiadał na ping, tracert, nie można dostać się poprzez dostęp zdalny itp. Aby powrócić do stanu poprzedniego klikamy PPM na regułę i wybieramy Cofinij przypisanie.

Ilość komentarzy: 11 do “Firewall w Windows”

  1. […] Artykuł Firewall w Windows jak na razie jest wstępem do konfiguracji i towrzenia podstawowych reguł. Jednak w najbliższym czasie postaram się pokazać w jaki sposób dodać wyjątki pozwalające na przeglądanie sieci LAN, itp. […]

  2. […] Firewall w Windows by Fascik […]

  3. Bardzo bardzo dobry art, czekam na dalszy ciąg

  4. Będzie, będzie :-) Tylko jak się okazuje nie jest to takie proste… :-) ale jest do zrobienia….jak sam mówisz czasem trzeba prowokować problemy. No i tak się stało, że i ja to zrobiłem, jeśli chodzi o filtrowanie np. LAN to jest trochę kombinacji ale jest wykonalne, bo trzeba przefiltrować zarówno TCP jak i UDP. Niedługo to napiszę… no i w końcu odejdzie problem w Windows i kontami użytkowników i odpowiednim przydziałem usług i portów :)

  5. Zabrakło mi w tym artykule informacji, jak się on ma do strony http://homepages.wmich.edu/~mchugha/w2kfirewall.htm

    Czy artykuł nie jest przypadkiem jej tłumaczeniem ? Jeśli tak, dobrym zwyczajem jest umieszczenie informacji o źródle.

    pozdrawiam

  6. Nie znałem tej strony, a artykuł oparłem na KB Microsoftu, m.in. na: KB 313190 oraz na KB 813878.

    Faktycznie mój artykuł może wydać się podobny, a samo budowanie zasad IPSec jest identyczne czy to w polskim windows czy angielskim.

  7. Co do podobieństw to można np. artykuł o łączeniu Nokii 7650 i używanie jej jako modemu GPRS, czy też rozdzielacz LAN, czy nawet Zapora systemu Windows i jej zdalne włączanie. Te artykuły również pewnie gdzieś się znajdą w Internecie. Będą podobne lub o tej samej tematyce….

  8. Witaj

    Ja korzystam troche z uproszczonego sposobu
    mianowice z programiku konsolowego -IPSECPOL.exe

    kiedy chce przyblokowac jakis port uzywam w nim polecenia

    ipsecpol.exe -w REG -p “moj firewall” -r “Block Inbound TCP 139 Rule” -f *=0:139:TCP -n BLOCK

    i juz mamy gotowa regulke z nowa przystawka zabezpieczen o nazwie “moj firewal”
    i tak po koleji mozna w ten sposob zablokowac wybrane porty ktore uznamy za zbedne.lub stworzyc plik firewall.cmd i wpisac wszystkie polecenia po czym uruchomic.Po uruchomieniu mozna eksportowac taka przystawke mmc i ewentualnie wykorzystac na drugim komupterze.Warto stworzyc rowniez plik wsadowy ktory by wylaczal wybrane fitry, w przeciwnym wypadku za kazdym razem musilibsmy uruchamiac konsole mcc i recznie odblokowac port ktory jest nam w danej chwili potrzebny.

    Duzo na ten temat mozna znazlezsc na stronie microsoftu.

    Mnie interesuje jednak czy jest mozliwosc aby blokowal pakiety przychodzace na danym porcie, a nie blokowal wychodzacych?.

    pozdrawiam

    Greg

  9. a jednak mozna,troche poszperalem i znalazlem

    opis na stronie ms

    http://support.microsoft.com/kb/813878/PL/

  10. greg – dzięki za cenne info. Popatrzę i potestuję. Jakoś ostatnio przestałem się bawić zaporą i ipseciem… ale pewnie w porze jesiennej zabawa powróci. :-)

  11. […] 1634Racine wrote: > a gdzie niby jest ten firewall w w2k, ktorego klucz niewatpliwie istnieje? http://www.promanski.info/?page_id=174 http://www.pcworld.pl/artykuly/29308.html — "Jeeli kto uderzy ci w policzek, kopnij go w […]

Zostaw odpowiedź