Реферати українською » Информатика, программирование » Тонка настроювання Windows Firewall в Windows XP SP2


Реферат Тонка настроювання Windows Firewall в Windows XP SP2

Страница 1 из 2 | Следующая страница

Дев'ять нових параметрів Group Policy відповідні команди

У статті, що у попередньому числі журналу, вже розповідав про брандмауэре Windows Firewall, компоненті пакета оновлень Windows XP Service Pack 2 (SP2), колишні версії були відомі як Internet Connection Firewall (ICF). У цій статті я докладніше зупинюся в цій програмі і покажу, як підготувати її до роботи на конкретної мережі. У моєму розпорядженні було лише попередня версія SP2, в остаточну редакцію можуть бути зміни.

Отже, розглянемо дев'ять нових параметрів Group Policy для Windows Firewall відповідні команди. Параметри Windows Firewall зберігаються у папці Computer Configuration Administrative Templates Network Network Connections Internet Connection Firewall. У цьому папці є дві подпапки: Domain Profile і Mobile Profile. Параметри політики Domain Profile активізуються за комп'ютером з установленою Windows Firewall, коли цей комп'ютер реєструється в домені; інакше вибираються параметри Mobile Profile. Обидві подпапки містять однаковий набір з країн параметрів політики.

У статті йшлося і про першому параметрі, Operational Mode. Цей параметр забезпечує три режиму: Disabled відключає брандмауэр, Protected активізує брандмауэр, а Shielded активізує брандмауэр, але комп'ютер виявляється більш ізольованим від мережі, ніж у режимі Protected, що дозволяє відкрити певні порти. Щоб перевести комп'ютер в режим Disabled, Protected чи Shielded, слід скористатися командою

netsh firewall ipv4 set opmode

з ключем disabled, enabled чи shield. позначення в командної рядку іноді від назв відповідних параметрів Group Policy. Отже, щоб надійно захистити мережевий адаптер, слід також запровадити команду

netsh firewall ipv4 set opmode shield

Цю команду зручно залучити до командному файлі. Можна створити для командного файла ярлик робочому столі, назвавши його Shield this System, щоб було двічі клацнути у ньому за будь-яких ознаках небезпеку мережі. З допомогою команди

netsh firewall ipv4 show opmode

можна почути режим брандмауэра.

Зміна параметрів брандмауэра

Властивості наступного параметра політики Windows Firewall - Allow User Preference/Group Policy Settings Merge ні зрозумілі. У документації Windows Firewall вказується, що з допомогою даного параметра локальні адміністратори можуть невпізнанно змінити режим брандмауэра. Але чому означає слово "змінити" - ввімкнути чи вимкнути брандмауэр або налаштувати його, відкриваючи і закриваючи порти? У разі "змінити" має друге значення: з допомогою даної політики локальний адміністратор може відкрити чи закрити порт, але з скасувати режим Disabled, Protected чи Shielded, встановлений доменної політикою (передбачається, що доменна політика для Windows Firewall існує). Якщо політиці заданий режим Disabled, то локальний адміністратор неспроможна управляти роботою брандмауэра.

Плутанина починається, якщо локальний адміністратор намагається скасувати параметри Windows Firewall, задані об'єктом Group Policy Object (GPO). У у відповідь команду

netsh firewall ipv4 set opmode disable

отримають результат OK, й така команда Netsh Firewall повідомить, що брандмауэр відключений. Проте, зазирнувши в властивості мережного адаптера в папці Network Connections, помітні, що брандмауэр активний. Кілька тестів показують, що графічного інтерфейсу чи реальні: переважають доменні параметри. Сподіватимемося, що у остаточної версії ці недоліки буде виправлено.

Але не можна завжди покладатися на діалогові вікна. Якщо привласнити параметру Allow User Preference/Group Policy Settings Merge значення Disabled, то колір вікна стає сірим, а перемикачі для активізації і відключення Windows Firewall перестають діяти. Такий їхній підхід розумний. Але спробуйте активізувати параметр, та був повернутися екрана настройки Windows Firewall. Кнопки для включення і вимикання брандмауэра доступні. Якщо клацнути одній із них, та був на OK, то, на екрані не з'явиться повідомлення про помилку, а й змін теж станеться. Проте локальний адміністратор може відкривати і закривати порти з допомогою командної рядки чи gpedit.msc. Для параметра політики Allow User Preference/Group Policy Settings Merge еквівалента командної рядки немає.

Відкриваємо порти для програм

Наступний параметр політики - перший із семи параметрів, з допомогою яких можна відкрити чи (деяких випадках) закрити конкретний порт. Відкриваючи брандмауэр для проходження певного типу трафіку (наприклад, Web-трафика, даних аутентифікації Active Directory чи завантаження електронної пошти), важко сказати, який порт необхідний цього трафіку. Завдання спрощується завдяки параметру політики Define Allowable Programs. За умовчанням Windows Firewall блокує непрошений вхідний трафік, але з вихідний. Такий їхній підхід прийнятний, якщо робоча станція функціонує як клієнт, який ініціює обмін даними (наприклад, просячи поштовий сервер про наявність повідомлень чи Web-сервер - про інформацію). Але не спрацьовує, якщо робоча станція надає служби іншим комп'ютерів мережі, наприклад, якби робочої станції розміщений поштовий сервер, оскільки брандмауэр блокує спроби клієнтів ініціювати діалог із серверної програмою. Він також непридатний для одноранговых (peer-to-peer, P2P) сполук, як-от Instant Messaging (IM), у яких два чи кілька машин обмінюються даними, виконуючи обов'язки, і клієнтів, і серверів одночасно. Отже, для запуску серверу чи організації сполук P2P необхідно відкрити деякі порти.

Але що саме порти слід відкрити? Щоб відповісти це питання досить вказати конкретну програму параметрі Define Allowable Programs, і Windows Firewall відкриває порти, необхідні даної програми. Користувач вказує в параметрі політики місцезнаходження програми, визначає неї (активне чи блоковане; наприклад, можна скласти політику блокування портів для конкретної програми, Якщо ця програма була "троянським конем", проникшим до мережі) і це відкриває відповідні порти для Internet або тільки для локальної подсети.

Припустимо, що у комп'ютері працює серверна програма C:myprogsserverprog.exe. Невідомо, які порти вона відкриває, але потрібно, щоб ці порти було відкрито лише комп'ютерів тієї подсети, у якій розташований сервер. Потрібно активізувати параметр Define Allowable Programs, потім клацнути на кнопці Show, щоб у екрані з'явилося діалогове вікно для введення інформації про поштовому сервері. У цьому вся діалоговому вікні я ввів рядок

C:myprogsserverprog.exe:LocalSubnet: enabled:E-mail server

що визначає чотири компонента, кожен із яких відділений від інших двокрапкою. Перший компонент - повний шлях до програми. Можна також використовувати перемінні середовища, такі як %ProgramFiles%. Наступний компонент, LocalSubnet, свідчить про необхідність прийняти трафік, входить у порти цього серверу тільки з систем тієї ж подсети. Третій компонент, enabled, дозволяє проходження трафіку. І четвертий компонент, Е-mail server, є просто мітку, яку Windows Firewall може використовувати під час складання звітів. Кількість програм необмежена.

Відкриття конкретних портів

З допомогою інших параметрів відкриваються різні порти. Але не зовсім ясно, чи варто активізувати перший із них, Allow Dynamically Assigned Ports for RPC and DCOM. Я взагалі-то віддаю перевагу інструменти з урахуванням Windows Management Instrumentation (WMI), такі як WMI VBScripts і оснащення Manage Computer консолі Microsoft Management Console (MMC), але для WMI необхідні виклики віддалених процедур (Remote Procedure Calls, RPC). Оснастку Manage Computer не можна використовуватиме дистанційного управління системою без WMI, тому, щоб керувати віддаленими системами з допомогою Manage Computer за чиєї активної Windows Firewall, необхідно активізувати цей параметр. Небезпека відкривання портів для RPC у тому, що впродовж останніх двох років в RPC було знайдено кілька серйозних помилок, одній із яких призвела до пам'ятної атаці MSBlaster. Тому активізація брандмауэра при відкритих портах для RPC - суперечливе рішення; з такою самою успіхом можна замкнути замком всі двері у домі, заради зручності (свого і грабіжників) залишивши відкритим парадний вхід. Як вона та попередній, даний параметр дозволяє відкрити порти всім IP-адрес або тільки для локальної подсети, то такий варіант також дуже вдалий. В багатьох випадках вірус MSBlaster поширювався від зараженого комп'ютера, який хтось приносив на підприємство. Тому перед активізацією даного параметра необхідно старанно все обміркувати.

Як можна і RPC, параметри File and Print Sharing, Remote Assistance Support і Universal Plug and Play можна скасувати або активізувати, а дію активних параметрів обмежити локальної підмережею. Всі ці параметри, крім Remote Assistance Support, можна активізувати з командної рядки з допомогою команди

netsh firewall ipv4 set service

яку слід type=и ім'я служби (наприклад, FILEANDPRINT, RPCANDDCOM чи UPNP) чи scope=с наступними ключами all (всім IP-адрес) і subnet (для локальної подсети). Наприклад, щоб вирішити спільну роботи з файлами і принтерами лише у локальної подсети, слід також запровадити команду

netsh firewall ipv4 set service type=fileandprintscope=subnet

Будь-яку команду можна доповнити ключами profile=и interface=, тому, якщо файл- чи принт-службу потрібно відкрити для проводового Ethernet-соединениия лише у випадках, коли система підключена до домену, слід впровадити команду

netsh firewall ipv4 set service type=fileandprint scope=subnet interface="local area connection" profile=corporate

Group Policy працює із профілями Domain і Mobile, а інструменти командної рядки - з корпоративними та інші профілями.

Залишається два параметра політики. Allow ICMP Settings впливає на підсистему ICMP (Internet Control Message Protocol - протокол управління повідомлення Internet). По суті, для адміністратора важливий лише одне компонент ICMP: Ping. За умовчанням в системах з брандмауэром блокуються все запити ICMP, і тому сигнали эхо-тестирования ігноруються. У Allow ICMP Settings Properties перераховано дев'ять типів запитів ICMP, дозволених брандмауэром Windows Firewall. Для тестування потрібно активізувати лише запит Allow Inbound Echo Request. Цей параметр Демшевського не дозволяє обмежити ICMP-трафик локальної підмережею.

ICMP відкривається з командної рядки:

netsh firewall ipv4 set icmpsetting

з наступним ключем type=и числом (3, 4, 5, 8, 10, 11, 12, 13 чи 17) чи словом all. Номер вказує одне із дев'яти параметрів ICMP, і ми потрібен номер 8 - вхідний запит (incoming echo request). Щоб машина відповідала на сигнали тестування, необхідно провести команду

netsh firewall ipv4 set icmpsetting type=8

Команду можна уточнити з допомогою ключів profile=и interface=.

Як відкрити порт на службу, в даній статті не розглядалася? І тому можна скористатися дев'ятим параметром політики, Define Custom Open Ports. Потім вказати номер порту Windows Firewall, тип порту (TCP чи UDP), область дії (все IP-адреси або тільки локальна подсеть) і дію (активізувати чи блокувати). За бажання порту можна привласнити описове ім'я. Наприклад, для поштового серверу можна відкрити всьому світу порт TCP 25:

25:TCP:*:enabled:SMTP

де 25 - номер порту, TCP - протокол, зірочка (*) відкриває порт всьому світу (як подсети), ключ enabled відкриває, а чи не закриває порт, і SMTP - описова фраза. У командної рядку слід впровадити

netsh firewall ipv4 add portopening

з наступною ключами protocol=(варианты - tcp, udp чи all), port= (з номером), name=(с ім'ям), mode=(enable чи disable) і scope=(all чи subnet). Для активізації поштового серверу слід також запровадити команду

netsh firewall ipv4 add portopening protocol=tcp port=25name=SMTP mode=enable scope=all

Якщо режим не зазначений, то мається на увазі enable (активізований), і якщо не зазначений діапазон scope - мається на увазі subnet (подсеть).

Щоб закрити порт, досить запровадити команду

netsh firewall ipv4 delete portopening

вказавши протокол і номер порту, ідентифікують закрываемый порт. Наприклад, порт поштового серверу закривається командою

netsh firewall ipv4 delete portopening protocol=tcp port=25

У процесі експериментів виникатимуть непорозуміння - порт закрили, та залишається питанням відкритим. Щоб уникнути непорозумінь, слід визначити відмінність між поведінкою брандмауэров, керованих параметром Group Policy і з допомогою командної рядки. Команди, що подаються з командної рядки, зазвичай набирають чинності негайно. Зміни у Group Policy починають діяти згодом. Щоб зміни Group Policy для Windows Firewall брали дію відразу ж потрапляє, слід застосувати команду gpupdate.

Необхідно дочекатися, поки обробка команди завершиться, потім можливість перейти до функції Services в оснастці Manage Computer і перезапустить службу Internet Connection Firewall (у прикінцевій версії ім'я служби то, можливо змінено).

Додаткові можливості командної рядки

Ми розглянули можливості параметрів Group Policy для Windows Firewall, але функції командної рядки ширше. Слід пам'ятати, що Windows Firewall має дві профілю: Domain і Mobile. Припустимо, ми мусимо з'ясувати, який профіль використовують у цей час. Наступна команда показує активний профіль - Domain Profile (corporate) чи Mobile Profile (other):

netsh firewall ipv4 show currentprofile

Команда Set Logging дозволяє більше дізнатися на роботу брандмауэра. Вона має чотири факультативних параметра: Filelocation=показывает брандмауэру, куди записати ASCII-файл журналу, а maxfilesize=задает максимальна величина файла. Розмір файла вказується в кілобайтах, і забезпечити максимальне дозволене значення - 32767. Параметри droppedpackets=и connections=принимают значення enable чи disable і вказують брандмауэру, чи варто реєструвати блоковані й найуспішніші сполуки. Наприклад, щоб записувати як успішні, і блоковані з'єднання перетворені на файлі C:firelog.txt розміром максимум 8 Мбайт, слід впровадити команду

netsh firewall ipv4 set loggingfilelocation="C:firelog.txt"maxfilesize=8192 droppedpackets= enable connections=enable

Журнал то, можливо великим, але якщо треба знайти зломщика, регулярно котрий розпочинає спроби атак, корисно мати повний журнал, у якому відбито всі з'єднання та відмови TCP і UDP. Поставити поточний режим реєстрації можна з допомогою команди

netsh firewall ipv4 show logging

Наступна команда видає вичерпний список параметрів брандмауэра:

netsh firewall ipv4 show config

Замінивши у цій команді ключ config ключем state, можна було одержати докладних відомостей про дії, виконуваних брандмауэром. Щоб самому отримати більш компактний звіт, у якому лише інформацію про відкритих портах, слід замінити config на icmpsetting чи portopening.

Робота з Windows Firewall потрібно освоїти багато новопонять. Проте, якщо системі персонального брандмауэра немає, то Windows Firewall допоможе захистити машину, доведеться лише витратити незначне час створення GPO, щоб відкривати потрібні порти. Вознаграждением для адміністратора

Страница 1 из 2 | Следующая страница

Схожі реферати:

Навігація