Ср, 20.09.2017, 03:23
Форум інформатиків України
Головна Реєстрація Вхід
Вітаю Вас, Гість · RSS
Вітання на форумі
Незнайомець
Вітаємо на форумі,
Незнайомцю!

   
зареєструйтесь
Перед реєстрацією обов’язково прочитайте:
Оновлення Учасники Пошук
Особисті повідомлення
Видавництво ’’Аспект’’ Видавництво

Сторінка 1 з 11
Модератор форуму: Bandalak, Ktara, НІКОЛЯ, volevikt 
Форум інформатиків » РОЗДІЛ ІХ: ІНТЕРНЕТ, МЕРЕЖІ, ХОСТІНГ » 9.8 Рубрика системного адміністратора » Полноценный IP-firewall средствами Windows
Полноценный IP-firewall средствами Windows
Andrey123q Дата: Ср, 24.11.2010, 00:00 | Повідомлення № 1
Досвідчений учасник
Повідомлень: 1236
Нагороди: 3
Рейтинг: 84
Недавно наткнулся на очень интересную статью, думаю многим будет интересно:

------------
Win зажигает огни
ЕЛИЗАРОВ СЕРГЕЙ АКА ABADONNA (AOLHACKERS@GMAIL.COM; WWW.AOLHACKERS.RU)

Спецвыпуск: Хакер, номер #063, стр. 063-032-1

ПОЛНОЦЕННЫЙ IP-FIREWALL СРЕДСТВАМИ WINDOWS ЗА 15 МИНУТ
В ЭТОЙ СТАТЬЕ ПОЙДЕТ РЕЧЬ О ПОСТРОЕНИИ ПОЛНОЦЕННОГО IP-ФАЙРВОЛА С ПОМОЩЬЮ ВСТРОЕННЫХ СРЕДСТВ ОПЕРАЦИОННОЙ СИСТЕМЫ WINDOWS. БУДЕМ ИСПОЛЬЗОВАТЬ НЕТРИВИАЛЬНЫЙ ПОДХОД, А ИМЕННО ПОЛИТИКИ БЕЗОПАСНОСТИ И МОДУЛЬ KERBEROS. ЭТОТ МЕТОД ОТЛИЧАЕТСЯ ПРОСТОТОЙ, ЛЕГКОСТЬЮ И, ГЛАВНОЕ, СКОРОСТЬЮ. ПРИ ОПРЕДЕЛЕННОМ ОПЫТЕ ТЫ СМОЖЕШЬ НАСТРОИТЬ ПОДОБНЫЙ ФАЙРВОЛ ПРИМЕРНО ЗА 15 МИНУТ

Зачем нужен IP-файрвол? Мы прекрасно представляем себе, сколько денег нужно потратить на приобретение хорошего персонального файрвола от сторонних производителей. Мы честные люди и используем только лицензионный софт, а годовая лицензия приличного файрвола стоит порядка $40. Однако если потрудиться немного, то можно без денежных затрат получить полноценный и рабочий IP-файрвол.

На чем это работает? Метод работает на всех операционных системах семейства Windows 2000 и «старше».

Шаг 1: создадим новую политику безопасности ip
«Пуск»-> «Выполнить»-> secpol.msc — откроется окно настроек локальных политик безопасности, где нас интересует только политика безопасности IP. Выбираем ее и видим три предустановленные неактивные политики. Активность той или иной политики определяется по значению в поле «Назначенная политика»: если напротив политики стоит «Да», то она назначена и работает, и, соответственно, наоборот. Предустановленные политики нам не нужны, смело удаляем их. Затем в девственно чистом поле политик кликнуть правой кнопкой и выбрать «Создать политику безопасности IP».

Открылся стандартный microsoft'овский мастер по типу Next-> Finish — он приветствует нас, мы тоже радостно поприветствуем его :). Здесь жмем «Далее», после чего открывается окно с полем для названия нашей политики: называй ее как хочешь, например «Великая китайская огненная стена». Далее нажать кнопку «Далее», нигде ничего не изменять, оставить все настройки по умолчанию, на все вопросы отвечать «Да» до тех пор, пока не появится окошко с кнопкой «Готово», — нажмем на нее, чтобы попасть в следующий этап строительства стены.

Если все было сделано правильно, появится окошко с заголовком «Свойства: Великая китайская огненная стена» или «Свойства: То название, которое было навеяно твоей фантазией, когда ты называл свою политику».

Шаг 2: создаем блокирующее действие для фильтра
Внизу на этом окне есть три кнопки: «Добавить», «Изменить» и «Удалить». В окне присутствует один-единственный фильтр с названием «Динамический». Пока оставим его в покое — нам нужны наши собственные фильтры. Я думаю, люди уже порядком устали от «мастеров» by Microsoft, поэтому убираем галочку «Использовать мастер» и жмем кнопку «Добавить». Появляется окно настроек.

Здесь нас интересуют только две вкладки, а именно «Список Фильтров IP» и «Действие фильтра». В остальных папках оставим настройки по умолчанию. Прежде чем создавать фильтры, создадим действия файрвола, которые мы будем применять к нашим фильтрам. Для этого зайди во вкладку «Действие фильтра»: как видишь, действие «Разрешить» уже существует. В наличии имеются еще два малоприменимых действия фильтров, они не нужны, можно удалить их.

У нас нет только главного действия, очень необходимого, — это «Запрет», который создается вот так: отказаться от использования мастера и нажать «добавить». Затем в открывшемся окне настроек выбрать «Общие» — там назвать наше действие, например «block» (хотя название должно быть подсказано твоей фантазией), и главное — запомнить, что это действие будет блокировать соединения. Действие названо, теперь нужно возвратиться ко вкладке «Методы безопасности» и из предлагаемых вариантов действий выбрать действие «Блокировать». Применить изменения. В итоге в нашем инструментарии появилось новое действие.

Шаг 3: запрещаем весь трафик
И вот мы готовы к созданию самой системы фильтрации трафика. В первую очередь нужно запретить весь трафик, или, иными словами, запретить все — не закрывая окно с настройками фильтров, перейди во вкладку «Список фильтров IP». Здесь, как ты видишь, есть два предустановленных фильтра: «Полный ICMP-трафик» и «Полный IP-трафик». Выбрать «Полный IP-трафик», перейти во вкладку «Действие фильтра», выбрать созданный «block» и применить изменения, нажать ОК. Ура! У нас блокируется весь трафик .

Шаг 4: открываем icpm-поток
Затем нужно открыть порты, необходимые для повседневной работы. Рассмотрим на примере, как это делается. В том же окне нажать «Добавить», перед нами опять два варианта фильтров. Например, нам нужно, чтобы к нам и от нас могли «летать» ICMP-пакеты, тогда выбираем «Полный ICMP-трафик», переходим во вкладку «Действие фильтра», выбираем действие «Разрешить». Вуаля! На нашей станции разрешены ICMP-пакеты.

Шаг 5: учимся открывать нужные порты на примере портов для lan
Пинги пингами, но как же остальное? Для остального создают отдельные фильтры. Например, можно создать фильтр для того, чтобы разрешить работу в локальной сети. В окне «Свойства»-> «Новое правило» еще раз жмем кнопку «Добавить». Открылось окно «Список фильтров IP». Еще раз по кнопке «Добавить», не забыв убрать галочку напротив надписи «Использовать мастер».

Внизу мы видим галочку напротив надписи «Отраженный» — так называемая «обратка», и если в ней стоит галочка, то правило распространится и на пакеты с полностью противоположными адресами. Для нашей задачи нужно открыть 137, 138, 139, 445 порты по TCP- и по UDP-протоколам. Создадим фильтр для протокола TCP по 137-му порту. Поля источника и назначения во вкладке «адресация» оставить по умолчанию (а именно источник — это наша станция, назначаем любой адрес), перейти во вкладку «Протокол», выбрать протокол TCP и вписать в графу порт 137, нажать ОК (см. рис. 7).

Вот и все. Фильтр для 137-го порта TCP-протокола создан, далее повторяем те же действия, только протокол будет не TCP, а UDP. Порт остается такой же.

По аналогии создаются фильтры для остальных портов. Ты уже создал фильтры для портов 137, 138, 139, 445 по протоколам TCP и UDP — всего их будет восемь.

Жмем ОК, возвращаемся в уже знакомое на окно «Свойства: новое правило» во вкладке «Действие фильтра» выбираем «Разрешить». И вот уже правило для разрешения работы с локальной вычислительной сетью готово. По аналогии создаются остальные нужные фильтры.

Шаг 6: назначаем политику, наслаждаемся результатом
Если созданы все фильтры и назначены действия к ним, мы готовы тестировать, для чего в окне «Локальные параметры безопасности» правой кнопкой нажмем на свою свежую политику и выберем «Назначить». Загорится «Да» в графе «Назначенные политики», следовательно, политика вступила в силу. И, соответственно, ты можешь начать наслаждаться результатом.

Учимся обновлять политику безопасности IP
Кроме вкладки с правилами, в свойствах нашей политики есть вкладка «Общие», где можно установить интервал времени, через который будут проводиться проверки политики на наличие изменений. По умолчанию интервал составляет три часа.

Можно сократить интервал до одной минуты, но все равно придется довольно долго ждать, пока применится политика. Так что при внесении изменений в политику я рекомендую перезагружать ее, то есть снимать политику и снова назначать ее, чтобы изменения вступили в силу.

Заключение
Не могу не написать и об очевидных недостатках данного метода. Судя по логике построения фильтрации, здесь фильтруется только заголовок пакета, содержимое его анализу не подвергается. Плохо и то, что этот метод не позволяет вести логи соединений. И наконец, метод скоро станет устаревшим: после выхода операционной системы Microsoft Windows Vista на наши консоли этот метод будет напрямую вшит в настройках сети, и тогда станет возможным при присвоении IP-адреса интерфейсу сразу же настраивать фильтрацию заголовков пакетов. Кстати, сделать именно так — намного удобнее, чем в бесконечных «мастерах», которые, по-моему, только тормозят работу, связанную со всяческими настройками

Обычно используемые в работе порты:

DNS: Протокол UPD — Port 53
WEB: Протокол TCP — Port 80
FTP: Протокол TCP — Port 20 и 21
SMTP: Протокол TCP — Port 25
POP3: Протокол TCP — Port 110
IMAP: Протокол TCP — Port 143
ICQ: Протокол TCP — Port зависит от настройки сервера ICQ, обычно это 5190
IRC: Протокол TCP — Port также зависит от настроек сервера IRC, обычно это 6667
SSH: Протокол TCP — Port 443
------------
http://www.xakep.ru/magazine/xs/063/032/1.asp

Проверено, работает :)

Додано (23.11.2010, 23:00)
---------------------------------------------
Несколько скринов:


offside Дата: Ср, 24.11.2010, 20:57 | Повідомлення № 2
Тут живе...
Повідомлень: 127
Нагороди: 1
Рейтинг: 9
Цікаво. Нада буде спробувати.
Форум інформатиків » РОЗДІЛ ІХ: ІНТЕРНЕТ, МЕРЕЖІ, ХОСТІНГ » 9.8 Рубрика системного адміністратора » Полноценный IP-firewall средствами Windows
Сторінка 1 з 11
Пошук:


© Форум інформатиків України, 2007-2017.