+- SafeGroup (https://safegroup.pl)
+-- Dział: Forum ogólne (https://safegroup.pl/forum-6.html)
+--- Dział: Windows (https://safegroup.pl/forum-18.html)
+--- Wątek: Zapora Windows 7 (Pro) (/thread-12085.html)
Zapora Windows 7 (Pro) - wojek - 15.02.2020
Zniechęcony programami firm trzecich postanowiłem ustawić
wbudowaną zaporę Windows 7. Czy ktoś z Was zna jakieś
strony ze wskazówkami co do szczegółów ustawień. Chodzi
mi np. o połączenia wychodzące - domyślnie wszystkie są dozwolone.
Może jest zestaw reguł dla systemu które powinno się dopuścić
(plus używane programy, oczywiście), a wszystko inne zablokować.
Poza tym, jest sporo pre-definiowanych reguł połączeń przychodzących
i wychodzących - co z nimi zrobić, zablokować nieużywane?
Czy ICMP powinno się wyłączyć z IPsec? Itd., jest sporo pytań...
RE: Zapora Windows 7 (Pro) - bluszcz - 15.02.2020
ICMP możesz nie wyłączać, ale jeśli jednak mimo wszystko chcesz wyłączyć to tylko przychodzące ICMP Echo Request (typ 8 kod 0). W systemach z bardziej rozbudowanymi możliwościami sieciowymi jak Linuks polecany jest tylko rate limiting na ICMP, ale tego się chyba nie zrobi na wbudowanym firewallu w Windows.
RE: Zapora Windows 7 (Pro) - ichito - 16.02.2020
Może to?
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
I takie jeszcze obcojęzyczne
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
RE: Zapora Windows 7 (Pro) - wojek - 16.02.2020
Dzięki!
RE: Zapora Windows 7 (Pro) - wojek - 19.02.2020
(15.02.2020, 20:01)bluszcz napisał(a):[Aby zobaczyć linki, zarejestruj się tutaj]
ICMP możesz nie wyłączać, ale jeśli jednak mimo wszystko chcesz wyłączyć to tylko przychodzące ICMP Echo Request (typ 8 kod 0). W systemach z bardziej rozbudowanymi możliwościami sieciowymi jak Linuks polecany jest tylko rate limiting na ICMP, ale tego się chyba nie zrobi na wbudowanym firewallu w Windows.
Wbrew pozorom, zapora Windows 7 ma sporo możliwości konfiguracyjnych.
Można blokować dowolne ICMP; tu są wskazówki:
[Aby zobaczyć linki, zarejestruj się tutaj]
Co ze szczegółami poleciłbyś zablokować / ew. zezwolić? Gdzie jest ten rate limiting
w polskich ustawieniach? Co zablokować z opcji podanych na załączonych obrazkach
(dla ICMPv4 i ICMPv6) oraz danego typu i kodu (typ: od 0 do 255, kod: od 0 do 255).
I jeszcze jedna rzecz - zablokowałem globalnie połączenia wychodzące, tworząc reguły
zezwalające na połączenie dla używanych programów oraz Windows Update i Czas systemu Windows
dla systemu. W ten sposób zablokowane są wszystkie wychodzące ICMP, włącznie
z pingiem, co sprawdziłem pingując do routera (192.168.0.1). Czy tak może zostać,
czy lepiej dopuścić jakieś wychodzące ICMP (i ew. inne połączenia)? I może jakieś
porty zablokować - wychodzące i/lub przychodzące?
RE: Zapora Windows 7 (Pro) - bluszcz - 19.02.2020
(19.02.2020, 00:18)wojek napisał(a):Nie wiem czy jest w ogóle w Windowsowym Firewallu taka możliwość. Rate limiting polega na tym, że po pewnej progowej liczbie pakietów w jednostce czasu następne są blokowane. Np można otrzymać 5 pakietów ICMP typ 3 kod 4 w sekundę, które zostaną dozwolone, ale 6ty i następne są blokowane.[Aby zobaczyć linki, zarejestruj się tutaj]
Gdzie jest ten rate limiting
w polskich ustawieniach?
RE: Zapora Windows 7 (Pro) - wojek - 19.02.2020
OK, dzięki. A pozostałe pytania? Zależy mi na dobrej jakości połączenia
internetowego. Mam neta od UPC. i stanu 'stealth' dla portów i tak nie osiągnę,
choćbym w kompie wszystko poblokował, bo ich router Technicolor tego nie zapewnia...
RE: Zapora Windows 7 (Pro) - M'cin - 19.02.2020
Możesz spytać o zmianę, u rodziny i znajomych UPC śmiga na CISCO.
RE: Zapora Windows 7 (Pro) - wojek - 19.02.2020
Ja mam ten sam router od ok. 5 lat. Nieźle działa w sumie,
wyciągam po kablu prawie 250 Mb/s, ale przy zmianie taryfy np. na 500 Mb/s
dają już nowy router... Pamiętam czasy kiedy w firmie połączenie
modemowe miało ok. 4 kb/s.
Czyli ponad 60.000 razy mniejszą prędkość.Co do ICMP, to pogrzebałem w necie i znalazłem taki artykuł:
[Aby zobaczyć linki, zarejestruj się tutaj]
który zaleca kilka zezwalających reguł dla ICMP.
Przez pewien krótki czas miałem całkowicie zablokowane ICMP w obie strony,
i zacinały mi się filmiki na youtubie, nie wiem czy to akurat była zbieżność z większym
ruchem ma youtubie, czy faktycznie wina całkowicie zablokowanego ICMP.
RE: Zapora Windows 7 (Pro) - bluszcz - 20.02.2020
(19.02.2020, 22:04)wojek napisał(a):Ping of death to już przestarzała technika, wątpię by jakiś OS był na to nie odporny. Ogólnie systemy są od jakichś 20 lat odporne na większość ataków z użyciem ICMP pomijając zalewanie dużą ilością ICMP (flood i podobne). Przed tym można do pewnego stopnia zabezpieczyć się rate-limitingiem. Do pewnego stopnia bo w niektórych przypadkach typu duży DoS/DDoS natomiast nic nie zdziałasz software'owym firewallem. Inna sprawa, że jeśli nie masz serwera tylko zabezpieczasz desktop to wątpię, by ktoś chciał robić duży DDoS.[Aby zobaczyć linki, zarejestruj się tutaj]
Ja mam ten sam router od ok. 5 lat. Nieźle działa w sumie,
wyciągam po kablu prawie 250 Mb/s, ale przy zmianie taryfy np. na 500 Mb/s
dają już nowy router... Pamiętam czasy kiedy w firmie połączenie
modemowe miało ok. 4 kb/s.
Co do ICMP, to pogrzebałem w necie i znalazłem taki artykuł:
[Aby zobaczyć linki, zarejestruj się tutaj]
który zaleca kilka zezwalających reguł dla ICMP.
Przez pewien krótki czas miałem całkowicie zablokowane ICMP w obie strony,
i zacinały mi się filmiki na youtubie, nie wiem czy to akurat była zbieżność z większym
ruchem ma youtubie, czy faktycznie wina całkowicie zablokowanego ICMP.
Jeśli chodzi o sieci IPv4 to najbardziej przydatne IMHO jest odblokowanie ICMP 3/4 (message type 3 code 4). Jeśli używasz polecenia ping to chyba potrzebny jest w Windowsie ICMP 0/0, ale nie wiem czy nie zostanie wpuszczony na podstawie tablicy stanów. Oczywiście obie reguły dla przychodzących (inbound).
Dla sieci IPv6 wypadałoby odblokować jeszcze kilka ICMPv6, bo niektóre metody ustalania adresu IP są oparte na ICMPv6.
RE: Zapora Windows 7 (Pro) - wojek - 20.02.2020
Dzięki, powoli to ogarniam.
Co do IPv6, to trzeba odblokować ICMPv6 zezwalając na NDP and SLAAC (IPv6).
Tylko czy przychodzące? Raczej wychodzące?
Cytat:These ICMPv6 types should be permitted within your network (not across your border) in order for these features of IPv6 to function correctly.
Czyli outbound, i typ interfejsu - sieć lokalna?