Zniechęcony programami firm trzecich postanowiłem ustawić
wbudowaną zaporę Windows 7. Czy ktoś z Was zna jakieś
strony ze wskazówkami co do szczegółów ustawień. Chodzi
mi np. o połączenia wychodzące - domyślnie wszystkie są dozwolone.
Może jest zestaw reguł dla systemu które powinno się dopuścić
(plus używane programy, oczywiście), a wszystko inne zablokować.
Poza tym, jest sporo pre-definiowanych reguł połączeń przychodzących
i wychodzących - co z nimi zrobić, zablokować nieużywane?
Czy ICMP powinno się wyłączyć z IPsec? Itd., jest sporo pytań...
ICMP możesz nie wyłączać, ale jeśli jednak mimo wszystko chcesz wyłączyć to tylko przychodzące ICMP Echo Request (typ 8 kod 0). W systemach z bardziej rozbudowanymi możliwościami sieciowymi jak Linuks polecany jest tylko rate limiting na ICMP, ale tego się chyba nie zrobi na wbudowanym firewallu w Windows.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze" "Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
ICMP możesz nie wyłączać, ale jeśli jednak mimo wszystko chcesz wyłączyć to tylko przychodzące ICMP Echo Request (typ 8 kod 0). W systemach z bardziej rozbudowanymi możliwościami sieciowymi jak Linuks polecany jest tylko rate limiting na ICMP, ale tego się chyba nie zrobi na wbudowanym firewallu w Windows.
Wbrew pozorom, zapora Windows 7 ma sporo możliwości konfiguracyjnych.
Można blokować dowolne ICMP; tu są wskazówki:
Co ze szczegółami poleciłbyś zablokować / ew. zezwolić? Gdzie jest ten rate limiting
w polskich ustawieniach? Co zablokować z opcji podanych na załączonych obrazkach
(dla ICMPv4 i ICMPv6) oraz danego typu i kodu (typ: od 0 do 255, kod: od 0 do 255).
I jeszcze jedna rzecz - zablokowałem globalnie połączenia wychodzące, tworząc reguły
zezwalające na połączenie dla używanych programów oraz Windows Update i Czas systemu Windows
dla systemu. W ten sposób zablokowane są wszystkie wychodzące ICMP, włącznie
z pingiem, co sprawdziłem pingując do routera (192.168.0.1). Czy tak może zostać,
czy lepiej dopuścić jakieś wychodzące ICMP (i ew. inne połączenia)? I może jakieś
porty zablokować - wychodzące i/lub przychodzące?
Gdzie jest ten rate limiting
w polskich ustawieniach?
Nie wiem czy jest w ogóle w Windowsowym Firewallu taka możliwość. Rate limiting polega na tym, że po pewnej progowej liczbie pakietów w jednostce czasu następne są blokowane. Np można otrzymać 5 pakietów ICMP typ 3 kod 4 w sekundę, które zostaną dozwolone, ale 6ty i następne są blokowane.
OK, dzięki. A pozostałe pytania? Zależy mi na dobrej jakości połączenia
internetowego. Mam neta od UPC. i stanu 'stealth' dla portów i tak nie osiągnę,
choćbym w kompie wszystko poblokował, bo ich router Technicolor tego nie zapewnia...
19.02.2020, 22:04 (Ten post był ostatnio modyfikowany: 20.02.2020, 08:07 przez wojek.)
Ja mam ten sam router od ok. 5 lat. Nieźle działa w sumie,
wyciągam po kablu prawie 250 Mb/s, ale przy zmianie taryfy np. na 500 Mb/s
dają już nowy router... Pamiętam czasy kiedy w firmie połączenie
modemowe miało ok. 4 kb/s. Czyli ponad 60.000 razy mniejszą prędkość.
Co do ICMP, to pogrzebałem w necie i znalazłem taki artykuł:
który zaleca kilka zezwalających reguł dla ICMP.
Przez pewien krótki czas miałem całkowicie zablokowane ICMP w obie strony,
i zacinały mi się filmiki na youtubie, nie wiem czy to akurat była zbieżność z większym
ruchem ma youtubie, czy faktycznie wina całkowicie zablokowanego ICMP.
Ja mam ten sam router od ok. 5 lat. Nieźle działa w sumie,
wyciągam po kablu prawie 250 Mb/s, ale przy zmianie taryfy np. na 500 Mb/s
dają już nowy router... Pamiętam czasy kiedy w firmie połączenie
modemowe miało ok. 4 kb/s. Czyli ponad 60.000 razy mniejszą prędkość.
Co do ICMP, to pogrzebałem w necie i znalazłem taki artykuł:
który zaleca kilka zezwalających reguł dla ICMP.
Przez pewien krótki czas miałem całkowicie zablokowane ICMP w obie strony,
i zacinały mi się filmiki na youtubie, nie wiem czy to akurat była zbieżność z większym
ruchem ma youtubie, czy faktycznie wina całkowicie zablokowanego ICMP.
Ping of death to już przestarzała technika, wątpię by jakiś OS był na to nie odporny. Ogólnie systemy są od jakichś 20 lat odporne na większość ataków z użyciem ICMP pomijając zalewanie dużą ilością ICMP (flood i podobne). Przed tym można do pewnego stopnia zabezpieczyć się rate-limitingiem. Do pewnego stopnia bo w niektórych przypadkach typu duży DoS/DDoS natomiast nic nie zdziałasz software'owym firewallem. Inna sprawa, że jeśli nie masz serwera tylko zabezpieczasz desktop to wątpię, by ktoś chciał robić duży DDoS.
Jeśli chodzi o sieci IPv4 to najbardziej przydatne IMHO jest odblokowanie ICMP 3/4 (message type 3 code 4). Jeśli używasz polecenia ping to chyba potrzebny jest w Windowsie ICMP 0/0, ale nie wiem czy nie zostanie wpuszczony na podstawie tablicy stanów. Oczywiście obie reguły dla przychodzących (inbound).
Dla sieci IPv6 wypadałoby odblokować jeszcze kilka ICMPv6, bo niektóre metody ustalania adresu IP są oparte na ICMPv6.