Zapora Windows 7 (Pro)
#1
Zniechęcony programami firm trzecich postanowiłem ustawić 
wbudowaną zaporę Windows 7.   Czy ktoś z Was zna jakieś 
strony ze wskazówkami co do szczegółów ustawień.  Chodzi
mi np. o połączenia wychodzące - domyślnie wszystkie są dozwolone.
Może jest zestaw reguł dla systemu które powinno się dopuścić
(plus używane programy, oczywiście), a wszystko inne zablokować.
Poza tym, jest sporo pre-definiowanych reguł połączeń przychodzących
i wychodzących - co z nimi zrobić, zablokować nieużywane? 
Czy ICMP powinno się wyłączyć z IPsec?  Itd., jest sporo pytań...
Odpowiedz
#2
ICMP możesz nie wyłączać, ale jeśli jednak mimo wszystko chcesz wyłączyć to tylko przychodzące ICMP Echo Request (typ 8 kod 0). W systemach z bardziej rozbudowanymi możliwościami sieciowymi jak Linuks polecany jest tylko rate limiting na ICMP, ale tego się chyba nie zrobi na wbudowanym firewallu w Windows.
Odpowiedz
#3
Może to?

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]


I takie jeszcze obcojęzyczne

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#4
Dzięki! Smile
Odpowiedz
#5
(15.02.2020, 20:01)bluszcz napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

ICMP możesz nie wyłączać, ale jeśli jednak mimo wszystko chcesz wyłączyć to tylko przychodzące ICMP Echo Request (typ 8 kod 0). W systemach z bardziej rozbudowanymi możliwościami sieciowymi jak Linuks polecany jest tylko rate limiting na ICMP, ale tego się chyba nie zrobi na wbudowanym firewallu w Windows.

Wbrew pozorom, zapora Windows 7 ma sporo możliwości konfiguracyjnych. 
Można blokować dowolne ICMP; tu są wskazówki:

[Aby zobaczyć linki, zarejestruj się tutaj]


Co ze szczegółami poleciłbyś zablokować / ew. zezwolić?  Gdzie jest ten rate limiting
w polskich ustawieniach?  Co zablokować z opcji podanych na załączonych obrazkach 
(dla ICMPv4 i ICMPv6) oraz danego typu i kodu (typ: od 0 do 255, kod: od 0 do 255).

I jeszcze jedna rzecz - zablokowałem globalnie połączenia wychodzące, tworząc reguły
zezwalające na połączenie dla używanych programów oraz Windows Update i Czas systemu Windows
dla systemu.   W ten sposób zablokowane są wszystkie wychodzące ICMP, włącznie
z pingiem, co sprawdziłem pingując do routera (192.168.0.1).   Czy tak może zostać,
czy lepiej dopuścić jakieś wychodzące ICMP (i ew. inne połączenia)? I może jakieś
porty zablokować - wychodzące i/lub przychodzące?


Załączone pliki Miniatury
       
Odpowiedz
#6
(19.02.2020, 00:18)wojek napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Gdzie jest ten rate limiting
w polskich ustawieniach?
Nie wiem czy jest w ogóle w Windowsowym Firewallu taka możliwość. Rate limiting polega na tym, że po pewnej progowej liczbie pakietów w jednostce czasu następne są blokowane. Np można otrzymać 5 pakietów ICMP typ 3 kod 4 w sekundę, które zostaną dozwolone, ale 6ty i następne są blokowane.
Odpowiedz
#7
OK, dzięki. A pozostałe pytania? Zależy mi na dobrej jakości połączenia
internetowego. Mam neta od UPC. i stanu 'stealth' dla portów i tak nie osiągnę,
choćbym w kompie wszystko poblokował, bo ich router Technicolor tego nie zapewnia...
Odpowiedz
#8
Możesz spytać o zmianę, u rodziny i znajomych UPC śmiga na CISCO.
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#9
Ja mam ten sam router od ok. 5 lat. Nieźle działa w sumie,
wyciągam po kablu prawie 250 Mb/s, ale przy zmianie taryfy np. na 500 Mb/s
dają już nowy router... Pamiętam czasy kiedy w firmie połączenie
modemowe miało ok. 4 kb/s. Smile Czyli ponad 60.000 razy mniejszą prędkość.

Co do ICMP, to pogrzebałem w necie i znalazłem taki artykuł:

[Aby zobaczyć linki, zarejestruj się tutaj]


który zaleca kilka zezwalających reguł dla ICMP.
Przez pewien krótki czas miałem całkowicie zablokowane ICMP w obie strony,
i zacinały mi się filmiki na youtubie, nie wiem czy to akurat była zbieżność z większym
ruchem ma youtubie, czy faktycznie wina całkowicie zablokowanego ICMP.
Odpowiedz
#10
(19.02.2020, 22:04)wojek napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Ja mam ten sam router od ok. 5 lat.  Nieźle działa w sumie,
wyciągam po kablu prawie 250 Mb/s, ale przy zmianie taryfy np. na 500 Mb/s
dają już nowy router...  Pamiętam czasy kiedy w firmie połączenie
modemowe miało ok. 4 kb/s.  Smile  Czyli ponad 60.000 razy mniejszą prędkość.

Co do ICMP, to pogrzebałem w necie i znalazłem taki artykuł:

[Aby zobaczyć linki, zarejestruj się tutaj]


który zaleca kilka zezwalających reguł dla ICMP.
Przez pewien krótki czas miałem całkowicie zablokowane ICMP w obie strony,
i zacinały mi się filmiki na youtubie, nie wiem czy to akurat była zbieżność z większym
ruchem ma youtubie, czy faktycznie wina całkowicie zablokowanego ICMP.
Ping of death to już przestarzała technika, wątpię by jakiś OS był na to nie odporny.  Ogólnie systemy są od jakichś 20 lat odporne na większość ataków z użyciem ICMP pomijając zalewanie dużą ilością ICMP (flood i podobne). Przed tym można do pewnego stopnia zabezpieczyć się rate-limitingiem. Do pewnego stopnia bo w niektórych przypadkach typu duży DoS/DDoS natomiast nic nie zdziałasz software'owym firewallem. Inna sprawa, że jeśli nie masz serwera tylko zabezpieczasz desktop to wątpię, by ktoś chciał robić duży DDoS.
Jeśli chodzi o sieci IPv4 to najbardziej przydatne IMHO jest odblokowanie ICMP 3/4 (message type 3 code 4). Jeśli używasz polecenia ping to chyba potrzebny jest w Windowsie ICMP 0/0, ale nie wiem czy nie zostanie wpuszczony na podstawie tablicy stanów. Oczywiście obie reguły dla przychodzących (inbound).
Dla sieci IPv6 wypadałoby odblokować jeszcze kilka ICMPv6, bo niektóre metody ustalania adresu IP są oparte na ICMPv6.
Odpowiedz
#11
Dzięki, powoli to ogarniam.  Smile

Co do IPv6, to trzeba odblokować ICMPv6 zezwalając na NDP and SLAAC (IPv6).
Tylko czy przychodzące?  Raczej wychodzące?

Cytat:These ICMPv6 types should be permitted within your network (not across your border) in order for these features of IPv6 to function correctly.

Czyli outbound, i typ interfejsu - sieć lokalna?
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości