Firewall dla każdego

Zabezpieczanie systemu Windows przed atakami z sieci było do niedawna nie lada wyzwaniem. Brakowało narzędzi, usług systemowych i przede wszystkim informacji od producenta systemu - firmy Microsoft.

Zabezpieczanie systemu Windows przed atakami z sieci było do niedawna nie lada wyzwaniem. Brakowało narzędzi, usług systemowych i przede wszystkim informacji od producenta systemu - firmy Microsoft.

Nikomu nie trzeba przypominać, jak ważne jest zabezpieczenie systemu przed atakami z zewnątrz, a przede wszystkim z Internetu. To już nie jest kwestia komfortu pracy, ale bezpieczeństwa danych (finansowych czy osobowych), do których nikt nie powinien mieć dostępu. Jest to szczególnie istotne w wypadku stałego połączenia z Internetem, ponieważ potencjalny napastnik będzie miał dużo czasu na zaatakowanie Twojego systemu. Nie znaczy to, że "modemowcy" mogą czuć się bezpiecznie - w ich wypadku napastnicy używają automatycznych skryptów przygotowanych pod kątem określonego systemu operacyjnego.

Najlepszą metodą ochrony przed atakami sieciowymi jest instalacja firewalla. Do niedawna było to kosztowne oprogramowanie, trudne w konfiguracji i zarządzaniu. Od kilku lat zaczęły się pojawiać tzw. personal firewalls, które ułatwiają kontrolę dostępu do systemu z sieci. Są przeznaczone do wersji Windows dla użytkowników domowych i do małych sieci. Większość jest bezpłatna (np. Zone Alarm, Sygate Personal Firewall czy Tiny Personal Firewall), tym niemniej są to programy, które nie pochodzą od producenta systemu operacyjnego, więc ich działanie może wywoływać problemy spowodowane niekompatybilnością. Zaletą rozwiązań wbudowanych jest oczywiście niezaśmiecanie dodatkowym oprogramowaniem systemu, w który to oprogramowanie ponadto głęboko ingeruje. Microsoft dostrzegł problem i w Windows 2000 zawarł prosty filtr pakietów, rozbudowany następnie do IFC (Internet Connection Firewall) w Windows XP.

Windows 2000

Włączanie filtrowania pakietów dla połączenia w sieci lokalnej (Windows 2000).

Włączanie filtrowania pakietów dla połączenia w sieci lokalnej (Windows 2000).

Windows 2000 jest pierwszym systemem z tej rodziny wyposażonym w funkcje firewalla - a właściwie filtr pakietów TCP/IP. To nieskomplikowane rozwiązanie, a siermiężny interfejs konfiguracji nie ułatwia zadania. Dodatkowo filtrowanie pakietów można włączać jedynie dla połączeń LAN, połączenia dial-up nie są obsługiwane. Nie ma możliwości rejestrowania zdarzeń. Otwórz folder Połączenia sieciowe i telefoniczne, wyświetl właściwości połączenia, które ma być zabezpieczane. Zaznacz składnik Protokół internetowy (TCP/IP) i kliknij przycisk Właściwości. W nowo otwartym oknie kliknij Zaawansowane i w kolejnym oknie wybierz kartę Opcje. Zaznacz Filtrowanie TCP/IP i kliknij przycisk Właściwości. Zaznacz opcję Włącz filtrowanie TCP/IP.

Konfiguracja filtru pakietów w Windows 2000.

Konfiguracja filtru pakietów w Windows 2000.

W nowo otwartym oknie masz możliwość wprowadzenia definicji portów TCP/UDP, w których będzie dopuszczalny ruch sieciowy. Niestety, konfiguracja jest uciążliwa, ponieważ nie ma żadnych predefiniowanych ustawień i numery portów trzeba wpisywać ręcznie. Domyślnie po włączeniu filtrowania TCP/IP wszystkie połączenia są odrzucane. Filtrowanie pakietów w Windows 2000 nie daje kontroli nad protokołami ICMP (np. ping). Warto zauważyć, że taki sam prosty filtr pakietów wbudowano również w Windows XP.

Windows XP

Windows XP zawiera w pełni funkcjonalny firewall zintegrowany z systemem operacyjnym. Jego nazwę - nazwę ICF (Internet Connection Firewall) - w polskiej wersji Windows XP dość niefortunnie przetłumaczono jako Zapora połączenia internetowego. ICF jest domyślnie wyłączony i systemu zainstalowanego wprost z pudełka nie chroni firewall. ICF występuje w obu wersjach Windows XP (Home i Professional), ma być także w Windows.Net Server. Może ściśle współpracować z Internet Connection Share (ICS) i w ten sposób posłużyć do budowy bezpiecznej sieci domowej czy szkolnej. W sieciach firmowych oba są raczej mało użyteczne ze względu na brak możliwości centralnego zarządzania ustawieniami ICF w wielu stacjach roboczych.

Konfiguracja ICF

Opcja włączająca ICF w Windows XP.

Opcja włączająca ICF w Windows XP.

Włączanie ICF nie ma oczywiście sensu tam, gdzie w sieci pracuje już firewall/ serwer proxy. Żeby skonfigurować ICF, musisz zalogować się do systemu jako użytkownik administracyjny (właściciel). Warto pamiętać, że każde ze zdefiniowanych w systemie operacyjnym połączeń sieciowych może mieć własne ustawienia firewalla ICF, co się bardzo przydaje, ponieważ nie każde połączenie musi być jednakowo chronione. UWAGA! Nie wolno włączać ICF na komputerach skonfigurowanych do pracy w sieciach prywatnych (VPN - Virtual Private Networking) lub pracujących w domenie NT/W2K ponieważ wszystkie połączenia sieciowe zostaną przerwane.

W celu włączenia ICF otwórz folder Połączenia sieciowe i telefoniczne i wyświetl właściwości połączenia, które ma być zabezpieczane. Przejdź do karty Zaawansowane i zaznacz opcję Chroń mój komputer i moją sieć. IFC od tego momentu zaczyna działać - nie jest konieczny restart komputera. Domyślna konfiguracja ICF odrzuca wszystkie połączenia przychodzące od strony Internetu (lub sieci lokalnej) do twojego komputera. ICF wykorzystuje technologię filtrowania pakietów TCP/IP zwaną stateful inspection. Jej działanie polega w przybliżeniu na tym, że firewall pamięta każde połączenie, jakie zostało nawiązane z lokalnego komputera, i śledzi jego stan. Dzięki temu nie ma możliwości ataku przez podstawienie odpowiednio przygotowanych pakietów TCP.

Rejestracja zdarzeń

Opcja włączająca ICF w Windows XP.

Opcja włączająca ICF w Windows XP.

ICF (w przeciwieństwie do innych firewalli osobistych) nie wyświetla alarmów o atakach czy podejrzanych połączeniach, a jedynie zapisuje informacje o nich w pliku zdarzeń. Karta Rejestrowanie zabezpieczeń umożliwia konfigurację tego zapisu. Domyślnie informacje o pakietach zablokowanych są zapisywane w pliku %WINDIR%\pfirewall.log. Możesz całkowicie wyłączyć odnotowywanie zdarzeń (zalecana opcja) lub zapisywać jedynie nawiązane połączenia. Pliki zdarzeń są zapisywane w formacie zwykłego pliku tekstowego, jednak jest on bardzo nieczytelny i oglądanie go w Notatniku niewiele pomoże. Oto przykładowa zawartość takiego pliku:

Verson: 1.0

Software: Microsoft Internet

Connection Firewall

Time Format: Local

Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info

2002-05-27 06:54:11 DROP TCP 10.10.10.7 10.10.10.1 49155 445 48 S 4117189339 0 32768 - - -

2002-05-27 06:54:13 DROP TCP 10.10.10.7 10.10.10.1 49155 445 48 S 4117189339 0 32768 - - -

2002-05-27 06:54:16 DROP TCP 10.10.10.7 10.10.10.1 49155 445 48 S 4117189339 0 32768 - - -

2002-05-27 06:54:22 DROP TCP 10.10.10.7 10.10.10.1 49155 445 48 S 4117189339 0 32768 - - -

2002-05-27 06:54:33 DROP TCP 10.10.10.7 10.10.10.1 49155 445 48 S 4117189339 0 32768 - - -

2002-05-27 06:54:54 DROP TCP 10.10.10.7 10.10.10.1 49155 445 48 S 4117189339 0 32768 - - -

2002-05-27 06:55:38 DROP TCP 10.10.10.7 10.10.10.1 49155 445 48 S 4117189339 0 32768 - - -

2002-05-27 06:59:01 DROP ICMP 10.10.10.7 10.10.10.1 - - 84 - - - - 8 0 -

2002-05-27 06:59:04 DROP ICMP 10.10.10.7 10.10.10.1 - - 84 - - - - 8 0 -

Ustawienia rejestracji działania ICF.

Ustawienia rejestracji działania ICF.

Na szczęście poszczególne pola tego pliku są rozdzielone spacjami i tabulatorami - możesz go zaimportować do Excela i wygodnie przeglądać.

Najważniejsze pola to oczywiście:

date i time - kiedy nastąpiło zdarzenie

action - sposób reakcji firewalla na próbę połączenia (DROP oznacza zablokowanie połączenia)

protocol - jaki protokół TCP/IP został wykorzystany do nawiązania połączenia

src-ip - adres źródłowy IP, skąd nastąpiła próba połączenia

dst-ip - docelowy adres IP, do którego nastąpiła próba połączenia

src-port - numer portu TCP/IP, z którego nastąpiła próba połączenia

dst-port - numer portu TCP/IP, w którym nastąpiła próba połączenia.


Zobacz również