Zabawa z ogniem

Jeśli pozwolisz jej na zbyt wiele, nie da ci spokojnie pracować. Zadbaj o poprawną konfigurację systemowej zapory sieciowej w Windows XP z Service Pack 2.


Jeśli pozwolisz jej na zbyt wiele, nie da ci spokojnie pracować. Zadbaj o poprawną konfigurację systemowej zapory sieciowej w Windows XP z Service Pack 2.

Trudno to sobie dziś wyobrazić, ale był taki czas, kiedy wszyscy korzystaliśmy z Internetu bez firewalla, bezbronni wobec czyhających tam niebezpieczeństw. Tego typu ochrona była wówczas dostępna jedynie dla największych korporacji o zasobnym budżecie, które pilnie strzegły firmowych tajemnic. Świat się zmienia i dziś każdy komputer może być wyposażony w zaporę sieciową - symptom ery Internetu, w którym trzeba mieć oczy dookoła głowy. Idealnym rozwiązaniem wydaje się w tym wypadku firewall domyślnie wbudowany w system operacyjny Windows. Po raz pierwszy w Windows 2000 zastosowano prostą zaporę sieciową, która w zasadzie ograniczała się do filtrowania pakietów TCP/IP, bez możliwości rejestrowania informacji o zagrożeniach. Dość siermiężny interfejs nie ułatwiał konfiguracji tego firewalla. Windows XP przyniosło już w pełni funkcjonalną "ścianę ogniową" o nazwie Internet Connection Firewall (w polskiej wersji to Zapora połączenia internetowego). Było to jednak wciąż rozwiązanie niedostatecznie dopracowane, funkcjonalne i zrozumiałe dla przeciętnego użytkownika. Prawdziwa rewolucja nadeszła wraz z dodatkiem Service Pack 2 do Windows XP.

Blokowanie na zawołanie

Zapora systemu Windows (w angielskiej wersji to Windows Firewall) wprowadzona wraz z dodatkiem Service Pack 2 do Windows XP, działa prosto i skutecznie. Blokuje niezidentyfikowane dane napływające z Internetu lub sieci lokalnej do komputera i dzięki temu wychwyci większość trojanów i robaków internetowych. Domyślnie aktywowana po zainstalowaniu dodatku Service Pack 2, daje sobie radę z takimi rzezimieszkami, jak chociażby Blaster. Niestety, nie powstrzyma szkodników, które są już na twardym dysku, przed nawiązywaniem połączeń wychodzących. Dla niektórych poważną wadą tej zapory jest właśnie niemonitorowanie połączeń wychodzących. Ponieważ jednak najnowsze robaki internetowe i trojany mogą wyłączyć tę funkcję w bardziej rozbudowanych firewallach, wydaje się to mało istotne.

Jeden z niezamierzonych efektów działania Zapory systemu Windows to zakłócanie pracy aplikacji wymagających częstego i nieograniczonego połączenia z Internetem. Jest ich obecnie tak dużo, że nadgorliwy strażnik systemu Windows XP SP2 w końcu zablokuje ci możliwość skorzystania z ważnego programu lub usługi. Jeśli twój komputer służy jako serwer gry sieciowej lub korzystasz z funkcji udostępniania plików i drukarek, zastosuj wyjątki dla każdej z tych usług w ustawieniach Zapory systemu Windows. Możesz to zrobić na kilka sposobów.

Okno w ścianie

Niektóre aplikacje wymagają nieograniczonego dostępu do Internetu. Dla nich musisz utworzyć wyjątki w ustawieniach Zapory systemu Windows.

Niektóre aplikacje wymagają nieograniczonego dostępu do Internetu. Dla nich musisz utworzyć wyjątki w ustawieniach Zapory systemu Windows.

Do ustawień systemowego firewalla najwygodniej dostać się z poziomu Panelu sterowania (menu Start). Wybierasz tam aplet Zapora systemu Windows. Następnie przechodzisz na kartę Wyjątki. Znajdziesz tam predefiniowane usługi, takie jak Udostępnianie plików i drukarek, Pomoc zdalna, Pulpit zdalny, czy Architektura UPnP. Jeśli masz problemy z którymkolwiek z powyższych komponentów, sprawdź czy jest dla niego włączony odpowiedni wyjątek w Zaporze systemu Windows. Alternatywnym sposobem jest samodzielne zdefiniowanie wyjątku. Gdy masz zamiar zaoferować określone usługi sieciowe, najpierw ustaw je w systemowym firewallu. Gdy dodajesz porty do listy uprzywilejowanych, zapora sieciowa korzysta z nich w czasie działania danej usługi i nie musi cię już pytać o pozwolenie podczas nawiązywania połączenia i wymiany informacji. Podobnie jest z aplikacjami, które mają problem z poprawnym funkcjonowaniem, a wymagają stałego połączenia z Internetem. Skorzystaj wtedy z przycisku Dodaj program, aby utworzyć dla nich nowy wyjątek w systemowym firewallu. W kolejnym oknie możesz dodać program z listy lub zlokalizować go samodzielnie za pomocą przycisku Przeglądaj. Warto dodać, że Zapora systemu Windows blokuje moduł aktualizacyjny LiveUpdate, pobierający nowe definicje antywirusów do programów Norton AntiVirus 2004 oraz 2005. Jeśli masz te aplikacje i doświadczasz takich problemów, czeka cię tworzenie wyjątków w zaporze sieciowej.

Właściwy zakres

Oprócz ustawienia wyjątków dla wybranych aplikacji wymagających połączenia z Internetem, Zapora systemu Windows pozwala również na określenie zakresu adresów IP komputerów, które będą mogły z niego skorzystać. Niezależnie od tego, czy edytujesz wyjątek, czy dodajesz nowy, zmiana zakresu pozwoli na doprecyzowanie poziomu zabezpieczeń tak, żeby niepowołani użytkownicy nie mogli wykorzystać przywilejów do własnych potrzeb. Możesz na przykład ograniczyć działanie wyjątku dla danej aplikacji jedynie do komputerów znajdujących się w tej samej podsieci lub wpisać adresy IP tych, którym pozwolisz na wymianę danych z twoim systemem. Wszystkie te działania wykonasz po kliknięciu przycisku Zmień zakres, dostępnego zarówno na karcie wyjątków po kliknięciu Edytuj, jak i w oknie dodawania nowego programu do listy, o którym wspominaliśmy wcześniej.

Zwykle domyślnie ustawiona jest pierwsza opcja - Dowolny komputer (łącznie z tymi w Internecie). Każda maszyna uzyskująca połączenie z twoją może skorzystać z wyjątku. Druga opcja, Tylko moja sieć (podsieć), tworzy wyjątek tylko dla komputerów znajdujących się w tej samej podsieci. Jeśli chcesz lepiej sprecyzować restrykcje i dodać inne podsieci lub pojedyncze komputery, ich adresy IP wpisz po wybraniu trzeciej opcji (Lista niestandardowa). Adresy IP oddziel przecinkiem, a dodatkowe podsieci tzw. slashem, czyli znakiem [/].

Różne sieci, różne przywileje

W zależności od tego, z której sieci korzystasz, systemowa zapora sieciowa dostosuje poziom zabezpieczeń.

W zależności od tego, z której sieci korzystasz, systemowa zapora sieciowa dostosuje poziom zabezpieczeń.

Jeśli korzystasz z komputera w różnych miejscach i utworzyłeś oddzielne profile połączenia z siecią, warto tak skonfigurować Zaporę systemu Windows, aby w zależności od rodzaju połączenia funkcjonowała właściwie i oferowała dodatkowy zestaw wyjątków. Zwróć uwagę na ostatnią kartę ustawień firewalla, Zaawansowane. Znajdziesz tam listę wszystkich utworzonych profili sieci. Po wybraniu jednej z nich naciśnij przycisk Ustawienia i zdefiniuj dokładniejsze reguły, według których Zapora systemu Windows nałoży odpowiednie restrykcje na dane połączenie. Pamiętaj również o zaznaczeniu opcji Wyświetl powiadomienie, gdy Zapora systemu Windows zablokuje program. Znajdziesz ją na karcie Wyjątki. Może dostarczyć niezwykle pożytecznych informacji o programach, które wymagają utworzenia dodatkowych wyjątków. Przyda się również jako narzędzie do prowadzenia statystyk nieautoryzowanych prób połączenia z twoim komputerem. Odszukaj dziennik rejestrujący takie zdarzenia - sekcja Rejestrowanie zabezpieczeń na karcie Zaawansowane pomoże ci go zlokalizować (skorzystaj z przycisku Ustawienia, aby znaleźć ścieżkę dostępu do pliku z rozszerzeniem LOG i określić jego maksymalny rozmiar oraz zakres rejestrowanych zdarzeń).

Monitorowanie na bieżąco

W określonych wypadkach możesz zdecydować o udzielaniu pozwolenia na połączenie na bieżąco, bez wcześniejszego dopisywania wyjątków w programach i portach do Zapory systemu Windows. Kiedy jakiś program prowadzi nasłuch portów TCP lub UDP i oczekuje na połączenie z innego komputera, zapora sieciowa sygnalizuje to odpowiednim alertem wyświetlanym na ekranie monitora. Podaje nazwę programu wraz z wyborem trzech wariantów działania:

1. Blokuj nadal (Keep blocking)

Zapora sieciowa dodaje program do listy wyjątków, jednak w trybie wyłączonym, co oznacza, że określone porty wymagane do połączenia nie zostają otwarte.

2. Odblokuj (Unblock)

Zapora sieciowa dodaje program do listy wyjątków w trybie włączonym, co oznacza, że określone porty wymagane do połączenia zostają otwarte.

3. Zapytaj mnie później (Ask me later)

Zapora sieciowa blokuje możliwość komunikacji i nie dopisuje danego programu lub usługi do listy wyjątków.

Działanie usług systemowych nie wiąże się z generowaniem alertów, dlatego powinieneś ręcznie ustawić wyjątki. Możesz w tym wypadku skorzystać również z polecenia netsh wpisywanego w wierszu poleceń.

Im więcej wyjątków, tym więcej luk!

Uważaj! Każdy wyjątek, który dodajesz do ustawień zapory sieciowej w Windows XP osłabia integralność systemu ochrony twojego komputera. Można to porównać do wybijania kolejnych dziur w ścianie. Gdy będzie ich zbyt wiele, ściana może się zawalić. Dlatego twórz wyjątki jedynie wtedy, gdy naprawdę ich potrzebujesz, i usuwaj, kiedy stają się zbędne. Zamiast dodawać określone porty, twórz wyjątki dla aplikacji. Takie porty pozostają stale otwarte nawet wtedy, gdy aplikacja, która z nich korzysta, nie jest w danej chwili uruchomiona. A to otwarta na oścież furtka dla potencjalnego napastnika.