Uwaga: to tylko ramka - idz do strony glownej ASK ZATORZE
| Siec TCP/IP || Otoczenie Sieciowe || Poczta || Usnet || FTP || Konto Shellowe || Czat || IRC || Serwer PROXY |

Otoczenie sieciowe - Sieć SMB

utworzono: 29/03/2004 :: modyfikacja: 14/09/2004
autor: Marcin Moczkowski :: glappo (at) banita (dot) pl

Firewall czyli ściana ogniowa - Windows

W Windows XP/2003 wraz z systemem otrzymujemy wbudowany firewall czyli tzw. ścianę ogniową. Ma ona za zadanie chronić nasz komputer przed niepowołanym dostępem z sieci. Oczywiście jest to prosty firewall ale do domowych zastosowań zupełnie wystarczający. Umożliwia on też logowanie do pliku odrzuconych i udanych połączeń. Firewall możesz włączyć niezależnie dla każdego z interfejsów sieciowych czyli np. tylko dla połączenia lokalnego. Gdy go włączysz ujrzysz znak kłódki na danym połączeniu.

Microsoft zwykł nazywać go jako Zapora połączenia internetowego (ICF). Jest to tzw. stanowy filtr pakietów, czyli badający czy dane połączenie zostało zainicjowane z komputera (wtedy jest przepuszczane) czy zostało zainicjowane z sieci (wtedy jest standardowo blokowane). Możliwe jest to dzięki przechowywaniu w jego pamięci tablicy zainicjowanych połączeń z chronionego komputera. Dzięki temu nie musisz się martwić jakoś szczegółową konfiguracją, wystarczy że ICF jest włączony a ty ewentualnie odblokujesz porty dla danych usług żeby inne komputery mogły. korzystać np. z twoich udostępnionych zasobów. I właśnie konfiguracja ICF umożliwiająca prawidłowe działanie w otoczeniu sieciowym (m.in. udostępnianie zasobów i przeglądanie sieci) jest poniżej opisana. Wraz z nastaniem Service Pack 2 dla Windows XP ICF został przemianowany na Zaporę systemu Windows oraz totalnie przebudowany co zostało w dalszej części opisane.

 Użytkownicy starszych wersji systemu Windows czyli NT 4.0/2000 oraz 95/98/Me nie posiadają firewalla dostarczonego wraz z systemem. Dlatego powinni zainstalować w razie potrzeby jakiś tego typu program innej firmy, na szczęście jest wiele darmowych i dobrych rozwiązań, które zostały wymienione na końcu strony.

Żeby manipulować przy ustawieniach Firewall musisz zalogować się na konto z grupy Administratorów. Uwaga ta dotyczy systemów Windows z rodziny NT czyli NT 4.0/2000/XP/2003.

Konfiguracja ICF - Windows XP/XP SP1/2003

W Windows XP Home/Professional bez Service Pack oraz z Service Pack 1 i w Windows 2003 Server Zapora połączenia internetowego (ICF) jest standardowo wyłączona. Żeby ją włączyć należy przejść do "Panel Sterowania" >> "Połączenia sieciowe" i wybierz "Połączenia Lokalne" a z nich "Właściwości". Teraz przejdź do zakładki "Zaawansowane" i zaznacz opcje "Chroń mój komputer i moją sieć ...", jak na obrazku poniżej. Następnie wybierz w tej zakładce "Ustawienia" żeby skonfigurować ICF do działania w otoczeniu sieciowym.

Otworzy ci się okno konfiguracji ICF o nazwie "Ustawienia zaawansowane" w którym musisz dodać tzw. usługi czyli po prostu otworzyć określone porty. Teraz wybierasz więc "Dodaj" w oknie "Ustawienia zaawansowane". Do prawidłowego działania w otoczeniu sieciowym czyli sieci SMB twój system musi mieć otwarte poniższe porty:

  • port: 137, protokół: UDP, opis: NETBIOS Name Service (137 UDP)
  • port: 138, protokół: UDP, opis: NETBIOS Datagram Service (138 UDP)
  • port: 139, protokół: TCP, opis: NETBIOS session service (139 TCP)

opcjonalnie (nie wymagane w wielu sieciach):

Powyższe numery portów wpisujemy w polach "Numer portu zewnętrznego dla tej usługi" oraz "Numer portu wewnętrznego dla tej usługi" (ten sam port), wybierając odpowiednio TCP lub UDP. "Opis usługi" może być dowolny (np. taki jak podałem wyżej), natomiast "Nazwa lub adres IP ... komputera obsługującego tę usługę w sieci" należy wpisać najlepiej adres IP 127.0.0.1, jest to "uniwersalne określenie" lokalnego komputera czyli tego na którym konfigurujesz ICF. Przykład na poniższym obrazku.

Po dodaniu tych usług "Ustawienia zaawansowane", zakładka "Usługi" wygląda mniej więcej tak jak poniżej.

Teraz zalecam przejść do zakładki "Protokół ICMP" i włączyć "Zezwalaj na przychodzące żądania echa", dzięki czemu nasz Windows odpowie na popularny ping. Jest to komenda często stosowana do diagnozowania sieci i dlatego zalecane jest zezwolenie na nią.

Pozostała już tylko zakładka "Rejestrowanie zabezpieczeń", w której możesz włączyć opcje rejestrowania do pliku o odrzuconych i udanych połączeń. Jak lubisz czytać logi warto zaznaczyć co najmniej "Rejestruj porzucone pakiety", pozostałe opcje mogą zostać domyślne.

UWAGA: Włączając zaporę połączenia internetowego (ICF) w Windows XP/XP SP1/2003 blokujesz tylko nieautoryzowany ruch przychodzący. Ruch wychodzący z twego komputera jest dalej poza kontrolą i może być to wykorzystane przez rożnego rodzaju tzw. konie trojańskie i spyware. Miej tez na uwadze gdy włączysz ICF żeby odblokować odpowiednie porty jak opisano powyżej w ujęciu otoczenia sieciowego czyli sieci SMB.

Konfiguracja Zapory Systemu Windows - Windows XP SP2

W Windows XP Home/Professional wraz z Service Pack 2 zaszły poważne zmiany w systemie m.in. w funkcjonowaniu firewalla dawniej zwanego Zaporą Połączenia Internetowego (ICF), a teraz przemianowanego na Zaporą Systemu Windows (Windows Firewall) . Główne różnice nowości w Windows Firewall to:

  • Zapora Systemu Windows jest standardowo włączona.

  • Windows Firewall standardowo zezwala na połączenia w sieci lokalnej związane z otoczeniem sieciowym czyli będą otwarte porty opisane powyżej związane z SMB, nazwane jest to na liście wyjątków jako "Udostępnianie plików i drukarek".

  • Nie jest już to zwykły firewall "stanowy" ale każda aplikacja jaka się chce komunikować z siecią (Internetem) musi być "odhaczona" w Windows Firewall czyli znajdować się na liście wyjątków.

  • Opcje związane z bezpieczeństwem czyli m.in. Windows Firewall są zintegrowane w Centrum zabezpieczeń systemu Windows (Security Center).

Ostatnia wymieniona powyżej cecha czyli Centrum zabezpieczeń systemu Windows (Security Center), jest zupełną nowością wprowadzona wraz z Service Pack 2 do Windows XP. Centrum Zabezpieczeń jest apletem w Panelu Sterowania i ma za zadanie skupić w jednym miejscu najważniejsze rzeczy związane z aspektem bezpieczeństwa systemu Windows XP. Centrum Zabezpieczeń monitoruje trzy podstawowe rzeczy:

  • Zapora systemu Windows

  • Aktualizacje automatyczne

  • Ochronę przed wirusami

Jeśli dana usługa nie jest włączona w pasku zadań koło zegara zostanie wyświetlony odpowiedni komunikat ostrzegawczy. Żeby dostać się do konfiguracji Zapory systemu Windows należy przejść do "Panel Sterowania" >> "Zapora systemu Windows", wtedy ujrzysz okno jak poniżej, gdzie jak łatwo zauważyć powinna być domyślnie włączona zapora.

Zapora systemu Windows (Windows Firewall) posiada trzy tryby pracy:

  • Włącz (zalecane) - jest to domyślny tryb i zalecany podczas normalnej pracy, gdzie jest uwzględniona lista wyjątków.

  • Włącz wraz z opcją "nie zezwalaj na wyjątki" - tryb przeznaczony w czasie różnych zagrożeń np. praca naszego komputera w obcej sieci. Nie jest tu uwzględniania lista wyjątków jak się łatwo domyślić,

  • Wyłącz (nie zalecane) - całkowicie wyłączenie zapory.

Lista wyjątków jest dostępna w drugiej zakładce pt. "Wyjątki" i służy do wyszczególnienia usług (a konkretnie portów na jakich działają) oraz aplikacji które nie będą blokowane przez Zaporę systemu Windows.

Możemy tutaj zauważyć że domyślnie jest włączony wyjątek "Udostępnianie plików i drukarek" żebyśmy mogli korzystać z tych usług na naszym komputerze w sieci LAN (a konkretnie w naszej podsieci adresowej). Domyślnie jest też włączony wyjątek "Pomoc zdalna", który się odnosi do danej aplikacji.

Jeśli jakaś aplikacja będzie się próbowała połączyć samoczynie z siecią LAN lub Internetem zostaniesz zapytany czy na to zezwolić czy ów program zablokować. Poniżej został pokazany przykład z komunikatorem Gadu-Gadu.

Oczywiście możemy również dodać jakiś nowy wyjątek poprzez przycisk "Dodaj program" lub "Dodaj port". Inna możliwość to  wyedytowanie (poprzez "Edytuj") już istniejącego wyjątku, w tym wypadku  "Udostępnianie plików i drukarek", jak pokazano na poniższym obrazku. Do prawidłowego działania w otoczeniu sieciowym czyli sieci SMB twój system musi mieć otwarte poniższe porty, które są ujęte oczywiście w tym wyjatku:

  • port: 137, protokół: UDP, opis: NETBIOS Name Service (137 UDP)
  • port: 138, protokół: UDP, opis: NETBIOS Datagram Service (138 UDP)
  • port: 139, protokół: TCP, opis: NETBIOS session service (139 TCP)

opcjonalnie (nie wymagane w wielu sieciach ale tutaj też zawarte):

 

Poprzez przycisk "Zmień zakres" możesz dodać inne klasy adresowe dla danej usługi lub włączyć ją dla wszystkich adresów.

Jak już skończysz zabawę z wyjątkami przejdź do zakładki "Zaawansowane" w głównym oknie zapory. Zauważ że każde z powyższych ustawień wyjątków może być konfigurowane niezależne dla poszczególnych połączeń, które są dostępne za pomocą tejże zakładki "Zaawansowane".

UWAGA: Owe niezależne konfigurowanie otwartych portów czyli usług dla danych połączeń sprowadzana się do użycia przycisku "Ustawienia" przy owych połączeniach. Co ciekawe okno jakie ci się wtedy otworzy jest dokładnie takie samo jak okno "Usługi" znane z Zapory połączenia internetowego (ICF) obecnej w Windows XP/XP SP1/2003.

W zakładce tej możesz też skonfigurować zaporę dla protokołu ICMP czyli m.in. popularnej usługi ping, poprzez wybranie przycisku "Ustawienia" przy "Protokół ICMP". Domyślnie jest włączone "Zezwalaj na przychodzące żądania echa" czyli ów zwykły ping w "Ustawienia protokołu ICMP". Co ciekawe nie można odznaczyć opcji "Zezwalaj na przychodzące żądania echa" czyli jesteśmy skazani na włączony ping chyba że wybierzemy opcje przy włączonej zaporze "Nie zezwalaj na wyjątki". I dopiero to zablokuje zwykły ping.

Pozostała już tylko opcja "Rejestrowanie zabezpieczeń", w której możesz włączyć opcje rejestrowania do pliku o odrzuconych i udanych połączeń. Jak lubisz czytać logi warto zaznaczyć co najmniej "Rejestruj porzucone pakiety", pozostałe opcje mogą zostać domyślne.

Czytanie dziennika firewalla

Jeśli włączyłeś w swoim Windows XP/2003 rejestrowanie porzuconych pakietów lub/i udanych połączeń czasem warto zajęć do pliku dziennika co tam się załapało. Jako że czytanie pliku dziennika pfirewall.log jest trochę nie wygodne mimo że jest plik tekstowy można do tego celu użyć innego programu. takim prostym i darmowym programem do czytania dziennika standardowego firewalla z Windows XP/2003 jest XP Firewall Logger pokazany poniżej. Program ten wyświetla w przystępnej formie zawartość tego dziennika czyli kiedy, jaki adres IP i na jaki port się dostał lub próbował się dostać.

XP Firewall Logger jest do poprania z działu Plikownia.

Pozostałe Firewalle dla Windows

Wbudowany standardowy firewall w Windows XP/2003 posiada tylko podstawowe możliwości filtrowania ale dla wielu użytkowników są one wystarczające. Jednak jeśli od twojego firewalla oczekujesz więcej np. możliwość przekierowania portu lub budowania bardziej skomplikowanych reguł musisz się zainteresować jakimś rozwiązaniem innych firm. Dodatkowo jeśli używasz starszej wersji Windows niż tu opisane czyli Windows 95/98/Me/NT/2000 nie masz w ogóle żadnego firewalla standardowo w systemie i poniższe rozwiązanie jest jedynym żeby filtrować pakiety. Poniżej masz garść linków do stron producentów firewalli dla systemów Windows. Niektóre z nich są dostępne obok płatnych wersji również w wersjach darmowych z różnymi zastrzeżeniami inne tylko płatne. Możliwości poniższych firewalli też są różnorakie i nie zawsze darmowe znaczy najgorsze:



Drukuj Dokument