Брандмауэр «Windows Firewall». Настройка и отключение.

417 просмотров 0 2020-11-11 2020-12-16

КАК РАБОТАЕТ ФАЙРВОЛ

При отсутствии правил в списке файрвола все исходящие и входящие пакеты будут проходить без фильтрации (в отличие от других сетевых экранов), правила блокировки необходимо задавать явно. Во время фильтрации трафика заголовки пакетов сравниваются с правилами последовательно снизу вверх, и при первом совпадении будет выполнено соответствующее действие – отбросить или пропустить пакет. Для правильной настройки правил необходимо понимание работы сокетов. Сокет представляет собой пару:

IP-адрес:порт

Сокет вашего VDS-сервера – это поля “Локальный адрес/порт”, сокет клиента или сервера в интернете – это “Удаленный адрес/порт”. Выбор правильного поля зависит от направления трафика. Рассмотрим это подробнее на примере шаблона “Установить правила для Windows”:

КАК РАБОТАЕТ ФАЙРВОЛ
  1. Сначала (снизу) идет правило, разрешающее (Allow) входящие (In) соединения на ваш сервер по протоколу TCP от любых адресов в интернете на порт 3389. Сокет с данным портом открывается службой удаленных рабочих столов Windows на вашем сервере. Чтобы разрешить подключение только с конкретных адресов, можно вписать их в поле “Удаленный адрес” (новое правило для каждого адреса)
  2. Правило “Ping” разрешает прохождение всех пакетов протокола ICMP, который не использует порты. ICMP несет вспомогательную роль для работы сетей
  3. OutHTTPS разрешает соединения TCP с портом 443 удаленного сокета, например, для открытия сайтов в интернете в браузере Chrome по протоколу HTTPS с вашего сервера. Если вы поднимаете свой веб-сервер, порт 443 должен быть прописан для локального сокета
  4. OutHTTP – смотри правило №3
  5. Правило DNS разрешает исходящие DNS-запросы на DNS-сервера в интернете
  6. Последнее правило блокирует все входящие пакеты, не соответствующие разрешающим правилам до этого

Исходя из вышеозначенной информации, вы сможете настроить нужные правила для своих нужд. Для исключения блокировок со стороны файрвола во время диагностики, удалите все правила с действием “Deny”.

Запрет доступа в Интернет с помощью сторонних инструментов

Comodo Firewall

Запрет доступа в Интернет с помощью сторонних инструментов

Создавать определения блокировки доступа в сеть умеют многие сторонние брандмауэры, например, Comodo Firewall. Установив это бесплатное приложение, выполните следующее:

Запрет доступа в Интернет с помощью сторонних инструментов
  1. Откройте главное окно Comodo Firewall и нажмите «Настройки»;
  2. В расположенном слева меню перейдите по цепочке Фаервол → Правила для приложений и нажмите «Добавить»;
  3. В поле «Имя» укажите через обзор путь к exe-файлу блокируемой программы, активируйте радиокнопку «Использовать набор правил» и в выпадающем списке справа выберите «Заблокированное приложение»;
  4. Сохраните настройки. В результате программа более не сможет отправлять запросы в сеть.
Запрет доступа в Интернет с помощью сторонних инструментов

Помощник OneClickFirewall

Запрет доступа в Интернет с помощью сторонних инструментов

Если вам приходится создавать правила часто, есть смысл воспользоваться бесплатной утилитой OneClickFirewall от Winaero. Это не фаервол, это помощник штатного брандмауэра, позволяющий автоматизировать процедуру создания правил блокировки доступа в Интернет разным программам. Утилита добавляет в контекстное меню исполняемых файлов и ярлыков два новых пункта «Block Internet Access» и «Restore Internet Access». Первая опция создает в брандмауэре правило блокировки для исходящих соединений, вторая — удаляет его.

Запрет доступа в Интернет с помощью сторонних инструментов

Помощник ProgCop

Запрет доступа в Интернет с помощью сторонних инструментов

Более функциональным инструментом для блокировки доступа приложениям в Интернет является бесплатная портативная утилита ProgCop. Она работает по тому же принципу, что и OneClickFirewall, но при этом отличается информативностью, показывая порты, локальные и удалённые IP-адреса обращающихся в Интернет процессов. Работать с ней очень просто.

Запрет доступа в Интернет с помощью сторонних инструментов
  1. Запустите ProgCop и нажмите на панели инструментов кнопку «Add application»;
  2. Укажите через стандартный обзор исполняемый файл приложение, которое хотите заблокировать.
  3. Закройте утилиту.
Запрет доступа в Интернет с помощью сторонних инструментов

В результате в системном брандмауэре появится определение для исходящего подключения, блокирующее доступ в сеть выбранной программе. Чтобы разрешить доступ, выделите заблокированное приложение мышкой и нажмите на панели инструментов кнопку «Unblock selected application» или вовсе удалите правило кликом по кнопке «Remove application».

Читайте также:  Windows 8 русская версия, скачать бесплатно | Первое знакомство

Настройки Windows Firewall

Для настройки параметров защитника Windows следует перейти в расширенные настройки брандмауэра. Для этого:

Шаг 1. Нажимаем по иконке поиска возле по «Пуск» и вводим фразу «Панель управления».

Шаг 2. В открывшемся окне, выбираем режим отображения «Мелкие значки» и переходим в «Брандмауэр защитника Windows».

Шаг 3. Чтобы перейти в окно расширенных настроек защиты, выбираем пункт «Дополнительные параметры».

Находясь в меню «Дополнительные параметры» можно посмотреть текущее состояние защитника и его основные настройки. Данная информация находится в первом пункте «Монитор брандмауэра».

Для создания собственных блокировок определенных приложений, следует воспользоваться графой «Правила для исходящих подключений», где следует выбрать пункт «Создать правило».

В открывшемся окне присутствует несколько вариантов блокировок сети. К примеру, можно заблокировать целый порт или конкретную программу. В нашем случае будет заблокирована конкретная программа, поэтому выбираем первый пункт и нажимаем далее.

Для блокировки конкретной программы, следует выбрать пункт «Путь программы» и выбрать необходимое приложение. Для примера, блокировка будет произведена на браузере Google Chrome. Исполняемый файл браузера находится по пути «C:\Program Files (x86)\Google\Chrome\Application». Его можно выбрать в пункте обзор, или самостоятельно ввести, скопировав путь из проводника.

Выбрав необходимую программу, следует выбрать действие, которое будет применено. Для блокировки, выбираем пункт «Блокировать подключение» и далее.

В следующем окне следует выбрать те профили, к каким будет применено созданное правило блокировки.

В последнем окне необходимо задать имя правилу. Для удобства поиска данной настройки называем её «Блокировка подключения Google Chrome» и подтверждаем действие кнопкой «Готово».

Чтобы вернуть работоспособность браузера необходимо найти созданное правило в списке, нажать по нему ПКМ и выбрать пункт «Отключить». Если в настройке более нет необходимости, её можно удалить.

Стоит понимать, что не все исполнительные файлы относятся к подключению, поэтому в некоторых случаях блокировка может оказаться неэффективной. Чтобы устранить это, следует узнать через что происходит подключение к интернету и уже блокировать данный элемент. К примеру, многие онлайн игры, работающие на Jawa, подключаются к сети через исполнительный файл Jawa, а не собственный. Таким образом для блокировки игры необходимо заблокировать доступ исполнительного файла Jawa.

MikroTik настройка firewall. Connection Tracker

Connection Tracker выполняет следующие функции:

  • Содержит информацию обо всех активных соединениях;
  • Отвечает за управление соединениями;
  • Отвечает за дефрагментацию пакетов;
  • Влияет на загрузку процессора.

Место Connection Tracker на схеме Traffic Flow:

По умолчанию Connection Tracker работает в режиме auto. Это значит, что он будет работать тогда, когда для firewall будет создано хотя бы одно правило. Помимо этого, могут быть установлены следующие режимы:

MikroTik настройка firewall. Connection Tracker
  • Yes – всегда работает.
  • No – отключен. При этом не будут отслеживаться состояния подключений, NAT и большая часть функционала брандмауэра (не будет работать маркировка соединений, протокол L7 и многое другое).
Читайте также:  Установка и настройка сервера терминалов Windows Server 2016

Connection State. Состояние соединений

С помощью правил мы можем обрабатывать пакеты на основании их состояния. Любое соединение будет находиться в одном из следующих состояний:

  • New – это новое соединение. Например, кто-то обращается к нашему маршрутизатору запросом ping и первый пакет что приходит, получит данное состояние;
  • Established – после того как запрос идет дальше, он переходит в состояние установленное;
  • Related – связанное. Такое состояние появляется, например, когда клиент посылает запрос серверу, который недоступен и клиент получает ответ от роутера.
  • Invalid – не идентифицированное. Подключение, которое маршрутизатор не может опознать.
  • Notrack – создается для Raw Filter, минуя Connection Tracker. Поэтому пакеты не фрагментируются.

Connection State не совпадает с TCP State.

Connection List

На вкладке “Connections”, можно увидеть информацию о всех подключениях. Выглядит это следующим образом:

MikroTik настройка firewall. Connection Tracker

Давайте посмотрим какие данные мы можем получить:

  • Src. Address & Port – исходящий IP-адрес и порт;
  • Dst. Address & Port – IP-адрес и порт назначения;
  • Protocol – протокол;
  • Connection Mark – маркировку подключения;
  • Timeout – время жизни соединения;
  • TCP State – состояние TCP соединения (established, close, time-wait, syn-sent, syn-received).

Все свойства, указанные во вкладке Connection List, предназначены только для чтения.

Инструкция по защите RDP подключения

В этой инструкции описаны рекомендуемые действия по защите Вашего сервера.

Переименуйте стандартную учетную запись администратора

Нажмите Win + X и выберите «Управление компьютером»:

Затем выберите «Локальные пользователи» —→ «Пользователи» —→ кликните правой кнопкой мыши по имени пользователя «Администратор» и выберите «Переименовать»:

Инструкция по защите RDP подключения

Переименуйте пользователя и используйте это имя для последующих подключений к удаленному рабочему столу.

Блокировка RDP-подключений для учетных записей с пустым паролем

Усилить безопасность можно запретив подключаться к учетным записям с пустым паролем. Для этого нужно включить политику безопасности «Учетные записи»: разрешить использование пустых паролей только при консольном входе»:

  1. Откройте локальную политику безопасности (нажмите Win + R и введите команду )

  2. Перейдите в раздел «Локальные политики» –-> «Параметры безопасности».

         3. Дважды щелкните на политике «Учетные записи: разрешить использование пустых паролей…» и убедитесь, что она включена:

Вещь полезная, поэтому не оставляйте этот параметр без внимания.

Смена стандартного порта Remote Desktop Protocol

Инструкция по защите RDP подключения

Не лишним будет сменить стандартный порт на котором работает протокол RDP. Как это сделать уже описано в наших инструкциях: Windows Server 2012 и Windows Server 2016.

Защита от буртфорса

Чтобы блокировать множественные попытки подключения с неверными данными, можно отслеживать журнал событий и вручную блокировать атакующие IP адреса посредством брандмауэра Windows или воспользоваться готовым приложением. Последний случай мы рассмотрим подробнее. 

Для блокировки атакующих IP адресов будем использовать свободно распратраняющееся ПО — IPBan. Это приложение проверено и работает в Windows Server 2008 и всех последующие версях. Windows XP и Server 2003 — не роддерживаются.  Алгоритм его работы простой: программа мониторит журнал событий Windows, фиксирует неудачные попытки входа в систему и, после 5-ти попыток злоумышленника подобрать пароль, блокирует IP адрес на 24 часа.

Итак:

  1. Cкачайте архив с программой здесь;
  2. В нем находятся два архива  и , нам нужен последний. Распакуйте архив  в любое удобное место (в примере это корень диска C:);
  3. Так как файлы скачанные с интернета система автоматически блокирует в целях безопасности, для работы приложения необходимо разблокировать все файлы. Щелкните правой кнопкой мыши на все извлеченные файлы и выберите свойства. Обязательно выберите «разблокировать», если этот параметр доступен. Либо, откройте окно PowerShell (Win + R, введите powershell и «ОК») и воспользуйтесь командой следующего вида: get-childitem “местоположение папки” | unblock-file -confirm

    Например:

Читайте также:  Как исправить 100% использование диска в Windows 10

     4. Вам нужно внести следующие изменения в локальную политику безопасности, чтобы убедиться, что в логах системы отображаются IP-адреса. Октройте «Локальную политику безопасности» (Win + R, введите и «OK«). Перейдите  в «Локальные политики» —> «Политика аудита» и включить регистрацию сбоев для «Аудита входа в систему» и «Аудита событий входа в систему»:

Инструкция по защите RDP подключения

     5. Для Windows Server 2008 или эквивалентного вам следует отключить логины NTLM и разрешить только NTLM2-вход в систему. В Windows Server 2008 нет другого способа получить IP-адрес для входа в систему NTLM. Октройте «Локальную политику безопасности» (Win + R, введите и «OK«). Перейдите  в «Локальные политики» —> «Параметры безопасности» —> «Сетевая безопасность: Ограничения NTLM: входящий трафик NTLM» и установите значение «Запретить все учетные записи»:

     6. Теперь необходимо создать службу IPBan, чтобы приложение запускалось при старте системы и работало в фоновом режиме. Запустите оснастку PowerShell (Win + R, введите powershell и «ОК») и выпоните команду типа:

create IPBAN type= own start= auto binPath= c:\»Каталог с программой»\ DisplayName= IPBAN

Например:

 Перейдите в службы (Win + R, введите и «OK«) и запустите службу IPBAN, в дальнейшем она будет запускаться автоматически:

В «Диспетчере задач» можно убедиться, что служба запущена и работает:

Таким образом, программа следит за неудачными попытками авторизации и добавляет неугодные IP адреса в созданное правило для входящих подключений брандмауэра Windows:

Инструкция по защите RDP подключения

Заблокированные IP адреса можно разблокировать вручную. Перейдите на вкладку «Область» в свойствах правила «IPBan_0» и удалите из списка нужный Вам IP адрес:

Уделите должное внимание настройке Firewall

Для серверов Windows Server, доступных через интернет и при этом не находящихся за выделенным устройством, выполняющим функцию фаерволла, Брандмауэр Windows является единственным инструментом защиты внешних подключений к серверу. Отключение неиспользуемых разрешающих и добавление запрещающих правил будет означать, что меньше портов на сервере прослушивают внешний входящий трафик, что снижает вероятность атак на эти порты. Например, для работы стандартного веб-сервера достаточно открыть следующие порты: 80 – HTTP 443 – HTTPS

Для портов, доступ к которым должен оставаться открытым, следует ограничить круг источников подключения путем создания «белого списка» IP-адресов, с которых будут приниматься обращения. Сделать это можно в правилах Брандмауэра Windows. Это обеспечит уверенность в том, что у всех, кому требуется доступ к серверу, он есть, но при этом запрещен для тех, кого «не звали».

Ниже представлен список портов, доступ к которым лучше ограничить только кругом клиентов, внесенных в белый список IP:

… дальше

Для того чтобы не стать жертвой вышеописанных ситуаций, можно, конечно, менять параметры учётных записей и стандартные RDP-порты, блокировать неавторизованные попытки подключения с помощью брандмауэра Windows или сторонних программ типа IPBAN, использовать шифрование и сертификаты, и многое-многое другое. Но для меня самый простым и быстрым способом защиты RDP-подключения к вновь создаваемому серверу является разрешения RDP-доступа к нему только с узлов из доверенной сети.

В RUVDS для этого требуется три простых шага:

… дальше

И начинаем создавать правила: