| Siec TCP/IP || Otoczenie Sieciowe || Poczta || Usnet || FTP || Konto Shellowe || Czat || IRC || Serwer PROXY |

Otoczenie sieciowe - Sieć SMB

utworzono: 29/03/2004 :: modyfikacja: 27/02/2007
autor: Marcin Moczkowski :: glappo (at) banita (dot) pl

Firewall czyli ściana ogniowa - Windows

W Windows XP/2003 oraz w Windows Vista wraz z systemem otrzymujemy wbudowany firewall czyli tzw. ścianę ogniową. Ma ona za zadanie chronić nasz komputer przed niepowołanym dostępem z sieci. W Windows XP/2003 jest to prosty firewall ale do domowych zastosowań zupełnie wystarczający, natomiast w Windows Vista został rozbudowany o szerg nowych funkcji. Umożliwia on też logowanie do pliku odrzuconych i udanych połączeń. Firewall możesz włączyć niezależnie dla każdego z interfejsów sieciowych czyli np. tylko dla połączenia lokalnego. Gdy go włączysz ujrzysz znak kłódki na danym połączeniu w Windows XP/2003 jak na obrazku poniżej.

Natomiast w Windows Vista nie ma już owego znaczenia kłódki przy połączeniach.

Microsoft zwykł nazywać go jako Zapora połączenia internetowego (ICF) w Windows XP/XP SP1, a w XP SP2/2003?vista nazwane jest jako Zapora systemu Windows. Jest to tzw. stanowy filtr pakietów, czyli badający czy dane połączenie zostało zainicjowane z komputera (wtedy jest przepuszczane) czy zostało zainicjowane z sieci (wtedy jest standardowo blokowane). Możliwe jest to dzięki przechowywaniu w jego pamięci tablicy zainicjowanych połączeń z chronionego komputera. Dzięki temu nie musisz się martwić jakoś szczegółową konfiguracją, wystarczy że zapora jest włączona, a ty ewentualnie odblokujesz porty dla danych usług żeby inne komputery mogły. korzystać np. z twoich udostępnionych zasobów. I właśnie konfiguracja Zapory umożliwiająca prawidłowe działanie w otoczeniu sieciowym (m.in. udostępnianie zasobów i przeglądanie sieci) jest poniżej opisana.

 Użytkownicy starszych wersji systemu Windows czyli NT 4.0/2000 oraz 95/98/Me nie posiadają firewalla dostarczonego wraz z systemem. Dlatego powinni zainstalować w razie potrzeby jakiś tego typu program innej firmy, na szczęście jest wiele darmowych i dobrych rozwiązań, które zostały wymienione na końcu strony.

Żeby manipulować przy ustawieniach Firewall musisz zalogować się na konto z grupy Administratorów. Uwaga ta dotyczy systemów Windows z rodziny NT czyli NT 4.0/2000/XP/2003/Vista.

Konfiguracja ICF - Windows XP/XP SP1/2003

W Windows XP Home/Professional bez Service Pack oraz z Service Pack 1 i w Windows 2003 Server Zapora połączenia internetowego (ICF) jest standardowo wyłączona. Żeby ją włączyć należy przejść do "Panel Sterowania" >> "Połączenia sieciowe" i wybierz "Połączenia Lokalne" a z nich "Właściwości". Teraz przejdź do zakładki "Zaawansowane" i zaznacz opcje "Chroń mój komputer i moją sieć ...", jak na obrazku poniżej. Następnie wybierz w tej zakładce "Ustawienia" żeby skonfigurować ICF do działania w otoczeniu sieciowym.

Otworzy ci się okno konfiguracji ICF o nazwie "Ustawienia zaawansowane" w którym musisz dodać tzw. usługi czyli po prostu otworzyć określone porty. Teraz wybierasz więc "Dodaj" w oknie "Ustawienia zaawansowane". Do prawidłowego działania w otoczeniu sieciowym czyli sieci SMB twój system musi mieć otwarte poniższe porty:

  • port: 137, protokół: UDP, opis: NETBIOS Name Service (137 UDP)
  • port: 138, protokół: UDP, opis: NETBIOS Datagram Service (138 UDP)
  • port: 139, protokół: TCP, opis: NETBIOS session service (139 TCP)

opcjonalnie (nie wymagane w wielu sieciach):

Powyższe numery portów wpisujemy w polach "Numer portu zewnętrznego dla tej usługi" oraz "Numer portu wewnętrznego dla tej usługi" (ten sam port), wybierając odpowiednio TCP lub UDP. "Opis usługi" może być dowolny (np. taki jak podałem wyżej), natomiast "Nazwa lub adres IP ... komputera obsługującego tę usługę w sieci" należy wpisać najlepiej adres IP 127.0.0.1, jest to "uniwersalne określenie" lokalnego komputera czyli tego na którym konfigurujesz ICF. Przykład na poniższym obrazku.

Po dodaniu tych usług "Ustawienia zaawansowane", zakładka "Usługi" wygląda mniej więcej tak jak poniżej.

Teraz zalecam przejść do zakładki "Protokół ICMP" i włączyć "Zezwalaj na przychodzące żądania echa", dzięki czemu nasz Windows odpowie na popularny ping. Jest to komenda często stosowana do diagnozowania sieci i dlatego zalecane jest zezwolenie na nią.

Pozostała już tylko zakładka "Rejestrowanie zabezpieczeń", w której możesz włączyć opcje rejestrowania do pliku o odrzuconych i udanych połączeń. Jak lubisz czytać logi warto zaznaczyć co najmniej "Rejestruj porzucone pakiety", pozostałe opcje mogą zostać domyślne.

UWAGA: Włączając zaporę połączenia internetowego (ICF) w Windows XP/XP SP1/2003 blokujesz tylko nieautoryzowany ruch przychodzący. Ruch wychodzący z twego komputera jest dalej poza kontrolą i może być to wykorzystane przez rożnego rodzaju tzw. konie trojańskie i spyware. Miej tez na uwadze gdy włączysz ICF żeby odblokować odpowiednie porty jak opisano powyżej w ujęciu otoczenia sieciowego czyli sieci SMB.

Konfiguracja Zapory Systemu Windows - Windows XP SP2

W Windows XP Home/Professional wraz z Service Pack 2 zaszły poważne zmiany w systemie m.in. w funkcjonowaniu firewalla dawniej zwanego Zaporą Połączenia Internetowego (ICF), a teraz przemianowanego na Zaporą Systemu Windows (Windows Firewall) . Główne różnice nowości w Windows Firewall to:

  • Zapora Systemu Windows jest standardowo włączona.

  • Windows Firewall standardowo zezwala na połączenia w sieci lokalnej związane z otoczeniem sieciowym czyli będą otwarte porty opisane powyżej związane z SMB, nazwane jest to na liście wyjątków jako "Udostępnianie plików i drukarek".

  • Nie jest już to zwykły firewall "stanowy" ale każda aplikacja jaka się chce komunikować z siecią (Internetem) musi być "odhaczona" w Windows Firewall czyli znajdować się na liście wyjątków.

  • Opcje związane z bezpieczeństwem czyli m.in. Windows Firewall są zintegrowane w Centrum zabezpieczeń systemu Windows (Security Center).

Ostatnia wymieniona powyżej cecha czyli Centrum zabezpieczeń systemu Windows (Security Center), jest zupełną nowością wprowadzona wraz z Service Pack 2 do Windows XP. Centrum Zabezpieczeń jest apletem w Panelu Sterowania i ma za zadanie skupić w jednym miejscu najważniejsze rzeczy związane z aspektem bezpieczeństwa systemu Windows XP. Centrum Zabezpieczeń monitoruje trzy podstawowe rzeczy:

  • Zapora systemu Windows

  • Aktualizacje automatyczne

  • Ochronę przed wirusami

Jeśli dana usługa nie jest włączona w pasku zadań koło zegara zostanie wyświetlony odpowiedni komunikat ostrzegawczy. Żeby dostać się do konfiguracji Zapory systemu Windows należy przejść do "Panel Sterowania" >> "Zapora systemu Windows", wtedy ujrzysz okno jak poniżej, gdzie jak łatwo zauważyć powinna być domyślnie włączona zapora.

Zapora systemu Windows (Windows Firewall) posiada trzy tryby pracy:

  • Włącz (zalecane) - jest to domyślny tryb i zalecany podczas normalnej pracy, gdzie jest uwzględniona lista wyjątków.

  • Włącz wraz z opcją "nie zezwalaj na wyjątki" - tryb przeznaczony w czasie różnych zagrożeń np. praca naszego komputera w obcej sieci. Nie jest tu uwzględniania lista wyjątków jak się łatwo domyślić,

  • Wyłącz (nie zalecane) - całkowicie wyłączenie zapory.

Lista wyjątków jest dostępna w drugiej zakładce pt. "Wyjątki" i służy do wyszczególnienia usług (a konkretnie portów na jakich działają) oraz aplikacji które nie będą blokowane przez Zaporę systemu Windows.

Możemy tutaj zauważyć że domyślnie jest włączony wyjątek "Udostępnianie plików i drukarek" żebyśmy mogli korzystać z tych usług na naszym komputerze w sieci LAN (a konkretnie w naszej podsieci adresowej). Domyślnie jest też włączony wyjątek "Pomoc zdalna", który się odnosi do danej aplikacji.

Jeśli jakaś aplikacja będzie się próbowała połączyć samoczynie z siecią LAN lub Internetem zostaniesz zapytany czy na to zezwolić czy ów program zablokować. Poniżej został pokazany przykład z komunikatorem Gadu-Gadu.

Oczywiście możemy również dodać jakiś nowy wyjątek poprzez przycisk "Dodaj program" lub "Dodaj port". Inna możliwość to  wyedytowanie (poprzez "Edytuj") już istniejącego wyjątku, w tym wypadku  "Udostępnianie plików i drukarek", jak pokazano na poniższym obrazku. Do prawidłowego działania w otoczeniu sieciowym czyli sieci SMB twój system musi mieć otwarte poniższe porty, które są ujęte oczywiście w tym wyjatku:

  • port: 137, protokół: UDP, opis: NETBIOS Name Service (137 UDP)
  • port: 138, protokół: UDP, opis: NETBIOS Datagram Service (138 UDP)
  • port: 139, protokół: TCP, opis: NETBIOS session service (139 TCP)

opcjonalnie (nie wymagane w wielu sieciach ale tutaj też zawarte):

 

Poprzez przycisk "Zmień zakres" możesz dodać inne klasy adresowe dla danej usługi lub włączyć ją dla wszystkich adresów.

Jak już skończysz zabawę z wyjątkami przejdź do zakładki "Zaawansowane" w głównym oknie zapory. Zauważ że każde z powyższych ustawień wyjątków może być konfigurowane niezależne dla poszczególnych połączeń, które są dostępne za pomocą tejże zakładki "Zaawansowane".

UWAGA: Owe niezależne konfigurowanie otwartych portów czyli usług dla danych połączeń sprowadzana się do użycia przycisku "Ustawienia" przy owych połączeniach. Co ciekawe okno jakie ci się wtedy otworzy jest dokładnie takie samo jak okno "Usługi" znane z Zapory połączenia internetowego (ICF) obecnej w Windows XP/XP SP1/2003.

W zakładce tej możesz też skonfigurować zaporę dla protokołu ICMP czyli m.in. popularnej usługi ping, poprzez wybranie przycisku "Ustawienia" przy "Protokół ICMP". Domyślnie jest włączone "Zezwalaj na przychodzące żądania echa" czyli ów zwykły ping w "Ustawienia protokołu ICMP". Co ciekawe nie można odznaczyć opcji "Zezwalaj na przychodzące żądania echa" czyli jesteśmy skazani na włączony ping chyba że wybierzemy opcje przy włączonej zaporze "Nie zezwalaj na wyjątki". I dopiero to zablokuje zwykły ping.

Pozostała już tylko opcja "Rejestrowanie zabezpieczeń", w której możesz włączyć opcje rejestrowania do pliku o odrzuconych i udanych połączeń. Jak lubisz czytać logi warto zaznaczyć co najmniej "Rejestruj porzucone pakiety", pozostałe opcje mogą zostać domyślne.

Konfiguracja Zapory Systemu Windows - Windows Vista

W Windows Vista Zapora Systemu Windows (Windows Firewall) została jeszcze bardziej rozbudowa w stosunku do tego co znamy z Windows XP SP2. Główne różnice nowości w Windows Firewall w Windows Vista to:

  • Zapora Systemu Windows jest standardowo włączona.

  • Windows Firewall standardowo zezwala na połączenia w sieci lokalnej związane z otoczeniem sieciowym czyli będą otwarte porty opisane powyżej związane z SMB, nazwane jest to na liście wyjątków jako "Udostępnianie plików i drukarek" i "Odnajdywanie sieci".

  • Nie jest już to zwykły firewall "stanowy" ale każda aplikacja jaka się chce komunikować z siecią (Internetem) musi być "odhaczona" w Windows Firewall czyli znajdować się na liście wyjątków.

  • Opcje związane z bezpieczeństwem czyli m.in. Windows Firewall są zintegrowane w Centrum zabezpieczeń systemu Windows (Security Center).

  • Zapora systemu Windows pozwala teraz skonfigurować poprzez Narzędzia administracyjne o wiele więcej opcji oraz budować pojedyncze reguły. Dodatkowo wszystkie zaawansowane ustawienia Zapory zostały przeniesione właśnie do Narzędzi administracyjnych.

Ostatnia wymieniona powyżej cecha czyli zaawansowana konfiguracja poprzez Narzędzia administracyjne jest zupełną nowością. Jeśli Zapora lun inna usługa związana z bezpieczeństwem nie jest włączona w pasku zadań zostanie wyświetlony odpowiedni komunikat ostrzegawczy. Żeby dostać się do konfiguracji Zapory systemu Windows należy przejść do "Panel Sterowania" >> "Zapora systemu Windows", wtedy ujrzysz okno jak poniżej, gdzie jak łatwo zauważyć powinna być domyślnie włączona zapora.

Zapora systemu Windows (Windows Firewall) posiada trzy tryby pracy:

  • Włącz (zalecane) - jest to domyślny tryb i zalecany podczas normalnej pracy, gdzie jest uwzględniona lista wyjątków.

  • Włącz wraz z opcją "nie zezwalaj na wyjątki" - tryb przeznaczony w czasie różnych zagrożeń np. praca naszego komputera w obcej sieci. Nie jest tu uwzględniania lista wyjątków jak się łatwo domyślić,

  • Wyłącz (nie zalecane) - całkowicie wyłączenie zapory.

Lista wyjątków jest dostępna w drugiej zakładce pt. "Wyjątki" i służy do wyszczególnienia usług (a konkretnie portów na jakich działają) oraz aplikacji które nie będą blokowane przez Zaporę systemu Windows.

Możemy tutaj zauważyć że domyślnie jest włączony wyjątek "Udostępnianie plików i drukarek" i "Odnajdywanie sieci" żebyśmy mogli korzystać z tych usług na naszym komputerze w sieci LAN (a konkretnie w naszej podsieci adresowej). Domyślnie jest też włączony wyjątek "Podstawowe operacje sieciowe". Oczywiście jest to włączone domyślnie o ile mam ustawiony odpowiedni profil sieciowy, ale o tym w dalszej części artykułu.

Jeśli jakaś aplikacja będzie się próbowała połączyć samoczynie z siecią LAN lub Internetem zostaniesz zapytany czy na to zezwolić czy ów program zablokować, podobnie jak w Windows XP SP2.

Oczywiście możemy również dodać jakiś nowy wyjątek poprzez przycisk "Dodaj program" lub "Dodaj port". Inna możliwość to  wyedytowanie (poprzez "Edytuj") już istniejącego wyjątku, nie dotyczy "Udostępnianie plików i drukarek" oraz "Odnajdywanie sieci", których zmienić nie można. Do prawidłowego działania w otoczeniu sieciowym czyli sieci SMB twój system musi mieć otwarte poniższe porty, które są ujęte oczywiście w tym wyjątku:

  • port: 137, protokół: UDP, opis: NETBIOS Name Service (137 UDP)
  • port: 138, protokół: UDP, opis: NETBIOS Datagram Service (138 UDP)
  • port: 139, protokół: TCP, opis: NETBIOS session service (139 TCP)

opcjonalnie (nie wymagane w wielu sieciach ale tutaj też zawarte):

Jak pokazano na obrazkach poniżej wyjątki "Udostępnianie plików i drukarek" oraz "Odnajdywanie sieci", są niezmienialne.

Jak już skończysz zabawę z wyjątkami przejdź do zakładki "Zaawansowane" w głównym oknie zapory. Zauważ możesz tutaj wyłączyć lub włączyć Zaporę niezaleznie dla poszczególnych połączeń, które są dostępne za pomocą tejże zakładki "Zaawansowane".

W zakładce tej nie możesz skonfigurować zaporę dla protokołu ICMP czyli m.in. popularnej usługi ping, jak to było np. Windows XP SP2. Owe dodatkowe ustawienia wywędrowały do "Panel sterowania" >> "Narzędzia administracyjne" >> "Zapora systemu Windows z ustawieniami zaawansowanymi". Włączając ta przystawkę w pierwszej chwili można dostać zawrotu głowy, z powodu ilości opcji jakie tu się znajdują.

Jak widać powyżej, można tutaj ustawić m.in. reguły przychodzące i wychodzące zapory, monitorowanie oraz reguły zabezpieczeń połączeń. Wszystkie te opcje są jeszcze połączone w trzy profile sieciowe analogiczne do tych znanych z "Centrum sieci i udostępniania", czyli:

  • Profil domeny (Windows) - Dostępne wtedy gdy twój komputer jest podłączony do domeny Active Directory, jak to osiągnąć i co to jest możesz przeczytać w Logowanie do Domeny NT.
  • Profil publiczny - Ustawione wtedy gdy komputer jest podłączony bezpośrednio do Internetu lub do sieci o ograniczonym zaufaniu.
  • Profil prywatny - Odpowiednie gdy komputer jest podłączony do sieci domowej lub małej sieci firmowej czyli podsumowując do sieci której ufasz. Najlepiej jak w tego typu sieciach dostęp do Internetu jest realizowany przez np. serwer pełniący rolę bramy, która zapewnia pewien poziom zabezpieczeń owej sieci.
  • Ustawienia protokołu IPSec - brak analogi z "Centrum sieci i udostępniania" no ale jak się można domyślić dotyczy połączeń realizowanych poprzez protokół IPSec.

Oczywiście jest też pokazane jaki jest obecnie używany profil i najlepiej ten jest konfigurować, chociaż w każdym z nich są praktycznie te same opcje. Poniżej jest pokazana konfiguracja Profilu publicznego, gdzie "Stan zapory" jest włączony oraz zarówno połączenia wychodzące i przychodzące są domyślnie blokowane o ile nie znajdują się na liście wyjątków.

W opcji "Rejestrowanie" możesz włączyć opcje rejestrowania do pliku o odrzuconych i udanych połączeń. Jak lubisz czytać logi warto zaznaczyć co najmniej "Rejestruj porzucone pakiety", pozostałe opcje mogą zostać domyślne.

Na koniec zostały nam tylko opcje zgrupowane "Ustawienia", gdzie zostało już tylko ostanie dopieszczacie ustawień zapory jak widać na obrazku poniżej.

Czytanie dziennika firewalla

Jeśli włączyłeś w swoim Windows XP/2003/Vista rejestrowanie porzuconych pakietów lub/i udanych połączeń czasem warto zajęć do pliku dziennika co tam się załapało. Jako że czytanie pliku dziennika pfirewall.log jest trochę nie wygodne mimo że jest plik tekstowy można do tego celu użyć innego programu. takim prostym i darmowym programem do czytania dziennika standardowego firewalla z Windows XP/2003/Vista jest XP Firewall Logger pokazany poniżej. Program ten wyświetla w przystępnej formie zawartość tego dziennika czyli kiedy, jaki adres IP i na jaki port się dostał lub próbował się dostać.

XP Firewall Logger jest do poprania z działu Plikownia.

Pozostałe Firewalle dla Windows

Wbudowany standardowy firewall w Windows XP/2003/Vista posiada tylko podstawowe możliwości filtrowania ale dla wielu użytkowników są one wystarczające. Jednak jeśli od twojego firewalla oczekujesz więcej np. możliwość przekierowania portu lub budowania bardziej skomplikowanych reguł musisz się zainteresować jakimś rozwiązaniem innych firm. Dodatkowo jeśli używasz starszej wersji Windows niż tu opisane czyli Windows 95/98/Me/NT/2000 nie masz w ogóle żadnego firewalla standardowo w systemie i poniższe rozwiązanie jest jedynym żeby filtrować pakiety. Poniżej masz garść odnośników do stron producentów firewalli dla systemów Windows. Niektóre z nich są dostępne obok płatnych wersji również w wersjach darmowych z różnymi zastrzeżeniami inne tylko płatne. Możliwości poniższych firewalli też są różnorakie i nie zawsze darmowe znaczy najgorsze:



Drukuj Dokument