Chcę utworzyć całkowita blokadę na moim komputerze dotyczaca jednego konkretnego komputera w sieci. W tym celu nadalem temu drugiemu komputerowi staly adres IP i ustawilem jego adres jako punkt koncowy numer 1. Jako punkt koncowy numer 2 pozostawilem "Dowolny adres IP" bo nie bardzo wiem co to oznacza. Utworzylem nowa regule zabezpieczen w zaporze Windows. W zakladce "Protokoly i porty" jest rozwijalne pole gdzie mozna podac jakich protokolow ma dotyczyc regula - w moim przypadku chce zabezpieczyc wszystkie protokoly.
Ale jak wybieram pierwsza opcje, "Dowolny" to wtedy po zapisaniu reguly wybiera mi sie automatycznie protokol HOPOPT. Czyli to chyba tak nie dziala.
Drugie podejscie - moze trzeba utworzyc tyle regul ile jest protokolow. Zaczne od ICMP bo to najlatwiej sprawdzic. Ustawiam dwie reguly: jedna na ICMPv4 druga na ICMPv6 i puszczam pinga na blokowany komputer, ping dziala. Czyli blokada nie dziala.
W takim razie:
1. jak ustawic blokade na ICMP (tak, zeby ping nie dzialal)?
2. czy aby zablokowac wszystkie protokoly, trzeba ustanawiac po 1 regule na kazdy czy mozna jakos krocej?
3. czy jest w Windowsie metoda sprawdzenia czy blokada dla danego protokolu dziala, czyli czy mozna puscic testowo pakiet danym protokolem - jak?
Reguły przychodzące -> Nowa reguła -> Reguła Niestandardowa
Usługi - >Dostosuj -> Zastosuj do wszystkich programów i usług
Typ protokołu -> Dowolny
Których lokalnych adresów dotyczy reguła -> Wpisujesz adres IP kompa (chodzi tylko o adresy sieci w LAN)
Których zdalnych adresów dotyczy reguła -> Zostawiasz puste bo chodzi o adresy spoza puli Twojej sieci czyli WAN
Zablokuj połączenie
Zastosowanie reguły Prywatny/Publiczny
Właśnie dokładnie tak zrobiłem. I oprócz tego tak samo regułę przychodzaca. Po zaakceptowaniu nowej reguły utworzonej tym sposobem, pojawia się ona na liście reguł i ma w kolumnie "Protokół" napisane HOPOPT. Nie wiem czy to dlatego że jest on pierwszy a reszta się nie mieści, czy jakimś sposobem opcja "Dowolny" zmienia się w HOPOPT.
Poza tym jak juz mam tę regułę, to puszczenie pinga pod zablokowany adres jest mozliwe, tzn dostaję od niego normalna odpowiedź, a powinno byc zablokowane, bo ping uzywa ICMP a więc jest to jeden z "Dowolnych" protokołów. Czyli blokada nie działa.
Też to sprawdziłem i jestem zawiedziony. Specem od bezpieczeństwa nie jestem.
Czy może w takim razie ktoś wie jak to zrobić?
Witam.
Pytanie czy komputer ma niemieć dostępu do sieci?
Odłącz kabelek sieciowy, wyłącz kartę sieciową.
Czy może jednak jakieś usługi mają przechodzić? np. aktualizacje, sieć lokalna, komunikator, a może tylko www?
Określ dokładniej mi co ma być zablokowane a co nie.
Blokujemy CAŁY ruch sieciowy na kompie:
1. Otwieramy ustawienia zapory windows
1.1 Reguły przychodzące -> Nowa reguła -> Port
1.2 TCP > Wszystkie porty lokalne
1.3 Zablokuj połączenie
1.4 Zaznaczasz wszystkie profile sieciowe
1.5 Dajesz opis blokady
Powyższe punkty wykonaj dodatkowo dla protokołu UDP i połączeń wychodzących (TCP, i UDP)
Jeśli chcemy zezwolić tylko na pocztę to blokujemy porty 0-24, 26-109, 111-65535
Jeśli chcemy dodać możliwość przeglądania tylko stron www 0-52, 54-79, 81-65535 (nie otwiera https czyli np.: logowania do mbanku)
Działa poczta, www (z https) 0-24, 26-52, 54-79, 81-109, 111-65535
Mam nadzieje, że dobrze Cię zrozumiałem?
Na moim komputerze chcę się odgrodzić od drugiego komputera o określonym numerze IP, całkowicie, w takiej typowej lokalnej sieci windowsowej. Żebyśmy nie mogli się nawzajem pingać, żeby nie było możliwości, że jakiś program tam zainstalowany będzie miał dostęp do moich portów na komputerze. Inne komputery mogą mieć dostęp. Technicznie to się chyba nazywa blokada protokołów. Nie mam wpływu na to, czy tamten komputer ma kabelek sieciowy czy nie, bo to nie jest mój komputer. Ale na pewno ma i mieć będzie. Ja też oczywiście chcę mieć dostęp do internetu.
Wydaje mi się, że Zapora Windows służy właśnie dokładnie do tego celu (jeśli nie, to do jakiego?). Tylko nie wiem jak to zrobić, napisałem co zrobiłem i że nie zadziałało. A tego co zrozumiałem powyżej, u innych też niekoniecznie działa.
To się nie zrozumieliśmy, musimy poczekać do weekendu, wtedy na spokojnie po testuję. Niestety na szybko nic nie wychodzi
Będę wdzięczny. W razie czego w przyszłym tygodniu jeszcze raz zapytam.
Witam ponownie.
Rozpoczynam testy. Obecnie na laptopie mam Windows 7 na którym ma udostępnione udziały, komputer ma tylko zaporę systemową. W sieci jest widoczny mogę wejść do udostępnionego udziału i pingować maszynę z sieci.
Test 1.
Wyłączyłem wszystkie reguły przychodzące.
Efektem jest brak możliwości pingowania maszyny oraz dostania się do niej z sieci.
Test 2.
Usunięcie wszystkich reguł przychodzących daje efekt taki sam jak Test 1.
Test 3.
Cel: Zablokowanie pingów z konkretnego IP
Potrzebne dwie maszyny do których mamy dostęp. (3 maszyny korzystają tylko z TCP/IP v4 protokół w v6 jest wyłączony)
Na maszynie która zabezpieczamy, nic nie usuwamy z połączeń przychodzących.
Reguły zabezpieczeń połączeń > Nowa reguła > niestandardowa > w punkcie końcowym 1 dodajemy IP do zablokowania > Wymagaj uwierzytelnienia połączeń przychodzących i wychodzących > Komputer (Kerberos V5) > typ portu ustawiamy na ICMPv4 > zaznaczamy wszystkie profile > podajemy nazwę np. Ping
Jeśli używasz protokołu TCP/IP v6 dodaj kolejny wpis jak wyżej tylko zmień typ porty na ICMPv6
Jeśli zaznaczysz typ portu na DOWOLNY to niestety nie działa zabezpieczenie
Test 4.
Cel: Jedna reguła blokuje cały ruch z danego IP
Reguły zabezpieczeń połączeń > Nowa reguła > izolacja > wymagaj uwierzytelnienia połączeń przychodzących i wychodzących > Komputer (Kerberos v5) > zaznaczamy wszystkie profile > Dajemy nazwę np. blokada
W tym monecie mam odcięty komp od całej sieci lokalnej (nie widać nas, nie odpowiadamy na pingi).
W celu "ukrycia" się przed konkretnym IP klikamy dwukrotnie na naszym wpisie przechodzimy do zakładki komputery i w polu punkt końcowy 1 dodajemy adres jaki chcemy zablokować i zapisujemy zmiany.
Test przeprowadziłem na 3 maszynach pracujących w domenie wynik pozytywny w 100%:
Windows 7 > windows XP
Windows 7 > Linux
Jestem ciekawy czy u innych również zadziała. Jeśli ktoś znalazł inny sposób to jestem bardzo ciekawy jaki
Osobiście uważam iż problem został rozwiązany.
Przetestowałem toczka w toczkę u siebie i muszę powiedzieć, że
jest sukces. Test 4 zadziałał od razu, a Test 3 też zadziałał, chociaż w zasadzie nic nie zmieniłem (utworzyłem tylko blokadę połączeń(Test 4) a potem ją wyłączyłem, żeby przetestować blokadę zapory i o dziwo po tych zabiegach zadziałała), a poprzednio na pewno nie działał. No ale ta druga metoda jest i tak wygodniejsza bo załatwia wszystko za jednym razem.
Ale czytam dokumentację do zapory i tam jest napisane:
"Zapora systemu Windows z zabezpieczeniami zaawansowanymi zawiera zaporę hosta i zabezpieczenia
protokołu internetowego (IPsec). "
"Aplikacja Zapora systemu Windows z zabezpieczeniami zaawansowanymi jest zaporą stanową, która bada i filtruje wszystkie pakiety dla ruchu
protokołu IP w wersji 4 (IPv4) i IP w wersji 6 (IPv6). "
A co z pozostałymi protokołami? Czy na komputerze X może być zainstalowane oprogramowanie, które będzie się łączyło z moim komputerem za pomocą innego protokołu niż IP, albo w ogóle bez protokołu tylko bezpośrednio, czy to jest w ogóle możliwe i czy warto się zainteresować tym tematem żeby mieć 100% pewność?
We właściwościach karty sieciowej mam takie protokoły włączone, o ile to ma jakieś znaczenie:
![[Obrazek: kartan.png]](http://img402.imageshack.us/img402/6158/kartan.png)
Skoro pomogło podziękuj klikając POMÓGŁ
Wyłącz protokół TCP/IPv6 a resztę pozostaw tak jak jest.