Wątek zamknięty

[Rozwiązany] Zapora Windows - jak całkiem zablokować komputer

 
tarko
Wdrażany
Liczba postów: 10
Post: #1

Zapora Windows - jak całkiem zablokować komputer


Chcę utworzyć całkowita blokadę na moim komputerze dotyczaca jednego konkretnego komputera w sieci. W tym celu nadalem temu drugiemu komputerowi staly adres IP i ustawilem jego adres jako punkt koncowy numer 1. Jako punkt koncowy numer 2 pozostawilem "Dowolny adres IP" bo nie bardzo wiem co to oznacza. Utworzylem nowa regule zabezpieczen w zaporze Windows. W zakladce "Protokoly i porty" jest rozwijalne pole gdzie mozna podac jakich protokolow ma dotyczyc regula - w moim przypadku chce zabezpieczyc wszystkie protokoly.

Ale jak wybieram pierwsza opcje, "Dowolny" to wtedy po zapisaniu reguly wybiera mi sie automatycznie protokol HOPOPT. Czyli to chyba tak nie dziala.

Drugie podejscie - moze trzeba utworzyc tyle regul ile jest protokolow. Zaczne od ICMP bo to najlatwiej sprawdzic. Ustawiam dwie reguly: jedna na ICMPv4 druga na ICMPv6 i puszczam pinga na blokowany komputer, ping dziala. Czyli blokada nie dziala.

W takim razie:

1. jak ustawic blokade na ICMP (tak, zeby ping nie dzialal)?
2. czy aby zablokowac wszystkie protokoly, trzeba ustanawiac po 1 regule na kazdy czy mozna jakos krocej?
3. czy jest w Windowsie metoda sprawdzenia czy blokada dla danego protokolu dziala, czyli czy mozna puscic testowo pakiet danym protokolem - jak?
Notatka została dodana nie znane. Ostatnia edycja dokonana 16.07.2011 09:56 przez peciaq:

Na forum używamy polskich znaków - proszę popraw.
Tytuł poprawiono.

16.07.2011 09:25

Znajdź wszystkie posty użytkownika
thermalfake
Ostatni Mohikanin

Liczba postów: 13.580
Post: #2

RE: Zapora Windows - jak całkiem zablokować komputer


Reguły przychodzące -> Nowa reguła -> Reguła Niestandardowa
Usługi - >Dostosuj -> Zastosuj do wszystkich programów i usług
Typ protokołu -> Dowolny
Których lokalnych adresów dotyczy reguła -> Wpisujesz adres IP kompa (chodzi tylko o adresy sieci w LAN)
Których zdalnych adresów dotyczy reguła -> Zostawiasz puste bo chodzi o adresy spoza puli Twojej sieci czyli WAN
Zablokuj połączenie
Zastosowanie reguły Prywatny/Publiczny

[Obrazek: 2089620800_1406976151.png]

W zamian za pomoc oczekuję poprawnej pisowni. Stop niechlujstwu.
Jak mądrze zadawać pytania? - przejrzyj poradnik na forum.
Nie udzielam porad via PW.

16.07.2011 16:24

Znajdź wszystkie posty użytkownika
tarko
Wdrażany
Liczba postów: 10
Post: #3

RE: Zapora Windows - jak całkiem zablokować komputer


Właśnie dokładnie tak zrobiłem. I oprócz tego tak samo regułę przychodzaca. Po zaakceptowaniu nowej reguły utworzonej tym sposobem, pojawia się ona na liście reguł i ma w kolumnie "Protokół" napisane HOPOPT. Nie wiem czy to dlatego że jest on pierwszy a reszta się nie mieści, czy jakimś sposobem opcja "Dowolny" zmienia się w HOPOPT.

Poza tym jak juz mam tę regułę, to puszczenie pinga pod zablokowany adres jest mozliwe, tzn dostaję od niego normalna odpowiedź, a powinno byc zablokowane, bo ping uzywa ICMP a więc jest to jeden z "Dowolnych" protokołów. Czyli blokada nie działa.

16.07.2011 19:33

Znajdź wszystkie posty użytkownika
thermalfake
Ostatni Mohikanin

Liczba postów: 13.580
Post: #4

RE: Zapora Windows - jak całkiem zablokować komputer


Też to sprawdziłem i jestem zawiedziony. Specem od bezpieczeństwa nie jestem.

[Obrazek: 2089620800_1406976151.png]

W zamian za pomoc oczekuję poprawnej pisowni. Stop niechlujstwu.
Jak mądrze zadawać pytania? - przejrzyj poradnik na forum.
Nie udzielam porad via PW.

16.07.2011 21:06

Znajdź wszystkie posty użytkownika
tarko
Wdrażany
Liczba postów: 10
Post: #5

RE: Zapora Windows - jak całkiem zablokować komputer


Czy może w takim razie ktoś wie jak to zrobić?

19.07.2011 08:20

Znajdź wszystkie posty użytkownika
dhapollo
VIP

Liczba postów: 755
Post: #6

RE: Zapora Windows - jak całkiem zablokować komputer


Witam.

Pytanie czy komputer ma niemieć dostępu do sieci?
Odłącz kabelek sieciowy, wyłącz kartę sieciową.
Czy może jednak jakieś usługi mają przechodzić? np. aktualizacje, sieć lokalna, komunikator, a może tylko www?

Określ dokładniej mi co ma być zablokowane a co nie.

Blokujemy CAŁY ruch sieciowy na kompie:
1. Otwieramy ustawienia zapory windows
1.1 Reguły przychodzące -> Nowa reguła -> Port
1.2 TCP > Wszystkie porty lokalne
1.3 Zablokuj połączenie
1.4 Zaznaczasz wszystkie profile sieciowe
1.5 Dajesz opis blokady

Powyższe punkty wykonaj dodatkowo dla protokołu UDP i połączeń wychodzących (TCP, i UDP)

Jeśli chcemy zezwolić tylko na pocztę to blokujemy porty 0-24, 26-109, 111-65535
Jeśli chcemy dodać możliwość przeglądania tylko stron www 0-52, 54-79, 81-65535 (nie otwiera https czyli np.: logowania do mbanku)
Działa poczta, www (z https) 0-24, 26-52, 54-79, 81-109, 111-65535

Mam nadzieje, że dobrze Cię zrozumiałem?

[Obrazek: sygnatura.jpg]

19.07.2011 10:45

Znajdź wszystkie posty użytkownika
tarko
Wdrażany
Liczba postów: 10
Post: #7

RE: Zapora Windows - jak całkiem zablokować komputer


Na moim komputerze chcę się odgrodzić od drugiego komputera o określonym numerze IP, całkowicie, w takiej typowej lokalnej sieci windowsowej. Żebyśmy nie mogli się nawzajem pingać, żeby nie było możliwości, że jakiś program tam zainstalowany będzie miał dostęp do moich portów na komputerze. Inne komputery mogą mieć dostęp. Technicznie to się chyba nazywa blokada protokołów. Nie mam wpływu na to, czy tamten komputer ma kabelek sieciowy czy nie, bo to nie jest mój komputer. Ale na pewno ma i mieć będzie. Ja też oczywiście chcę mieć dostęp do internetu.

Wydaje mi się, że Zapora Windows służy właśnie dokładnie do tego celu (jeśli nie, to do jakiego?). Tylko nie wiem jak to zrobić, napisałem co zrobiłem i że nie zadziałało. A tego co zrozumiałem powyżej, u innych też niekoniecznie działa.
(Ten post był ostatnio modyfikowany: 19.07.2011 11:11 przez tarko.)

19.07.2011 11:05

Znajdź wszystkie posty użytkownika
dhapollo
VIP

Liczba postów: 755
Post: #8

RE: Zapora Windows - jak całkiem zablokować komputer


To się nie zrozumieliśmy, musimy poczekać do weekendu, wtedy na spokojnie po testuję. Niestety na szybko nic nie wychodziSmutny

[Obrazek: sygnatura.jpg]

19.07.2011 11:59

Znajdź wszystkie posty użytkownika
tarko
Wdrażany
Liczba postów: 10
Post: #9

RE: Zapora Windows - jak całkiem zablokować komputer


Będę wdzięczny. W razie czego w przyszłym tygodniu jeszcze raz zapytam.

19.07.2011 12:23

Znajdź wszystkie posty użytkownika
dhapollo
VIP

Liczba postów: 755
Post: #10

RE: Zapora Windows - jak całkiem zablokować komputer


Witam ponownie.

Rozpoczynam testy. Obecnie na laptopie mam Windows 7 na którym ma udostępnione udziały, komputer ma tylko zaporę systemową. W sieci jest widoczny mogę wejść do udostępnionego udziału i pingować maszynę z sieci.

Test 1.
Wyłączyłem wszystkie reguły przychodzące.
Efektem jest brak możliwości pingowania maszyny oraz dostania się do niej z sieci.

Test 2.
Usunięcie wszystkich reguł przychodzących daje efekt taki sam jak Test 1.

Test 3.
Cel: Zablokowanie pingów z konkretnego IP
Potrzebne dwie maszyny do których mamy dostęp. (3 maszyny korzystają tylko z TCP/IP v4 protokół w v6 jest wyłączony)
Na maszynie która zabezpieczamy, nic nie usuwamy z połączeń przychodzących.
Reguły zabezpieczeń połączeń > Nowa reguła > niestandardowa > w punkcie końcowym 1 dodajemy IP do zablokowania > Wymagaj uwierzytelnienia połączeń przychodzących i wychodzących > Komputer (Kerberos V5) > typ portu ustawiamy na ICMPv4 > zaznaczamy wszystkie profile > podajemy nazwę np. Ping
Jeśli używasz protokołu TCP/IP v6 dodaj kolejny wpis jak wyżej tylko zmień typ porty na ICMPv6
Jeśli zaznaczysz typ portu na DOWOLNY to niestety nie działa zabezpieczenieSmutny

Test 4.
Cel: Jedna reguła blokuje cały ruch z danego IP

Reguły zabezpieczeń połączeń > Nowa reguła > izolacja > wymagaj uwierzytelnienia połączeń przychodzących i wychodzących > Komputer (Kerberos v5) > zaznaczamy wszystkie profile > Dajemy nazwę np. blokada
W tym monecie mam odcięty komp od całej sieci lokalnej (nie widać nas, nie odpowiadamy na pingi).
W celu "ukrycia" się przed konkretnym IP klikamy dwukrotnie na naszym wpisie przechodzimy do zakładki komputery i w polu punkt końcowy 1 dodajemy adres jaki chcemy zablokować i zapisujemy zmiany.

Test przeprowadziłem na 3 maszynach pracujących w domenie wynik pozytywny w 100%:
Windows 7 > windows XP
Windows 7 > Linux

Jestem ciekawy czy u innych również zadziała. Jeśli ktoś znalazł inny sposób to jestem bardzo ciekawy jakiUśmiechnięty
Osobiście uważam iż problem został rozwiązany.

[Obrazek: sygnatura.jpg]

20.07.2011 23:33

Róża Podziękowania od: tarko
Znajdź wszystkie posty użytkownika
tarko
Wdrażany
Liczba postów: 10
Post: #11

RE: Zapora Windows - jak całkiem zablokować komputer


Przetestowałem toczka w toczkę u siebie i muszę powiedzieć, że jest sukces. Test 4 zadziałał od razu, a Test 3 też zadziałał, chociaż w zasadzie nic nie zmieniłem (utworzyłem tylko blokadę połączeń(Test 4) a potem ją wyłączyłem, żeby przetestować blokadę zapory i o dziwo po tych zabiegach zadziałała), a poprzednio na pewno nie działał. No ale ta druga metoda jest i tak wygodniejsza bo załatwia wszystko za jednym razem.

Ale czytam dokumentację do zapory i tam jest napisane:
"Zapora systemu Windows z zabezpieczeniami zaawansowanymi zawiera zaporę hosta i zabezpieczenia protokołu internetowego (IPsec). "
"Aplikacja Zapora systemu Windows z zabezpieczeniami zaawansowanymi jest zaporą stanową, która bada i filtruje wszystkie pakiety dla ruchu protokołu IP w wersji 4 (IPv4) i IP w wersji 6 (IPv6). "

A co z pozostałymi protokołami? Czy na komputerze X może być zainstalowane oprogramowanie, które będzie się łączyło z moim komputerem za pomocą innego protokołu niż IP, albo w ogóle bez protokołu tylko bezpośrednio, czy to jest w ogóle możliwe i czy warto się zainteresować tym tematem żeby mieć 100% pewność?

We właściwościach karty sieciowej mam takie protokoły włączone, o ile to ma jakieś znaczenie:

RE: Zapora Windows - jak całkiem zablokować komputer

21.07.2011 17:30

Znajdź wszystkie posty użytkownika
dhapollo
VIP

Liczba postów: 755
Post: #12

RE: Zapora Windows - jak całkiem zablokować komputer


Skoro pomogło podziękuj klikając POMÓGŁ
Wyłącz protokół TCP/IPv6 a resztę pozostaw tak jak jest.

[Obrazek: sygnatura.jpg]

21.07.2011 18:52

Znajdź wszystkie posty użytkownika
Wątek zamknięty

Podobne wątki
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
Wolny internet - co przyczyną, blokada czy zapora? werbatin 1 4.010 25.12.2013 21:38
Ostatni post: thermalfake
Problem z internetem/zaporą - gra DonOmar18 2 1.272 02.11.2013 14:02
Ostatni post: DonOmar18
Komputer z Windows 7 nie może się połączyć z internetem Goldiak 6 2.390 18.06.2013 20:43
Ostatni post: Magnetar
Problem z grupą domową: nie można zablokować dostępu do plików jednemu członkowi nomoreground 14 5.068 20.07.2012 15:16
Ostatni post: nomoreground
« Starszy wątek | Nowszy wątek »

Temat został oceniony na 0 w skali 1-5 gwiazdek.
Zebrano 1 głosów.