جلسه 24- آشنایی با فایروال ویندوز و نکات و تنظیمات مربوط به آن – بخش دوم
توسط
- 2011-01-29 - 12:04 PM (بازدید: 9905)
|
سلام مجدد به دوستان
بحث را با فایروال ویندوز ادامه میدهیم.
گفتیم که با رفتن به برگۀ Advanced و قسمت Logging میتوانیم تعیین کنیم که فعالیتهای فایروال در یک فایل ثبت و نگهداری شوند که آدرس این فایل به صورت پیشفرض X:\WINDOWS\pfirewall.log میباشد.
بیایید مختصرا نگاهی به این فایل داشته باشیم و ببینیم چه فیلدهایی را در خود ذخیره میکند. با باز کردن فایل مورد نظر متوجه میشویم که این مقادیر برای هر ارتباط در آن نگهداری میشوند :
ابتدا این نوشتهها را میبینیم که در واقع سرشناسۀ فایل مورد نظر هستند :
#Version: 1.5
#Software: Microsoft Windows Firewall
#Time Format: Local
پس از آن میتوان گزارش ارتباطات را در فیلدهای زیر دید :
#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsyn tcpack tcpwin icmptype icmpcode info path
قسمتهایی که فعلا برای ما مهم هستند ببینید. منظورم زمان، تاریخ، نوع پروتکل، آدرس مبدا و مقصد و .. هستند. بقیه هم چیز خاصی نیست و احتمالا در Network+ با آنها آشنایی پیدا کردهاید. بهرحال در این قسمت موارد مهم مد نظر ما زمان برقرای ارتباط، نوع پروتکل استفاده شده، اینکه ارتباط برقرار شده یا فایروال جلوی آن را گرفته و مواردی از این دست میباشد.
حال به نمونهای از ارتباطات ثبت شده دقت کنید :
2011-01-23 20:57:29 DROP TCP 209.85.149.101 192.168.0.10 80 3061 48 SA 3208540131 3247649899 5720 - - - RECEIVE
2011-01-23 20:57:30 DROP TCP 209.85.149.101 192.168.0.10 80 3061 48 SA 3208540131 3247649899 5720 - - - RECEIVE
2011-01-23 20:57:30 CLOSE UDP 192.168.0.10 4.2.2.4 3363 53 - - - - - - - - -
2011-01-23 20:57:30 CLOSE UDP 192.168.0.10 4.2.2.4 13018 53 - - - - - - -
تفسیر این خطوط با خود شما
این فایل را میتوانید به راحتی داخل نرمافزاری مثل اکسل ببرید و گزارشات و جستجوهای دلخواه خود را در آن پیادهسازی نمایید. همانند شکل زیر :
استثنا کردن یک برنامه یا سرویس در فایروال ویندوز
خوب برویم سراغ یکی از موارد پرکاربرد و آن تعریف استثنا یا Exception در فایروال ویندوز است مسالهای که در هر فایروال دیگری هم قطعا با آن برخورد خواهید داشت.
گفتیم که به صورت پیشفرض ویندوز هر ترافیک درخواست نشده و ناخواندهای را بلوکه میکند. اما این مساله در بسیاری از اوقات مشکلساز میود چرا که برنامهها و سرویسهایی هستند که میخواهیم از این قائده مستثنی باشند.
برای مثال فرض کنید روی رایانۀ خود فایلهایی را به اشتراک گذاشتهاید و بقیه میخواهند به سیستم شما وصل شده و آنها را بردارند. این کار از طریق سرویس Files And Printer Sharing امکانپذیر است اما اگر فایروال جلوی آن را گرفته باشد این کار عملا امکانپذیر نیست. بنابراین باید به ویندوز بگوییم که از این سرویس بگذر و فایروال را برای آن نادیده بگیر.
حتما دقت کردهاید که در قسمت فایروال ویندوز گزینهای به نام Exception وجود دارد. برخی سرویسهای مهم و پرکاربرد مثل همین Sharing و Remote Desktop در این بخش دیده میشوند و شما فقط کافیست که تیک کنار آنها را بزنید تا به عنوان استثنا در نظر گرفته شوند.
قبل از اینکه مراحل اضافه کردن یک استثنا برای برنامه یا پورت خاصی را شرح دهیم به این نکته دقت داشته باشید که این کار (تعریف استثنا) هم به صورت کلی یا Global و هم جداگانه برای هر ارتباط (Per Connection) قابل انجام است. بنابراین اگر میخواهید تعریف فقط برای یک اتصال خاص انجام شود به سراغ برگۀ Advanced بروید، Connection خود را انتخاب کنید و سپس استثنا را تعریف کنید. تصویر زیر را ببینید :
کاربرد این مساله هم مشخص است. فرض کنید شما دو کارت شبکه دارید که یکی به اینترنت و دیگری به شبکۀ داخلی وصل است. از سوی دیگر شما میزبان یک وب سایت هم روی رایانۀ خود هستید و میخواهید این سایت فقط برای کاربران شبکۀ داخلی شما قابل رویت باشد. بنابراین تعریف استثنای مربوطه یعنی پورت 80 (اگر فرض بر HTTP باشد) فقط باید روی ارتباط شما با شبکۀ داخلی انجام شود.
مطلب مهم دیگر آن است که بدانید بسته و باز بودن یک پورت در حالت کلی و یا روی یک اتصال در کنار هم چه نتیجهای خواهد داشت و در واقع الگوی تصمیم گیری در این میان چیست. پس جدول زیر را با دقت ببینید
تعریف استثنا برای یک برنامه
کار بسیار راحت است. به برگۀ تعریف استثنا بروید (در حالتی که مد نظرتان است؛ سراسری یا برای یک اتصال خاص). کلید Add Program را بزنید و برنامۀ مد نظر خود را آدرسدهی کرده و معرفی نمایید.
کاربرد این قضیه در مورد برنامههایی است که با شبکه و اینترنت زیاد کار دارند. برای مثال وقتی Teamviewer را نصب یا برای اولین بار اجرا میکنید به شما میگوید که برای دستیابی به عملکرد صحیح باید این برنامه را به صورت استثنا تعریف کنید چرا که با شبکه زیاد کار دارد و نباید جلوی ترافیک آن گرفته شود. (و البته معمولا با زدن کلید OK خود برنامه به صورت خودکار این کار را برای شما انجام میدهد)
برای مثال به تصویر زیر دقت کنید. برنامۀ Cleartool میگوید که برای کارکرد صحیح نیاز به عبور از فایروال دارد و نباید بلوکه شود.
تعریف استثنا برای یک پورت
این مطلب نیز کاربرد بسیار زیادی دارد. خیلی اوقات شما باید راه را برای اتصال از طریق یک سرویس و پورت مورد نظر آن باز کنید و برنامۀ خاصی مد نظر نیست. برای مثال یک وب دارید که پیش فرض پیکربندی شده و از همان پورت TCP 80 استفاده میکند. خوب ! برنامۀ خاصی مد نظر نیست اما این پورت باید باز شود و یا بهتر بگوییم در فایروال به عنوان استثنا تعریف گردد.
باز هم مراحل کار ساده است. این بار کلید Add Port را بزنید. نامی برای این پورت انتخاب کرده، شماره و نوع آن (TCP,UDP) را وارد کنید. به همین سادگی
تعریف محدوده یا Scope برای استثناها
یکی از مواردی که کاربرد زیادی دارد و اکثر تازهکارها هم به آن بیتوجه هستند بحث تعریف یک محدوده یا Scope برای استثناهای تعریف شده است. اجازه بدهید با یک مثال مساله را کاملا شفاف نمایم.
شما ادمین شبکهای هستید که در آن چند رنج آدرس وجود دارد و به اینترنت هم وصل است. رنج آدرس شما 192.168.10.x است با پوشش شبکۀ /24 و بقیه از 192.168.11.x هستند تا 192.168.15.x. خوب ! صورت مساله چیست ؟ شما سرورهایی دارید که باید با Remote Desktop به آنها وصل بشوید و مدیریت شان کنید و این یعنی سرویس و پورت RDP باید روی سرور مربوطه باز شود. اما یک خطر و ریسک امنیتی وجود دارد ! با این کار شما راه را برای اتصال همه به سمت سرور باز کردهاید ! اینجاست که محدودهبندی به کمک شما میآید.
پس از تعریف یک استثنا میبینید که در قسمت پایین بخشی به نام Change Scope دارد. آن را کلیک کنید تا گزینههای زیر ظاهر شوند :
گزینۀ اول که قطعا افتضاح است . هر شبکه و رایانهای حتی آنها که در اینترنت هستند.
گزینۀ دوم کمی بهتر است. میگوید آنهایی که فقط در همان رنج آدرس و S/M من هستند. شاید برای برخی دوستان این سوال پیش بیاید که مگر از آدرسهای دیگر میتوان به این آدرس وصل شد. جواب مثبت است و در بحثهای مسیردهی یا Routing به آن خواهیم رسید.
گزینۀ سوم پیشرفتهترین حالت است و شما در آن دقیقا میگویید چه آدرسی و چه رنجهایی میتوانند از این طریق به سیستم وصل شوند و در واقع این استثنا برای آنها معتبر است.
تعریف Ping به عنوان استثنا در فایروال
گمان میکنم تنها جایی که به آن نپرداختیم برگۀ ICMP در برگۀ Advanced است. میدانیم که دستور Ping دستور سادهای است که میتواند در بررسی وضعیت رایانهها و دیگر تجهیزات کمک فراوانی به یک مدیر شبکه بنماید. این دستور با پروتکل ICMP کار میکند و توضیح در خصوص آن فراوان است. چیزی که در اینجا به دنبال آن هستیم تعریف Ping به عنوان استثنا است.
گفتیم که پیشفرض همۀ ترافیکها بلوکه میشوند پس درخواست Ping از رایانه هم شامل این مساله میشود. وقتی شما رایانهای را Ping میکنید یک Echo به سمت آن میفرستید که برمیگردد و شما از سلامت آن مطمئن میشود. بنابراین در برگۀ مذکور با زدن تیک کنار عبارت Allow Incoming Echo Request اجازه میدهیم که یک درخواست به سمت رایانۀ ما بفرستد و جواب آن را دریافت کند و به عبارت سادهتر بتواند ما را Ping کند.
بقیۀ موارد را اگر خواستید میتوانید خودتان در کتاب 70-270 مطالعه کنید.
موفق باشید و تا جلسۀ بعد خدانگهدار
شدیدا منتظر نظرات شما، امتیازهایتان تا ببینم کدام مطلب به درد بخورتر بوده و مطالب تکمیلی و ایرادهای وارده به این مطالب هستم.