Toimiva palomuuri (myös win2000)

eero
Site Admin
Viestit: 329
Liittynyt: 07 Marras 2007 20:17

Toimiva palomuuri (myös win2000)

Viesti Kirjoittaja eero »

"Tee-se-itse palomuuri"

Windows 2000 sisältämä IPSec-toiminto tarjoaa mahdollisuuden luoda palomuuri turvautumatta ulkopuolisiin, kaupallisiin ohjelmiin kuten ZoneAlarm tai Kerio. IPSec-säännöstön avulla on mahdollista luoda portteihin ja protokolliin perustuva perustason palomuuri, jonka hallinta ja konfigurointi on helppoa.
Ennen kuin asennat IPSec-palomuurin,varmista ettei sinulla ole entuudestaan voimassa olevaa IPSEC-säännöstöä muutoin se ylikirjoitetaan.
Seuraavat toiminnot edellyttävät että olet kirjautunut Järjestelmänvalvojana tai että sinulla on vastaavat oikeudet. Ota varmuuskopio järjestelmästäsi ennen kuin ryhdyt seuraaviin toimenpiteisiin.
Avaa Windowsin rekisterieditori (regedit.exe) ja etsi sieltä seuraava viite:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC

Lisää kyseisen puun alle uusi DWORD-arvo NoDefaultExempt ja aseta sen arvoksi 1. Kyseinen asetus on oletusarvona Windows XP ServicePack 2 ja W2K Service Pack 4 koneissa, mutta muihin se on tehtävä manuaalisesti. Arvo tiukentaa Windows/IPSec-palomuurin normaalisti hieman löyhäkätistä suhtautumista tiettyihin olosuhteisiin.
1. Valitse Käynnistä > suorita > mmc
2. Valitse Konsoli> Lisää/poista sovellus
3. Valitse IP-suojauskäytännön hallinta ja lisää se hallintapaneeliin
4. Jos jokin IPSec-säännöstä on päällä, on sen "Määrätty käytäntö" arvona "Yes" tai "Kyllä"
Tallenna luomasi suojauskäytäntöjen hallintakonsoli tulevaa palomuurin hallintakäyttöä varten johonkin helposti käytettävään sijaintiin, esim. työpöydälle.

***win2000
Asenna tämän jälkeen IPSec-agentti osoitteesta http://www.microsoft.com/windows2000/te ... cpol-o.asp tai TÄÄLTÄ
***

Kopioi alla oleva koodi ja tallenna se tekstimuotoisena (esim. Muistiolla) nimellä palomuuri.bat samaan kansioon IPSec-agentin kanssa (yleensä C:/program files/resource kit):

iipsecpol -w REG -p Palomuuri -x

ipsecpol -w REG -p Palomuuri -o

ipsecpol -w REG -p Palomuuri -r "BlockAll" -n BLOCK -f 0=*::*
ipsecpol -w REG -p Palomuuri -r "AllowICMP" -n BLOCK -f 0::=*:*:ICMP

ipsecpol -w REG -p Palomuuri -r "AllowFTPData-out" -n PASS -f 0:=*:20:TCP
ipsecpol -w REG -p Palomuuri -r "AllowFTP-out" -n PASS -f 0:=*:21:TCP

ipsecpol -w REG -p Palomuuri -r "AllowSSH-in" -n PASS -f 0:22+*::TCP

ipsecpol -w REG -p Palomuuri -r "AllowSMTP-in" -n PASS -f 0:25+*::TCP
ipsecpol -w REG -p Palomuuri -r "AllowSMTP-out" -n PASS -f 0:=*:25:TCP

ipsecpol -w REG -p Palomuuri -r "AllowPOP3-in" -n PASS -f 0:110+*::TCP
ipsecpol -w REG -p Palomuuri -r "AllowPOP3-out" -n PASS -f 0:=*:110:TCP

ipsecpol -w REG -p Palomuuri -r "AllowDNS_TCP-in" -n PASS -f 0:53+*::TCP
ipsecpol -w REG -p Palomuuri -r "AllowDNS_TCP-out" -n PASS -f 0:=*:53:TCP

ipsecpol -w REG -p Palomuuri -r "AllowDNS-in" -n PASS -f 0:53+*::UDP
ipsecpol -w REG -p Palomuuri -r "AllowDNS-out" -n PASS -f 0:=*:53:UDP

ipsecpol -w REG -p Palomuuri -r "AllowHTTP-in" -n PASS -f 0:80+*::TCP
ipsecpol -w REG -p Palomuuri -r "AllowHTTP-out" -n PASS -f 0:=*:80:TCP

ipsecpol -w REG -p Palomuuri -r "AllowSNMP-in" -n PASS -f 0:161+*::UDP
ipsecpol -w REG -p Palomuuri -r "AllowSNMP-out" -n PASS -f 0:=*:161:UDP
ipsecpol -w REG -p Palomuuri -r "AllowSNMPTrap-in" -n PASS -f 0:162+*::UDP
ipsecpol -w REG -p Palomuuri -r "AllowSNMPTrap-out" -n PASS -f 0:=*:162:UDP

ipsecpol -w REG -p Palomuuri -r "AllowHTTPS-in" -n PASS -f 0:443+*::TCP
ipsecpol -w REG -p Palomuuri -r "AllowHTTPS-out" -n PASS -f 0:=*:443:TCP

ipsecpol -w REG -p Palomuuri -r "AllowSysLog-in" -n PASS -f 0:514+*:: UDP
ipsecpol -w REG -p Palomuuri -r "AllowSysLog-out" -n PASS -f 0:=*:514:UDP

ipsecpol -w REG -p Palomuuri -r "AllowNortonAV-in" -n PASS -f 0:1233+*::TCP
ipsecpol -w REG -p Palomuuri -r "AllowNortonAV-out" -n PASS -f 0:=*:1233:TCP

ipsecpol -w REG -p Palomuuri -r "AllowMSSQL-in" -n BLOCK -f *:1433+*::UDP
ipsecpol -w REG -p Palomuuri -r "AllowMSSQL-out" -n BLOCK -f 0:=*:1433:UDP

ipsecpol -w REG -p Palomuuri -x

Käynnistä palomuuri siirtymällä IPSec-agentin asennuskansioon komentokehoitteessa ja antamalla komento
ipsecpol -file palomuuri.bat
Tarkista vielä IP-suojauskäytäntöjen hallintapaneelin avulla palomuurin tila. Voit luoda uusia sääntöjä seuraavalla syntaksilla:
a) estä liikenne kaikista IP-osoitteista haluamiisi portteihin ja protokolliin
ipsecpol -w REG -p "Säännön nimi" -r "Säännön kuvaus" -f *=0:Port:Protocol -n BLOCK
b) estä omalta koneeltasi lähtöisin oleva liikenne haluamiisi portteihin ja protokolliin
ipsecpol -w REG -p "Säännön nimi" -r "Säännön kuvaus" -f 0=*:Port:Protocol -n BLOCK
Muuttamalla komento BLOCK muotoon PASS sallitaan liikenne.[/url]