17.4.16

Firewall


 חומת אש (Firewall), היא מערכת לניטור וחסימת התקשרויות בלתי רצויות למחשב.
לכל מחשב יש כתובת IP לצורך גישה אל המחשב מהכתובת נכנסים דרך כמה דלתות\יציאות (port) שמאחורי כל דלת יש שירות (serves)
למעשה ישנם 65.355 ports וכל מידע שמגיע למחשב בנוסף לכתובת מופיע גם השם של השירות שאילו המידע צריך להגיע וכשהמחשב מחזיר את המידע הוא מצרף גם את שם הפורט המתאים
בהדלקת המחשב הדלתות נפתחות לקבלת מידע – אך בשביל שהמידע יוכל להיכנס שצריך שירות פתוח מאחורי הדלת
חומת אש – יושב לפני הדלתות ושומר. כל מידע שמגיע הוא בודק אותו
·        דור ראשון – כל הפורטים סגורים וחלקם נפתחים לפי הגדרות המחשב.  והתפקיד של חומת האש רק לבדוק עם הדלת המבוקשת פתוחה ובמידה וכן המידע נכנס
·        דור שני – פילטר בודק את המידע האם עומד בכללים. לדוגמה האם הIP של השולח מאושר \ האם היוזר מאושר \ רק בכרטיס מסוים
·        דור שלישי - מלווה את המידע בדרך ליעד עד היציאה ומוודא שהולך למקום הנכון ומבצע מה שצריך 

דור ראשון - xp\ server03  - בserver 2003  כברירת מחדל חומת האש לא פעילה
שם השירות   SharedAccess - Internet Connection Sharing (ICS)  - שירות שאחראי על החומת אש ייתכן מצב שהחומת אש מגדרת כעובדת אך השירות לא פעיל ולכן לא תעבוד

דור שני -    server 2008- ברגע שיצרים רוול מסויים המערכת פותחת את כל פורטים שקשורים
שם השירות   MpsSvc - Windows Firewall  - שירות חומת אש בserver 2008


רמות של חומת אש
XP - 3  רמות
o       Off – ביטול חומת אש
o       On – חומת אש פעילה וכל הפורטים שמוגדרים כפעילים יעבדו
o       אל תאשר חריגים – נועד להתחברות לרשת במקום ציבורי שלא מעוניינים שהפורטים היו פתוחים במקום לבטל אחד אחד יוצרים רשימת חריגים ובסימון אחד כל החריגים לא פעילים
Win 7  
o       רשת ביתי – חומת אש פעילה וכל הפורטים שהוגדרו כחריגים היו פתוחים
o       ציבורית – כל החריגים לא פעילים (בחלון חומת אש נראה שהם פעילים אך בפועל ברשת ציבורים הם לא פעילים)
o       עבודה
לאחר שבוחרים את סוג הרשת החל מווינדוס 8 לא ניתן לשנות בממשק הגרפי – ניתן לשנות באמצעות הGPO בהגדרות מחשב > הגדרות ווינוס > הגדרות אבטחה > אבטחת רשת = כל הרשתות יופיעו וניתן לשנות את ההגדרות


PORTS
0-1024 – קבועים ולא ניתנים לשינוי 
1025-4915 – פורטים ידועים. (ווינדוס מכיר אותם)
מספר הפעילים - Windows  הגבילה את המחשבים שיעבדו עד 5K פורטים – ניתן לשנות את ההגדרה ברגיסטרי לקבל ביצועים יותר טובים (ע"מ לפתוח יותר Socket)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
65534 = " MaxUserPort"

פורטים לדוג'
  67-68עבור קריאה לשרת HDCP לקבלת IP
מספר היציאה 67 משמש את השרת כדי לקבל בקשות הלקוח ומספר היציאה 68 משמש את הלקוח לקבל תגובות השרת
22 – telnet  
23 – SSH מוצפן
3389 RDP -  השתלטות על מחשב מרוחק
80 – דפדפן אינטרנט

Socket = מצב של חיבור פתוח בתקשורת.
בשליחת פקט בנוסף לפורט המתאים החומת אש פותחת פורט עם מספר רנדומלי ומצרפת אותו למידע הנשלח, הפורט נפתח לזמן מוגדר וכשהמידע חוזר המערכת בודקת את מספר הפורט ויודעת האם הוא מאושר ולאיפה מיועד במערכת. וכך יוצא שרק תקשורת יזומה תתקבל במערכת

Netstat – פקודה להצגת החיבורים פתוחים (התקשרויות) שיש במערכת
נתונים מוצגים – סוג החיבור (TCP\UDP) \ כתובת מקור+מס' פורט רנדומלי \ כתובת יעד \ סטאטוס

פורטים שמתחילים ב0.0.0 זה פורטים למחשב עצמו – (ככה ניתן לדעת מה הפורטים שפתוחים להאזנה)
A- מציג גם חיבורים מוסתרים
-b מציג את שם האפליקציה שפתחה את ההתקשרות

Nbtstat –A 192.168.1.1 - במידה ומצליח להתחבר למחשב שבכתובת המבוקשת הוא יציג את הנתונים של המחשב 

אין תגובות: