Yazılımsal Firewall ve hatta Windows Firewall Advanced

[roket adam]

İşyerinde bir bilgisayar var. Üzerine deneme için web server kurdum, ayrıca ben de kullanıyorum. Domain'e bağlı durumda.

Yapmak istediğim: Web server'a ulaşımı belirli domain kullanıcılarına kısıtlamak.

Windows Firewall'ın advanced kısmından Rule ayarlıyorum. İki kere denedim:

1) Tüm incoming bağlantıları blockladım bir rule ile. Ardından yeni bir rule yazdım, dedim ki ancak auth olan herkes girebilsin, bu rule de bütün block'ları override edebilsin -böylece o bloklama'nın üstünden geçecek diye düşündüm-.
http://www.windows7library.com/blog/wp-content/uploads/2011/04/Security-Options.jpg
Ayrıca "yalnızca şu bilgisayarlar/şu kullanıcılar görebilsin" dedim, domain kullanıcı/bilgisayarlarını ekledim.

Gerçekleşen şey, tüm bağlantının bloklanması. Hiç kimse erişemiyor.

2) Yeni rule yazdım, blok falan yok. Tüm incoming bağlantıları yalnızca auth olurlarsa al, Ayrıca "yalnızca şu bilgisayarlar/şu kullanıcılar görebilsin" dedim, domain kullanıcı/bilgisayarlarını ekledim.

Gerçekleşen şey: Tüm domain kullanıcıları girebiliyor.

Bunu nasıl yaparız ya, bir bilen eden var mı? Çok saçma yani, Windows belirttii şeyi yapmıyor resmen. Gittim bir ümit Zone Alarm kurdum sonra kendime sinirlendim mal mıyım diye.

Gıcık oldum arkadaş. Server da, bir programın kendi içine gömülü, şeytan diyor o yazılımın server versiyonunu çek, tomcat içine kur, IIS ile yayınla, izinleri de IIS'ten ayarla ama çok kasacak o da.

[vaperon]

Bilgisayarları ve kullanıcıları eklediğindeki tüm bağlantıların engellenmesi sorunu Windows Firewall'ın bu bağlantıyı gerçekleştirirken domain kullanıcılarının IP-Sec güvenliği ile authenticate olması gerektiğinden. Yoksa yaptığın konfigurasyonda bir problem yok. Fakat bildiğim kadarıyla Windows Firewall güvensiz bağlantılar için authentication gerçekleştiremiyor. Senin sisteminde gerekli olan şey bir ISA server. Zaten bu tip işler için yapılmış bir server versiyonu. ISA işlerini windows firewall yaptırtmıyor bu sebeple MS. Yoksa ISA satamaz. :D

Şirket içinde de ilaçlı isa da fena yani. De sen bilirsin.

[roket adam]

ISA kuramam muhtemelen, ilaçlı falan bir şey kullanamıyorum. Zaten network aşırı derecede kısıtlı, Peacy diye otomatize edilmiş bir windows yüklemesi falan kullanıyorlar, hdd encryption zart zurt bi dünya şifre giriyorum pcye ulaşana kadar.

E çok saçma bu ama ya, e o zaman ne yapıcam ben? Bunu niye koymuşlar, o rule'ların manası ne yani?

Ve başka bir yolu yok mu bunu yapmanın? Bağlantıyı filtreleyecek beleş başka bir firewall da olabilir, tek isteğim domain kullanıcılarını çekebilsin.

Ekleme: Kullanıcılar zaten IP-Sec ile giriş yapıyorlar bildiğim kadarıyla, yani authentication da şifreli şirkette. Bağlantının şifresiz olduğunu sanmıyorum. Ama emin değilim.

[vaperon]

Ya bi di'ye sorsana, linux'un da isa tarzı ücretsiz solüsyonları olabilir.

Senin için bir araştıracağım... Biraz bekle. :)

[roket adam]

Linux ta kuramam abi, Windows 7 üzerine kurulu makina. Ek OS yükleme zart zurt hiç bir şekilde müdahale edemiyorum. Farklı OS yüklersem şirket ağına dahil olamıyorum, illa ağ üzerinden boot edip kendi OS'unu yükleyip gerekli şifreleme bilmemnelerini verip otantike olup öyle kendi yazılımını kuracak alet.

Kısaca Win7 üzerinde çalışan ve domain kullanıcılarını çekebilen bir şey lazım bana.

[vaperon]

Şimdi Windows 7'de turn windows features on/off'u aç.

Ardından Windows Internet Information Service içindeki, World Wide Web Services içinde security tab'ında Windows Authentication var.

Onun işaretli olup olmadığını bir incele. Windows Firewall'a kalmadan IIS üzerinden kerberos authentication ile gruplar ve kullanıcılara kısıtlama getirebiliyorsun.

Eğer iki veya daha fazla domain var ve sadece spesifik bir domain'in erişimine açmak istiyorsan bunu kullanabilirsin. Fakat site girişinde authentication credentals isteyecektir.

Ama tek bir domain içinde spesifik bir grubu ya da kişileri engellemek için ISA korkarım ki... :(

[roket adam]

IIS server kullanmıyorum ki. Ne kullandığını bilmiyorum hatta aletin, exe olarak paketlenmiş JSP tabanlı bir yazılım bu. PC dışarıya açıkken herkes IPim üzerinden ulaşabiliyor bu arabirime. IIS kullansam yine onun içinde o tarz ayarlar var işte de IIS'e nasıl yönlendiririm hiç bir fikrim yok.

Diğer yandan, dediğin doğru evet, güvensiz bağlantılar için filtreleme yapmıyor Windows Firewall. Yani hepsini kabul et veya hepsini reddet dediğinde "allowed users-computers" kısmı disabled oluyor, auth'u açtığında çıkıyor o kısım. E ben auth'u açıyorum, millet zaten bizim domain'e authenticate olmuş, yani bağlantı güvenli, benim tek istediğim onların hepsini içeri bırakmaması.

Bence burada gözden kaçırdığımız bir konu var usta. Eğer dediğin gibi olsaydı o sekmeyi de koymazlardı, aynı allow dediimizdeki verdiği hata gibi onda da aynı hatayı verirdi gibi düşündüm bir an.

[vaperon]

Birşey daha var. Turn windows features on/off seçeneği içinde ISS, WWW Service, Security içinde IP Security var. Bir range ya da belirli kişilerin ip adreslerini belirtebilirsin. Gerisi restricted kalacaktır.

Denedim az önce çalışıyor tamamiyle. :D

En kolayı bu geldi. Domain user authentication ISA olmadan olmuyor...

Ayrıca IIS server değil bu dediğim. Windows 7 üzerindeki Internet Information Services. Windows 7 üzerinden websitesi yayınlayabildiğin bir uygulama sadece. Server değil ama en azından ip restriction yapabiliyorsun... Sadece istediğin kişilere sabit ip ayarla ağ üzerinden.

Uygulamanı IIS üzerinden yayınlayabiliyor musun?

[roket adam]

Ek: Bu en üstteki resim yanıltıcı olmuş. Allow demedim ilk resimde, IPSec üzerinden giriş istedim, 2. seçeneği seçtim yani.

IP adresin ilk üç bloğu sabit fakat gerisi sürekli değişiyor. Diğer yandan, aynı IP bloğunda bize erişmesini istemediğimiz kişiler var mı bilmiyorum. Bunu nasıl taratırım, taratsam bile çıkarlar mı onu da bilemiyorum.

Rule'lar niye çalışmıyor ya. Ben onu cidden hiç anlamadım yani, gerçekten çok saçma. Hata falan da vermiyor ki, mantıken düşününce çatır çatır çalışması lazım bahsettiğim ayarların. "Erişim için kullanıcı önce auth olacak, bağlantı şifrelenecek, sonra kullanıcı bu listede değilse istek reddedilecek" yani, bu derece basit.

Ek: Firewall tamamen aktif ve tüm ağlar ve NIC'ler üzerinde etkin.

Domain kullanıcım o pc'de admin yetkilerine sahip ama acaba firewall'ı kurcalama yetkisi yok mu adminde, ya da onun üstüne yazan bir ayar mı var acaba...

Ek: Evet IIS Server dediğim şey Windows 7 ile beraber gelen o şey. IIS Server üzerinden yayınlamam aşırı zahmetli şu tahlilde. Tomcat kurmam lazım, Tomcat'i yapılandırmam lazım, Tomcat üzerine o yazılımı koymam lazım, onu yapılandırmam lazım, IIS'i Tomcat'e bağlamam lazım falan, bir günümü alır yine. Tam da seviniyordum bu Rule'ı uyguladık kral olacak diye.

[vaperon]

Firewall üzerinden yaptım. Bekle. Detaylar az sonra...

[roket adam]

Bak hatta gir Advanced Firewall'ına Win7 kullanıyorsan, Incoming Traffic'e yeni rule ekle, sihirbazda göreceksin birebir. Çok mantıksız yani.

Okey, oley :)

[roket adam]

http://www.gifbin.com/bin/2074yu4sw2.gif

[vaperon]

Windows firewall üzerinde rule oluştururken seçmen gereken şey Allow if secure, ayrıntılarındansa Recure the connections encrypted, ve altındaki kutucuğu da işaretle.

Geçerli kullanıcıları seç. Bilgisayar seçmen gereksiz kullanıcılardan sonra.

İşlem tamam. Ama şu sorun var ki, bir süre çalıştıktan sonra sapıtmaya başlıyor. İkinci izinli kullanıcıyı da denedim. İzinsiz bir kullanıcı girmeye çalıştıktan sonra firewall anında sapıtıyor authenticationda. Bug sanırım bu. Daha sonrasında ise izinli olanlara bile kapatıyor. Windows firewall :(

Kuralı silip windows restart yapıp yeni bir kural oluşturana kadar yine aynı şekilde kalıyor sistem sapıtık halde. Yani aynı kural işlemiyor yeniden başlatsan da... Başka çözümü olan da varsa söylesin yaw. :P

[roket adam]

Çok enteresan ya. Şirkette hiç çalışmadı bu dediğin konfigrasyon, onu da denemiştim. Hiç bir şekilde "allow list"tekilere izin vermedi alet. Çok saçma yani, bir anlam veremiyorum.

[roket adam]

Peki bunu şu şekilde mi yaptın:

Önce bir kural oluşturup tüm gelen trafiği koşulsuz şartsız blokladın,

sonra bu rule'u oluşturup "bu rule engelleri aşabilsin"i işaretledin?

Yoksa yalnızca 2. adımı mı yaptın?

[vaperon]

Yanlızca ikinci adım. Gelen trafiği padozlama block edersen isa'nın yaptığı gibi komple kapatır o portu.

Zaten kendisi sen rule oluşturduğunda o port için default olarak kendince gizli bir deny oluşturuyor kuralın geçersiz olduğu clientlar için

[roket adam]

Hmm. O "block all traffic" rule'ını disable ettiğimde de bağlanamamıştım ben gerçi.

Hmm. Ne olabilir acaba ya buna çözüm. Domain'den kullanıcı çekip atama yapabilen yazılımsal firewall çözümü bulmak gerek eğer WF ile olmuyorsa.

Ama WF ile olması lazım yani, çok saçma ya, kafayı yiyicem.

Export rule yapıp o rule'ı bir yere upload edebilir misin, karşılaştırayım benimkiyle. Düt: Gerçi vazgeçtim gerek yok, zaten altı üstü 3 tane değişken var yani. Meh.

[vaperon]

Kusura bakma, vmleri çoktan sildim. Yassah da biraz :D

[roket adam]

Teşekkür ederim yardımın için, başka fikri olan varsa severek dinleyeceğiz :)

[roket adam]

Up up up

[Seele]

abi ben agdan ne yapmak istedigini hala anlamadim. webserver mi var herkes erismesin diyorsun yoksa programm baylasimi mi yaptin olay nedir ki?.

[Mr_Hand]

firewallda kuralların sırası önemli, bilmiyosan öncelikle bunu belirteyim. ama MS'in firewalları delirtiyo beni, o yüzden kullanmıyorum, detaylarını mecbur kalmadıkça araştırmıyorum / bilmiyorum. en güzeli iptables asdfsdf.

[roket adam]

Seele said:

abi ben agdan ne yapmak istedigini hala anlamadim. webserver mi var herkes erismesin diyorsun yoksa programm baylasimi mi yaptin olay nedir ki?.

Webserver'ıma yalnızca izin verdiklerim erişsin istiyorum ve izinleri domain kullanıcıları aracılığıyla vermek istiyorum.