デフォルトのWindowsファイアウォールの予期しない詳細。そして再構成するための実験

次のプロジェクトの実施中に、誰も隠れていないように見える状況を誤って明らかにすることがあります。本質を説明するドキュメントを見つけることさえできます...しかし、私を含む多くの人は妄想に捕らわれているので、そのドキュメントを探しません、世界の完全に間違った絵に頼っています。私はすでに一連の記事全体を計画していますが、その中で、すべてが（私を含めて）多くの人が考えていたものではないことが判明したことを単に報告します。私が持っていたDMAについての記事を記事がありました、PCI Expressバスのパフォーマンスが。Altera FPGAの構成ROMに関する記事は、同じサイクルを参照できます。



今日は、Windowsファイアウォール、またはRussifiedOSではファイアウォールと呼ばれているファイアウォールについて簡単に説明します。一般的に、これは非常に良いことですが、特に...デフォルトではかなり興味深いモードで動作することがわかります。言われているように、「そして男の子たちは知らない」。それで、私たちは何が何であるかを理解し始めます。

前書き

まず、私が解決していた問題の本質を説明します。次のボードがAllHardwareサービスでどのように正しく機能するかを確認する必要がありました。しかし、以前の記事の1つでチェックしたものではなく、ザイリンクスFPGPを使用したより洗練されたものです。



オールハードウェアサービスとは何ですか。これは、ユーザーがアクセスしてログインし、サーバー上に物理的に配置されているさまざまなボードのリストを受け取るサイトです。なぜ彼はこれをしているのですか？ボードを購入せずに操作すること。たとえば、それが彼のために機能するかどうかを確認したり、特定のコントローラーでの作業を練習したりします。ボードはメーカーによって提供され、サービスはそれらとの期間限定のセッションを提供します。ユーザーはリストからボードを選択し、IPアドレス、ポート番号、このレイアウトを見ているカメラからのビデオの3つを取得します。実際、SSHを介してポートを転送することはできますが、私はそれらの専門家ではありません。私の側では、正確にはアドレス、ポート、ビデオです。



さらに、ローカルマシン上にある開発環境のユーザーは、リモートデバッガーを選択する必要があります（ほとんどの環境では、これは古き良きGDBであり、Keilにとってはもっとひねくれていますが、興味がある場合は、これについて別の記事を作成できます。これはファイアウォールには適用されません）。発行されたIPとポートはそこで駆動され、その後、カメラからの画像とSSHを介して転送されたポートによってボードで何が起こっているかに焦点を当てて、リモートデバッグセッションを開始できます。



したがって、誰もが購入しなくても、さまざまな開発ボードでの作業を感じることができます。同時に、Reddの場合と同様に、開発環境とソースコードはローカルマシンでホストされます。バイナリコードのみがサーバーに送られます。ただし、セッションの有効期限が切れると、自動化によってROMが消去されるため、次のユーザーはコードを読み取ることができなくなります。



では、記事のトピックに戻りましょう。ここのファイアウォールの側面は何ですか？簡単だ。私はザイリンクスFPGPを使用する必要がありました。そして、彼らの開発環境は公式にはWebTalkです。私は彼女に私の行動を「あるべき場所」に報告させたくなかったので、環境はネットワーク化されていないマシン上にありました。彼女が本当に望んでいたとしても-彼女の手は短い。物理的なチャネルはありません。それだけです。ただし、オールハードウェアサービスの概念は、ネットワークが必要であるということです。テストするには、車を一時的にワイヤーに接続する必要がありました（実際、ネットワークがないことは習慣であり、その車にはまだ何も興味深いものはありません）。何をすべきか？あなたのパラノイアの喉を踏む？まあ、私はしません！開発環境を許可されたアドレスのリストに制限して、localhostとすべてのハードウェアサーバーでのみ機能するようにすることにしました。次に何が起こるかわかりませんそして今、すべてのハードウェアサーバーは同じIPアドレスを持っています。セッションごとに新しいポートが発行されるだけです。したがって、目標は明確です。実装に取り​​掛かりましょう。

どのファイアウォールを使用する必要がありますか？

WindowsXPとWindows7では、OutpostFirewallを使用しました。これは国内開発です。非常に信頼性が高く、快適です。在庫切れの3台分の生涯ライセンスも購入しました。このファイアウォールが、アンチウイルスが見たことがないトロイの木馬を特定するのに役立ったことがあります。ウイルス本体を含むファイルを取得できたとき、LiveCDで提供されているいくつかのアンチウイルスにファイルをフィードしました。疑わしいことに気づいた人はいませんでした。そして、私のファイアウォールはちょうどパラノイドモードにあり、そこから私はプログラムの疑わしい活動について学びました。



このファイアウォールの製造元が奇妙な状況でシャットダウンするまで、すべてが順調でした。その後、とても悲しくなりました。代わりの製品を探していなかったので、メインのラップトップにまだOutpost付きの7が付いているのはとても悲しいことでした。しかし、ザイリンクスIDEはトップ10を望んでいます！完璧に！それでは、このOSに組み込まれているファイアウォールの操作方法を学ぶときが来ました！



プログラムがネットワークにアクセスしようとすると、この標準のファイアウォールがネットワークでの動作を許可するかどうかを尋ねてくることは誰もが知っています。すぐに禁止することも、後で許可ボックスのチェックを外すこともできます。これに関するガイドはネットワーク上にたくさんあります。これらのチェックボックスは次のとおりです。







誰もがそれを知っています。しかし、この知識の価値は何ですか？同じ種類の記事「アプリケーションのオンライン化を禁止する方法」を読んだときに私を圧倒した私の考えは省略します。これは、禁止しない方法を説明せず、制限するだけです。このために特別に作成された例を使用して、結論を示したいと思います。最も単純な2つのコンソールアプリケーションを書いてみましょう。

サーバ

最初のアプリケーションはサーバーのふりをします。文字列を含むUDPパケットを受け取り、画面に表示します。同じことについて話すために、C ++のソースコードを次に示します。

#include <iostream>
#include <winsock2.h>
#include <ws2tcpip.h>

// Need to link with Ws2_32.lib
#pragma comment (lib, "Ws2_32.lib")

#define DEFAULT_BUFLEN 16

int main(int argc, char** argv)
{
	if (argc != 2)
	{
		printf("usage: ServerTest.exe port");
		return -1;
	}

	WSADATA wsaData;
	WSAStartup(MAKEWORD(2, 2), &wsaData);

    // The socket address to be passed to bind
    sockaddr_in addr;
	addr.sin_family = AF_INET;
	addr.sin_addr.s_addr = INADDR_ANY;
	addr.sin_port = htons((u_short)strtoul (argv[1],0,0));

	SOCKET sock = socket(AF_INET, SOCK_DGRAM, 0/*IPPROTO_UDP*/);

	bind(sock, (struct sockaddr*) &addr, sizeof(addr));

	while (true)
	{
		struct sockaddr from;
		int len = sizeof(from); 
		char buf[DEFAULT_BUFLEN];
		memset(buf, 0, DEFAULT_BUFLEN);
		recvfrom(sock, buf, DEFAULT_BUFLEN-1, 0, &from, &len);
		printf(buf);
	}

	return 0;
}

このプログラムを起動し、ポート番号（たとえば、1234）を引数として渡して、ファイアウォールからの要求を予想どおりに受信







します。ネットワークアクティビティを許可します...しばらく待機します。クライアント部分を別のEXEの形式で記述します。

クライアント

クライアントに回転するスティックラインをサーバーに送信させます。そのテキストは次のとおりです。

#include <iostream>
#include <winsock2.h>
#include <ws2tcpip.h>
#include "Windows.h"

// Need to link with Ws2_32.lib
#pragma comment (lib, "Ws2_32.lib")
#define DEFAULT_BUFLEN 16

int main(int argc, char** argv)
{
	if (argc != 3)
	{
		printf("usage: ClientTest.exe address port");
		return -1;
	}

	WSADATA wsaData;
	WSAStartup(MAKEWORD(2, 2), &wsaData);

	struct sockaddr_in server, client = { AF_INET,INADDR_ANY,INADDR_ANY };
	memset(&server, 0, sizeof(server));
	server.sin_family = AF_INET;
	server.sin_port = htons((u_short)strtoul (argv[2],0,0));
	InetPton(AF_INET, argv[1], &server.sin_addr.s_addr);

	SOCKET sock = socket(PF_INET, SOCK_DGRAM, 0);
	bind(sock, (sockaddr*)& client, sizeof(client));

	for (int i=0;;i++)
	{
		static const char* sticks[] = { "\\\r","|\r","/\r","-\r" };
		sendto(sock, sticks[i%4], strlen(sticks[i%4])+1, 0, (sockaddr*)& server, sizeof(server));
		Sleep(250);
	}

}

サーバーアドレスとサーバーが持っていたポート（私は192.168.1.95と1234を持っています）を指定することから始めます。その後、サーバーウィンドウで私が望んでいたものとは少し異なるものが実行され始めますが、それでもスティックです：







しかし、私が心配しているのは、シンボルではありません「\ R」はキャリッジを行の先頭に戻しませんが、クライアントが別のプロセスであるという事実...完全に別のファイルから起動されます！..そしてファイアウォールはネットワークアクティビティへの許可を要求しませんでした。代わりに、彼はプログラムがどこかに行くことを私に知らせずに、自分でそれを解決しました。どうして？

ファイアウォールの動作モードに関する理論

ここで、記事の本質に到達します。

, Windows- , . , , - ( ), , , !

実際には、対応するファイアウォール設定は次のとおり







です。禁止されていないものはすべて許可されます。アプリケーションは、アクティビティを明示的に拒否できます。これはインターネット上の膨大な数の記事が捧げられているものです...しかし、トロイの木馬はいつの間にか私たちの車に乗り込み、禁止されているアプリケーションに正確に何を入力すべきかを推測しません。繰り返しますが、これは記事の紹介で提示された私の問題を解決しません。許可したアドレスへのアクセスを残し、他のすべてのアドレスを拒否する必要があります。



これを行うには、発信接続に対してファイアウォールを「許可されていないすべてを禁止する」モードに切り替える必要があります。対応するメニュー項目の入力方法がいつも混乱しています...ええ、見つけました...







そして、最初にアクティブなプロファイルに対応するタブを選択します（私の写真では「一般プロファイル」でした。次に、「アウトバウンド接続」選択リストを「許可（デフォルト）」から「ブロック」に切り替えます。







それで、よく眠れますか？ 、いいえ。それがそれほど単純だったとしたら、Microsoftはすぐにすべての人に「ブロック」モードを選択すると確信しています。残念ですが、すべてが始まったばかりです。

適用されたマゾヒズムについて少し

そう。送信メッセージのブロックモードをオンにしたとしましょう...ブラウザを含め、すべてがすぐに停止しました。一般に、選択を元の位置に戻し、元のバージョンにロールバックすることをいつでも気にする人は誰もいません。しかし、新しい体制が私たちに一般的に何を与えるかを見てみましょう。ルールのリストを取得します。また、これらのルールについては、無条件のアクセス許可条件を設定するか、アプリケーションの開いているポートのリストと開いているアドレスのリストを設定できます。アドレスはグループとして設定できます。ポート設定ウィンドウは次のとおり







です。アドレス設定ウィンドウは次のとおりです。











さらに、プログラムのポートをわざわざ開く必要がないため、有効なアドレスのリストが制限されます。つまり、「ポートなどへのアクセスを許可するようにプログラムする」ではなく、「ポートなどを介して動作するすべてのプログラムが動作を許可し、アドレスを次のグループに制限する」とは言いません。



1つを除いてすべてが素晴らしいです。着信接続のルールのリストがシステムによって生成される場合、発信接続の場合はすべてを自分で追加する必要があります。私が言ったように、私のブラウザは死にました-私はそれを許可された送信箱に自分で追加しなければなりませんでした。アドレスの構成方法については説明しません。これは記事ではありません。ルールの設定に関する記事（ただし、ブロックする目的で）は1ダースほどです。一般に、私は通常、着信に適したルールを見つけ、そこからファイル名をコピーしてから、同じファイルを指す発信のルールを作成しました。さて、このプログラムをアクティブにすることができました。



オフィスでVPNに接続する際に問題が発生したとき、既成のルールのリストを調べて、これを見つけました（VPN接続がL2TPを使用していることを事前に知っていました）。







ルールは私たちのために作成されましたが、アクティブ化されていません。プロパティを調べてアクティブにすると、リストの左側にチェックマークの付いた緑色のボールが表示され、オフィスへのVPN接続が機能しました。



しかし、何らかの方法で、しかし一般的には、そのようなマゾヒズムのファイアウォールを操作します。「そしてこれはすべて疲れている」と叫び、古い仕事のやり方に戻らないように、あなたは鉄の意志を持っている必要があります。私はほぼこの状態に達しました（幸いなことに、すべてのハードウェアに対するザイリンクスの実験はすでに完了しています）が、私の知人の1人が私に美しい解決策を提案しました。

標準のファイアウォールを介したアドオン

公式に無料のWindowsFirewallControlプログラムがあることがわかりました。







それ自体は何もしません。Windowsに組み込まれているファイアウォールを管理するだけで、非常にユーザーフレンドリーなインターフェイスを提供します。今、あなたは何かをカスタマイズするためにたくさんのメニューを実行する必要はありません。すべての設定は、いくつかのタブに便利かつコンパクトに収集されます。このプログラムのすべての機能については説明しません。この記事の目的は、それを説明することではなく、単にその存在を示すことです。さらに、Windows Firewall Controlの名前を知っていれば、誰もが専門的な記事を見つけることができます。



そして今、上記の例からクライアント部分を開始すると、最終的にメッセージを受け取り







ました。アクセスを許可できます。その後、ルールが自動的に作成され、アクセスを拒否でき、アプリケーションを1回ブロックできます。



興味を引くために、標準のファイアウォールリストで自動的に作成されたルールを見つけ、使用可能なアドレスのリストを制限しました。







一般に、このアプリケーションの使用は、標準のWindowsファイアウォールを使用している場合でもはるかに簡単になりました。このWindows10マシンがオンラインのままであり、以前ほど無防備ではなかったほど、はるかに優れています。

結論

標準のWindowsファイアウォールは、デフォルトで、すべてのプログラムがデータの送信を開始できるモードで動作します。データの送信については、ユーザーには通知されません。誰もそれを隠しませんが、誰もがそれについて知っているわけではありません。もちろん、サードパーティのファイアウォールを配置することもできますが、標準のWindowsファイアウォールを「許可されていないすべてを禁止する」モードに切り替えるだけで十分です。残念ながら、通常の手段でネットワークパフォーマンスをサポートするのは地獄であることが判明しました。しかし、サードパーティの公式に無料のWindows Firewall Controlプログラムは、この不便さを取り除きます。



通常のファイアウォールとこのプログラムのバンドルを使用する場合でも、サードパーティのファイアウォールを使用する場合でも、疑問は残ります。しかし、私の意見では、デフォルトモードで標準ファイアウォールを使用するのがやや怖いという事実は疑いの余地がありません。