TR | Windows Firewall Sıkılaştırması
I. Windows Firewall Nedir ?
Firewall hackerlar, virüsler ve solucanlar gibi bilgisayarınız üzerinden internete erişmeye çalışanları filtreleyen bir uygulamadır. Windows Firewall Windows Server 2003 (Service Pack 1)ve Windows XP (Service Pack 2) itibariyle tüm Windows bilgisayarlarda çalışmakta ve ağ üzerinden gelebilecek saldırıları engellemek için güvenlik sağlamaktadır.
II.Firewall Profili Oluşturma
Windows domain, private ve public olmak üzere 3 ağ profiline sahiptir. Work ve home benzerdir ve private firewall araçlarının altında yer almaktadır. Private, bilgisayarlar ve diğer donanım araçlarının birbirini bulabilmesini sağlayan bir ağ profilidir. Public ise en güvenli profildir. Bu sebeple kafelerde, havalimanlarında vs. kullanılması tavsiye edilen profildir. Eğer ağınızda güvenli olduğundan emin olmadığınız bir bilgisayar varsa, ağ profilinizi “public” olarak ayarlamalısınız. Domain profilini kullanıcılar tarafından seçilemez, bilgisayarınız domain’e katıldıktan sonra kullanılır. Windows Hardening’e başladığımızdan beri, en güvenli ayarları istiyoruz ve Windows’un sadece istendiği zaman iletişim kurmasını sağlamaya çalışıyoruz. Bu sebeple bir domain’e katıldığınızda private ya da public profillerini amacınıza göre seçiniz. Ethernet kablonuzu taktığınızda, en kısıtlayıcı ve güvenli olan Public profilini seçiniz.
Not: Eğer daha önceden Private profilini seçmişseniz ve Public profiline değiştirmek istiyorsanız Windows 10 için tek yöntem PowerShell yardımı ile yapmaktır.
PowerShell’e sağ tıklayıp Yönetici olarak çalıştır seçeneği ile açın.
Sonrasında Get-NetConnectionProfile kodunu yazın ve resimdekine benzer bir çıktı elde edeceksiniz. NetworkCategory : Private olacak sizin çıktınızda.
Sonra ağ adınızı kaydedin ve şunu yazın:
Set-NetConnectionProfile -name “eduroam” -NetworkCategory public burada da eduroam yerine kendi ağınızın adı yer alacak.
III. Windows Advanced Firewall ve Giden Veri Trafiğini Engellemek ve Loglamak
A. Outbound Blocking
Firewall’ların basit ayarları default deny, yani siz izin vermediğiniz sürece tüm trafiği engellidir. Sizin izin verdiğiniz kurallar grubuna da whitelist denir. Windows Firewall’un default ayarları gelenleri engelle ve gidenlere izin ver şeklindedir. “Outbound allow all” konfigurasyonu kolaylaştırır ve engelleme prensibini kullanmaz ki pek ideal değildir çünkü biz zararlı yazılımların yönetici ana serverlarına geri ulaşabilmesini istemeyiz. Outbound Blokcing’i aktif ettiğinizde sadece sizin izin verdiğimiz programlar ve servisler internete erişebilir. Zararlı yazılımlar raporlarını serverlarını ulaştırmakta zorlanırlar. Bu sebeplerden dolayı internete erişmesi gereken bir program kurduğunuzda, antivirüs gibi, tüm exe dosyalarını bir bir kontrol edip hangisinin internete erişmekten sorumlu olduğunu bulmalı ve Windows Firewall Outbound Blocking’de o exe dosyasına ayrıcalık vermelisiniz.
Windows Outbound Blocking’i aktif etmek için Başlat > Arama kısmından Gelişmiş Güvelik ile birlikte Windows Güvenlik Duvarı’nı açın. Alt kısımda bulunan Windows Güvenlik Duvarı Özellikleri’ne tıklayın.
Yukarıda ki Domain ( Etki alanı ), Private ( Özel) ve Public ( Ortak ) profillerinin her biri için;
1- Giden bağlantılar’ı Engelle moduna getirin.
2- Tek noktaya yayın yanıtına izin ver seçeneğini Hayır’a değiştirin.
3- a. Boyut sınırı’nı max. olan 32.767 KB’a getirin.
b. Bırakılan paketleri günlüğe kaydet’i de Evet seçeneğine getirin.Eğer Automated Configuration Pack denilen otomatik konfigure paketiniz varsa sağ tık > yönetici çalıştır diyerek tüm Firewall kural ve profil ayarlarınızı yapabilirsiniz.
B) Firewall Rules
1.Windows servislerini Outbound istisnalarına eklemek için:
Gelişmiş Güvelik ile birlikte Windows Güvenlik Duvarı penceresinde sol tarafta bulunan Giden Kuralları sekmesine tıklayın.
Gelen pencerenin sağ tarafında Yeni Kural… butonuna tıklayıp gelen pencereden Özel seçeneğimi seçin. İleri dedikten sonra Hizmetler’in yanında bulunan özelleştir… butonuna tıklayın.
Bu hizmete uygula seçeneğini işaretledikten sonra Windows Update’i bulun ve Tamam ile çıkın. İleri ile devam edin Protokol ve Bağl. Nokt. Ve Kapsam sekmelerini bir değişiklik yapmadan geçin.
Eylem sekmesinde Bağlantıya izin ver seçeneğini işaretleyin ve devam edin.
Profil sekmesinde tüm seçenekleri işaretleyin ve Ad sekmesinde Rule’a (Kuralınıza) bir isim verin. Örnek “X servisine izin ver”.
2. Bir Programı Outbound istisnalarına eklemek için yine Giden Kuralları sekmeksinden Yeni Kural… butonuna tıklayın.
Gelen ekrandan Program seçeneğini işaretleyip devam edin.
Bu programın yolu seçeneğinden Gözat ile programın .exe uzantılı çalıştırılabilir dosyasını bulup, seçin ve devam edin ve Eylem sekmesine kadar bir değişiklik yapmayın.
Bağlantıya izin ver seçeneğini seçip devam ettikten sonra Profil sekmesindeki tüm seçenekleri işaretleyin.İleyleyip kuralınıza bir isim verdikten sonra bitirin. Örnek “X Programına izin ver”.
3. Outbound Blocking’de hedef port ve IP adrese izin vermek için:
Giden Kuralları sekmesinden Yeni Kural… butonuna tıklayarak açılan pencerede Özel seçeneiğini işaretleyin.
Program sekmesinden Tüm programlar seçeneğini işaretleyin.
1- Protokol ve Bağl. Nokt. Sekmesinde Protokol türü seçeneği için duruma göre TCP ya da UCP seçin.
2- Uzak bağlantı noktası seçeneğinden Belirli bağlantı noktalarını seçip portları girin boşluğa. İleri.
Kapsam sekmesinden Bu kural hangi uzak IP adreslerine uygulanıyor? ‘un altında bulunan Bu IP adresleri seçeneğini işaretleyip Ekle… butonuna tıklayın.
Açılan pencerede Bu IP adresi veya alt ağ seçeneğinin altındaki boşluğa IP adreslerini girin.
Bağlantıya izin ver seçeneğini işaretleyin. İleri. Profil sekmesinde tüm seçenekleri işaretleyin. Ve son olarak porta veya IP adresine verdiğiniz kurala isim verin. Örnek “X portu izni, Y IP’si izni”.