Windows 7 / Windows Vista palomuurin asentaminen

14.4.2009.

Windowsin oma palomuuri ja sen säädöt

Monet käyttivät Windows 7:n hyvämaineisia ennakkoversiota lopullista versiota odotellessa. Harvat tietoturvaohjelmistot olivat vielä tuolloin valmiita uudelle Windowsille. Itsekin vaihdoin joksikin aikaa Comodon palomuurista Windowsin omaan palomuuriin. Tämä ohje on peräisin tuosta kokeilusta.

 

Tämä ohje on luonteeltaan kokeilu. Tämä ohje ei sovi aloitteleville tietokoneen käyttäjille, eikä se ole erityisen kätevä muillekaan. Jos Windowsin palomuuria haluaa käyttää ohjeen esittämällä tavalla eli rajoittaen ulospäin suuntautuvaa liikennettä, kannattaa harkita apuohjelman hankkimista (lisää ohjeita).

Tämän ohjeen jälkeen Windows Update ei toimi ennen erillisen säännön luomista.

Oletuksena Windowsin palomuuri sallii kaiken ulospäin suuntautuvan liikenteen

Windows 7 :n palomuurissa (joka on ymmärtääkseni vastaava kuin Windows Vistan palomuuri) kaikki ulospäin suuntautuva liikenne sallitaan oletuksena. Ohjelmat voivat siis vapaasti ottaa yhteyksiä internetiin. Sisäänpäin suuntautuva liikenne taas on estetty ja täytyy sallia erikseen esimerkiksi palvelinohjelmia varten.

Tavalliselle käyttäjälle vain sisäänpäin suuntautuvan liikenteen suodattaminen onkin ihan sopiva asetus. Itse tarkkailen kuitenkin mielelläni molempiin suuntiin kulkevaa liikennettä. Jos asennan esimerkiksi uuden ilmaisohjelman kokeeksi, haluan tietää että pyrkiikö se avaamaan epämääräisiä nettiyhteyksiä. Tällaisia yhteyksiä sanotaan usein "kotiin soittamiseksi". Tällöin asennettu ohjelma pyrkii ilmoittamaan olemassaolostaan tekijälleen, joka saattaa olla yritys tai yksityinen ohjelmoija.

Windowsin mukana seuraavien ohjelmien osalta minulle kelpaisi vähempikin säädeltävyys. En ole kovinkaan vainoharhainen niiden suhteen, vaikka monia harmittaakin joidenkin ohjelmien tapa lähettää esimerkiksi anonyymia tietoa ohjelmiston tekijälle statistiikkaa varten.

Windowsin sisäänrakennettu palomuuri mahdollistaa nykyään kaiken verkkoliikenteen suodattamisen. Ulospäin suuntautuvan liikenteen suodatusta vain ei ole kovinkaan helppoa säädellä, sillä Windowsin palomuuri ei osaa avata kysymysikkunaa ohjelman yrittäessä sääntöjä vastaamatonta yhteyttä. Säännöt on siis luotava erikseen palomuurin hallinnassa. Ongelmien selvittämiseksi on käytettävä logia.

Seuraavan ohjeen alustana on vasta-asennettu Windows 7. Network profileksi valitsin Public, sillä reitittimen puuttuessa tietokoneeni on suorassa yhteydessä internetiin. Jos modeemin ja tietokoneeni välillä olisi reititin, olisin valinnut Home-profiilin. Tällä kertaa en siis tee myöskään “LAN-sääntöjä”, eli lähiverkkoa varten erillisiä sallivampia sääntöjä.

Windowsin palomuuriin pääsee käsiksi esimerkiksi klikkaamalla oikean alanurkan Network-symbolia hiiren kakkosnäppäimellä ja valitsemalla Open Network and Sharing Center. Avautuneen ikkunan vasemmassa alanurkassa on linkki Windows Firewall, josta täytyy vielä valita vasemmasta valikosta Advanced settings.

Toinen vaihtoehto on avata Start-valikko (Windows-kuvake vasemmassa alanurkassa) ja kirjoittaa hakuun Windows Firewall.

Estä vapaa liikenne ulospäin

Windowsin palomuuri näkymä

1. Avaa Windows Firewall Properties. Käy varmuudeksi läpi kaikki kolme välilehteä/profiilia (Domain, Private ja Public) ja tee kaikille seuraavat asetukset:

Estetään oletuksena myös ulospäin suuntautuva liikenne

2. Valitse Outbound connectionsiin Block. Näin ulospäin suuntautuvia yhteyksiä aletaan tarkkailla, ja palomuuriin luotuja sääntöjä noudattamattomat yhteydet estetään.

Windows palomuurin Monitoring-näkymä ja linkki logiin

3. Paina Logging-kohdassa Customize-painiketta ja vaihda Yes molempiin kohtiin. Näin kaikki liikenne kirjataan muistiin palomuurin logiin ja on huomattavasti helpompaa selvittää mahdollisia yhteysongelmia.

Käynnistä kokeilun vuoksi web-selain, tässä tapauksessa Internet Explorer 8. Koska web-selaimelle ei vielä ole luotu ulospäin suuntautuvaa liikennettä sallivaa sääntöä, eikä Windowsin palomuuri osaa kysyä säännön luomisesta, minkään webbisivun ei pitäisi aueta.

Windowsin palomuurin hallinnassa logiin pääsee klikkaamalla linkkiä File namen vieressä

4. Siirry palomuurin ikkunassa Monitoring-osioon ja klikkaa Logging Settings -osiossa File namen vierestä linkistä logi esille.

Windowsin palomuurin logi avautuu Notepadillä.

5. Alimmilla riveillä näkyy, kun Internet Explorerin yhteys on estetty (DROP). Olen peittänyt kuvasta oman IP-osoitteeni.  Login lukeminen tapahtuu seuraavasti:

2009-04-13 00:18:36 (pvm ja klo aika) DROP (yhteyttä ei sallittu) TCP (protokolla) NUMERO (yhteyden aloittajan IP-osoite) NUMERO (yhteyden vastaanottajan IP-osoite) NUMERO (yhteyden aloittajan TCP-portti) NUMERO (yhteyden vastaanottajan TCP-portti) jne.

Oleellisinta rivillä on, että kahdella viimeisellä rivillä estettiin (DROP) yhteydenotto johonkin osoitteeseen porttiin 80, joka on tavallisen web-surffailun portti. Tässä tapauksessa on siis helppoa arvata, että kyseessä oli äsköinen kokeilu Internet Explorerilla.

Windows palomuurin säännöt - Outbound eli ulospäin suuntautuva liikenne

Luo palomuuriin sääntö, jolla web-selain jälleen toimii

6. Siirry palomuurin pääikkunassa Outbound Rules -osioon ja klikkaa oikeasta reunasta New Rule

Luodaan uusi sääntö Windowsin palomuuriin. Valitaan säännön tyyppi.

7. Rule Type on Program, kuten melkein aina sääntöjä tehdessä.

Palomuurisääntöä koskevan ohjelman valinta

8. Program path voidaan hakea Browsella tai kirjoittamalla kentän ohjeen mukaan %ProgramFiles%\Internet Explorer\iexplore.exe. Myös Browsella haettu osoite muuntuu %ProgramFiles%\Ohjelma\tiedosto.exe -muotoon, joka tarkoittaa siis C:\Program Files -kansiota, mikäli se on asennuksessa määritelty ohjelmien oletuskansioksi.

Palomuurisäännön action (toiminto) on allow (salli)

9. Valitse actioniksi Allow the connection.

Sääntöä käytetään vain valituissa profiileissa

10. Valitse kaikki profiilit, sillä samaa sääntöä käytetään niissä. Tässä asetuksessa olisi mahdollista estää vaikkapa jonkin ohjelman internet-käyttö kodin ulkopuolella. Tyypillinen tilanne olisi jonkin ohjelman automaattisten päivitysten estäminen mokkula-yhteydessä.

Nimetään uusi sääntö: salli Internet Explorerin avata yhteyksiä ulospäin

11. Nimeä luotu sääntö. Vaikka nimeksi voi kirjoittaa mitä vain, kannattaa käyttää kuvaavia nimiä myöhempiä selvittelyjä ajatellen.

Kokeilu Internet Explorerilla ei onnistunutkaan, sääntö ei siis toimi

12. Kokeile selaimessa uudestaan että että toimiiko luotu sääntö. Kuvan esimerkissä ei toiminut, sillä ohjelman polku oli väärä:

Jos yhteys ei toimi, niin sääntö saattaa osoittaa Internet Explorerin 64 bittiseen versioon kun taas kokeillessa käytettiin 32 bittistä versiota. Ohjelman polku on siis väärin: sääntö osoittaa 64 bittisen ohjelman polkuun %ProgramFiles%\Internet Explorer\iexplore.exe (joka on sama kuin C:\Program Files\Internet Explorer\iexplore.exe). 32 bittisen ohjelman polku on C:\Program Files (x86)\Internet Explorer\iexplore.exe.

Jotta sekä 32 että 64 bittinen Internet Explorer toimisivat, voidaan luoda kopio edellisestä säännöstä ja muuttaa kopion polkua. Jos on tarkoitus käyttää vain toista selainta, yksi sääntö riittää. Esimerkkinä kopion luomisesta voit käyttää kohdasta 15 alkavaa ohjetta säännön kopioimisesta Operalle.

Parantele web-selaimelle sopivia sääntöjä

Luotu sääntö on ylimpänä listassa valittuna.

13. Tuplaklikkaa äskön luomaasi uutta sääntöä (tai ota sen Properties).

Säännön ominaisuudet sallivat tarkempien asetusten tekemisen.

14. Syötä Protocols and Ports -välilehdellä täsmällisemmät rajoitukset sallitulle liikenteelle. Kuvan asetukset (TCP, Remote portit 80 ja 443) riittävät tavalliseen webbisurffailuun. Porttia 80 käyttävät kaikki tavalliset web-sivut ja porttia 443 suojatut sivut kuten verkkopankit.

Sääntöjen kopioiminen – uuden web-selaimen lisääminen

Internet Explorerin säännöstä on otettu kopio, jonka nimeä ja asetuksia seuraavaksi muokataan.

15. Tietokoneelle on asennettu toinenkin www-selain (esim. Firefox, mutta esimerkin tapauksessa Opera). Kopioi Internet Explorerille tehty sääntö valitsemalla Copy ja Paste klikkaamalla sääntöä hiiren oikealla napilla.

Nimeä kopioitu sääntö

16. Tuplaklikkaa kopioitu sääntö auki. Muokkaa sen nimi General-välilehdellä sekä vaihda kohdeohjelma Programs and Services -välilehdellä. Esimerkiksi Operan tapauksessa poluksi määriteltäisiin C:\Program Files (x86)\Opera\opera.exe ja Firefoxille C:\Program Files (x86)\Mozilla Firefox\firefox.exe.

Operalla surffaaminen toimii uuden säännön avulla

17. Web-selaaminen toimii kopioidun säännön avulla.

Nämä asetukset tehtyäni ja myöhemmin käynnistettyäni tietokoneen uudelleen huomasin että oikean alanurkan verkkosymboli ilmoitti internet-yhteyden olevan poikki. Syyksi paljastui se, ettei Internet Explorer saanut yhteyttä www.microsoft.com:iin. Tämä on sinänsä tarpeetonta, mutta Internet Explorerin asetukset korjaamalla symboli alkoi toimia odotetusti.

Näiden asetusten jälkeen kannattaa käydä tekemässä oikeat säädöt, jotta Windows Update osaa jälleen hakea päivityksiä.

Linkitä tähän kirjoitukseen

Kirjoita oma vastaus