Come utilizzare il firewall di Windows Server

Prima di procedere direttamente alla configurazione del firewall, alcune parole sul suo comportamento predefinito. A differenza di Ubuntu, dove il firewall UFW predefinito è inizialmente inattivo, in Windows Server il firewall è inizialmente abilitato. La seguente logica è implementata all'interno: blocca tutte le connessioni in entrata tranne quelle esplicitamente consentite (ad esempio, RDP è consentito per impostazione predefinita). Le connessioni in uscita sono consentite, tranne quelle esplicitamente proibite.

Il Firewall di Windows consente di creare diversi profili con regole diverse e, se necessario, di passare rapidamente tra di essi. Per impostazione predefinita, vengono creati tre profili:

• Profilo di dominio,
• Profilo privato,
• Profilo pubblico.

Il profilo dominio è destinato a computer e server operanti all'interno di un dominio AD (Active Directory). Il profilo privato è adatto per sistemi situati in un segmento di rete protetto. Il profilo pubblico è applicabile per lavorare in reti pubbliche con il massimo livello di minacce esterne.

L'amministratore di sistema può preselezionare un insieme di regole per ogni profilo che sarà più efficace per ciascuno degli scenari elencati. Questo aiuterà a proteggere il server dagli attacchi semplicemente cambiando il profilo del firewall. Si noti che l'insieme di regole per ogni profilo può essere diverso a seconda del ruolo corrente del server.

Ci sono diversi modi per gestire le regole del firewall. Il modo più semplice per farlo è utilizzando la console WF (Windows Firewall with Advanced Security). La gestione è possibile anche utilizzando GPMC (Group Policy Management Console) o tramite comandi Powershell. Cominciamo con l'ultimo metodo.

Gestione delle regole tramite Powershell

Molte guide sulla configurazione di un firewall utilizzando PowerShell includono i comandi netsh firewall e netsh advfirewall firewall. Entrambi questi comandi sono in stato deprecato da molto tempo, quindi consigliamo di utilizzare un metodo più moderno. Powershell, a partire dalla versione 5.1, ha un modulo NetSecurity integrato che contiene molti cmdlet (comandi nativi di Powershell). Puoi elencarli utilizzando il seguente comando:

Get-Command -Module NetSecurity

Ciascuno dei cmdlet elencati ti aiuta a gestire in modo flessibile tutti i parametri del firewall. Prima di tutto, vediamo quale comando puoi utilizzare per abilitare o disabilitare il firewall:

Set-NetFirewallProfile -All -Enabled True

In questo comando, l'argomento -All significa applicare tutti i profili disponibili. In alternativa, è possibile impostare un profilo specifico, ad esempio, -Profile Private. Per disabilitare completamente il firewall, usa lo stesso comando; basta cambiare il valore -Enabled in False:

Set-NetFirewallProfile -All -Enabled False

Quando il firewall è abilitato, tutte le regole si applicano a tutte le interfacce di rete nel sistema. In questo caso, è possibile disabilitare un profilo per un'interfaccia specifica utilizzando il cmdlet Set-NetFirewallProfile:

Set-NetFirewallProfile -Name Public -DisabledInterfaceAliases "Ethernet0"

Lo stesso cmdlet ti aiuterà a cambiare altre impostazioni del profilo, in particolare, abilitare la registrazione e configurare i suoi parametri, come la dimensione e il percorso del file di registro.

I cmdlet con NetFirewallRule nel loro nome sono responsabili per la gestione delle regole del firewall. In questo caso, un cmdlet separato funziona per ogni azione. Ad esempio, per creare una nuova regola, è necessario utilizzare il comando New-NetFirewallRule, e per eliminare una regola, utilizzare Remove-NetFirewallRule. È facile da ricordare e generalmente molto logico.

Supponiamo che tu voglia limitare la possibilità di connetterti a un server RDP da un indirizzo IP specifico (ad esempio, 10.0.0.2):

New-NetFirewallRule -DisplayName "AllowRDP" -RemoteAddress 10.0.0.2 -Direction Inbound -Protocol TCP -LocalPort 3389 -Action Allow

Ma cosa fare se devi consentire connessioni al server non da un indirizzo specifico, ma da una gamma di indirizzi? In questo caso, devi procedere come segue: prima definisci una variabile e assegnale i valori della gamma di indirizzi, poi specifica una variabile invece di un indirizzo specifico. Assegna alla variabile $allowedips la gamma 10.0.0.2-10.0.0.254:

$allowedips = @("10.0.0.2-10.0.0.254")

Ora puoi applicare la regola:

New-NetFirewallRule -DisplayName "AllowRDP" -RemoteAddress $allowedips -Direction Inbound -Protocol TCP -LocalPort 3389 -Action Allow

Immagina di non avere una gamma di indirizzi, ma un registro dedicato di indirizzi che devono essere forniti con una connessione RDP non ostacolata al server. Per evitare di creare regole una alla Volta™, puoi caricarle in un file di testo (un indirizzo per riga) e poi mettere tutti i valori in una variabile. E anche, come nella regola precedente, specificare questa variabile come il valore -RemoteAddress. Ad esempio, abbiamo scaricato l'elenco degli indirizzi nel file C:\Users\Administrator\Downloads\AllowedIPs.txt

Leggi il file e metti il suo contenuto nella variabile $allowedlist:

$allowedlist = Get-Content C:\Users\Administrator\Downloads\AllowedIPs.txt

Crea una regola:

New-NetFirewallRule -DisplayName "AllowRDP" -RemoteAddress $allowedlist -Direction Inbound -Protocol TCP -LocalPort 3389 -Action Allow

Questo è un modo molto conveniente per automatizzare il firewall di Windows con altri sistemi. Ad esempio, puoi raccogliere automaticamente un elenco di indirizzi IP assegnati a utenti legittimi e consentire connessioni solo a sistemi aziendali da questi indirizzi. Queste soluzioni rendono la vita molto più facile e si spende significativamente meno tempo nella gestione dei permessi.

Powershell ha strumenti potenti per visualizzare facilmente i dati. Se desideri vedere quali regole del firewall sono attualmente abilitate per le connessioni in entrata, è possibile utilizzare questo comando:

Get-NetFirewallRule -Action Allow -Enabled True -Direction Inbound |
Format-Table -Property Name,
@{Name='Protocol';Expression={($PSItem | Get-NetFirewallPortFilter).Protocol}},
@{Name='LocalPort';Expression={($PSItem | Get-NetFirewallPortFilter).LocalPort}},
@{Name='RemotePort';Expression={($PSItem | Get-NetFirewallPortFilter).RemotePort}},
@{Name='RemoteAddress';Expression={($PSItem | Get-NetFirewallAddressFilter).RemoteAddress}},
Enabled,Profile,Direction,Action

Gestione delle regole tramite WF

Il secondo modo per configurare il firewall è la console standard Windows Defender Firewall with Advanced Security. Per usarlo, basta premere la sequenza di tasti Win + R e inserire il comando wf.msc

La finestra della console che si apre può essere divisa in tre sezioni. La sezione di sinistra consente all'amministratore di sistema di selezionare per modificare le regole del traffico in uscita o in entrata, le regole di sicurezza di connessione e le impostazioni di monitoraggio. La sezione centrale visualizzerà le regole o le impostazioni stesse. La sezione di destra mostra le azioni disponibili a seconda delle regole o delle impostazioni selezionate.

Per impostazione predefinita, vengono visualizzate le impostazioni globali del firewall, in particolare i profili attivi e le informazioni brevi sulla logica attuale del firewall. Se crei un set di impostazioni una Volta™, puoi facilmente clonarlo su un altro server o addirittura applicarlo a molti server controllati contemporaneamente, ad esempio, all'interno di un dominio. Per fare ciò, puoi utilizzare le opzioni di importazione ed esportazione delle impostazioni.

Quando fai clic su Esporta politica, il sistema scarica tutte le regole in un file speciale con estensione WFW. Questo file può essere importato su un altro server nella stessa console. Inoltre, le regole da questo file possono essere unite con l'attuale set di regole come parte delle impostazioni di Group Policy, attraverso la corrispondente console di sistema. Ma prima, diamo un'occhiata all'interfaccia e creiamo una singola regola per il traffico in entrata.

Fai clic con il tasto destro del mouse su Regole in entrata e seleziona Nuova regola:

Di seguito, ci sono 4 possibili opzioni per il funzionamento della regola. Il firewall di Windows può essere configurato per funzionare con una specifica applicazione. Questo è molto comodo quando un'applicazione può aprire porte casuali all'interno di un certo intervallo. Quindi, invece di limitare il traffico a intervalli di porte, è possibile scegliere una specifica applicazione e il firewall si occuperà di garantire che le regole applicate siano seguite.

La seconda opzione è adatta per consentire o negare l'accesso su una specifica porta o gamma di porte. L'opzione più semplice, ma non prenderà in considerazione quale applicazione utilizzerà la porta specificata. La terza opzione (Predefinita) sbloccherà un elenco a discesa con set tipici di impostazioni. Ciò può risparmiare molto tempo quando si eseguono attività tipiche.

E infine, l'ultima opzione (Personalizzata), dà all'amministratore la possibilità di creare una regola arbitraria con qualsiasi combinazione di parametri disponibili. Tuttavia, dovresti fare molta attenzione a non bloccare accidentalmente il tuo accesso remoto al server. Come esempio, mostriamo come creare una regola che consente connessioni sulla porta 7777, sulla quale è in esecuzione un servizio lanciato in precedenza. Seleziona l'elemento Porta:

Nella finestra di dialogo successiva, è possibile selezionare quale protocollo utilizzerà la regola e specificare anche i numeri di porte individuali e intervalli:

Successivamente, devi dire al sistema cosa fare con le connessioni in arrivo alle porte precedentemente specificate. Puoi consentire o negare la connessione. Separatamente, è possibile consentire la connessione se è protetta da IPsec:

Quindi devi selezionare a quale profilo di sicurezza dovrebbe essere aggiunta la regola che stai creando. Puoi selezionare uno o più profili:

Rimane l'ultimo passo in cui puoi impostare un nome specifico e una descrizione per la nuova regola, dopodiché devi fare clic sul pulsante Fine:

La regola creata può essere abilitata o disabilitata nella sezione di destra utilizzando gli elementi Abilita regola e Disabilita regola:

Gestione delle regole tramite GPMC

Questo metodo funziona bene se le stesse impostazioni del firewall devono essere distribuite tra diversi server. In questo caso, ovviamente, è necessario tener conto che il server deve agire come controller di dominio. Per iniziare, devi aprire la Console di gestione delle policy di gruppo premendo la combinazione di tasti Win + R e inserendo il comando gpmc.msc. Apri un albero di dominio, quindi fai clic con il tasto destro su Default Domain Policy > Modifica

Nella sezione a sinistra, selezionare Configurazione computer > Policy > Modelli amministrativi > Rete > Connessioni di rete > Firewall di Windows Defender > Profilo di dominio

Imposta la policy Firewall di Windows Defender: proteggi tutte le connessioni di rete allo stato Abilitato:

Vai a Configurazione computer > Impostazioni di Windows > Impostazioni di sicurezza e apri le proprietà di Firewall di Windows con protezione avanzata:

Per ciascuna delle tre schede del profilo predefinite (Dominio, Privato e Pubblico), cambia lo Stato del firewall in On (recommended). Lì è possibile cambiare la logica dei profili a quella desiderata:

Nella stessa finestra di dialogo, è possibile abilitare l'opzione logging, che è disabilitata per impostazione predefinita. Questo ti permette di tracciare quali pacchetti sono stati respinti dal firewall o, ad esempio, le connessioni che sono state consentite dalle regole del firewall e sono state stabilite con successo. Se non specificato diversamente, il file di log viene salvato qui:

%SYSTEMROOT%\System32\logfiles\firewall\pfirewall.log

Aver espanso l'elenco delle opzioni disponibili in Firewall di Windows Defender con protezione avanzata vedrai la struttura già familiare della console descritta sopra. Qui puoi gestire le regole per il traffico in entrata e in uscita, oltre ad importare ed esportare le regole in formato WFW:

Vedi anche:

• Come utilizzare il firewall di Ubuntu
• Impedisci gli attacchi SSH-bruteforce in Linux