Notiuni indroductive: Firewalls
Ordinea regulilor:
Regulile sunt procesate intr-o anumita ordine. In help-ul fiecarui firewall se specifica ordinea.
Cand o regula a fost aplicata, celelalte care urmeaza sunt ignorate.
Pachete si programe:
Pot exista reguli pentru pachete si pentru aplicatii.
Vezi exemplu de mai jos pentru Internet Explorer = regula pentru aplicatie.
O regula pentru pachete ar putea fi urmatoarea:
Directie: inbound, incoming, sosire, intrare
Actiune: blocheaza
Remote port(s): any (orice)
Local port(s): 445
Orice pachet destinat portului 445 este blocat.
Ephemeral Ports = 1024 pana la 5000 (local)
Limitarea la aceste porturi este recomandata.
De exemplu o regula pentru Internet Explorer:
Aplicatie: numai Internet Explorer
Directie: outbound, outgoing, plecare
Actiune: permite
Remote port(s): 80 (HTTP)
Local port(s): 1024 - 5000
Reguli
Reguli pentru ICMP (Internet Control Message Protocol)- ICMP Types
Se permit de obicei:
1. ICMP - type 8 - intrare (type 8 = Echo request = ping) - permite altcuiva sa ping calculatorul personal (nerecomandat, recomandat daca ping se limiteaza la o anumita adresa)
2. ICMP - types 0, 3, 11 - intrare (Echo reply, Host unreachable, TTL) - alt calculator raspunde la ping, un router spune ca nu gaseste o destinatie, timp expirat (recomandat)
3. ICMP - types 8 - plecare (Echo request) - pot sa ping un calculator (recomandat)
Aceste 3 reguli pentru ICMP sunt urmate de o regula care blocheaza toate mesajele ICMP.
Exemplu:
1. Permite unui anume calculator sa ping calculatorul meu
Aplicatie: -
Directie: inbound, incoming, sosire, intrare
Protocol: ICMP
Actiune: permite
Serviciu local: type 8 Echo request
Remote: oricare serviciu, aplicatie
Remote address: IP XXX.XXX.XXX.XXX (recomandat)
2. Permite ca eu sa primesc raspuns la ping, un raspuns de la router sau un mesaj ca pachetul a expirat
Aplicatie: -
Directie: inbound, incoming, sosire, intrare
Protocol: ICMP
Actiune: permite
Serviciu local: types 0, 3, 11 Echo reply, Host unreachable, TTL
Remote: oricare serviciu, aplicatie
Remote address: oricare
3. Permite ca eu sa ping alte calculatoare
Aplicatie: -
Directie: outbound, outgoing, plecare
Protocol: ICMP
Actiune: permite
Serviciu local: type 8 Echo request
Remote: oricare serviciu, aplicatie
Remote address: oricare
4. Blocheaza orice ICMP in ambele directii (tot ce e permis se afla mai sus)
Aplicatie: -
Directie: outbound, outgoing, plecare si inbound, incoming, sosire, intrare
Protocol: ICMP
Actiune: blocheaza
Serviciu local: orice tip
Remote: oricare serviciu, aplicatie
Remote address: oricare
Reguli pentru DNS - Port: 53 server (TCP, UDP), local 1024 - 5000 (TCP, UDP).
How Domain Name Servers Work
De obicei se permite accesul la DNS-ul providerului de net si se blocheaza accesul la orice alt DNS. Vor exista deci doua reguli.
Aplicatie: oricare
Directie: outbound, outgoing, plecare si inbound, incoming, sosire, intrare
Protocol: UDP, TCP
Actiune: permite
Serviciu local: porturi 1024 - 5000
Remote: port 53
Remote address: IP XXX.XXX.XXX.XXX
Aplicatie: oricare
Directie: outbound, outgoing, plecare si inbound, incoming, sosire, intrare
Protocol: UDP, TCP
Actiune: blocheaza
Serviciu local: oricare port
Remote: port 53
Remote address: oricare adresa
Reguli pentru aplicatii:
Internet Explorer sau orice browser
Aplicatie: Internet Explorer sau alt browser
Directie: outbound, outgoing, plecare
Protocol: TCP
Actiune: permite
Serviciu local: porturi 1024 - 5000
Remote: porturi: 80, 88, 443, 1080, 8080
Remote address: oricare
Reguli pentru Outlook, Outlook Express sau orice program de email
Aplicatie: programul de email
Directie: outbound, outgoing, plecare
Protocol: TCP
Actiune: permite
Serviciu local: porturi 1024 - 5000
Remote: porturi: 110 (POP3)
Remote address: IP XXX.XXX.XXX.XXX
Aplicatie: programul de email
Directie: outbound, outgoing, plecare
Protocol: TCP
Actiune: permite
Serviciu local: porturi 1024 - 5000
Remote: porturi: 25 (SMTP)
Remote address: IP XXX.XXX.XXX.XXX
Pentru a bloca accesul programului de email la HTTP
Aplicatie: programul de email
Directie: outbound, outgoing, plecare
Protocol: TCP
Actiune: blocheaza
Serviciu local: oricare
Remote: porturi: 80, 88, 1080, 8080 (sau oricare)
Remote address: oricare
ZoneAlarm
In afara de cele scrise mai sus, pentru a va merge download-ul de pe un HUB, trebuie facute urmatoarele modificari:
- Intrati in Zone Alarm la sectiunea "Firewall"
- De la "Internet Zone Security" apasati butonul "Custom"
- In fereastra nou deschisa cautati: "Allow incoming/outgoing TCP/UDP ports" (atentie sunt 4 intrari distincte !)
- Acolo, la fiecare din aceste intari, introduceti un port (ex. 1412 este default pt dc++)
- Confirmati cu "Apply" , "Ok" si inchideti firewall-ul.
