1. HUNCERT
  2. Személyes tűzfalak, a Tiny Personal Firewall használata

Személyes tűzfalak, a Tiny Personal Firewall használata

Ebben az anyagban röviden ismertetjük, hogy mire jó a személyes tűzfal, hogyan működik, miért használjuk ezeket. A második részben pedig egy konkrét személyes tűzfal, a Tiny Personal Firewall használatát mutatjuk be. 

Tartalomjegyzék

1. Miért használjunk tűzfalat?
2. Kinek lehet szüksége tűzfalra?
3. Mit kell tudnia egy tűzfalnak?
4. Hogyan működnek a tűzfalak?

4.1 Néhány fontosabb protokoll
4.2 A portokról
4.3 A tűzfalak működése

5. Internetről letölthető tűzfalak
6. Tiny Personal Firewall (TPF)

6.1 Letöltés
6.2 Telepítés
6.3 A TPF beilleszkedése az operációs rendszerbe
6.4 A TPF felépítése
6.4.1 Monitoring egység (Status)
6.4.2 A TPF motor (engine)
6.4.3 Az adminisztrációs egység (Administration)
6.5 Konfigurálás: a szabályrendszer felállítása
6.6 Egyéb tulajdonságok
6.7. Milyen szabályokat állítsunk fel?

Fogalmak
Linkek


1. Miért használjunk tűzfalat?

Az Internet révén ma már a világ túlsó felén lévő számítógéppel is kapcsolatot tudunk létesíteni, információkat tudunk lekérni, küldeni. Ugyanakkor a hálózatok kiépülése nemcsak előnyt jelent, hanem a gépünkre leselkedő veszélyek is megszaporodtak. Naponta hallunk vírusokról, férgekről, trójaiakról, számítógépekbe történő betörésekről. A veszélyeket nem tudjuk teljesen kiiktani, de némi előrelátással sok bosszúságtól megkímélhetjük magunkat.

Az elektronikus levelezés kapcsán a vírusokról már szinte mindenki hallott, s egyre többen használnak vírusölő programokat. A vírusölők valóban nyújtanak egyfajta védelmet. Azonban számos más nyitott kapu is van a számítógépünkön. Ha ezeket mind becsuknánk, elvágnánk magunkat a világhálótól.

A tűzfalat éppen azért találták ki, hogy legyen egy olyan eszköz, ami a számítógépünkről kimenő illetve a beérkező forgalmat ellenőrizze és szabályozza. A szabályozás módjának gépenként változnia kell, hiszen minden gép gazdája más-más szolgáltatást vesz igénybe az Internetről és más-más szolgáltatást nyújt az Internet felé, s ráadásul szolgáltatásonként a célközönség is eltérő lehet. Tehát e forgalmak zavartalan átengedésekhez néhány kaput nyitva kell hagynunk, de a többi nyitva felejtett kapu csak a besurranók - a hackerek, crackerek1 - dolgát könnyíti.

A tűzfal tulajdonképpen egy olyan eszköz, amely a számítógép(ek) és az Internet közé 'falat' állítva a be- és kimenő forgalmat ellenőrzi és szabályozza. Az eszköz lehet egy fizikai valóságban létező, akár egy teljes intézményi hálózat védelmére szolgáló eszköz, de lehet egy személyi számítógépen futó program is.

Hangsúlyoznunk kell, hogy a tűzfal sem nyújt teljes biztonságot! Általában nem véd meg a spyware2-től, a trójai falótól 3, bár bizonyos fokú védelmet nyújthat.

A tűzfal által nyújtott biztonság mértéke függ a szabályok felállításától. Ahhoz, hogy ezeket a szabályokat optimálisan határozzuk meg, néhány fogalmat értenünk kell. A továbbiakban ezek tisztázására is kitérünk.

Ebben a leírásban a tűzfalak legegyszerűbb változatáról, a csak egy-egy Windows operációs rendszerrel ellátott számítógépet védő tűzfalról, az ún. személyes tűzfal­ról (personal firewall) esik szó. A 'személyes' szót elhagyjuk, de mindenütt értelemszerűen oda kell gondolni.

2. Kinek lehet szüksége tűzfalra?

Sokakban felmerül a kérdés: miért pont az én gépemen lévő információkra lenne valakinek szüksége? Valóban, a támadóknak csak egy része választja ki tudatosan a célgépet, a többiek inkább 'alkalmi tolvajok'. Azonban a gépünkön - még ha jelszavakat, hitelkártya információt, pénzügyi információkat, személyes leveleket nem is tárolunk - lehetnek olyan adatállományok, amelyek eltűnése, megváltozása ellehetetleníti a gép használatát. A támadók egy részét csak a puszta rosszindulat vezérli, mások szórakozásképpen lépnek be idegen gépekbe, van, aki a tudását akarja fitogtatni, vagy - s ez egyre gyakoribb - a feltört számítógépet egy harmadik fél elleni támadásra használja fel, így elfedve a valódi tettes nyomát.

Ezek után arra a kérdésre, hogy kinek lehet szüksége tűzfalra, a válasz az, hogy mindenkinek, aki:

  • az adatállományait vagy nyomtatóját másokkal meg kívánja osztani,
  • aki valamilyen Internet szolgáltatás működtet (pl. Web szervert üzemeltet),
  • aki megengedi, hogy a számítógépébe távolról is belépjenek (remote access),
  • aki szeretné a számítógépét távolról is vezérelni
  • aki figyelni szeretné az Internet forgalmát, főleg azért, hogy az ellene irányuló támadási kísérleteket idejében észrevegye,
  • és aki nem akar tudtán kívül egy harmadik fél elleni támadás részesévé válni.

3. Mit kell tudnia egy tűzfalnak?

A TruSecure Corporation által működtetett ICSA Labs a kereskedelmi forgalomban lévő tűzfalak minősítésével foglalkozik. Egy termék csak akkor kaphatja meg a minősítés, ha

  • Microsoft hálózati környezetben képes a végpontok védelmére,
  • kétféle (helyi hálózati és kapcsolt vonalas (dialup), egyidejű hálózati kapcsolat esetén is képes a védelemre,
  • több, egymás után történő dialup kapcsolat esetén is folyamatosan képes a védelmet biztosítani,
  • a hálózatról érkező, közönséges támadásokat képes blokkolni,
  • képes a kifelé menő hálózati forgalmat korlátozni,
  • az eseményekről konzisztens és jól használható feljegyzéseket képes készíteni.

A kritériumok pontos megfogalmazását lásd ezen a lapona. A minősítés feltételei időről-időre változnak, a jelenleg a 4.0 -s változat van érvényben.

4. Hogyan működnek a tűzfalak?

A tűzfalak működésének megértéséhez néhány fogalomb tisztázára szükség van: a következő rész a legfontosabb protokollokat és a portokat ismerteti.

4.1 Néhány fontosabb protokoll

Az Internet kommunikációs protokollja4 a TCP/IP (Transmission Control Protocol/Internet Protocol). Nemcsak a nagyterületű hálózatok használják, hanem a legtöbb lokális hálózat is evvel működik. Kétszintű protokoll, a TCP-ből és az IP-ből áll.

TCP a magasabb szint, feladata az Interneten továbbítandó üzenetek, adatállományok kisebb csomagokká (packet) való szétdarabolása, és a csomagokhoz információ hozzáfűzése (TCP header - például tartalmazza a csomagok sorszámát.). Szintén a TCP szint feladata a célgépen a csomagok összefűzése. A TCP kétirányú protokoll, ami azt jelenti, hogy a feladó a csomagok megérkezéséről nyugtát vár. Ilyen protokollon alapszik pl. az FTP, HTTP, SMTP, POP3.

Az alsóbb szintű protokoll, az IP a csomagok címzési adatokkal való ellátását végzi (mintha egy borítékot készítene, ráírva a címzett és a feladó adatait). Ez a protokoll használja a jólismert IP címeket5.

További protokollokról is szót kell ejtenünk:

ICMP(Internet Control Message Protocol): mint a neve is mutatja, üzenetkezelésre, vezérlésre szolgáló protokoll. Az ICMP protokollal leginkább a ’ping’6 parancs forrt össze, amellyel egy IP cím elérhetőségét vizsgáljuk. A válasz szintén egy ICMP üzenet, az ’Echo’.

UDP(User Datagram Protocol): A TCP-ez hasonlóan az IP feletti protokoll, de annál jóval egyszerűbb. Az UDP az üzenetet nem darabolja fel, ahogy a TCP teszi. Ez a protokoll egyirányú, ami azt jelenti, hogy az UDP csomag (azaz a datagramm) megérkezéséről a feladó nem vár nyugtát. Legismertebb alkalmazása a domain név feloldása IP címmé.

PPTP (Point-to-Point Tunneling Protocol): lehetővé teszi, hogy a nyilvános hálózaton egy saját kommunikációs csatorna (az ún. tunnel) létrehozásával két magánhálózat biztonságosan összeköthető legyen. (Ez a fajta összeköttetés a VPN).

4.2 A portokról

A portok egy hálózati kommunikációs csatorna végpontjai. A portok használata teszi lehetővé, hogy egy adott számítógépen futó alkalmazások, ugyanazt a hálózati erőforrást használva, a beérkező csomagokból csak a nekik szóló csomagokat kapják meg.

(Például az egyik gépen lévő browser (Netscape vagy Internet Explorer) lekér egy másik gépen futó web szerverről egy html lapot, akkor a két gép között létrejövő kommunikációs csatornát az egyes gépek IP címei, valamint a browserhez illetve a web szerverhez tartozó port szám határozza meg.)

A fentemlített protokollok közül a TCP és az UDP alkalmazza a portokat.

A portokat számokkal (is) azonosítjuk, értékük 0-65535 között lehet. A portok és a hozzájuk tartozó protokollok/szolgáltatások azonosításával a IANA (Internet Assigned Numbers Authority) foglalkozik, az erről szóló dokumentumot ld. ittc.

A portszámokat három csoportba osztják:

  • jól ismert portok (well known ports),
  • regisztált portok,
  • dinamikus vagy privát portok.

A jól ismert portok a 0-1023-as sávban lévő portok, amelyeket általában csak rendszerprocesszek vagy rendszerprogramok használnak, és ezek szorosan kötődnek valamilyen szolgáltatáshoz: a 20 és 21-es port az FTP-hez, 22-es az SSH-hoz, 25 az SMTP-hez, 32 a telnet-hez, a 80-as a HTTP-hez stb.

A regisztrált portok (1024-49151) sokkal kevésbé kötődnek egy-egy szolgáltatáshoz, ilyen portszám többféle célra is felhasználható.

A privát portokhoz (49152-65535) nem kapcsolódik semmilyen szolgáltatás.

4.3 A tűzfalak működése

Nagyon sokféle tűzfalat szerezhetünk be a piacról, de a következő alapfunkciók rendszerint mindegyikben megvannak:

  • Csomagszűrés

    A tűzfalon belül egy szabályrendszer állítható fel. A szabályoknak megfelelő csomagokat a tűzfal továbbengedi vagy eldobja. A szabályok által meghatározott kritériumok lehetnek: a csomagok iránya (be- vagy kifelé menő), a forrás- illetve a célgép IP címe, portszámok stb.

  • Nem szabványos csomagok kiszűrése

    Néhányan nem szabványos csomag küldésével próbálnak egy gépre bejutni. A tűzfalnak az ilyen csomagok szűrésére is fel kell készülni.

  • Portok nyomkövetése, blokkolása

    A tűzfalnak figyelnie kell az egyes portokon folyó forgalomra. Ezt azt jelenti, hogy érzékelnie kell, ha valaki végigpásztázza a nyitott portokat (ún. port scanning), képesnek kell lennie az egyes portok lezárására, valamint fel kell tudni figyelnie az egyes portokon jelentkező 'gyanús' forgalomra is.

  • Alkalmazások védelme

    Egyes tűzfalak nemcsak a portok, hanem az Internet alkalmazások védelmét is képesek ellátni. Vagyis az egyes alkalmazásokhoz tartozó be- és kifelé menő hálózati forgalmát külön elemzi.

  • Riasztás

    Hasznos tulajdonság, ha a tűzfal gyanús hálózati forgalomnál automatikusan riasztja a rendszergazdát, így azonnal lehetőség nyílik a beavatkozásra.

  • Nyomkövetés

    A hálózati forgalomról készült feljegyzések (ún. log file-ok), az ezekből készíthető riportok segíthetnek a felállított szabályok tökéletesítésében, a gyanús forgalom kiszűrésében.

  • MD5 védelem

    Ha egy alkalmazáshoz tartozó forgalmat engedélyezünk, akkor feltételezzük, hogy a forgalom ártalmatlan. Ezt használják ki bizonyos trójai falovak úgy, hogy ugyanazon a néven egy más - legtöbbször ártalmas - funkcióval is rendelkező alkalmazásra cserélik le az eredeti programot. Mivel az alkalmazás neve, portja nem változott meg, a tűzfal kiengedi a forgalmat, mellékesen kiengedve a számítógépünkről összeszedett információkat is. Ezt megelőzendő találták ki az MD5 védelmet. Lényege: minden alkalmazásról készül egy 'ujjlenyomat', azaz egy, csak az adott állományra jellemző 128 hosszú bitsorozatot. Ha az alkalmazást átírják, az ujjlenyomat is megváltozik, s ezt a tűzfal észreveszi és figyelmezteti a rendszergazdát.

  • Egyéb funkciók

    A tűzfalak többsége nem egy szabályrendszerrel érkezik. Ilyenkor kiválaszthatjuk a számunkra legmegfelelőbb szintet, anélkül, hogy a szabályok mélyebb ismeretére szükségünk lenne.

5. Internetről letölthető tűzfalak

Ha olyan szerencsések vagyunk, hogy kereskedelmi forgalomban lévő tűzfal vásárlására van lehetőségünk, akkor az ICSA Labs által minősített termékek közül válasszunk d.

De nagyon jó termékek találhatók az otthoni használatra szabadon letölthető tűzfalak között is. Ezek nemegyszer a kereskedelmi forgalomban lévő termék kissé lebutított változata.

Néhány otthoni felhasználásra szabadon letölthető tűzfal:

Név Verzió Op. rendszer Tárigény
ZoneAlarm 3.7.098 Windows 98/Me/NT/2000/XP 3 MB
Sygate Personal Firewall 5.0 Windows 95/98/ME/NT/2000/XP 5 MB
Tiny Personal Firewall 2.0.15 Windows 98/Me/NT/2000/XP 1.4 MB
Outpost Personal Firewall 1.0.18 Windows 95/98/98SE/ME/NT4/2000/XP 2.71 MB
Kerio Personal Firewall 2.1.4 Windows 98/NT/ME/2000/XP 2 MB

A Windows XP már tartalmazza a Internet Connection Firewall (ICF) nevű tűzfalat. Hátránya, hogy a számítógépünkről kimenő forgalmat nem szűri, azt feltételezve, hogy kifelé csak engedélyezett adat megy (ld. MD5 védelem).

6. Tiny Personal Firewall (TPF)

A fenti tűzfalak közül a TPF e -t mutatjuk be. A kiválasztást semmiféle összehasonlító elemzés nem előzte meg. Mégis hasznos lehet a TPF megismerése, mert egy tűzfal konfigurálása során szerzett tapasztalat jól alkalmazható a többinél is.

Az ismertetés során nem térünk ki minden apró részletre, a hangsúlyt egy általános bemutatásra és a szabályok meghatározására helyezzük.

6.1 Letöltés

A táblázatból megadott címre rákattintva a pf2.exe állományt tároljuk el a gépünkön.

6.2 Telepítés

A telepítés nagyon egyszerű: a pf2.exe indítása után néhány szokásos kérdésre (telepítés helye, stb.) válaszolva elérkezünk az utolsó képernyőhöz, amely azt tudakolja, hogy TPF most vagy később indítsa újra a gépet.

6.3 A TPF beilleszkedése az operációs rendszerbe

Alkalmazások (pl. Tiny adminisztráció)
Windows sockets
TCP/IP protokoll
TPF driver
hálózati kártya meghajtó (driver)   WAN alrendszer   ...
hálózati kártya   modem ISDN   ...

6.4 A TPF felépítése

A TPF három fő részből áll

  • a monitoring egység (Status) - a beállítások és egyéb információk megtekintése
  • motor (Engine) - a tűzfal indítása, leállítása
  • az adminisztrációs egység (Administration) - a tűzfal konfigurálása

A három rész elérhető a Start Menu -> Programs -> TPF úton vagy a tálcáról (taskbar).

A TPF-t két módon is indíthatjuk: szolgáltatásként (service) vagy kézzel. Lehetőleg az első vál­to­za­tot használjuk, mert így a védelem a hálózati kommunikáció megindulásának első pillanatától érvé­nye­sül. (Administration -> Miscellaeous -> Run As Services)

Fontos tulajdonsága a TPF-nak, hogy távolról is adminisztrálható, a beállítások és a log file-ok távolról is megtekinthetők. (Administration -> Miscellaeous -> Enable Remote Administration / Enable Remote Access to Statistics and Logs).

6.4.1 Monitoring egység (Status)

A monitoring egység azokat alkalmazásokat és szolgáltatások sorolja fel, amelyek a hálózatról csomagokat fogadhatnak. Az operációs rendszer a beérkező csomagokat a megfelelő alkalmazás illetve rendszerszolgáltatás felé továbbítja, mert a belső tábláiban rögzítve van, hogy az egyes alkalmazások mely protokoll mely portján várják ezeket.            

Image

Az oszlopok tartalma:

  • Alkalmazás (Application): hálózati kapcsolattal rendelkező alkalmazások vagy rendszer­szol­­gáltatások
  • Protokoll (Protocol): protokoll típusa
  • Helyi cím (Local Address): a helyi gép címe és a portszám
  • Távoli cím (Remote Address): a kapcsolat másik végén lévő gép címe és a portszám
  • Állapot (State): van-e élő kapcsolat, vagy csak
  • A kapcsolat kezdete (Creation time)
  • A fogadott byte-ok száma (Rx [Bytes])
  • A fogadás sebessége (Rx Speed [kB/sec])
  • A küldött byte-ok száma (Tx [Bytes])
  • A küldési sebesség (Tx Speed [kB/sec])

Például a fenti táblázat második sora szerint a minta alapjául szolgáló számítógépen fut egy web szerver (Apache.exe), amelyet az schpeter.admin.sztaki.hu nevű gépről éppen lekérdeznek. Az Apache szerver a 80-as porton várja a csomagokat, a másik gép pedig a 4401-es portjáról küldte azokat.

A monitoring egységből kaphatunk a teljes forgalomra vonatkozó statisztikát is (Logs -> Statistics):

Image

A három részben látható:

  • az elküldött és a fogadott csomagok illetve byte-ok,
  • a protokollonkénti statisztika,
  • a blokkolt illetve átengedett forgalom.

6.4.2 A TPF motor (engine)

A TPF motorja vagy a tálcáról (taskbar) vagy az első ablakon található 'Firewall enabled' bejelölésével indítható illetve állítható le.

Image

6.4.3 Az adminisztrációs egység (Administration)

A TPF telepítése után egy 'gyárilag' meghatározott szabályrendszer is felkerül a gépre. Az adminisztrációs egység teszi lehetővé, hogy ezt a szabályrendszert érvényesítsük vagy módosítsuk.

A TPF háromszintű biztonsági rendszerrel érkezik:

  • minimális,
  • közepes (alapértelmezés),
  • maximális.

A beállítása az előbbi ábrán található függőleges csúszka segítségével végezhető.

minimális szint azt jelenti, hogy a tűzfal bármilyen adatátvitelt megenged, azaz a szabályrendszer nem érvényesül. Elsősorban azoknak javasolható, akik saját szabályokat szeretnének felállítani.

közepes szintnél a TPF a felállított szabályrendszer szerint dönt a csomagok sorsáról (tovább­enge­di, blokkolja.) Ha olyan csomag érkezik, amire nincs szabály, akkor a képernyőn megnyíló figyelmeztető ablakban dönthetünk a csomag további sorsáról: átengedjük, blokkoljuk vagy szabályt állítunk fel az ilyen csomagokra. 
(Ehhez az Administration -> Advanced -> 'ask for action when no rule' kockát be kell jelölnünk.)

maximális szintnél csak a felállított szabályoknak megfelelő csomag jöhet át a tűzfalon, a többi eldobásra kerül.

6.5 Konfigurálás: a szabályrendszer felállítása

Az alábbi kép egy működő tűzfal szabályrendszere, az egyes sorok tartalmazzák a szabályokat.

Image

Az oszlopok jelentése

  • bejelölt box esetén a szabály érvényben van
  • az összes alkalmazásra vagy csak egy adott alkalmazásra vonatkozik a szabály (ld. 7. oszlop)
  • a kimenő, a bejövő vagy a kétirányú (-> <- <=>) forgalmat engedi át vagy tiltja a tűzfal,
  • szabály megnevezése
  • a protokoll
  • a helyi port>
  • a távoli IP cím és port
  • az alkalmazás vagy rendszerszolgáltatás

Például az első sor azt mondja, hogy a gépen futó bármilyen alkalmazás bármilyen porton keresztül felépíthet saját magával akár TCP, akár UDP kapcsolatot, azon akár kifelé, akár befelé menő forgal­mat bonyolíthat. A 12. sor szerint a msmsgs.exe minden kifelé menő UDP forgalma le van tiltva. (Az msmsgs.exe a Windows Messenger.)

Egy szabálysablon így néz ki:

Image

  • Description: a szabály elnevezése (tetszőleges)
  • Protocol: Any, TCP, UDP, TCP and UDP, ICMP, other 
    Az 'ICMP' és az 'other' protokolloknál további paraméterek beállítása szükséges.
  • Direction: incoming, outgoing, both
  • Local endpoint - Remote endpoint:
    A beállítás protokollfüggő. Általában a lokális végponton portszámo(ka)t és alkalmazást, a távoli végponthoz IP címe(ke)t, portszámo(ka)t adunk meg.
  • Rule valid: a szabály alkalmazásának időszaka (a hét adott napja, kezdő- és végidőpont)
  • Action: a fenti leírásnak megfelelő csomagok blokkolódjanak (Deny) vagy továbbmenjenek (Permit)

Ugyanebben az ablakban jelölhetjük meg, hogy az itt meghatározott csomagokról készüljön-e feljegyzés (Log when this rule match) vagy/és figyelmeztetés jelenjen meg a képernyőn (Display alert box when this rule match).

Két azonos szabály (akár más megnevezéssel) nem állítható fel, a TPF nem engedi a másodikat eltárolni.

A szabályok sorrendje számít. A tűzfal egy csomag beérkezésénél megnézi, hogy a csomag megfelel-e az első szabálynak, ha igen, alkalmazza az előírt utasítást, például blokkolja. Ha nem, akkor jön a második szabály, stb. Ebből következik, hogy ha két ellentétes szabályt (permit/deny) felállítható, de az első érvényesül.

6.6 Egyéb tulajdonságok

Néhány további tulajdonság:

  • A Microsoft hálózatra külön szabály állítható fel. Ez azért fontos, mert a legtöbb személyi számítógép Windows hálózatban működik. 
    Administration -> Advanced -> Microsoft Networking
  • MD5 védelem van (ld. 4.3)
  • Log file-t készítése további elemzés céljaira érdemes készíteni.
    Példa egy log-filera:

Image


6.7 Milyen szabályokat állítsunk fel?f

Az alábbi ábrán egy Win2000 operációs rendszerre telepített TPF kezdeti beállításai láthatók.

Image

A következő beállítások példáként szolgálnak, mindenkinek a saját rendszeréhez kell igazítania a szabályrendszert.

  1. Loopback

    Az érintett gépen lévő bármilyen szolgáltatásnak engedjük meg, hogy bármilyen porton, TCP és UDP protokollal is kommunikálhasson saját klienseivel.

    A 6.5.1 táblázat mezőinek kitöltése:

    Protocol: TCP and UDP; Direction: Both directions (mindkét irány); Local endpoint (lokális végpont): any port (bármely port), any (bármely alkalmazás); Remote endpoint (távoli végpont): Single address, 127.0.0.1, any port; Action: permit(engedélyezve)

  2. DNS

    A hálózati kommunikáció során használt domain nevek IP címmé való feloldását a Domain Name Serverek (DNS) végzik. Erre például a webhasználat, file letöltések során lehet szükségünk. A gépünknek tehát el kell érnie egy DNS szerver szolgáltatásait, amelyek általában az 53-as porton hallgatóznak. A Win 2000/XP esetén az svchost.exe alkalmazás küldi ki a kérdést, 1023 feletti, de nem mindig azonos portszámról. A válasz is ugyanerre a portra érkezik.

    A domain név feloldása az UDP és TCP protokollt is használja. Csak az UDP protokoll engedé­lye­zé­se az esetek többségében nem okoz problémát, de lesz néhány kivétel (pl. amikor a szervertől érkező válasz meghaladja az 512 byte-ot), ezért engedélyezzük mindkettőt.

    Protocol: UDP és TCP; Direction: both directions; Local endpoint: any port, only selected below, c:\windows\system32\svchost.exe; Remote endpoint: any address, single port, 53; Action: Távoli végpont

    (Mj. lokális portokat korlátozhatjuk az 1024-49152-es tartományra)

  3. ICMP

    Az ICMP (Internet Control Message Protocol) protokollt a kommunikációval kapcsolatos üzenetközvetítésre, hibajelzésre találták ki, más protokollok is használják (pl. a Linux TCP), emiatt letiltásuk nem javasolható. (Bár emiatt denial-of-service7 támadás érheti a hálózatunkat.) A legismertebb ICMP protokollt használó parancsok a ping és traceroute6. Kifelé menő ICMP forgalomban az Echo Reply (0) és Echo Request (8), a befelé menő forgalomban még a Destination Unreachable(3), Destination Unreachable (5), Time Exceeded (11) beállítsa javasolható.

    Protocol: ICMP; Direction: Outgoing; Set ICMP: 0,8; Local endpoint: -; Remote endpoint: any address; Action: permit

    Protocol: ICMP; Direction: Incoming; Set ICMP: 0, 3, 5, 8, 11; Local endpoint: -; Remote endpoint: any address; Action: permit

  4. WEB

    Web lapok olvasásához TCP protokollra van szükség, a lokális végpontnál alkalmazásként adjuk meg a browerünket (pl. Netscape, Internet Explorer) de 'any application'-t is írhatunk, főleg ha több browsert vagy pl. Microsoft Word dokumentumból kívánunk egy linket elérni. A távoli végpontnál két portszámot (80, 443) feltétlenül írjuk be, de beírhatunk 'any'-t, s ekkor minden távoli szolgáltatást (weblapok, levelezés, news) elérhetővé válik.

    Protocol: TCP; Direction: Outgoing; Local endpoint: any port, c:\program files etscape etscape.exe; Remote endpoint: any address, List of ports: any; Action: permit

    Ha web szervert üzemeltetünk, pl. Apache.exe-t, akkor:

    Protocol: TCP; Direction: Incoming; Local endpoint: single port, 80, c:\program files\apache\apache.exe; Remote endpoint: any address, any port; Action: permit

    (Szükséges lehet a 443-as port is.)

  5. FTP

    FTP használatakor tudnunk kell, hogy aktív vagy passzív8 módon használjuk az FTP-t, mert a szerver és a kliens beállítása is ettől függ. Az FTP csak TCP protokollt használ, és két portot: egyet a parancsok, egyet az adatok forgalmazására. Az FTP szervereknél ez általában a 21-as és a 20-es port. (Bár a módtól függően a 20-as helyett lehet más port is.) Részletes magyarázat található itt g.

    Aktív FTP kliens használata esetén egy beállítás lehet:

    Protocol: TCP; Direction: Outgoing; Local endpoint: any port, c:\windows\system32\ftp.exe; Remote endpoint: any address, List of ports: 20, 21; Action: permit

    Protocol: TCP; Direction: Incoming; Local endpoint: any port, c:\windows\system32\ftp.exe; Remote endpoint: any address, any port; Action: permit

  6. SSH használata

    A telnet -et biztonsági hiányosságai miatt ma már nem használják, helyette az ssh terjedt el. A lokális alkalmazás ebben a példában putty.exe.

    Protocol: TCP; Direction: Outgoing; Local endpoint: any port, c:\program files\putty\putty.exe; Remote endpoint: any address, single port, 22; Action: permit

  7. Windows hálózati kapcsolatok

    Ha a Windows névfeloldását, a gépünkön lévő adatállományok illetve a nyomtatók megosztását lehetővé szeretnénk tenni, akkor engedjük meg a bejövő UDP 137, 138 és TCP 139-es portok, valamint a TCP 445-ös port használatát.

Fogalmak

1 hacker/cracker -

szoftverek, számítógépes és távközlési rendszerek feltörésére szakosodott "kalóz"; a cracker rendszerint ártó vagy haszonszerzési szándékkal dolgozik, szemben a hackerrel, aki inkább intellektuális kihívásként foglalkozik a biztonsági rések felderítésével (NIIF Füzetek I.2)

2 spyware -

olyan technológia, amely személyekről, szervezetekről - azok tudta nélkül - információt gyűjt. Az Interneten az olyan programokat nevezzük spyware-nek, ami egy számítógépén futva a számítógép felhasználójáról információt gyűjt és továbbít egy külső félnek. A szabadon letölthető szoftverek között gyakran előfordul az ilyen rejtett funkcióval ellátott program.

3 trójai (faló) -

Látszólag hasznos program, amelynek titkos funkciói vannak. Ezek a funkciók általában az adott rendszer védelmi mechanizmusát megkerülve hajtják végre az előírt feladatot, pl. adatokat küldenek a gépről. Szemben a vírusokkal, reprodukcióra nem képesek.

4 protokoll -

telekommunikációs végpontok közötti forgalmat leíró szabályrendszer. A kommunikáció több szinten valósul meg: a protokoll vonatkozhat a szintek közti kommunikációra is, valamint az azonos szintű végpontok közti kommunikációra is.

5 IP cím -

a TCP/IP hálózaton lévő számítógép vagy eszköz azonosítására szolgáló 32 bites szám. A számot 4 részre osztva, pontokkal elválasztva jelenítik meg úgy, hogy egyik részben lévő szám sem lehet nagyobb 255-nél. Példa egy IP címre: 193.225.12.48

6 ping és traceroute -

Két hálózatellenőrzésre szolgáló program: 
a ping megvizsgálja, hogy egy adott IP cím létezik-e és fogad-e csomagokat, valamint mennyi idő alatt érkezik meg válasz; 
a traceroute a kiindulógép és a célgép közti utat térképezi fel;

7 denial-of-service vagy DOS -

~ támadás során a felhasználót a rendelkezésére álló erőforrások/szolgáltatások használatában korlátozzák. Tipikus példa lehet, ha olyan hálózati forgalmat generálnak az illető gép felé, amely a normál kommunikációt lehetetlenné teszi.

8 aktív és passzív FTP -

Röviden úgy foglalható össze az aktív és passzív FTP közti különbség, hogy az adatforgalmi kapcsolatot melyik fé (a szerver vagy a kliens) kezdeményezi. (A parancsforgalmi kapcsolatot mindenképp a kliens indítja.) Ezek után világos, hogy a tűzfalaknál a bejövő és kimenő forgalom szűrése miatt kell tekintettel lennünk arra, hogy milyen FTP-t használunk.

Linkek

a ICSA Labs tűzfalakra vonatkozó minősítési kritériuma 
b Az itt használatos fogalmak definiciója megtalálható pl. a Whatis vagy a Webopedia lapjain. 
c Port számok 
d Az ICSA Labs által minősített tűzfalak 
e Tiny Personal Firewall V.2 User’s Guide 
f Hasznos információk a tűzfal és a portok kapcsolatáról 
g Aktív és passzív FTP