outpost - firestarter

Kerekes Dávid - BCE - 2007

Tőzfalak

Kerekes Dávid

Kerekes Dávid Kerekes Dávid -- BCE BCE -- 20072007

Veszélyek az Interneten (1)Veszélyek az Interneten (1)

Minden az Internetre kapcsolódó gép ki van téve Minden az Internetre kapcsolódó gép ki van téve különbözı támadási lehetıségeknek:különbözı támadási lehetıségeknek:

1.1. Távoli hozzáférés (valaki, aki képes ártó szándékkal Távoli hozzáférés (valaki, aki képes ártó szándékkal hozzáférni egy számítógéphez, és ott jogosulatlanul hozzáférni egy számítógéphez, és ott jogosulatlanul tevékenykedni pl.: fájlokat megnyitni vagy tevékenykedni pl.: fájlokat megnyitni vagy futtatnifuttatni))

2.2. Operációs rendszerek és különféle programok biztonsági Operációs rendszerek és különféle programok biztonsági rései és hátsó ajtói (és az ezeket kihasználó rései és hátsó ajtói (és az ezeket kihasználó programokprogramok))

3.3. Spam (valaki hozzáfér egy levelezési listához és kéretlen Spam (valaki hozzáfér egy levelezési listához és kéretlen (többnyire ártalmatlan de idegesítı) leveleket küld (többnyire ártalmatlan de idegesítı) leveleket küld ezekre a ezekre a címekrecímekre))

4.4. DOS és DDOS (Denial of Service és Distributed Denial of DOS és DDOS (Denial of Service és Distributed Denial of Service) (szerverek megbénítása: több ezer fertızött gép Service) (szerverek megbénítása: több ezer fertızött gép (bot(bot--okkal fertızött zombi gépekokkal fertızött zombi gépek→→ botnet) egyszerre botnet) egyszerre akar letölteni egy akar letölteni egy oldaltoldalt))

5.5. Spyware programok (személyes adatok pl.: jelszavak Spyware programok (személyes adatok pl.: jelszavak megszerzése, billentyőzet leütést figyelı megszerzése, billentyőzet leütést figyelı programokprogramok))

6.6. EE--mail bomba (ugyanazt az email bomba (ugyanazt az e--mailt több ezer példányban mailt több ezer példányban küldik el egy címre (harmadik félen keresztül), hogy a küldik el egy címre (harmadik félen keresztül), hogy a címzett ne tudjon fogadni címzett ne tudjon fogadni újabbakatújabbakat))


Veszélyek az Interneten (2)Veszélyek az Interneten (2)

Károkozó (malware) Károkozó (malware) programokprogramok lehetneklehetnek::�� EE--mail vírusok (egy levél csatolmányaként mail vírusok (egy levél csatolmányaként

terjedı vírus, emberi „segítség” kell a terjedı vírus, emberi „segítség” kell a terjedéséhezterjedéséhez))

�� Makró vírusok (táblázatok, adatbázisok Makró vírusok (táblázatok, adatbázisok részeiként ártalmas kódot tartalmazó részeiként ártalmas kódot tartalmazó programokprogramok))

�� Scriptek (weblapokhoz írt kliens oldali (VBS Scriptek (weblapokhoz írt kliens oldali (VBS és JavaScript) programok, ActiveX és JavaScript) programok, ActiveX vezérlıkvezérlık))

�� Trójai programok (önmagukat hasznos Trójai programok (önmagukat hasznos programként feltüntetı programként feltüntetı károkozókkárokozók))

�� Férgek (worms) (emberi beavatkozás nélkül Férgek (worms) (emberi beavatkozás nélkül terjedı és önmagukat másoló programok pl.: terjedı és önmagukat másoló programok pl.: egy személy eegy személy e--mail címlistájának minden mail címlistájának minden egyes elemére továbbküldi magát egyes elemére továbbküldi magát →→exponenciexponenciáális lis terjedterjedééss))

(http://www.webopedia.com/DidYouKnow/Internet/2004/virus.asp)


Malware programok

(http://www.livinginternet.com/i/is_vir.htm)


Veszélyek az Interneten (3)Veszélyek az Interneten (3)„„Az elmúlt tizenkét hónap során számos rekord megdılt az informatAz elmúlt tizenkét hónap során számos rekord megdılt az informatikai ikai

biztonság világában. A McAfee jóval 100 000 feletti számban biztonság világában. A McAfee jóval 100 000 feletti számban regisztrált új vírusokat, amely 50 százalékos növekedést jelent regisztrált új vírusokat, amely 50 százalékos növekedést jelent az az összes valaha regisztrált fenyegetés összes valaha regisztrált fenyegetés számábanszámában.”.”

„A felmérések szerint a világon napjainkban mintegy 100 millió „A felmérések szerint a világon napjainkban mintegy 100 millió zombigép van, amelyeknek a száma naponta 200 ezerrel nı.”zombigép van, amelyeknek a száma naponta 200 ezerrel nı.”

„A mobil eszközöket támadó vírusok száma 2004 és 2006 között „A mobil eszközöket támadó vírusok száma 2004 és 2006 között félévente megkétszerezıdött, így látszik, hogy a hackerek új félévente megkétszerezıdött, így látszik, hogy a hackerek új célpontjai egyre inkább ezek lesznek.”célpontjai egyre inkább ezek lesznek.”

„Az elmúlt idıszakban megváltozott a hackerek és a csalók magata„Az elmúlt idıszakban megváltozott a hackerek és a csalók magatartása rtása is: míg korábban egyis: míg korábban egy--egy internetes támadás indítója büszke volt egy internetes támadás indítója büszke volt tevékenységére és örült a nagy hírverésnek, a mostani, anyagi tevékenységére és örült a nagy hírverésnek, a mostani, anyagi haszonszerzésre törekvık már abban érdekeltek, hogy minél haszonszerzésre törekvık már abban érdekeltek, hogy minél rejtettebb módon dolgozhassanak. Ha ugyanis kevesebb hír jelenikrejtettebb módon dolgozhassanak. Ha ugyanis kevesebb hír jelenikmeg a támadásokról, a felhasználók is kevésbé törekednek a meg a támadásokról, a felhasználók is kevésbé törekednek a biztonságos megoldásokra.”biztonságos megoldásokra.”

(http://www.sg.hu/cikkek/56470/mcafee_a_tiz_legfenyegetobb_biztonsagi_kockazat

http://www.sg.hu/cikkek/54776/egyre_tobb_internetes_tamadas_eri_a_felhasznalokat

http://www.sg.hu/cikkek/54548/a_cegek_87_szazalekanak_nem_megfelelo_a_vedelme)


Példa egy (elterjedt) trójairaPélda egy (elterjedt) trójairaTrojanTrojan--Downloader.Zlob.MediaDownloader.Zlob.Media--Codec (a Sunbelt cég Codec (a Sunbelt cég

CounterSpy tőzfalának 2007 júliusi adatbázisa szerinti CounterSpy tőzfalának 2007 júliusi adatbázisa szerinti legelterjedtebb kémprogram):legelterjedtebb kémprogram):

Bizonyos felnıtt Bizonyos felnıtt tartalmtartalmakatakat kínálókínáló honlapokon lévı videók honlapokon lévı videók lejátszásához szükséges Windows Media Player lejátszásához szükséges Windows Media Player bıvítményként tünteti fel magát, valójában viszont további bıvítményként tünteti fel magát, valójában viszont további (biztonsági szoftvereknek álcázott) káros alkalmazásokat és (biztonsági szoftvereknek álcázott) káros alkalmazásokat és kémprogramokat (SpywareQuake, SpyFalcon, kémprogramokat (SpywareQuake, SpyFalcon, WinAntivirusPro) tölt le és telepít a felhasználó WinAntivirusPro) tölt le és telepít a felhasználó számítógépére, amik késıbb újabb és újabb károkozók számítógépére, amik késıbb újabb és újabb károkozók letöltéséhez vezetnek.letöltéséhez vezetnek.

Ezek közül a WinAntivirusPro egy komplett „biztonsági Ezek közül a WinAntivirusPro egy komplett „biztonsági csomag”csomag”--ból áll: tartalmaz kémprogram eltávolítót, ból áll: tartalmaz kémprogram eltávolítót, antivírus programot, popantivírus programot, pop--up ablak blokkolót, tőzfalat. up ablak blokkolót, tőzfalat. Természetesen ezek a „védelmi” programok távolról sem Természetesen ezek a „védelmi” programok távolról sem azt csinálják, amit ígérnek.azt csinálják, amit ígérnek.

(http://www.sg.hu/cikkek/53629/egyre_tobb_trojai_van_a_gepeken)


TőzfalTőzfal

A tőzfal egy szoftverA tőzfal egy szoftver-- vagy hardvereszköz vagy hardvereszköz ami (a beállításoknak megfelelıen) megszőri ami (a beállításoknak megfelelıen) megszőri azaz InternetInternet--hezhez kapcsolódó lokális hálózatok kapcsolódó lokális hálózatok vagy egyes vagy egyes számíszámí--tógépektógépek (ki(ki-- és bemenı) és bemenı) adatáramlásátadatáramlását


Tőzfal generációk (1)Tőzfal generációk (1)

1.1. Csomagszőrı tőzfalak (1988): minden egyes adatcsomag Csomagszőrı tőzfalak (1988): minden egyes adatcsomag keresztül megy egy szőrın, ami az elızetes adatok keresztül megy egy szőrın, ami az elızetes adatok alapján vagy átengedi a csomagot, vagy alapján vagy átengedi a csomagot, vagy nemnem

2.2. Állapottartó csomagszőrı tőzfalak (1990): Egy Állapottartó csomagszőrı tőzfalak (1990): Egy csomagsorozat nem minden egyes elemét vizsgálja meg csomagsorozat nem minden egyes elemét vizsgálja meg különkülön--külön, hanem bizonyos kulcsfontosságú részeket külön, hanem bizonyos kulcsfontosságú részeket hasonlít össze egy meglévı adatbázis hasonlít össze egy meglévı adatbázis tagjaivaltagjaival

3.3. AlkalmazásiAlkalmazási réteg tőzfal (proxy tőzfal réteg tőzfal (proxy tőzfal –– 1991): az 1991): az adatcserét szabályozó protokollokat ellenırzi (pl.: egy adatcserét szabályozó protokollokat ellenırzi (pl.: egy LAN gépei közül csak egy gépnek van engedélyezve az LAN gépei közül csak egy gépnek van engedélyezve az FTP protokoll használata). Proxy szerver: a kért FTP protokoll használata). Proxy szerver: a kért információkat biztosító gép nem tud közvetlenül csak egy információkat biztosító gép nem tud közvetlenül csak egy tőzfalként mőködı szerveren keresztül kapcsolatba lépni tőzfalként mőködı szerveren keresztül kapcsolatba lépni a kliens a kliens géppelgéppel

(http://en.wikipedia.org/wiki/Firewall)


Tőzfal generációk (2)Tőzfal generációk (2)

4.4. Dinamikus csomagszőrı tőzfalak: korábbi tőzfal Dinamikus csomagszőrı tőzfalak: korábbi tőzfal generációk tulajdonságait hordozó, de az UDP generációk tulajdonságait hordozó, de az UDP átviteli protokoll ellenırzésével kiegészített tőzfalátviteli protokoll ellenırzésével kiegészített tőzfal

5.5. Visas (elsı grafikus felhasználói felülető tőzfal Visas (elsı grafikus felhasználói felülető tőzfal ––1992): Windows és MacOS alá tervezték1992): Windows és MacOS alá tervezték

6.6. Egységes veszélyforrás kezelı rendszerek (Unified Egységes veszélyforrás kezelı rendszerek (Unified Threat Management Threat Management -- 2004): behatolás megelızı 2004): behatolás megelızı rendszert (Intrusion Prevention Systems), rendszert (Intrusion Prevention Systems), antivírus alkalmazást, VPNantivírus alkalmazást, VPN--t, spamszőrıt, webes t, spamszőrıt, webes tartalomszőrıt, tőzfalat tartalmazó komplex tartalomszőrıt, tőzfalat tartalmazó komplex rendszer (pl.: Cisco ASA)rendszer (pl.: Cisco ASA)

(http://en.wikipedia.org/wiki/Firewall

http://www.cisco.com/univercd/cc/td/doc/product/iaabu/centri4/user/scf4ch3.htm)


Hardveres tőzfalakHardveres tőzfalakGateway (egy kapcsolódási pont Gateway (egy kapcsolódási pont

az Internet és a lokális hálózat az Internet és a lokális hálózat között): között): →→ ez tez tööbbnyire egy bbnyire egy router vagy egy proxy szerver. router vagy egy proxy szerver. TTööbbfbbfééle mle móódon szdon szőőrhet: IPrhet: IP--ccíím, domain nm, domain néév, protokoll v, protokoll (FTP, UDP, HTTP, SMTP, POP3, (FTP, UDP, HTTP, SMTP, POP3, telnet), vagy port sztelnet), vagy port száám m alapjalapjáán. Szn. Szőőrhet tartalom rhet tartalom szerint is: egy bizonyos szerint is: egy bizonyos karaktersorozatot keres az karaktersorozatot keres az adatfolyamban adatfolyamban éés ha s ha megtalmegtaláálta blokkoljalta blokkolja

Vírusok és férgek ellen kevésbé Vírusok és férgek ellen kevésbé hatékonyak mint a szoftveres hatékonyak mint a szoftveres tőzfalak, lévén ezek jelentıs tőzfalak, lévén ezek jelentıs része erésze e--mailmail--eken terjed eken terjed (tehát az engedélyezett SMTP (tehát az engedélyezett SMTP és POP3 protokollok és POP3 protokollok szerintszerint))

(http://computer.howstuffworks.com/firewall3.htm)


Tőzfal szoftverekTőzfal szoftverek�� A tőzfal programok többsége A tőzfal programok többsége elsısorban Microsoft operációs elsısorban Microsoft operációs rendszerekre lett tervezve lévén ez a rendszerekre lett tervezve lévén ez a piacvezetı termék és a legtöbb piacvezetı termék és a legtöbb károkozó program ilyen gépekre lett károkozó program ilyen gépekre lett írva írva

�� Csak egyes gépeket védenek, nem Csak egyes gépeket védenek, nem pedig lokális hálózatok gépeinek pedig lokális hálózatok gépeinek összességétösszességét

�� Vannak ingyenes (pl.: Sunbelt Kerio, Vannak ingyenes (pl.: Sunbelt Kerio, Sygate, Zone Alarm, Comodo) és Sygate, Zone Alarm, Comodo) és fizetıs változatok (pl.: Agnitum fizetıs változatok (pl.: Agnitum Outpost, McAfee, Norton 360, Panda, Outpost, McAfee, Norton 360, Panda, Sunbelt Sunbelt CounterSpyCounterSpy))

�� OS X LeopardOS X Leopard--ban van integrált ban van integrált tőzfal, mint ahogy a Linux tőzfal, mint ahogy a Linux disztribúciókban is megtalálható a disztribúciókban is megtalálható a Netfilter keretrendszert vezérlı Netfilter keretrendszert vezérlı iptables programiptables program


Windows (1Windows (1))

�� A Vista kiadása után az elsı kilenc hónapban A Vista kiadása után az elsı kilenc hónapban tizenkilenc sérülékenységet jeleztek, míg az XP tizenkilenc sérülékenységet jeleztek, míg az XP esetében tizenhat volt ugyanennyi idı alatt esetében tizenhat volt ugyanennyi idı alatt

�� Körülbelül húsz percig bírja egy Windows Körülbelül húsz percig bírja egy Windows közvetlenül telepítés után, amíg el nem lepik a közvetlenül telepítés után, amíg el nem lepik a vírusok és férgek (2004vírusok és férgek (2004--es adat, a helyzet azóta es adat, a helyzet azóta nyílván csak rosszabb nyílván csak rosszabb lettlett))

�� Windows beépített tőzfala semmit sem ér, sıt Windows beépített tőzfala semmit sem ér, sıt rosszabb mint a semmi, mert hamis rosszabb mint a semmi, mert hamis biztonságérzetet ad (nem felügyeli a kimenı biztonságérzetet ad (nem felügyeli a kimenı adatforgalmat, azaz egy fertızött gép ellenırzés adatforgalmat, azaz egy fertızött gép ellenırzés nélkül küldhet kifelé nélkül küldhet kifelé információtinformációt))

�� Windows felhasználók nagy része az Windows felhasználók nagy része az adminisztrációs fiókot használja mindennapi adminisztrációs fiókot használja mindennapi munkája során munkája során →→ ez is jelentez is jelentııs veszs veszéélyforrlyforrááss

(http://index.hu/tech/biztonsag/virus1127/http://index.hu/tech/biztonsag/patch0819)


Windows (2)Windows (2)

�� A PC vírusok többsége tulajdonképpen nem PC A PC vírusok többsége tulajdonképpen nem PC vírus, hanem Windows vírusvírus, hanem Windows vírus

�� Feltétlenül kell telepíteni valamilyen tőzfalalatFeltétlenül kell telepíteni valamilyen tőzfalalat�� A fizetıs szoftverek a tesztek tanúsága szerint A fizetıs szoftverek a tesztek tanúsága szerint

nem feltétlenül jobbak mint az ingyenesek (egy nem feltétlenül jobbak mint az ingyenesek (egy öt windowsöt windows--os tőzfalprogramot (ZoneAlarm, os tőzfalprogramot (ZoneAlarm, Kerio, Norton, BlackICE és Outpost) Kerio, Norton, BlackICE és Outpost) összehasonlító teszt például ezt a sorrendet összehasonlító teszt például ezt a sorrendet adta adta eredményüleredményül::

1.1. ZoneAlarmZoneAlarm2.2. OutpostOutpost3.3. NortonNorton4.4. BlackICEBlackICE5.5. KerioKerio

(http://www.matousec.com/projects/windows-personal-firewall-analysis/top-five-comparison.php)


� Az Outpost az orosz Agnitum cég fizetıs terméke� Általában minden teszten jól szerepel (a honlap-jukon egy méretes lista szerepel az eddig elnyert díjakról) (http://www.agnitum.com/news/awards.php)

� Negatívum, hogy szinte minden program minden rezdülésérıl (pl.: egy alkalmazás olyan módon próbál meg a hálózathoz hozzáférni, ahogy az az addigi szabályok szerint nincs engedélyezve) egy felpattanó figyelmeztetı ablakban jelez vissza olyan gyakorisággal, hogy a felhasználó ezeket többnyire figyelmen kívül hagyja


• Kimenı és bejövı adatforgalom szőrése (IP fejléc (IP-cím, port) ellenırzése mindkét irányban)

• Kimenı forgalmat alkalmazásokhoz (különféle programokhoz) köti és ezek viselkedésére szabályokat (policy) lehet alkotni a felhasználó szándéka szerint (mindent lehet engedélyezni vagy tiltani, vagy egyenként mindent be lehet állítani → mikor egy program külsı géphez akar hozzáférni a tőzfal program rákérdez, hogy mi legyen a teendı → a tulajdonos dönthet a tőzfal pedig megjegyzi a döntést és tárolja (ez késıbb megváltoztatható)

• A program a rendszer indításakor automatikusan elindul és folyamatosan figyeli az adatforgalmat (adott idıpontban adott folyamatok által használt portok kijelzése: Open Ports, Network Activity)


� A tőzfal részletes beállítását az Options menüben tehetjük meg (General, Applicaion, System, Policy, Plug-Ins menüpontok alatt)

� General: általános beállítások (pl.: legyen-e jelszóval védve a tőzfal)

� Application: konkrétan meg lehet adni, hogy melyik program milyen jogosultságokkal rendelkezzen (Create Rule: pl.: adott alkalmazás, adott porton, adott IP-címre ne küldjön kifelé adatokat, vagy egyáltalán ne kommunikáljon) → ha egy program (vagy megfertızött rendszerfájl pl.: services.exe, svchost.exe) gyanúsan viselkedik (pl.: gyors sorozatban egymás után küld a legkülönfélébb címekre adatokat) akkor le lehet blokkolni a fájl kimenıadatforgalmát


Policy: itt lehet beállítani, hogy a az összes alkalmazás kimenı és bejövı adatforgalmára milyen általános szabályok vonatkozzanak:1) mindent engedéyez

2) a nem gyanús programokat engedélyezi

3) minden esetben egyenként rákérdez és az adott programra beállított szabályokat tárolja (Rules Wizard)�

4) tıbbnyire mindent tilt5) semmit sem engedélyez


� A Plug- Ins menüpontban érhetıek el a kiegészítı funkciók beállításai:� Active Content (JavaScript,

ActiveX, VBS, animált gif képek, flash, és pop- up ablakok szabályozása)

� Ads (bizonyos reklámok letiltása)� Anti- Spyware (kémprogram

blokkoló, keresı és írtó alkalmazás)

� Attachment Quarantine (levek csatolmányainak kezelése)

� Attack Detection (veszélyes mőveletekrıl (pl.: port- scan) való visszajelzés beállításai)

� Content (itt lehet konkrét URL vagy kulcsszavak alapján oldalakat letiltani, vagy honlapokat fölvenni a megbízhatók közé)


Linux (1)Linux (1)

�� Linux rendszerekre nagyságrendekkel Linux rendszerekre nagyságrendekkel kevesebb vírust írnak (kb. 100 db lehet), kevesebb vírust írnak (kb. 100 db lehet), mint Microsoft szoftverekre (kb. 120 000 mint Microsoft szoftverekre (kb. 120 000 db) db) -- de azért vannak Linuxos vírusok és de azért vannak Linuxos vírusok és férgek is pl.: Devnull, Vitférgek is pl.: Devnull, Vit

�� Ez elsısorban két ok miatt van így:Ez elsısorban két ok miatt van így:1.1. Az adminisztrátori és felhasználói jogosultságok Az adminisztrátori és felhasználói jogosultságok

szétválasztása miatt nehéz megszerezni egy Linuxos szétválasztása miatt nehéz megszerezni egy Linuxos gép felett az uralmat (egy károkozó csak az adott gép felett az uralmat (egy károkozó csak az adott felhasználó fájljait rongálhatja meg, rendszerfájlokhoz felhasználó fájljait rongálhatja meg, rendszerfájlokhoz nem tud hozzáférni csak biztonsági réseken keresztül, nem tud hozzáférni csak biztonsági réseken keresztül, melyekbıl számottevıen kevesebb van mint MS melyekbıl számottevıen kevesebb van mint MS rendszerekbenrendszerekben))

2.2. A Linux sokkal kevésbé elterjedt mint a Windows (A A Linux sokkal kevésbé elterjedt mint a Windows (A különbözı windows verziók együttesen 92,63%különbözı windows verziók együttesen 92,63%--os (!!!) os (!!!) piaci részesedéssel piaci részesedéssel bírnakbírnak))

(1) http://en.wikipedia.org/wiki/List_of_Linux_computer_viruses 2) http://en.wikipedia.org/wiki/Windows/)


Linux (2)Linux (2)

�� Veszélyt jelent ugyanakkor, ha Linuxos Veszélyt jelent ugyanakkor, ha Linuxos környezetben (pl.: Open Office környezetben (pl.: Open Office segítségével) megnyitnak egy vírust segítségével) megnyitnak egy vírust tartalmazó MS Office fájlt tartalmazó MS Office fájlt →→ Linux alatt Linux alatt nem tnem töörtrtéénik semmi, viszont ha az illetnik semmi, viszont ha az illetııtovtováábbkbbküüldi egy Windows gldi egy Windows géépre, ott pre, ott gyangyanúútlanul megnyitjtlanul megnyitjáák, lk, léévvéén a fn a fáájl jl megbmegbíízhatzhatóónak tartott forrnak tartott forráásbsbóól l éérkezettrkezett

�� Vannak ugyanakkor mindkét rendszert Vannak ugyanakkor mindkét rendszert megfertızni képes károkozók ismegfertızni képes károkozók is

(http://www.desktoplinux.com/articles/AT3307459975.html/)


� A Firestarter a Netfilter keretrendszerre valamint az iptables programra épülı grafikus felhasználói felülettel rendelkezı tőzfal

� Sokkal egyszerőbben kezelhetı alkalmazás mint Windows-os társai (elsı indításkor egy varázsló segítségével néhány egyszerő kérdés megválaszolásával (pl.: DHCP-s (ideiglenes) IP címünk van-e, otthoni hálózatot, vagy csak egy gépet csatlakoztatunk az Internethez, stb...) már mőködik is a program

� Természetesen ingyenes (szabadon letölthetı a www.fs-security.com oldalról de egyszerőbb beszerezni a különféle Linux disztribúciók csomagkezelıje segítségével (pl.: dpkg, apt, synaptic)


� A Linux kernel része a hálózati adatcsomagok kezelésére létrehozott Netfilter keretrendszer (framework)

� Ennek része az iptables nevő program mellyel konzolos környezetben lehet a Netfiltert parancssorból módosítani és így manuálisan „fölépíteni” egy tőzfalat (ez kifejezetten rendszergazdai ismeretekkel rendelkezıket célzó alkalmazás)

� Néhány tőzfalként is funkcionáló routerre ugyancsak telepítve van az iptables program

� A Firestarter azoknak a dolgát könnyíti meg akik nem tudják kezelni a kevéssé felhasználóbarát iptables-t programot


� Alap beállításként a Firestarter engedélyez minden kimenı (outbound) kapcsolatot de a bejövıket (inbound) csak akkor, ha azt biztonságosnak ítéli meg (pl.: egy kimenı kérésre (böngészı le akar tölteni egy weblapot és ehhez a http protokoll 80-as portját használja) válaszul érkeznek az adatcsomagok

� Természetesen beállítható ugyanakkor, hogy a kimenı adatforgalmat is szőrje a tőzfal (Policy fül alatt “outbound traffic policy” pont alatt a beállítást: “permissive by default”-ról “restrictive by default”-ra kell állítani)

� Az Events fül alatt tájékozódhatunk a blokkolt folyamatok adatairól (mikor, honnan, milyen porton, ki)


Outbound traffic policy:

� Itt lehet a kimenı forgalmat szabályozni

� Ha restcrictive-re állítjuk akkor minden egyes általunk megbízhatónak tartott programnak be kell írnunk az adatait

� Permissive-nél pedig fordítva van: azokét kell beírnunk amiket le akarunk tiltani

� Beállíthatjuk még azt is, hogy mely webhelyeket akarjuk tiltani/engedélyezni (Deny connections to host)


Inbound traffic policy:

� Ha a bejövı forgalomravonatkozó szabályokatakarjuk kiegészíteni akkorazt itt tehetjük meg

� Például szükség lehet(mondjuk egy fájlcserélıprogram optimálismőködéséhez) egyes portokmegnyitására


ICMP:

� Paranoiások még a diagnosztikai eszközöket is kikapcsolthatják a Preferences menü ICMP filtering pontjánál (ezlehetetlenné teszi másokszámára a gépünkettraceroute vagy a ping parancsokkal valóbemérését)

outpost - firestarter

Documents