שאלת rule לגבי fw

[renon2000]

שאלת rule לגבי fw

שלום, לאחרונה התקנתי שני fw – tiny,kerio . למעשה כרגע אני משתמש ב-kerio היות והוא נראה לי יותר פשוט ויותר ידידותי וגם לא כל-כך הבנתי איך מגדירים את ה-tiny . לא משנה הפואנטה היא כזאת – אני רוצה לייצור rule שמבצע את הדבר הבא : כל עוד המחשב שלי יוצר קשר עם מחשבים אחרים, אזי הקשר יוכל להתבצע ( התחברות לשרת web, התחברות לשרת דואר, התחברות לשרת ftp וכו' ), כל עוד אני יוצר את הקשר אזי הקשר מתבצע. במידה ומישהו אחר מנסה להתחבר אליי דרך icq ,messanger , סוס טרויאני כלשהוא, אזי הקשר יבוטל כלומר – במידה ומישהו יוזם קשר עם המחשב שלי הוא לא יצליח בכל מקרה. שמעתי שיש דרך לעשות כזה rule השאלה היא איך מבצעים אותו דרך ה-kerio. במידה ואי אפשר דרך ה-kerio אשמח אם מישהו ידריך אותי איך לבצע זאת בכל fw אחר – Norton,tiny,segate או fw אחר. תודה רבה

 

[rattlehead]

תגדיר חוק שמוגדר לOUT

המחשב שלך יוכל לבצע התקשרות, אולם נסיונות חדירה מבחוץ יכשלו.

 

[renon2000]

מה להגדיר ב-rule out - זאת השאלה

זאת השאלה - איך מגדירים כזה rule - איזה פרוטוקולים לבחור, איזה פורטים, באיזה צורה מגדירים את ה-rule הזה ב-kerio ואם אי אפשר ב-kerio , איך מגדירים בכל fw אחר ? תודה

 

[rattlehead]

אין עלי את הFW המדובר כרגע..

בעיקרון, כשתוכנה מנסה לגשת לאינטרנט - הוא פותח לך חלון לאישור. איפשהו בתחתית החלון יופיע לך "Costumize rule" או משהו כזה. לחיצה עליו תפתח לך חלון עם כל ההגדרות. אחת מהן זה כיון ההתקשרות (IN\OUT). בחר בOUT כדי לציין התקשרויות מהמחשב שלך לעולם האינטרנט.

 

[renon2000]

לא בדיוק מה שהתכוונתי

היי מה שאני רוצה לבצע זה rule מיוחד, שלדעתי לא ניתן להגדירו בצורה הזאת. אם המחשב שלי יוזם את הקשר אז אני מעוניין שתהיה תקשורת ( לא משנה לאיזה מחשב או port ) אם מחשב אחר יוזם אליי תקשורת אני מעוניין שהתקשורת תחסם ( לא משנה מאיזה מחשב או מאיזה port ) עכשיו הגדרה כזאת היא לא הגדרה ברמה של פורט , או אפליקצייה, לדעתי זאת הגדרה ברמה של סינכרון. אם אני יוזם את ה-3 hand shake אז תקבל את התקשורת. אם מישהו שולח אליי את ה-syn bit על תבצע תקשורת. אני לא רוצה לחסום שום פורט ספציפי. ההגבלה היא ברמה של מי יזם את הקשר - tcp-ip , מי יוזם את ה- three way hand shake או במילים אחרות אני רוצה להגיד ל-fw - כל port שיוזם את הקשר מולי - תבטל את הקשר ( אבל הגדרה גורפת לכל ה-פורטים[אפליקציות] שיוצרים איתי קשר ) תודה .

 

[rattlehead]

אז פשוט

סמן בפורט ובאפליקציה ANY כדי שיאפשר את כל הפורטים המדוברים. בFW אין התיחסות לרמה שאתה מדבר עליה. הכל ברמת האפליקציה. כשאגיע הביתה אשתדל לראות אם אוכל לעזור יותר.

 

[Zappa77]

תראה

מה שאתה רוצה זה פיירוול שיודע "statfoul packet filterring" ולפי מה שזכור לי kerio הוא אכן כזה. אתה צריך לאפשר out : all ports-all ip ואליך לפי אישור. (למרות שאמרת שאתה לא רוצה ששום שרת שיוזם התקשרות יתקבל,זה לא ממש רצוי כי אם חבר יפנה אליך במסנג"ר לא צראה את הבקשה שלו) זה בכללי ,אני לא ממש מכיר את kerio אבל ב sygate יש כלים ברורים ל"רולים"

 

[rattlehead]

משהו כזה..

תקים חוק חדש שבהגדרה שלו יבדוק את כל הפורטים [1] בכיון הכניסה [2] וחסום את התקשורת [3].

 

[renon2000]

../images/Emo122.gifפרמטר נוסף ?

לפי ה-rule הנ"ל מה שייתבצע הוא שלא תהיה תקשורת incoming למחשב שלי. בשום מקרה ..... יעני לא יהיה ניתן כלל לתקשר עם המחשב שלי. ( אפילו עם אני הוא זה שיזם את הקשר) אבל אני כן מעוניין שיהיה ניתן להתקשר עם המחשב שלי - בתנאי שאני יוזם את הקשר. אני לא רוצה לבטל לגמרי תעבורת incoming packets למחשב שלי. אני רוצה ש-incoming packets כן יגיעו אליי, בתנאי שאני יוזם את הקשר. לפי הבנתי יש פה פרמטר נוסף שצריך להוסיף - פרמטר שקשור ל-syn bit או משהו כזה. תודה

 

[uzi2]

Incoming ו- Outgoing

מתייחס לכיוון היוזמה של התקשורת. לפחות כך בפיירוולים שעובדים ב- stateful inspection. לפעמים ב- UDP יש בעיה לפיירוול לזהות את החבילה שיזמה את התקשורת, ולכן שם באמת יש לקחת בחשבון שלפעמים כיוון האישור/דחייה ישפיע על תקשורות המשך באותו כיוון. ב- TCP זה מתייחס רק לגורם שיוזם את התקשורת. ב- ICMP זה מתייחס לכל תקשורת בנפרד מבחינת הכיוון שלה.

 

[renon2000]

אתה למעשה מתכוון -

כלומר - כאשר אני אומר ל-fw שיחסום את כל התעבורה בכיוון ה-incoming , אני יוכל לגלוש חופשי לאן שאני רוצה כאשר אני יוזם את הקשר .... ואף אחד אחר לא יוכל ליזום איתי תקשורת ... הרי זה מה שרציתי ( אולי נפל לי סוף סוף האסימון ) שוב - האם כל rule ב-tcp תקף אך ורק למי שיזם את הקשר ? במידה ואני חוסם תעבורת incoming הכוונה היא רק למי שיוזם את הקשר. כלומר אם אני יוזם את הקשר כל תעבורת incoming תוכל להגיע אליי. אם באמת כך - אז זה כנראה מה שלא הבנתי . האם אני צודק ? תודה ..

 

[rattlehead]

לא מדוייק.

לא כל התעבורה הנכנסת תעבור. רק זאת הקשורה לקשר שהמחשב שלך יזם. המחשב שלי יצר קשר עם www.tapuz.co.il בפורט 80 - הFW יקבל את כל מה שמגיע מהדומיין\IP הזה בפורט הנוכחי. בUDP יש בעיה עם הנושא מכיון שאין בעצם תחום התקשרות. הודעות בUDP נשלחות "סתם ככה" בלי HandShake מסויים. פה כבר מדובר בפתרון דרך האפליקציה עצמה לפי דעתי.

 

[renon2000]

לסיכום -

כאשר אני יוצר rule המונע (deny)מ-incoming packets בכל -הפורטים (local ports) לייצור קשר. הדבר אומר שלא ניתן לייצור קשר עם המחשב שלי, אך אני יכול בצורה יזומה לייצור קשר עם שאר המחשבים . בכל הפורטים - היות וה-rules של ה-tcp תקפים רק ליוזם הקשר .

 

[Zappa77]

בוא נסדר את העניינים..

העניינים פה נהיו מסובכים מעט אז בוא נעשה קצת סדר. 1 אם תחסום את את כול הפורטים פנימה לא תהיה תקשורת כלל.. 2 אתה צריך fw שידע statful pf 3 אתה לא יכול לדעת באיזה פורט תקבל תקשורת נכנסת (תקשורת חוזרת משרת ווב ftp )

 

[uzi2]

אנסה להבהיר.

שוב: פתיחת פורטים outgoing של TCP/IP תאפשר תקשורות TCP/IP שיזומות מתוך המחשב. לדוגמא, על מנת לגלוש בפורום של תפוז אתה צריך לאשר TCP Outgoing לדפדפן שלך, אבל אינך צריך לאשר TCP Incoming לדפדפן. עדיין הדפדפן יקבל את העמודים של הפורום. כמובן שעדיין צריך לאשר את הדברים הרלוונטים ב- UDP. למשל לאשר לדפדפן להתקשר לשרת ה- DNS על מנת לפענח את הכתובת www.tapuz.co.il למספר ה- IP שלה. אחרת הוא לא יצליח להתחבר. עניין ה- FTP הוזכר כאן והוא באמת סיבוך מסויים, שכן ב- FTP יש שני ערוצי תקשורת, אחד לפקודות ואחד להעברת נתונים. ובד"כ כאשר אתה מושך קובץ דרך FTP, אז אתה יוזם תקשורת לפורט של הפקודות (פורט 21 בשרת), ואז השרת יוזם תקשורת להעברת נתונים בפורט של העברת הנתונים (פורט 20 בשרת). יש פיירוולים שיודעים לקשר בין שתי התקשורות כיוון שברמת ה- TCP, התקשורת בפורט 20 יזומה ע"י השרת, למרות שמדובר בתגובה ליוזמה מהצד שלך, אבל לא כולם. ניתן להגדיר את תוכנת ה- FTP/ץקשורת ה- FTP כך שהיא תהיה יוזמת הקשר גם לפורט של העברת הנתונים ואז אין בעיה, אבל לא כל השרתים של ה- FTP מוכנים לזה.

 

[renon2000]

אני חושב שהבנתי, תודה רבה לכולם|קסם

 

[rattlehead]

תוספת קטנטנה (כל הכבוד עוזי)

סוג הFTP המדובר (המחכה שהיוזר יזום את התקשורת גם להעברת הנתונים) נקרא Passive FTP. השרשור הזה סיכם די הרבה דברים. הייתי ממליץ לטגלן אותו או לכתוב מאמר המבוסס עליו. סוף שבוע נעים.