Cele mai populare personal firewall-uri gratuite

Free ZoneAlarm (nu pot fi introduse reguli decat in varianta PRO, care nu e gratuita)

Kerio Personal Firewall

Sygate Personal Firewall

Filtre

Un personal firewall permite o filtrare la doua niveluri:

- high level - aplicatii (browser, program email, anti-virus, messenger, etc)
si
- low level - pachete trimise / receptionate de placa de retea sau modem

Reguli pentru reguli

1. Regulile pentru pachete (low level) au prioritate in fata celor pentru aplicatii (high level).

2. In cadrul aceluiasi set de reguli prioritate are regula care este plasata mai sus.

Reguli pentru pachete
Doua reguli sunt mai importante si ar trebui plasate primele: eu le numesc loopback si DNS rule

Standard loopback
Aceasta regula lasa sa treaca orice pachet spre 127.0.0.1 (localhost)

Protocol: TCP si UDP
Directie: outgoing
Port local: oricare
Aplicatie (local): oricare
Remote address: 127.0.0.1
Remote port: oricare
Actiune: PERMIS

Daca nu se stabileste o regula care sa permita oricarui program sa acceseze "localhost" (127.0.0.1) o regula "loopback" trebuie introdusa pentru fiecare aplicatie separat.

Block localhost incoming facultativ
Aceasta regula blocheaza pachetele care vin de la ip-ul 127.0.0.1 (localhost). Aceasta regula se plaseaza imediat sub cea de mai sus.

Protocol: TCP si UDP
Directie: incoming
Port local: oricare
Remote address: 127.0.0.1
Remote port: oricare
Actiune: BLOCAT

DNS Rule
Aceasta regula permite pachetelor sa treaca spre serverul DNS al ISP-ului si sa vina de la acelasi server. Orice aplicatie ar trebui sa aiba acces la DNS-ul ISP-ului.
DNS = domain name server
ISP = internet service provider

Protocol: TCP si UDP
Directie: incoming si outgoing
Port local: oricare
Aplicatie (local): oricare
Remote address: IP Primary DNS Server si IP Secondary DNS Server (se intreaba ISP-ul care sunt IP-urile, daca nu sunt cunoscute)
Remote port: 53
Actiune: PERMIS

Block other DNS
Aceasta regula blocheaza pachetele spre si de la alt server DNS. Aceasta regula se plaseaza imediat sub cea de mai sus.

Protocol: TCP si UDP
Directie: incoming si outgoing
Remote port: 53
Actiune: BLOCAT

Blocarea altor porturi

Block dangerous packets
Aceasta regula blocheaza pachetele care vin spre porturile de mai jos. In mod normal aceste porturi nu ar trebui sa fie vizibile de pe net. Incoming packets se pot monitoriza (evenimentul poate fi scris in log-ul firewall-ului).

Protocol: TCP si UDP
Directie: incoming
Local port: 135; 137 - 139; 445; 1900; 2745; 3127; 5000; 5554; 6129; 9898
Actiune: BLOCAT


Reguli pentru aplicatii

Regula pentru browser
Aceasta regula permite oricarui browser sa acceseze www via HTTP si HTTPS (nu si FTP).

Protocol: TCP
Directie: outgoing
Port local: 1024 - 5000 (toate porturile intre 1024 si 5000)
Aplicatie (local): iexplorer.exe, mozilla.exe, firefox.exe, etc.
Remote port: 80, 443, 1080, 8080, 8088
Actiune: PERMIS

O sa mai scriu reguli cand mai am timp. Cine crede ca a descoperit cea mai tare regula pentru nu stiu ce program sau port poate completa acest set de reguli.

Completare DNS Rule

Daca nu exista o regula DNS globala, regula DNS trebuie introdusa pentru fiecare aplicatie care trece de firewall.

Mai multe despre DNS:
Definitie: http://www.webopedia.com/TERM/D/DNS.html
How Domain Name Servers Work: http://computer.howstuffworks.com/dns.htm

ICMP Rule (Internet Control Message Protocol)
ICMP este o parte a IP (Internet Protocol) si este folosit pentru a raporta o eroare in transmiterea pachetelor.

Date tehnice despre ICMP
RFC 792 - Internet Control Message Protocol: http://www.faqs.org/rfcs/rfc792.html

Mesajele ICMP pot fi folosite de un hacker, vierme sau virus pentru a descoperi un calculator in retea (PING).

Reguli:
1. Se permite trecerea urmatoarelor mesaje ICMP incoming:
(0) Echo Reply
(3) Destination Unreachable
(11) Time exceeded

2. Se permite iesirea (outgoing) urmatoarelor mesaje:
(8) Echo Request

Regulile de mai sus permit:
- inchiderea unei conexiuni (Destination Unreachable)
- primirea unui raspuns la PING (Echo Reply)
- primirea unei informari ca pachetul a expirat (Time exceeded)
- trimiterea unui PING (Echo Request)

Cele doua reguli de mai sus nu permit primirea de mesaje PING.

3. Sub cele doua reguli de mai sus se introduce o a treia regula care blocheaza orice mesaj ICMP (incoming sau outgoing).

Time Synchronisation Rule
Daca doriti sa folositi Time Sync din Windows XP sau alt program care sa va sincronizeze ceasul PC-ului cu un ceas atomic de pe net introduceti urmatoarea regula:

Protocol: UDP
Directie: incoming & outgoing
Port local: oricare
Aplicatie (local): svchost.exe (Windows XP) sau alt program folosit
Remote address: time.windows.com, time.nist.gov (sau alta adresa/alte adrese, IP-uri)
Remote port: 123
Actiune: PERMIS

Reguli pentru primirea si trimiterea unui email
In mod normal programul de email nu ar trebui sa acceseze direct serverul de email. Primirea si trimiterea mesajelor ar trebui sa fie treaba programului anti-virus. Regulile pentru email sunt deci ale anti-virusului. Unii anti-virusi permit si scanarea mesajelor trimise, nu numai a celor primite.

Primirea mesajelor
Protocol: TCP
Directie: outgoing
Port local: oricare
Aplicatie (local): anti-virus.exe
Remote address: IP-ul serverului de email - POP3 (poate fi diferit de serverul prin care se trimit mesajele - SMTP)
Remote port: 110
Actiune: PERMIS

Trimiterea mesajelor
Protocol: TCP
Directie: outgoing
Port local: oricare
Aplicatie (local): anti-virus.exe sau program_email.exe (daca anti-virusul nu stie sa trimita un mesaj)
Remote address: IP-ul serverului de email - SMTP (poate fi diferit de serverul prin care se primesc mesajele - POP3)
Remote port: 25
Actiune: PERMIS

Deschiderea mesajelor
Mesajele de email pot contine link-uri la poze sau la un script. Spammeri pot folosi astfel de link-uri pentru a vedea daca mesajul este citit. Accesul programului de email la net poate fi blocat cu urmatoarea regula:

Protocol: TCP
Directie: outgoing
Aplicatie (local): program_email.exe
Remote port: 80, 1080, 8080, 8088
Actiune: BLOCAT

Daca se doreste downlodarea unor poze in mesaj de la un anumit server se introduce o alta regula in fata celei de mai sus:

Protocol: TCP
Directie: outgoing
Aplicatie (local): program_email.exe
Remote address: adresa sau IP-ul serverului (www.nu-stiu-ce.com)
Remote port: 80, 1080, 8080, 8088
Actiune: PERMIS

Download Manager Rule
Un download manager trebuie sa aiba acces la porturile 21 (FTP) si 80 (HTTP)

Protocol: TCP
Directie: outgoing
Aplicatie (local): download_manager.exe
Remote port: 21, 80
Actiune: PERMIS


Folosirea unui proxy
Daca folositi un proxy (Proxomitron, software anti-spam) regula "loopback" trebuie modificata. "Loopback" se poate configura in asa fel incat sa nu permita oricarui program sa acceseze net-ul via proxy.

Protocol: TCP si UDP
Directie: outgoing
Port local: oricare
Aplicatie (local): browser.exe, program_email.exe, etc.
Remote address: 127.0.0.1
Remote port: oricare
Actiune: PERMIS


Reguli pentru svchost.exe (Windows XP)

Daca nu exista o regula DNS globala:

Protocol: TCP si UDP
Directie: outgoing
Port local: oricare
Aplicatie (local): svchost.exe.
Remote address: Primary & Secondary DNS, microsoft.com (pentru update XP)
Remote port: 53, 80
Actiune: PERMIS

Sincronizare ceas:

Protocol: UDP
Directie: incoming & outgoing
Port local: oricare
Aplicatie (local): svchost.exe
Remote address: time.windows.com, time.nist.gov (sau alta adresa/alte adrese, IP-uri)
Remote port: 123
Actiune: PERMIS

Blocare alte conexiuni ale svchost.exe. Aceasta regula se introduce sub primele doua:

Protocol: TCP & UDP
Directie: incoming & outgoing
Aplicatie (local): svchost.exe
Actiune: BLOCAT

Group Test – Firewalls (vnunet.com)
[ http://www.vnunet.com/products/software/1153293 ]

Personal Computer World tests 9 firewall packages.

“Personal Computer World puts nine firewall packages to the test to help you decide which is the best for you.”

Verdict

Editor's Choice:
Symantec Norton Internet Security 2004

Highly Commended:
Agnitum Outpost Personal Firewall Pro 2.0

Highly Commended:
Kerio Personal Firewall 4

Eu am Agnitum Outpost Firewall si sunt foarte multumit! E f eficace