SkullBox Forum  |  Administrare, configurare si intretinere  |  Securitate  |  Topic: [Concurs] [Task09] Care sunt calitatile unui firewall eficient?

Hai sa lasa putin deoparte virusii ca sa discutam despre o alta problema spinoasa: firewall. Stiti cam ce trebuie sa aiba un firewall? Ce trebuie sa faca?

Un firewall eficient ar trebui sa aiba urmatoarele calitati:
- in primul rand sa protejeze calculatorul pe care ruleaza de intrusi de gen: virusi, mallware, keylogere, site-uri care au scopuri "necurate" celor de genul task-ului trecut etc. care se trimti de obicei prin intermediul unor site-uri sau prin anumite porturi deschise.
- sa asigure interzicerea accesului persoanelor neautorizate la un calculator.
- sa permita si sa asigure restrictionarea unor utilizatori de la accesarea unui calculator.
- sa fie usor de configurat si sa aiba o interfata user friendly.
Partea mentionata mai sus se refera mai mult la un firewall de windows, cele din linux se configureaza de multe ori manual asa ca restrictionarea se face tot manual, cele de tip GUI permit de multe ori si configurarea automata pentru utilizatorii mai putin experimentati.
 In mare acestea sunt calitatile principale ale unui firewall eficient, nu e nevoie de prea multa vorba pentru asta de aceea o sa inchei postul aici si o sa citesc ce or sa zica altii.

Calitatile ar fi:
 - sa detecteze si sa opreasca automat scanarile de porturi
 - sa aiba in primul rand propria sa protectie, astfel incat sa nu poate fi topit de virusi,
adica sa aiba setari care sa nu-i permita dezactivarea sau modificarea automata din services.
 - sa permita accesul automat programelor cunoscute(gen winamp,yahoo messenger etc), in    functie de serverul la care se conecteaza.
 - sa ceara permisiunea utilizatorului in cazul programelor dubioase care provin de la autori necunoscuti.
 - sa opreasca accesul instantaneu in cazul programelor infectate, care incearca sa trimita sau sa primeasca date, fara acordul utilizatorului
 - sa permita o configurare accesibila oricarui utilizator, deasemenea pe langa configurarile automate sa aiba si mod de configurare personala.
 - procesul sau procesele firewallui sa nu consume foarte mult din resursele sistemului
 - preferabil sa vina cu tot cu antivirus, pentru a consuma cat mai putine resurse
 - sa aiba protectie asupra transferului din retea, daca se poate printr-o parola setata tuturor calculatoarelor din retea.
 - sa permita in plus modificarea de catre utilizator a tipului de port tcp sau udp cat si a portului in sine, in functie de fiecare program.
 - sa se permita resetarea permisiunilor in caz de urgenta.
 - sa afiseze atat programul cat si ip-ul sau serverul la care incearca sa se faca accesul.
      Personal recomand firewallurile care vin impreuna cu antivirusii, pentru o functionare cat mai normala a pc'lui , dar si pentru o sincronizare cat mai buna intre firewall si antivirus. Totusi ca firewall de top as recomanda pe cel de la comodo. Insa protectia unui firewall depinde in mare parte de utilizatorul el este in general cel care face regulile de acces firewallul doar da comanda respectiva.
  

Un firewall e o bucata de software sau hardware care protejeaza un calculator sau o retea de calculatoare, de atacurile rau intentionate care proven din exterior. Daca vreti, e ca o sita care filtreaza atat ceea ce intra cat si ceea ce iese din calculator sau dintr-o retea locala, permitand doar ceea ce dorim noi sa circule.
Astfel, oastrand analogia, un firewall bun e o sita atat extrem de fina cat si cu cip integrat care ii confera o intelgienta care filtreaza nu doar cantitatea, ci si calitatea. Iar, pentru ca un firewall poate face de la A la Z cam orice, penru a proteja calculatorul sau reteaua dorita, luat la un nivel global si foarte general, un firewall bun e unul care sta in spate si isi face treaba, consuma cat putina memorie si udne noi nu trebuie sa intervenim deloc . Asta pentru un user neexperimentat. Si sunt convins ca si la administratorilor de sistem le-ar lua o gramada de griji de pe cap un astfel de program. Din pacate insa, ca si in fizica la cazul lichidului ideal, un astfel de program e ideal si nu exista in realitate, asta pentru ca nu are un program cum sa stie tot traficul pe care are userul de gand sa il faca, toate porturile pe care lucreaza el, aplicatiile care le foloseste sau pe care le scrie. Si pentru ca un firewall trebuie sa fie la fel de eficient si sa protejeze la cu la fel de  mare dedicare atat reteaua Nasa cat si calculatorul personal a lui' Ionut unde Ionut si soras-a stau pe mess, mai intra pe pagini web, poate si putine (!) pornosaguri, mai un Word, poate si un acecs remote de la un prieten fara ca sa stie , cred ca am putea sa numaram printre calitatile unui firewall bun si urmatoarele:

• in primul rand, trebuie sa fie customizbil si configurabil astfel incat si un user neexperimentat sa poata beneficia de el cu nivelulde cunostinte pe care le are, dar si un user foarte experimentat sa isi poate configura fiecare chichitza;
• sa consume o cantitate rezonabila de memorie in raport cu activitatea de pe sistem; (in retelele de business unde e activitate itnensa e nevoie mai degraba de un fireall bun si atunci memoria consumata nu e atat de cruciala, dar pe calculatoarele personale cu putina activitate - browsere web, messenger, Word, poate un FTP - si taskurile unui firewall sunt cam cele standard, e bine nu consume firewall-ul mai mult decta toate celelalte aplicatii la un loc);
• sa suporte NAT (network address translation), adica sa poata bloca, intr-un mod benefic pentru user(i), accesul nepermis la resursele itnerne, prin ascunderea adreselor publice i nspatele firewall-ului, dand calculatoarelor din aceasta zona adrese private;
• sa faca un management bun al porturilor, permitand userului sau userilor sa deschida proturile pe care stiu sigur ca le folosesc, restul proturilor ramanand blocate; de mentionat aici ca un hardware firewall blocheaza ca default toate porturile nesolicitate (cele neuzuale), iar userul le poate debloca daca doreste;
• scanarea pachetelor - un firewall bun ar trebui sa stie scana pachete care intra si ies din calculator/retea, verificand validitatea si veridicitatea acestora (au fost solicitate sau nu, sursa si/sau destinatia e valida si de incredere, etc.), uneori chiar si in cazurile in care acestea circula la/de la aplicatii cunoscute ca nefiind malitioase, pe cai cunoscute si in formaturi cunoscute; (un fisier JPG nu e neaparat intotdeauna o imagine!)
• suport de VPN - firewall-uri cu suport de VPN sunt foarte utile retelelor de business care au un VPN complex; un firewall bun dar fara suport de VPN va bloca acecsul in VPN din afara;
• logging - din logurile activitatii din sistem se pot afla foarte multe lucruri; firewall-urile hardware pot fi in general foarte avansate la aecst capitol, logand tot ce trece prin ele fara nicuiun fel de exceptii, dand detalii chiar si acolo unde un software firewall s-ar putea sa nu fi gasit probleme;
• filtrarea continutului interzis minorilor - un firewall bun trebuie sa aiba functie pentru a interzice accesul minorilor la - de exemplu - pagini web cu continut pornografic, violent sau de orice alt fel itnerzis minorilor, si de asemenea chiar daca userul curent (un minor) are drepturi e administrator, deblocarea blocarii acestui fel de continut sa nu se poata face fara parola, de exemplu;

Odata intrate in calculator, fisierele sunt preluate de antivirus si scanate. Dar acesta e alt capitol. Ce e important insa, pe langa ce am enumerat mai sus, e ca un software firewall bun e bine sa fie cuplat cu un hardware firewall (sa isi imparta taskurile), si cu alte elemente de securitate precum antivirusii. Totul e, insa, relativ la ce fel de user avem pe calculator sau in retea, pentru ca in definitiv, e mai improtant sa protejam continutul pe care il avem decat sa dam prea multa libertate userilor, fie ei si experimentati.

   Calitatea principala a unui firewall eficient este protectia pe care ar trebui sa ne-o ofere. Practic el trebuie sa blocheze accesul neautorizat la computerul dumneavoastra in cel mai simplu mod posibil si cu cat mai putine configurari - majoritatea utilizatorilor de pe internet nu sunt savy (aka tehnici).

   Ca un firewall sa ma protejeze in primul rand am nevoie e un firewall. Cum majoritatea utilizatorilor de internet/retea/intranet folosesc versiuni de Windows, vor avea inclus Windows Firewall.

  Ce trebuie sa faca un firewall ca sa fie de calitate?

   Trebuie sa filtreze dupa anumite reguli ceea ce avem nevoie si ceea ce nu avem nevoie. Un exemplu de firewall se gaseste in scoli/licee/facultati pentru a nu le permite studentilor sa se conecteze la diverse site-uri de instant messaging ori pornografice. In cazul in care accesul este total interzis si adminstratorul de retea nu si-a batut capul prea tare cu firewall-ul, atunci acesta este de calitate. Calitate - simplu de folosit/configurat/reguli simple de atasat dupa o documentare precisa + sa-si faca treaba ca la carte fara bug-uri.

  Ce calitati trebuie sa aiba un firewall?
 

   In primul rand trebuie sa punem accent simplitate/uzabilitate si customizabilitatea produsului.

  

• user friendly: fiind un utilizator vechi de forumuri din Romania am observat ca internautul roman nu este deloc tehnic, deci in parte parte ii va fi usor sa dea doar cateva clic-uri si gata, fara prea mare bataie de cap. Daca exista bataie de cap si firewall-ul contine prea multe briz-briz-uri, atunci avem o problema. Luati modelul Gmail pentru simplitate si uzabilitate.  

   Pe langa aspectul uzabilitate, exista o calitate mult mai importanta a unui firewall si anume aceeasi sa-si faca treaba si sa blocheze eficient ceea ce vrem sau ceea ce trebuie sa blocheze. Multi useri nu stiu ce reguli sa introduca ca sa fie blocate datele si conexiunile malefice, de aceea un firewall de calitate trebuie sa cuprinda o suita de reguli customizabile rapid cu principalele conexiuni si porturi care trebuie inchise/deschise. Nu toti internautii romani sunt savy si stiu sa blocheze ceea ce le-ar putea face rau, de aceea firewall-ul trebuie sa faca acest lucru pentru ei.


   Un alt aspect important definit ca si o calitate este accesul internautilor experimentati si al companiilor mari la firewall. Utilizatorii experimentati au nevoie de un firewall customizabil si bun, care sa le permita sa adauge cat mai multe reguli complicate pentru o protectie maxima si de durata. O companie care are nevoie sa-si protejeze internautii/intranetul sau o banca are nevoie de un firewall cu multe optiuni avansate pentru a configura si proteja ceea ce este de protejat. Trebuie luat in calcul ca un firewall trebuie sa aiba o suita de reguli implicite si o interfata simpla pentru utlilizatorii neexperimentati, dar in acelasi timp si un program/interfata de adaugat reguli complicate si optiuni avansate pentru utlizatorii experimentati.


   Hadeti sa discutam un pic savy, si pentru internautii cu un pic de informatii tehnice:

 
   Cu evolutia Windows-ului firewall-ul implicit al acestuia a adus calitati/optiuni noi. Una dintr aceste optiuni este controlul de la distanta al firewall-ului. O alta calitate eficienta a unui firewall nou, in era IPV6 (noua suita de adrese de IP care vor sa inlocuiasca partial si/sau total IPv4) este filtrarea pentru IPv6. Foarte important!
 
   Reguli pentru blocarea sau nu a porturilor sursa si destinatie, cat si adrese de IP (chiar si IPv6).   
  

Ar fi cazul sa incheiem si taskul curent, ca sa putem deschide ultimul task din concurs

Topic redeschis. Sa inceapa votarea

Conform regulamentului (Art 3.4), publicul decide 40% din scorul final - adica veti da o nota intre 0 si 40. Pentru un rezultat corect, va trebui sa prezentati punctajul pentru fiecare participat la task. Asadar, prezentati punctajul de forma:

30 Puncte: Userul X
10 Puncte: Userul Y
40 Puncte: Userul Z

So, let's do it

40 puncte: !_30.
35 puncte: breakdown.
30 puncte: dj_yry.

30 puncte: Dieliric
35 puncte: !_30
35 puncte: dj_yry

40 puncte: breakdown
35 puncte: !_30
30 puncte: Dieliric

Criterii de punctare personale :

• Coerența ideilor în scris
• Numărul de idei diferite exprimate pe cerință raportat la alți participanți
• Notă personală privind calitatea informației
• Nivelul de ontopic

Punctaj acordat pe utilizator/sarcină:

Punctaj	Utilizatori	Observații
5 puncte
15 puncte	Dieliric
20 puncte	dj_yry
25 puncte	breakdown,!_30
35 puncte

[Punctaj realizat și reglat pentru a susține o distribuție gaussiană cu caracter analizat: numărul de puncte/individ tradus în nivel de abordare cerință/individ.]

40 Puncte: !_30
30 Puncte: breakdown, dj_yry
20 Puncte: Dieliric

Dupa noua regula de punctare:
Dieliric: 2*75 + 20 = 170 Puncte
dj_yry: 2*85 + 30 = 200 Puncte
breakdown: 2*100 + 30 = 230 Puncte
!_30: 2*135 + 40 = 310 Puncte

Castigator: !_30