Pojasnjenje u vezi Firewall-a

Vezano je za FW, ako bi neko mogao da pojasni sta znace ovi pojmovi i na sta uticu.
ICMP Time Exceeded ( in )
ICMP Echo Replay ( in )
ICMP Destination Unreachable ( in )
Any incoming UDP stream
Any incoming TCP stream
DNS over UDP
Dns over TCP

Unapred hvala

Ne znam koliko poznajes mrezne protokole, pa ako ti moje objasnjenje ne pomaze, javi pa da probam da objasnim na malo "pocetnickijem nivou":

ICMP je protokol koji sluzi za tzv. pingovanje, tako da je ona prva stavka sa tvog spiska obavestenje da je pingu istekao vek trajanja, ali se inace normalno takav paket koristi i za traceroute operaciju, pa je ovo podesavanje na tvom FW-u u stvari zastita mreze od nezeljenog traceroutovanja (odnosno sprecavas nekoga spolja da vidi sta se sve nalazi na putu do nekog racunara u tvojoj mrezi kojeg je on pingovao).

ICMP Echo Reply (nije Replay kao sto si napisao), ili tzv. "pong" je odgovor na ICMP Echo Request (odnosno "ping") - kada jedan racunar pinguje drugog, on salje Echo Request, a pingovani mu odgovara sa Echo Reply. Jedan od popularnih napada na mrezi je tzv. "smurf", kada neko posalje ping (Echo Request) na broadcast adresu (drugim recima, pinguje sve racunare na jednom subnetu) i u zaglavlje tog paketa stavi laznu IP adresu posiljaoca. Racunari koji prime taj ping salju Echo Reply na tu laziranu adresu koju su procitali u zaglavlju, i ako su svi racunari u tom subnetu podeseni da odgovore na Echo Request, sa jednim pingom dobijes stotine "pongova" koji svi odlaze na istu adresu, i na taj nacin zaguse primaoca tih "pongova". Jednom recju, jedan paket informacija biva jednostavnom metodom iskopiran u nekoliko stotina primeraka i isporucen zrtvi. Da ti ne bi bio medju tim zrtvama, mozes blokirati dolazni Echo Reply i spreciti da te neko zatrpa laznim pongovima.

ICMP Destination Unreachable je poruka koju tvom racunaru salje udaljeni ruter kada iz bilo kog razloga ne moze dalje da prosledi neki tvoj paket podataka. Razlozi mogu biti mnogobrojni, pa samim tim postoji i vise vrsta ovih paketa. Ono sto je bitno za tvoj slucaj je da neko moze da onesposobi tvoju mreznu komunikaciju na taj nacin sto ce poslati na stotine ili cak i hiljade ICMP Destination Unreachable paketa sa laznih IP adresa tvom racunaru, i na taj nacin ga "zbuniti" da poveruje da su sve destinacije stvarno nedostupne, pa ti na kraju on kaze "ej druze, mreza ti do daljnjeg ne radi jer ja ne mogu ni sa kim normalno da komuniciram". Znaci, da bi sprecio ovakvu vrstu napada, iskoristi ovu opciju na tvom FW.

Sto se UDP stream opcije tice, smurf ima svog rodjaka po imenu "fraggle", i to je napad gde zrtva biva zasuta UDP paketima na slican nacin kao i kod "smurfa". Postoji nekoliko servisa koji ce, kada prime UDP paket, poslati ga nazad ili otpoceti slanje neprekidnog toka podataka. Napadac preko brodcast adrese posalje UDP paket sa laznom izvornom IP adresom, usmeren na neki od ovih servisa, i ako svi racunari u subnetu odgovore na njega, pravi vlasnik te lazirane IP adrese biva zatrpan UDP paketima. Ova opcija u tvom FW to sprecava, ali moras biti oprezan, jer bilo koje emitovanje TV, radio i slicnih signala preko IP-a (npr. IPTV) koristi upravo neprekidni tok UDP paketa, pa ti neces moci da primas takve programe preko tvog racunara.

Prema nazivima ovih opcija koje si spomenuo, rekao bih da pitas za FW Kasperskog (najverovatnije je rec o KIS2009) - opcije "Any incoming UDP stream" i "Any incoming TCP stream", kada su ukljucene, omogucavaju tvom racunaru da bude "stealth" na mrezi, tj. nevidiljiv za sve druge racunare, osim za one koje ti prvi kontaktiras. Prednost ovoga je, nadam se, sama po sebi jasna, a nedostatak ovakvog nacina rada je sto ces imati problema u radu p2p programa. Inace, postoji mogucnost da se neka od opcija koju smo spominjali, kod Kasperskog izvrsava malo drugacije, tj. ne znaci bas to sto sam ja spomenuo. U tom slucaju moraces da prelistas uputstvo od Kasperskog.

Sto se tice poslednja dva, i kod DNS-a postoji varijanta da se posalje odgovarajuci paket sa laznom IP adresom posiljaoca, i ako se posalje odgovarajuci zahtev, DNS server ce poslati poduzi spisak kao odgovor. Ako se istovemeno kontaktira vise DNS servera sa ovakvim zahtevom, zrtva ce biti zatrpana odgovorima sa DNS servera i bice joj blokirana sva mrezna komunikacija. Posto UDP ima ogranicenje velicine paketa, sve sto je vece od 512 bajta salje se preko TCP-a, pa zato postoje obe varijante kao mogucnost. E sad, da li je Kaspersky to imao na umu kad je uvrstio ove opcije u firewall, ostaje da razjasni neko ko je to isprobao - postoji mogucnost da sva komunikacija sa DNS serverima bude blokirana.

Ja sam samo izneo teoretska objasnjenja za sta bi takva podesavanja trebalo da sluze, a za ono sta je Kaspersky tacno smislio da uradi sa tim ne mogu da garantujem.

Zahvaljujem, to mi je trebalo, ODLICNO.