Dokonalý firewall

1. 5. 2006

Sdílet

Když odcházíte ze svého domu či bytu, pak si určitě dáváte pozor na to, abyste za sebou zavřeli dveře. Co kdyby v...


Když odcházíte ze svého domu či bytu, pak si určitě dáváte pozor na to, abyste za sebou zavřeli dveře. Co kdyby vás vykradli? Ale jak jste na tom v případě svého připojení k internetu? Také za sebou zavíráte? V tomto článku vám představíme tři varianty ochrany počítače pomocí firewallu a prozradíme vám, která z nich se hodí právě pro vás.


Alternativy pro zabezpečení domácího počítače pomocí firewallu (CD)



Představte si, že bydlíte v luxusní vile, jejíž stěny zdobí obrazy starých mistrů, jejichž cena je prakticky nevyčíslitelná. Všude samé zlato a drahé zařízení. Jak byste asi takový dům zabezpečili před zloději? Asi byste do dveří nedali obyčejný zámek, ale určitě byste začali uvažovat o důmyslných a dokonalých zabezpečovacích zařízeních. Teď si představte, že takovým luxusním domem je váš počítač. Ten rovněž zasluhuje vaši pozornost. Vždyť v něm také máte spoustu pro vás drahých věcí - ve formě počítačových souborů, které pro vás mají určitě také velkou cenu. V tomto případě sedí i přirovnání ke zloději. V případě počítače to většinou budou útoky z internetu, jejichž terčem se váš počítač stane nejčastěji. Největší nebezpečí znamenají viry, spyware a adware, které do nezabezpečeného počítače pronikají daleko snáze, než by si mohl běžný uživatel myslet.
Pro každý počítač je tedy naprosto povinnou součástí vybavení dobrý firewall. Ten snad nemusíte mít pouze tehdy, pokud není váš počítač připojený k žádné síti a ani k internetu.
Ovšem jaký firewall se přesně hodí pro vaše účely? V první řadě záleží na tom, kolik námahy a peněz chcete do ochrany počítače investovat, a také na tom, nakolik cenná data se ve vašem počítači nacházejí.

Třikrát o ochraně počítače firewallem: řešení pro všechny případy

V tomto článku vám představíme tři typické případy nasazení různých firewallů a ukážeme vám, pro koho a v jaké situaci je určité řešení vhodné. Konkrétně se bude jednat nejprve o tzv. desktopový firewall, dále o kombinaci firewallu a hardwarového směrovače a nakonec o profesionální řešení, kdy se použije program Monowall, který má na starosti směrování v počítačové síti a funkci firewallu. Tento program se pak použije ve spojení se starším počítačem nebo speciálním hardwarovým zařízením.
Většina běžných uživatelů počítačů používá tzv. desktopové firewally, jejichž typickým zástupcem je například Zone Alarm. Jedná se o softwarové řešení a mimochodem tento typ firewallu nabízí i samotný operační systém Windows ve verzi s nainstalovaným Service Packem 2. Výhodou tohoto řešení je, že je k dispozici zdarma a jeho instalace je rychlá a pohodlná. Na druhou stranu toto řešení poskytuje pouze základní ochranu počítače. Bez dalších prostředků pro zabezpečení počítače toho moc nezmůže.
Uvědomme si, že samotný desktopový firewall je součástí stejného operačního systému, který má chránit. Pokud se podaří útočníkovi najít v tomto firewallu slabé místo, pak je počítač ve stejné situaci, jako kdyby na něm žádný firewall nebyl. Naprosto jiná je situace u hardwarového směrovače. Ten nabízí ochranu počítače nebo počítačové sítě před útoky z internetu ve formě externího řešení a chrání počítač tak, že útočník nemá šanci zjistit ani IP adresu počítače.
Většina směrovačů ale nabízí i další možnosti filtrování a ochrany před neoprávněným přístupem do počítače nebo počítačové sítě. Bohužel zařízení, která těmito vysoce ceněnými funkcemi disponují, jsou poměrně drahá a směrovače, které dostáváte buď za symbolickou cenu nebo se slevou od poskytovatele internetového připojení v případě, kdy se rozhodnete připojit k internetu prostřednictvím technologie DSL, těmito funkcemi povětšinou nedisponují.
Samotný směrovač kromě toho, že něco stojí, potřebuje místo a napájení, musí se konfigurovat a obvykle je nutné poměrně často provádět aktualizace firmwaru.
Třetí řešení se dá nasadit prakticky zdarma a přesto poskytuje řadu velmi užitečných funkcí. Freewarový program Monowall je však určen pro pokročilé uživatele -¦jeho instalace a konfigurace nepatří právě k nejjednodušším a rozhodně vám nebude stačit několik klepnutí myší.

Samotný firewall vás neochrání

Desktopový firewall se v každém případě vyplatí, a to jako základní prostředek ochrany jednotlivého počítače, ať už izolovaného nebo připojeného do počítačové sítě. Nicméně i on počítá s jistou pozorností uživatelů. Předpokládá totiž, že uživatel instaluje na počítač další prostředky pro jeho ochranu a také že uživatel bude například pravidelně provádět aktualizace Windows a kontrolovat systém na přítomnost virů a že bude současně používat na počítači programy proti spywaru či adwaru. Pro surfování po internetu by pak měl být přihlášený jako uživatel s omezenými přístupovými právy. Pokud se totiž uživatel pohybuje na internetu pod účtem správce, získává tato práva i každý škodlivý kód, který do počítače pronikne.
Výše uvedené zásady byste proto měli dodržovat vždy, a to i tehdy, pokud používáte hardwarový firewall.
Pro malou počítačovou síť je velmi vhodný hardwarový směrovač. Pro většinu soukromých osob naprosto postačují zařízení, nabízená samotnými poskytovateli připojení k internetu. Je ale zapotřebí směrovač správně konfigurovat a popřípadě provést čas od času aktualizaci firmwaru.
Výkonnější směrovače disponující dalšími ochrannými mechanismy jsou poměrně nákladnou záležitostí -¦každý, kdo chce kupříkladu zabezpečit firemní počítačovou síť, bude muset tak jako tak investovat nemálo času i peněz.
Pro zkušené uživatele, kteří jsou navíc zdatnějšími kutily, nabízíme program Monowall. Možnosti konfigurace tohoto programu jsou skutečně rozsáhlé, proto se v tomto případě smiřte s tím, že vám jeho nastavení nějaký čas zabere.

Desktopové firewally

Desktopový firewall vás spolehlivě ochrání před útoky z internetu pouze v případě, pokud jej pečlivě nakonfigurujete. V následujícím textu uvedeme jejich přednosti a nevýhody a přidáme několik tipů pro jejich použití. Názory na jejich výkonnost jsou ale často značně odlišné, a to i mezi členy redakce časopisu. Dozvíte se tedy hlavně jejich jednoznačné výhody a nevýhody.
Výhody a nevýhody desktopových firewallů
Desktopové firewally váš počítač určitě ochrání a pokud použijete nástroj distribuovaný zdarma, pak vás to ani nic nestojí a instalace je poměrně snadná. Konfigurace takového firewallu není pro zkušenějšího uživatele nic složitého. Ale i zde se mohou vyskytnout situace, které mohou dát pořádně zabrat i profesionálovi. Pokud například nebudete najednou moci hrát přes internet svoji oblíbenou hru, pak je většinou vinen nesprávně nakonfigurovaný firewall. Potom nezbývá nic jiného než investovat trochu času a úsilí, a to tak dlouho, dokud nebude vše fungovat.
Utility tohoto typu mají ještě další slabinu, a to na úrovni systému jako takového. Správný firewall by měl dokázat od sebe oddělit dvě sítě, konkrétně internet a počítačovou síť, popřípadě jeden počítač. Desktopový firewall je však na jednom systému, který by měl oddělovat, již instalovaný, což tuto jeho schopnost jednoznačně oslabuje.
Chcete-li svůj počítač efektivně chránit, potřebujete řešení poněkud koncepčnější -¦se samotným desktopovým firewallem si prostě nevystačíte. Musíte mít ze všeho nejdříve správně nakonfigurovaná Windows, dále potřebujete nainstalovat dodatečné utility a také musíte mít plán pro provádění aktualizací systému.

Do sítě pouze jako obyčejný uživatel

Každý, kdo surfuje po internetu pod účtem správce systému, vystavuje svůj systém velkému riziku. Ostatně to prokázal i test bezpečnostních balíčků, jehož výsledky jsme zveřejnili v našem časopise v čísle 4/2006. Pouze tři z testovaných balíčků, jejichž součástí byl i firewall, se dokázaly ochránit před svým ukončením, o které se pokoušel škodlivý kód. Ostatní nástroje pak dokázal škodlivý kód snadno vyřadit z provozu, takže z internetu mohly do počítače bez problémů proudit další viry a červi. Příkladem za všechny může být kupříkladu červ Win32/Mytob.CV@mm (informace o něm naleznete například na internetové adrese www.sophos.com/virusinfo/analyses/w32mytobcv.html). Pokud instalujete Windows 2000 nebo XP na diskový oddíl typu NTFS, můžete daleko bezpečněji používat i firewally, které se jinak proti škodlivým kódům samy bránit nedokáží. Předpokládá se však, že jste při surfování na internetu přihlášeni jako uživatel s omezeným oprávněním. Pravdou je, že pokud nejste přihlášeni jako správci systému, pak některé programy, jako například aplikace pro vypalování, neběží korektně. Nicméně i v této oblasti se v minulém roce mnohé zlepšilo -¦nejnovější verze většiny programů již většinou v účtu uživatele s omezeným oprávněním funguje bez problémů. Nový účet pro bezpečnější surfování na internetu si například ve Windows XP zřídíte tak, že v Ovládacích panelech poklepete na ikonu Uživatelské účty.

Další programy pro ochranu vašeho počítače

Kromě desktopového firewallu byste měli určitě mít na svém počítači nainstalovaný antivirový program. Obě aplikace se totiž navzájem výborně doplňují. Firewall mimo jiné blokuje škodlivý kód, který může pronikat do systému díky trhlinám v zabezpečení Windows. Antivirový program zase zastaví všechny škodlivé soubory, které se snaží proniknout do počítače například prostřednictvím příloh e-mailů nebo programů typu Instant Messenger.
Stále častěji se kromě modulů s výrazně reklamním nebo špionážním charakterem (adware, popřípadě spyware) začínají objevovat takové, které se instalují společně s freewarovými programy, popřípadě ty, které se snaží skrytě proniknout do systému z internetu. Hranice mezi viry a trojskými koni se začíná prakticky stírat.
Ovšem ne všechny antivirové programy dokáží vyhledávat a blokovat činnost adwaru nebo spywaru. Je to mimo jiné i z důvodů právních. Někteří výrobci spywaru a adwaru vyvíjejí poměrně silný tlak na výrobce antivirových a antispywarových programů, aby na jimi vyrobený spyware jejich programy nereagovaly. Proto se na každý pád doporučuje používat několik antispywarových nástrojů a vzhledem k tomu, že v současnosti neexistuje program, který by dokázal odhalit veškerý existující adware a spyware, pak byste měli skutečně používat minimálně dva různé programy pro jejich odhalování. Tipy a doporučení týkající se antivirových a antispywarových utilit přineseme v tomto článku na následujících stránkách.

Udržujte systém v aktuálním stavu

Řada útoků na váš systém se útočníkovi podaří pouze v případě, pokud se v něm nacházejí nějaké bezpečnostní trhliny. Hlavním cílem útoků jsou Windows -samozřejmě proto, že se jedná v současnosti o nejrozšířenější operační systém.
Ale i u programů pro ochranu počítače, jako jsou firewally nebo antivirové programy, se objevují stále nové a nové bezpečnostní trhliny. V nedávné době byla populární bezpečnostní trhlina v jednom známém programu. Nicméně vzhledem k tomu, že firewally používá stále více uživatelů, zaměřují se hackeři právě na firewally. Z tohoto důvodu byste se měli starat i o jejich aktualizace. V případě, že program funkci aktualizace neumožňuje, si alespoň objednejte zasílání novinek o jeho vývoji. Budete alespoň informováni o chybách a aktualizacích programu.

Správná konfigurace desktopového firewallu

Chyba při konfiguraci firewallu ho může zcela vyřadit z činnosti. Platí základní pravidlo: v systému používejte pouze jeden firewall, protože jinak by mohly v systému působit proti sobě. V případě, že se nespokojíte s firewallem integrovaným ve Windows XP, pak jej deaktivujte (v Ovládacích panelech poklepejte na ikonu Brána firewall systému Windows).
Obecně není konfigurace firewallu nijak složitá. Pokud se chce nějaký program připojit k internetu, pak tuto skutečnost firewall ohlásí a zeptá se, zda mu chcete připojení povolit. Často máte pouze tři možnosti -¦vždy povolit, vždy se zeptat nebo vždy zakázat. Svými rozhodnutími u každého programu pak sami vytváříte pravidla provozu, takzvaný filtr aplikací. U některých firewallů bývají pravidla pro některé aplikace již předem nakonfigurována.
I rozhodování, zda přístup k internetu nějaké aplikaci povolit či zakázat, je většinou snadné. Pokud kupříkladu poprvé spustíte program pro práci s elektronickou poštou, pak se objeví dialogové okno firewallu s odpovídajícím dotazem. Obtížnější je rozhodování v případě, kdy spojitost se spuštěnou aplikací není až tak zřejmá. Pak musíte sami rozhodnout pouze na základě zobrazeného jména souboru, zda programu dovolíte přístup k internetu. Někdy stačí i informace o tom, ve které složce se daný soubor nachází. Pokud vám ani umístění souboru při vašem rozhodování nepomůže, zbývá ještě vyhledávání a získávání informací o souboru na internetu.
V tomto okamžiku vám práci usnadní skript pcwProcview, který naleznete . Tento skript totiž ukazuje, které aplikace běží ve vašem systému na pozadí. Utilita poskytne informaci o umístění souborů a pomocí odpovídajícího tlačítka pak umožní vyhledání informací o procesu či programu na internetu pomocí Googlu. Tímto způsobem nejrychleji naleznete informaci o tom, co se za jednotlivou aplikací skrývá, takže se pak můžete kvalifikovaně rozhodnout. Další informace o konfiguraci firewallu si můžete přečíst v článku Lsti, fígle a triky pro domácí firewally v PC WORLDu v čísle 6/2005.

Pozor na nastavení pravidel na úrovni protokolů

Mnohé firewally nabízejí nastavení pravidel i pro internetové a síťové protokoly. Tomuto nastavení je nutné věnovat maximální pozornost, neboť tato pravidla mají přednost před pravidly nastavenými pro jednotlivé aplikace. Jestliže například povolíte protokolu TCP úplný přístup do internetu, pak se všechny zákazy, nastavené pro aplikace využívající tento protokol, minou účinkem. A potom vás řada firewallů ani nebude upozorňovat na to, že se nějaká aplikace využívající protokol TCP pokouší o přístup k internetu. Pravidla pro konfiguraci protokolů patří do rukou pouze zkušených uživatelů. Při konfiguraci protokolů můžete kupříkladu omezit komunikaci na určitých portech -¦musíte ovšem vědět, jaké porty které on-line aplikace využívají.

Firewall ve Windows XP: jeho silné stránky a slabiny

Ve Windows XP s integrovaným Service Packem 2 se nachází jednoduchý firewall, kterému bychom měli věnovat pozornost minimálně ze dvou důvodů. Poskytuje alespoň minimální řešení bezpečnosti počítače pro uživatele, kteří se doposud nerozhodli pro žádný jiný produkt. Může se jednat ale i o dobré řešení pro profesionály, kteří přesně vědí, co se v operačním systému na jejich počítači děje. Výhodou tohoto firewallu je rozhodně jeho štíhlost, běží neustále na pozadí systému, ale prakticky neobtěžuje žádnými hlášeními.
My jsme firewall integrovaný ve Windows XP otestovali. Při našich testech odrazil všechny útoky vedené z internetu. Zabránil nechtěnému skenování portů a ochránil počítač před útoky typu DoS, stejně jako před neoprávněným přístupem ke sdíleným složkám. Ochrana před skenováním portů je přitom velmi důležitá, protože útočníci pomocí speciálních utilit testují, zda jsou na počítači otevřené porty, a hledají služby, které jsou za takovými porty dostupné.
Co se týče vnitřní ochrany počítače, pak jsme v tomto ohledu získali poněkud smíšené pocity. Na jednu stranu jsme ocenili, že firewall ohlásil přítomnost všech programů typu backdoor. Stejně tak dokázal zabránit tomu, aby škodlivý kód sebral jiným aplikacím přístupová práva, pomocí nichž by následně získal přístup do internetu. Zároveň se ale firewall nechal sám vypnout. V současnosti existuje již celá řada virů, které tuto činnost po proniknutí do počítače udělají jako první. Tento nedostatek odstraníte tím, že budete surfovat po internetu pouze jako uživatel s omezenými přístupovými právy.
Firewall ve Windows XP bohužel neposkytuje žádný preciznější filtr aplikací. Hlásí pouze ty aplikace, které se pokouší otevřít port, aby mohly z internetu stáhnout data. Proto celou řadu spywaru a adwaru tento firewall prostě nezablokuje. Rozhodnete-li se jej přesto používat, budete bezpodmínečně potřebovat antivirový program a utilitu proti spywaru.
Utilita doplňující firewall ve Windows XP a poskytující informace o síti
Zaznamenávání činnosti firewallu integrovaného ve Windows XP se Service Packem 2 vám příliš informací neposkytne. Záznamy se ukládají ve formě prostého seznamu do souboru PFIREWALL.
LOG, který se nachází ve složce Windows. Informace o aktuálních síťových připojeních však nedostanete. Pravdou je, že něco málo vám prozradí utilita NETSTAT.EXE, která běží na příkazovém řádku, ta se však hodí spíše pro profesionály.
Na tomto místě vám nabízíme utilitu jinou, konkrétně se jedná o TCP View od firmy Sysinternals. Tato zdarma dostupná utilita zobrazí všechna aktuální připojení pomocí protokolů UDP a TCP (jedná se o zkratky slov User Datagram Protocol a Transmission Control Protocol). Po klepnutí pravým tlačítkem na libovolnou položku se zobrazí cesta k aktivní aplikaci. Tato funkce bohužel u některých systémových souborů Windows nefunguje, proto zájemce o tyto informace musí použít nástroj NETSTAT.EXE s parametrem -b.

Směrovač s firewallem

Směrovač je zařízení, které je jakýmsi zprostředkovatelem dat mezi dvěma sítěmi. Přijímá a zároveň odesílá data na straně rozlehlé sítě WAN (Wide Area Network), např. internetu, a směruje je do místní sítě LAN (Local Area Network). O zabezpečení se v tomto případě rovněž stará firewall. Co se týče vybavení a kvality směrovačů, mezi jednotlivými produkty existují velké rozdíly. Cenové rozpětí pro výrobky určené pro domácí uživatele a menší firmy se pohybuje řádově od 1 000 až do 10 000 Kč.

Výhody a nevýhody směrovače kombinovaného s firewallem

Směrovač s integrovaným firewallem sjednocuje několik zařízení do jednoho -modem pro připojení pomocí technologie ADSL, firewall, přepínač pro připojení několika počítačů a často také přístupový bod pro bezdrátové sítě WLAN. Tato kombinovaná zařízení se dají používat nezávisle na operačním systému, vestavěné funkce pro zabezpečení chrání všechna připojená zařízení.
Směrovače však musejí běžet celý den, čímž výrazně roste spotřeba elektřiny, zařízení s funkcí bezdrátové sítě navíc zamořují prostředí elektromagnetickými vlnami. Řada z cenově výhodných směrovačů nabízí bídnou kvalitu a často využívá obslužný software, který se nechová vždy korektně. V některých případech se dá taková chyba řešit pouze aktualizací firmwaru zařízení.

Směrovač s modemem ADSL a bez něho

Pokud jste již od svého poskytovatele připojení k internetu dostali modem, možná jej budete moci využít i jinak (podívejte se do manuálu). V tomto případě vám pak bude stačit směrovač bez modemu, jehož cena se pohybuje okolo 1 000 Kč. Modem připojíte ke směrovači do zdířky označené zkratkou WAN -¦většinou se jedná o zdířku standardního typu Ethernet (typ RJ-45). V opačném případě si budete muset pořídit odpovídající adaptér. Další možností je koupě nového směrovače s integrovaným modemem ADSL, jímž nahradíte modem od svého poskytovatele internetového připojení -¦samozřejmě tehdy, pokud to váš poskytovatel umožňuje (podívejte se do své smlouvy o připojení k internetu). Směrovač s integrovaným modemem ADSL je pro soukromé osoby a menší firmy tím nejvýhodnějším řešením, protože vše, co potřebujete, máte takříkajíc v jedné krabici -¦stačí tedy pouze zařízení zapojit do zásuvky, připojit několik síťových kabelů a nakonfigurovat jej. Ceny těchto zařízení se pohybují mezi 1 500 Kč až 4 000 Kč.

Co by měl mít váš směrovač k dispozici a co by měl umět

Většina běžných směrovačů obsahuje vestavěný přepínač se čtyřmi a více zdířkami typu Ethernet, které umožňují propojení počítačů do sítě s rychlostí 10/100 Mbit/s, popřípadě umožňují do sítě připojit síťová zařízení, jako např. síťové tiskárny.
Většina těchto směrovačů se konfiguruje prostřednictvím webového rozhraní. Znamená to, že se všechna nastavení provádějí v internetovém prohlížeči, takže není nutné instalovat žádný speciální software. To je velmi praktické třeba proto, že můžete směrovač konfigurovat pomocí libovolného počítače v síti. Směrovač můžete konfigurovat také z rozlehlé sítě WAN, tedy z internetu, ale pouze tehdy, pokud to umožňuje a pokud je tato možnost povolena.
Napájení získává směrovač z elektrické sítě. Dále je součástí balení síťový kabel, kterým jej připojíte k počítači. Z tohoto počítače jej pak můžete nakonfigurovat. Dále v balení najdete vhodný kabel WAN, jímž připojíte směrovač k síti poskytovatele svého internetového připojení (například k telefonní lince).
Řada směrovačů kromě modemu ADSL a přepínače nabízí další funkci, která vám umožní zmenšit změť kabelů na vašem pracovním stole. Tzv. směrovače WLAN vytvářejí přístupový bod pro bezdrátovou síť, a to v souladu se specifikací IEEE 802.11b (11Mbit/s) a 802.11g (54 Mbit/s). Jejich cena začíná přibližně na 2 000 Kč a pokud mají integrovaný modem ADSL, pak se pohybuje okolo 3 000 Kč.
ŇSměrovače Bluetooth přenášejí data bezdrátově, a to v souladu se standardem IEEE 802.15.1 (2,2 Mbit/s). Tento poněkud speciální směrovač s integrovaným modemem ADSL stojí okolo 4 500 Kč.
ŇVoice over IP: Chcete-li výhodně telefonovat přes internet, můžete si místo dalšího hardwaru pořídit rovnou směrovač s funkcí Voice over IP. Prostřednictvím vestavěných zásuvek typu RJ 11 můžete připojit analogové telefony nebo dokonce celé telefonní ústředny. Cenově tato zařízení vycházejí okolo 5 000 Kč.
ŇPřipojení zařízení USB: Ke směrovačům, které mají volné zásuvky USB, můžete připojit kupříkladu tiskárny, USB disky, webové kamery, externí pevné disky apod. V síti tato zařízení zpřístupníte přes webové rozhraní směrovače.
ŇGigabitový Ethernet poskytuje namísto 100 Mbit/s rychlost 1 000 Mbit/s. Při surfování na internetu vám toto připojení žádnou výhodu nepřinese. Rychlejší přenos dat zaznamenáte pouze při přesouvání či kopírování dat v rámci počítačové sítě.

Filtrování paketů, NAT a překládání portů

Prakticky všechny novější směrovače mají vestavěný firewall, který vytváří mezi sítěmi WAN a LAN "zeď" -¦ve většině případů se jedná o oddělení počítačů v místní počítačové síti od internetu. Vysokou úroveň bezpečnosti pak zajistí ta zařízení, která mají zabudovanou funkci filtrování paketů a NAT.
Funkce filtrování paketů propouští pouze ty datové pakety, které pocházejí z důvěryhodných IP adres. Alternativou jsou pakety, které jsou adresovány na některou z IP adres, jež existují ve vaší počítačové síti.
NAT (Network Adddress Translation) je další funkce přispívající k zabezpečení vašeho počítače nebo počítačové sítě. V tomto případě se místní IP adresa počítače překládá na IP adresu směrovače. Ten následně převádí odpovědi na dotazy z internetu zpět na příslušné počítače v místní síti. Na internetu nejste nikdy absolutně anonymní, přesto se díky funkci NAT nikdo přesnou IP adresu vašeho počítače nedozví. Pokud se někdo pokusí tuto adresu přece jen vypátrat, dostane se maximálně k IP adrese vašeho směrovače, ale k síťové kartě vašeho počítače se nedostane nikdy.
Překládání portů umožňuje přesměrovat příchozí a odchozí datové pakety i tehdy, pokud nebyly vyžádány. Tuto funkci budete potřebovat například při využívání Voice over IP nebo u on-line her, které s funkcí NAT nefungují. Tak může počítač nacházející se uvnitř lokální sítě LAN fungovat jako internetový server. Díky funkci překládání portů jsou vámi nastavené porty přístupné i zvnějšku.

Konfigurace směrovače: začněte s nastavením připojení ADSL

Poté, co jste vzájemně propojili směrovač s počítačem a s přípojkou ADSL, je nutné ještě tento směrovač, popřípadě bezdrátovou síť WLAN nakonfigurovat takovým způsobem, aby firewall skutečně plnil svoji ochrannou funkci. U většiny zařízení se základní konfigurace firewallu provede automaticky a vy můžete začít pracovat prakticky ihned. Automatická konfigurace však ponechává všechna okna a dveře do vaší sítě dokořán. Jak typický směrovač správně nakonfigurovat, se dozvíte právě zde. Na obrázcích vidíte webové rozhraní WLAN směrovače s modemem ADSL 3Com Firewall Router. U většiny ostatních zařízení tohoto typu probíhá jejich konfigurace podobně.
Nejprve spusťte internetový prohlížeč a do panelu Adresa zadejte IP adresu směrovače. Objeví se jeho webové rozhraní. Pro konfiguraci musíte zadat uživatelské jméno a heslo -¦ty najdete v příručce k zařízení.
Klepnutím na odkaz Setup Wizard se objeví průvodce, který vás vyzve k zadání jednotlivých údajů, jež jste získali od svého poskytovatele internetového připojení. Stiskem tlačítka Apply zadané údaje uložíte.
Pro zajištění bezproblémového připojení ostatních počítačů připojených k síti je vhodné povolit funkci DHCP serveru -¦potom každý počítač v síti obdrží při svém spuštění svoji IP adresu automaticky.
Nejdůležitější nastavení pro zabezpečení počítače nebo lokální počítačové sítě
Ze všeho nejdříve je nutné nové uživatelské jméno a heslo pro přístup do webového rozhraní směrovače. V opačném případě by mohl každý, kdo zná standardní přístupová data, měnit vaše nastavení nebo dokonce nahráním špatného firmwaru směrovač zničit. Výchozí uživatelské jméno a heslo se totiž uvádí v příručce a dá se rovněž najít na internetových stránkách výrobce zařízení.
Dále pokud možno deaktivujte možnost dálkové správy směrovače -¦pak se bude možné dostat do webového rozhraní v prohlížeči pouze z lokální počítačové sítě.
Také rozvažte, zda skutečně potřebujete mít povolenou funkci bezdrátové sítě WLAN. Ve výchozím nastavení je bezdrátová síť zapnuta a bez jakéhokoliv zabezpečení. Přístupový bod bezdrátové sítě pak ukryjete tím, že buď bezdrátovou síť úplně vypnete, popřípadě zadáte heslo pro přístup do bezdrátové sítě, v dalším kroku povolíte šifrování WEP a povolíte přístup pouze počítačům s určitou MAC adresou.
Pro zapnutí firewallu stačí u většiny zařízení jedno klepnutí myší. Odpovídající položku naleznete v menu pro konfiguraci. Dále nezapomeňte aktivovat funkci NAT. Tím zablokujete nevyžádané dotazy ze strany sítě WAN. V našem případě se odpovídající položka nachází v menu Firewall/Advanced/NAT. Další pokročilé funkce doporučujeme testovat postupně a vždy zároveň vyzkoušet, zda se nějakým způsobem negativně neprojeví v běžném provozu.
U našeho zařízení jsou všechny možnosti ihned vysvětleny, což je velmi praktické. Jedinou vadou na kráse je to, že vysvětlivky, jakož i celé menu je v angličtině, ale tak je tomu prakticky u všech zařízení -¦takže nám nezbývá nic jiného, než se s tím smířit.

Udělejte si vlastní firewall

Hardwarový směrovač s firewallem si můžete zkonstruovat sami a zadarmo! naleznete utilitu Monowall ve formě obrazu ISO, takže si jej budete okamžitě moci vypálit na CD. Jedná se skutečně o solidní a osvědčený nástroj, šířený pod hlavičkou open source. S jeho pomocí si můžete na zastaralém a z dnešního pohledu naprosto nevýkonném počítači vytvořit směrovač, který bude možné z hlediska úrovně zabezpečení systému bez obav srovnat s jeho daleko dražšími a novějšími kolegy.

Výhody a nevýhody utility Monowall

Hotová řešení pro zabezpečení vašeho počítače nebo počítačové sítě naleznete většinou v pestré krabici, včetně více či méně srozumitelného manuálu. Řešení, které vám nyní představíme, spočívá naopak v tom, že si prakticky všechno uděláte sami. Jeho výhodou je, že úroveň zabezpečení, kterou bude schopno zajistit, je stejná jako u placených produktů, ale vás nebude stát ani korunu -¦samozřejmě pokud již vlastníte starší počítač -¦jedná se totiž o open source software.
Díky svému přehlednému menu nabízí Monowall dokonalé možnosti konfigurace pro osvědčený paketový filtr síťového operačního systému FreeBSD. Vzhledem k tomu, že v otevřeném zdrojovém kódu nikdy nezůstávají nedostatky dlouho utajeny, pak pokud se objeví nějaká chyba, jsou potřebné aktualizace rychle a hlavně zdarma k dispozici.
Chcete-li Monowall používat jako směrovač, budete především potřebovat vhodný hardware. Kromě toho jsou vyžadovány slušné znalosti sítí a síťových protokolů, na rozdíl od hotových řešení, kde se často používají nastavené standardní konfigurace.
Ale i přes vyšší námahu, kterou musíte při jeho konfiguraci vynaložit, nezajistí Monowall absolutní bezpečnost systému. V každém programu se nacházejí chyby, což platí i pro programy typu open source. Proto je nutné sledovat stránky tohoto programu a pravidelně provádět aktualizace.
Monowall: instalace a otázky okolo zabezpečení
Program Monowall se uhnízdí mezi dvě nebo více oddělených sítí, kde řídí datový provoz mezi sítěmi. Podobně jako komerční směrovače nabízí přitom velmi praktické síťové funkce, kupříkladu společné používání jednoho internetového připojení pro všechny počítače v lokální počítačové síti. Tyto počítače jsou pak dále chráněny proti útokům z internetu, protože všechny na internetu vystupují pod jednou IP adresou (využívá se funkce NAT) a firewall také kontroluje a povoluje jen takový provoz, který jste vy sami označili jako povolený. Ve FreeBSD je k tomuto účelu zabudována funkce filtrování paketů už v jádře systému.
Tvůrce Monowallu -¦Markus Kasper -¦neměl chuť zmíněný paketový filtr dále konfigurovat pomocí skriptů. Proto pro jeho konfiguraci naprogramoval speciální webové rozhraní založené na PHP. Konfigurace se pak ukládá transparentně v souboru XML. Spustíte-li Monowall z CD, budete potřebovat pro uložení konfigurace disketovou jednotku s disketou.

Další užitečné funkce: používané protokoly

Kromě filtrování paketů a webového rozhraní nabízí Monowall užitečné doplňky -například DHCP (Dynamic Host Configuration Protocol) pro místní síť. Pro připojení k poskytovateli internetového připojení jsou k dispozici protokoly PPPoE (Point to Point Protocol over Ethernet) nebo méně rozšířený PPTP (Point to Point Tunneling Protocol). Systém používá svůj vlastní server DNS (Domain Name Service) a také klienta pro službu na adrese www.dyndns.org -¦tento klient slouží k tomu, aby byl síťový počítač dostupný pod svým doménovým jménem i tehdy, pokud se jeho IP adresa změní.

Výchozí předpoklady a podmínky pro nasazení Monowallu

Monowall můžete provozovat na obyčejném počítači, ale můžete také použít speciální vestavné desky, které představují celý počítač na malé základní desce. Z tohoto důvodu naleznete na internetové adrese http://m0n0.ch pod odkazem Downloads různé obrazy připravené pro vypálení. V závislosti na tom, jaký hardware používáte, pak vypálíte odpovídající sestavu Monowallu na CD. Alternativně můžete celý operační systém včetně programu umístit na kartu CF (Compact Flash). Není to nic nepředstavitelného, vždyť Monowall potřebuje pouze 6 MB prostoru.
I jinak jsou požadavky Monowallu na hardware velmi skromné. Operační systém se obejde bez pevného disku, stačí mu 64 MB operační paměti RAM a spustíte jej i na stařičkém Pentiu. Počítač ale musí mít dvě síťové karty -¦jednu pro připojení lokální počítačové sítě, kterou má chránit, a druhou pro připojení internetu zvnějšku. Systém FreeBSD také musí tyto síťové karty podporovat -¦odpovídající hardware určitě najdete snadno, rozhlédnete-li se po internetu. Oficiální seznam všech podporovaných karet naleznete na adrese www.freebsd.org/releases/4.11R/hardware-i386.html#ETHERNET.
Vystačíte si sice s již vyřazeným hardwarem, ale stejně je celý počítač stále předimenzovaný. Daleko lépe se hodí právě vestavné desky (Embedded Boards). Se svým příkonem okolo 10 wattů jsou velmi úsporné a dají se pořídit i za cenu pod 6 000 Kč. Na těchto deskách jsou výstupy pro připojení sítí integrovány a můžete k ní přikoupit i speciální počítačovou skříň.
Monowall pracuje s těmito deskami naprosto bez problémů. Například desky značky WRAP od švýcarské firmy PC Engines mají 64 MB RAM a procesor o frekvenci 266 MHz (viz stránky www.pcengines.ch, v Česku je můžete zakoupit například u firmy SATCA na adrese satca.inshop.cz v ceně od cca 3 500 Kč).
Americká firma Soekris (www.soekris.com) přichází s deskami vybavenými slotem PCI. Konkrétně se jedná o modely Net4501 a Net4801. Tyto desky koupíte přes evropského distributora těchto zařízení. Kontakt naleznete na adrese www.kd85.com.
Monowall se u vestavných desek umisťuje na kartu Compact Flash -¦odpovídající slot pro tuto kartu se nachází přímo na desce. Směrovač postavený na Monowallu pak nepotřebuje ani větráček, ani mechaniku CD ROM, ani disketovou mechaniku.

Instalace a konfigurace Monowallu

Při prvním spuštění Monowallu musíte ze všeho nejdříve instalovat síťová připojení. Pokud běží Monowall na standardním počítači, musíte připojit klávesnici a monitor. U vestavných systémů je stačí připojit pomocí kabelu k jinému počítači a nakonfigurovat síťové porty pomocí nějakého terminálového programu, jakým je například Hyperterminál ve Windows 2000/XP. Tento program spustíte pomocí nabídky Start/Spustit příkazem hypertrm. Pokud je funkční místní síť, pak se dostanete do programu Monowall pomocí počítače připojeného do této sítě. Další konfigurace pak probíhá prostřednictvím webového rozhraní. Podrobnější návod naleznete na internetu na adrese m0n0.ch/wall.

Ochrana proti virům

Jako doplněk k firewallu určitě používejte některý z antivirových programů. Zdarma dostupným antivirovým programem je Antivir Personal Edition Classic, který naleznete i .

Antispyware

Tzv. antispywarových programů, které jsou zdarma, existuje několik. Můžeme vám doporučit například Ad-Aware, který je pro soukromé použití zdarma a který naleznete i , nebo také Windows Defender Beta 2. Naposledy zmíněná utilita pochází z dílny Microsoftu a při našich testech dosáhla velmi slušných výsledků.
Skenování portů
Každý útočník, který se snaží proniknout do vašeho počítače, ze všeho nejdříve vyhledává otevřené porty, což jsou jakási virtuální vrátka do vašeho počítače. U otevřených portů pak zkoumá, jaké služby poskytují. Skenování portů probíhá zcela náhodně, tzn. že útočník zcela nahodile prozkoumává počítače, které jsou v daném okamžiku připojeny k internetu. Úkolem firewallu je nejprve zabránit neoprávněným přístupům na libovolné porty, za druhé pak utajit existenci počítače.

Protokoly

Při přenosu dat v počítačové síti slouží protokoly k tomu, aby datové pakety pokud možno bez chyb proudily od odesílatele k příjemci. Ve většině případů se na výměně dat podílí několik protokolů. Pokud si například vyžádáte pomocí internetového prohlížeče webovou stránku, pak je záležitostí protokolu IP, aby se data dostala z webového serveru přímo k vám. Protokol TCP se zase stará o to, aby přenos proběhl bez chyb. A nakonec se protokol HTTP postará o to, aby se data dostala do internetového prohlížeče.
Rozluštění hlášení firewallu
Váš firewall hlásí, že se nějaký program s podivným názvem chce připojit k internetu. Co se však za názvem tohoto programu skrývá? To vám prozradí stránka www.reger24.de/processes.php. Zde naleznete celou řadu informací o spoustě programů. Pomocí odkazu Processlinks se dostanete na internetové stránky s dalšími seznamy procesů.

Vyhledávání otevřených portů

Chcete-li se přesvědčit, zda jsou na vašem počítači skutečně všechny porty uzavřené, musíte provést test počítače. Provedení testu nabízí několik internetových stránek. Například na stránce www.grc.com najdete odkaz ShieldsUP!, pomocí něhož se dostanete na stránku s testem. Tato služba také disponuje podrobným vysvětlením k výsledkům testu.

Firewall FAQ

Na stránce www.iks-jena.de/mitarb/lutz/usenet/Firewall.en.html naleznete celou sadu často kladených otázek a odpovědí týkajících se firewallů. Jejich záběr je vskutku rozsáhlý, protože sahá od teoretických základů až k praktickému použití.

Netstat

Netstat je nástroj, který je standardní součástí Windows. Podává informace o aktivních připojeních pomocí protokolu TCP, dále zobrazuje otevřené porty a statistiku protokolu IP. Použijete-li tento příkaz bez parametrů, vypíše se pro každé připojení typ protokolu (sloupec PROTO), název počítače a port (sloupec Místní adresa) a konečně údaje o počítači, ke kterému je náš počítač připojen (sloupec Cizí adresa). Stav připojení se objeví v posledním sloupci s názvem Stav.

Firewall podporou funkce SPI

Funkce SPI (Stateful Packet Inspection) je vlastně speciální druh paketového filtru. Je založena na skutečnosti, že každý příchozí paket je nutně součástí nějakého celku, přesněji řečeno částí proudu dat. Příslušnost k datovému proudu se pozná podle charakteristických znaků, jako je například IP adresa nebo číslo portu. Pakety, které k danému datovému proudu nepatří, nebo takové, které do počítače v rámci předpokládaného času nedorazí, firewall zahodí. Obecně se firewally s podporou SPI považují z hlediska zabezpečení za lepší než firewally s funkcí NAT.

Filtrování obsahu

Jedná se o jednu ze speciálních funkcí firewallů. Jde vlastně o kontrolu jednotlivých paketů likviduje obsah, který jste prostřednictvím menu pro konfiguraci zakázali, například prvky Active X nebo kódy psané v jazyku Javascript, které se vyskytují v internetových stránkách. Pomocí tohoto filtru můžete také zakázat zobrazení určitých stránek a všechny stránky, v nichž se vyskytují vámi zadaná slova nebo kombinace slov. Jedná se tedy o jakýsi pokus filtrování obsahu nepřístupného dětem.

Problémy s kompatibilitou

Webová rozhraní pro konfiguraci směrovačů se dají používat nezávisle na operačním systému počítače, ovšem toto rozhraní často obsahuje chyby. Jednotlivá menu často spolehlivě fungují pouze v Internet Exploreru -¦používáte-li Firefox, Mozillu, Safari a podobné, pak se připravte na možné problémy. Je více než zřejmé, že výrobci směrovačů testují rozhraní pro konfiguraci pouze v internetovém prohlížeči Microsoftu. Proto bude zřejmě nutné provést konfiguraci zařízení právě na počítači s Internet Explorerem.

Zabezpečení bezdrátové sítě WLAN

U naprosté většiny směrovačů podporujících bezdrátové sítě je ve výchozím nastavení jakákoliv ochrana bezdrátové sítě vypnuta. Proto je nutné vždy dodatečně zapnout všechny ochranné mechanismy, které směrovač nabízí. Pokud vypnete funkci Broadcast SSID, pak to kdokoliv, kdo bude chtít zjistit název vaší sítě, nebude mít vůbec jednoduché. Nezapomeňte rovněž zapnout funkci WEP (Wireless Equivalent Privacy) nebo ještě lépe funkci WPA/WPA 2 (Wi-Fi Protected Access). Potom se budou moci do bezdrátové sítě připojit pouze ta zařízení, která mají nastaveno společné heslo. Kromě toho se při přenosu bezdrátovou sítí data šifrují.

FreeBSD

Program Monowall je založen na operačním systému FreeBSD (www.freebsd.cz/cs). Podobně jako Linux je i tento operační systém dostupný zdarma, protože se jedná o systém s volně přístupnými zdrojovými kódy. Vyvinul se z operačního systému Unix, konkrétně z jeho verze Berkeley Software Distribution, a to na univerzitě Berkeley v USA na konci 70. let. Síla FreeBSD spočívá zejména v oblasti sítí a není bez zajímavosti, že protokol TCP/IP ve verzi 4 vznikl právě ze systému BSD. První verze FreeBSD se objevila v roce 1993, v současnosti se můžeme potkat s verzí FreeBSD 5.4. Zásadním rozdílem oproti Linuxu je licence BSD, která žádného programátora nenutí k zveřejňování zdrojového kódu svého programu v případě, pokud je částečně založen na licenci BSD. Tato licence tedy umožňuje použití tohoto operačního systému i v komerčních projektech -¦
na FreeBSD je například založena velká část operačního systému Mac OS X firmy Apple.

Monowall a karty pro připojení k bezdrátové síti

V nejnovější verzi Monowall podporuje i karty pro připojení k bezdrátové síti, i když jich není tolik, jako například u Linuxu. Monowall kupříkladu může fungovat jako Access Point s kartami pro připojení bezdrátové sítě, které používají čipové sady Prism 2, 2.5 nebo 3.

Hardwarové požadavky

Hardwarové požadavky Monowallu jsou minimální. Pokud se rozhodnete jej provozovat na nějakém starším počítači, uvádíme jeho minimální konfiguraci:

procesor Pentium,
64 MB RAM,
grafická karta,
klávesnice,
dvě síťové karty do slotu PCI,
bootovací CD-ROM mechanika,
disketová mechanika.

Při prvním spuštění počítače budete potřebovat monitor. Později monitor není nutný, protože konfiguraci počítače s Monowallem budete moci provádět prostřednictvím libovolného počítače připojeného k síti.

Srovnávací test bezpečnostních balíčků

V minulém čísle našeho časopisu jsme uveřejnili srovnávací test šesti bezpečnostních balíčků, jejichž součástí byl i firewall. V tomto testu se na prvních třech místech umístily balíčky Antivirus-Kit Internet Security 2006, Norton Internet Security 2006 a F-Secure Internet Security 2006. Naposledy zmíněnému produktu ovšem chyběla ochrana sama sebe, i když v ostatních oblastech byly jeho funkce na velmi dobré úrovni. Z hlediska úrovně firewallu v testu přesvědčil i Zone Alarm Internet Security 2006, který však obsadil poslední místo kvůli velmi slabým ostatním funkcím. Velkým nedostatkem vítězných produktů pak byla náročnost na výkon systému, u Norton Internet Security 2006 pak chybějící podpora starších operačních systémů a pozdní reakce na nové viry. Konečně balíček od F-Secure zase ztratil body za příliš komplikované uživatelské rozhraní.
6 0221/OK o

Přehled zdarma dostupných utilit pro zabezpečení vašeho počítače
UtilitaKategorieCenaOperační systémInternetová adresaNázev a velikost souboru
Ad-Aware SE Personal 1.06program proti spywarupro soukromé použití zdarmaWindows 98/ME, NT4, 2000, XPwww.lavasoftusa.com a aawsepersonal.exe (2,72 MB)
Antivir Personal Edition Classic 7antivirový programpro soukromé použití zdarmaWindows 95/98/ME, NT4, 2000, XPwww.free-av.com a antivir_workstation_win7u_en_h.exe (9,59 MB)
Fli4l 3.0.1směrování v sítíchzdarma pod licencí GNU-GPLLinuxwww.fli4l.de a fli4l-3.0.1.tar.gz (10,8 MB)
Windows Defender Beta 2program proti spywaruzdarmaWindows 2000, XPwww.microsoft.com/downloadsWindowsDefender.msi (6,4 MB)
Monowall 1.21směrování v sítíchzdarmaFreeBSDhttp://m0n0.ch a cdrom-1.21.iso (5,73 MB)
pcwProcviewzobrazení běžících procesů a jejich konfiguracezdarmaWindows 2000/XPpcwProcview.HTA (7,44 KB)
TCP-View 2.40sledování sítězdarmaWindows 98/ME, NT4, 2000, XPwww.sysinternals.com a TcpView.zip (82,6 KB)

Vlastní firewall jinak

Klasikou založenou na Linuxu je Fli4l (www.fli4l.de). Tento program pro směrování v počítačových sítích podporuje nejen Ethernet a DSL, ale i ISDN. Další funkce se dají doinstalovat ve formě volitelných balíčků -¦za všechny jmenujme alespoň ovladač pro bezdrátové sítě WLAN. Prostřednictvím známého wrappperu NDIS můžete integrovat dokonce i ovladače pro Windows.
Celý systém samozřejmě vyžaduje počítač. Záleží sice na rozsahu úloh, které bude vykonávat, nicméně vystačíme i s procesorem 80486 a 16 MB RAM. Vysloveně nutný není ani pevný disk a ani CD mechanika, ze které se dá bootovat, protože vše potřebné se vejde na disketu. Ve standardním nastavení sice není možná konfigurace přes webové rozhraní, na druhou stranu ale je pro vytvoření spouštěcí diskety k dispozici komfortní instalační program, fungující pod Windows. K dispozici je i klient pro konfiguraci vytáčení pro připojení k internetu, a to ve verzi pro Windows. Z toho vyplývá, že pro nasazení programu Fli4l nepotřebujete vůbec Linuxu rozumět.