Natvrdo nebo naměkko?

1. 11. 2006

Sdílet

Softwarové versus hardwarové firewally O tom, že byste náhodou byli připojeni k internetu a přitom nepoužívali ...


Softwarové versus hardwarové firewally


O tom, že byste náhodou byli připojeni k internetu a přitom nepoužívali žádný ochranný prostředek typu firewall, se nám nechce ani vtipkovat. Ať tomu tak náhodou je či není, způsob ochrany vašich počítačů před síťovými útoky s sebou často přináší i důležité rozhodnutí: je lepší používat firewall hardwarový či softwarový? Pokusíme se vám při rozhodování pomoci.
a první pohled se může zdát, že vítěz je nasnadě a diskuse je zbytečným zdržováním: když mohu software jednoduše stáhnout a nainstalovat (nedej bože u placených věcí ukrást), proč bych pořizoval a spouštěl dodatečné zařízení ve vlastní krabici, jež navíc musím speciálně zakoupit a fyzicky instalovat? Přesto jsou firewally, žijící ve vlastním "železe" a často sdílející pracovní prostor s dalšími obyvateli (jak bude řečeno dále), poměrně častým a v mnohém výhodným řešením. Přestože v následujících odstavcích naleznete argumentaci pro jednotlivá řešení i proti nim, pokusíme se naznačit obecné trendy, kdy mají jednotlivé varianty navrch či ztrácejí dech.
V zásadě lze říci, že hardwarový firewall vykazuje s nárůstem síťového provozu lepší výkonnost. Je to celkem logické: jde o zařízení specializované, jehož útroby jsou vyladěny a navrženy právě pro tuto práci a nejsou zatěžovány jinými úkoly. Ačkoliv sestavit konkurenceschopné PC by z dostupných součástí asi nebyl problém, šlo by často o samoúčelný a drahý špás. Při balancování na hranici kolem padesáti uživatelů v jedné síti se výkonnostní výhody externího firewallu rozhodně projeví.
Významným podpůrným argumentem ve prospěch softwarového řešení je v současné době taktika ochrany sítě na každém jednotlivém počítači. Pokud připustíme, že se do vnitřní sítě může i přes špičkově chráněnou bránu něco dostat, pak jsme při absenci "personálních" firewallů na jednotlivých počítačích bitvu prohráli. Důsledná kontrola na všech síťových rozhraních, a to nejlépe ve spojení s centrálně řízenou politikou nastavení, je dobrá myšlenka. Jiná situace pochopitelně nastává v malých sítích či při typickém domácím použití, kde často chráníme jediný počítač a personální firewall na stroji uživatele může být zároveň hlavní branou do celé sítě.
Na úvod zmiňme ještě jednu myšlenku, jež často hraje důležitou roli. Významným argumentem je cena potřebného softwaru či zařízení: hardwarové řešení většinou pořídíme dráže než softwarový firewall, kde jsou často navíc personální varianty se základní výbavou nabízeny zdarma. Na druhou stranu hardwarové řešení málokdy obsahuje jen holý firewall, neboť je běžná další výbava, kupříkladu k provozování internetové telefonie či připojení určité telekomunikační technologie (modem), což jeho cenu relativizuje.

Jak přijít k firewallu

Součást operačního systému

Vezmeme-li jako výchozí fakt podíl jednotlivých operačních systémů na pracovních stanicích typu PC, můžeme téměř s jistotou říci, že všechny významné platformy dnes nabízejí vlastní integrovaný firewall s alespoň základními možnostmi. Výrazně se může lišit způsob jeho ovládání a obtížnost konfigurace.
Nejběžnější systém MS Windows XP je vybaven poměrně kvalitním firewallem, jenž je bezvýhradně instalován a ve výchozím nastavení také zapnut v poměrně striktní konfiguraci. Z pohledu uživatele se jedná o jednu z položek tzv. Ovládacích panelů, takže její ovládání je vnímáno jako "kus Windows", a tomu odpovídá i faktická implementace. Firewall Windows je vytvořen jako služba Windows (Service), pracující nezávisle na přihlášeném uživateli, a to velmi důkladně již od rané fáze zavádění operačního systému. Samotná konfigurace je díky grafickému rozhraní a vcelku dobře rozvrženým dialogům poměrně jednoduchá.
Díky koncepci šíření Linuxu ve formě často velmi odlišných distribucí není sice možné jednoznačně říci, zda je konfigurace firewallu hračkou či noční můrou. Klíčová je skutečnost, že jádro systému (tedy Linux jako takový v úzkém slova smyslu) má velmi kvalitní firewall zabudován. Pokročilá technologie IPTables představuje velmi pružný mechanismus a dovoluje vybudovat systém od nejjednodušího filtrování po složité kontroly v několika fázích. Ve srovnání s unifikovaným firewallem ve Windows je zde však patrná přinejmenším jedna drobná nevýhoda: IPTables jsou zaměřeny na kontrolu provozu na úrovni vlastností síťového provozu, zatímco Windows Firewall důsledně pracuje s kontrolou samotných aplikací, jež o provoz žádají či chtějí otevřít přístupový kanál pro příchozí spojení.

Proč pořídit dodatečný software?

Pokud zhodnotíme možnosti zabudovaných firewallů, jež získáme s operačním systémem, může se investice do dodatečného softwaru zdát prostým plýtváním. Podívejme se tedy, co nám může specializovaný program nabídnout.
Zásadním přínosem a typickým rozdílem oproti zabudovanému softwaru je možnost kontroly na tzv. aplikační úrovni (aplikační vrstvě). Tento způsob ochrany je třeba odlišit od již zmiňované ochrany pomocí identifikace jednotlivých aplikací, jež chtějí komunikovat v tomto případě jde o důslednou kontrolu jednotlivých protokolů, pomocí nichž si aplikace vyměňují data. Protože vlastně kontrolujeme celý obsah přenosu, označuje se tento mechanismus též jako filtrování obsahu (content filtering).
Kontrola obsahu jde velmi hluboko pod povrch komunikace a hlídá řadu potenciálních hrozeb: pátrá po zákeřných skriptech ve webových stránkách, odhaluje nekorektní formáty dat v jednotlivých protokolech, blokuje podloudně předávaná data v maskované podobě. Představuje tak významnou přidanou hodnotu, neboť řada kyberprostorových nebezpečí se šíří právě v podobě navenek korektního provozu, směřujícího kupříkladu do internetového prohlížeče na základě požadavku uživatele. Jen tak mimochodem, právě tato část ochrany je často místem propojení s další klíčovou technologií, kterou je bezesporu antivirový program.
Další zajímavou výhodou většiny softwarových firewallů je tvorba pokročilých záznamů o činnosti (logů) a následné vyhodnocování podle různých kritérií do podoby sestav (reportů) s vysokou vypovídací schopností. Uživatel tak může nejen důkladně zkoumat průběh provozu, ale podle zajímavých statistik (často i v podobě názorných grafů) případně odhalit podezřelou činnost či netušený nežádoucí provoz.
S výše zmíněným důsledným záznamem činnosti souvisí i jedna z funkcí, která obzvláště v poslední době nabírá na síle. Řada výrobců se snaží implementovat jakýsi mechanismus reakce na rozpoznaný útok, jenž může nabývat všelijakých podob: od rychlého zablokování nežádoucích spojení po aktivní protiútok, třeba v podobě zaslání varovné zprávy do centra výrobce, jenž pak zpravodajským mechanismem varuje i ostatní uživatele a snaží se tak určitou hrozbu blokovat na globální úrovni.

Nekupujte holý modem

Vaše připojení k internetu bude pravděpodobně vyžadovat instalaci odpovídajícího zařízení pro konverzi síťové linky dalekého dosahu (WAN telefonní kabel, kabelová televize, anténní svod) na technologii lokální (ethernet na kroucené dvoulince, též USB). A když už budete potřebovat jedno "železo", proč si pořizovat druhé a nevybrat si takové, co umí všechno? Myšlenka je to nejen dobrá, ale hlavně reálná a na dosah ruky. Jak se zmíníme i na jiných místech tohoto článku, integrace firewallů s modemy je běžnou záležitostí a obzvláště pro malé sítě a domácí uživatele jde o dobrou volbu. Než vám tedy váš poskytovatel internetových služeb (ISP) krabičku nabídne či vnutí, pátrejte, zda obsahuje ochranné mechanismy a jak jsou propracovány. Příplatek za chráněnou variantu modemu nebývá tak drastický (pokud vůbec musíte připlácet) a přidaná hodnota stojí za to.

Zvažujeme varianty

Přestože jednoznačně nelze říci, která z variant je lepší, existuje řada víceméně legitimních argumentů pro a proti. V následujícím textu jsme se pro vás pokusili shrnout hlavní výhody a nevýhody použití jednotlivých technologických řešení. Naše tvrzení či vysvětlení jsou pochopitelně platná spíše v obecném pojetí jste-li zkušenými uživateli v určité oblasti, pak bude jistě důraz (kupříkladu díky znalostem konfiguračních postupů) posunut mírně jinam. I tak jde však o základní východisko, jehož pomocí můžete snáze dospět k rozhodnutí, které řešení je pro vás to pravé.

Hardwarové firewally: nevýhody

Další rozhraní navíc

Na jednu stranu je nezávislost a totální odloučení hardwarového firewallu od zbytku sítě či vašeho počítače výhodou, na druhou stranu si žádá oddělenou administraci, a to nemusí patřit mezi jednoduché úkony. Ovládací rozhraní tedy především jeho logika bývá většinou dosti odlišné od zkušeností s běžnými aplikacemi v operačním systému. Za zmínku také stojí fakt, že při velkém množství nabízených funkcí jeho uspořádání prostě úplně jednoduché ani být nemůže. Běžným trendem je uplatňovat pro konfiguraci jakési větší, ucelené kolekce nastavení (politik), jejichž organizace je většinou pojata dosti zeširoka, takže prostě nezbývá nic jiného, než potřebné informace nastudovat a najít dostatek času na seznámení s vrtochy uživatelského rozhraní.

Hardwarové firewally: výhody

Integrace s modemem

Přestože pořízení hardwarového firewallu s sebou na první pohled přináší dodatečnou investici, pravděpodobně převyšující cenu softwaru ke stejnému účelu, nemusí se zdaleka jednak o nevýhodu. Ve skutečnosti je situace často v podstatě opačná spolu s jiným hardwarovým zařízením, jež si pořídíte tak jako tak, neboť bez něj žádný síťový provoz (myšleno především internetový) nezískáte, můžete za jedny peníze získat i poměrně kvalitní firewall v jedné "krabičce".
V současné době je naprosto běžné, že specializované modemy pro připojení pomocí technologie ADSL (či příbuzné xDSL) nebo rozvodu kabelové televize již zahrnují funkcionalitu firewallu, a to často na velmi vysoké úrovni. Ve spojení s dalšími možnostmi takovýchto integrovaných krabiček jde o koncepčně velmi dobré řešení: provoz je filtrován již na vstupním bodu do vaší sítě, takže operační systém není vystaven ani potenciálnímu riziku. Pokud potřebujete k internetu připojit více počítačů, ochrana probíhá ještě před rozvedením provozu na všechny stroje a slouží tak najednou všem. Vnitřní, lokální síť je tak zcela oddělena od potenciálně nebezpečného internetového připojení.
Pokud jste tedy i z jiných důvodů zvažovali hardwarové řešení, podle způsobu vašeho připojení může být použití jediného zařízení tou nejlepší volbou.

Nezávislost na operačním systému

Jak už tomu u softwaru bývá, je dosti závislý na operačním systému, který budete na svých počítačích provozovat, a tomu odpovídá i naprosto odlišný způsob ovládání a správy potřebných programů. Tato starost v případě "železné" varianty firewallu zcela odpadá: samostatné zařízení je zcela nezávislé na operačním systému vašich počítačů, neboť se vlastně nalézá jako mezikus na síťové trase. Komunikace jím v podstatě pouze protéká tak, že cílové počítače si ničeho nevšímají. Jednou pořízený a zaplacený hardwarový firewall je zcela soběstačný a nijak neovlivňuje vaše budoucí rozhodnutí umístit do sítě další počítače s odlišnými operačními systémy či změnit systém na jediném stroji, který používáte.


Softwarové firewally: nevýhody

Snižuje výkonnost počítače

Již ze své podstaty softwarový firewall běží jako aplikace je tato varianta nezbytně zátěží pro váš počítač a operační systém. Ačkoliv se to na první pohled tak nemusí nezbytně jevit, může docházet i k výrazné ztrátě výkonu a skutečná míra "ukousnutí" strojového času pak záleží na celé řadě podmínek.
Jednou z nejdůležitějších okolností je samotná konfigurace firewallu, přesněji řečeno jeho pokročilé funkce, které je možné zapnout. Je třeba si uvědomit, že základní síťová kontrola provozu, založená na poměrně jednoduchých pravidlech (např. porovnávání síťových adres), je poměrně nenáročná ve srovnání s pokročilou aplikační kontrolou, při níž třeba dochází k prověření kompletního obsahu přenášených webových stránek (protokol HTTP) či stahovaných souborů (protokol FTP či třeba aplikace systémů BitTorrent či Direct Connect). Důsledná analýza na aplikační úrovni je stále náročnější i proto, že kapacita internetových připojení neustále stoupá, a co bylo při 128 kb/s hračkou, je na linkách s 1 Mb/s již slušný eskamotérský kousek.
Dalším významným faktorem může být sdílení internetového připojení více počítači ve vaší síti. Pokud je stroj, k němuž vede internetové připojení, prostředníkem pro sdílení internetového provozu s dalšími počítači, může takto znásobený provoz na jeho síťových rozhraních při důsledné kontrole firewallem opět dosti zatížit operační systém.

Může přinést nestabilitu operačního systému

Ačkoliv technologie softwarových firewallů není žádným novým objevem a příslušné programy jsou již většinou vyvíjeny řadu let, stálé zavádění nových a nových verzí s sebou může přinést výrazné potíže se stabilitou. Jako odůvodnění takto silného obvinění stačí stručné vysvětlení, jak softwarový firewall pracuje, neboť jeho způsob instalace a běhu je shodný s běžnými uživatelskými aplikacemi.
Aby mohl firewall v součinnosti s operačním systémem dobře provádět žádoucí operace, musí být alespoň jeho část instalována a spouštěna takzvaně v režimu jádra systému (též se říká v privilegovaném režimu). Nejedná se o nic výjimečného, neboť takto pracují téměř všechny ovladače (drivery) různých zařízení a i proto se této programové komponentě říká též softwarový ovladač. Tento způsob integrace s operačním systémem s sebou přináší možnost přístupu do oblastí, v nichž je nezbytné kontrolu síťového provozu provádět (má-li opravdu dojít ke smysluplné ochraně), avšak také s sebou nese výrazné riziko provedení fatální chyby. Stejně jako ostatní ovladače různých zařízení může totiž díky popsané skutečnosti softwarový firewall chybou při svém běhu přivést k pádu celý operační systém, což kupříkladu běžné aplikace, jež v takto privilegovaném režimu neběží, nedokáží a operační systém nanejvýše ukončí jejich činnost. Chyba v komponentě firewallu, jež běží v jádře, však může být kritická.
Z tohoto důvodu bývá většinou prozíravé vyčkávání na verze softwaru, v nichž byly postupně vychytány "drobné" chybičky, tradičně se vyskytující v nových zásadních edicích. Konkrétně řečeno, je moudřejší počkat se sice starší a ne tak převratnou, nicméně dobře funkční verzí 1.95 firewallu XY na uvedení poopravené verze 2.05, než za každou cenu den po uvolnění instalovat zcela novou a bezpochyby revoluční verzi 2.0.

Softwarové firewally: výhody

Vidí a rozpozná aplikace

Integrace softwarového firewallu do operačního systému sice přináší jisté komplikace, avšak umožňuje na druhou stranu jeho nejtěsnější sepjetí s dalšími částmi, především aplikacemi. "Místní" firewall může velmi pozorně zkoumat, která aplikace se pokouší síťové spojení sestavit zahájením své aktivity, či naopak dokáže přesně vymezit, které programy obdrží příchozí spojení. Tato úroveň kontroly je nesmírně důležitým posílením celé koncepce ochrany: velkým nebezpečím jsou totiž především programy, jež bez vědomí uživatele samy zahájí odchozí komunikaci (která je běžně a normálně povolena). Odpovědi na jejich propuštěné výzvy pak často představují onen kanál, kudy útočníci proniknou. Důsledné odepření síťových funkcí programům, jež nebyly výslovně vybrány uživateli, je pak účinnou obranou. Ta by pomocí externího firewallu, jenž si s operačním systémem nemůže "povídat", nemohla být zavedena.
Související výhodou softwarového řešení je pak výrazné zjednodušení konfigurace u příchozích výjimek, tedy u komunikace, kterou povolíte v příchozím směru. Ačkoliv softwarovému firewallu stačí často pouze říci, která aplikace smí na příchozí komunikaci reagovat, externí firewall vyžaduje výslovné nastavení síťových parametrů (čísel portů protokolů TCP a UDP). Právě přesné definování takové komunikace může být velkým problémem u aplikací, jež přiřazují čísla portů dynamicky a často je mění.

Firewallová doporučení

Dvakrát měř, jednou řež

Než se rozhodnete investovat do jakéhokoliv firewallu či jen instalovat nějaký software tohoto druhu, nejdříve uvažte, zda váš způsob internetového připojení již nějakou možnost ochrany nenabízí. Jak jsme se již zmínili, řada zařízení pro připojení určitých typů komunikačních linek (obecně modemy) obsahuje jako nedílnou součást firewall a možnosti takto vestavěné ochrany bývají často na vysoké úrovni. Neváhejte sáhnout po manuálu k vašemu modemu, obzvláště v případě, že používáte ADSL či kabelový rozvod.

Buďte vždy "on"

Nepoužíváte-li žádný samostatný softwarový firewall, zapněte alespoň vestavěnou variantu tohoto nástroje v operačním systému, a to i v případě, že jste nasadili hardwarový firewall. Zdvojená ochrana nemůže škodit a obzvláště v případě, že kromě přístupu na internet komunikujete i s jinými počítači v lokální síti, je ochrana "v první linii" na vašich síťových rozhraních velmi cenná.

Chtějte kontrolu obsahu

Časy, kdy stačilo chránit síťovou komunikaci na základě prostých pravidel, sestavených podle základních parametrů síťových protokolů (síťová adresa protokolu IP, číslo portu protokolů TCP a UDP), patří minulosti. Nikoliv zhýčkaností, ale samozřejmostí je dnes ochrana prostřednictvím kontroly obsahu příchozí a lépe i odchozí komunikace. Pokročilejší firewall nahlíží do přenosu webových stránek a hledá podezřelé sekvence. Podobně kontroluje třeba poštovní protokoly, ale i další proudy dat. Pokud si nejste jisti, zda tohle váš firewall umí, prohledejte manuál, nápovědu či kontaktujte dodavatele. Pokud nic takového ani v "železné", ani v softwarové podobě neprovozujete, uvažte instalaci softwarového firewallu s touto schopností. A to i v případě, že by měl být druhým ochranným krokem za prvním hardwarovým "sítem".

Sledujte vývoj verzí

Jak v případě softwarových, tak u hardwarových firewallů bezpodmínečně sledujte vývoj nových verzí vámi nasazeného produktu. U firewallů softwarových buďte na pozoru u zbrusu nových "zásadních" verzí (jak jsme se zmínili výše), avšak důsledně aplikujte malé, přírůstkové aktualizace ochranného programu (myšleno kupříkladu update z verze 2.12 na 2.13). Malé změny totiž většinou nepřinášejí nijak zásadní proměny a převratné novinky, ale naopak dolaďují případné nedostatky verzí přelomových a občas jsou reakcí na bezpečnostní trhliny.
U firewallů hardwarových je sledování verzí firmwaru (integrovaného obslužného softwaru) nesmírně důležité právě proto, že nejsme zvyklí takováto jinak samostatná zařízení příliš ladit a aktualizovat. Je nezbytné si uvědomit, že software v nitru hardwarového firewallu stárne úplně stejně jako operační systém či jiné aplikace, proto bývá žádoucí aplikace záplat či nových verzí. Před instalací nového firmwaru však dobře nastudujte, jaké změny výrobce provedl -je možné, že se jednalo o vylepšení, která s bezpečností nesouvisí a instalace firmwaru tedy nestojí za riziko nezdařeného pokusu.

Neprovádějte záhadná nastavení

Velkou výhodou většiny moderních firewallů, a to jak softwarových, tak hardwarových, bývá jejich výchozí nastavení pokud uživatel "neřekne jinak", je startovací politika většinou poměrně přísná, zabraňuje příchozím připojením a běžně povoluje odchozí komunikaci jen vybraným, důvěryhodným programům. Pokud jste v oboru firewallů opravdu začátečníky, nepodceňujte nebezpečí neuváženě provedených konfiguračních kroků. Každý váš zásah by měl být podložen porozuměním tomu, co vlastně povolujete a co dotyčné nastavení vlastně způsobí. Improvizace metodou pokus-omyl zde rozhodně není na místě, proto studujte dokumentaci a v případě nejasností hledejte na internetu či kontaktujte dodavatele a svůj problém konzultujte. Koneckonců, jde o vaše cenná data, takže opatrnost je na místě.

Příklady a typické varianty HW firewallu

Hardwarový firewall:

čistě ochranná funkce
žádná integrace s modemem či bezdrátovým připojením

Pro malé a domácí sítě: Checkpoint Safe@Office (prodává společnost Actinet, www.actinet.cz), informace o produktu naleznete na adrese www.checkpoint. com/products/ safe@office/index.html

Kombinovaný hardwarový firewall:

obsahuje ADSL modem pro linku WAN či Wi-Fi technologii, nebo obojí najednou jako níže uvedený produkt.
Pro malé a domácí sítě: DrayTek Vigor2700Ge (prodává společnost Attel Bohemia, www.draytek.cz), informace o produktu naleznete na adrese www.draytek.cz/adsl-smerovace/draytek-vigor 2500we/.
Příklady a typické varianty SW firewallu

Softwarový firewall:

zaveden jako program v některém z běžných operačních systémů
Linux: IPTables
Windows: Brána firewall systému Windows (naleznete v Ovládacích panelech)

Personální firewall:

důsledná pokročilá kontrola síťové aktivity operačního systému
obrana před škodlivým kódem na aplikační úrovni
McAfee Personal Firewall Plus 2006 (prodává společnost PCS Software, www.pcs.cz), informace o produktu naleznete na adrese cz.mcafee.com/root/package.asp?pkgid=103.

Pro malé a střední sítě:

komplexní ochrana firemní sítě na vstupní bráně
centrální kontrola aplikačních protokolů na vstupu
Kerio WinRoute Firewall 6 (prodává společnost Kerio, www.kerio.cz), informace o produktu naleznete na adrese www.kerio.cz/kwf_firewall.html.