V tomto článku se dozvíte proč a jak konfigurovat osobní firewall. I když
použijeme jako příklad pouze dva firewally, informace zde uvedené platí i pro
další produkty.
Špatně nastavená bezpečnost je horší než žádná bezpečnost. I ty nejlepší prvky,
které lze posbírat, se při nekorektní konfiguraci stávají nejen neúčinnými, ale
především nepříjemnými a nebezpečnými součástmi vašeho operačního systému.
Většina současných aplikací, se kterými se běžně setkáváme, je stavěna pro toho
nejjednoduššího uživatele. Pomocí různých expertních režimů a vylepšení ovšem
uspokojí i potřeby toho nejnáročnějšího. Jinak řečeno: nejjednodušší režim
každého dostupného programu je přístupný skutečně každému a poskytuje dostatečnou
paletu základních funkcí, stejně jako minimální korektní „failsafe“ nastavení.
Díky tomu stačí většinu aplikací prostě nainstalovat a ony pak nějak fungují,
což nám nebrání v tom, abychom si je dále nastavovali podle svých představ.
Tento princip je uplatňován i v případě bezpečnostních programů, a to jak
antivirových, tak osobních firewallů. Podívejme se nyní na ty druhé.
Co je to firewall?
Firewall je technicky vzato zeď, která je součástí budovy a funguje jako část
jejího protipožárního zabezpečení. Protipožární stěny mívají zesílenou
konstrukci, jejich hlavním účelem není zabránit požáru, nýbrž jej zastavit a
znemožnit tak jeho další rozšíření i do těch prostor, do nichž se zatím
nedostal.
Název firewall se úspěšně přenesl i do světa IT a protipožární zeď se tak stala
základem zabezpečení prakticky každé současné počítačové sítě připojené k
internetu.
Firewall je hardwarové nebo softwarové zařízení, které tvoří hráz mezi místní
počítačovou sítí a vnějším internetem. Účelem této hráze je chránit počítač nebo
síť před riziky, které pro ni představuje připojení k internetu. Firewall
monitoruje všechny informace, které jsou přenášeny z místní sítě ven a z
internetu dovnitř, analyzuje je a na základě rozhodnutí, zda mohou být
nebezpečné, je může zablokovat. Nebezpečné informace představují samozřejmě
poměrně složitý pojem, a proto si jej upřesněme.
Hlavní rizikové faktory pro firemní nebo domácí síť či třeba pro jediný počítač
představují:
• Komunikace aplikací, které nás mohou špehovat, odesílat obsah našich počítačů
„někam ven“, aniž bychom jim k tomu dali souhlas, nebo představující zadní
vrátka, která může využít případný hacker při útoku do našeho počítače či sítě.
• Komunikace směřující z internetu na ty funkce operačního systému nebo
důvěryhodných instalovaných programů, o nichž víme, že mohou způsobit nesprávné
chování, pád operačního systému, zamrznutí počítače nebo spuštění programu
vpašovaného do počítače či do sítě hackerem, tedy využití bezpečnostních mezer.
• Komunikace jakýchkoliv dalších aplikací, které nejsou schváleny pro práci s
internetem, nebo to není jejich hlavní účel.
• Pokusy o vzdálené vyvolávání služeb (tedy z internetu), které mají být
přístupné pouze z místní sítě. Především se jedná o sdílení souborů a jiných
prostředků jednotlivých počítačů, které může vést k možnosti vykrást informace
obsažené v místní síti.
Úkolem každého firewallu je předchozí (ale i další) rizikové faktory rozpoznat a
zabránit jim. Toho dosahuje několika cestami. Předně, jak jsme si již řekli,
může zablokovat jakýkoliv pokus o komunikaci, který uzná za rizikový. Další
funkcí je také schopnost místní síť nebo počítač z pohledu vnějšího
(internetového) světa zamaskovat. Firewall dokáže skrýt některé vlastnosti
počítačů, především otevřené komunikační porty či jejich pravé IP adresy tak, že
ztíží možnost útoku a funguje jako jeho prevence. Je ovšem třeba poznamenat, že
za cenu možného zhoršení fungování některých aplikací.
Kromě toho dovedou moderní firewally také přesně poznat, kdy dochází k pokusu o
neautorizované proniknutí do chráněné sítě, a nejen ji v takovém případě odpojit
od internetu, ale také přivolat obsluhu či podniknout další protiopatření.
Železo, nebo program?
V předchozí části jsme si popsali, co firewall dělá, a řekli jsme si, že funguje
vlastně jako vrátný v naší síti či počítači, který pustí dovnitř jen toho, o kom
ví, že nám neublíží. Řekli jsme si také, že existují tzv. hardwarové a
softwarové firewally. Softwarový firewall, o němž bude v dnešním článku řeč
především, je aplikace instalovaná do operačního systému běžného počítače. Pro
svou činnost využívá síťové rozhraní tohoto počítače a jeho další prostředky,
především čas procesoru a místo v paměti. Naproti tomu hardwarový firewall je
samostatný přístroj, který má vlastní samostatné síťové rozhraní pro připojení
„vnějšího“ světa, tedy datové linky vedoucí do internetu a do světa „vnitřního“,
do místní sítě. Takový firewall, který se běžně montuje spolu s dalšími
součástmi do tzv. rackových skříní, je vlastně počítač, jehož veškerý výkon je
věnován výhradně filtrování přenesených informací a rozpoznávání útoků.
V případě hardwarového firewallu se jedná o velice sofistikované zařízení.
Přesto je moderním trendem výrobců tyto přístroje slučovat v jedné krabici spolu
s dalšími síťovými prvky. Především jde o systémy zajišťující bezpečné spojení
mezi místními sítěmi napříč internetem (VPN), dále pak síťové směrovače
(routery), přepínače, hardwarové antivirové systémy a podobně.
Je pochopitelné, že zařízení, která tak vznikají, se příliš nehodí do domácnosti
nebo malé domácí sítě. Jejich úkolem je především fungovat jednak ve větších a
složitějších počítačových sítích různých firem a institucí. Stávají se součástí
aktivního síťového vybavení a bývají nezřídka uložena ve speciálních místnostech
společně s různými servery. Jejich velký výkon je předurčuje pro práci tam, kde
dochází k výměně velikého množství důležitých a často drahých informací; tedy
tam, kde je velký datový provoz.
Jestliže máme malou domácí síť s několika počítači a trváme na tom, že
potřebujeme hardwarový firewall, nabízí se cesta použití dedikovaného PC. Jeden
počítač se dvěma síťovými kartami (jedna do internetu, jedna k přepínači domácí
sítě) se obvykle konfiguruje tak, aby fungoval současně jako proxyserver,
mezipaměť, agent pro stahování objemnějších balíků dat a třeba webový a poštovní
server. K tomu postačí kterákoliv modernější distribuce Linuxu nebo například
Windows Server 2003 SBS. Lze tak zajistit dostatečné zabezpečení i pro síť
čítající několik až řádově desítku počítačů. Nevýhodou je, že PC, které funguje
jako server/firewall, již k ničemu dalšímu současně nevyužijeme a bude nám
neustále konzumovat elektrický proud. Jejich použití v domácnostech často brání
i vysoká cena.
Co je to osobní firewall?
Osobní firewall je, zjednodušeně řečeno, aplikace, která se instaluje do
operačního systému vašeho počítače a která se stará o jeho bezpečnost. Zatímco
antivirový program monitoruje soubory, které přicházejí v elektronické poště,
jsou přinášeny na disketách, kompaktech a tokenech nebo dokonce vznikají
činností aplikací, firewall monitoruje síťový provoz. Je vlastně vřazen mezi
síťové a protokolární rozhraní operačního systému, propojené se síťovými
adaptéry, a aplikace, které tyto protokoly používají. Co to znamená? Že veškerý
datový provoz, který přichází do počítače a který z něj odchází, prochází
firewallem. Firewall jej sleduje a porovnává to, co se mezi počítačem a
internetem děje, se svými záznamy. Ty vycházejí jednak z poznatků uložených v
aplikaci již od výroby, jednak z těch, které se aplikace naučila od uživatele.
Na základě tohoto porovnání je firewall schopen rozpoznat regulérní datovou
komunikaci od té, která může pro uživatele a jeho počítač představovat riziko.
Riziková komunikace je pak zablokována, korektní pak normálně propuštěna.
Firewall se pro běžné internetové programy chová tak, že o něm vlastně ani neví,
nekorektním brání v možnostech jakkoliv komunikovat, aniž by s tím mohly cokoliv
udělat. Chová se tak vlastně jako bezpečná brána do internetu.
To byl popis klasického firewallu, ale osobní firewall v počítači toho musí umět
víc. Především je třeba rozlišovat mezi aplikacemi, které z počítače komunikují,
a mezi programy, které se s počítačem pokoušejí komunikovat zvenčí. Pokusy o
útok na počítač mohou vypadat různě. Útočníci se mohou snažit pozměnit aplikace,
které již v operačním systému jsou. Mohou se pokoušet zneužívat známých
bezpečnostních mezer, volných portů a dalších míst v počítači. Moderní operační
systém používá mnoho spuštěných služeb, sloužících pro zajišťování funkcionality
aplikací, které v něm běžně používáme. Zatímco některé z nich musí fungovat,
jiné se mohou stát hrozbou, další přítěží. Osobní firewall mezi nimi rozlišuje.
Některé služby mohou fungovat korektně, ale také mohou být snadno zneužity
zvenčí. Také komunikující aplikace mohou někdy komunikovat korektně a někdy také
nikoliv.
Systém naslouchání a portů
Jak je možné, že z jednoho počítače prostřednictvím jednoho protokolu (TCP/IP) a
síťového adaptéru komunikuje mnoho programů a služeb současně? Je to proto, že
použitý protokol je vícevrstevný. Aby
bylo možné řadit požadavky více aplikací na příchozí i odchozí spo-
jení, je komunikace s internetem organizována na úrovni takzvaných portů. Port
je vlastně jakási „zásuvka“. Pokud chce cokoliv komunikovat, musí určit nejen
protokol a říci, s kým chce komunikovat, ale především určit kód svého portu.
Komunikují spolu pouze takové aplikace, které se domluví na stejném portu. Portů
může v současné nejrozšířenější verzi protokolu být 65 536 a jejich čísla určují
autoři komunikujících aplikací. Některé porty jsou jednoznačně přiřazeny
konkrétním službám, jiné jsou v zásadě pro použití otevřené. Některé aplikace,
především z bezpečnostních důvodů, jsou schopny používat náhodně vybraný port.
Pokud má dojít k příchozímu spojení do počítače, musí na daném portu, na nějž je
spojení směřováno, „čekat“ daná aplikace. Tomu se říká naslouchající port.
Otevřený port pro příchozí spojení je jednak nezbytnou podmínkou, aby bylo možné
je realizovat, jednak ale určitým rizikem. Právě volné porty pro příchozí
spojení představují totiž jedno z hlavních ohrožení.
Odkud přicházíš?
Každý prvek na internetu je identifikován pomocí jednoznačné IP adresy. Protože
IP adres ale není tolik, kolik je prvků, a protože jednotlivé regiony světa mají
přiděleny pouze určité rozsahy, je třeba problém IP adres nějak obejít. To se
děje pomocí „soukromých“ adres. Soukromá (neveřejná) IP adresa slouží k
rozlišování počítačů uvnitř sítě, ke které jste připojeni. Soukromé adresy jsou
pak překládány pomocí systému NAT na veřejné. V důsledku toho se mnoho počítačů
vybavených určitým počtem soukromých IP adres chová ve „vnějším“ internetu jako
jediný stroj s veřejnou adresou. Co to znamená? Že ačkoliv právě IP adresa by
nám měla jednoznačně identifikovat toho, kdo s námi komunikuje, ve skutečnosti
tomu tak být nemusí. Pokud bychom se snažili vypátrat, kdo se s námi pokouší
bavit a odkud přichází, zjistíme jen počítač, který mu zprostředkovává překlad
adres. Díky tomu se může stát, že počítač, který komunikuje s tím naším,
vypátráme pouze po určitý bod a dále to bude problematické nebo dokonce nemožné.
Tento stav ve většině případů nevadí. V některých případech se ale může stát, že
překlad adres a s ním spojené maskování způsobí, že případný útočník je za
clonou, kam za ním není možné jít.
Přesně tento jev lze demonstrovat například na používání výměnných sítí.
Organizace hájící autorská práva se snaží od poskytovatelů připojení k internetu
získávat informace o jejich zákaznících, protože samy je nejsou schopné
vypátrat, mimo jiné díky dobré ochraně. Poskytovatelé připojení zase nemohou
jednat proti zájmům svých zákazníků, respektive jejich osobních údajů. A tak se
jedna z vlastností internetu stává do jisté míry politickým problémem, což je
nepochybně velice zajímavé.
Co je to útok?
Když opomineme škodlivé aplikace, které mohou například instalovat do počítačů
klientů „zadní vrátka“, jejichž komunikace může vést ke kompromitaci zákazníka,
existuje systém pro rozeznání útoků. Základní formou (avšak také běžně
využívanou pro určitý typ aplikací) je skenování portů. Někdo (nějaký program)
testuje jednotlivé porty v počítači podle jejich čísla a názvu služby, která se
za nimi skrývá, a zkoumá, zda by s některou z nich nemohl komunikovat. Kromě
toho se může aplikace pokoušet komunikovat tak, že na zadaný protějšek v
počítači vysílá určité sekvence dat. Služba, která by na většinu sekvencí
nereagovala vůbec nebo by reagovala korektním způsobem, může při určité datové
kombinaci selhat a začít, vlivem své vlastnosti – nebo vlivem chyby softwaru –
reagovat chybně. Tato chybná reakce může snadno stát na počátku velikého
problému, na jehož konci je ztráta dat, kompromitování počítače, instalace
škodlivého kódu nebo začátek odposlouchávání datového provozu. Vzhledem k tomu,
že síťový adaptér zpracovává i veliké množství dat zároveň, je detekce
nebezpečných sekvencí náročná a obtížná, avšak je nevyhnutelná a probíhá
prostřednictvím velmi sofistikovaných metod.
Kde vzít osobní firewall? Jeden najdete ve Windows XP. Service Pack 2 obsahuje
vylepšené funkce.
Nebo si raději pořiďte některý z volně dostupných produktů či nějaký zakupte.
Zone Alarm
(www.zonelabs.com)
Produkt společnosti Zone Labs. Existuje v několika různých verzích. Nejnižší z
nich je bezplatná, vyšší se vyznačuje přítomností pokročilých funkcí. Instalační
soubor je pouze jeden a funguje jako trial verze komerčního produktu. Po
vypršení se produkt mění na běžnou nekomerční variantu, nebo je možné jej
zaregistrovat (zaplatit) či odinstalovat.
Zone Alarm vyniká jednoduchým uživatelským rozhraním. Velmi přehledné je
nastavování všech základních funkcí pomocí speciálních „táhel“ s předdefinovanou
úrovní zabezpečení. Pěkné je i to, že obsahuje předdefinované profily pro
nejběžněji se vyskytující aplikace. Jeho nedostatkem je zbrklé blokování
korektního provozu v nejvyšším stupni nastavení ochrany a také občas se
zasekávající schopnost zablokovat veškerý provoz. Zone Alarm je složen z řídící
aplikace a služby True Vector. Pokud dojde k jejímu poškození, pak systém
zablokuje přístup počítače na internet, což se zejména v prostředí Windows 2000
a Windows XP jeví jako komplikovaná, velmi dobře schovaná a tedy obtížně
vyhledatelná porucha počítače.
Kerio Personal Firewall
(www.kerio.cz)
Produkt české společnosti Kerio. V základní verzi je rovněž bezplatný. Po
zakoupení placené verze obdržíme kromě podpory také schopnost blokování reklam a
řízení privátních informací. Blokování reklam je velmi příjemné, je totiž
„optimalizováno“ i na české servery. Firewall je tak schopen „vyřezat“ propagaci
i z běžných webových stránek. Stejně jako v případě Zone Alarmu existuje možnost
vyzkoušet si bezplatně plnou verzi, po uplynutí testovací lhůty jsou pokročilé
funkce deaktivovány. Firewall je vybaven možností stahování aktualizací i na
úrovni betaverze – tedy nehotových testovacích sestavách. Na tuto možnost je ale
třeba dávat pozor. Betaverze jsou časově omezené a po uplynutí časového omezení
verze se firewall stává neúčinným a nechává počítač bez ochrany až do
nainstalování nové, regulérní verze.
Nedostatkem KPF je zejména jeho uživatelské rozhraní. Ačkoliv se oproti Zone
Alarmu jedná v mnoha ohledech o kvalitnější produkt, nevypadá zdaleka tak dobře.
Za určitých okolností (velký počet zapnutých spojení, vysoký síťový provoz)
navíc dochází k zasekávání řídící aplikace (GUI). To je nesmírně nepříjemný a za
určitých okolností i nebezpečný jev.
Jak nainstalovat osobní firewall?
Každý osobní firewall, z nichž nejběžnější v našich podmínkách jsou Zone Alarm a
Kerio Personal Firewall, je dodáván ve formě instalačního souboru, klasického
setupu. Je třeba vědět, že firewall, pokud má být bezpečný, může být POUZE
JEDEN. Pokud chcete snazší nastavování, doporučíme vám Zone Alarm. Pokud žádáte
vyšší bezpečnost, zkuste Kerio Personal Firewall (v obou případech platí pro
neplacené verze). Odinstalujte předchozí osobní firewall jiného výrobce (pokud
jej máte). KPF 4.1.x umí v SP2 detekovat a vypnout Windows Firewall automaticky
při startuKPF, počítač je stálechráněn i během instalace. Při odinstalování KPF
je Windows Firewall znovu automaticky zapnut. Navíc KPF plně spolupracuje s
Windows Security Centrem v SP2. Jestliže používáte některé programy pro měření a
blokování síťového provozu, jako třeba Net Limiter, ukončete jej, aby během
procesu instalace firewallu nebyl v paměti. Taktéž se doporučuje ukončit
aplikace, které masivně komunikují s internetem (platí pro Zone Alarm). V
případě, že máte neaktualizovaný počítač a hrozí riziko, že během instalace
firewallu zůstane bez ochrany vlivem vypnutí předchozího, pak je vhodné jej
rovněž odpojit od sítě.
Nyní můžeme provést samotnou instalaci firewallu. Drtivá většina produktů má
klasického instalačního průvodce. V jeho jednotlivých krocích je možné si
zvolit, kam má být firewall nainstalován, případně které komponenty požadujeme.
Doporučujeme všechny položky nabízené instalátorem ponechat jak jsou, beze
změny, pokud to není nezbytně nutné a vy přesně víte, co změna může způsobit.
Nechte instalační program, aby zavedl váš nový osobní firewall tam, kam míří
jeho výchozí umístění s typickým nastavením komponent – tak, že potvrdíte
všechna okna průvodce tlačítkem „Další“.
Po instalaci
Po nainstalování, které je realizováno standardním procesem, se váš nový osobní
firewall spustí, přičemž může (ale nemusí) být vyžadován restart operačního
systému. Je-li vyžadován, proveďte jej. KPF se v případě každého nainstalovaného
síťového adaptéru ptá, zda je připojen do bezpečné sítě. Pokud je vaše síťová
karta připojena přímo k ISP, pak zvolte ne. Jestliže je součástí podnikového
rozhraní, vyberte ano. U Zone Alarmu následuje proces výběru konkrétního
produktu, který je následován sadou uvítacích obrazovek. Podstatné je skenování,
které má za cíl najít na vašem počítači nainstalované známé (a tedy
kompatibilní) produkty. Na ně se pak ZA nebude ptát. V jeho případě vás však
čeká ještě průvodce, který vás seznámí se základními funkcemi firewallu a zeptá
se, zda chcete používat bezplatnou verzi či vyzkoušet komerční. Pro domácí
použití stačí bezplatná.
Obecná zásada
Pro každý firewall je třeba ze začátku v nějaké míře určit pravidla, jak může, a
jak nesmí komunikovat. Jakmile se nový (neznámý) soubor pokusí připojit jakkoliv
k síti, firewall jej zadrží. O jeho připuštění se rozhodne buď na základě
přednastaveného pravidla (ZA), nebo na základě uživatelského pravidla (ZA i
KPF), nebo na základě obecného pravidla. Pokud neexistuje ani jedno, firewall se
zeptá uživatele. Otázkou zůstává, co se pokouší komunikovat, zda jde o příchozí
nebo odchozí spojení (viz výše) a na kterém portu. Možné odpovědi jsou povolit a
nepovolit, doplňující možnost je vytvořit pravidlo. Pokud vytvoříte pravidlo,
firewall se ve „stejném“ případě znovu nezeptá.
Pozorně si přečtěte, jaký program komunikuje a s kým komunikuje. Internet
Explorer musí komunikovat v místní i v internetové zóně oběma směry a vždy
(pravidlo). Totéž platí i pro další programy, které běžně používáte pro práci s
internetem, jako je Outlook, Outlook Express, ICQ, MSN Messenger a další.
Klienti pro sdílení souborů musí mít povolenou veškerou komunikaci, ale – pozor.
Často jsou s nimi dodávány programy, které komunikují také: to není dobře, pozor
na ně. Pokud si nejste některým programem jisti, zakažte mu komunikaci, ale
nevytvářejte pravidlo. Jestliže něco přestane fungovat, při dalším pokusu jej
povolíte. Aplikace, které by neměly komunikovat, ale jen normálně fungovat v
počítači nepovolujte, protože nevíte, co udělají – s výjimkou těch, které budou
komunikovat v době, kdy se pokouší o aktualizaci a pokud jste tuto aktualizaci
povolili, nebo víte, že je nastavená automaticky. (obrázky vpravo nahoře)
Některé programy komunikují v rámci svého instalačního nebo aktivačního procesu,
ale jinak ne. Těm doporučujeme udělit práva pouze dočasně, tedy bez pravidla.
Komunikuje i operační systém. Některé z jeho procesů to potřebují, jiné nikoliv.
Aktualizaci operačního systému doporučujeme vždy povolit. Jinak je to u zařízení
typu NETBIOS při komunikaci s internetem. Sdílení souborů a tiskáren by mělo být
pro zónu internetu zakázáno (je nejen zdrojem problémů, ale také podstatného
snížení výkonu operačního systému a zatížení internetové linky).
Obecná nastavení bezpečnosti
Pokud to firewall umožňuje, vyberte takové nastavení, které vás nabude omezovat
při práci. V případě Zone Alarmu doporučujeme střední pro internet a nízké pro
bezpečnou zónu. Vysoká bezpečnost totiž znamená neviditelnost vašeho počítače a
s tím spojenou nižší nebo žádnou funkčnost některých služeb. S nastavením lze
experimentovat, najděte si to nejvyšší, při kterém všechno funguje.
Moderní firewally umožňují nastavit obecná pravidla pro každou další aplikaci.
Je dobré nechat nové aplikace komunikovat lokálně (v rámci počítače) bez ptaní,
ale při komunikaci „ven“ nechte nastavení, které se vás bude ptát (je to
bezpečnější). Povolte možnost automatické aktualizace, ale pokud si nejste jisti
tím, co děláte, nepovolujte firewallu stahování betaverzí (respektive jejich
nabízení ke stažení). Jestliže tomu totiž příliš nerozumíte, zkomplikujete si
život.
Systémy ochrany aplikací
Pokud váš firewall používá modul ochrany systému, vyberte si, zda má detekovat
změnu aplikací. Některé aplikace se mění běžně, u jiných je to projev možného
napadení. Pokud ale máte zároveň aktuální antivirový program, pak je výhodnější
nechat funkčnost povolování záměny aplikací vypnutou. (obrázky vlevo dole)
Detekce průniků
Firewally mají své vnitřní seznamy nebezpečné komunikace a obvykle ji třídí do
několika skupin. Blokujte ten nejvyšší typ útoků, při kterém nedojde k omezení
funkcionality. Například „paranoidní“ nastavení KPF znemožňuje korektní provoz
některých běžných funkcí, včetně aktualizace systému Windows. Tím byste svému
systému příliš nepomohli, ba naopak, dost podstatně ublížili. (obrázky vpravo
dole)
Blokování skriptů a další rady
Tyto funkce zvyšují bezpečnost, ale opět podstatně omezují kompatibilitu. Pokud
používáte počítač k běžným činnostem jako surfování, pošta a podobně, nechte
skriptování zapnuté. Blokování vyskakovacích oken (pop up, pop under) má stejný
efekt. Raději nechte tyto funkce jak jsou a používejte alternativní prohlížeč
(www.czilla.cz, www.opera.com).
Jestliže nastavíte špatný filtr pro nějaký program a on v důsledku toho přestane
fungovat, nic se neděje. Otevřete okno firewallu a změňte jeho nastavení, je to
vždy možné. Pokud to nepovažujete za nutné a nevíte, co přesně děláte, pak
určitě neměňte předdefinovaná nastavení firewallu, ono minimalistické
„failsafe“.(obrázky vpravo nahoře)
Pokud firewall umožňuje režim internetové brány, pak jej zapněte jedině za
předpokladu, že váš počítač skutečně je bránou pro další stroje. Necháváte pak
zbytečně běžet něco, co nepotřebujete a co může být zdrojem nepříjemností.
Jestliže firewall „spadne“, v případě KPF je to vada procesu KPF GUI a KPF SS, v
případě Zone Alarmu služby True Vector pak je lepší restartovat počítač.
Firewall samovolně nikdy nevypínejte, i když tuto funkci má. Vypnout jej lze
jedině v případě, že by způsoboval vážnou nestabilitu operačního systému.
Firewall by vždy měl být aktuální. Existují nepříjemné výjimky, ale ty vás
nemusí zajímat. Pokud se nabízí stažení nové verze (u ZA prostřednictvím webu, v
případě KPF přímo), vždy takovou aktualizaci stáhněte. To neplatí pro betaverze
(KPF). Nejste-li odborník, nechte je na pokoji.
Firewall sám o sobě pomáhá blokovat útoky vyvolané chybami OS Windows. Přesto
vaše Windows zejména v případě, že jste připojeni trvalou linkou, musí být stále
aktuální. Používat nelegální verzi, která má zablokovanou aktualizaci, je
hazardem nejen pro vás, ale také pro další uživatele v rámci vaší sítě i
internetu.
Firewall nenahrazuje antivirus. Vždy mějte aktuální antivirový program, který se
s firewallem snese. Doporučujeme zejména produkty typu NOD32, AVAST a AVG v
aktuálních verzích.
Místo závěru
Osobní firewall je pomaleji se kazící zelenina než například antivirový systém.
Přesto je potřeba jej čas od času aktualizovat. Dále je třeba si uvědomit, že
firewall je pouze jednou částí zabezpečení vašeho počítače. Aby byla vaše data a
programy skutečně v bezpečí, potřebujete přinejmenším další dvě. A těmi jsou:
• instalovaný, aktivní a aktuální antivirový systém,
• pravidelně, pokud možno automaticky aktualizovaný počítač.
Teprve když připojíte firewall k těmto dvěma funkcím, dosáhnete stabilního,
funkčního a bezpečného systému, který vám bude místo toho, aby vás připravoval o
nervy, sloužit. 04s0006/jp o
Základní pojmy aneb co bychom měli vědět, než se do firewallu pustíme
Bezpečné a nebezpečné zóny
Pokud pro přístup k internetu nepoužíváte DialUp, pak je váš počítač zřejmě
součástí dvou sítí. Celosvětového internetu, s nímž je spojen pomocí vašeho ISP
a jeho směšovačů provozu, a menší sítě. Ta může být u vás ve firmě, v domě, ve
škole. Pro vnější internet a pro vnitřní síť platí rozdílné bezpečnostní zásady.
Internet je brán jako nebezpečný, riskantní a plný nástrah. Díky tomu je třeba
aplikovat maximální možnou restrikci a zároveň bedlivě sledovat veškerý provoz.
Vnitřní síť, zejména pokud je od internetu oddělena dalšími bezpečnostními
prvky, může být výrazně bezpečnější. Provozuje se na ní více služeb, a to i
takových, které v prostředí nezabezpečeného internetu není vhodné užívat. Mezi
ně patří například některé nástroje pro vzdálenou kontrolu a monitorování sítě,
sdílení prostředků, tedy souborů či tiskáren. Dále pak přímé posílání zpráv mezi
počítači, signali-
zace mezi aplikacemi, které slouží pro spolupráci v rámci podniku nebo třeba jen
domu. Je proto nutné mezi touto vnější, „internetovou“ vrstvou a vnitřní sítí
důsledně rozlišovat. To na jedné straně zachová bezpečnost, na straně druhé může
podstatným způsobem zvýšit celkový výkon systému a síťového rozhraní.
Odchozí a příchozí…
Internetová komunikace je obousměrná, jinak by nemohla fungovat. Obousměrná
komunikace se odehrává vždy, když odesíláte nebo přijímáte e-mail, když načítáte
obyčejnou webovou stránku. Princip je následující:
Zadáte-li požadavek pro webovou stránku (adresu), odesíláte její hodnotu vašemu
DNS serveru (odchozí spojení). Ten zjistí IP adresu daného serveru a pošle vám
ji zpátky (příchozí spojení). Následuje požadavek webovému serveru na nalezené
IP adre-
se (odchozí spojení). Po krátkém čekání, které vám ostatně webový prohlížeč včas
oznámí, začne server na vaši adresu a do vašeho počítače vysílat jednotlivé
komponenty stránky (v rámci odchozího spojení, které inicioval klient). KPF
4.1.x navícobsahuje pokročilejší stavovou inspekci, která se k UDP a ostatním IP
protokolům chová jako ke spojení iniciovanému jednou stranou (podobně jako TCP
spojení). Proto nebude požadovat ani povolení příchozí odpovědi na DNS dotaz (na
základě stavové informace pozná, že se jedná o odpověď na dotaz a povolí ji
sám). I když je vše hotovo a stránka je ve vašem počítači, může dále
komunikovat. Především se některé komponenty aktualizují, mohou přijímat
dodatečná data, realizovat příchozí i odchozí spojení pomocí svých vlastností,
svého kódu a také jednotlivých služeb a komponent samotného webového prohlížeče.
Spojení může být realizováno poměrně veliké množství najednou a všechna slouží k
naplnění potřeb služeb, pro které jsou otevřena.
TEST: Potřebuji osobní firewall?
Test se týká jen těch počítačů, které nejsou součástí centrálně spravovaných
sítí. Tedy těch, které máte doma nebo v malé kanceláři, jež nemá stálého správce
IT.
Otázka 1: Váš počítač je vybaven operačním systémem:
Windows 95/98 1 bod
Windows ME 2 body
Windows 2000 3 body
Windows XP 5 bodů
Otázka 2: Váš počítač je připojen k internetu pomocí:
telefonního připojení nebo ISDN 2 body
mikrovlnného pojítka, GPRS 3 body
ADSL/kabelové televize, CDMA 4 body
T1/T3, jinak vysokorychlostně 5 bodů
Otázka 3: Máte veřejnou IP adresu?
ne 1 bod
ano 3 body
nevím 2 body
Otázka 4: Používáte výměnné systémy (Kazaa apod.)?
ano 3 body
ne 0 bodů
Otázka 5: Aktualizujete pravidelně svůj operační systém (například
prostřednictvím služby Windows Update), nebo máte puštěné automatické
aktualizace?
ano 1 bod
ne 3 body
Výsledek:
5 bodů: Nižší úroveň rizika, zejména máte-li operační systém typu Windows 98.
Pokud používáte internet často, mohli byste o ochraně uvažovat.
6–15 bodů: Střední úroveň rizika typická pro většinu uživatelů. Pokud máte
antivirový systém a svůj počítač pravidelně aktualizujete, bude na internetu bez
firewallu fungovat, vystavujete se však riziku útoku, zneužití vašeho počítače a
vykradení dat.
16–18 bodů: Vyšší riziko: máte zřejmě moderní operační systém a rychlý internet;
máte veřejnou IP adresu a používáte rizikové služby. Pokud jste v nechráněné
síti, pak firewall určitě potřebujete.
19 bodů: Nejvyšší riziko, určitě osobní firewall potřebujete (životnost
nechráněného a nezáplatovaného počítače na internetu je v současnosti v průměru
dvacet minut, než dojde k útoku nebo kolapsu).
Co dokáže osobní firewall?
• monitorovat síťový provoz
• vyhledávat nebezpečné pokusy o komunikaci
• povolovat komunikaci schváleným aplikacím
• blokovat komunikaci neschváleným aplikacím, nebo
aplikacím neschváleného typu
• třídit komunikaci ve vnitřní (bezpečné) a vnější zóně
• identifikovat snahy o napadení aplikace
Co dále umí dělat?
• blokovat reklamu
• blokovat vyskakující okna
• filtrovat nadbytečnou dopravu
• lépe chránit soukromí
• udělat počítač na internetu „neviditelným“
PŘEDPLATNÉ
ČLÁNKY DO MAILU