Osobní firewall dobrý sluha, zrádný pán

V tomto článku se dozvíte proč a jak konfigurovat osobní firewall. I když

použijeme jako příklad pouze dva firewally, informace zde uvedené platí i pro

další produkty.

Špatně nastavená bezpečnost je horší než žádná bezpečnost. I ty nejlepší prvky,

které lze posbírat, se při nekorektní konfiguraci stávají nejen neúčinnými, ale

především nepříjemnými a nebezpečnými součástmi vašeho operačního systému.

Většina současných aplikací, se kterými se běžně setkáváme, je stavěna pro toho

nejjednoduššího uživatele. Pomocí různých expertních režimů a vylepšení ovšem

uspokojí i potřeby toho nejnáročnějšího. Jinak řečeno: nejjednodušší režim

každého dostupného programu je přístupný skutečně každému a poskytuje dostatečnou

paletu základních funkcí, stejně jako minimální korektní „failsafe“ nastavení.

Díky tomu stačí většinu aplikací prostě nainstalovat a ony pak nějak fungují,

což nám nebrání v tom, abychom si je dále nastavovali podle svých představ.

Tento princip je uplatňován i v případě bezpečnostních programů, a to jak

antivirových, tak osobních firewallů. Podívejme se nyní na ty druhé.





Co je to firewall?

Firewall je technicky vzato zeď, která je součástí budovy a funguje jako část

jejího protipožárního zabezpečení. Protipožární stěny mívají zesílenou

konstrukci, jejich hlavním účelem není zabránit požáru, nýbrž jej zastavit a

znemožnit tak jeho další rozšíření i do těch prostor, do nichž se zatím

nedostal.

Název firewall se úspěšně přenesl i do světa IT a protipožární zeď se tak stala

základem zabezpečení prakticky každé současné počítačové sítě připojené k

internetu.

Firewall je hardwarové nebo softwarové zařízení, které tvoří hráz mezi místní

počítačovou sítí a vnějším internetem. Účelem této hráze je chránit počítač nebo

síť před riziky, které pro ni představuje připojení k internetu. Firewall

monitoruje všechny informace, které jsou přenášeny z místní sítě ven a z

internetu dovnitř, analyzuje je a na základě rozhodnutí, zda mohou být

nebezpečné, je může zablokovat. Nebezpečné informace představují samozřejmě

poměrně složitý pojem, a proto si jej upřesněme.

Hlavní rizikové faktory pro firemní nebo domácí síť či třeba pro jediný počítač

představují:

• Komunikace aplikací, které nás mohou špehovat, odesílat obsah našich počítačů

„někam ven“, aniž bychom jim k tomu dali souhlas, nebo představující zadní

vrátka, která může využít případný hacker při útoku do našeho počítače či sítě.

• Komunikace směřující z internetu na ty funkce operačního systému nebo

důvěryhodných instalovaných programů, o nichž víme, že mohou způsobit nesprávné

chování, pád operačního systému, zamrznutí počítače nebo spuštění programu

vpašovaného do počítače či do sítě hackerem, tedy využití bezpečnostních mezer.

• Komunikace jakýchkoliv dalších aplikací, které nejsou schváleny pro práci s

internetem, nebo to není jejich hlavní účel.

• Pokusy o vzdálené vyvolávání služeb (tedy z internetu), které mají být

přístupné pouze z místní sítě. Především se jedná o sdílení souborů a jiných

prostředků jednotlivých počítačů, které může vést k možnosti vykrást informace

obsažené v místní síti.

Úkolem každého firewallu je předchozí (ale i další) rizikové faktory rozpoznat a

zabránit jim. Toho dosahuje několika cestami. Předně, jak jsme si již řekli,

může zablokovat jakýkoliv pokus o komunikaci, který uzná za rizikový. Další

funkcí je také schopnost místní síť nebo počítač z pohledu vnějšího

(internetového) světa zamaskovat. Firewall dokáže skrýt některé vlastnosti

počítačů, především otevřené komunikační porty či jejich pravé IP adresy tak, že

ztíží možnost útoku a funguje jako jeho prevence. Je ovšem třeba poznamenat, že

za cenu možného zhoršení fungování některých aplikací.

Kromě toho dovedou moderní firewally také přesně poznat, kdy dochází k pokusu o

neautorizované proniknutí do chráněné sítě, a nejen ji v takovém případě odpojit

od internetu, ale také přivolat obsluhu či podniknout další protiopatření.





Železo, nebo program?

V předchozí části jsme si popsali, co firewall dělá, a řekli jsme si, že funguje

vlastně jako vrátný v naší síti či počítači, který pustí dovnitř jen toho, o kom

ví, že nám neublíží. Řekli jsme si také, že existují tzv. hardwarové a

softwarové firewally. Softwarový firewall, o němž bude v dnešním článku řeč

především, je aplikace instalovaná do operačního systému běžného počítače. Pro

svou činnost využívá síťové rozhraní tohoto počítače a jeho další prostředky,

především čas procesoru a místo v paměti. Naproti tomu hardwarový firewall je

samostatný přístroj, který má vlastní samostatné síťové rozhraní pro připojení

„vnějšího“ světa, tedy datové linky vedoucí do internetu a do světa „vnitřního“,

do místní sítě. Takový firewall, který se běžně montuje spolu s dalšími

součástmi do tzv. rackových skříní, je vlastně počítač, jehož veškerý výkon je

věnován výhradně filtrování přenesených informací a rozpoznávání útoků.

V případě hardwarového firewallu se jedná o velice sofistikované zařízení.

Přesto je moderním trendem výrobců tyto přístroje slučovat v jedné krabici spolu

s dalšími síťovými prvky. Především jde o systémy zajišťující bezpečné spojení

mezi místními sítěmi napříč internetem (VPN), dále pak síťové směrovače

(routery), přepínače, hardwarové antivirové systémy a podobně.

Je pochopitelné, že zařízení, která tak vznikají, se příliš nehodí do domácnosti

nebo malé domácí sítě. Jejich úkolem je především fungovat jednak ve větších a

složitějších počítačových sítích různých firem a institucí. Stávají se součástí

aktivního síťového vybavení a bývají nezřídka uložena ve speciálních místnostech

společně s různými servery. Jejich velký výkon je předurčuje pro práci tam, kde

dochází k výměně velikého množství důležitých a často drahých informací; tedy

tam, kde je velký datový provoz.

Jestliže máme malou domácí síť s několika počítači a trváme na tom, že

potřebujeme hardwarový firewall, nabízí se cesta použití dedikovaného PC. Jeden

počítač se dvěma síťovými kartami (jedna do internetu, jedna k přepínači domácí

sítě) se obvykle konfiguruje tak, aby fungoval současně jako proxyserver,

mezipaměť, agent pro stahování objemnějších balíků dat a třeba webový a poštovní

server. K tomu postačí kterákoliv modernější distribuce Linuxu nebo například

Windows Server 2003 SBS. Lze tak zajistit dostatečné zabezpečení i pro síť

čítající několik až řádově desítku počítačů. Nevýhodou je, že PC, které funguje

jako server/firewall, již k ničemu dalšímu současně nevyužijeme a bude nám

neustále konzumovat elektrický proud. Jejich použití v domácnostech často brání

i vysoká cena.





Co je to osobní firewall?

Osobní firewall je, zjednodušeně řečeno, aplikace, která se instaluje do

operačního systému vašeho počítače a která se stará o jeho bezpečnost. Zatímco

antivirový program monitoruje soubory, které přicházejí v elektronické poště,

jsou přinášeny na disketách, kompaktech a tokenech nebo dokonce vznikají

činností aplikací, firewall monitoruje síťový provoz. Je vlastně vřazen mezi

síťové a protokolární rozhraní operačního systému, propojené se síťovými

adaptéry, a aplikace, které tyto protokoly používají. Co to znamená? Že veškerý

datový provoz, který přichází do počítače a který z něj odchází, prochází

firewallem. Firewall jej sleduje a porovnává to, co se mezi počítačem a

internetem děje, se svými záznamy. Ty vycházejí jednak z poznatků uložených v

aplikaci již od výroby, jednak z těch, které se aplikace naučila od uživatele.

Na základě tohoto porovnání je firewall schopen rozpoznat regulérní datovou

komunikaci od té, která může pro uživatele a jeho počítač představovat riziko.

Riziková komunikace je pak zablokována, korektní pak normálně propuštěna.

Firewall se pro běžné internetové programy chová tak, že o něm vlastně ani neví,

nekorektním brání v možnostech jakkoliv komunikovat, aniž by s tím mohly cokoliv

udělat. Chová se tak vlastně jako bezpečná brána do internetu.

To byl popis klasického firewallu, ale osobní firewall v počítači toho musí umět

víc. Především je třeba rozlišovat mezi aplikacemi, které z počítače komunikují,

a mezi programy, které se s počítačem pokoušejí komunikovat zvenčí. Pokusy o

útok na počítač mohou vypadat různě. Útočníci se mohou snažit pozměnit aplikace,

které již v operačním systému jsou. Mohou se pokoušet zneužívat známých

bezpečnostních mezer, volných portů a dalších míst v počítači. Moderní operační

systém používá mnoho spuštěných služeb, sloužících pro zajišťování funkcionality

aplikací, které v něm běžně používáme. Zatímco některé z nich musí fungovat,

jiné se mohou stát hrozbou, další přítěží. Osobní firewall mezi nimi rozlišuje.

Některé služby mohou fungovat korektně, ale také mohou být snadno zneužity

zvenčí. Také komunikující aplikace mohou někdy komunikovat korektně a někdy také

nikoliv.





Systém naslouchání a portů

Jak je možné, že z jednoho počítače prostřednictvím jednoho protokolu (TCP/IP) a

síťového adaptéru komunikuje mnoho programů a služeb současně? Je to proto, že

použitý protokol je vícevrstevný. Aby

bylo možné řadit požadavky více aplikací na příchozí i odchozí spo-

jení, je komunikace s internetem organizována na úrovni takzvaných portů. Port

je vlastně jakási „zásuvka“. Pokud chce cokoliv komunikovat, musí určit nejen

protokol a říci, s kým chce komunikovat, ale především určit kód svého portu.

Komunikují spolu pouze takové aplikace, které se domluví na stejném portu. Portů

může v současné nejrozšířenější verzi protokolu být 65 536 a jejich čísla určují

autoři komunikujících aplikací. Některé porty jsou jednoznačně přiřazeny

konkrétním službám, jiné jsou v zásadě pro použití otevřené. Některé aplikace,

především z bezpečnostních důvodů, jsou schopny používat náhodně vybraný port.

Pokud má dojít k příchozímu spojení do počítače, musí na daném portu, na nějž je

spojení směřováno, „čekat“ daná aplikace. Tomu se říká naslouchající port.

Otevřený port pro příchozí spojení je jednak nezbytnou podmínkou, aby bylo možné

je realizovat, jednak ale určitým rizikem. Právě volné porty pro příchozí

spojení představují totiž jedno z hlavních ohrožení.





Odkud přicházíš?

Každý prvek na internetu je identifikován pomocí jednoznačné IP adresy. Protože

IP adres ale není tolik, kolik je prvků, a protože jednotlivé regiony světa mají

přiděleny pouze určité rozsahy, je třeba problém IP adres nějak obejít. To se

děje pomocí „soukromých“ adres. Soukromá (neveřejná) IP adresa slouží k

rozlišování počítačů uvnitř sítě, ke které jste připojeni. Soukromé adresy jsou

pak překládány pomocí systému NAT na veřejné. V důsledku toho se mnoho počítačů

vybavených určitým počtem soukromých IP adres chová ve „vnějším“ internetu jako

jediný stroj s veřejnou adresou. Co to znamená? Že ačkoliv právě IP adresa by

nám měla jednoznačně identifikovat toho, kdo s námi komunikuje, ve skutečnosti

tomu tak být nemusí. Pokud bychom se snažili vypátrat, kdo se s námi pokouší

bavit a odkud přichází, zjistíme jen počítač, který mu zprostředkovává překlad

adres. Díky tomu se může stát, že počítač, který komunikuje s tím naším,

vypátráme pouze po určitý bod a dále to bude problematické nebo dokonce nemožné.



Tento stav ve většině případů nevadí. V některých případech se ale může stát, že

překlad adres a s ním spojené maskování způsobí, že případný útočník je za

clonou, kam za ním není možné jít.

Přesně tento jev lze demonstrovat například na používání výměnných sítí.

Organizace hájící autorská práva se snaží od poskytovatelů připojení k internetu

získávat informace o jejich zákaznících, protože samy je nejsou schopné

vypátrat, mimo jiné díky dobré ochraně. Poskytovatelé připojení zase nemohou

jednat proti zájmům svých zákazníků, respektive jejich osobních údajů. A tak se

jedna z vlastností internetu stává do jisté míry politickým problémem, což je

nepochybně velice zajímavé.





Co je to útok?

Když opomineme škodlivé aplikace, které mohou například instalovat do počítačů

klientů „zadní vrátka“, jejichž komunikace může vést ke kompromitaci zákazníka,

existuje systém pro rozeznání útoků. Základní formou (avšak také běžně

využívanou pro určitý typ aplikací) je skenování portů. Někdo (nějaký program)

testuje jednotlivé porty v počítači podle jejich čísla a názvu služby, která se

za nimi skrývá, a zkoumá, zda by s některou z nich nemohl komunikovat. Kromě

toho se může aplikace pokoušet komunikovat tak, že na zadaný protějšek v

počítači vysílá určité sekvence dat. Služba, která by na většinu sekvencí

nereagovala vůbec nebo by reagovala korektním způsobem, může při určité datové

kombinaci selhat a začít, vlivem své vlastnosti – nebo vlivem chyby softwaru –

reagovat chybně. Tato chybná reakce může snadno stát na počátku velikého

problému, na jehož konci je ztráta dat, kompromitování počítače, instalace

škodlivého kódu nebo začátek odposlouchávání datového provozu. Vzhledem k tomu,

že síťový adaptér zpracovává i veliké množství dat zároveň, je detekce

nebezpečných sekvencí náročná a obtížná, avšak je nevyhnutelná a probíhá

prostřednictvím velmi sofistikovaných metod.



Kde vzít osobní firewall? Jeden najdete ve Windows XP. Service Pack 2 obsahuje

vylepšené funkce.

Nebo si raději pořiďte některý z volně dostupných produktů či nějaký zakupte.



Zone Alarm



(www.zonelabs.com)

Produkt společnosti Zone Labs. Existuje v několika různých verzích. Nejnižší z

nich je bezplatná, vyšší se vyznačuje přítomností pokročilých funkcí. Instalační

soubor je pouze jeden a funguje jako trial verze komerčního produktu. Po

vypršení se produkt mění na běžnou nekomerční variantu, nebo je možné jej

zaregistrovat (zaplatit) či odinstalovat.

Zone Alarm vyniká jednoduchým uživatelským rozhraním. Velmi přehledné je

nastavování všech základních funkcí pomocí speciálních „táhel“ s předdefinovanou

úrovní zabezpečení. Pěkné je i to, že obsahuje předdefinované profily pro

nejběžněji se vyskytující aplikace. Jeho nedostatkem je zbrklé blokování

korektního provozu v nejvyšším stupni nastavení ochrany a také občas se

zasekávající schopnost zablokovat veškerý provoz. Zone Alarm je složen z řídící

aplikace a služby True Vector. Pokud dojde k jejímu poškození, pak systém

zablokuje přístup počítače na internet, což se zejména v prostředí Windows 2000

a Windows XP jeví jako komplikovaná, velmi dobře schovaná a tedy obtížně

vyhledatelná porucha počítače.



Kerio Personal Firewall



(www.kerio.cz)

Produkt české společnosti Kerio. V základní verzi je rovněž bezplatný. Po

zakoupení placené verze obdržíme kromě podpory také schopnost blokování reklam a

řízení privátních informací. Blokování reklam je velmi příjemné, je totiž

„optimalizováno“ i na české servery. Firewall je tak schopen „vyřezat“ propagaci

i z běžných webových stránek. Stejně jako v případě Zone Alarmu existuje možnost

vyzkoušet si bezplatně plnou verzi, po uplynutí testovací lhůty jsou pokročilé

funkce deaktivovány. Firewall je vybaven možností stahování aktualizací i na

úrovni betaverze – tedy nehotových testovacích sestavách. Na tuto možnost je ale

třeba dávat pozor. Betaverze jsou časově omezené a po uplynutí časového omezení

verze se firewall stává neúčinným a nechává počítač bez ochrany až do

nainstalování nové, regulérní verze.

Nedostatkem KPF je zejména jeho uživatelské rozhraní. Ačkoliv se oproti Zone

Alarmu jedná v mnoha ohledech o kvalitnější produkt, nevypadá zdaleka tak dobře.

Za určitých okolností (velký počet zapnutých spojení, vysoký síťový provoz)

navíc dochází k zasekávání řídící aplikace (GUI). To je nesmírně nepříjemný a za

určitých okolností i nebezpečný jev.



Jak nainstalovat osobní firewall?

Každý osobní firewall, z nichž nejběžnější v našich podmínkách jsou Zone Alarm a

Kerio Personal Firewall, je dodáván ve formě instalačního souboru, klasického

setupu. Je třeba vědět, že firewall, pokud má být bezpečný, může být POUZE

JEDEN. Pokud chcete snazší nastavování, doporučíme vám Zone Alarm. Pokud žádáte

vyšší bezpečnost, zkuste Kerio Personal Firewall (v obou případech platí pro

neplacené verze). Odinstalujte předchozí osobní firewall jiného výrobce (pokud

jej máte). KPF 4.1.x umí v SP2 detekovat a vypnout Windows Firewall automaticky

při startuKPF, počítač je stálechráněn i během instalace. Při odinstalování KPF

je Windows Firewall znovu automaticky zapnut. Navíc KPF plně spolupracuje s

Windows Security Centrem v SP2. Jestliže používáte některé programy pro měření a

blokování síťového provozu, jako třeba Net Limiter, ukončete jej, aby během

procesu instalace firewallu nebyl v paměti. Taktéž se doporučuje ukončit

aplikace, které masivně komunikují s internetem (platí pro Zone Alarm). V

případě, že máte neaktualizovaný počítač a hrozí riziko, že během instalace

firewallu zůstane bez ochrany vlivem vypnutí předchozího, pak je vhodné jej

rovněž odpojit od sítě.

Nyní můžeme provést samotnou instalaci firewallu. Drtivá většina produktů má

klasického instalačního průvodce. V jeho jednotlivých krocích je možné si

zvolit, kam má být firewall nainstalován, případně které komponenty požadujeme.

Doporučujeme všechny položky nabízené instalátorem ponechat jak jsou, beze

změny, pokud to není nezbytně nutné a vy přesně víte, co změna může způsobit.

Nechte instalační program, aby zavedl váš nový osobní firewall tam, kam míří

jeho výchozí umístění s typickým nastavením komponent – tak, že potvrdíte

všechna okna průvodce tlačítkem „Další“.



Po instalaci

Po nainstalování, které je realizováno standardním procesem, se váš nový osobní

firewall spustí, přičemž může (ale nemusí) být vyžadován restart operačního

systému. Je-li vyžadován, proveďte jej. KPF se v případě každého nainstalovaného

síťového adaptéru ptá, zda je připojen do bezpečné sítě. Pokud je vaše síťová

karta připojena přímo k ISP, pak zvolte ne. Jestliže je součástí podnikového

rozhraní, vyberte ano. U Zone Alarmu následuje proces výběru konkrétního

produktu, který je následován sadou uvítacích obrazovek. Podstatné je skenování,

které má za cíl najít na vašem počítači nainstalované známé (a tedy

kompatibilní) produkty. Na ně se pak ZA nebude ptát. V jeho případě vás však

čeká ještě průvodce, který vás seznámí se základními funkcemi firewallu a zeptá

se, zda chcete používat bezplatnou verzi či vyzkoušet komerční. Pro domácí

použití stačí bezplatná.

Obecná zásada

Pro každý firewall je třeba ze začátku v nějaké míře určit pravidla, jak může, a

jak nesmí komunikovat. Jakmile se nový (neznámý) soubor pokusí připojit jakkoliv

k síti, firewall jej zadrží. O jeho připuštění se rozhodne buď na základě

přednastaveného pravidla (ZA), nebo na základě uživatelského pravidla (ZA i

KPF), nebo na základě obecného pravidla. Pokud neexistuje ani jedno, firewall se

zeptá uživatele. Otázkou zůstává, co se pokouší komunikovat, zda jde o příchozí

nebo odchozí spojení (viz výše) a na kterém portu. Možné odpovědi jsou povolit a

nepovolit, doplňující možnost je vytvořit pravidlo. Pokud vytvoříte pravidlo,

firewall se ve „stejném“ případě znovu nezeptá.

Pozorně si přečtěte, jaký program komunikuje a s kým komunikuje. Internet

Explorer musí komunikovat v místní i v internetové zóně oběma směry a vždy

(pravidlo). Totéž platí i pro další programy, které běžně používáte pro práci s

internetem, jako je Outlook, Outlook Express, ICQ, MSN Messenger a další.

Klienti pro sdílení souborů musí mít povolenou veškerou komunikaci, ale – pozor.

Často jsou s nimi dodávány programy, které komunikují také: to není dobře, pozor

na ně. Pokud si nejste některým programem jisti, zakažte mu komunikaci, ale

nevytvářejte pravidlo. Jestliže něco přestane fungovat, při dalším pokusu jej

povolíte. Aplikace, které by neměly komunikovat, ale jen normálně fungovat v

počítači nepovolujte, protože nevíte, co udělají – s výjimkou těch, které budou

komunikovat v době, kdy se pokouší o aktualizaci a pokud jste tuto aktualizaci

povolili, nebo víte, že je nastavená automaticky. (obrázky vpravo nahoře)

Některé programy komunikují v rámci svého instalačního nebo aktivačního procesu,

ale jinak ne. Těm doporučujeme udělit práva pouze dočasně, tedy bez pravidla.

Komunikuje i operační systém. Některé z jeho procesů to potřebují, jiné nikoliv.

Aktualizaci operačního systému doporučujeme vždy povolit. Jinak je to u zařízení

typu NETBIOS při komunikaci s internetem. Sdílení souborů a tiskáren by mělo být

pro zónu internetu zakázáno (je nejen zdrojem problémů, ale také podstatného

snížení výkonu operačního systému a zatížení internetové linky).



Obecná nastavení bezpečnosti

Pokud to firewall umožňuje, vyberte takové nastavení, které vás nabude omezovat

při práci. V případě Zone Alarmu doporučujeme střední pro internet a nízké pro

bezpečnou zónu. Vysoká bezpečnost totiž znamená neviditelnost vašeho počítače a

s tím spojenou nižší nebo žádnou funkčnost některých služeb. S nastavením lze

experimentovat, najděte si to nejvyšší, při kterém všechno funguje.

Moderní firewally umožňují nastavit obecná pravidla pro každou další aplikaci.

Je dobré nechat nové aplikace komunikovat lokálně (v rámci počítače) bez ptaní,

ale při komunikaci „ven“ nechte nastavení, které se vás bude ptát (je to

bezpečnější). Povolte možnost automatické aktualizace, ale pokud si nejste jisti

tím, co děláte, nepovolujte firewallu stahování betaverzí (respektive jejich

nabízení ke stažení). Jestliže tomu totiž příliš nerozumíte, zkomplikujete si

život.



Systémy ochrany aplikací

Pokud váš firewall používá modul ochrany systému, vyberte si, zda má detekovat

změnu aplikací. Některé aplikace se mění běžně, u jiných je to projev možného

napadení. Pokud ale máte zároveň aktuální antivirový program, pak je výhodnější

nechat funkčnost povolování záměny aplikací vypnutou. (obrázky vlevo dole)



Detekce průniků

Firewally mají své vnitřní seznamy nebezpečné komunikace a obvykle ji třídí do

několika skupin. Blokujte ten nejvyšší typ útoků, při kterém nedojde k omezení

funkcionality. Například „paranoidní“ nastavení KPF znemožňuje korektní provoz

některých běžných funkcí, včetně aktualizace systému Windows. Tím byste svému

systému příliš nepomohli, ba naopak, dost podstatně ublížili. (obrázky vpravo

dole)



Blokování skriptů a další rady

Tyto funkce zvyšují bezpečnost, ale opět podstatně omezují kompatibilitu. Pokud

používáte počítač k běžným činnostem jako surfování, pošta a podobně, nechte

skriptování zapnuté. Blokování vyskakovacích oken (pop up, pop under) má stejný

efekt. Raději nechte tyto funkce jak jsou a používejte alternativní prohlížeč

(www.czilla.cz, www.opera.com).

Jestliže nastavíte špatný filtr pro nějaký program a on v důsledku toho přestane

fungovat, nic se neděje. Otevřete okno firewallu a změňte jeho nastavení, je to

vždy možné. Pokud to nepovažujete za nutné a nevíte, co přesně děláte, pak

určitě neměňte předdefinovaná nastavení firewallu, ono minimalistické

„failsafe“.(obrázky vpravo nahoře)

Pokud firewall umožňuje režim internetové brány, pak jej zapněte jedině za

předpokladu, že váš počítač skutečně je bránou pro další stroje. Necháváte pak

zbytečně běžet něco, co nepotřebujete a co může být zdrojem nepříjemností.

Jestliže firewall „spadne“, v případě KPF je to vada procesu KPF GUI a KPF SS, v

případě Zone Alarmu služby True Vector pak je lepší restartovat počítač.

Firewall samovolně nikdy nevypínejte, i když tuto funkci má. Vypnout jej lze

jedině v případě, že by způsoboval vážnou nestabilitu operačního systému.

Firewall by vždy měl být aktuální. Existují nepříjemné výjimky, ale ty vás

nemusí zajímat. Pokud se nabízí stažení nové verze (u ZA prostřednictvím webu, v

případě KPF přímo), vždy takovou aktualizaci stáhněte. To neplatí pro betaverze

(KPF). Nejste-li odborník, nechte je na pokoji.

Firewall sám o sobě pomáhá blokovat útoky vyvolané chybami OS Windows. Přesto

vaše Windows zejména v případě, že jste připojeni trvalou linkou, musí být stále

aktuální. Používat nelegální verzi, která má zablokovanou aktualizaci, je

hazardem nejen pro vás, ale také pro další uživatele v rámci vaší sítě i

internetu.

Firewall nenahrazuje antivirus. Vždy mějte aktuální antivirový program, který se

s firewallem snese. Doporučujeme zejména produkty typu NOD32, AVAST a AVG v

aktuálních verzích.





Místo závěru

Osobní firewall je pomaleji se kazící zelenina než například antivirový systém.

Přesto je potřeba jej čas od času aktualizovat. Dále je třeba si uvědomit, že

firewall je pouze jednou částí zabezpečení vašeho počítače. Aby byla vaše data a

programy skutečně v bezpečí, potřebujete přinejmenším další dvě. A těmi jsou:

• instalovaný, aktivní a aktuální antivirový systém,

• pravidelně, pokud možno automaticky aktualizovaný počítač.

Teprve když připojíte firewall k těmto dvěma funkcím, dosáhnete stabilního,

funkčního a bezpečného systému, který vám bude místo toho, aby vás připravoval o

nervy, sloužit. 04s0006/jp o



Základní pojmy aneb co bychom měli vědět, než se do firewallu pustíme



Bezpečné a nebezpečné zóny

Pokud pro přístup k internetu nepoužíváte DialUp, pak je váš počítač zřejmě

součástí dvou sítí. Celosvětového internetu, s nímž je spojen pomocí vašeho ISP

a jeho směšovačů provozu, a menší sítě. Ta může být u vás ve firmě, v domě, ve

škole. Pro vnější internet a pro vnitřní síť platí rozdílné bezpečnostní zásady.

Internet je brán jako nebezpečný, riskantní a plný nástrah. Díky tomu je třeba

aplikovat maximální možnou restrikci a zároveň bedlivě sledovat veškerý provoz.

Vnitřní síť, zejména pokud je od internetu oddělena dalšími bezpečnostními

prvky, může být výrazně bezpečnější. Provozuje se na ní více služeb, a to i

takových, které v prostředí nezabezpečeného internetu není vhodné užívat. Mezi

ně patří například některé nástroje pro vzdálenou kontrolu a monitorování sítě,

sdílení prostředků, tedy souborů či tiskáren. Dále pak přímé posílání zpráv mezi

počítači, signali-

zace mezi aplikacemi, které slouží pro spolupráci v rámci podniku nebo třeba jen

domu. Je proto nutné mezi touto vnější, „internetovou“ vrstvou a vnitřní sítí

důsledně rozlišovat. To na jedné straně zachová bezpečnost, na straně druhé může

podstatným způsobem zvýšit celkový výkon systému a síťového rozhraní.



Odchozí a příchozí…

Internetová komunikace je obousměrná, jinak by nemohla fungovat. Obousměrná

komunikace se odehrává vždy, když odesíláte nebo přijímáte e-mail, když načítáte

obyčejnou webovou stránku. Princip je následující:

Zadáte-li požadavek pro webovou stránku (adresu), odesíláte její hodnotu vašemu

DNS serveru (odchozí spojení). Ten zjistí IP adresu daného serveru a pošle vám

ji zpátky (příchozí spojení). Následuje požadavek webovému serveru na nalezené

IP adre-

se (odchozí spojení). Po krátkém čekání, které vám ostatně webový prohlížeč včas

oznámí, začne server na vaši adresu a do vašeho počítače vysílat jednotlivé

komponenty stránky (v rámci odchozího spojení, které inicioval klient). KPF

4.1.x navícobsahuje pokročilejší stavovou inspekci, která se k UDP a ostatním IP

protokolům chová jako ke spojení iniciovanému jednou stranou (podobně jako TCP

spojení). Proto nebude požadovat ani povolení příchozí odpovědi na DNS dotaz (na

základě stavové informace pozná, že se jedná o odpověď na dotaz a povolí ji

sám). I když je vše hotovo a stránka je ve vašem počítači, může dále

komunikovat. Především se některé komponenty aktualizují, mohou přijímat

dodatečná data, realizovat příchozí i odchozí spojení pomocí svých vlastností,

svého kódu a také jednotlivých služeb a komponent samotného webového prohlížeče.

Spojení může být realizováno poměrně veliké množství najednou a všechna slouží k

naplnění potřeb služeb, pro které jsou otevřena.





TEST: Potřebuji osobní firewall?



Test se týká jen těch počítačů, které nejsou součástí centrálně spravovaných

sítí. Tedy těch, které máte doma nebo v malé kanceláři, jež nemá stálého správce

IT.



Otázka 1: Váš počítač je vybaven operačním systémem:

Windows 95/98 1 bod

Windows ME 2 body

Windows 2000 3 body

Windows XP 5 bodů



Otázka 2: Váš počítač je připojen k internetu pomocí:

telefonního připojení nebo ISDN 2 body

mikrovlnného pojítka, GPRS 3 body

ADSL/kabelové televize, CDMA 4 body

T1/T3, jinak vysokorychlostně 5 bodů



Otázka 3: Máte veřejnou IP adresu?

ne 1 bod

ano 3 body

nevím 2 body



Otázka 4: Používáte výměnné systémy (Kazaa apod.)?

ano 3 body

ne 0 bodů



Otázka 5: Aktualizujete pravidelně svůj operační systém (například

prostřednictvím služby Windows Update), nebo máte puštěné automatické

aktualizace?

ano 1 bod

ne 3 body



Výsledek:

5 bodů: Nižší úroveň rizika, zejména máte-li operační systém typu Windows 98.

Pokud používáte internet často, mohli byste o ochraně uvažovat.



6–15 bodů: Střední úroveň rizika typická pro většinu uživatelů. Pokud máte

antivirový systém a svůj počítač pravidelně aktualizujete, bude na internetu bez

firewallu fungovat, vystavujete se však riziku útoku, zneužití vašeho počítače a

vykradení dat.

16–18 bodů: Vyšší riziko: máte zřejmě moderní operační systém a rychlý internet;

máte veřejnou IP adresu a používáte rizikové služby. Pokud jste v nechráněné

síti, pak firewall určitě potřebujete.



19 bodů: Nejvyšší riziko, určitě osobní firewall potřebujete (životnost

nechráněného a nezáplatovaného počítače na internetu je v současnosti v průměru

dvacet minut, než dojde k útoku nebo kolapsu).



Co dokáže osobní firewall?



• monitorovat síťový provoz

• vyhledávat nebezpečné pokusy o komunikaci

• povolovat komunikaci schváleným aplikacím

• blokovat komunikaci neschváleným aplikacím, nebo

aplikacím neschváleného typu

• třídit komunikaci ve vnitřní (bezpečné) a vnější zóně

• identifikovat snahy o napadení aplikace



Co dále umí dělat?

• blokovat reklamu

• blokovat vyskakující okna

• filtrovat nadbytečnou dopravu

• lépe chránit soukromí

• udělat počítač na internetu „neviditelným“