Počítač jako pevnost

O tom, že problematika zabezpečení domácích počítačů či malých domácích sítí,
jež disponují připojením k internetu, je věcí více než aktuální, jsme v PC

WORLDu již psali nejednou. Události posledního půlroku jasně dokládají, že

dříve jen libůstka opravdových fandů PC či koníček excentrických specialistů se

proměňuje v téměř existenční nutnost: bez ohledu na vaše uživatelské znalosti

bezpečnostních či síťových technologií tak nadále rostou nároky na aktivní

obranu proti sílícím hrozbám. Stejně jako v každé jiné nelítostné džungli zde

platí, že není nezúčastněných či neutrálních stran: buďto budete při využívání

i těch nejpomalejších internetových linek nanejvýš obezřetní a učiníte alespoň

základní kroky pro svou obranu, nebo budete riskovat, že bloumající internetoví

dravci a vetřelci snadno zavětří kořist v podobě vašeho pevného disku a

operačního systému.

Předchozí řádky ve vás možná vyvolaly pocit, že nezbytnou nutností je náročná

investice či nadprůměrně vysoká znalost potřebných technologií. V následujících

odstavcích bychom rádi tyto obavy rozptýlili. V první řadě je potřeba si

uvědomit nejdůležitější zásadu: nemusím mít nejlépe zabezpečenou síť či počítač

v celém internetu. Ale mé zabezpečení musí být alespoň o stupínek lepší, než u

většiny ostatních. Útočník si pak při zevrubném průzkumu vybere snadnější

kořist a obětí se stane počítač uživatele, jenž situaci podcenil či ignoroval.

Ale to vy přeci nebudete!

V následujících odstavcích totiž naleznete několik typických situací a postupů,

jež vám pomohou krok za krokem zabezpečit váš domácí počítač či malou síť, jež

nedisponuje speciálními servery či náročnými hardwarovými ochrannými prvky.

Ukážeme si, že i s nasazením minimálních investic a přiměřeného úsilí lze

značně zvýšit laťku bezpečnosti stávajících operačních systémů, a posunout tak

vaše stroje do řad nesnadných potenciálních obětí. Námi popsané scénáře

zohledňují různé typy internetových připojení a jim odpovídajících konfigurací

a představují jedny z nejběžnějších modelů, jež se v běžných, počítačem

vybavených domácnostech či firmičkách vyskytují. Pokud je pro vás síťová a

bezpečnostní problematika koníčkem a jste pokročilejšími znalci, berte prosím

naše ukázky a návody jako základní a výchozí materiál, na němž lze dále stavět.

Důležité je pochopitelně zvládnout principy, jež lze nadále rozvíjet.

Situace, jež jsou v následujících odstavcích zařazeny a popsány, jsme rozdělili

dle způsobu, jímž je využívána internetová přípojka. Naleznete zde model

nejjednodušší, kterým je dnes určitě jediný počítač s tradiční vytáčenou linkou

a „klasickým“ analogovým modemem, složitější situaci s jediným počítačem pro

pokročilejší uživatele, a samozřejmě komplikovanější řešení, při nichž dochází

ke sdílení internetové linky vícero počítači v malé síti. Při realizaci různých

zapojení vřele doporučujeme postupovat dle chápání předkládané látky nejste-li

si u komplikovanější síťové architektury zcela jisti, co vlastně spouštíte,

raději se poraďte se zkušenějším uživatelem či si alespoň přečtěte článek

znovu, neboť jak jsme již uvedli, potenciální útočníci se falešným sentimentem

a shovívavostí v žádném případě nezdržují.

Na závěr úvodního pojednání bychom rádi zařadili jedno důležité upozornění.

Námi poskytnuté návody nemohou, podobně jako žádné jinde uveřejněné postupy či

rady, zaručit stoprocentní bezpečnost vašeho počítače a sítě! Nespoléhejte jen

na popsané konfigurace, neboť nic není absolutní, což v oblasti počítačové

bezpečnosti platí trojnásob! Snažte se i nadále vstřebávat informace a novinky,

a především pečlivě sledujte, jak se váš operační systém chová. V případě

nejistoty nelitujte námahy a čas od času si sežeňte znalého uživatele, jenž vám

poradí či konfiguraci třeba zkontroluje. A je-li vaší filozofií to, že domácí

počítač je pracovní nástroj a bezpečnost vás nezajímá, odborník by k vám měl

jistě najít cestu.





Scénář č. 1

Struktura zapojení: jediný počítač připojený k internetu

Typ internetové linky: vytáčená (dial-up) linka

Vybavení: jen OS Windows XP

Cenové nároky: jen licence na OS

Nároky na znalosti uživatele: nízké



Ne náhodou stojí na prvním místě tento v podstatě nejjednodušší postup a návod,

jak zabezpečit internetové připojení. Jednou z největších výhod je, že budeme

při konfiguraci využívat pouze komponentu operačního systému, a nebude potřeba

instalovat žádný dodatečný software či hardware.

Ihned na počátku je potřeba zdůraznit některá zásadní fakta. To, že se jedná o

konfiguračně poměrně nenáročnou záležitost, neznamená, že by šlo o řešení

primitivní, neřku-li nefunkční. Komponenta, o níž bude řeč, je poměrně zdařilá

a velmi dobře dokáže odvést svou práci. A vzápětí dodáváme veledůležité

upozornění: tato metoda ochrany je minimálním nezbytným postupem, jejž nejen

můžete, ale nejlépe musíte nastavit pro to, aby váš počítač byl chráněn! Opět

se nenechte zmást faktem, že jde „pouze“ o součást Windows XP. Rozdíl mezi

nechráněným počítačem a strojem, jehož zabezpečení si vzápětí ukážeme, je

propastný!

Klíčovou funkcionalitu, o níž bude řeč, zajišťuje komponenta Internet

Connection Firewall (ICF, Brána Firewall pro připojení k internetu), jež chrání

síťová připojení. Je důležité si uvědomit, že tato vymoženost je dostupná pouze

uživatelům Windows XP (a případně Windows 2003 Serveru, jehož použití ovšem

doma nepředpokládáme), a pokud pracujete se starší variantou Windows, budete

nuceni zvolit některé z následujících řešení. ICF je k dispozici jednotlivě pro

každé síťové rozhraní, jež operační systém používá, a to jak v případě

nainstalovaných síťových karet (což doma nemusí být typické), tak především v

případě telefonických připojení k internetu. Umístění této funkce přímo na

jednotlivých síťových rozhraních má pochopitelně svou logiku: zabezpečení tak

„sedí“ přímo u „vstupních dveří“ do vašeho počítače a provoz je striktně

kontrolován co nejdříve.

V souvislosti s dříve popsanou koncepcí naleznete konfiguraci ICF ve složce či

pod Ovládacím panelem Síťová připojení. Zde je potřeba vybrat odpovídající

síťové rozhraní, jež chceme chránit tedy v našem případě telefonické připojení

k internetu a přejít pomocí stisku pravého tlačítka myši na volbu Vlastnosti.

Potřebné ovládání najdete na kartě Upřesnit.

Pomocí jediného zaškrtávacího pole v horní části karty dosáhnete zapnutí ICF.

Je důležité si uvědomit dopad tohoto kroku na funkcionalitu systému a síťové

komunikace: veškerý tok dat bude od této chvíle pomocí vestavěného firewallu

důsledně kontrolován. Požadavky aplikací, jež budou zasílány z vašeho počítače

přes síťové rozhraní směrem „ven“, tedy třeba do internetu, budou propouštěny,

a co je velmi důležité, systém si také počká na případné odpovědi a propustí je

dovnitř. Tento postup (říkáme, že firewall je stavový) je naprosto nezbytný,

neboť typická internetová komunikace probíhá právě způsobem požadavek-příslušná

odpověď, na což bere ICF ohled, takže se nemusíte bát, že užitečný a vámi

požadovaný provoz by ustal. Na druhou stranu, veškeré požadavky, jež budou

vzneseny ze strany internetu směrem na váš počítač, budou v dosud popsané

konfiguraci zahozeny a váš stroj bude zvenčí nedostupný. Pokud jste běžnými

uživateli základních internetových služeb (WWW, elektronická pošta), je pro vás

toto nastavení dostačující.

Mohou však nastat situace, kdy popsaný postup „vše ven, nic dovnitř“ nebude

vyhovovat. Jednou z typických možností je využití funkce Vzdálená plocha, kdy

budete chtít odněkud ze sítě vzdáleně ovládat svůj počítač. Protože spojení je

iniciováno zvenčí, ICF vše zablokuje, a proto je potřeba nastavení zjemnit.

Poslouží nám tlačítko Nastavení na dolním okraji karty

Upřesnit, a následně karta Služby v otevřeném dialogovém okně.

Naleznete zde seznam nejtypičtějších služeb, jež můžete opět jediným

zaškrtnutím zpřístupnit pro uživatele přistupující z internetu na váš počítač.

Krom již zmíněné Vzdálené plochy jsou zde např. volby pro webový server či

poštovní server. Protože zde uvedený skromný seznam zdaleka nezahrnuje všechny

běžně používané protokoly, je někdy potřeba využít tlačítko Přidat a protokol

pro danou službu ručně specifikovat. Tento postup je žádoucí např. u některých

chatovacích aplikací (ICQ apod.), ale typicky též u nástrojů na sdílení

digitálního obsahu, jako je třeba Direct Connect. Zde je namístě upozornit, že

takového otevření „vstupních dveří“ může mít vážné následky, a proto buďte

opatrní.

V otevřeném dialogu nám ICF nabízí ještě dvě karty pro upřesnění nastavení.

Protokolování zabezpečení slouží k nastavení, zdali se provoz firewallu bude

podrobně zaznamenávat do seznamu událostí (logu), a karta ICMP umožňuje povolit

zasílání zpráv tohoto pomocného diagnostického protokolu. Pokud netušíte, co

ICMP je, nic nepovolujte jen pro vaši informaci, slouží např. k zasílání zpráv

pomocí příkazu PING, a v případě chybného nastavení umožňuje realizovat útoky,

jež váš operační systém mohou přinejmenším shodit a restartovat.

Několika málo výše uvedenými kroky jsme udělali nezbytné minimum pro naši

síťovou bezpečnost, jež představuje slušný kompromis mezi náročností na obsluhu

a mírou zabezpečení. Pochopitelně buďte obezřetní, neboť ICF neřeší zdaleka

vše, jak se dozvíte dále.

Tip na závěr scénáře: pozorně sledujte vývoj změn operačního systému Windows

XP. Společnost Microsoft připravuje v rámci chystaného aktualizačního balíku

Service Pack 2 poměrně zásadní změny a vylepšení, jež funkci Internet

Connection Firewallu nadále rozšíří.





Scénář č. 2

Struktura zapojení: jediný počítač připojený k internetu

Typ internetové linky: vytáčená (dial-up) linka, ADSL či kabelový rozvod

Vybavení: OS Windows a personální firewall

Cenové nároky: od 0 Kč po cca 3 000 Kč

Nároky na znalosti uživatele: nízké až střední



Ačkoliv výše popsaný postup s využitím ICF nabízí základní míru zabezpečení,

jeho možnosti mohou být brzy vyčerpány. Typickým případem je situace, kdy

nedisponujete operačním systémem Windows XP, ale jinou, starší verzí. Další

vážnou okolností, jež nabádá k využití dodatečných prostředků, je poměrně hrubý

postup vestavěného firewallu: povolení přístupu do internetu a prohlížení

webových stránek samo o sobě může znamenat velmi vážné riziko, neboť nebezpečí

číhá např. při stahování souborů či odesílání dat pomocí různých formulářů a

dotazníků.

Chcete-li posílit svou ochranu a zároveň výrazně rozšířit možnosti konfigurace

při kontrole síťového provozu v obou směrech, nastal pravý čas pro nasazení

některého z řešení, jež bývají často zjednodušeně nazývána jako osobní

(personal) firewall. Jedná se o program (či kolekci programů), jenž je

instalován běžnou cestou do prostředí Windows a následně nabízí řadu funkcí.

Zde je chvíle pro důležité upozornění: budete-li využívat jakýkoliv nástroj

tohoto druhu, vypněte před jeho zprovozněním funkci ICF (viz výše), neboť by

mohlo docházet k nežádoucím konfliktům.

Velmi dobrým příkladem tohoto typu aplikace je Norton Internet Security na ni

narazíte v tomto čísle rovněž v rubrice Software, a to v podobě recenze. Balík

je určen speciálně domácím uživatelům a nabízí širokou škálu ochranných

mechanismů, často na poměrně luxusní úrovni. Především je důležité pochopit, že

takovýto program hlídá komunikaci velmi jemně: můžete nejen říci, že povolíte

prohlížení WWW stránek či zasílání e-mailů, ale také jasně říkáte, které

aplikace to budou dělat, čímž striktně kontrolujete i odchozí provoz. Krom více

než plnohodnotné náhrady funkce ICF jsou zde k nalezení další možnosti, jako

třeba Detekce narušení, jež dovoluje rychle započít obranu proti pokusům o útok

z internetu, a velmi zásadní je dále Ochrana osobních údajů, zabraňující

nechtěnému odeslání privátních a citlivých informací do sítě (např. PIN

kreditních karet, různá hesla, soukromá telefonní čísla apod.). Velmi praktická

je v současné době též ochrana proti nevyžádané poště (antispam) či třeba

blokování otravných reklamních oken v prohlížečích webových stránek.



Nastavení Norton Internet Security (a dalších podobných aplikací) probíhá v

několika fázích. Po instalaci je potřeba aplikaci říci, které nástroje pro

přístup do internetu hodláte používat a co jim povolíte, a následně při běžném

využívání toto dále zpřesňovat. Pro běžný provoz doporučujeme propustit alespoň

prohlížeč (např. MS Internet Explorer či Operu) na portech TCP 80 a 443, dále

poštovní program (např. Eudora či Outlook Express) na portech TCP 25, 110 a 143

a samotný operační systém Windows na portu UDP 53 (pro překlad jmen pomocí

DNS). V případě dalších funkcí, jako je třeba ochrana osobních údajů, je

samozřejmě potřeba provádět další konfiguraci v podobě „nakrmení“ aplikace

citlivými informacemi, jež chceme chránit na tento fakt nikdy nezapomínejte,

neboť jinak nemůže ochrana plnohodnotně pracovat!

Na základě shodných principů a s velmi obdobným ovládáním pracují i produkty

dalších výrobců. Často je spojuje jedna význačná vlastnost: základní funkce,

jež jsou srovnatelné s ICF ve Windows XP, jsou nabízeny zdarma (např. u Zone

Alarmu či Kerio Personal Firewallu), a rozšířené a dodatečné vymoženosti, jako

kontrola soukromí či detekce narušení, jsou zpoplatňovány. Z toho, co jsme

popsali, je zřejmé, že aplikace typu osobní firewall je zásadním posílením

bezpečnosti a významným rozšířením funkcionality. Z těchto důvodů vřele

doporučujeme se s některým z nich blíže seznámit a zprovoznit jej alespoň v

bezplatné verzi, ve formě základního firewallu. Ačkoliv nastavení většiny

těchto nástrojů již vyžaduje jakési minimální znalosti, investovaný čas se

vyplatí.

Tip na závěr scénáře: pokud vládnete alespoň základy anglického jazyka, velmi

pěkné aktuální srovnání osobních firewallů naleznete na stránce

www.securityfocus.com/infocus/1750.



Scénář č. 3

Struktura zapojení: malá síť s hardwarově sdíleným připojením k internetu

Typ internetové linky: ADSL či kabelový rozvod

Vybavení: OS Windows a hardwarový modem/router/firewall

Cenové nároky: od cca 2 000 po cca 7 000 Kč

Nároky na znalosti uživatele: střední až vysoké



V případě, že vaše síťové prostředí je tvořeno hned několika počítači, jež

sdílejí rychlejší internetovou přípojku, je potřeba vyřešit jak bezpečnost celé

sítě jako takové, tak zabezpečení jednotlivých počítačů. Ochranu je možno

definovat na několika úrovních v závislosti na konkrétní konfiguraci, takže si

popíšeme různé možnosti.

Jedna z variant může zahrnovat internetové přístupové zařízení, jež nedisponuje

žádnými či téměř žádnými možnostmi zabezpečení, jako je tomu např. u ADSL

modemu Alcatel Speed Touch Home (dodáván v loňském roce se základní variantou

ADSL) či u řady kabelových modemů. Následné rozbočení sítě a poskytnutí

přístupu vícero počítačům může být realizováno podobně jako v naší

experimentální sítí třeba hardwarovým integrovaným zařízením, jako je poměrně

jednoduchá 3COM OfficeConnect Cable/DSL Gateway 3C857 zahrnuje v sobě jak

přepínač (pro 4 PC), tak základní firewall, a dokáže zajistit první úroveň

ochrany na centrálním přístupu k internetu.

Zabudované mechanismy lze považovat za mírně pokročilé: uživatel může buďto

příchozí komunikaci zcela zakázat, což je výchozí varianta, nebo využít

speciálně definovaných pravidel k propuštění požadovaných typů provozu do své

vnitřní sítě (typicky ICQ, zasílání pošty, Vzdálená plocha atd.). Zásadní

výhodou je, že takto vložený hardwarový prvek dokáže většinu nežádoucí

komunikace, přicházející z internetu, odrazit již v jakési „předsunuté pozici“,

a samotné počítače jsou tak chráněny od první vlny nebezpečného provozu.

Druhým stupněm zabezpečení, jenž řeší komplikovanější nároky, je posléze opět

osobní firewall. Je nutno mít na mysli, že ačkoliv internetová přípojka je

chráněna již hardwarovým předstupněm, musíte na tuto síť stále pohlížet z

hlediska operačního systému či personálního firewallu jako na potenciálně

nebezpečnou, tedy na veřejnou (public). V našem testovacím prostředí využíváme

na PC řešení Kerio Personal Firewall, a internetovou přípojku jsme v příslušném

ovládacím rozhraní označili jako nedůvěryhodnou (kvůli prázdnému zaškrtávacímu

poli). Veškerá přístupová oprávnění je nutno do této sítě nastavit stejně, jako

by byla přímou internetovou linkou jen díky této důslednosti získáte výhodu

dvojí obrany, neboť pokud by útočník prolomil hardwarový firewall, stále mu

bude stát v cestě další ochrana.

Jiná varianta, jež se od předchozí odlišuje jen mírně, v sobě zahrnuje rovněž

dvojstupňovou ochranu. Prvním, předsunutým prvkem je zde opět hardwarové

zařízení, ovšem tentokrát v integrovaném provedení odlišného charakteru

základem je vlastní ADSL modem, a s ním je spojena dále funkce přepínače (opět

např. 4 porty), routeru a především kýženého firewallu. Jedním z vhodných

modelů, jejž jsme vyzkoušeli, je např. Lucent CellPipe DSL Modem 22A-FX,

nabízený řadou poskytovatelů internetového připojení ke službě ADSL. Součástí

tohoto zařízení je poměrně zdařilý základní firewall, jenž dokáže ochránit

první linii vaší sítě a opět odstínit počítače od většiny nežádoucí příchozí

komunikace. Podobně jako v předchozí variantě, i zde samozřejmě budeme nadále

spoléhat na druhou úroveň ochrany, jíž jsou osobní firewally na všech PC v malé

síti.

Konfigurace, na niž jsme se zaměřili v tomto scénáři, již představuje z

hlediska malé, domácí sítě velmi solidní bezpečnostní hradbu. Hardwarová část

by měla zajistit, že bude odražen i soustředěný útok na vaši síť, jehož

intenzita by mohla ohrozit stabilitu os či softwarového firewallu, a ochranná

aplikace naopak umožní jemnější nastavení a důslednější kontrolu. Je však nutno

počítat s určitou investicí do samotného hardwaru a také se připravit na

konfiguraci, jež nemusí být úplně primitivní. Odměnou za vynaložené úsilí je

pak velmi bezpečné a odolné připojení.



Typická konfigurace osobního firewallu



Použitý software: Kerio Personal Firewall 4.0.10

Využití: všestranný, univerzální osobní firewall

Náklady: základní verze zdarma, plná verze cca 1 300 Kč



Nastavení osobního firewallu, jež v tomto článku podrobněji zmíníme, je aktivně

využíváno pro běžné pracovní i testovací účely. Jsou v něm zahrnuta typická

nastavení, jež zajistí normální použitelnost internetu při domácí práci.

Nezapomeňte, že internetová přípojka je vždy označena jako nedůvěryhodná zóna!

Přehled nezahrnuje všechny parametry, snažili jsme se spíše upozornit na

funkčně nejdůležitější prvky.



Dialog: Síťová bezpečnost – Předdefinované

Zde jsme ponechali nastavení blízké výchozí podobě. Mezi nejdůležitější patří

povolení Domain Name System (DNS), což zajišťuje překlad jmen počítačů v

internetu, dále Ping out (diagnostika vzdálených počítačů) a Dynamic Host

Configuration Protocol (DHCP) pro získání IP adresy, např. od vašeho ADSL

modemu či přímo internetového poskytovatele.



Dialog: Síťová bezpečnost – Aplikace

V této části jsme zajistili průchod bez zbytečného dotazování především pro

aplikace MS Internet Explorer (Odchozí povolit), dále pro Outlook Express

(Odchozí povolit), ICQ (Odchozí povolit) či pro klienta pro updatování

antivirové aplikace (Odchozí povolit pro Symantec). Z dalších aplikací se hodí

propustit FTP klienta (třeba Total Commander) a obzvláště opatrní musíte být na

službu Sdílení souborů a tiskáren v sítích Microsoftu (Microsoft File and Print

Sharing), u níž směrem do nedůvěryhodné sítě vyžadujte vždy alespoň dotazování.

Z dalších aplikací je dobré povolit provoz např. Windows Media Playeru či

obdobným nástrojům pro sledování internetových rádií či videopřenosů.



Dialog: Útoky – Obecné

V tomto dialogu doporučujeme zakázat alespoň útoky s vysokou a střední

prioritou. Pokud hodláte po útoku blíže zkoumat jeho průběh, zapněte si volbu

Zaznamenat.

Dialog: WWW – Soukromí

Na tomto místě rozhodně věnujte pozornost spodní volbě Blokovat privátní

informace. Pomocí tlačítka Nastavit vstoupíte do dialogu, kde postupně naplníte

seznam položkami s vašimi privátními daty, o jejichž vyzrazení nestojíte.

Ačkoliv to vyžaduje jistou námahu, nepodceňujte tento krok a dejte si projednou

tu práci tuto funkci uvést v život.





Zapamatujte si…

V první řadě je potřeba si uvědomit nejdůležitější zásadu: nemusím mít nejlépe

zabezpečenou síť či počítač v celém internetu. Ale mé zabezpečení musí být

alespoň o stupínek lepší, než u většiny ostatních.