Domácí síťování a Firewall Zyxel USG20-VPN | Kapitola 7
Seznam kapitol
Pokud chcete mít data v bezpečí, potřebujete dobrý firewall. Navíc se svět mění a tato potřeba se stává naléhavější. Zyxel USG20-VPN je cenově dostupné řešení ze světa skutečných firewallů. Pojďme se podívat, co takový firewall pro malé firmy a podnikatele nabízí navíc oproti běžným domácím firewallům.
ADP ochrana
Další věc, kterou u dražšího zařízení očekáváme, je nějaká forma IDS nebo ADP. Tedy mechanismus, který odhalí průnik nebo ohrožení systému. ADP (Anomaly Detection Prevention - detekce anomálií a prevence).
Zjednodušeně: Pokud se někdo zkusí dobývat dovnitř, začni zahazovat všechen provoz z jeho IP adresy.
A jdeme to otestovat! Jdeme do ADP, zobrazíme si nastavení a ujistíme se, že je ADP zapnuté.
Teď zjistím vlastní veřejnou IP adresu, třeba z hlavní stránky konfigurace. Mimochodem, tady je vidět, že WAN rozhraní "nemá" adresu. IP adresu má až rozhraní, které vytočilo PPPoE spojení.
Pro jistotu provedu kontrolu, otevřu si v prohlížeči www.mojeip.cz a ujistím se, že adresy souhlasí.
Ať pustím kterýkoliv z Online scannerů portů, ADP je v celkem klidu. Firewall na vstupu zahodí všechny pokusy o průnik. Ostatně, IPv4 adresy v celém internetu bývají zkoušeny několikrát denně. Lovců je hodně.
Proto firewall dočasně vypnu a podívám se, co se objeví v logu:
ADP zablokovalo celou řadu pokusů o skenování portů. Totiž, útočí se právě na otevřené porty.
Testovací pravidlo jsem měl jednoduché: Pokud je zaznamenán pokus o scannování portů, odstav tuto IP adresu na dobu 600 vteřin.
Tady už vidíte rozdíl s ADP vypnutým (porty jsou otevřené) a zapnutým (porty jsou sice stále otevřené, ale útočník byl odstřižen, a proto se mu porty jeví jako zavřené).
Pokud útočník provádí skenování portů z jedné IP adresy, ADP ho brzy odstřihne, ale za pár minut to může zkusit zas. Ovšem profesionální hackerské syndikáty (což jsou poměrně velké firmy zaměřené na loupežničení peněz) použijí botnet, každý jeden zombie stroj otestuje jeden nebo dva porty a ADP s tím nic nenadělá.
Dobře nastavené ADP odradí asi polovinu čmuchalů a hodně robotů. Proto funguje. Zmíním, že zařízení uchovává celou řadu logů. Ty jsou ovšem bez dalšího rozboru jsou k ničemu a samozřejmě si je můžete nechat posílat e-mailem, nebo je nahrávat na logovací server.
Závěr
V domácí krabičce je zaškrtávátko „povolit Firewall“ a tři roky starý firmware, tady máte:
- Pravidelné aktualizace firmware a odstranění bezpečnostních chyb.
- Portál s možností hlídat stav, aniž by člověk někam chodil a připojoval se.
- Nějaký typ systému IDS/ADP, který odhání nejdotěrnější hmyz.
- Rozšířené funkce firewallu jako je blokování škodlivého obsahu.
Dnešní díl byl především na rozkoukání, už delší dobu jsem z domácího síťování nic nevydal. Zároveň do dalšího dílu potřebuji firewall, který opravdu funguje. Příště začneme s IPv6, testovat firewall, a to jak tento, tak i ten ve Windows.
