firewall-obrnte-sve-pocitace
PCTuning Článek

Firewall - obrňte své počítače...

Kuchař Martin
Kuchař Martin
2. 2. 2005 00:00 86 Sdílej:

Seznam kapitol

1. Co je to Firewall 2. Typy firewallů 3. Firewall a Windows 4. Firewall a Linux 5. Kerio Personal Firewall 6. Hlavní zásady zabezpečení PC

V době, kdy počítačové pirátství a napadání PC je stále častější záležitostí, by bylo dobré objasnit si jednu se základních možností zabezpečení vašeho počítače. Je pravděpodobné, že se většina běžných uživatelů s pojmem firewall dříve setkala, čás z nich už jej dokonce používá, ale stále je mezi námi mnoho těch, kteří na bezpečnost příliš nedbají. V tomto článku si tedy problematiku firewallu trochu přiblížíme a ukážeme si základní postupy, jak si svůj počítač zabezpečit před šíťovými útoky.

Reklama
Reklama

Pokud mluvíme o "útoku" na počítače, myslíme tím především napadení počítače viry. Málokdo si však uvědomuje, že je zde i další, neméně nebezpečný typ útoků - přímé napadení (a posléze i ovládnutí) počítače připojeného na síť (přesněji řečeno připojeného na Internet, i když v lokálních sítích by takový útok bylo možné provést také). Takový druh útoku bychom mohli přirovnat k pokusu o proniknutí do vašeho "počítačového bytu", kdy zloděj zkouší vstoupit přes málo zajištěné typizované dveře. Pokud se mu to podaří může nezabezpečenou cestou přenášet tam i zpět co se mu líbí...

Jelikož většina uživatelů používá stejný druh "bytu", tedy operační systém Microsoft Windows, mají případní zájemci o vaše data snazší úkol. Pokud dovnitř proniknou mohou nejenom nahlížet do vašich programů, mohou dokonce použít Váš počítač k útoku na jiné (takovému ovládanému počítači říkáme příznačně "zombie"). Pokud zůstaneme u přirovnání k bytu - pak instalaci firewalu můžeme přirovnat k bezpečnostnímu zabezpečení dveří a oken s vrátným který kontroluje co jde ven a co dovnitř...

Na počátku bychom si měli nejdříve objasnit, co to ten firewall vlastně je a k čemu nám slouží. Firewall je soubor pravidel, jež chrání vnitřní síť LAN před útokem "zvenčí" - v praxi především z Internetu. Může být pouze na jednom PC a nebo na síťovém serveru, přes který jsou všechna ostatní PC napojena. Chrání tak počítače před útokem hackerů, před viry a wormy (červy). Firewall tedy obsahuje pravidla, jež řídí komunikaci z vnitřní sítě směrem ven, komunikaci soustřeďuje do jednoho uzlu, odfiltrovává nebezpečné služby, blokuje nepřátelské monitorování sítě apod.

Budování firewalu však není lehkou otázkou. Než se do tohoto vůbec pustíme, objasníme si, jak vlastně probíhá taková komunikace mezi několika PC či mezi PC a Internetem.

Veškerá komunikace síťových služeb probíhá skrze tzv. porty. Port se dá představit jako přepínač v telefonní ústředně. Jelikož ale při připojení PC do sítě je potřeba využívat více síťových služeb než jen jednu, máme k dispozici celkem 65535 portů, což znamená, že současně můžeme využívat služby http, ftp, ssh, smtp, pop... a pořád nám zbývá k dispozici mnoho a mnoho volných portů.

A právě přes tyto porty je možné vést útok. Osoba (nebo počítačový virus či jiný počítač), jež má zájem se do Vašeho PC "nabourat" musí najít odpovídající port, který bude při útoku a případné pozdější komunikaci využívat. Pomocí scanování portů se tedy zjišťuje jaké služby na nich běží a pokud najde nějakou službu s bezpečnostní dírou, pak má zcela vyhráno. Avšak možností je celá řada, toto byla jen ukázka jednoho z možných postupů.

Čísla některých portů a služby které je standardně využívají:

  • FTP (přenos souborů): 20, 21
  • HTTP (www stránky): 80
  • POP (elektronická pošta): 110
  • IMAP3 (elektronická pošta): 220
  • hra Doom: 666
  • ICQ: 4000

Firewall má tedy za úkol kontrolovat všechny porty a komunikaci na nich probíhající. Tu vyhodnocuje podle pravidel, jež má nastaveny a rozhoduje, zda je komunikace vyhovující či nevyhovující. Pokud narazí na nějaké pokusy o proniknutí, pokouší se je odrazit a nepustit je dovnitř počítače.

Při budování firewalu je ale potřeba vybrat správný typ se správnými funkcemi, možnostmi a vhodně jej umístit. Celá situace se ale podstatně liší podle toho o jakou síť se jedná. Je velice odlišné je budovat firewall v malé lokální síti o dvou PC, jiné to je ve firmě, kde má PC několik stovek uživatelů (tam ale na to mají zase experty - tedy většinou).

Důvody pro použití

Už v okamžiku připojení PC do sítě je počítač okamžitě vystaven pokusům o scanování portů a o průnik do PC. A právě firewall je ta prvotní obrana jež nás chrání před útoky z Internetu do naší lokální sítě. Zabraňuje pokusům o spojení po nepovolených protokolech, na zakázaných portech, nepovolených IP adresách apod. 

Možná si řeknete, že vaše PC není ničím zajímavým pro Internetové piráty, avšak vždy se může najít někdo, kdo si chce vyzkoušet své schopnosti a nejjednodušším cílem je právě nezabezpečené PC. Není nic příjemného přijít kvůli nedbalosti o svá soukromá data, důležité soubory či jiné pro Vás důležité věci, případně sloužit jako "zombie" k útokům na jiné. A věřte, že k takovýmto útokům dochází dnes a denně - zajímavé je, že většina postižených o průniku na svůj počítač dokonce ani neví.

Ve velkých firmách by mohl i nenápadný průnik napáchat obrovské množství škod. Určitě by se napadené firmě nelíbilo, kdyby hacker zjistil důvěrné informace o nově chystaném revolučním produktu a poskytl je konkurenční firmě, či je jinak zveřejnil. To by mohlo mít pro tu společnost dalekosáhlé následky. Avšak možností ohrožení je nespočet.

Právě proto by použití firewallu mělo být bezesporné. Za minimální náklady (někdy i nulové) můžete získat alespoň základní ochranu a nějaký ten pocit bezpečnosti.

Firmy - bez bezpečnostní politiky ani ránu

Pokud se někdo rozhodne o vybudování firewallu, musí nejdříve zhodnotit celkovou situaci, posoudit nároky a ujasnit si rizika a bezpečnostní požadavky. Dále je potřeba přesně stanovit čeho a za jakou cenu má být dosaženo, co je třeba chránit a co je všechno v sázce.

Je potřeba si ujasnit míru zabezpečení a především se dohodnout na použitém řešení. Ve většině firem je k dispozici dokument, jež řeší bezpečnostní politiku a tudíž při připojení do Internetu je potřeba, aby parametry připojení a použité ochrany tomuto dokumentu bezesporu vyhovovaly. 

Funkce Firewallu

V dnešní době již firewall neplní jen základní funkci ochrany před únikem dat či napadením lokální sítě. Dnešní moderní firewall přináší komplexní řešení v oblastech napojení do Internetu a lokální sítě.

Tyto komplexní služby dokáží plnit funkce antivirové ochrany, optimalizace připojení, problémy s IP, přístupových práv uživatelů, zabezpečené komunikace, sdílení přístupu k internetu apod.

Antivirová ochrana: Provozovatelé firewallu většinou kladou i požadavky na ochranu před příchozími, ale i ochozími počítačovými viry a to především skrze elektronickou poštu.

Optimalizace připojení: Tímto se většinou rozumí využívání cache serveru. Ty mají za účel uchovávat často otevírané stránky, obrázky a jiné zdroje internetu do paměti a při dalším požadavku na jejich otevření se již nenačítají z veřejné sítě, ale pouze ze serveru umístěného přímo na bráně firewallu.  Tím se dosáhne toho, že uživatelé si vystačí i s pomalejší linkou do internetu, neboť při opakovaném volání stejné služby již není třeba ji otevírat právě z internetu, ale pouze z lokálního serveru.

Problémy s IP: V dnešní době dochází k velkému problému s přidělováním IP adres. Každý síťový uzel připojený k internetu musí totiž mít svou IP adresu, která navíc musí být jedinečná. Tyto adresy jsou ale i závislé na způsobu připojení a na daném poskytovateli. Je tedy prakticky nemožné přidělit například jedné firmě 100 jedinečných IP adres. Toto nám ale může příjemně ošetřit firewall. Za firewallem můžou být IP adresy jakékoliv, nezávislé na providerovi a když má dané požadavky vyslat na providera, tak se pomocí IP maškarády přeloží na jednu adresu, která je providerem přidělena.


IP adresy ve vnitřní síti jsou libovolné a jedinečnou (veřejnou) IP má jen PC s firewallem.

Přístupová práva: Provozovatel podnikové sítě může pomocí firewallu omezovat některé síťové služby jako například - prohlížení erotických stránek, zákaz používání ICQ či třeba stahování pomocí DC++ atd. Dále lze použití těchto služeb monitorovat a ukládat například do protokolu.


Ukázka jak můžou být omezeny možnosti využití internetu v podnikových sítích.

Zabezpečená komunikace: Pomocí dvojice firewallu lze provádět komunikaci skrze internet na úrovni zabezpečeného tunelu. Takovýto tunel je prakticky neviditelný kromě těch dvou firewallů mezi kterými probíhá. Skrze tyto tunely lze provozovat i celé sítě - VPN (Virtual Private Network).

Sdílení přístupu k internetu: Firewall může dokonce plnit funkci směrovače. Například v malé firmě je jen jedna přípojka do internetu a je potřeba, aby byla konektivita dostupná všem připojeným PC.

Předchozí
Další
Reklama
Reklama

Komentáře naleznete na konci poslední kapitoly.

Reklama
Reklama

Byl detekován AdBlock

PCTuning je komunitní web, jehož hlavním příjmem je reklama. Zvažte prosím vypnutí AdBlocku, ať můžeme všem čtenářům i nadále přinášet kvalitní herní zpravodajství, články a videa.

Děkujeme!

Váš tým PCTuning