Osobní firewally

Norton Personal Firewall: Pomocí řízení přístupu uživatel určí, které aplikace mohou pracovat s internetem.

Surfování již dávno není bezpečné: Crackeři se snaží pomocí nástrojů pronikat do cizích s9t9 a počítačů. Stačí jim k tomu třeba jedna rafinovaně naprogramovaná webová stránka a už nejste pány svého systému.

Ochranou proti těmto útokům jsou bezesporu firewally. My vám tři takovéto programy pro různé typy uživatelů představíme a vysvětlíme vám jejich nejdůležitější nastavení.
Firewall nepotřebuji – kdo by mě chtěl napadat? Takto přemýšlí spousta surfařů. Částečně mají pravdu: Žádný profesionální hacker se nebude zajímat o data Václava Nováka z Horní Dolní. Ale existují ještě tzv. Script Kiddies, mladí „crackeři“, z nichž většina je postrachem právě drobných uživatelů. Ti se totiž pokouší dostat různými způsoby na cizí počítače a dodejme že často úspěšně: Zaměřují se hlavně na ty počítače, které nemají žádnou ochranu – především firewall. Aby Váš počítač zůstal těchto útoků uchráněn, představíme vám tři různé firewally a pomůžeme s nastavením tohoto ochranného softwaru.

Na co si musíte dát pozor

Nabídka osobních firewallů sahá od jednotlivých paketových filtrů až po kompletní systémy pro společný přístup k internetu malých pracovních skupin. Při rozhodování pro některý z firewallů je důležité, jak dobře se v takových programech vyznáte. Každý firewall nabízí možnost určit, která přicházející nebo odcházející internetová spojení jsou přípustná. Rozdíly vyjdou najevo u možností konfigurace. Pro začátečníky stačí, pokud firewall rozpozná všechny internetové přístupy aplikací a pomocí asistenta pomůže vytvořit nová pravidla pro odpovídající aplikace. Tak mohou svůj počítač zabezpečit i laici. Pro profesionály by měl firewall nabízet možnost pro pravidla filtrů podrobně určit zdrojové a cílové adresy stejně tak jako jednotlivé porty. Z přídavných funkcí je užitečný Content filter (tj. obsahový filtr), který prohledává datové toky a hledá tajně vložené informace. Inteligentní funkce, které identifikují programy pro přístup k internetu nebo útočníky rozpoznají a automaticky vyřadí, celé spektrum uzavírají. Základ firewallu tvoří pravidla pro filtry, kterými určíte přípustná spojení na a z internetu. Při připojování nezařazené aplikace musí být uživatel informován a přístup autorizovat. K tomuto účelu musí být firewall neustále aktivní na pozadí a kontrolovat tok dat internetu. Automatická vyhledávací funkce, která ihned po instalaci rozpozná aplikace s přístupem k internetu a generuje automaticky potřebná pravidla, ušetří spoustu práce. Pro správný přehled o internetovém provozu je záhodno provádět pravidelné nahlédnutí do logů. Pokud se o jeden počítač dělí více uživatelů, jsou zajímavé zvláštní funkce jako časování a uživatelské profily. Tímto způsobem lze třeba zablokovat přístup k internetu dítěti v době, kdy dělá domácí úkoly. Dodatečné URL filtry se starají také o to, aby určité stránky nebyly dětem přístupné. Společně s virovým skenerem je osobní firewall na každém počítači s přístupem k internetu neopomenutelný.

Jak otestujete funkčnost firewallu

Když nainstalujete firewall, začíná další fáze a tou je jemný tuning. Nějaké to nastavení přehlédnete vždycky, ale existují webové stránky, které nabízejí možnost otestovat zabezpečení vašeho počítače.

Sken portů (portscan) ze stránky www.grc.com najde mezery ve firewallu – toto PC je relativně zabezpečené.Qualys (http://www.qualys.com)
Bezpečnostní experti Qualysu chrání systémy bank a velkých IT firem – nabízejí ale také několik bezplatných funkcí. Na hlavní stránce klikněte pod »Resources« na »Free Tools«. Tam můžete otestovat dvacet nejohroženějších míst Vašeho počítače, použít různé detektory trójských koní nebo spustit kompletní bezpečnostní prověrku vašeho systému.

Steven Gibson (http://www.grc.com)
Bezpečnostní stránka Stevena Gibsona nabízí pod odkazem „Shields UP“ dva různé testy vašeho firewallu. Zatímco „Test my Shields“ prověřuje známé slabiny, testuje „Probe my Ports“ část komunikačních portů vašeho počítače.

Audit My PC (http://www.auditmypc.com)
I na této stránce máte možnost provést sken portů (portscan) vašeho počítače. Vyhodnocení sice nějakou dobu trvá, ale za podrobnou analýzu firewallu to čekání opravdu stojí.

Podíváme se teď na některé užitečné osobní firewally:

 

Kaspersky Anti-Hacker 1.0

Instalace/Kopírování

http://www.kaspersky.com

typ softwaru  trialware  |   operační systém  Win 9x/Me, NT, 2k, XP  |   objem dat  9,0.MB  |   jazyk  anglicky |    XX  

Důsledně:
Anti-Hacker je produkt firmy Kaspersky Labs, která stojí za velmi kvalitním antivirem AVP. I tento nový software je postaven jako velmi účinná a flexibilní ochrana počítače - kromě klasického sledování přenášených dat umožňuje rozdílná nastavení pro jednotlivé aplikace je vybavena i novou technologií SmartStealth, která slouží ke kontrole a skrytí všech portů.

Program je postaven tak, aby nezkušeným uživatelům pomohl se zabezpečením počítače a přitom obstál i v požadavcích zkušených, kteří si rádi nastavují všechny parametry sami. Kvalitní nástroj, za který je však třeba platit.

 

Kerio Personal Firewall 2.1

Instalace/Kopírování

Podrobnosti o programu

http://www.kerio.com

typ softwaru  plná verze  |   operační systém  Win 9x/Me, NT, 2k, XP  |   objem dat  2,0.MB  |   jazyk  anglicky  |   jazyk  pro domácí použití zdarma 

Pro odborníky:
Kerio je flexibilní, bezpečný a zadarmo. Četná nastavení ale představují pro laika jistý problém a zvyšují pravděpodobnost chybného nastavení.

Kerio je firewall pro zkušené kontrolovací fanatiky. Přes tuto ochrannou zeď se nedostane žádný datový paket, který si s uživatelem netyká. Ponořit se s firewallem Kerio do hlubin internetových protokolů a portů hraničí s masochismem. Výsledek ale vynahradí veškerou námahu: S tímto softwarem se zbavíte nechtěných „asistentů“. To nejlepší jsme si nechali na konec – pro soukromé uživatele je tento profesionální nástroj zdarma.

 

Norton Personal Firewall 2003

Podrobnosti o programu

http://www.symantec.com

operační systém  Win 9x/Me, NT, 2k, XP  |   jazyk  anglicky  |   jazyk  cca 50 €

Pro pokročilé:
Díky širokým možnostem konfigurace pravidel pro filtry a vestavěné ochraně dat je ideální pro profesionály.

Program nabízí excelentní ochranu, na druhou stranu však disponuje velkým množstvím skrytých funkcí, ke kterým se uživatel dostane jen velmi těžko.

 

POZOR!

Jednotlivým programům dávejte k dispozici pouze ty porty, které opravdu potřebují.
Např. Browser by měl mít přístup pouze na porty 21 (FTP File Transfer Protocol), 80 (HTTP webové stránky) a 443 (HTTPS kódované spojení na webové stránky) na remote PC (vzdálený počítač, webové a FTP servery). Každé další uvolnění oslabuje firewall.

TYTO PORTY BYSTE MĚLI ZNÁT

Port
 Služba Popis
11
 systat Zobrazení přihlášených uživatelů
21
 FTP Přístup k datům přes síť
22
 SSH Kódovaná spojení ke vzdáleným počítačům, je možné jakékoli lokální vkládání dat
23
 Telnet Spojení ke vzdálenému počítači, je možné jakékoli lokální vkládání dat
25
 SMTP Přenos mailů
80
 HTTP Přístup k webovým stránkám
110
 POP3 Přístup k mailům
139
 Netbios-SSN Sdílení souborů, plný přístup na služby
143
 IMAP Přenos mailů
194
 ORC Internet Relay Chat
443
 HTTPS Kódované HTTP

 

 

McAfee Firewall 3.0

http://www.mcafee-at-home.com

operační systém  Win 9x/Me, NT, 2k, XP  |   jazyk  anglicky  |   jazyk  cca 50 €

Pro všechny:
Jak pro začátečníky, tak i pro profesionály. Jednoduchá konfigurace pravidel a rozpoznávání aplikací.

Program má velmi příjemné a jednoduché uživatelské rozhraní a jednoduchou obsluhu, nenabízí však žádnou ochranu osobních dat.

 

 

Tiny Personal Firewall 2

Instalace/Kopírování

http://www.tinysoftware.com

typ softwaru  freeware  |   operační systém  Win 9x/Me, NT, 2k, XP  |   objem dat  1,3.MB  |   jazyk  anglicky  

Zdarma, pro začátečníky:
Jen jednoduchá pravidla pro soukromou potřebu. Chybí ochrana osobních dat a před ActiveX.

Přestože je software vybaven dobrými základními funkcemi, má jen omezené možnosti pro nastavení filtrů.

 

ROUTER-DSL-MODEM VIGOR 2600

Hardwarový firewall: Perfektní ochrana pro sítě

Hardwarový firewall má svůj vlastní šarm: Můžete se svým počítačem dělat doslova psí kusy – instalovat a deinstalovat software, nově koncipovat Windows – firewall zůstane nedotčen. Z hardwarového firewallu profitují také sítě: nemusíte totiž na každý počítač instalovat softwarovou ochranu a navíc ještě konfigurovat.

Jako příklad routeru s integrovaným firewallem jsme měli k dispozici špičkový model firmy DrayTek, Vigor 2600 (cena cca 300 euro; www.draytek.de). Tento router s vestavěným DSL modemem neposkytuje jen integrovaný firewall, ale ovládá i tzv. port forwarding – techniku, pomocí níž velmi zkomplikujete „práci“ výše jmenovaným Script Kiddies.
Konfigurace: Vigor umožňuje nastavení – stejně jako jeho konkurenti – přes webový interface: Nemusíte se tak zatěžovat zastaralými příkazy přes příkazovou řádku, ale vše provádíte přes browser (prohlížeč).

Ta nejdůležitější oblast menu, která se postará o vaši bezpečnost, má název »Nastavení IP filtru/firewallu (IP Filter/Firewall Einstelungen)«. V tomto okně můžete zakládat dvanáct různých sad filtrů, každý z nich může mít až sedm vlastních pravidel.

Komplikované, ale pro profesionály užitečné: Tyto různé sady filtrů lze propojit. To znamená: Když určitý datový paket prošel přes první pravidlo, může být dalším filtrem předán dále. Bezpodmínečně nutné je poslední pravidlo, které říká (stanoví), že musí být odmítnut každý datový paket, pokud nebyl nějakou sadou filtrů povolen – toto pravidlo funguje jako „vysavač“, který likviduje všechny nevyžádané dotazy.

Jednosměrka pro útočníky: Dalším trikem, jak pomocí routeru Vigor zvýšit úroveň zabezpečení, je převedení (přesměrování) dotazů na IP počítače v interní síti – avšak na port, na kterém nemůže potenciální nebezpečná aplikace libovolně slídit. Pokud neprovozujete např. žádný FTP server a nemusíte tedy přijímat dotazy na portu 21, můžete tyto „vstupní dveře“ proměnit v past. Provedení je jednoduché: V hlavním menu Vigoru klikněte na »NAT (Network Adress Translation)« a poté na »Tabulka přesměrování portů (Portumleitungstabelle)«.

Pod »Služba (Dienst)« zadejte jméno pro pravidlo přesměrování všechny služby potřebují jako protokol TCP, protože UDP používají většinou jen streaming aplikace, u nich chyby v přenosu dat nevadí. Veřejný port označuje (označí) číslo, které je (bude) voleno z vnějšku (tedy z internetu) pro přístup ke službě. Pokud chcete poslat jakýkoli útok na FTP port 21 do digitálních věčných lovišť, zadejte sem toto číslo.

V poli »Interní IP (Interne IP)« zadejte nějakou IP adresu z vaší sítě a vyberte číslo portu, které není obsazeno – to je např. port číslo 4.

 

Sygate Personal Firewall 5

Instalace/Kopírování

http://www.sygate.com

typ softwaru  freeware  |   operační systém  Win 9x/Me, NT, 2k, XP  |   objem dat  4,6.MB  |   jazyk  anglicky  

Jednoduše a zdarma:
Hlídá spojení a jakmile narazí na něco neoprávněného ať z venku či zevnitř, zakáže přenos. Také je tady možnost manuálního nastavení blokování.

Hlavní předností tohoto programu, kromě faktu, že se jedná o freeware, je jeho kvalitní systém s jednoduchou obsluhou.

 

Zonelabs ZoneAlarm 3.1

Instalace/Kopírování

Podrobnosti o programu

http://www.zonelabs.com

typ softwaru  freeware  |   operační systém  Win 9x/Me, NT, 2k, XP  |   objem dat  3,6.MB  |   jazyk  anglicky  

Rychle a jednoduše:
Jisté úrovně bezpečnosti na webu mohou dosáhnout i začátečníci: Funkce ZoneAlarmu nejsou složité. Relativně povrchní je ale také ochrana, kterou firewall zajišťuje.

ZoneAlarm je nabízen také ve verzi Pro, která sice poskytuje kvalitnější ochranu proti útokům z internetu, je však placená.