Internet je plný nebezpečí a tak se vedle výkonného a neustále aktualizovaného antiviru stává nezbytným druhem programu i osobní firewall. Jedním z nejpopulárnějších je produkt společnosti Kerio - Personal Firewall ve verzi 2.1.
Instalace
Kerio Personal Firewall je dodáván v podobě jednoho spustitelného souboru, který je zároveň i souborem instalačním. Po jeho spuštění proběhne vše v režii instalačního programu Install Shield, na uživateli je ponechána pouze volba cílového adresáře. Instalace je zakončena nezbytným restartem počítače (Yes, I want to restart my computer), proto doporučujeme před spuštěním instalace ukončit všechny programy a uložit rozpracovanou práci:
![]() |
Po restartu nás program přivítá následujícím dialogem:
![]() |
Firewall nás tímto informuje o detekci paketu NetBIOS, jehož původcem je síť
standardu MS Network. Ta je implicitně nastavena při instalaci Windows a díky
tomuto protokolu můžete se svými kolegy sdílet soubory či tiskárny. Pokud však
tuto vymoženost nepoužíváte a chcete se omezit jen na surfování po internetu,
tak vám doporučujeme zaškrtnout volby Allow Microsoft
Network Name resolution (povolit rozlišování názvů počítačů) a Allow
other user to access my shared folders/printers(povolit ostatním uživatelům
přístup na mnou sdílené adresáře a tiskárny).
Konfigurace
Síla a především optimální funkčnost a tedy i bezpečnost firewallu spočívá v jeho konfiguraci. Pokud firewall špatně nakonfigurujete, není vám k ničemu a útočníci se mohou bez problémů dostat na váš počítač, protože vy jste jim to povolili - tedy přesnějii řečeno, ve firewallu jste vytvořili pravidlo (rule), které to umožňuje.
Jakmile firewall nainstalujeme, objeví se jeho ikonka v liště Start v oblasti zvané Systray:
![]() |
Modelová situace
Typickou aplikací, kterou při práci s internetem využívá každý z nás, je internetový prohlížeč. Podívejme se tedy na to, co se stane, když po restartu počítače po instalaci firewallu spustíme Internet Explorer:
![]() |
Firewall nás tímto dialogem informuje o tom, že se IE hodlá spojit s vzdálený webovým serverem s IP adresou 212.47.13.30 na portu 80, jež je obvykle vyhrazen službě WWW. Pokud klikneme na tlačítko Permit, tak celou operaci povolíme, stiskem tlačítka Deny naopak zakážeme. Abychom byli v budoucnu ušetřeni podobného „klikání“, zaškrtneme políčko Create appropriate rule and don't ask again, čímž výběr potvrdíme i do budoucna a tím tak vytvoříme v předcházejícím textu již zmiňované pravidlo.
Firewall nás v souvislosti s IE překvapí ještě jednou otázkou:
![]() |
V tomto případě se jedná o komunikaci nespojovanou (UDP), kdy IE komunikuje s lokální stanicí. Tuto komunikaci doporučujeme v každém případě povolit, neboť v opačném případě by rychlost surfování pováživě klesla - stránky by se velmi dlouho načítaly.
Modifikace pravidel
Již vytvořená pravidla samozřejmě modifikovat. K tomuto účelu se přemístíme do lišty Start, poklepeme na ikonku, indikující běh firewallu. Dojde k zobrazení okna aplikace:
![]() |
Obsahem okna je výpis všech běžících programů, které vyžívají ke komunikaci
síťové prostředky. Sami vidíte, že kupř. aplikace MYSQLD-NT.EXE "poslouchá"
(listening) na portu 3306 - čeká tedy na požadavky (dotazy)
klientů. Také IE (IEXPLORE.EXE) čeká na dvou portech k navázání komunikace se
vzdáleným webovým serverem.
Zpět však k našemu úkolu - změně pravidel. V nabídce File vybereme
položku Admin, čímž otevřeme nové dialogové okno:
![]() |
Pomocí posuvníku můžeme měnit úroveň zabezpečení našeho počítače od Pemit
uknown (povolit neznámé), kdy počítač není zabezpečen, přes implicitní
Ask Me First (poprvé se zeptat), kdy firewall vyzve k povolení
či zakázání komunikace až k Deny unknown (zakázat vše neznámé),
při které bude veškerá komunikace, pro kterou není vytvořeno příslušné pravidlo,
zakázána.
Tlačítkem Advanced se konečně dostáváme ke specifikaci pravidel:
![]() |
Obsahem tohoto dialogu je seznam vytvořených pravidel. Ta lze pomocí zaškrtávacího políčka v prvním sloupci dočasně deaktivovat, či stiskem tlačítka Delete natrvalo mazat. Od výrobce firewallu už navíc máte některá pravidla předem vytvořena - typickou ukázkou budiž pravidlo Outgoing PING command, díky kterému může k vašemu počítači vzdálený uživatel poslat ICMP paket - známý PING - který se mu vrátí a potvrdí tak vaši přítomnost na síti. Výběrem pravidla a stiskem tlačítka Edit lze příslušné pravidlo blíže specifikovat:
![]() |
Pomocí tohoto dialogu tak můžeme změnit protokol, směr (Direction),
číslo portu (Port type), aplikaci u lokálního počítače
(Local endpoint) či adresu (Address type)
a port (Port type) u počítače vzdáleného.
K modifikaci se nabízí také platnost pravidla (Rule valid)
a především jeho povolení (Permit) či naopak zakázání (Deny).
Detaily nastavení:
Optimální přizpůsobení: Firewall můžete kdykoli konfigurovat
i bez poplachu. Klikněte pravým tlačítkem myši na ikonu Keria na liště a vyberte
bod »Administration«.
V prvním okně »Firewall« lze nastavit jednu ze tří bezpečnostních úrovní Keria:
Vybudování bezpečnosti: Pro každou další aplikaci musíte samozřejmě založit nové pravidlo – přehled nejčastěji používaných portů najdete v tabulce, velmi obsáhlý seznam je k dispozici na webové stránce www.iana.org/assignments/port-numbers. IANA (Internet Assigned Numbers Autority) je organizace, která zadala nejdůležitější část portů: tzv. „well known Ports“ od 0 do 1.023. U těchto portů je stanoveno, jaká data přes ně mohou být vyměňována, což velmi zjednodušuje konfiguraci a použití programů.
Tak např. FTP nástroj automaticky ví, že musí vybrat standardní port 21. V oblasti od 1.024 do 49.151 leží tzv. „Registered Ports“, které jsou méně standardizovány. Nad hranicí „Registered Ports“, tzn. 49.152 až 65.535 panuje v podstatě anarchie. „Dveře do internetu“, označované jako „Dynamic Allocated“ nebo také „Private Ports“ může využívat každý software, nacházející se na počítači.
TIPPOZOR: Na www.kerio.com sice najdete beta verzi 3, ale u takto důležité aplikace byste neměli podstupovat riziko, které při použití beta verze nelze vyloučit. |
Oklamání trójských koní: Pro zablokování jakéhokoli přenosu dat přes internet, dokud není aktivován firewall, stačí jeden malý zápis do registrů. Pokud pracujete pod Windows 98 nebo Me, musíte kliknutím pravého tlačítka myši založit do registrů v adresáři »HKEY_LOCAL_MACHINE | System | CurrentControlSet | Services | VxD | fwdrv« DWORD zápis se jménem »AlwaysSecure«. Tomuto záznamu poté přiřaďte hodnotu »1«.
Ve Windows NT, 2000 a XP musíte vytvořit v registrech zápis »HKEY_LOCAL_MACHINE | System | CurrentControlSet | Services | fwdrv«. Editor registrů otevřete přes »Start | Spustit« příkazem »regedit«.
Pak nemají žádnou šanci ani takoví trójští koně, kteří se pokusí vyřadit stávající firewall. Tímto krokem získáte před crackery malý náskok. Důvod: Trójský kůň by musel nejprve odstranit zápis z registrů a teprve poté by mohl deaktivovat firewall a pracovat, jak je zvyklý.
Uzavření mezer ve firewallu: Zablokujte protokol ICMP (Internet
Control Message Protocol) pro všechny porty vašeho počítače a pro vzdálené počítače.
V obou případech to platí jak pro odesílání, tak i pro příjem. Důvod: ICMP je
většinou zodpovědný za přenos chyb a hlášení o stavu (statusu) (příkaz Ping
je známý každému správci sítě – chytří „datoví piráti“ mohou ale přes tento
protokol vyřadit veškeré firewally tak, že data jednoduše schovají do pings.
Při použití těchto filtrovacích pravidel přirozeně příkaz ping nefunguje.
Petr Vostrý