Firewally proti sφ¥ov²m
·tok∙m Firewally proti sφ¥ov²m
·tok∙m
Majφ hlφdat porty, sledovat ·toΦnφky, chrßnit p°ed zhoubn²m programov²m k≤dem a nejlΘpe jeÜt∞ blokovat bannery. Kter² firewall tyto ·koly zvlßdne nejlΘpe? Odva₧ujete se jeÜt∞ bez firewallu do sφt∞? Pokud ano, pak jste bu∩ velmi odvß₧nφ nebo online v₧dy jen na krßtou dobu, nebo¥ Φφm dΘle je vßÜ poΦφtaΦ spojen s internetem, tφm nßchyln∞jÜφ je k ·tok∙m: º Scannery port∙ se pokouÜejφ mezerami propaÜovat Φervy nebo zφskat kontrolu nad VaÜφm PC. º ╪φdφcφ prvky ActiveX se velmi sna₧φ instalovat na vaÜem PC "zl² software" jako nap°. dialery. º Datovφ Üpi≤ni majφ radost z ka₧dΘho drobku, kter² zanechajφ vaÜe cookies.
Primßrnφm ·kolem firewallu samoz°ejm∞ je odd∞lit poΦφtaΦ od internetu tak, ₧e Ük∙dci v∙bec nemohou prosadit. Ale v²robci svΘ programy ji₧ dßvno rozvinuli do vÜestrann²ch nßstroj∙: Mnoho kandidßt∙ blokuje reklamnφ bannery a pop-up okna, zabra≥uje dialer∙m a prohlφ₧φ e-maily na trojskΘ kon∞. BezplatnΘ nßstroje nebo firewall integrovan² ve Windows XP zde nemohou dr₧et krok, jim tyto funkce chybφ - o p°φruΦkßch ani nemluv∞. Dokonce ani v souΦasnosti nejvφce nebezpeΦnΘ °φdicφ prvky ActiveX nedostanou pod kontrolu. V p°φpad∞ kandidßt∙ testu jsme la¥ku v∞dom∞ nastavili v²Üe: Za 40 a₧ 50 eur oΦekßvßme nejen zßkladnφ ochranu se scannovßnφm port∙, ale takΘ filtry Java a ActiveX, variabilnφ stupn∞ bezpeΦnosti i srozumitelnou konfiguraci. Vybrali jsme t°i nejznßm∞jÜφ zahraniΦnφ firewaly a vyzkouÜeli je za vßs. V p°φÜtφm Φφsle Chipu na vßs navφc Φekß dlouhodob² test zajφmavΘho "balφku" Norton Internet Security 2004.
ZoneAlarm
Pro 4:
ZoneAlarm pat°φ k nejznßm∞jÜφm firewall∙m (rozÜφ°ila se p°edevÜφm
bezplatnß varianta). Jeho v²robce Zonelabs se ale sna₧φ i v p°φpad∞ nßmi
testovanΘ profesionßlnφ verze. Ji₧ asistent, kter² provßdφ instalacφ, je
p°φkladn². Klade srozumitelnΘ otßzky a nastavφ omezovaΦe banner∙ a pop-up
oken stejn∞ jako funkci oznamovßnφ, aby alarm byl skuteΦn∞ spuÜt∞n jen
tehdy, kdy₧ se d∞je n∞co nebezpeΦnΘho. TakΘ u₧ivatelskΘ rozhranφ p∙sobφ
uklizen∞ a p°ehledn∞. Ochrannß opat°enφ se dajφ hrub∞ nastavit pomocφ
posuvnφk∙ nebo detailn∞ definovat pomocφ pravidel. Jestli₧e se vφce u₧ivatel∙
d∞lφ o jeden poΦφtaΦ, m∙₧e administrßtor navφc chrßnit svß nastavenφ
ZoneAlarmu heslem. MalΘ nedostatky ale najdete i zde. Nap°φklad na ·vodnφ
strßnce sice ZoneAlarm ukazuje, p°ed kolika ·toky poΦφtaΦ zachrßnil, ale
odkaz na p°φsluÜnΘ zßznamy protokolu chybφ. A filtr banner∙ je trochu p°φliÜ
d∙sledn² a zamete vedle reklamnφch banner∙ obΦas takΘ n∞kterΘ obrßzky.
Za p°φplatek deset dolar∙ vÜak dostanete verzi s "blacklistem", co₧
je databßze znßm²ch rozesilatel∙ spamu, kterß zastavφ webovou reklamu d°φve,
ne₧ se staΦφ na PC rozÜφ°it. Vedle ochrany proti scanner∙m port∙, banner∙m
a pop-up okn∙m nabφzφ ZoneAlarm Pro 4 dodateΦnß obrannß opat°enφ pro e-maily,
aby od°φzl podez°elΘ p°φlohy, ale proti vychytral²m Üpion∙m je to ale
trochu mßlo. P°esv∞dΦivß jsou naproti tomu definovatelnß pravidla pro
programy stejn∞ jako mo₧nost zp∞tnΘho sledovßnφ pokus∙ o ·tok. Celkov∞
dostanete se ZoneAlarmem Pro celistv² produkt, kter² je lehce ovladateln² a
velmi v²konn² a tudφ₧ je i naÜim jasn²m tipem.
Norton
Personal Firewall 2004:
Norton Firewall se ve verzi 2004 dß ovlßdat sympaticky a jednoduÜe. KrßtkΘ
a srozumitelnΘ texty vÜude vysv∞tlujφ, co se za funkcemi skr²vß. Zato se
ovÜem u₧ivatel musφ vzdßt kontextovΘ nßpov∞dy p°es klßvesu F1. Nßpov∞da
je k dispozici pouze p°i kliknutφ na tlaΦφtko "DalÜφ informace".
ChvßlyhodnΘ jsou detailnφ protokoly, kterΘ p°esn∞ informujφ o okam₧iku a
druhu ·toku - simulovanΘ ataky b∞hem testu ulo₧il Norton spolehliv∞ s daty
o spojenφ. ╚ervy a trojskΘ kon∞ firewall odstranil takΘ spolehliv∞ podle
databßze signatur znßm²ch Ük∙dc∙. PraktickΘ jsou mazanΘ bonusovΘ
funkce: mobilnφ u₧ivatelΘ p°epφnajφ mezi n∞kolika sadami pravidel, kterΘ
shrnou pod hesly jako "kancelß°", nebo "na cestßch". Tφmto
zp∙sobem se firewall p°izp∙sobφ okolφ. OmezovaΦe reklamy tohoto firewallu
se integrujφ jako nabφdka do Internet Exploreru; bez reptßnφ odstranφ
bannery a vyskakovacφ okna. Smysluplnß pop-up okna pro jednotlivΘ webovΘ strßnky
nelze definovat. Program zato nabφzφ ochranu pro "d∙v∞rnß data".
Princip je nßsledujφcφ: soubory s citliv²m obsahem ji₧ nelze automaticky
poslat po internetu nebo p°ilo₧it k e-mail∙m. Norton firewall se p°φmo nabφzφ
pro ty u₧ivatele, kte°φ se mohou vzdßt komplexnφho jemnΘho nastavenφ, ale
p°esto kladou d∙raz na dobrou celkovou ochranu.
McAfee Personal
Firewall Plus 5:
McAfee sßzφ na Φist² firewall, nebo¥ p°φliÜ mnoho dopl≥k∙ u n∞j
nenajdete. Porty jsou blokovßny spolehliv∞, pravidla lze urΦit pro jednotlivΘ
programy. Krom∞ toho je mo₧no z firewallu vylouΦit IP adresy a jejich
rozsahy, nap°φklad lokßlnφ sφ¥. To je takΘ vÜechno. P°i instalaci se
asistent dotazuje, od kterΘho stupn∞ mß zaΦφt alarm firewall. To je d∙le₧itΘ,
proto₧e program p°i p°φliÜ nφzkΘm prahu alarmu mß sklon k vydßvßnφ
zbyteΦn²ch varovn²ch hlßÜenφ. Obsluha software je jednoduchß a
srozumitelnß i zaΦßteΦnφk∙m. Z ·vodnφ strßnky vedou odkazy k souboru
protokolu. V n∞m ulo₧enΘ udßlosti se dajφ t°φdit a archivovat. PraktickΘ
je, ₧e na jedno kliknutφ na polo₧ku menu "Vφce informacφ" k udßlostem
vßs dovede na server, kter² sd∞lφ bli₧Üφ informace o napadenΘm portu.
Najdou se ale i nev²hody: Neexistujφ ₧ßdnΘ mechanismy pro blokovßnφ ·toΦnΘho
k≤du nebo nevy₧ßdanΘ reklamy. Stejn∞ tak postrßdßme mo₧nost u jednotliv²ch
aplikacφ uvolnit respektive zablokovat pouze urΦitΘ porty. A prßv∞ kv∙li
zmi≥ovanΘ hubenΘ v²bav∞ McAfee Personal Firewall nedosßhne v naÜem
minitestu na p°ednφ mφsta - i freewarovΘ nßstroje sotva nabφzejφ mΘn∞.
BezplatnΘ firewally
FreewarovΘ firewally nejsou tak komfortnφ a obsßhlΘ jako placenΘ
produkty, ale nabφzejφ spolehlivou zßkladnφ ochranu. Chip vßm na p°φkladu
Sygate Personal Firewall ukß₧e, jak ubrßnφte svΘ PC.
Se
ZoneAlarmem vÜechno zaΦalo. Jak se prvnφ dobr² bezplatn² firewall stßval
stßle populßrn∞jÜφm, znaΦn∞ rostl takΘ obecn² zßjem o firewally. V d∙sledku
toho bylo brzy k dispozici p∙l tuctu bezplatn²ch ochrann²ch balφk∙. AvÜak
pole se proΦistilo. D°φve Φasto favorizovan² "Tiny Firewall"
mutoval do komerΦnφho "Personal Firewall", jinφ freewarovφ oblφbenci
osekali rozsah funkcφ, aby u₧ivatel pokud mo₧no rychle p°eÜel na placenou
variantu. Kerio nap°φklad po 30 dnech vypφnß filtry webu. Bezplatnß
varianta ZoneAlarmu oproti profesionßlnφmu produktu neobsahuje filtry reklamy
a webu a takΘ v e-mailech ji₧ nehledß podez°elΘ subjekty, kterΘ majφ namφ°eno
na datov² interiΘr p°φjemce. P°esto jeÜt∞ existuje n∞kolik dobr²ch
bezplatn²ch firewall∙, kterΘ sice neposkytujφ vÜechny mo₧nosti profesionßlnφch
program∙, ale ochrßnφ vaÜe PC p°inejmenÜφm na internetov²ch portech.
Abyste hned mohli zaΦφt bezpeΦn∞ surfovat, Chip pro Vßs p°ipravil kurz k
firewallu Sygate. Mezi jeho v²hody pat°φ i to, ₧e nemß skoro ₧ßdnß funkΦnφ
omezenφ v bezplatnΘ verzi, nabφzφ robustnφ ochrannou funkci a ΦetnΘ mo₧nosti
konfigurace. To nejlepÜφ na tomto levnΘm blokovaΦi je, ₧e je sotva horÜφ
ne₧ jeho velk² bratr a nabφzφ tak tolik funkcφ jako jinΘ placenΘ
programy.
1. Na CD najdete bezplatnou verzi Sygate Firewall. Asistent vßm pom∙₧e p°i
instalaci, potom jeÜt∞ restartuje PC, ne₧ se aktivuje firewall.
2. P°izp∙sobenφ stup≥∙ bezpeΦnosti P°ejd∞te v liÜt∞ menu na Security.
P°i nastavenφ "normßlnφ" budou pou₧φvßna vßmi urΦenß
pravidla. Otaznφk znamenß "poka₧dΘ se zeptat", k°φ₧ek p°edstavuje
"v₧dy blokovat" a hßΦek znamenß "v₧dy povolit".
3. Nastavenφ spojenφ Nynφ je firewall p°ipraven fungovat. Program se od
tohoto okam₧iku p°i ka₧dΘm novΘm spojenφ zeptß na VßÜ souhlas. Jestli₧e
si mß poΦφtaΦ vaÜi odpov∞∩ hned pamatovat pro p°φÜt∞, aktivujte
funkci "Remember my answer, and do not ask me again for this application".
Jakmile je n∞jakß aplikace blokovßna, objevφ se malΘ okno na pravΘm dolnφm
okraji obrazovky, zde se dozvφte, kterß aplikace prßv∞ chce sestavit spojenφ.
4. Nastavenφ LAN P°ejd∞te na "Tools | Advanced Rules | Add | Allow this
traffic". Otev°ete zßlo₧ku "Hosts". Zvolte pro "Subnet"
rozsah IP 192.168.0.0 a jako masku podsφt∞ 255.255.255.0. Nynφ jsou (lokßlnφ)
IP adresy od 192.168.0.1 do .254 uvoln∞ny pro komunikaci.
| Produkt | ZoneAlarm Pro 4 | Norton Personal Firewall 2004 | McAfee Personal Firewall Plus 5.0 |
| V²robce | Zonelabs | Symantec | McAfee |
| Internet (www.) | zonelabs.com | symantec.com | mcafee.com |
| Cena (cca) | 50 eur | 50 eur | 40 eur |
| CelkovΘ hodnocenφ | 87 | 74 | 67 |
| V²kon (75%) | 83 | 69 | 59 |
| Instalace a obsluha (15%) | 100 | 80 | 87 |
| BezpeΦnostnφ test scannovßnφ port∙ (10%) | 100 | 100 | 100 |
| Cena/v²kon | velmi dob°e | uspokojiv∞ | dob°e |
| Shrnutφ | Dφky programu pro uΦenφ a dobrΘ v²bav∞ je to nßÜ tip. Na promyÜlenΘ instalaci a dobrΘ p°ehlednosti je vid∞t zkuÜenost v²robce. VhodnΘ pro zaΦßteΦnφky a profesionßly. | Firewall s jednoduchou obsluhou, dobr²m vybavenφm a tΘm∞° nepokazitelnou instalacφ a konfiguracφ. Ideßlnφ pro zaΦßteΦnφky, kte°φ hledajφ komplexnφ ochranu s mnoha vlastnostmi navφc. | Firewall McAfee je za v²hodnou cenu a dß se velice snadno ovlßdat. Jeho hubenΘ vybavenφ ale ji₧ neodpovφdß dneÜnφmu standardu, proto₧e chybφ komplexnφ filtry reklamy a webu. |
| V²kon | |||
| RychlΘ p°epφnßnφ mezi bezpeΦnostnφmi stupni | jen zapnout/vypnout | jen zapnout/vypnout | v p∞ti stupnφch |
| Funkce protokolu | ò | ò | ò |
| Upozorn∞nφ emailem | û | û | û |
| Pravidla pro jednotlivΘ programy | ò | ò | ò |
| Automatick² update | ò | ò/1 rok | ò |
| Filtr webovΘho obsahu | û | û | û |
| Filtr Java (Java/Javascript) | ò/ò | ò/û | û/û |
| Filtr ActiveX/cookies | ò/ò | ò/ò | û/û |
| Zp∞tnΘ sledovßnφ | ò | ò | ò |
| IntegrovanΘ blokovßnφ reklamy (bannery/pop-up okna) | ò/ò | ò/ò | û/û |
| Konfigurace pro LAN a WAN (IP adresy, rozsahy adres) | obojφ mo₧nΘ | obojφ mo₧nΘ | obojφ mo₧nΘ |
| Povolenφ a vylouΦenφ IP adres | obojφ mo₧nΘ | obojφ mo₧nΘ | obojφ mo₧nΘ |
| Blokovßnφ podle IP/Φasu/URL | ò/ò/ò | ò/û/û | ò/ò/û |
| Scannovßnφ e-mail∙ | ò | û | û |
| Uvoln∞nφ jednotliv²ch port∙ | ò | ò | ò |
| Instalace a obsluha | |||
| Automatick² start po zalo₧enφ CD | ò | ò | ò |
| Asistent konfigurace | ò | ò | ò |
| Rozpoznßnφ LAN | ò | ò | ò |
| Program pro uΦenφ | ò | û | û |
| Online nßpov∞da | ò | ò | ò |
| Kontextovß nßpov∞da | ò | ò | ò |
| BezpeΦnostnφ scannovßnφ port∙ | |||
| Scannovßnφ port∙ (nmap) | obstßl | obstßl | obstßl |
| Vulnerability Scan Internet | obstßl | obstßl | obstßl |
Scannovßnφ port∙
Takto otestujete sv∙j firewall Online test: Myslφte si, ₧e VaÜe PC je
zabezpeΦenΘ? Tak ho sami otestujte. NavÜtivte webov² server www.auditmypc.com
a klikn∞te tam na "Security". Na strßnce, kterß se nynφ objevφ,
zatrhn∞te rßmeΦek vedle "I Agree" a nechte spustit scannovßnφ. V²sledky
testu p°ijdou obratem - jestli₧e n∞jakΘ jsou. Pokud je uprost°ed zapojen²
firewall, nem∞ly by se toti₧ objevit ₧ßdnΘ otev°enΘ porty. A i kdy₧ se
objevφ, nemusφte se bßt: online test je zcela anonymnφ, d∙v∞rnß data se
nep°enßÜejφ. Zato vßs tento server u otev°en²ch port∙ dokonce jeÜt∞
informuje, kte°φ Ük∙dci mohou tyto mezery vyu₧φt. Offline test: Scannovßnφ
port∙ m∙₧ete samoz°ejm∞ takΘ provΘst z poΦφtaΦe s Windows. To se
vyplatφ nap°φklad tehdy, kdy₧ chcete prozkoumat n∞kolik PC ve VaÜφ sφti
na bezpeΦnostnφ mezery. Zkuste to s "Knockerem". Tento program open
source scannuje porty na libovolnΘ IP adrese ve VaÜφ sφti. Vezm∞te vÜak v
·vahu, ₧e v lokßlnφ sφti jsou restrikce firewall∙ Φasto zruÜenΘ a vφce
port∙ voln²ch. Na p°φsluÜnΘm PC proto p°edem vypn∞te privilegia pro lokßlnφ
sφ¥. Tento praktick² nßstroj naleznete spolu s grafick²m rozhranφm (verze
"frontend" 0.66) na internetu na adrese http://knocker.sourceforge.net.
Na bezpeΦnosti a komfortu zßle₧φ
Testovacφ laborato° Chipu nainstalovala osobnφ firewally na poΦφtaΦi s
Windows XP Home Φerstv∞ instalovan²mi pro ka₧d² test. Tato verze Windows
byla p°edtφm opat°ena vÜemi aktußlnφmi bezpeΦnostnφmi zßplatami (stav
listopad 2003). º Rozsah v²konu (75%) V rozsahu v²konu se poΦφtajφ blokovaΦe
reklamy a pop-up oken stejn∞ jako ochrannΘ mechanismy proti prvk∙m ActiveX a
k≤du Java. Stejn∞ d∙le₧itß je schopnost urΦit pro ka₧d² jednotliv²
program vlastnφ pravidla. Krom∞ toho majφ kandidßti testu cφlen∞ blokovat
nebo uvolnit jednotlivΘ IP adresy nebo jejich rozsahy i jednotlivΘ porty. D∙le₧itß
komfortnφ funkce je rychlΘ p°epnutφ bezpeΦnostnφch stup≥∙ na liÜt∞ ·loh,
aby se pro specißlnφ aplikace dala rychle uvolnit nastavenφ. º Obsluha (15%)
Nejd∙le₧it∞jÜφ nßstroj obsluhy je asistent, kter² pomßhß p°i nastavenφ
firewallu a vysv∞tlφ nutnΘ kroky. Za online nßpov∞du a programy pro uΦenφ
byly body navφc. º BezpeΦnostnφ test scannovßnφ port∙ (10%) Testovacφ
laborato° Chipu podrobila ka₧d² firewall testu scannerem port∙ nmap (www.insecure.org/nmap)
v lokßlnφ sφti. Navφc se musel ka₧d² firewall podrobit simulovanΘmu ·toku
p°es server www.auditmypc.com
a b²t aktivnφ n∞kolik dnφ za reßln²ch podmφnek surfovßnφ na internetu.
Shrnutφ
Oblast firewall∙ prod∞lala v poslednφm roce obrovskΘ zm∞ny. Ze surov²ch,
sotva srozumiteln²ch balφk∙ pro znalce se staly celistvΘ, jednoduÜe
ovladatelnΘ softwarovΘ pom∙cky. Pole naÜeho minitestu lze pro lepÜφ
orientaci rozd∞lit na programy, kterΘ chrßnφ p°ed aktivnφm obsahem a
reklamou, a na ΦistΘ firewally. K purist∙m pat°φ nap°φklad McAfee. Ten se
koncentruje na obranu p°ed scannovßnφm port∙ a ·toky z webu. Tuto ·lohu °eÜφ
ale dob°e. McAfee vede dφky mnohem p°φjemn∞jÜφmu ovlßdßnφ. Ale samotnß
ochrana p°ed IP ·toky dnes ji₧ v datovΘm provozu internetu nestaΦφ. P°φliÜ
snadno se m∙₧e nep°φtel vplφ₧it p°es ActiveX a Javu trojskΘ kon∞ a vÜemo₧nΘ
dialery. Firewall pro PC musφ um∞t chrßnit i p°ed nimi - a takΘ p°ed
spamem na webov²ch strßnkßch. Vφt∞zstvφ v testu tak proto m∙₧e p°ipadnout
programu ZoneAlarm Pro - chybφ mu sice filtr webovΘho obsahu, ale pokud ho
nepot°ebujete, nebo kladete d∙raz na jednoduÜÜφ obsluhu, bude ZoneAlarm vaÜim
favoritem. DruhΘ mφsto zaujal Norton Personal Firewall 2004 od Symantecu.
Tento program nabφzφ jednoduchou obsluhu a speciality jako ochranu osobnφch
dat.
.
