Firewally proti síťovým
útokům Firewally proti síťovým
útokům
Mají hlídat porty, sledovat útočníky, chránit před zhoubným programovým kódem a nejlépe ještě blokovat bannery. Který firewall tyto úkoly zvládne nejlépe? Odvažujete se ještě bez firewallu do sítě? Pokud ano, pak jste buď velmi odvážní nebo online vždy jen na krátou dobu, neboť čím déle je váš počítač spojen s internetem, tím náchylnější je k útokům: § Scannery portů se pokoušejí mezerami propašovat červy nebo získat kontrolu nad Vaším PC. § Řídící prvky ActiveX se velmi snaží instalovat na vašem PC "zlý software" jako např. dialery. § Datoví špióni mají radost z každého drobku, který zanechají vaše cookies.
Primárním úkolem firewallu samozřejmě je oddělit počítač od internetu tak, že škůdci vůbec nemohou prosadit. Ale výrobci své programy již dávno rozvinuli do všestranných nástrojů: Mnoho kandidátů blokuje reklamní bannery a pop-up okna, zabraňuje dialerům a prohlíží e-maily na trojské koně. Bezplatné nástroje nebo firewall integrovaný ve Windows XP zde nemohou držet krok, jim tyto funkce chybí - o příručkách ani nemluvě. Dokonce ani v současnosti nejvíce nebezpečné řídicí prvky ActiveX nedostanou pod kontrolu. V případě kandidátů testu jsme laťku vědomě nastavili výše: Za 40 až 50 eur očekáváme nejen základní ochranu se scannováním portů, ale také filtry Java a ActiveX, variabilní stupně bezpečnosti i srozumitelnou konfiguraci. Vybrali jsme tři nejznámější zahraniční firewaly a vyzkoušeli je za vás. V příštím čísle Chipu na vás navíc čeká dlouhodobý test zajímavého "balíku" Norton Internet Security 2004.
ZoneAlarm
Pro 4:
ZoneAlarm patří k nejznámějším firewallům (rozšířila se především
bezplatná varianta). Jeho výrobce Zonelabs se ale snaží i v případě námi
testované profesionální verze. Již asistent, který provádí instalací, je
příkladný. Klade srozumitelné otázky a nastaví omezovače bannerů a pop-up
oken stejně jako funkci oznamování, aby alarm byl skutečně spuštěn jen
tehdy, když se děje něco nebezpečného. Také uživatelské rozhraní působí
uklizeně a přehledně. Ochranná opatření se dají hrubě nastavit pomocí
posuvníků nebo detailně definovat pomocí pravidel. Jestliže se více uživatelů
dělí o jeden počítač, může administrátor navíc chránit svá nastavení
ZoneAlarmu heslem. Malé nedostatky ale najdete i zde. Například na úvodní
stránce sice ZoneAlarm ukazuje, před kolika útoky počítač zachránil, ale
odkaz na příslušné záznamy protokolu chybí. A filtr bannerů je trochu příliš
důsledný a zamete vedle reklamních bannerů občas také některé obrázky.
Za příplatek deset dolarů však dostanete verzi s "blacklistem", což
je databáze známých rozesilatelů spamu, která zastaví webovou reklamu dříve,
než se stačí na PC rozšířit. Vedle ochrany proti scannerům portů, bannerům
a pop-up oknům nabízí ZoneAlarm Pro 4 dodatečná obranná opatření pro e-maily,
aby odřízl podezřelé přílohy, ale proti vychytralým špionům je to ale
trochu málo. Přesvědčivá jsou naproti tomu definovatelná pravidla pro
programy stejně jako možnost zpětného sledování pokusů o útok. Celkově
dostanete se ZoneAlarmem Pro celistvý produkt, který je lehce ovladatelný a
velmi výkonný a tudíž je i našim jasným tipem.
Norton
Personal Firewall 2004:
Norton Firewall se ve verzi 2004 dá ovládat sympaticky a jednoduše. Krátké
a srozumitelné texty všude vysvětlují, co se za funkcemi skrývá. Zato se
ovšem uživatel musí vzdát kontextové nápovědy přes klávesu F1. Nápověda
je k dispozici pouze při kliknutí na tlačítko "Další informace".
Chvályhodné jsou detailní protokoly, které přesně informují o okamžiku a
druhu útoku - simulované ataky během testu uložil Norton spolehlivě s daty
o spojení. Červy a trojské koně firewall odstranil také spolehlivě podle
databáze signatur známých škůdců. Praktické jsou mazané bonusové
funkce: mobilní uživatelé přepínají mezi několika sadami pravidel, které
shrnou pod hesly jako "kancelář", nebo "na cestách". Tímto
způsobem se firewall přizpůsobí okolí. Omezovače reklamy tohoto firewallu
se integrují jako nabídka do Internet Exploreru; bez reptání odstraní
bannery a vyskakovací okna. Smysluplná pop-up okna pro jednotlivé webové stránky
nelze definovat. Program zato nabízí ochranu pro "důvěrná data".
Princip je následující: soubory s citlivým obsahem již nelze automaticky
poslat po internetu nebo přiložit k e-mailům. Norton firewall se přímo nabízí
pro ty uživatele, kteří se mohou vzdát komplexního jemného nastavení, ale
přesto kladou důraz na dobrou celkovou ochranu.
McAfee Personal
Firewall Plus 5:
McAfee sází na čistý firewall, neboť příliš mnoho doplňků u něj
nenajdete. Porty jsou blokovány spolehlivě, pravidla lze určit pro jednotlivé
programy. Kromě toho je možno z firewallu vyloučit IP adresy a jejich
rozsahy, například lokální síť. To je také všechno. Při instalaci se
asistent dotazuje, od kterého stupně má začít alarm firewall. To je důležité,
protože program při příliš nízkém prahu alarmu má sklon k vydávání
zbytečných varovných hlášení. Obsluha software je jednoduchá a
srozumitelná i začátečníkům. Z úvodní stránky vedou odkazy k souboru
protokolu. V něm uložené události se dají třídit a archivovat. Praktické
je, že na jedno kliknutí na položku menu "Více informací" k událostem
vás dovede na server, který sdělí bližší informace o napadeném portu.
Najdou se ale i nevýhody: Neexistují žádné mechanismy pro blokování útočného
kódu nebo nevyžádané reklamy. Stejně tak postrádáme možnost u jednotlivých
aplikací uvolnit respektive zablokovat pouze určité porty. A právě kvůli
zmiňované hubené výbavě McAfee Personal Firewall nedosáhne v našem
minitestu na přední místa - i freewarové nástroje sotva nabízejí méně.
Bezplatné firewally
Freewarové firewally nejsou tak komfortní a obsáhlé jako placené
produkty, ale nabízejí spolehlivou základní ochranu. Chip vám na příkladu
Sygate Personal Firewall ukáže, jak ubráníte své PC.
Se
ZoneAlarmem všechno začalo. Jak se první dobrý bezplatný firewall stával
stále populárnějším, značně rostl také obecný zájem o firewally. V důsledku
toho bylo brzy k dispozici půl tuctu bezplatných ochranných balíků. Avšak
pole se pročistilo. Dříve často favorizovaný "Tiny Firewall"
mutoval do komerčního "Personal Firewall", jiní freewaroví oblíbenci
osekali rozsah funkcí, aby uživatel pokud možno rychle přešel na placenou
variantu. Kerio například po 30 dnech vypíná filtry webu. Bezplatná
varianta ZoneAlarmu oproti profesionálnímu produktu neobsahuje filtry reklamy
a webu a také v e-mailech již nehledá podezřelé subjekty, které mají namířeno
na datový interiér příjemce. Přesto ještě existuje několik dobrých
bezplatných firewallů, které sice neposkytují všechny možnosti profesionálních
programů, ale ochrání vaše PC přinejmenším na internetových portech.
Abyste hned mohli začít bezpečně surfovat, Chip pro Vás připravil kurz k
firewallu Sygate. Mezi jeho výhody patří i to, že nemá skoro žádná funkční
omezení v bezplatné verzi, nabízí robustní ochrannou funkci a četné možnosti
konfigurace. To nejlepší na tomto levném blokovači je, že je sotva horší
než jeho velký bratr a nabízí tak tolik funkcí jako jiné placené
programy.
1. Na CD najdete bezplatnou verzi Sygate Firewall. Asistent vám pomůže při
instalaci, potom ještě restartuje PC, než se aktivuje firewall.
2. Přizpůsobení stupňů bezpečnosti Přejděte v liště menu na Security.
Při nastavení "normální" budou používána vámi určená
pravidla. Otazník znamená "pokaždé se zeptat", křížek představuje
"vždy blokovat" a háček znamená "vždy povolit".
3. Nastavení spojení Nyní je firewall připraven fungovat. Program se od
tohoto okamžiku při každém novém spojení zeptá na Váš souhlas. Jestliže
si má počítač vaši odpověď hned pamatovat pro příště, aktivujte
funkci "Remember my answer, and do not ask me again for this application".
Jakmile je nějaká aplikace blokována, objeví se malé okno na pravém dolním
okraji obrazovky, zde se dozvíte, která aplikace právě chce sestavit spojení.
4. Nastavení LAN Přejděte na "Tools | Advanced Rules | Add | Allow this
traffic". Otevřete záložku "Hosts". Zvolte pro "Subnet"
rozsah IP 192.168.0.0 a jako masku podsítě 255.255.255.0. Nyní jsou (lokální)
IP adresy od 192.168.0.1 do .254 uvolněny pro komunikaci.
| Produkt | ZoneAlarm Pro 4 | Norton Personal Firewall 2004 | McAfee Personal Firewall Plus 5.0 |
| Výrobce | Zonelabs | Symantec | McAfee |
| Internet (www.) | zonelabs.com | symantec.com | mcafee.com |
| Cena (cca) | 50 eur | 50 eur | 40 eur |
| Celkové hodnocení | 87 | 74 | 67 |
| Výkon (75%) | 83 | 69 | 59 |
| Instalace a obsluha (15%) | 100 | 80 | 87 |
| Bezpečnostní test scannování portů (10%) | 100 | 100 | 100 |
| Cena/výkon | velmi dobře | uspokojivě | dobře |
| Shrnutí | Díky programu pro učení a dobré výbavě je to náš tip. Na promyšlené instalaci a dobré přehlednosti je vidět zkušenost výrobce. Vhodné pro začátečníky a profesionály. | Firewall s jednoduchou obsluhou, dobrým vybavením a téměř nepokazitelnou instalací a konfigurací. Ideální pro začátečníky, kteří hledají komplexní ochranu s mnoha vlastnostmi navíc. | Firewall McAfee je za výhodnou cenu a dá se velice snadno ovládat. Jeho hubené vybavení ale již neodpovídá dnešnímu standardu, protože chybí komplexní filtry reklamy a webu. |
| Výkon | |||
| Rychlé přepínání mezi bezpečnostními stupni | jen zapnout/vypnout | jen zapnout/vypnout | v pěti stupních |
| Funkce protokolu | • | • | • |
| Upozornění emailem | – | – | – |
| Pravidla pro jednotlivé programy | • | • | • |
| Automatický update | • | •/1 rok | • |
| Filtr webového obsahu | – | – | – |
| Filtr Java (Java/Javascript) | •/• | •/– | –/– |
| Filtr ActiveX/cookies | •/• | •/• | –/– |
| Zpětné sledování | • | • | • |
| Integrované blokování reklamy (bannery/pop-up okna) | •/• | •/• | –/– |
| Konfigurace pro LAN a WAN (IP adresy, rozsahy adres) | obojí možné | obojí možné | obojí možné |
| Povolení a vyloučení IP adres | obojí možné | obojí možné | obojí možné |
| Blokování podle IP/času/URL | •/•/• | •/–/– | •/•/– |
| Scannování e-mailů | • | – | – |
| Uvolnění jednotlivých portů | • | • | • |
| Instalace a obsluha | |||
| Automatický start po založení CD | • | • | • |
| Asistent konfigurace | • | • | • |
| Rozpoznání LAN | • | • | • |
| Program pro učení | • | – | – |
| Online nápověda | • | • | • |
| Kontextová nápověda | • | • | • |
| Bezpečnostní scannování portů | |||
| Scannování portů (nmap) | obstál | obstál | obstál |
| Vulnerability Scan Internet | obstál | obstál | obstál |
Scannování portů
Takto otestujete svůj firewall Online test: Myslíte si, že Vaše PC je
zabezpečené? Tak ho sami otestujte. Navštivte webový server www.auditmypc.com
a klikněte tam na "Security". Na stránce, která se nyní objeví,
zatrhněte rámeček vedle "I Agree" a nechte spustit scannování. Výsledky
testu přijdou obratem - jestliže nějaké jsou. Pokud je uprostřed zapojený
firewall, neměly by se totiž objevit žádné otevřené porty. A i když se
objeví, nemusíte se bát: online test je zcela anonymní, důvěrná data se
nepřenášejí. Zato vás tento server u otevřených portů dokonce ještě
informuje, kteří škůdci mohou tyto mezery využít. Offline test: Scannování
portů můžete samozřejmě také provést z počítače s Windows. To se
vyplatí například tehdy, když chcete prozkoumat několik PC ve Vaší síti
na bezpečnostní mezery. Zkuste to s "Knockerem". Tento program open
source scannuje porty na libovolné IP adrese ve Vaší síti. Vezměte však v
úvahu, že v lokální síti jsou restrikce firewallů často zrušené a více
portů volných. Na příslušném PC proto předem vypněte privilegia pro lokální
síť. Tento praktický nástroj naleznete spolu s grafickým rozhraním (verze
"frontend" 0.66) na internetu na adrese http://knocker.sourceforge.net.
Na bezpečnosti a komfortu záleží
Testovací laboratoř Chipu nainstalovala osobní firewally na počítači s
Windows XP Home čerstvě instalovanými pro každý test. Tato verze Windows
byla předtím opatřena všemi aktuálními bezpečnostními záplatami (stav
listopad 2003). § Rozsah výkonu (75%) V rozsahu výkonu se počítají blokovače
reklamy a pop-up oken stejně jako ochranné mechanismy proti prvkům ActiveX a
kódu Java. Stejně důležitá je schopnost určit pro každý jednotlivý
program vlastní pravidla. Kromě toho mají kandidáti testu cíleně blokovat
nebo uvolnit jednotlivé IP adresy nebo jejich rozsahy i jednotlivé porty. Důležitá
komfortní funkce je rychlé přepnutí bezpečnostních stupňů na liště úloh,
aby se pro speciální aplikace dala rychle uvolnit nastavení. § Obsluha (15%)
Nejdůležitější nástroj obsluhy je asistent, který pomáhá při nastavení
firewallu a vysvětlí nutné kroky. Za online nápovědu a programy pro učení
byly body navíc. § Bezpečnostní test scannování portů (10%) Testovací
laboratoř Chipu podrobila každý firewall testu scannerem portů nmap (www.insecure.org/nmap)
v lokální síti. Navíc se musel každý firewall podrobit simulovanému útoku
přes server www.auditmypc.com
a být aktivní několik dní za reálných podmínek surfování na internetu.
Shrnutí
Oblast firewallů prodělala v posledním roce obrovské změny. Ze surových,
sotva srozumitelných balíků pro znalce se staly celistvé, jednoduše
ovladatelné softwarové pomůcky. Pole našeho minitestu lze pro lepší
orientaci rozdělit na programy, které chrání před aktivním obsahem a
reklamou, a na čisté firewally. K puristům patří například McAfee. Ten se
koncentruje na obranu před scannováním portů a útoky z webu. Tuto úlohu řeší
ale dobře. McAfee vede díky mnohem příjemnějšímu ovládání. Ale samotná
ochrana před IP útoky dnes již v datovém provozu internetu nestačí. Příliš
snadno se může nepřítel vplížit přes ActiveX a Javu trojské koně a všemožné
dialery. Firewall pro PC musí umět chránit i před nimi - a také před
spamem na webových stránkách. Vítězství v testu tak proto může připadnout
programu ZoneAlarm Pro - chybí mu sice filtr webového obsahu, ale pokud ho
nepotřebujete, nebo kladete důraz na jednodušší obsluhu, bude ZoneAlarm vašim
favoritem. Druhé místo zaujal Norton Personal Firewall 2004 od Symantecu.
Tento program nabízí jednoduchou obsluhu a speciality jako ochranu osobních
dat.
.
