home *** CD-ROM | disk | FTP | other *** search
/ Chip 2003 April / Chip_2003-04_cd1.bin / obsahy / Chip_txt / txt / 64-67.txt < prev    next >
Text File  |  2003-02-27  |  15KB  |  74 lines
  1. Perfektnφ firewall 
  2. Surfovßnφ ji₧ dßvno nenφ bezpeΦnΘ: cracke°i se pomocφ r∙zn²ch nßstroj∙ sna₧φ pronikat do cizφch sφtφ a poΦφtaΦ∙. StaΦφ jim t°eba jedna rafinovan∞ naprogramovanß webovß strßnka a u₧ nejste pßny svΘho systΘmu. 
  3.  
  4. Ochranou proti t∞mto ·tok∙m jsou bezesporu firewally. My vßm t°i takovΘto programy, urΦenΘ pro r∙znΘ typy u₧ivatel∙, p°edstavφme a vysv∞tlφme vßm jejich nejd∙le₧it∞jÜφ nastavenφ. 
  5. Firewall nepot°ebuji - kdo by m∞ cht∞l napadat? Takto p°em²Ülφ spousta surfa°∙. ╚ßsteΦn∞ majφ pravdu: ₧ßdn² profesionßlnφ hacker se nebude zajφmat o data Vßclava Novßka z Hornφ Dolnφ. Ale existujφ jeÜt∞ tzv. Script Kiddies, mladφ "cracke°i", z nich₧ v∞tÜina je postrachem prßv∞ drobn²ch u₧ivatel∙. Cracke°i se toti₧ pokouÜφ dostat r∙zn²mi zp∙soby na cizφ poΦφtaΦe, a dodejme, ₧e Φasto ·sp∞Ün∞. Zam∞°ujφ se hlavn∞ na ty poΦφtaΦe, kterΘ nemajφ ₧ßdnou ochranu - p°edevÜφm firewall. Aby vßÜ poΦφtaΦ z∙stal t∞chto ·tok∙ uchrßn∞n, p°edstavφme vßm t°i r∙znΘ firewally a pom∙₧eme vßm s nastavenφm tohoto ochrannΘho softwaru.   
  6.  
  7. Pro zaΦßteΦnφky: ZONEALARM 
  8. JistΘ ·rovn∞ bezpeΦnosti na webu mohou dosßhnout i zaΦßteΦnφci: funkce ZoneAlarmu nejsou slo₧itΘ. Relativn∞ povrchnφ je ale i ochrana, kterou firewall zajiÜ¥uje. 
  9. Mal², zdarma, a p°esto u₧iteΦn² - radost ze spolehlivΘho konceptu ZoneAlarmu (www.zonelabs.com) budou mφt p°edevÜφm zaΦßteΦnφci. V Φasech Windows XP by m∞l ka₧d² u₧ivatel zvlßdnout i obsluhu firewallu. ZoneAlarm se pokouÜφ tento po₧adavek naplnit, a dokonce zdarma. Nastavenφ ·rovn∞ bezpeΦnosti: Jakmile otev°ete ZoneAlarm, m∙₧ete pod polo₧kou "Firewall" pomocφ dvou posuvn²ch regulßtor∙ nastavit ·rove≥ bezpeΦnosti systΘmu. "Internet Zone" popisuje celou oblast internetu - zde byste m∞li nastavit "High". P°i skenu port∙ pak vßÜ poΦφtaΦ v∙bec neodpovφ - ·toΦnφk za testovanou IP adresou prost∞ neuvidφ ₧ßdn² poΦφtaΦ. 
  10. Definice pravidel firewallu: Spus¥te ZoneAlarm a surfujte jako obvykle po webu; fungujφ i e-mailovΘ slu₧by a on-line hry. Jedin²m rozdφlem je skuteΦnost, ₧e p°i prvnφm spuÜt∞nφ programu, kter² mß p°φstup k internetu, se firewall zeptß, jestli tento p°φstup schvalujete. ╚asem ZoneAlarm sesbφrß formou otßzka a odpov∞∩ seznam program∙, kterΘ majφ p°φstup povolen. P°φpadnΘmu vßm neznßmΘmu programu tedy nesmφte unßhlen∞ povolit p°φstup - lepÜφ je p°i nejasnΘm pokusu o spojenφ aplikaci zablokovat a potΘ se podφvat, jestli n∞jak² program nepracuje chybn∞. Tento zßkaz p°φstupu m∙₧ete p°i omylu snadno odstranit: klikn∞te v ZoneAlarmu na zßpis "Program Control" - zde jsou ulo₧ena vÜechna sestavenß pravidla firewallu. 
  11. Nepou₧itelnß ochrana e-mailu: Ochrana e-mailu je v bezplatnΘ verzi ZoneAlarmu relativn∞ ne·Φinnß. Firewall blokuje jen VisualBasic skripty; mnoha jin²ch, stejn∞ tak nebezpeΦn²ch soubor∙ jako EXE si ani nevÜimne. Na tuto "ochranu" se proto nespolΘhejte! 
  12. Rozpoznßnφ slabΘho mφsta: Na internetu a tφm vlastn∞ vÜude - je obecn∞ znßmo, ₧e ZoneAlarm mß mnoho nedostatk∙. Nejzßva₧n∞jÜφ je ten, ₧e firewall neumφ ·sp∞Ün∞ a v₧dy blokovat trojskΘ kon∞. K tomu dochßzφ tehdy, pokud se tento program p°ed spuÜt∞nφm ukryje a p°ejmenuje. Zkrßtka, p°evezme-li trojsk² k∙≥ nap°. jmΘno Internet Exploreru, lehce tak firewall p°elstφ. 
  13. Zßv∞r: ZoneAlarm je rychle p°ipraven ke snadnΘmu pou₧itφ. Nev²hoda firewallu je takΘ z°ejmß, je jφ p°edevÜφm nedostateΦnß flexibilita. Tento firewall m∙₧e proto zaruΦit bezpeΦnost pouze v minimßlnφm rozsahu.   
  14.  
  15. Pro pokroΦilΘ: NORTON INTERNET SECURITY 2002 
  16. Norton Internet Security je mezi firewally proslul²: aΦkoliv je jeho obsluha relativn∞ jednoduchß, nabφzφ spoustu mo₧nostφ konfigurace pro vÜechny situace. 
  17. Symantec (www.symantec.com) slibuje p°i pou₧φvßnφ programu Norton Internet Security (NIS) profesionßlnφ ochranu, a to dφky jednoduchΘmu principu. Pokud chcete, m∙₧ete ka₧dΘmu jednotlivΘmu datovΘmu proudu uzav°φt p°φstup k poΦφtaΦi. Jinak si samoz°ejm∞ m∙₧ete u₧φvat komfortu mnoha automatick²ch funkcφ, kterΘ usnad≥ujφ konfiguraci p°inejmenÜφm u znßm²ch program∙. 
  18. Update po instalaci: Ihned potΘ, co nainstalujete NIS na sv∙j poΦφtaΦ, m∞li byste provΘst live update u Symantecu. Jen tak toti₧ m∙₧e firewall rozpoznat a blokovat vÜechny ·toky. Kupce softwaru Symantec po dobu jednoho roku bezplatn∞ "zßsobuje" d∙le₧it²mi bezpeΦnostnφmi updaty. 
  19. Stanovenφ zßkladnφch nastavenφ: Norton Internet Security se uhnφzdφ na liÜt∞ ihned po spuÜt∞nφ. Poklepßnφm na symbol otev°ete okno programu - tady na vßs Φekß jednoduchß konfigurace. Jakmile aktivujete v levΘ Φßsti okna pole "Personal Firewall", m∙₧ete provΘst pomocφ n∞kolika posuvn²ch regulßtor∙ zßkladnφ nastavenφ firewallu. V prvnφ oblasti - "Personal Firewall Settings" - by m∞l b²t posuvnφk nastaven na pozici "High". P°i tomto nastavenφ toti₧ musφ ka₧d² program po₧ßdat o svolenφ, chce-li navßzat spojenφ s internetem. 
  20. Vyu₧itφ profesionßlnφch features: Ve srovnßnφ se ZoneAlarmem je rozhodujφcφ p°ednostφ programu Norton Internet Security skuteΦnost, ₧e u₧ivatel nemusφ programu povolit pouze a jen kompletnφ komunikaci s internetem. Jakmile se aplikace pokusφ poprvΘ navßzat spojenφ s internetem, zeptß se vßs NIS, jak mß s tφmto po₧adavkem naklßdat. Klepn∞te na "Customize Internet access for this application". Nejprve se firewall zeptß, jestli chcete p°φstup aplikace k internetu blokovat, uvolnit, nebo kontrolovat. PotΘ musφte urΦit, v jakΘm sm∞ru mß toto pravidlo platit - zdali pouze p°i odesφlßnφ, p°i p°ijφmßnφ, nebo v obou sm∞rech cesty dat. Nakonec musφ Norton Internet Security jeÜt∞ zjistit, kdy toto pravidlo platφ. V menu jsou na v²b∞r dv∞ mo₧nosti: p°φstup na v²Üe uvedenou IP adresu, p°φpadn∞ webovou strßnku, nebo na celou protistranu. 
  21. Dßle m∙₧ete p°esn∞ urΦit, p°es kterΘ porty program data (TCP nebo UDP protokol) odesφlß nebo p°ijφmß. KterΘ porty kterß aplikace pro urΦit² ·kol vyu₧φvß, je zpravidla uvedeno na webovΘ strßnce v²robce. Pomocφ tΘto funkce programu Norton Internet Security m∙₧e b²t nap°φklad vylouΦen e-mailov² program z komunikace na portu 80 (HTTP). To mß jeden pozitivnφ efekt: aktivnφ obsahy HTML e-mail∙ nemohou b²t od odesφlatele nahrßny - takovΘto metody vyu₧φvajφ Φasto zasilatelΘ reklamy, aby se p°esv∞dΦili o tom, ₧e dan² e-mail byl opravdu p°eΦten. 
  22. Oprava chyb: Pokud jste nap°. neuvß₧en²m klepnutφm zakßzali prohlφ₧eΦi komunikovat s webem, m∙₧ete tuto chybu odstranit. Pod "Personal Firewall" jd∞te na "Internet Access Control". Zde vidφte pravidla firewallu, kterß jste pro jednotlivΘ programy vytvo°ili. StaΦφ jedno klepnutφ na "Modify" a vÜe je, jak mß b²t. POZOR: Jednotliv²m program∙m dßvejte k dispozici pouze ty porty, kterΘ opravdu pot°ebujφ. Nap°. prohlφ₧eΦ by m∞l mφt p°φstup pouze na porty 21 (FTP; File Transfer Protocol), 80 (HTTP; webovΘ strßnky) a 443 (HTTPS; k≤dovanΘ spojenφ na webovΘ strßnky) a na remote PC (vzdßlen² poΦφtaΦ, webovΘ a FTP servery). Ka₧dΘ dalÜφ uvoln∞nφ oslabuje firewall. 
  23. Odrß₧enφ ·tok∙: Za tlaΦφtkem "Intrusion Detection" se skr²vß °φdicφ centrum, pomocφ kterΘho uchrßnφte sv∙j poΦφtaΦ p°ed napadenφm hackera. Tady staΦφ, kdy₧ zatrhnete "Enable Intrusion Detection". Toto rozpoznßvßnφ pr∙nik∙ slou₧φ k tomu, aby byl hacker firewallem identifikovßn - nap°. kdy₧ se pokouÜφ navßzat spojenφ s vaÜφm poΦφtaΦem a vyu₧φt k tomu internetov² port, kter² je b∞₧n∞ vyu₧φvßn trojsk²mi ko≥mi. Norton Internet Security ihned zablokuje jakoukoli komunikaci IP adresy hackera s vaÜφm poΦφtaΦem. To znamenß, ₧e je ·pln∞ jedno, jak² po₧adavek hacker zaÜle, poΦφtaΦ prost∞ nereaguje. 
  24. Aktivace p°φdavn²ch funkcφ: Norton Internet Security nabφzφ n∞kterΘ features, kter²mi b∞₧n² firewall nedisponuje. Pod "Privacy Control" najdete mo₧nost nastavit, kolik dat chcete p°i surfovßnφ blokovat. DoporuΦujeme nastavit jezdce na "High", proto₧e tak se firewall v₧dy bude dotazovat na vpuÜt∞nφ Cookie, AktiveX skriptu, ka₧dΘ Flash animace a ka₧dΘho Java Appletu. Toto nastavenφ vßs sice ze zaΦßtku bude sv²mi neustßl²mi dotazy p°i surfovßnφ obt∞₧ovat, ale po Φase se utvo°φ podrobn² ochrann² profil, pomocφ n∞ho₧ p°i°adφte webov²m strßnkßm pouze urΦitß prßva. 
  25. Tato funkce by sice mohla b²t p°ejata i Internet Explorerem, ale Norton-firewall je opravdu d∙v∞ryhodn² software - nem∞li byste se tedy pouÜt∞t do experiment∙ s nejist²m prohlφ₧eΦem Microsoftu. 
  26. Chcete-li, m∙₧ete pod "Ad Blocking" aktivovat jeÜt∞ reklamnφ filtr programu Norton Internet Security. Filtr je ale mßlo efektivnφ, pro blokovßnφ reklamy jsou k dispozici daleko lepÜφ programy (nap°. Webwasher, www.webwasher.de). 
  27. Z┴V╠R: Atraktivnφ kombinace - Symantec nabφzφ prost°ednictvφm programu Norton Internet Security paket pro vÜechny surfa°e, kte°φ vy₧adujφ jednoduchΘ ovlßdßnφ spojenΘ s dobr²mi mo₧nostmi nastavenφ. P°ilo₧en² antivirov² program cenu 70 a₧ 80 eur p°ece jen trochu opticky vylepÜuje. 
  28.  
  29. Pro profesionßly: KERIO PERSONAL FIREWALL 
  30. Komplikovan², ale bezpeΦn²: Kerio je firewall pro zkuÜenΘ kontrolovacφ fanatiky. P°es tuto ochrannou ze∩ se nedostane ₧ßdn² datov² paket, kter² si s u₧ivatelem netykß. 
  31. Pono°it se s firewallem Kerio do hlubin internetov²ch protokol∙ a port∙ hraniΦφ s masochismem. V²sledek ale vynahradφ veÜkerou nßmahu: s tφmto softwarem se zbavφte necht∞n²ch "asistent∙". To nejlepÜφ jsme si nechali na konec - pro soukromΘ u₧ivatele je tento profesionßlnφ nßstroj zdarma. Nastavenφ pravidel: TakΘ Kerio se po instalaci nachßzφ v "uΦebnφm" modu, kdy se u ka₧dΘ aplikace, kterß chce na internet, dotß₧e na povolenφ. P°i ka₧dΘm dotazu firewallu byste m∞li klepnout na "Create appropriate filter rule and don't ask again". PotΘ Kerio otev°e okno konfigurace, ve kterΘm m∙₧ete definovat jednotlivΘ parametry firewallu. Nßsledujφcφ nastavenφ se v₧dy vztahujφ na aplikace, kv∙li kter²m firewall Kerio spustil poplach. 
  32. Detaily nastavenφ: 
  33. "Local Endpoint" definuje port, kter² mß program na vaÜem poΦφtaΦi pou₧φvat. 
  34. "Remote Endpoint" je rozd∞len na IP adresu poΦφtaΦe p°ipojenΘho na internet a port na protistran∞. Pokud by tedy nap°. Internet Explorer spustil poplach, m∙₧e prohlφ₧eΦ jako "Local Endpoint" pou₧φt ka₧d² port vaÜeho poΦφtaΦe. Jako IP adresu protistrany musφte uvolnit ka₧dou IP, pokud nechcete nastavit p°φstup pouze na jednu webovou strßnku. Jako port pro "Remote Endpoint" je urΦen p°edevÜφm port 80. Ale to je vÜechno jen zßkladnφ nastavenφ. JemnΘ dolad∞nφ byste m∞li provΘst v nßsledujφcφch konfiguraΦnφch krocφch. 
  35. Optimßlnφ p°izp∙sobenφ: Firewall m∙₧ete kdykoli konfigurovat i bez poplachu. Klepn∞te prav²m tlaΦφtkem myÜi na ikonu Keria na liÜt∞ a vyberte bod "Administration". V prvnφm okn∞ "Firewall" lze nastavit jednu ze t°φ bezpeΦnostnφch ·rovnφ Keria: 
  36. "Permint Unknown" nechß projφt ka₧d² datov² paket, kter² nebyl vysloven∞ zakßzßn n∞kter²m pravidlem firewallu. 
  37. "Ask me first" se vßs p°i ka₧dΘm novΘm druhu komunikace dotß₧e, jestli pro n∞j chcete vytvo°it pravidlo. 
  38. "Deny unknown" blokuje vÜechna data, dokud pro n∞ nenφ vytvo°eno pravidlo. 
  39. "Advanced". Toto tlaΦφtko vßs dovede k samotnΘmu srdci firewallu. Zde m∙₧ete upravovat vÜechna do tΘ doby vytvo°enß pravidla a zaklßdat novΘ filtry. 
  40.  
  41. Vybudovßnφ bezpeΦnosti: Pro ka₧dou dalÜφ aplikaci musφte samoz°ejm∞ zalo₧it novΘ pravidlo - p°ehled nejΦast∞ji pou₧φvan²ch port∙ najdete v tabulce, velmi obsßhl² seznam je k dispozici na webovΘ strßnce www.iana.org/assignments/port-numbers. IANA (Internet Assigned Numbers Autority) je organizace, kterß zadala nejd∙le₧it∞jÜφ Φßst port∙: tzv. "well known Ports" od 0 do 1.023. U t∞chto port∙ je stanoveno, jakß data p°es n∞ mohou b²t vym∞≥ovßna, co₧ velmi zjednoduÜuje konfiguraci a pou₧itφ program∙. 
  42. Tak nap°. FTP nßstroj automaticky vφ, ₧e musφ vybrat standardnφ port 21. V oblasti od 1.024 do 49.151 le₧φ tzv. "Registered Ports", kterΘ jsou mΘn∞ standardizovßny. Nad hranicφ "Registered Ports", tzn. 49.152 a₧ 65.535, panuje v podstat∞ anarchie. "Dve°e do internetu", oznaΦovanΘ jako "Dynamic Allocated" nebo takΘ "Private Ports", m∙₧e vyu₧φvat ka₧d² software nachßzejφcφ se na poΦφtaΦi. Oklamßnφ trojsk²ch konφ: Pro zablokovßnφ jakΘhokoli p°enosu dat p°es internet, dokud nenφ aktivovßn firewall, staΦφ jeden mal² zßpis do registr∙. Pracujete-li pod Windows 98 nebo Me, musφte klepnutφm pravΘho tlaΦφtka myÜi zalo₧it do registr∙ v adresß°i "HKEY_LOCAL_MACHINE | System | CurrentControlSet | Services | VxD | fwdrv" DWORD zßpis se jmΘnem "AlwaysSecure". Tomuto zßznamu potΘ p°i°a∩te hodnotu "1". 
  43. Ve Windows NT, 2000 a XP musφte vytvo°it v registrech zßpis "HKEY_LOCAL_MACHINE | System | CurrentControlSet | Services | fwdrv". Editor registr∙ otev°ete p°es "Start | Spustit" p°φkazem "regedit". 
  44. Pak nemajφ ₧ßdnou Üanci ani takovφ trojÜtφ kon∞, kte°φ se pokusφ vy°adit stßvajφcφ firewall. Tφmto krokem zφskßte p°ed crackery mal² nßskok. D∙vod: Trojsk² k∙≥ by musel nejprve odstranit zßpis z registr∙ a teprve potΘ by mohl deaktivovat firewall a pracovat, jak je zvykl². 
  45. Uzav°enφ mezer ve firewallu: Zablokujte protokol ICMP (Internet Control Message Protocol) pro vÜechny porty svΘho poΦφtaΦe i pro poΦφtaΦe vzdßlenΘ. V obou p°φpadech to platφ jak pro odesφlßnφ, tak i pro p°φjem. D∙vod: ICMP je v∞tÜinou zodpov∞dn² za p°enos chyb a hlßÜenφ o stavu. (P°φkaz Ping je znßm² ka₧dΘmu sprßvci sφt∞ - chyt°φ "datovφ pirßti" mohou ale p°es tento protokol vy°adit veÜkerΘ firewally, a to tak, ₧e data jednoduÜe schovajφ do pings. P°i pou₧itφ t∞chto filtrovacφch pravidel p°irozen∞ p°φkaz Ping nefunguje.) 
  46. Z┴V╠R: Firewall Kerio je flexibilnφ, bezpeΦn² a zadarmo. ╚etnß nastavenφ ale p°edstavujφ pro laika jist² problΘm a zvyÜujφ pravd∞podobnost chybnΘho nastavenφ. 
  47. Markus Schmid, Petr Kratochvφl
  48.  
  49.  
  50.  
  51. KONTROLA BEZPE╚NOSTI 
  52. JAK OTESTUJETE FUNK╚NOST FIREWALLU 
  53. Kdy₧ nainstalujete firewall, zaΦφnß dalÜφ fßze - tou je jemn² tuning. N∞jakΘ to nastavenφ p°ehlΘdnete v₧dycky, ale existujφ webovΘ strßnky, kterΘ nabφzejφ mo₧nost otestovat zabezpeΦenφ vaÜeho poΦφtaΦe. 
  54.  
  55. www.qualys.com 
  56. BezpeΦnostnφ experti Qualysu chrßnφ systΘmy bank a velk²ch IT firem - nabφzejφ ale takΘ n∞kolik bezplatn²ch funkcφ. Na hlavnφ strßnce klepn∞te pod "Resources" na "Free Tools". Tam m∙₧ete otestovat dvacet nejohro₧en∞jÜφch mφst svΘho poΦφtaΦe, pou₧φt r∙znΘ detektory trojsk²ch konφ nebo spustit kompletnφ bezpeΦnostnφ prov∞rku svΘho systΘmu. 
  57.  
  58. www.grc.com 
  59. BezpeΦnostnφ strßnka Stevena Gibsona nabφzφ pod odkazem "Shields UP" dva r∙znΘ testy vaÜeho firewallu. Zatφmco "Test my Shields" prov∞°uje znßmΘ slabiny, "Probe my Ports" testuje Φßst komunikaΦnφch port∙ vaÜeho poΦφtaΦe. 
  60.  
  61. www.auditmypc.com 
  62. I na tΘto strßnce mßte mo₧nost provΘst sken port∙ (portscan) svΘho poΦφtaΦe. Vyhodnocenφ sice n∞jakou dobu trvß, ale za podrobnou anal²zu firewallu to Φekßnφ opravdu stojφ. 
  63.  
  64.  
  65. Na ChipCD najdete: 
  66. ZoneAlarm 3.1 ZoneAlarm 3.1 Pro (trial verze) 
  67. Kerio Personal Firewall 
  68.  
  69.  
  70. TIP 
  71. Deaktivace Splashscreen 
  72. P°i ka₧dΘm ·toku se objevφ malΘ okno s upozorn∞nφm o napadenφ - a to vßs Φasem zaΦne obt∞₧ovat. Vy°eÜφte to tak, ₧e ve slo₧ce Po spuÜt∞nφ provedete zm∞nu zßpisu: pod "Start | Programy | Po spuÜt∞nφ" p°idejte v °ßdku "Cφl" k p°φkazu "zonealarm.exe" dodatek "nopopup no-splash".  
  73.  
  74.