W tym oknie sprawdzimy, jaki program za pośrednictwem jakiego portu wysyła dane bądź je odbiera. Klikając link »Połączenia«, poznamy również adres IP odbiorcy.
Czy odważylibyśmy się sterować samolotem, nie mając licencji pilota? Oczywiście, że nie. Już sam wygląd kokpitu wystarczy do zniechęcenia większości osób. Niestety, w przypadku programowych zapór ogniowych nie przejawiamy aż takiego respektu, mimo że ich budowa jest równie skomplikowana co maszyn latających – po prostu włączamy firewall w nadziei, że reszta zrobi się sama. A to tak, jakbyśmy usiedli za sterami samolotu, licząc wyłącznie na autopilota.
Właśnie takie zachowanie sprawia, że zapory ogniowe są poddawane miażdżącej krytyce w Sieci. Najczęstsza rada na forach internetowych zaleca bowiem odinstalowanie wszystkich programowych firewalli, jako że nie dają najmniejszej ochrony, a jedynie niepotrzebnie zajmują zasoby. Krytycy faktycznie mają rację, o ile rozpatrujemy zaporę ogniową souté, bez jej związku z całą resztą systemu immunologicznego współczesnego peceta.
Jednak to, czego użytkownicy potrzebują w rzeczywistości, to kompleksowa ochrona, w której firewall stanowi jedynie jeden z wielu składników. Prezentujemy działanie zapór ogniowych, sposób ich przechytrzenia, a także to, w jaki sposób narzędzia ochronne wykorzystać do utworzenia optymalnej strategii ochronnej.
10 przykazań
1. Nie będziesz posiadać zapór ogniowych poza jedną
Kilka równocześnie uruchomionych zapór ogniowych przeszkadza sobie nawzajem w pracy, co ma negatywny wpływ na działanie peceta.
2. Będziesz blokować wszystko, czego nie znasz
Czy usługa systemowa »wklsd45xqy.exe« chce wysłać pakiet danych? Zablokujmy to. Przynajmniej do czasu, aż dowiemy się, co dokładnie ta usługa wykonuje i kto jest odbiorcą pakietu.
3. Będziesz czcić i kochać logi
Jedynie w plikach logów zapory ogniowej dowiemy się, co naprawdę dzieje się na portach naszego komputera.
4. Nie będziesz pozwalał mi pracować samemu
Zapory ogniowe nie są w stanie powstrzymać wirusów czy koni trojańskich. Dlatego konieczne jest zainstalowanie dodatkowego skanera antywirusowego, narzędzia antyszpiegowskiego oraz Intrusion Detection System – systemu wykrywającego i neutralizującego włamania.
5. Nie będziesz pozostawiać otwartych luk bezpieczeństwa
Jeżeli przeglądarka ma dziurę, to szkodniki przez nią przejdą niezauważenie dla zapory ogniowej. W związku z tym regularne aktualizacje są obowiązkowe.
6. Nie będziesz polegać na ruterach z NAT-em
Rutery z automatyczną translacją adresów (Network Adress Translation) ustalają odbiorcę pakietu, bazując na heurystyce, co pozwala obejść jednoznaczne rozpoznanie za pomocą adresu IP. A tę właśnie cechę hakerzy wykorzystują na swoją korzyść.
7. Nie będziesz zatrudniać zbędnych sług
Każda usługa systemowa, która działa w tle bez naszej wiedzy, stanowi idealne zaproszenie dla hakerów i wirusów. Wyłączmy wszystkie usługi, które są niepotrzebne.
8. Będziesz preferować odmowy w trybie Reject
Zapory ogniowe potrafią blokować zapytania do nieużywanych portów bez komentarza (tryb Stealth) bądź za pomocą odpowiedzi w stylu »Usługa niedostępna« (tryb Reject). Drugie rozwiązanie likwiduje niepotrzebne ostrzeżenia o zagrożeniach.
9. Nie będziesz zbywać ostrzeżenia o zagrożeniu
Jeżeli już otworzy się okno zapory ogniowej, zadajmy sobie ten trud i przeczytajmy informację, którą narzędzie ochronne chce nam przekazać. W innym wypadku zezwalamy koniom trojańskim na swobodny wstęp.
10. Masz prawidłowo skonfigurować system Windows
Zezwalamy każdej osobie w Internecie na dostęp do naszych plików oraz drukarki? W tej sytuacji nawet najlepsza zapora ogniowa nie pomoże...
Oto właściwa strategia: Najpierw zatrzymujemy cały ruch sieciowy, po czym świadomie zezwalamy na niezbędne połączenia.
W firmach z reguły stosuje się firewalle sprzętowe, natomiast zwykli użytkownicy sięgają po narzędzia typu ZoneAlarm albo włączają zintegrowaną z systemem zaporę Windows. Również większość bezprzewodowych ruterów, np. RangeMax N150 firmy Netgear, posiada własny wewnętrzny firewall.
Wszystkie te rozwiązania badają pakiety przychodzące i wychodzące i w razie potrzeby je filtrują, biorąc pod uwagę informacje, takie jak adres IP maszyny źródłowej i docelowej, dane dotyczące portu i protokołu, którym pakiet jest transmitowany. Ponadto programowe zapory ogniowe mają filtr aplikacji, dzięki któremu można indywidualnie dla każdego z zainstalowanych programów ustalić, czy ma on mieć możliwość łączenia się z Siecią.
Wiele programowych firewalli posiada też dodatkowe funkcje, np. tryb uczenia, dostosowujący reguły filtrowania do zachowania konkretnego użytkownika. Filtry treści blokują z kolei składniki ActiveX, skrypty JavaScript czy aplety Javy. Zapory ogniowe wyposażone w tę ostatnią cechę są często opisywane jako „Webshield” albo „Web Application Firewall”. Coraz powszechniej stosuje się też w firewallach tryb niewidzialny („Stealth Modus”), w którym zapora blokuje wszystkie zapytania do nieużywanych portów.
We współczesnych sprzętowych zaporach ogniowych standardem jest funkcja Stateful Packet Inspection (SPI). Sprawia ona, że zwykłe, sztywne reguły filtrowania są dynamicznie rozbudowywane, np. przeglądarka internetowa w czasie pracy uruchamia równolegle wiele połączeń i usług, które także wysyłają i odbierają pakiety danych. SPI podczas ich sprawdzania uwzględnia aktualny stan połączeń. Czy pakiet faktycznie jest wymagany przez któreś z nich? A może jest niezbędny po to, by przeglądarka otrzymała pakiet zwrotny? Na podstawie tych i wielu innych pytań zapora decyduje, czy pakiet ma zostać zablokowany, czy przepuszczony.
Bez względu na metodę filtrowania wykorzystywaną przez firewall cel jest zawsze ten sam: zablokowanie podejrzanych pakietów wysyłanych do naszego komputera z Sieci. Niestety, zapora ogniowa nie pomoże, jeżeli szkodliwe oprogramowanie już dostało się na nasz dysk, mimo że niektórzy producenci twierdzą inaczej. Dlaczego tak się dzieje, wyjaśniamy poniżej.
Kup Najtaniej
Nie jestem wyjątkowym specem, ale zawsze myślałem, że router "wie" dokąd wysłać pakiet, bo "powiedział" mu o tym komputer lub urządzenie, które pakiet wygenerowało. Może to jakiś skrót myślowy, ale dla mnie zbyt duży, bo nic z tego nie rozumiem. Gdyby wziąć to dosłownie, mógłby powiedzieć, że czasem router z NAT-em wysyła pakiety byle gdzie, skoro jego działanie polega na heurystyce (np do BSA zamiast do sieci BitTorrent
Leon
Zapora w NIS 2010 jest tak inteligentna, że nie potrzebuje Twojej pomocy. Sama wszystko zrobi po swojemu, a Ty tylko możesz popsuć, więc cokolwiek zrobisz, zostanie zignorowane.
A tak na poważnie, to zapory Nortona są moim zdaniem najmniej intuicyjnymi na rynku. Kilka razy do tego podchodziłem i zawsze traciłem dziesiątki minut na zrobienie czegoś, co gdzie indziej zajmuje góra 2 minuty. Zaraz za NIS ustawiłbym ESET-a, który też robi co chce, ale w nim chociaż zawsze udawało mi się uzyskać to co chciałem.
Dla mnie wzorem firewalla jest iptables, ale wymaga on dość dużego przygotowania merytorycznego od użytkownika, chęci pisania w konsoli i systemu, na którym działa (to te z małym 'x' na końcu). Chociaż przeciętny użytkownik będzie tak samo zagubiony przy iptables jak przy NIS.
Leon