Schowaj się za ścianą

Rozwiązania stosowane w dużych firmach często można z powodzeniem wykorzystać także w domowych pecetach – i to znacznie niższym kosztem. Systemy klasy private firewall mogą zabezpieczyć nasz komputer przed większością ataków z Internetu, a ich działanie nie jest tak skomplikowane, jak się powszechnie uważa.

Wyobraźmy sobie sytuację, w której osobę zajmującą się grafiką komputerową zaczynają niepokoić listy od nieznanych nadawców, oferujących kupno ekskluzywnych zegarków i drogich wczasów na Karaibach. Rozwiązanie zagadki, w jaki sposób osoba ta trafiła na listę potencjalnych nabywców luksusowych produktów, jest prostsze, niż by się to mogło wydawać. “Winę” ponosi duża rozdzielczość ekranu, z jaką od pewnego czasu pracuje nasz przykładowy grafik. Podczas wędrowania po Internecie parametr ten został odczytany przez któryś z serwerów WWW – całkowicie bez wiedzy i zgody użytkownika. Monitor o dużej przekątnej wskazuje zwykle na zasobne konto bankowe jego użytkownika – i na tym właśnie opiera się logika spamerów, którzy zasypują tak “namierzone” ofiary tysiącami przesyłek reklamowych. Operatorzy serwerów WWW mogą uzyskać mnóstwo cennych informacji o poszczególnych internautach odwiedzających ich witryny: z jaką rozdzielczością ekranu pracują, z jakiego systemu operacyjnego korzystają oraz skąd pochodzą.

Istnieją jednak większe niebezpieczeństwa związane z internetowymi wędrówkami. Przesyłane protokołem TCP/IP dane z Sieci trafiają zwykle do systemu operacyjnego przez przewidziane dla usług WWW czy FTP porty. Jednak pakiety danych mogą być wysyłane przez dowolną maszynę w sieci na zupełnie inny port. Jeśli jego obsługa została w systemie zrealizowana niepoprawnie, odpowiednio skonstruowane pakiety danych mogą spowodować zawieszenie systemu lub, co gorsza, uzyskanie dostępu do jego zasobów. W ten sposób funkcjonuje większość ataków typu DoS (Denial of Service), zawieszając działanie którejś z usług internetowych lub całej maszyny poprzez przepełnienie stosu protokołu TCP/IP. Potencjalne zagrożenia niosą ze sobą również aplety Javy i kontrolki ActiveX. Internauci, którzy wykorzystują komputer wyłącznie do celów prywatnych, mogą zapewne pogodzić się z takimi niebezpieczeństwami. Ci jednak, którzy używają go zawodowo, nie mogą tak po prostu zignorować istniejących zagrożeń.

Programy firewall (w tym przypadku Zone Alarm) wyświetlają komunikaty ostrzegające użytkownika przed potencjalnie niebezpiecznymi akcjami.

Duże firmy zdają sobie w pełni sprawę z tej sytuacji. Jeśli sieć lokalna ma połączenie z Internetem, to stosowany jest (a właściwie powinien być) firewall, czyli filtr, który precyzyjnie określa, jakiego rodzaju aktywność jest dozwolona na styku sieci i Internetu. Cały ruch pomiędzy siecią lokalną a Internetem jest nadzorowany i ograniczany do ściśle określonych protokołów i usług.

Z podobnej ochrony mogą również skorzystać indywidualni użytkownicy komputerów. Dla pojedynczych pecetów, które łączą się z Internetem poprzez linię telefoniczną, odpowiednie oprogramowanie jest już dostępne w cenie 200-300 zł.

Tylko za pozwoleniem

Na przykładzie programu Private Desktop pokażemy, w jaki sposób funkcjonuje prywatny firewall. Bezpośrednio po instalacji program przechodzi w tryb uczenia się: analizuje wszystkie reakcje serwerów internetowych na zapytania użytkownika oraz pyta go, czy i w jakim zakresie je akceptuje

Jeśli np. zadamy pytanie serwisowi wyszukiwawczemu Yahoo, to po chwili serwer podejmie próbę przesłania do naszego peceta dokumentu HTML z wynikami wyszukiwania. W tym momencie firewall zada nam pytanie, czy zawsze chcemy akceptować tego typu operacje czy też sobie ich nie życzymy (w tym wypadku nie ma to większego sensu) bądź czy chcemy być każdorazowo pytani o zgodę na ich przeprowadzenie. Podjętą przez nas decyzję Private Desktop zapisze w skrypcie powiązanym z adresem IP serwera Yahoo.com. Gdy następnym razem skorzystamy z usług Yahoo, program będzie już wiedział, jaką akcję ma podjąć.

Zaletą takiego mechanizmu jest możliwość indywidualnego dostosowania poziomu zabezpieczeń dla poszczególnych witryn WWW. Jest zupełnie zrozumiałe, że podczas składania zamówienia internetowy dostawca muzycznych płyt CD zechce umieścić cookie na dysku twardym naszego komputera. W ten sposób zostaną powiązane nasze dane osobiste (nazwisko, numer telefonu i adres), zapamiętane na serwerze usługodawcy, z naszą przeglądarką, co pozwoli na ich wykorzystanie przy następnym zamówieniu. W przypadku innych stron, które odwiedzamy sporadycznie, możemy z kolei wprowadzić zakaz przyjmowania cookies. Szczególną ostrożność powinniśmy zachować również wtedy, gdy serwer próbuje wymienić informacje z naszym pecetem poprzez port inny niż 80.

Firewall może odgrywać kluczową rolę w systemie bezpieczeństwa naszego komputera. Jednak jego stosowanie nie powoduje, że dostępne w przeglądarce opcje zabezpieczające są już zbyteczne. Szczególnie dokładnie należy kontrolować uruchamianie kontrolek ActiveX oraz skryptów Javy. Te potencjalnie niebezpieczne mechanizmy można wprawdzie całkowicie wyłączyć na poziomie przeglądarki, jednak uniemożliwiłoby to korzystanie z większości popularnych serwisów. Kontrolki ActiveX stanowią większe zagrożenie, gdyż mogą kontrolować prawie wszystkie funkcje Windows. Aplety Javy uruchamiane są natomiast w wydzielonym środowisku (tzw. “piaskownicy” – ang. sandbox), co uniemożliwia wykonywanie przez nie akcji o krytycznym dla systemu znaczeniu. Aktualna wersja Internet Explorera pozwala jednak na wyłączenie mechanizmu Sandbox, co sprawia, że skrypty Javy mogą być równie niebezpieczne jak kontrolki ActiveX.

Jeśli uaktywnimy program firewall, zagrożenia związane z nieznanego pochodzenia apletami lub kontrolkami ActiveX nie będą już takie duże. Nie zostaną one bowiem w ogóle pobrane, jeśli wcześniej nie zdefiniujemy ich serwerów macierzystych jako “godnych zaufania”.

Nie ma idealnych zabezpieczeń

Programy typu private firewall nie mogą jednak zastąpić skanerów antywirusowych, które sprawdzają zgromadzone dane oraz śledzą wirusy i tzw. konie trojańskie, gdyż te zazwyczaj uruchamiane są przez samego użytkownika, przez Sieć zaś przybywają w postaci załączników do poczty. Systemy firewall blokują wprawdzie wczytywanie informacji z nieznanych serwerów, jednak nie zawsze użytkownik zna dokładnie wszystkie serwisy, z których chce pobierać dane. Dlatego też prywatne firewalle najczęściej występują w komplecie z programem antywirusowym bądź umożliwiają współpracę z taką aplikacją (np. Norton Internet Security).

Zestawienie prywatnych firewalli – Jest z czego wybierać

Lockdown 2000 4.0:

Chroni przede wszystkim te komputery, do których ma dostęp wiele osób. Użytkownicy są identyfikowani poprzez adres IP. Ponadto Lockdown 2000 rejestruje każdą próbę nie autoryzowanego dostępu do systemu.

Proxy-Manager 2000 v2.0:

Narzędzie to służy do administrowania wieloma połączeniami typu Proxy-Client. Jest również możliwość anulowania indywidualnych ustawień, aby przez niedopatrzenie nikt nie mógł obniżyć istniejącego poziomu zabezpieczeń.

Conseal Private Desktop:

Niezawodny system firewall, który nie tylko oferuje profesjonalny zestaw funkcji, ale jest także prosty w obsłudze.

Jammer:

Kontroluje akcje internetowe oraz śledzi obecność koni trojańskich, takich jak Back Orifice czy Netbus. W przypadku ataku hakera skanuje on adres IP włamywacza i ustala jego operatora internetowego. Program rozpoznaje również i blokuje próby ingerencji w Rejestr systemu Windows.

Norton Internet Security 2000:

Początkujący pracują ze standardowymi ustawieniami, natomiast zaawansowani użytkownicy mogą – przy użyciu kreatora – zdefiniować szczegółowe parametry konfiguracyjne. Program potrafi współpracować z kilkoma różnymi profilami użytkowników (w tym także przeznaczonymi dla dzieci). Do systemu firewall firma Symantec dołączyła również program Norton Antivirus. Wszystkie dane, które zostaną przepuszczone przez system ochronny, mogą więc od razu zostać sprawdzone pod kątem obecności wirusów.

Zone Alarm 1.8:

Odfiltrowuje wszystkie internetowe operacje wejścia/wyjścia i przed każdą akcją pyta o pozwolenie na jej wykonanie. Dużą zaletą programu jest niezwykle udany, przejrzysty interfejs użytkownika.

Avirt Soho 4.0:

Umożliwia szczegółowe określenie praw dostępu dla internetowych operacji wejścia/wyjścia. Już zastosowanie standardowej, domyślnej konfiguracji programu chroni przed największymi zagrożeniami ze strony Sieci.

Sybergen Secure Desktop:

Poszczególne akcje internetowe są przyporządkowywane do jednego z pięciu dostępnych poziomów bezpieczeństwa. W ten sposób szybko można podzielić wykorzystywane przez nas usługi internetowe na kategorie wymagające różnych uprawnień.

Win-Route Pro 4.1:

Program ten stanowi połączenie routera internetowego i firewalla. W skład pakietu wchodzi serwer pocztowy, Cache-Proxy, router IP oraz filtr eliminujący niepożądane adresy URL. W specjalnym dzienniku (Activity Log) rejestrowany jest przebieg wszystkich sesji łączności internetowej.

Info
Grupy dyskusyjne
Uwagi i komentarze do artykułu:
#
Pytania techniczne do zagadnień poruszanych w tekście:
#
Internet
Avirt Soho 4.0:http://www.avirt.com/
Conseal Private Desktop:http://www.signal9.com/
Jammer:http://jammer.comset.net/
Lockdown 2000 4.0:http://www.lockdown2000.com/
Norton Internet Security 2000:http://www.symantec.com/
Proxy-Manager 2000 v2.0:http://www.vizualgroup.com/apps/proxymanager.asp
Sybergen Secure Desktop:http://www.sybergen.com/
WinRoute Pro 4.0:http://www.tinysoftware.com/
Zone Alarm 1.8:http://www.zonelabs.com/
W dziale Internet | Prywatny firewall znajdują się wersje demonstracyjne programów Avirt Soho 4.0, Jammer 1.96, Lockdown 4.0 oraz WinRoute Pro 4.0
Więcej:bezcatnews