W artykule opiszemy sposób konfigurowania różnych programowych zapór ogniowych. Rozpoczniemy od opisu firewalla przeznaczonego dla serwera sieciowego, a skończymy na aplikacjach klienckich, chroniących tylko stacje robocze. Na warsztat weźmiemy programy Sygate Personal Firewall, McAfee Firewall oraz najnowsze wydanie Kerio Personal Firewall. Pominiemy natomiast zapory sprzętowe, które choćby ze względu na cenę stosowane są raczej w firmach niż w domach.
Zapora dla serwera – Sygate Personal Firewall 5.5
Jeśli chcemy zaistnieć w Sieci, pokazując krewnym i znajomym galerie zdjęć z wakacji, i z tego powodu “odpalamy” własny serwer WWW, nie warto od razu inwestować w osobny komputer. W praktyce wystarczy, że na domowym pececie zainstalujemy odpowiednią aplikację – na przykład Apache lub wbudowany w Windows IIS – i po ich skonfigurowaniu podamy wszystkim zainteresowanym “namiary” na naszą maszynę. Oczywiście nie będziemy musieli długo czekać na wizyty różnej maści hakerów i innych podobnych im wandali internetowych. Dlatego razem z serwerem WWW bezwzględnie musimy uruchomić i odpowiednio skonfigurować programową zaporę ogniową.
W takim przypadku mamy do czynienia z sytuacją zupełnie inną niż ta, z którą zetkniemy się podczas konfigurowania osobistego firewalla dla komputera-klienta usług sieciowych. W przypadku serwera musimy pozostawić otwarte porty dla uruchomionych usług. Dla przykładu: kiedy nasz pecet ma spełniać funkcję sieciowego serwera WWW, to konieczne będzie pozostawienie otwartego portu numer 80. Niestety, każdy otwarty port ułatwia wyśledzenie naszej maszyny w Sieci; a to z kolei niesie z sobą ryzyko, że komputerem zainteresuje się jakiś haker. Kiedy jednak chcemy umożliwić normalne korzystanie z serwera WWW czy FTP, to musimy się z takim zagrożeniem po prostu pogodzić.
Zakładając, że oprogramowanie serwera – na przykład IIS – jest bezpieczne (czyli “załatane” wszelkimi dostępnymi patchami) ryzyko włamania minimalizujemy, używając programowego firewalla. W Windows XP standardowo została wbudowana zapora ogniowa, która pomimo dość ograniczonej funkcjonalności jest na pewno rozwiązaniem lepszym niż zrezygnowanie z jakichkolwiek zabezpieczeń.
Największą słabością systemowej zapory ogniowej jest brak możliwości definiowania reguł dla ruchu wychodzącego z naszej maszyny. Ponadto nie mamy możliwości określania, którym aplikacjom wolno korzystać z Internetu. Funkcje oferowane przez wbudowaną zaporę pozwalają na całkowite odcięcie ruchu przychodzącego do komputera. Możemy tylko zrobić wyjątek dla określonych portów, które chcemy pozostawić otwarte – na przykład dla wspomnianego serwera WWW. Taki schemat działania może się sprawdzić, o ile nasz komputer ma służyć wyłącznie jako serwer. W przypadku wykorzystywania maszyny także w charakterze klienta pojawia się niebezpieczeństwo, że w wypadku zainfekowania systemu (na przykład koniem trojańskim) firewall z Windows XP nie zapewni nam jakiejkolwiek ochrony. Sytuacja ta ma się niedługo zmienić dzięki zapowiadanemu przez Microsoft zestawowi poprawek (Service Pack 2) dla Windows XP.
| Usługi i porty | |
| Nazwa usługi | Numer portu |
| Bezpieczny serwer WWW | 443 |
| Internet Mail Access Protocol v.3 IMAP3 | 220 |
| Internet Mail Access Protocol v.4 IMAP4 | 143 |
| Post Office Protocol POP3 | 110 |
| Zdalny Pulpit (Remote Desktop) | 3389 |
| Serwer plików FTP | 21 |
| Serwer poczty SMTP | 25 |
| Serwer WWW | 80 |
| Serwer Telnet | 23 |
| Serwer SSH | 22 |
Dostęp ściśle kontrolowany
Dopóki jednak wspomniane łatki nie będą publicznie dostępne, zainstalujmy inny firewall, który umożliwi pozostawienie otwartych portów dla usług serwerowych, a jednocześnie zapewni pełną kontrolę nad aplikacjami-klientami korzystającymi z zasobów Internetu.
Jednym z lepszych narzędzi tego typu jest Sygate Personal Firewall 5.5, którego do niekomercyjnych zastosowań możemy używać nieodpłatnie. Zapora ogniowa pozwala na monitorowanie wszystkich aplikacji internetowych – klientów poczty, komunikatorów, przeglądarek WWW. Za każdym razem gdy jakikolwiek program spróbuje nawiązać połączenie z Siecią, Sygate Firewall zapyta nas, czy powinien pozwolić na wymianę danych z Internetem, a na podstawie odpowiedzi, tworzy regułę.
Oprócz tego prostego mechanizmu weryfikacji dostępne są zaawansowane ustawienia, pozwalające na samodzielne skonfigurowanie reguł dla uruchamianych przez nas serwerów. Właśnie te funkcje najbardziej nas interesują.
Przypuśćmy, że chcemy “postawić” serwer WWW, bazując na
Internetowych usługach informacyjnych
(IIS). W głównym panelu firewalla uaktywniamy zakładkę Applications. Następnie z listy aplikacji wybieramy pozycję Internetowe usługi informacyjne i naciskamy przycisk Advanced. W ten sposób przechodzimy do okna Advanced Application Configuration. Tutaj właśnie dokładnie określimy zasady, według których nasz serwer będzie mógł wymieniać dane z Siecią.
Załóżmy, że ograniczymy dostęp do serwera WWW w taki sposób, aby mogły się z nim łączyć tylko komputery należące do sieci wewnętrznej (mające numery IP z zakresu 192.168.0.1-192.168.255.255). Dodatkowo otworzymy port numer 80. Wreszcie określimy godziny, w których stworzona reguła będzie stosowana przez zaporę ogniową. Widoczny niżej zrzut ekranu pokazuje, które pola powinniśmy wypełnić w oknie Advanced Application Configuration. Są to:
Trusted IPs for the Application, TCP
(sekcja
Local Ports
) i Act As Server. Jeśli zależy nam na uaktywnieniu reguł firewalla o określonej porze, musimy jeszcze przejść do sekcji Enable Scheduling i wybrać odpowiednią wartość z listy Beginning At. Długość okresu obowiązywania reguł podajemy w polu Duration .
W przypadku gdy chcemy uruchomić inny rodzaj usługi (na przykład serwer plików FTP, serwer pocztowy SMTP i POP3), musimy zdefiniować kolejne reguły. Postępujemy tak, jak dla serwera WWW. Należy oczywiście pamiętać, że różne usługi wymagają otwarcia różnych portów. Listę najpopularniejszych usług wraz z odpowiadającymi im numerami portów prezentujemy w ramce “Usługi i porty”.
