Za ścianą ognia

Jeśli uruchamiamy jakiś serwer albo wędrujemy sobie po stronach WWW, nie korzystając z ochrony firewalla, to sami napraszamy się o kłopoty. Żeby ich uniknąć, wystarczy zainstalować i skonfigurować "ogniomurek"

Zapewne nie trzeba będzie długo czekać: już po mniej więcej pięciu minutach firewall zarejestruje jakiś tuzin prób włamania się do naszego komputera. Jeśli zapory ogniowej nie mamy, to prędzej czy później czekają nas niespodzianki: a to pecet zacznie się ni stąd, ni zowąd resetować, a to z dysku znikną nam jakieś pliki…

W artykule opiszemy sposób konfigurowania różnych programowych zapór ogniowych. Rozpoczniemy od opisu firewalla przeznaczonego dla serwera sieciowego, a skończymy na aplikacjach klienckich, chroniących tylko stacje robocze. Na warsztat weźmiemy programy Sygate Personal Firewall, McAfee Firewall oraz najnowsze wydanie Kerio Personal Firewall. Pominiemy natomiast zapory sprzętowe, które choćby ze względu na cenę stosowane są raczej w firmach niż w domach.

Zapora dla serwera – Sygate Personal Firewall 5.5

Jeśli chcemy zaistnieć w Sieci, pokazując krewnym i znajomym galerie zdjęć z wakacji, i z tego powodu „odpalamy” własny serwer WWW, nie warto od razu inwestować w osobny komputer. W praktyce wystarczy, że na domowym pececie zainstalujemy odpowiednią aplikację – na przykład Apache lub wbudowany w Windows IIS – i po ich skonfigurowaniu podamy wszystkim zainteresowanym „namiary” na naszą maszynę. Oczywiście nie będziemy musieli długo czekać na wizyty różnej maści hakerów i innych podobnych im wandali internetowych. Dlatego razem z serwerem WWW bezwzględnie musimy uruchomić i odpowiednio skonfigurować programową zaporę ogniową.

W takim przypadku mamy do czynienia z sytuacją zupełnie inną niż ta, z którą zetkniemy się podczas konfigurowania osobistego firewalla dla komputera-klienta usług sieciowych. W przypadku serwera musimy pozostawić otwarte porty dla uruchomionych usług. Dla przykładu: kiedy nasz pecet ma spełniać funkcję sieciowego serwera WWW, to konieczne będzie pozostawienie otwartego portu numer 80. Niestety, każdy otwarty port ułatwia wyśledzenie naszej maszyny w Sieci; a to z kolei niesie z sobą ryzyko, że komputerem zainteresuje się jakiś haker. Kiedy jednak chcemy umożliwić normalne korzystanie z serwera WWW czy FTP, to musimy się z takim zagrożeniem po prostu pogodzić.

Zakładając, że oprogramowanie serwera – na przykład IIS – jest bezpieczne (czyli „załatane” wszelkimi dostępnymi patchami) ryzyko włamania minimalizujemy, używając programowego firewalla. W Windows XP standardowo została wbudowana zapora ogniowa, która pomimo dość ograniczonej funkcjonalności jest na pewno rozwiązaniem lepszym niż zrezygnowanie z jakichkolwiek zabezpieczeń.

Największą słabością systemowej zapory ogniowej jest brak możliwości definiowania reguł dla ruchu wychodzącego z naszej maszyny. Ponadto nie mamy możliwości określania, którym aplikacjom wolno korzystać z Internetu. Funkcje oferowane przez wbudowaną zaporę pozwalają na całkowite odcięcie ruchu przychodzącego do komputera. Możemy tylko zrobić wyjątek dla określonych portów, które chcemy pozostawić otwarte – na przykład dla wspomnianego serwera WWW. Taki schemat działania może się sprawdzić, o ile nasz komputer ma służyć wyłącznie jako serwer. W przypadku wykorzystywania maszyny także w charakterze klienta pojawia się niebezpieczeństwo, że w wypadku zainfekowania systemu (na przykład koniem trojańskim) firewall z Windows XP nie zapewni nam jakiejkolwiek ochrony. Sytuacja ta ma się niedługo zmienić dzięki zapowiadanemu przez Microsoft zestawowi poprawek (Service Pack 2) dla Windows XP.

Usługi i porty
Nazwa usługiNumer portu
Bezpieczny serwer WWW443
Internet Mail Access Protocol v.3 IMAP3220
Internet Mail Access Protocol v.4 IMAP4143
Post Office Protocol POP3110
Zdalny Pulpit (Remote Desktop)3389
Serwer plików FTP21
Serwer poczty SMTP25
Serwer WWW80
Serwer Telnet23
Serwer SSH22

Dostęp ściśle kontrolowany

Dopóki jednak wspomniane łatki nie będą publicznie dostępne, zainstalujmy inny firewall, który umożliwi pozostawienie otwartych portów dla usług serwerowych, a jednocześnie zapewni pełną kontrolę nad aplikacjami-klientami korzystającymi z zasobów Internetu.

Jednym z lepszych narzędzi tego typu jest Sygate Personal Firewall 5.5, którego do niekomercyjnych zastosowań możemy używać nieodpłatnie. Zapora ogniowa pozwala na monitorowanie wszystkich aplikacji internetowych – klientów poczty, komunikatorów, przeglądarek WWW. Za każdym razem gdy jakikolwiek program spróbuje nawiązać połączenie z Siecią, Sygate Firewall zapyta nas, czy powinien pozwolić na wymianę danych z Internetem, a na podstawie odpowiedzi, tworzy regułę.

Oprócz tego prostego mechanizmu weryfikacji dostępne są zaawansowane ustawienia, pozwalające na samodzielne skonfigurowanie reguł dla uruchamianych przez nas serwerów. Właśnie te funkcje najbardziej nas interesują.

Przypuśćmy, że chcemy „postawić” serwer WWW, bazując na

Internetowych usługach informacyjnych

(IIS). W głównym panelu firewalla uaktywniamy zakładkę Applications. Następnie z listy aplikacji wybieramy pozycję Internetowe usługi informacyjne i naciskamy przycisk Advanced. W ten sposób przechodzimy do okna Advanced Application Configuration. Tutaj właśnie dokładnie określimy zasady, według których nasz serwer będzie mógł wymieniać dane z Siecią.

Załóżmy, że ograniczymy dostęp do serwera WWW w taki sposób, aby mogły się z nim łączyć tylko komputery należące do sieci wewnętrznej (mające numery IP z zakresu 192.168.0.1-192.168.255.255). Dodatkowo otworzymy port numer 80. Wreszcie określimy godziny, w których stworzona reguła będzie stosowana przez zaporę ogniową. Widoczny niżej zrzut ekranu pokazuje, które pola powinniśmy wypełnić w oknie Advanced Application Configuration. Są to:

Trusted IPs for the Application, TCP

(sekcja

Local Ports

) i Act As Server. Jeśli zależy nam na uaktywnieniu reguł firewalla o określonej porze, musimy jeszcze przejść do sekcji Enable Scheduling i wybrać odpowiednią wartość z listy Beginning At. Długość okresu obowiązywania reguł podajemy w polu Duration .

W przypadku gdy chcemy uruchomić inny rodzaj usługi (na przykład serwer plików FTP, serwer pocztowy SMTP i POP3), musimy zdefiniować kolejne reguły. Postępujemy tak, jak dla serwera WWW. Należy oczywiście pamiętać, że różne usługi wymagają otwarcia różnych portów. Listę najpopularniejszych usług wraz z odpowiadającymi im numerami portów prezentujemy w ramce „Usługi i porty”.

0
Zamknij

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.