Stránka 1 z 1

Firewally - často kladené otázky (FAQ)

Napsal: 27 zář 2006 22:21
od wictor
Arcisit píše:Setkávám se dnes a denně s podceňováním firewallu (dále FW) jako základní ochrany PC. Bohužel si ještě furt mnoho lidí myslí, že FW je zbytečnost nebo že je dokonce ochrání rádoby-firewall v SP2. Veřte nebo ne FW je opravdu nutností! Takže neváhejte a nějaký si nainstalujte a překousněte ty 1. počátky kdy tomu ještě nerozumíte uvidíte, že si ušetříte spoustu nepříjemností.

(1) Co je to firewall a k čemu slouží
V počítačové terminologii se firewallem nazývá software či hardware (hardwareové firewally), jehož funkcí je kontrolovat (povolovat či zakazovat) komunikaci v počítačové síti na základě daných pravidel. Používá se na oddělování různých částí sítě (nejčastěji odděluje nebezpečný internet od místní sítě). Pro dobrou představu lze uvést analogii s hradem chráněným hradbami, kde každý příchozí či odchozí je u brány kontrolován.

Osobní firewall je firewall určený pro ochranu pracovní stanice (tedy jednoho počítače). Jedná se tedy o software (aplikaci) s přívětivým ovládáním, tak aby s ním mohl pracovat i méně zkušený uživatel. Z funkčního hlediska pracuje velmi podobně – odděluje počítač od sítě. Navíc, díky tomu, že běží přímo na pracovní stanici, může kontrolovat komunikaci více detailněji (může kontrolovat, které aplikace komunikují) než firewall chránící celou síť (protože neběží na tomto počítači, nemá možnost zjistit, ke které aplikaci komunikace patří).

Jak fungují firewally? (Jiří Peterka)
heslo Firewall (Wikipedia)

Pozn.: Brána firewall systému Microsoft Windows (součást WinXP SP3) není plnohodnotný osobní firewall a nelze jí tak doporučit jako vhodný nástroj pro řádné zabezpečení počítače.

Pozn.: Brána firewall v operačných systémoch Windows Vista/7 je pokročilejšia a kvalitnejšia ako brána firewall v systéme Windows XP; i napriek tomu však odporúčame voľbu niektorého z nami odporúčaných firewallov.


(2) Jaký je nejlepší firewall
Stejně jako na otázky Jaký je nejlepší internetový prohlížeč, Jaký je nejlepší zpravodajský portál, Jaké je nejlepší auto, Jaké je nejlepší víno......

Existuje mnoho názorů, hodně srovnávacích testů, ale objektivně je jen velmi těžké odpovědět. Každý firewall má nějaké pro a nějaké proti, žádný není bez chyby, bez zneužitelné bezpečnostní díry (nemusí se o ní vědět). Kvalita firwallů se také mění v čase, podle schopnosti reagovat na nové hrozby a opravovat zjištěné chyby.

Nicméně podle mých zkušeností není až zas tak důležité, jestli máte zrovna ten "nejlepší", nejnovější a nejkrásnější firewall, ale jestli je dobře nastavený a jestli ho umíte používat (jestli rozumíte jeho ovládání). Proto za sebe doporučuji jakýkoliv důvěryhodný osobní firewall (krátký zdejší seznam), s kterým se sžijete a který budete umět používat.

Příklady: 1, 2


(3) Test bezpečnosti hlásí otevřené porty
wictor píše:Úvodem
Je třeba si uvědomit, že v dnešní síti internet docházejí adresy (protokol IPv4), a proto se objevily technologie (NAT), které umožňují seskupit (schovat) více klientských (tedy běžný pracovních stanic - ne serverů) PC pod jednu internetovou adresu (používá se termín veřejná IP adresa). V praxi to vypadá tak, že všechny počítače v nějaké lokální síti (firemní, domácí, komunitní) se připojují přes jedno zařízení, tzv. router (což je vyčleněný PC nebo specializované zařízení). Router pak přijímá všechny požadavky (např. žádnost o načtení webové stránky, přihlášení na ICQ apod.) od klientů z lokální sítě a přeposílá je do internetu, ale se svojí (onou veřejnou) adresou - jako kdyby žádal on sám. Ještě si poznamená, který klient se ptal a když přijde odpověď, přepošle mu jí zpět. Vše tedy krásně funguje, i když asi tušíte jisté omezení - když by chtěl někdo z internetu poslat požadavek vám, tak to nejde. Může sice znát adresu routeru, ten by ale nevěděl, komu to má přeposlat. Může znát i přímo adresu přímo vašeho PC, ale tu zase nebudou znát směrovače v internetu. Proto např. všechny servery musejí mít veřejné adresy.


Problém - jádro pudla
Někteří (většinou komunitní, menší) poskytovatelé internetu překládají adresy svých klientů, tzn. adresa jejich PC se neshoduje s adresou, pod kterou jsou vidět v internetu. Tam je vidět adresa routeru poskytovatele.

Výhody
- Vaše PC není prakticky z internetu přímo napadnutelné.

Nevýhody
- Nefungují některé protokoly, služby.
- Nemějte falešný pocit bezpečí - PC je napadnutelné "zevnitř" (od klienta stejného poskytovatele - záleží na konfiguraci a bezpečnostní politice poskytovatele).
- Služby testování bezpečnosti na principu scannování portů netestují vaše PC (výsledky nemají pro vás význam).


Jak zjistit, jestli mám veřejnou adresu
Spusťte příkazovou řádku (Start->Spustit: "cmd" - bez uvozovek) a napište tento příkaz:

Kód: Vybrat vše

ipconfig
Potom se podívejte např. na stránku http://ip.iol.cz/ a porovnejte IP adresy.
- Shodují-li se - máte veřejnou IP adresu - tj. adresa vašeho PC je vidět v internetu. To sice představuje větší riziko, ale i lepší možnost kontroly zabezpečení pomocí bezplatných testů - viz dále.
- Neshodují-li se, jste "schován" za nějakým druhem překladu adres, vaše PC tedy není přímo napadnutelné ani testovatelné z internetu.


Jak zjistit, jestli jsou na mém počítači opravdu otevřeny nějaké porty
Spusťte příkazovou řádku (Start->Spustit: "cmd" - bez uvozovek) a napište tento příkaz:

Kód: Vybrat vše

netstat -abn
(u Win2000 není implementován přepínač b, pro zobrazení přiřazených procesů, takže jen netstat -an)
Zobrazí se seznam všech otevřených portů a u WinXP i proces, který s daným portem pracuje. Nelekejte se portů 1024 a vyšších otevřených prohlížečem, poštovním klientem, ICQ klientem apod. Porty 137, 138, 139 a 445 jsou otevřeny operačním systémem pro sdílení v síti. Tyto porty je třeba chránit firewallem (v tomto výpisu se ochrana firewallem neprojeví).

Máte-li pochybnosti, jestli vaše otevřené porty nejsou nebezpečné, vložte sem váš výpis - pomocí:

Kód: Vybrat vše

netstat -abn > c:\log.txt
Pak otevřte soubor c:\log.txt a jeho obsah vložte s dotazem do této sekce (Firewally).


Testy zabezpečení portů
Na internetu existuje několik služeb (např. test.bezpecnosti, paranoia.cz), které umožňují zdarma oscanovat (prověřit stav) porty na adrese, pod kterou vystupujete. Pokud tedy nemáte veřejnou adresu, vystupujete pod adresou routeru poskytovatele, či firemního routeru, bude testován právě tento stroj a výsledky vám tak budou k ničemu.

Služba je schopná zjistit, jaké porty jsou otevřené a hlavně viditelné z internetu (tedy, které nejsou chráněné firewallem - tuto skutečnost nelze zjistit jiným jednoduchým způsobem - tedy ani tím popsaným výše).

Pokud jsou viditelné (a otevřené) poteciálně nebezpečné porty (21, 25, 80, 110... obecně čísla pod 1024) a testovaná adresa se opravdu shoduje s adresou vašeho PC, pošlete výpis výsledku testu s dotazem do této sekce (Firewally).
Příklady: 1, 2, 3

Microsoft: Brány firewall pro připojení k Internetu: Nejčastější dotazy
http://www.microsoft.com/cze/athome/sec ... ewall.mspx