Hlavní navigace

Bezpečnost firewallů - zabezpečení stanic

Tzv. "osobní firewally" mají za úkol zabezpečit jeden konkrétní počítač, na kterém aktuálně běží, před útoky z okolí. Zpravidla chrání daný počítač před neoprávněnými přístupy k lokálním zdrojům či datům z vnějších sítí, ale pochopitelně mohou sloužit taktéž k zabezpečení před případnými útoky ze sítí lokálních.
4. 11. 2003

Sdílet

963

U mnohých operačních systémů je většinou přímo součástí operačního systému tzv. packet filter, pomocí kterého může uživatel omezit přístup ke svému počítači a případně i běžícím službám. Existují však i speciální softwarové produkty zajišťující tuto funkci a ty se označují jako tzv. „personal firewalls“.

Z těch, které je možno pro osobní potřebu používat zdarma, jmenujme například:

Sygate Personal Firewall
Zone Alarm
Kerio Personal Firewall
Outpost

z dalších pak například:

McAfee Firewall
Tiny Personal Firewall

Jako vždy v oblasti bezpečnosti, tak i tady platí, že prostředek je jedna věc, ale jeho nastavení a používání věc druhá a zpravidla rozhodující.

Základním pravidlem by mělo byt zakázat zcela přístup na svůj stroj zvenčí, vyjma služeb, které z nějakého důvodu chci mít dostupné, a k těm povolit přístup jen z těch počítačů, odkud je to skutečně potřeba.

Zároveň není od věci zamyslet se i nad tím, zda neomezit i odchozí spojení ze svého počítače. Personal firewall vás totiž obvykle nechrání před viry, které se k vám mohou dostat prostřednictvím již zavirovaných aplikací, které si nainstalujete, výměnných médií, jež sdílíte s jinými uživateli, nebo nejčastěji elektronickou poštou či prostřednictvím WWW prohlížeče. Tyto viry pak často mohou komunikovat z vašeho počítače s jinými počítači na Internetu; buď aby infikovaly další počítače, nebo aby oznámily svou přítomnost.

V případě, že používáte svůj domácí počítač nebo notebook pro připojení do firemní LAN prostřednictvím Internetu a VPN, je potřeba si uvědomit, že software pro VPN spojení obvykle chrání pouze data mezi vašim počítačem a VPN serverem firmy před odposlechem, ale nijak nezabezpečuje váš notebook nebo domácí počítač před útokem z Internetu.

V případě úspěšného napadení je pak situace o to horší, že díky funkčnímu připojení vašeho počítače do firemní sítě do ní může i útočník, který využije existující VPN spojení. V takovém případě může být mnohem úspěšnější při průniku do firemní sítě, než kdyby se pokoušel dostat se do ní z Internetu přes firemní firewall – zvlášť pokud firma s průnikem touto cestou nepočítá.

Samozřejmě, jak už bylo řečeno, tyto produkty vás obvykle nechrání před viry. Takže dobrý antivirový software stále zůstává podmínkou.

Vlastní instalace softwaru většinou spočívá v klasickém wizardu. Je tedy pro uživatele velice jednoduchá. Po instalaci a aktivaci softwaru má uživatel možnost výběru z několika přednastavených souborů pravidel pro různé úrovně bezpečnosti.

Mimo to má možnost vytvářet vlastní pravidla, a to jak manuálně, tak pomocí wizardu v „learning módu“. Jedná se o mód, kdy firewall neustále sleduje provoz na síťové vrstvě a při nedefinovaném provozu se uživatele ptá na akci, kterou má provést.

Osobní firewally také často obsahují jednoduchý IDS (Intrusion Detection System), kdy firewall reaguje na známé typy útoků. Při rozpoznání útoku potom firewall reaguje např. zakázáním veškerého provozu pro konkrétní stroj.

Další užitečné informace lze získat zde.

Pokud potřebujete podrobněji sledovat provoz na vašich síťových zařízeních, k dispozici je zdarma dobrý nastroj pro zachytávání a vyhodnocování zachycených dat: Ethereal – pro použití na platformě Windows si nezapomeňte stáhnout ještě ovladač WinPcap.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).