Hlavní navigace

Internetem bezpečněji

Sdílet

V největším nebezpečí jste, pokud používáte přímé připojení k Internetu s veřejnou IP adresou. Řeč je nyní samozřejmě o počítači používaném v domácnosti, ve firemních sítích totiž většina hrozeb podle některých statistik padá na hlavu chybujících nebo úmyslně útočících zaměstnanců. Veřejná IP adresa s sebou přináší řadu výhod, stáváte se tak ovšem náchylnější k některým útokům (váš počítač je prostě a jednoduše „vidět zvenku“). O něco klidněji mohou spát uživatelé sdíleného připojení, kteří komunikují skrze poskytovatelův proxy server, a vlastní pouze privátní IP adresu v rámci lokální sítě.

Proti řadě útoků vás dokáže spolehlivě ochránit správně nakonfigurovaný firewall, jež dokonce může zabránit i doposud neznámým útokům – vše však záleží na správné konfiguraci pravidel komunikace. Mezi základní funkce každého firewallu patří filtrování paketů, jež kromě jiných informací obsahují například také zdrojovou a cílovou adresu i porty. Typické komunikační pravidlo omezující určitý typ spojení pak vypadá například takto: „Aplikaci X povol TCP i UDP obousměrnou komunikaci na portech 25, 110 a 143, jinak se zeptej uživatele.“ Tím, že se firewall ptá uživatele, jak má se kterým spojením naložit, dochází k budování sady pravidel bezpečného připojení. Není těžké uhodnout, že správná pravidla jsou alfou a omegou nastavení osobního firewallu, protože přílišná restrikce může zamezit přístupu k některým službám.

Filtrování paketů však nepředstavuje jediný přínos obrany vašeho počítače firewallem. Lze se setkat například i s monitorováním běhu jednotlivých aplikací a zkoumáním jejich do určité míry podezřelých činností – spouštění jiného programu nějakou aplikací, pokus o přístup na Internet pozměněné aplikace apod. Užitečnou je také podpora detekce průniků, kdy firewall dokáže rozeznat některé známé útoky podle jejich příznaků (například obdržení většího speciálně upravených paketů). Firewally mohou podporovat i spouštění aplikací v bezpečném prostředí (takzvaný sandbox).

KPF_01       KPF_04

Monitorování činností aplikací v reálném čase a přidávání pravidel – to vše v podání českého osobního firewallu Kerio Personall Firewall

Dostupné firewally lze rozdělit do dvou základních kategorií: osobní a komerční. Zástupce prvně jmenované skupiny můžete většinou používat zdarma na svém domácím PC připojeném k Internetu, zatímco komerční varianty slouží k nasazení ve firmách nebo jiných ziskových organizací. Nemalé množství softwarových společností nabízí své firewally v obou verzích, přičemž domácí varianty poskytují pouze omezené možnosti, jež vám ovšem pro běžné domácí použití bohatě postačí.

Aby toho nebylo málo, sady pravidel paketového filtru mohou být dvou druhů: specifická a globální. Podoba specifických již byla nastíněna výše – jedná se o ona pravidla pro jednotlivé aplikace, naproti tomu globální pravidla mají jednodušší podobu, například „Zakaž veškerou TCP komunikaci na portu 25.“ Zde samozřejmě může dojít ke konfliktu pravidel specifických a globálních, většinou se v takových případech přisuzuje větší váha globálním variantám.

Již byla řeč o aplikacích bojujících proti spywaru, trojským koňům, antivirech a konečně také firewallech. Pokud by na jednom počítači měly běžet všechny tito „strážci“ najednou, vyžadovalo by to nejen správný výběr každého z nich, ale často také poměrně vysoké čerpání systémových prostředků. Světlo světa proto spatřily i nejrůznější „all-in-one“ balíčky, díky kterým skutečně získáte vše potřebné najednou – antivir, firewall, ochranu proti spyware – to vše od jedné společnosti za jednu cenu. Kromě nižší ceny takovéhoto celku v porovnání s pořizovacími náklady jednotlivých komponent představuje velké plus také jejich společný „základ“. Všechny programy lze totiž většinou ovládat z jedné centrální aplikace, která zprostředkovává potřebné služby, a tím uživateli šetří čas i nervy s provozem několika různých, na sobě nezávislých utilit. Každá mince má dvě strany, takže i zde existují určité nevýhody. Asi nejčastějším argumentem proti používání takovýchto bezpečnostních balíčků je o něco nižší kvalita jejich jednotlivých komponent.

Norton Internet Security

Typickým příkladem „all-in-one“ bezpečnostních aplikací je také Norton Internet Security

V prvním odstavci tohoto textu padla zmínka o takzvaném proxy serveru, díky němuž lze sdílet jediné připojení k Internetu hned několika počítači v lokální síti. Aplikace fungující jako proxy bývá často kombinována s funkcemi firewallu, což s sebou přináší hned několik výhod. Důležité je, že díky proxy serveru mohou být počítače uvnitř lokální sítě skutečně skryty před venkovním Internetem, ačkoliv jsou k němu připojené. Aplikační proxy brány se specializují na jednotlivé služby, takže například WWW proxy slouží pro prohlížení webových stránek. Počítač vnitřní sítě pak nekomunikuje s internetovým serverem přímo, ale kontaktuje WWW proxy bránu, která svým jménem osloví cílový server. Během komunikace tak stroj umístěný mimo lokální síť vůbec nepřijde do přímého spojení s počítačem lokální sítě, protože data ve skutečnosti zasílá pouze odpovídající proxy bráně. Oddělovací prvek v podobě proxy tedy dokáže ve vysoké míře zabezpečit lokální síť před útoky vedenými z venku, nicméně může též zkomplikovat nebo znemožnit provoz některých služeb.

schéma proxy

Proxy server dokáže skrýt strukturu lokální sítě před vnějším Internetem

Pokud někdy budete chtít surfovat anonymně, přesněji řečeno tak, aby nebyla odhalena vaše IP adresa, můžete využít služeb některého z veřejných anonymních proxy serverů. Jejich seznamy lze bez větších problémů nalézt na různých internetových stránkách, některé z nich dokonce obsahují i detailní statistiky jednotlivých anonymních proxy (např. podporované služby či zda lze použít SSL). Připojení k Internetu prostřednictvím některé z takovýchto proxy zpravidla bývá o něco pomalejší než normálně, vaše skutečná IP adresa však zůstane skryta – navštívené servery získají pouze adresu daného proxy. Pro úspěšné brouzdání webem skrze některý proxy server vám většinou postačí pouze jeho IP adresa a číslo portu, na který se můžete připojit.