Firewall a Windows

Pokud bychom měli slovo firewall nějakým způsobem vymezit a definovat, tak by se dalo na úvod říci, že jde o jakousi sadu příkazů a pravidel, která v rámci počítačové sítě, či internetu oddělují každý počítač, na němž je fiewall nainstalován a přesně definují komunikaci s „okolním světem“ Firewall je v zásadě jakýsi kontrolní mechanismus, který monitoruje veškerou činnost na síti a snaží se ji uvést pod svojí kontrolu tak, aby mohl následně na základě nadefinovaných pravidel v jakékoliv situaci rozhodnout a primárně bývá používán právě pro ochranu před nečekanými útoky z internetu, jako jsou viry, spamy, různá pop-up okna a podobně. V případě hackingu bych si tak úplně jistý nebyl, jelikož zkušený hacker se vám snadno dostane přes jinak dostačující softwarové firewally, takže proti tomuto nebezpečí je asi nejjistější ochranou úplně odpojit počítač od internetu a od sítě :-).

Základní vymezení, které je nutno v rámci firewallové problematiky provést je takové, že jednak jsou firewally softwarové (jak jsme již ostatně naťukli) a v neposlední řadě také „neviditelné“ hardwarové firewally, které nazývám „neviditelnými“ z toho důvodu, že s nimi člověk běžně nepřijde do styku, kdy uživatele chrání, aniž by ten na nich dennodenně cokoliv nastavoval.

Jak už jsem zmínil v úvodu, firewall je v zásadě softwarové vybavení počítače, které podle konkrétního klíče, jež mu nadefinujete řídí a filtruje provoz mezi vaším a ostatními počítači v rámci LAN sítě, nebo třeba internetu. Firewall je dosti složité „zařízení“, které vyžaduje poměrně vysokou odbornou znalost tématiky, aby se vám podařilo vše nastavit tak, jak potřebujete. Naštěstí se ale v dnešní době děla poměrně slušné množství domácích personálních firewallů, které už není tak těžké nastavit. V zásadě máte u těchto firewallů dva základní druhy nastavení. Automatické inteligentní filtrování, které pracuje na obecně užívaných pravidlech a snaží se eliminovat známé hrozby, ale přitom vás neomezovat při běžné práci na internetu, stahování pošty, či standardní činnosti na síti. Další variantou je manuální nastavení, kdy se vás firewall zeptá pokaždé, když narazí na situaci, kterou nemá nadefinovanou. Může se například stát, že si na počítač nainstalujete novou verzi ICQ a když se budete chtít připojit, firewall se vás dotáže, zda-li má spojení povolit, či nikoliv. Firewally totiž pracují na bázi otevírání portů, přes které počítač komunikuje s ostatním světem. Je jich obrovská spousta (něco kolem 65 tisíc) a tak je jasné, že občas se najde nějaká ta skulinka, kterou pronikne nezvaný host. A právě tyto skulinky ve vaší defenzivní hradbě firewall kontroluje a uzavírá. Pokud tak bude nějaký nezvaný návštěvník chtít proniknout přes některý otevřený port, firewall to zaznamená a v případě známého průniku pokus zablokuje. Zde tedy platí univerzální pravidlo – pokud se firewall dotazuje na povolení spojení, o kterém si nejste jisti, zda-li jste ho iniciovali, tak ho raději zakažte, abyste neriskovali penetraci do nitra vašeho soukromí.

Pro začátek bychom si ale měli říci něco málo o vývoji firewallů a jejich druzích. Ty jsou v zásadě čtyři: paketové filtry, aplikační brány, stavové paketové filtry a stavové paketové filtry s kontrolou protokolů a IDS. Nebojte se, nebudu vás tady nudit suchopárnými teoretickými žvásty, které notabene ani sám neznám. Zkrátka, jak už jsem předeslal, firewally jsou opravdu dosti složitá a specifická zařízení, do nichž není zrovna jednoduché proniknout. Teď nám navíc vznikl hezký dvojsmysl, který platí téměř stoprocentně v obou případech. Abychom se ale neodchýlili od tématu, tak se vrátím zpátky k základními čtyřčlennému větvení firewallů.

Tím první typem byly tzv. paketové filtry. Tato metoda je nejstarší a zároveň nejjednodušší. Jde v podstatě o to, že se taxativně nadefinují pravidla, do nichž se konkrétně uvede z kterého portu a adresy a na který port a adresu může být doručen procházející paket (paket je v podstatě jakýsi blok, který přenáší informaci). Tento typ filtrování je velmi rychlý a zároveň dostatečně přesný, protože firewall nemusí stále vyhodnocovat nové situace, jelikož má již vše nadefinované. Nevýhodou je ale nízká úroveň kontroly, která například při využití firewallu na audio, či video steaming nepostačuje a firewall musí pro tyto náročné protokoly otevřít více portů, které tak nejsou pod dostatečnou kontrolou a vymaňují se mimo rámec, jež původně správce nastavil. Řečeno srozumitelnou formou – tento firewall je ideální pouze pro předem určené procesy, které nejsou moc náročné. Když ovšem pracuje podle vámi nadefinovaných pravidel, pracuje spolehlivě.

Dalším „pánem na holení“ jsou tzv. aplikační brány. Tento typ firewallového zabezpečení je o něco málo novější, než paketové filtry a právě díky aplikačním bránám si lze nejlépe představit onu proklamovanou „protipožární zeď“, za kterou se firewall s nadsázkou a s přihlédnutím k překladu považuje. Aplikační brány fungují tak, že na rozdíl od paketových filtrů zcela oddělují sítě, mezi něž jsou postaveny (proto ta asociace s protipožární zdí). U aplikační bran, které jsou někdy též nazývány jako „Proxy firewally“ funguje veškerá komunikace formou dvou spojení – iniciátor spojení se připojí k aplikační bráně, ta příchozí požadavek zpracuje a na základě tohoto požadavku klienta otevře nové spojení k serveru, kde klientem je aplikační brána. Data, která aplikační brána dostane od serveru pak zase v původním spojení předá klientovi.

Třetím typem firewallů jsou tzv. stavové paketové filtry. To je v podstatě vylepšená komunikace na bázi paketových filtrů, jak už je koneckonců patrno z názvu. Kontrola je prováděna stejně, ale navíc si tyto firewally ukládají informace o povolených spojeních, které lze v budoucnu využít při rozhodování. Může se tak stát, že firewall vyhodnotí, že tento typ spojení už proběhl a není rizikový, nebo ho naopak pošle k další verifikaci. Díky tomuto systému tak výrazně roste míra bezpečí, se kterou firewall pracuje a přitom to není nějak výrazně na úkor rychlosti, což je bezesporu pozitivní skutečnost.

Posledním typem firewallové ochrany jsou tzv. stavové paketové filtry s kontrolou protokolů a IDS. Tato ochranná metoda je nejvyspělejší a kromě informací o stavu spojení a dynamického otevírání portů je schopna pracovat formou „Deep inspection“ a „Application Inteligence“. Tento systém progresivního scanování funguje v podstatě na bázi antivirové heuristické analýzy, kdy firewall podle známých vzorců kontroluje příchozí i odchozí komunikaci a v případě, že narazí na vzorec, který je zaevidovaný jako škodlivý, tak jej bez milosti zablokuje.

Nejznámější softwarové firewally

Sunbelt/Kerio Personal Firewall

Kerio Personal Firewall patří mezi nejvyužívanější firewally především kvůli své spolehlivosti a nízkým nárokům na operační paměť. Díky tomu je poměrně dost oblíbený a hojně využívaný, k čemuž přispívá i vcelku přijatelná cena licence, která je cca 460kč. Dříve byl tento firewall vyvíjen firmou Kerio, kterou asi většina uživatelů bude z doslechu znát, ale nyní přešel vývoj do rukou firmě Sunbelt. Tento jednoduše použitelný a přitom propracovaný firewall si téměř vše nastaví sám, a proto se hodí i pro uživatele, kteří této problematice zrovna dvakrát neholdují. Navíc dokáže i blokovat reklamní bannery a to je hodně příjemná funkce. Další funkce tohoto firewallu jsou:

• Ochrana soukromí
• Snadné používání
• Pokročilá prevence proti narušení
• Režim "Stealth"
• a mnoho dalšího

ZoneLabs ZoneAlarm

Zone Alarm od firmy ZoneLabs je velmi jednoduchý firewall, který jsem osobně používal několik let. Nastavit ho je dílem okamžiku a zvládne ho i nezkušený uživatel. Osobně si dokonce myslím, že má nejintuitivnější ovládání (mluvíme-li o celkovém nastavení). Občas je totiž problém u firewallů nastavit bezproblémovou průchodnost sítí, jako například u ESET Smart Security, které vyžaduje vyšší stupeň znalostí. To ale není případ ZoneAlarmu. Na druhou stranu jsem po delší době užívání zjistil, že poměrně dost brzdí systém, což není zrovna ideální vlastnost, takže když často pracujete se zvukem, nebo videem, jako já, tak se nutně musíte poohlédnout po něčem jiném. Pro nezkušené uživatele, kteří hledají solidní ochranu svého počítače je to ale dobrá volba a dá se navíc sehnat na internetu zcela běžně ve freewarové verzi.

Symantec Norton Internet Security 2008

Firma Symantec má v oblasti výpočetní techniky velmi dobré jméno a stejně tak i její produkty „Norton“, jež se mohou chlubit již poměrně dlouhou tradicí. Kromě Norton SystemWorks, nebo Norton 360 (také obsahuje firewall) je vyvíjen i Norton Internet Security, který chrání váš počítač před všemožnou internetovou havětí. Tato aplikace používá nový proaktivní sytém, který poskytuje uživateli ochranu ještě dříve, než se nový červ začne naplno šířit. Nová řada NIS 2008 je navíc vybavena inovovaným jádrem, které urychluje proces skenování a navíc výrazně snižuje velikost využívané operační paměti (což byl u Nortonu tradičně problém). Autoři navíc proklamují, že nová generace firewallu Norton automaticky konfiguruje bránu tak, aby nechala průchod neškodným aplikacím, ale zamezila vniknutí nebezpečným kódům, spywaru, virům a podobně. Tuto informaci nemohu nijak okomentovat, jelikož tento produkt jsem nezkoušel. Každopádně s novou generací tohoto známého ochranného softwaru slýchávám na adresu firmy Symantec jenom samou chválu, takže část pravdy na tom určitě bude.

Windows XP firewall

Tento základní ochranný prvek, který naleznete v každých Windowsech vybavených servis packem 2 rozdmýchal při svém příchodu poměrně horečnou debatu o tom, zda-li je skutečně plnohodnotným firewallem, či nikoliv. No, tak upřímně řečeno, windowsový firewall se za plnohodnotnou náhradu jeho konkurence rozhodně považovat nedá, ale na druhou stranu je to takové přijatelné provizorní řešení. Spustí se hned po načtení Windows, takže vás okamžitě po startu systému chrání a „neužírá“ přehnané množství operační paměti z toho pomyslného výkonového koláče vašeho počítače. Problém Windows XP firewallu je ale v tom, že on v podstatě kontroluje pouze příchozí komunikaci. Ta odchozí zůstává nehlídána, což může být dosti velký problém, jelikož některý šikovnější worm ho může poměrně snadno vypnout a vesele si brouzdat ve vašem počítači. Je to ale jen polemika a jak už jsem řekl, jako provizorní řešení defaultní „ikspéčkový“ firewall stačí.

Závěrem

Ochrana firewallem by se v dnešním světě vysokorychlostního připojení určitě neměla podceňovat, protože jak už jsem zmínil v úvodu, počítač může při komunikaci na síti pracovat přibližně až s 65ti tisíci porty a každý tento port je potenciální bránou do vašeho počítače a zkuste si naráz uhlídat byť je tisícovku dokořán otevřených dveří. Je to nemožné, a proto je firewall naprostou nezbytností, pokud samozřejmě nechcete, aby se vám někdo přehraboval ve vašich osobních věcech, jež máte uloženy v hloubi pevného disku. Možná si také říkáte, že vás se to netýká a že na vašem počítači určitě nebude nic zajímavého, když tam máte jen e-mailového klienta a pár fotek z dovolené. Ano, zní to logicky, ale opak je pravdou. Právě tyto nezabezpečené počítače jsou cílem začínajících hackerů, kteří tyto snadné cíle používají jako objekty své výuky a takovýto počítač může být následně využit k útoku na další, na něž je napojen. Stačí provést skenování portů a dříve nebo později se nějaká ta vrátka u firewallem nechráněného počítače najdou. Nejhorší věcí na tom celém ale je, že takovýto útok vůbec nemusíte zaznamenat. Jednoho krásného dne se proto můžete probudit a zjistit, že všechny cenné materiály jsou pryč. Proto jsem toho názoru, že občas otravný firewall, je jen malou daní za posílenou ochranu vlastního soukromí.