Vše přes firewall
Sám o sobě není firewall o nic významnější než program Malování. Jeho kvalitní integrace do obrany systému však vytvoří z vašeho počítače nedobytnou pevnost.
MARKUS HERMANNSDORFER, PETR KRATOCHVÍL
Chtěli byste vyzkoušet řízení letadla bez příslušného školení a bez pilotní licence? Pochopitelně že ne! Jen pohled z kokpitu a možnost havárie vyděsí většinu normálních lidí. Je ale smutné, že podobně si nepočínají počítačoví uživatelé při používání firewallu. Jeho technologie je stejně komplikovaná jako zmíněné řízení letadla a má s ním společnou i další vlastnost – když je nástroj dobře nakonfigurován a podaří se vám "vzlet", pak může bez obtíží převzít řízení "autopilot" a my si můžeme užívat automatického režimu. To je však také důvod, proč celá řada uživatelů použití firewallu kritizuje.
Existuje mnoho odborných internetových diskusí, jejichž účastnící uživatelům doporučují nepoužívat firewally, protože prý nenabízejí téměř žádnou ochranu a zbytečně využívají systémové prostředky. Pokud si jejich námitky prostudujete, nelze nesouhlasit alespoň s jednou z nich: v současné době počítač skutečně vyžaduje kompletní ochranu a samotný firewall by měl být jen jedním z mnoha bezpečnostních prvků. My vám ukážeme, jak firewall funguje, způsoby, jak ho obelstít, a především to, jak ho začlenit do komplexní bezpečnostní obrany. Jako bonus na DVD přidáme i nejlepší firewally a další užitečné bezpečnostní nástroje.
Kontrola dat: Jak fungují firewally
Dalo by se obecně konstatovat, že firmy používají především hardwarové firewally, zatímco individuální uživatelé si spíše instalují softwarová řešení (jako Comodo, Sunbelt) nebo požívají integrovaný firewall Windows. V současnosti nabízí také většina "klasických" routerů (jak Wi-Fi, tak LAN) integrovaný firewall, který doporučujeme zapnout. Všechna tato řešení zkoumají příchozí a odchozí datové pakety a v případě potřeby je filtrují. Pro tento proces jsou důležité informace o IP adrese zdroje a cílového počítače a také informace o portu a protokolu, prostřednictvím nichž byl paket odeslán. U desktopového (softwarového) firewallu najdete i aplikační filtr, pomocí něhož lze jednotlivým aplikacím povolovat nebo zakazovat přístup na internet. Celá řada firewallů také nabízí režim učení, který uživatelům usnadňuje vytváření bezpečnostních pravidel. Filtr obsahu umožňuje blokovat specifické webové prvky (například ActiveX komponenty, javascripty…). Ve firewallech najdete tyto funkce skryté pod názvem "webový štít" nebo "Web Application Firewall". Další důležitou funkcí je "Stealth mode" – v tomto případě firewall blokuje všechny dotazy na nepoužité porty. Poslední důležitou funkcí, o které se zmíníme, je "Stateful Packet Inspection (SPI)", nacházející se téměř ve všech hardwarových firewallech a kontrolující pakety, které procházejí zařízením.
Pokud například spustíte prohlížeč, je pomocí různých služeb navázáno paralelně několik spojení. Ta jsou obvykle schopna odesílat a přijímat datové pakety současně. Při kontrole datového paketu SPI prověřuje také stav spojení a zjišťuje, zda paket patří k již existujícímu spojení a zda by měl prohlížeč na tento paket odpovědět. Na základě těchto a celé řady dalších dotazů poté firewall rozhodne, které pakety mají být blokovány a které mohou projít. Každý ze zmiňovaných filtrů má jinou metodu, ale všechny mají společný cíl: blokování podezřelých "balíků dat", které byly zaslány z internetu do počítače – jde o ochranu proti vnějším útokům. Celá řada uživatelů si myslí, že pokud se již malware dostal na disk počítače, není už firewall k ničemu. Někteří výrobci firewallů s tímto tvrzením ale nesouhlasí a my vám ukážeme proč.
Útok: Obelstění firewallu
V ideálním případě by mělo platit, že filtrování paketů počítač vždy ochrání. Toto tvrzení ale bohužel neplatí vždy. Kdo přesně neví, jak filtrování paketů funguje, toho lze přechytračit následujícím způsobem:
VNĚJŠÍ NAPADENÍ: Dříve než hacker zaútočí na firewall, musí zkontrolovat, jaké bezpečnostní mezery jsou na vašem počítači "k dispozici". Může to být chyba v prohlížeči, nesprávně nakonfigurované služby Windows nebo pro internet aktivní "Sdílení souborů a tiskáren". Mezi nejčastější metody detekce zranitelností patří využití přílohy v e-mailu (uživatel ji otevře a spustitelný soubor počítač "prověří") nebo infikované webové stránky (po jejich návštěvě se do počítače dostane trojský kůň, který prověří systém). Při obou typech "útoku" je také častým cílem firewall – zjištění jeho slabin a potenciálních zranitelností. Prvně zmiňovaná metoda průzkumu je hackery využívána především proto, že celá řada uživatelů nefiltruje svou poštu.
Některé programy na dálkové ovládání PC umí firewall obejít
VNITŘNÍ NAPADENÍ: Pokud se trojský kůň dostane do systému a získá stejná práva, jako má uživatel, může aktivně maskovat svou činnost. Odhalit trojského koně není zrovna snadná záležitost, protože na podobném principu funguje celá řada programů, které lze od malwaru odlišit jen velmi obtížně. Typickým příkladem může být třeba nástroj na vzdálené ovládání počítače. Výrobce oblíbeného produktu TeamViewer (www.teamviewer.com) na svých stránkách označuje jako výhodu skutečnost, že nástroj pracuje i skrz firewally (pochopitelně s výjimkou SPI) nebo NAT a nevadí mu ani blokované porty. TeamViewer totiž komunikuje přes port 80, který se používá pro připojení http a který nebývá nikdy zakázán. Díky tomu je proti němu většina klasických softwarových firewallů bezmocná – buď nechají program komunikovat, nebo zcela zakáží připojení k internetu (na portu 80). Program se navíc nainstaluje jako služba Windows, čímž získá stejná práva jako systém uživatele. Na základě tohoto příkladu si lze udělat obrázek, jak vám pomůže firewall proti kvalitnímu trojskému koni – ve chvíli, kdy začne nástroj odesílat informace o vašich důvěrných datech, nemusí si toho firewall ani všimnout.
Zabezpečení počítače: Nedobytná pevnost
Na základě předchozích informací si nelze nepoložit otázku, zda je firewall opravdu potřeba. Odpověď zní jednoznačně ano. Pokud je správně nakonfigurován, nabízí důležité informace o zabezpečení systému a brání útokům a bezpečnostním rizikům zvenčí. Pravda je, že proti výše uvedeným metodám trojských koní nepomůže, ale na ty je možné použít jiné nástroje – klasické antiviry nebo specializované antimalwarové nástroje (například SpywareBlaster). Další možností je použití komplexního zabezpečení – například bezpečnostního balíku AVG z Chip DVD.
VŠECHNO VYPNOUT: Pro vysvětlení námi doporučených nastavení použijeme jako příklad bezplatný nástroj PC Tools Firewall Plus. U komerčních řešení nebo komplexních bezpečnostních balíků však radíme použít nastavení podle doporučení výrobce, aby byly jednotlivé komponenty (antivir, antispam) optimálně propojeny. Dříve než začnete konfigurovat firewall nebo bezpečnostní balík, zkontrolujte, zda je integrovaný firewall systému Windows vypnutý. Zpět k našemu příkladu: Při instalaci programu PC Tools Firewall Plus nejprve zrušte zatržítko u položky "Spyware Doctor" a poté vyberte možnost "Experts". Pokud jste již firewall nainstalovali v jiném režimu, klikněte v hlavním panelu na symbol "Settings". V okně, které se objeví, nastavte v záložce "General" posuvník na možnost "Block all". Poté ještě deaktivujte zatržítko u volby "Allow automatically popular applications", čímž omezíte možnost skryté potenciální komunikace trojských koní. Po dokončení těchto kroků spusťte kombinaci kláves [Ctrl] + [Alt] + [Del] Správce úloh systému Windows. V záložce sítě by neměl být vidět žádný provoz. Pro lepší přehlednost ještě doporučujeme v nabídce "Zobrazit | Vybrat sloupce…" aktivovat zobrazení odeslaných a přijatých bajtů.
TVORBA PRAVIDEL: Pokud je počítač takto "zapečetěný", je možné začít s tvorbou pravidel. V hlavní nabídce klikněte na tlačítko "Questions" a spusťte libovolný program komunikující "přes internet" – například prohlížeč. Objeví se dotaz, zda komunikaci povolit, a vy může odpovědět kladně (zde kliknutím na "Allowed"). Lze také určit, zda bude moci program data pouze odesílat, nebo je také přijímat, případně je možné obě komunikace zakázat.
Tuto možnost najdete pod volbou "Applications ". Stejným postupem byste měli nastavit pravidla pro všechny ostatní používané programy – poštovního klienta, virový skener, instant messenger nebo například Skype. Přitom dodržujte obecné pravidlo: blokujte vše, čím si nejste stoprocentně jisti. Další podrobnosti o komunikaci najdete v sekci "Provisions" – důležitý je například použitý port, přes který neznámý program komunikuje. Zajímavá je i sekce "External address | Connections ", kde najdete informaci o IP adrese, se kterou program komunikuje. Pokud ji totiž zadáte do formuláře na webu www.domaintools.com/reverse-ip, získáte přibližnou informaci, s kým neznámý program komunikuje. Ve chvíli, kdy zjistíte, že program Excel32 ze systémové složky komunikuje se serverem v Brazílii, je ten správný čas prověřit počítač…
KONTROLA FIREWALLU: Na závěr zkontrolujte, zda je firewall dobře nakonfigurován a zda je počítač neviditelný pro hackery. Navštivte stránku http://webscan.securitycheck.ch a po kliknutí na "Quick scan" si zdarma nechte firewall otestovat. Podobnou službu lze najít i na dalších webech – například na https://www.grc.com/x/ne. dll?bh0bkyd2 (ShieldsUp). Díky těmto testům se dozvíte, které porty máte otevřené a které zablokované. Dalším důležitým místem, které byste měli navštívit, jsou "log soubory" firewallu. Díky záznamům v souboru budete vědět, kdy byly pakety odeslány (nebo přijaty), přes který port se transfer uskutečnil, jaká komunikace byla zablokována, případně kdo byl jejím cílem. V programu PC Tools Firewall klikněte na "Sequence" a v záznamu si můžete prohlédnout informaci o ochozích paketech (označených modrou šipkou) a přijatých paketech (se zelenou šipkou). V této sekci také najdete příslušné IP adresy odesilatelů a adresátů paketů (Source / Target), které lze využít ke zjištění "geografické adresy" komunikujících serverů. Zjištěný port lze využít také k odhalení trojských koní – na adrese www.trojaner-info.de/port.shtml najdete seznam portů, na kterých komunikují běžné služby Windows. Pokud vám přes firewall probíhá neznámá komunikace na jiném portu, je to opět důvod k důkladné kontrole počítače.
DOKONALÁ OCHRANA: Pokud se škůdci podaří dostat na váš pevný disk (i přes správně nakonfigurovaný firewall), antivir ho detekuje a odstraní. V případě akutních problémů lze použít Dr. Web CureIT, z hlediska dlouhodobé ochrany však doporučujeme použít spíše AVG (které najdete na každém Chip DVD) nebo speciální verzi bezpečnostního balíku firmy F-Secure. My pro vás však máme ještě jeden tip: Na rozdíl od klasických antivirů, které hledají malware převážně na základě signatur, existuje ještě jedna možnost, jak se vypořádat s hrozbami na počítači. Vyzkoušejte nástroj Snort, který dokáže pomoci i proti neznámým (tzv. zero day) hrozbám. Tento program totiž kontroluje datový tok na síti, díky čemuž může odhalit i komunikujícího trojského koně. Na závěr si ještě neodpustíme upozornění na dvě základní pravidla – nezapomínejte na automatické aktualizace systému Windows a na záplatování rizikových aplikací. K tomu prvnímu vám postačí jedno kliknutí ve Windows, o to druhé se postarají specializované nástroje – například námi doporučovaný Software Inspektor od společnosti Secunia, která je v oblasti bezpečnosti specialistou na zranitelnosti. Nikdy ale nezapomínejte, že posledním a nejdůležitějším bezpečnostním prvkem jste vy – pokud budete automaticky klikat na vše, co uvidíte, nebo otevírat podezřelé e-maily, nepomůže vám sebelépe zabezpečený počítač.
PETR.KRATOCHVIL@CHIP.CZ
1 Aplikace posílají datové pakety do počítačové sítě nebo přímo na internet
2 Pakety s podezřelými příjemci jsou zadrženy
3 Je-li obsah paketu v souladu s tabulkou stavů, je paket propuštěn
4 Server posílá různorodé pakety do vašeho počítače
5 Tabulka stavů: Pokud je adresa odesilatele podezřelá, je paket zahozen
6 Pokud neodpovídá obsah adrese odesílatele, je paket ohodnocen jako nebezpečný
7 Aplikace a služby přijímají zkontrolované pakety
JAK NASTAVIT FIREWALL
Základem dobře nakonfigurovaného firewallu jsou kvalitně vytvořená pravidla
Pravidla lze samozřejmě nastavit přímo, většina uživatelů ale bude využívat spíše metodu učení, kde firewallu vysvětluje co "smí", a co ne. Problémem ale bývá, že uživatelé často netuší, co povolit musí, co povolit mohou, a co nesmí. Hranice mezi nutnou a neužitečnou výměnou dat bývá často velmi tenká (musí "s internetem" komunikovat Word?) a rozpoznání malwaru a systémových souborů také nemusí být zrovna nejjednodušší. Jak tedy poznat, co povolit, a co naopak rozhodně zakázat? Vždy když dojde k pokusu o komunikaci, zobrazí firewall okno s důležitými údaji. U odchozí komunikace je to aplikace, která odesílá data, IP adresa (cílová) a podrobnosti o spojení. V nich obvykle najdete informace o umístění aplikace, o kolikátý pokus o spojení jde nebo port přes který komunikace probíhá. Na základě těchto informací se musíte rozhodnou, co provést. Některé programy – například AVG firewall – dokáží sami rozpoznat známé aplikace a povolit jim komunikaci.
1/ Prvním krokem by mělo být prověření aplikace, která se o spojení pokouší. Ověřte si, zda se program skučně nachází tam, kde by měl, zda komunikuje po určených portech a na jakou IP adresu pakety odcházejí. Pokud se vám kterýkoliv z uvedených "parametrů" nezdá, nebojte se odeslat programový soubor na kontrolu (např. www.virustotal.com).
2/ Pokud by mělo jít o systémový proces, ověřte si, zda je tomu skutečně tak. Na celé řadě webů najdete nejen kompletní seznam systémových procesů (například na www.processlibrary.com) , ale také informace o nejběžnějších procesech nacházejících se v počítači.
3/ Jestliže si ani po výšeuvedených "konzultacích" nejste jisti (a zároveň jste nenarazili na žádnou negativní odezvu), zkuste komunikaci zakázat, ale zároveň nezapomeňte zrušit zatržítko pro vytvoření pravidla. Pokud se bude žádost opakovat, postupně vypínejte běžící programy a zjišťujte s jakým jsou žádosti o komunikaci svázané.
4/ Doporučujeme povolit "výměnu paketů" pouze aplikacím, které jsou pro komunikaci primárně určené (například instant messenger), a ignorovat ty, o kterých nic nevíte nebo je u nich připojení k internetu zbytečné (například grafické editory). Dávejte si ale pozor, abyste nezablokovali pravidelné aktualizace, nebo specializované funkce.
PRO - Firewall chrání počítač
Jako součást bezpečnostního balíku zlepšuje dobrý firewall schopnosti v oblasti identifikace nebezpečného kódu (především díky kontrole odesílaných a přijímaných dat), čímž vylepšuje celkovou ochranu počítače. Dobrý firewall automaticky vyhodnocuje typ datového provozu, uvolňuje nebo blokuje spojení a zobrazuje stránky bez obtěžujících vyskakovacích oken. Na základě zjištění, zda jde o neškodný, nebo škodlivý datový paket, lze poté zjistit další důležité informace. Dobrý firewall by měl filtrovat jak příchozí i odchozí provoz, tak obsahovat i "intrusion prevention system", který by měl být schopen ochránit potenciální bezpečnostní mezery i bez příslušných záplat.
Stefan Wesche technický expert společnosti Symantec
PROTI - Trojské koně ho překonají
Hlavní riziko desktopového firewallu spočívá v tom, že se uživatel začne cítit v bezpečí. Ochranné mechanismy, které firewall nabízí, ale mohou být snadno překonány. Obecně například platí, že je webovému prohlížeči povolena komunikace pomocí protokolu http. Pokud ale máte neznámý program, obvykle mu nebude povolena komunikace s neznámou službou na internetu. Toho může chytrý hacker využít: zabalí "problematická data" do http (maskuje se jako komunikace s prohlížečem) a tímto způsobem pronikne do (nebo z) počítače. Firewall může hrát při ochraně svou roli, ale pouze tehdy, pokud znáte jeho principy (a tím i jeho omezení). Pro zabezpečení systému je však klíčový především kvalitní antivirový skener a pravidelné záplatování systému.
Sebastian Schreiber bezpečnostní expert firmy SySS
Nejoblíbenější triky
ZNÁMÉ JMÉNO: Hackeři využívají toho, že když uživatel vidí "známé jméno" (word1.exe, InternetE.exe), automaticky hlášení firewallu odklikne a komunikaci povolí. Většina firewallů nabízí informaci o tom, kde se komunikující soubor nachází. Pokud je soubor word1.exe uložen přímo v systémové složce (a ne v Program Files\Microsoft Office), bude asi něco "špatně". Pokud se soubor nachází ve správné složce, můžete ho ještě odeslat na kontrolu do "file scanneru" (například Jotti.org).
SYSTÉMOVÝ SOUBOR: Dalším trikem na oklamání méně zkušených uživatelů je skrývání se za systémové soubory. Složka Windows\System32 je plná spustitelných souborů a hackeři spoléhají na to, že jeden navíc se tam ztratí. A kdo ví, že soubor "systemXP.exe" z Redmondu nepochází? I v tomto případě lze doporučit prověřit buď jméno souboru, nebo ještě lépe rovnou provést kontrolu pomocí "file scanneru".
10 tipů pro firewally
1 Nepoužívejte více firewallů najednou Více spuštěných firewallů počítač jen zbytečně zpomalí a může dojít i ke zhroucení systému.
2 Neznámé soubory/procesy raději blokujte Opravdu chcete, aby soubor "wklsd45xqy.exe" odeslal data z vašeho počítače? Pokud si nejste jisti, zkontrolujte, o jakou jde službu a kdo je příjemcem dat.
3 Používejte a chraňte log soubory Pouze díky logovacím souborům můžete i zpětně zjistit, co se v počítači stalo nebo jak se do systému dostal podezřelý soubor.
4 Nenechávejte firewall osamocený Firewall z principu nemůže zadržet viry ani trojské koně. Proto by měl mít na vašem počítači společnost v podobě antiviru, antispywarového nástroje a v optimálním případě i "intrusion-detection" softwaru.
5 Nenechávejte nezazáplatované zranitelnosti Pravidelně kontrolujte aktuálnost softwaru v počítači. Pokud má například zranitelnost prohlížeč, malware se může dostat do systému, aniž by si toho firewall všiml.
6 Nespoléhejte se na NAT (překlad adres) Router s integrovaným automatickým překladem adres (Network Address Translation) určí příjemce paketu a díky tomu se vyhýbá jasné identifikaci přes IP adresu. To je přesně to, co umí hackeři dobře využít.
7 Nepoužívejte zbytečné síťové služby Každá služba Windows, která zbytečně běží na pozadí bez vědomí uživatele, je pozvánkou pro hackery. Vypněte vše, co nepotřebujte pro aktuální fungování počítače.
8 Používejte volbu odmítnout (Reject) Firewally mohou blokovat dotazy na nepoužívané porty bez odezvy (Stealth mode), nebo lze zaslat odpověď typu "Služba není dostupná" (Reject mode). Z hlediska bezpečnosti doporučujeme spíše druhou volbu.
9 Neodklikávejte varovná hlášení Otevřete okno firewallu a přečtěte si informace týkající se problému. V opačném případě je jen otázkou času, než kliknete na něco, na co jste kliknout neměli...
10 Nakonfigurujte si správně Windows Myslíte si, že by všichni na internetu měli mít přístup k vašim souborům a tiskárně? Ověřte si nastavení důležitých funkcí ve Windows (například sdílení).
Foto: Spuštěné aplikace: U každého programu lze určit, přes které porty bude smět komunikovat.
Foto: Bez práce: Některé firewally rozpoznají bezpečné aplikace a povolí jim komunikaci.
Foto: Typ sítě: Při konfiguraci firewallu je nejprve nutné určit, v jaké síti se počítač nachází.
Foto: Ani myš: Než začnete vytvářet pravidla, neměl by firewall propustit ani bajt.
Foto: Lokalizace: Z IP adresy je možné zjistit polohu útočníka. Náš útočník je z Brazílie…