Bezpečnosť s firewallom

Richard Biely  /  15. 03. 2005, 00:00

Byť zabezpečený už dávno nie je len sen. Dnes už má asi každý používateľ PC, ktorý má pripojenie k internetu nainštalovaný antivírový program a program chrániaci váš počítač pred spywareom. Čo však netreba opomínať sú programy, ktoré vystupujú pod označením firewall. Prečo sú ale firewally dôležité a čo je ich funkcia?

Firewally vo všeobecnosti
Firewally by sa dali definovať ako programy zabezpečujúce komponenty počítačovej siete (napríklad servery, úložné zaradenia, či váš vlastný počítač a podobne), pred prípadným útokom alebo inou bezpečnostnou hrozbou. Firewall nemusí nutne chrániť len pred bezpečnostnými hrozbami z internetu, ale aj pred hrozbami z vašej vlastnej počítačovej siete.

Každému firewallu môže používateľ určiť, do akej miery bude vykonávať svoju prácu efektívne, čiže mu určiť, ktorým operáciám, resp. programom by mal dovoliť pracovať tak, ako majú. Takisto by nemala chýbať ani možnosť zakázať činnosť nežiadaným procesom (napr. keď si neželáte, aby sa spúšťal internetový prehliadač Opera, tak ho jednoducho zakážete).


Prečo sú firewally dôležité?
Práve kvôli prakticky nulovému zabezpečeniu je internet veľmi nebezpečným miestom. Takmer nikdy si nemôžete byť istý, či vás práve v tejto chvíli nikto zvonku nepozoruje! Každý majiteľ PC, či každá spoločnosť by preto mala počítať s firewallom, ako s úplne bežnou výbavou systému.

Ak aj firewall nezabráni hrozbe prípadného útoku na systém, predstavuje minimálne spomalovač tejto hrozby.

Ako názorná (do určitej miery zjednodušená) ukážka by mohol byť počítač s pripojením na internet s nainštalovaným firewallom a bez neho. Ak počítač nemá nainštalovaný firewall, bude jeho počítač z internetu prijímať všetky pakety (balíky dát), to znamená, že aj tie čo sú nebezpečné. Na rozdiel od toho, ak je firewall nainštalovaný, najprv sa jednotlivé pakety vyhodnotia a až v prípade, že budú spĺňať kritériá bezpečnosti, budú prepustené ďalej.


Rozdelenie podľa sieťovej komunikácie
Firewally možno rozdeliť do niekoľkých skupín podľa toho, ako vyhodnocujú. Vo svete uznávaným modelom je norma OSI (Open System Interconnection). Model je navrhnutý Medzinárdnou organizáciu pre štadardizáciu, viac známu pod názvom ISO. OSI pozostáva zo siedmich vrstiev definujúcich možnosti komunikácie medzi počítačmi.

Ak firewall vyhodnocuje už na úrovni siete, tak monitoruje každý jeden prichádzajúci aj odchádzajúci paket. Každému paketu sa skontroluje hlavička a ak bude vyhovovať podmienkam, bude prepustený na druhú stranu. V opačnom prípade bude zahodený, resp. bude označený ako možná hrozba. Takéto firewally bývajú označované ako firewally s filtrom na pakety, alebo paketové filtre. Aplikácie takýto typ firewallu prakticky nevnímajú, nech sa deje čokoľvek. Hovorí sa tomu, že firewall sa chová ako transparentný (neviditeľný).

Paketové filtre sa dajú rozdeliť na ešte dve skupiny. Prvú skupinu tvoria stavové, no a druhú bezstavové filtre. Líšia sa implementáciu a spôsobom vyhodnocovania paketov / spojení.

Bezstavové fungujú tak, že vyhodnocujú každý jeden paket samostatne, nezávisle od ostatných. Implementačne sú jednoduchšie.

Stavové firewally si udržiavajú informácie o spojeniach, na základe ktorých sa ďalej určuje ďalšie pôsobenie týchto a ostatných spojení. Implementačne sú zložitejšie, ale v učitých prípadoch výhodnejšie ako bezstavové filtre.

Potom sú firewally, ktoré fungujú ako rozhranie medzi klientom (požiadavateľ) a serverom (poskytovateľ). Filtrujú na aplikačnej vrstve a sú označované ako proxy server. Takýto typ firewallu funguje trochu inak ako paketový filter. Ako som už spomenul, funguje na aplikačnej (programovej) vrstve. Znamená to, že aplikácia sa naň musí najprv pripojiť. Po pripojení mu aplikácia odovzdá svoju požiadavku a tá sa potom vyhodnotí a spracuje. Ak je akceptovateľná, bude paket odovzdaný, resp. prijatý. Ak nie, tak sa paket zahodí alebo sa označí ako hrozba.


Prepojenie sietí
Cez firewall sa dajú siete spojiť mnohými spôsobmi. Jeden (v niektorých prípadoch aj viacero) z počítačov musí byť vždy práve poskytovateľ pripojenia. Ide o akýsi koreňový, alebo lepšie povedané základný počítač, tvoriaci uzol pripojený na súkromnú sieť. Keďže ide o základný počítač/ uzol, musí sa u neho brať veľký ohľad na bezpečnosť a celkovú odolnosť voči infiltráciám. Tento hlavný počítač je dostupný ako z vnútornej, tak aj z vonkajšej siete.

Screened subnet je typ konfigurácie siete skladajúcej sa zo skupiny uzlov. Súkromná sieť je v tomto prípade rozdelená na dve časti, tzv. demilitarizovanú zónu a súkromnú zónu.

Demilitarizovaná je prístupná aj zvonku, aj zvnútra (z vnútornej aj z vonkajšej siete). Sú v nej umiestnené služby, ktoré sú dostupné z vonkajšej siete a zároveň jej aj určité služby dokážu poskytovať. Všetky uzly tejto siete tvoria základné počítače.

Privátna sieť je zvonku neviditeľná, čiže dobre chránená pred prípadným útokom z nej. Proti demilitarizovanej zóne ale chránená nie je. Kompenzované je to tým, že všetky uzly demilitarizovanej siete sú základné počítače, čiže tie, ktoré sú maximálne chránené.

Dual-homed gateway je typ konfigurácie siete, pri ktorej je jeden uzol pripojený do súkromnej aj vonkajšej siete. Smerovanie medzi sieťami nie je možné. Na uzol sa môžu pripájať aj uzly z vonkajšej, aj z vnútornej siete. Komunikácia medzi nimi ale nie je v žiadnom prípade umožnená.

Screened host je typ konfigurácie podobajúci sa na dual-homed gateway. Hlavný rozdiel spočíva v prítomnosti smerovača, ktorý prepúšťa z vonkajšej len na screened host, nie do nej. V prípade tohto riešenia sa takisto nedá prepúšťať prevádzka z vnútornej siete na vonkajšiu. Smerovač musí byť veľmi dobre chránený pred útokmi. Ide o najčastejšie riešenie konfigurácie siete.


Aký firewall si vybrať?
I keď by sa mohlo zdať, že každý firewall poskytuje prakticky rovnakú ochranu ako ostatné, nie je to pravda. Každý program typu firewall poskytuje niečo, čo iný nemá. Niektoré vynikajú vo výbornej efektivite, iné vynikajú v množstve ponúkaných funkcií.

V minulosti bolo mnoho firewallov poskytovaných ako freeware, dnes sa ale výrobcovia firewallov prikláňajú skôr k politike plateného softwaru. Ak nechcete do firewallu investovať veľa peňazí, mate dve možnosti. Prvou je používať operačný systém Linux, ktorý už firewall má v sebe zabudovaný, alebo máte druhú možnosť, trochu drahšiu, používať operačný systém Windows XP a nainštalovať naň Service Pack 2, vďaka ktorému sa vám firewall zabuduje.

Ak ste ale rozhodnutý pre skutočnú ochranu a vyššie spomínané „zabudované“ firewally vám nestačia, radšej si treba siahnuť do peňaženky a kúpiť si poriadny komerčný firewall. Asi najrozšírenejšími alebo najznámejšími komerčnými firewallmi dnešnej doby sú Norton Personal Firewall, Kerio, Sygate Personal Firewall, McAfee, či firewall integrovaný v antivírusovom programe Panda Antivirus Platinum. Naozaj je z čoho vyberať.

Neprehliadnite: