Image

Počítačové siete

Ako na to: chránime sieť firewallom

Prednedávnom sme robili pokusy s pripojením nezabezpečeného počítača s operačným systémom Windows XP SP1 k internetu a výsledok bol naozaj alarmujúci. Nemilú návštevu v podobe červa využívajúceho dieru v systéme sme vítali už po prvej minúte po pripojení cez DSL linku. A červíček nám následne počítač nemilosrdne vypol. Bezpečnosť počítačovej siete je preto mimoriadne dôležitá.

Image

Firewall systému Windows: Umožňuje definovať chránené rozhrania do jednotlivých sietí.

Firewall chráni vaše dáta

Firewall, teda zariadenie alebo softvér oddeľujúci na základe definovaných pravidiel dve alebo viacero sietí boli ešte prednedávnom výsadou sieťových zariadení v oblasti podnikových riešení. S rozšírením internetu do domácností a presunom pôvodných WarDialerov, teda ľudí pripájajúcich sa na iné počítače cez modemy a telefónne siete, na internet začala byť otázka ochrany koncových počítačov veľmi pálivá. Preto sa objavili personálne firewally, ktoré sa vyznačujú bohatými vlastnosťami v oblasti podpory multimediálnych aplikácií a zároveň jednoduchou konfiguráciou. Pre účely domáceho používateľa väčšinou bohato postačuje firewall integrovaný v systéme Windows – ideálne však s aktualizáciou SP2, ktorá prináša jeho mnohé vylepšenia.

Image

Jednoduchá schéma: Znázorňuje ako sa v prípade sieťového firewallu oddeľuje citlivá vnútorná sieť pred nebezpečenstvom z internetu.

Image

Integrovaný firewall: sprístupnenie služby Server FTP.

Základom je overenie funkcionality firewallu. K tomu slúži v prvom rade takzvané Bezpečnostné centrum Windows, ktoré s obľubou zobrazuje hlásenia o nefunkčnom firewalle, expirovanom antivírusovom systéme alebo neaktuálnosti systému. Práve z dôvodu týchto hlásení ho veľa ľudí vypína, takže je dobré overiť zapnutie firewallu aj manuálne. Firewall má svoj vlastný modul v položke Ovládacie panely pod názvom Brána firewall systému Windows. Po kliknutí naň máte možnosť firewall zapnúť, úplne zakázať výnimky, či naopak ho vypnúť a vystaviť sa tak nástrahám internetu. Pokiaľ aktívne používate najrôznejšie P2P programy, či iba chcete sprístupniť niektorú službu na vlastnom počítači z internetu, bude vás zaujímať druhá záložka s príznačným názvom Výnimky. V tejto karte je možné zadefinovať výnimku umožňujúcu komunikovať cez firewall na základe kombinácie IP adresy a portu aplikácie, alebo akúkoľvek komunikáciu pre konkrétny spustiteľný program. Pri oboch spôsoboch nechýba možnosť zadefinovať rozsah IP adries, pre ktoré táto výnimka platí. Vďaka tomu je možné určiť výnimku iba pre vnútornú sieť či vonkajšiu sieť ktorej dôverujete a naďalej chrániť prístup pred návštevníkmi z iných sietí. Pokiaľ máte v počítači viacero sieťových kariet (jednu do internetu, jednu napríklad na prepojenie s HTPC), môžete firewall pre niektoré z rozhraní, ktorému dôverujete, vypnúť. Ak teda napríklad dôverujete sieti, v ktorej máte okrem vlastného počítača multimediálne PC, v záložke Upresniť jednoducho odznačíte toto rozhranie a firewall preň prestane byť aktívny.

Image

Nadbytočné záznamy: sú pridávané rôznorodým spyvérom do súboru hosts a môžete ich pokojne vymazať.

Image

Spôsob overovania: V prípade chráneného prístupu k sieti pomocou protokolu 802.1x je ho nevyhnutné zadefinovať.

Výbornou alternatívou k zabudovanému firewallu systému Windows je napríklad Sunbelt Kerio Personal Firewall, ktorý ponúka bohaté konfiguračné možnosti aj pre náročnejších užívateľov a je schopný plnej integrácie s operačným systémom. Aj v podmienkach domácej siete sú prípady, keď je použitie personálneho firewalu zbytočné. Napríklad ak používate pre pripojenie do internetu smerovač s funkcionalitou NAT/PAT, je technicky nemožné, aby niekto pristupoval z internetu na váš počítač. Ak je toto váš prípad a zároveň máte pod kontrolou aj ostatné počítače v sieti, personálny firewall naozaj nepotrebujete, lebo ho nahrádza funkcionalita smerovača. Nezabúdajte však, že ak bude ktorýkoľvek z počítačov v sieti nakazený vírusom či trójskym koňom, veľmi ľahko dôjde k nákaze všetkých ostatných počítačov v sieti. Zvažujte teda, ktorú možnosť nakoniec zvolíte.

Aplikácie, ktoré prezradia heslo

O sile dobre zloženého a dlhého hesla sa už popísalo veľa. Pokiaľ ho používate i vy, je to nepochybne výborné, no možno sa dopúšťate ďalšej chyby, ktorá túto snahu znehodnocuje. Tou je používanie toho istého hesla do všetkých používaných systémov. Na internete sa totiž ešte stále používajú aplikácie, ktoré prenášajú celé heslo v pôvodnej podobe – nekryptované. Sú to napríklad protokoly POP3 pre výber e-mailových správ a FTP pre prenos súborov, ale aj protokol HTTP za predpokladu, že nie je použité zabezpečenie SSL. Vďaka nim dokáže útočník jednoduchým odposluchom komunikácie, bez námahy a hrozby odhalenia získať heslo, ktoré mu otvorí cestu do všetkých systémov, ktoré používate. Preto je dobrým zvykom používať viacero hesiel pre rôzne systémy.

Aj vzduch môže byť bezpečný

I keď WiFi sa z princípu bezpečná nezdá, keďže všetky zariadenia na seba „pokrikujú“ len tak krížom krážom vo vzduchu, no moderné zariadenia takmer všetkých výrobcov poskytujú dostatok bezpečnostných technológií. Ak to myslíte s bezpečnosťou vážne, určite by ste mali zabudnúť na ochranný mechanizmus WEP (nech už ste výrobcom presviedčaný o jeho bezpečnosti vďaka netradičnej dĺžke kľúča) či kontrolu MAC adries. Obe sú veľmi ľahko prekonateľné a odradia iba neskúseného útočníka. To, čo WiFi z pohľadu bezpečnosti približuje ku káblovým sieťam je štandard 802.11i, známy ako WPA2. Pokiaľ ste teda šťastlivcami, ktorí túto položku v konfigurácii svojho zariadenia nájdu, určite ju využite.

Image

MSClient: Používanie sieťových služieb a protokolov je pre každé rozhranie jedinečné – uistite sa, že to vaše je nastavené korektne.
Ak nie, nedajte sa odradiť. Niektorí výrobcovia označujú tento režim ako WPA-AES. Pokiaľ ani tu nepochodíte, je možné, že vaše zariadenie podporuje aspoň režim WPA, ktorý je predchodcom štandardu a ktorý je podstatne bezpečnejší ako WEP. Vďaka nižšej náročnosti algoritmu ho implementovalo mnoho výrobcov i do starších zariadení, takže odporúčame poohliadnuť sa na stránke výrobcu po aktualizácii.

Image

Množstvo portov: Rôzne aplikácie komunikujú cez rôzne porty, väčšina firewallov dovoľuje ich zadefinovanie a následné povolenie či zakázanie.

Nech už vaša sieť vyzerá akokoľvek, bezpečná bude vždy iba tak, ako jej najmenej zabezpečené zariadenie; podobne ako pri ohnivkách reťaze. Útočníci sú vynachádzaví a hľadajú slabinu, cez ktorú by sa dostali kam nepatria. Darmo budete disponovať výborným a poctivo nakonfigurovaným firewallom do internetu, keď v sieti prevádzkujete zle zabezpečený WiFi prístupový bod, vďaka ktorému si sused počas dlhých večerov prezerá fotky z vašej dovolenky.

Image

Ukryte sa: Pre ochranu súkromia možno použiť na internete dostupné služby anonymizérov.