Vitajte na stránkach spoločnosti COMP-FINANC.              kontakt: tel: 0692 061 847, mobil: 0905 853 255 ~ obchod@comp-financ.eu

Firewally-často kladené otázky

(1) Čo je to firewall a k čomu slúži:

 

V počítačovej terminológií sa firewallom nazýva software alebo hardware (hardwarové firewally), ktorých funkciou je kontrolovať (povolovať či zakazovať) komunikáciu v počítačovej sieti na základe daných pravidiel. Používa sa na oddeľovanie rôznych častí siete (najčastejšie oddeľuje nebezpečný internet od miestnej siete). Pre dobrú predstavu môžeme uviesť analógiu s hradom chráneným hradbami, kde každý príchod alebo odchod je u brány skontrolovaný.

 

Osobní firewall je firewall určený pre ochranu pracovnej stanice (teda jedného počítača). Jedná sa o software (aplikáciu) s jednoduchým ovládaním, tak aby s ním mohol pracovať aj menej skúsený užívateľ. Z funkčného hľadiska pracuje veľmi podobne – oddeľuje počítač od siete. Navyše, vďaka tomu, že beží priamo na pracovnej stanici, môže kontrolovať komunikáciu viac detailnejšie (môže kontrolovať, ktoré aplikácie komunikujú) než firewall chrániaci celú sieť (pretože nebeží na tomto počítači, nemá možnosť zistiť, ku ktorej aplikácií komunikácia patrí).


Ako fungujú firewally? (Jiří Peterka)

Čo je firewall a načo slúži KERIO (krteczek)

heslo Firewall (Wikipedia)

 

Pozn.: Brána firewall systému Microsoft Windows (súčasť WinXP SP2) nie je plnohodnotný osobný firewall a nedá sa preto odporučiť ako vhodný nástroj pre riadne zabezpečenie počítača.

 

(2) Aký je najlepší firewall:

Rovnako ako na otázky Aký je najlepší internetový prehliadač, Aký je najlepší spravodajský portál, Aké je najlepšie auto, Aké je najlepšie víno........existuje mnoho názorov, veľa porovnávacích testov, ale objektívne je len veľmi ťažké odpovedať. Každý firewall má nejaké pre a nejaké proti, žiadny nie je bez chyby, bez zneužiteľnej bezpečnostnej diery (nemusí sa o nej vedieť). Kvalita firewallov sa tiež mení v čase, podľa schopnosti reagovať na nové hrozby a opravovať zistené chyby.


Napriek tomu podľa mojej skúseností nie je až  tak dôležité, či máte práve ten "najlepší", najnovší a najkrajší firewall, ale či je dobre nastavený a či ho viete používať (či rozumiete jeho ovládaniu). Preto za seba odporúčam akýkoľvek dôveryhodný osobní firewall (krátky súčasný zoznam), s ktorým sa stotožníte a ktorý dokážete používať.


Príklady: 1, 2, 3



(3) Test bezpečnosti hlási otvorené porty:

 

Úvod:

Je potrebné si uvedomiť, že v dnešnej sieti internet dochádzajú adresy (protokol IPv4), a preto sa objavili technológie (NAT), ktoré umožňujú zoskupiť (schovať) viac klientských (teda bežných pracovných staníc - nie serverov) PC pod jedinú internetovú adresu (používa sa termín verejná IP adresa). V praxi to vyzerá tak, že všetky počítače v nejakej lokálnej sieti (firemnej, domácej, komunitnej) sa pripájajú cez jedno zariadenie, tzv. router (čo je vyčlenený PC alebo špecializované zariadenie). Router potom prijíma všetky požiadavky (napr. žiadosť o načítanie webovej stránky, prihlásenie na ICQ apod.) od klientov z lokálnej siete a preposiela ich do internetu, ale zo svojou (tou verejnou) adresou - ako keby žiadal on sám. Ešte si poznačí, ktorý klient sa pýtal a keď príde odpoveď, prepošle mu ju späť. Všetko teda krásne funguje, aj keď asi už tušíte isté obmedzenie - keby niekto chcel z internetu poslať požiadavku vám, tak to nejde. Môže síce poznať adresu routeru, ten by ale nevedel, komu to má preposlať. Môže poznať aj priamo adresu  vašeho PC, ale tu zase nebudú poznať smerovače v internete. Preto napr. všetky servery musia mať verejné adresy.

Problém: - jadro pudla

Niektorý poskytovatelia internetu prekladajú adresy svojich klientov, tzn. adresa ich PC sa nezhoduje s adresou, pod ktorou sú vidieť v internete. Tam je vidieť adresa routeru poskytovateľa.


Výhody:

- Vaše PC nie je prakticky z internetu priamo napadnuteľné.


Nevýhody:

- Nefungujú niektoré protokoly, služby.

- Nemajte falošný pocit bezpečia - PC je napadnuteľné "zvnútra" (od klienta rovnakého poskytovateľa - záleží na konfigurácii a bezpečnostnej politike poskytovateľa).

- Služby testovania bezpečnosti na princípe skenovania portov netestujú vaše PC (výsledky nemajú pre vás význam).



Ako zistiť, či mám verejnú IP adresu:

Spuste príkazový riadok (Start->Spustit: "cmd" - bez úvodzoviek) a napíšte tento príkaz:

ipconfig

Potom sa pozrite napr. na stránku http://ip.iol.cz/ a porovnajte IP adresy.

 

- Ak sa zhodujú - máte verejnú IP adresu - tj. adresu vášho PC je vidieť  v internete. To síce predstavuje veľké riziko, ale i lepšiu možnosť kontroly zabezpečenia pomocou bezplatných testov - viď ďalej.

- Ak sa nezhodujú - ste "schovaný" za nejakým druhom prekladu adries, vaše PC teda nie je priamo napadnuteľné ani testovateľné z internetu.


Ako zistiť, či sú na mojom počítači otvorené  nejaké porty?

Spuste príkazový riadok (Start->Spustit: "cmd" - bez úvodzoviek) a napíšte tento príkaz:

netstat -abn

(u Win2000 nie je implementovaný prepínač b, pre zobrazenie priradených procesov, takže napíšte len netstat -an)

Zobrazí sa zoznam všetkých otvorených portov a u WinXP i proces, ktorý s daným portom pracuje. Neľakajte sa portov 1024 a vyšších, otvorených prehliadačom, poštovým klientom, ICQ klientom apod. Porty 137, 138, 139 a 445 sú otvorené operačným systémom pre zdieľanie v sieti. Tieto porty je potrebné chrániť firewallom (v tomto výpise sa ochrana firewallom neprejaví).


Ak máte pochybnosti, či vaše otvorené porty sú nebezpečné, vložte sem váš výpis - pomocou:

netstat -abn > c:\log.txt


Potom otvorte súbor c:\log.txt a jeho obsah vložte s dotazom do tejto sekcie (Firewally).



Testy zabezpečenia portov:

Na internete existuje niekoľko služieb (napr. test.bezpečnosti, paranoia.cz), ktoré umožňujú zadarmo oscenovať (preveriť stav) porty na adrese, pod ktorou vystupujete. Pokiaľ teda nemáte verejnú adresu, vystupujete pod adresou routera poskytovateľa, či firemného routera, bude testovaný práve tento stroj a výsledky vám tak budú na nič.


Služba je schopná zistiť, aké porty sú otvorené a hlavne viditeľné z internetu (teda, ktoré nie sú chránené firewallom - táto skutočnosť nejde zistiť iným jednoduchým spôsobom - teda ani tým popísaným vyššie).


Pokiaľ sú viditeľné (a otvorené) potenciálne nebezpečné porty (21, 25, 80, 110... obecne čísla pod 1024) a testovaná adresa sa naozaj zhoduje s adresou vášho PC, pošlite výpis výsledku testu s otázkou do tejto sekcie (Firewally).

 

(4) Ako správne nastaviť firewall?


Comodo Firewall 2
Comodo Firewall 3
Kerio Personal Firewall
Zone Alarm


Problematické odinštalovanie firewallu


Zdroj: www.viry.cz