Personální neboli osobní firewall se stal součástí řady komplexních bezpečnostních balíků (spolu s antivirem, antispyware či antispamem) a taktéž existuje spousta řešení, kde představuje personální firewall stěžejní funkci. Málokdy se ale řeší trochu odlišná, o to důležitější věc. Jde o pohled běžného uživatele, jenž není z IT oboru a PC používá pouze pro zábavu a nebo jako pomocníka v práci.

Doufám, že nebudu ukamenován, když prohlásím, že pro takového uživatele jsou výsledky testů či verdikty diskuzí víceméně k ničemu. Uvedená (a majoritní) skupina uživatelů v řadě případů totiž vůbec netuší, co znamenají pojmy jako UDP, port 53, trusted subnet, IPSec, bridged connection, interaktivní režim, neveřejná IP adresa… Právě s těmito pojmy často souvisí extra funkcionalita personálních firewallů a v testech takové extra funkce odliší vítěze od poražených. V ten moment se situace pro běžného uživatele radikálně mění a rozdíly mezi firewally se zmenšují. Nebýt IT odborník, tak bych si z testů / diskuzí odnesl leda tak odpovědi na následující otázky a vše ostatní bych ignoroval.

  • 1) Existuje možnost nastavení, kdy mě nebude daný personální firewall otravovat s dotazy při zahájení komunikace, případně při nějaké jiné časté činnosti?
    V praxi totiž může jediné špatné rozhodnutí uživatele znamenat znehodnocení činnosti I toho nejlepšího personálního firewallu (chybné povolení příchozí komunikace – bezpečnostní díra do PC, chybné zakázání legitimní komunikace – aplikace přestanou správně fungovat…).
  • 2) Není zmiňována nějaká známá bezpečnostní chyba v daném personálním firewallu či nějaké atypické chování firewallu oproti jiným řešením?
    I personální firewall je pouze program a i sebelepší programy obsahují chyby. V minulosti bylo několik případů, kdy i samotný firewall mohl ohrozit bezpečnost PC právě díky neúmyslné „díře“ v programu.
  • 3) Obsahuje personální firewall ještě nějaké extra funkce, které nevyžadují interakci/zásah uživatele?
    IDS (detekce známých síťových útoků), rozpoznání známých bezpečných aplikací s automatickým vytvořením pravidel…

Správné odpovědi jsou pochopitelně následující: 1) ANO, 2) NENÍ ZNÁMA, 3) ANO.

Firewall: jedno špatné rozhodnutí uživatele může mít stejný dopad, jako nemít žádný firewall. Pro nezkušeného uživatele je vhodné využívat automatizovaný režim personálního firewallu a nepoužívat režim, kdy firewall stále „prudí“ s dotazy. Budeme sice ošizeni o část funkcionality, ale ta, která zůstane, bude alespoň správně použita.

Pokud se na to podíváme trochu odborněji, osobně si myslím, že pro výše uvedenou kategorii uživatelů je filtrace odchozí komunikace pasé a tudíž může dobře posloužit i personální firewall integrovaný přímo v OS Windows XP (i když téměř jiný libovolný firewall nabídne i běžnému uživateli lepší služby, minimálně lepší monitorování komunikace, např. v kB/s v obou směrech). Často je v testech a diskuzích ignorována i důležitá věc: zda má PC veřejnou či neveřejnou IP adresu.

V podstatě jde o to, zda je PC přímo viditelné z Internetu – veřejná IP adresa a nebo zda je schováno za „zdí“ s neveřejnou IP adresou.

V případě veřejné IP adresy je pochopitelně PC vystaveno možným útokům, jelikož kdokoliv jiný (tedy i případný útočník) může PC napřímo kontaktovat přes půl zeměkoule a bez personálního firewallu je tak celkem zvěrstvo takto připojené PC provozovat. Minimálně v případě OS Windows zde existuje reálné riziko, že budou z Internetu viditelné síťově nasdílené adresáře, přes které se můžou šířit škodlivé programy (navíc existují i skryté systémová sdílení , tudíž je viditelná přímo složka s Windows, registry apod.).

V případě neveřejné IP adresy je situace odlišná. PC s neveřejnou IP adresou je schováno za zařízením, které provádí tzv. NAT (překlad síťových adres). I když všechna zařízení v Internetu musí mít veřejnou IP adresu, NAT dokáže zajistit to, že např. za jednu veřejnou IP adresu schová několik dalších PC již s neveřejnou IP adresou a přesto jim zařídit dostupnost internetu. To vše s minimálním dopadem na komfort surfování takových uživatelů (často nepoznáme vůbec žádný rozdíl). Pokud bych to měl přirovnat k něčemu z denního života, napadá mě panelák. Panelák má jedinou veřejnou adresu, např. Okružní 6132 (=veřejná IP adresa v počítačovém světě), přesto se v něm nachází řada bytů (=počítače s neveřejnou IP adresou), jejichž obyvatelé vycházejí/vcházejí z/do paneláku jedinými hlavními dveřmi (=NAT).

Zařízení s funkcí NAT může vypadat například takto. Tenhle model umožňuje schovat za NAT další počítače / notebooky jak připojené drátem, tak i přes WiFi (bezdrátově).

Počítače schované za NAT zařízením tak na Internet přistupují prostřednictvím veřejné IP adresu NAT zařízení. Případný útočník pak z internetu vidí pouze poslední veřejnou IP adresu na cestě, kterou je NAT zařízení. To, že se za „NATem“ nachází dalších 200 PC již jednoduše nezjistí a ani není schopen takové počítače přímo kontaktovat (leda nejprve prolomit NAT zařízení). Opět analogicky k paneláku: Z venku uvidí zloděj pouze vstupní dveře (=NAT), z čehož není schopen usoudit, kolik bytů se za nimi skrývá. Leda že by dveře prolomil* 🙂

Fyzicky se pak NAT zařízení nachází někde u poskytovatele internetového připojení, případně přímo v domácnosti uživatele. Většinou v podobě černé nebo bílé krabičky, kterou lze často zakoupit pod pojmem router za několik stokorun (až do několika tisíců). Není ale krabička jako krabička 🙂 Viz . další odstavec.

V praxi se to trochu komplikuje tím, že např. od UPC/Chello získáte standardně taktéž černou krabičku (tedy alespoň já dostal černou), ale to je pouze modem a ten často NAT nezvládá. PC tak ve výsledku získává opět veřejnou IP adresu. Jiné to může být v případě ADSL připojení. Pokud je PC propojeno s modemem pomocí USB kabelu, většinou získává veřejnou IP adresu. Pokud je PC připojeno přes ethernetový kabel (konektor RJ45 je podobný tomu, který je zapojen do klasického telefonu, jen je širší), je zde vysoká pravděpodobnost, že ADSL modem zajišťuje též NAT a že PC má již neveřejnou IP adresu. Bez ohledu na typ připojení je pak téměř jisté, že neveřejné IP adresy jsou přidělovány v momentě, kdy je k internetu v domácnosti připojeno současně několik PC, notebooků apod.

Konektor RJ45. S ním je větší pravděpodobnost, že takhle připojené PC bude mít v domácnosti neveřejnou IP adresu.

Článek vznikl jako decentní zamyšlení nad problematikou firewallů vs běžných užiivatelů, kterou řeším každý den. Rozhodně neměl působit tak, že NAT, či neveřejná IP adresa je zárukou bezpečnosti. Ono stačí, aby útočník uživatele přesvědčil (např. formou sociálního inženýrství), aby prvotní komunikaci zahájil uživatel (např. prostřednictvím podvodného programu), což už stačí k tomu, aby byl útočník schopen kontaktovat i PC s neveřejnou IP adresou za NAT (formou odpovědí). Je to jako nechodit hlavním vchodem, ale spustit si z okna lano 🙂

* – Ještě se může podívat na počet zvonků, ale to nemá ve virtuálním světě ekvivalent 🙂


1 komentář » for Firewall vs běžný uživatel
  1. Marek napsal:

    Ktory firewall by sre odporučili,použivam comodo

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

*