Můj počítač – můj hrad, aneb proč personální firewall

Do značné míry dokáže eliminovat rizika vyplývající z existence nezáplatovaných bezpečnostních děr, které k průniku do počítače využívají např. síťové červy. Jeho instalace se doporučuje nejen domácím uživatelům, ale také na pracovní stanice v rámci firemních sítí. Rozhodně by dnes neměl chybět na žádném notebooku. Pokud je totiž připojován (např. na služebních cestách) do nedůvěryhodných sítí, může se lehce stát bacilonosičem ve vnitřní síti firmy.

Dalším z mnoha důvodů, které nás nutí personální firewally používat, je výskyt stále sofistikovanějších infiltrací. Zatímco v minulosti jsme se museli umět vypořádat pouze s poměrně primitivními e-mailovými červy, dnes stojíme tváří v tvář daleko zákeřnějším nepřátelům. Z praxe známe případy, kdy byli nic netušící lidé obviněni ze šíření nelegálních elektronických materiálů (např. pornografie). Nezřídka se ale ukázalo, že „závadná data“ pocházejí od neznámého hackera, který se do počítače naboural a zneužil ho k uložení inkriminovaných dat...

Na personální firewall bychom také neměli zapomínat, pokud počítač využíváme k tzv. elektronickému bankovnictví. Málokdo z uživatelů těchto služeb si uvědomuje rizika, která jsou s tímto druhem činnosti spojená. Stačí jen velice málo k tomu, aby byla důvěrná data prozrazena a dostala se k cizímu podvodníkovi. Správně nastavený personální firewall přitom dokáže účinně blokovat aktivní trojské koně, které jsou k těmto typům útoků v některých případech zneužívány.

Personální firewall vytváří v počítači jakousi virtuální bránu, kterou prochází veškerá komunikace s okolní sítí. Brána je vybavena sadou pravidel, která určují povolenou komunikaci - většina firewallů pracuje podle pravidla „co není povoleno, to je zakázáno“, opačný přístup je možný, ale v praxi se příliš neuplatňuje. Pokud firewall zjistí, že se nějaká aplikace zevnitř nebo z vnějšku snaží komunikovat, analyzuje parametry požadovaného síťového spojení (např. z jaké zdrojové IP adresy a portu přichází a pro jakou cílovou IP adresu a port je určena). Pokud zjištěné parametry nevyhovují ani jednomu z definovaných pravidel, je komunikace zakázána, tzn. není do počítače vpuštěna nebo jí není dovoleno počítač opustit. Základem správného nastavení personálního firewallu je tedy definice správných pravidel.

Možná úskalí personálního firewallu
Pokud jste se zalekli popisovaných hrozeb a nainstalovali si personální firewall, mohlo se stát, že rázem přestaly fungovat některé síťové aplikace – např. přestala elektronická pošta, internet, síťové tiskárny apod. Řada uživatelů se tímto nechá odradit a personální firewall zase rychle odinstaluje...

Popisované problémy jsou způsobené tím, že je firewallem určitá síťová komunikace jednoduše zakázána. Někteří výrobci se tento „nedostatek“ snaží řešit integrací tzv. interaktivního módu, kdy je firewall postupně učen podle pokynů uživatele. Vždy, když se nějaká aplikace snaží komunikovat po síti, zeptá se firewall uživatele, zda má zavést nové pravidlo, které danou komunikaci povoluje nebo ji zakázat. V praxi se ale stává, že uživatelé zvyklí „odklikávat“ cokoliv, co jim Windows předhodí, naučí svůj firewall pouštět úplně všechno a tím ho de-facto vyřadí z provozu.
 
Pokud tedy konkrétní personální firewall nabízí interaktivní mód, je třeba k tvorbě nových pravidel přistupovat s rozvahou. Pokud nemáme interaktivní mód k dispozici a potřebujeme zprovoznit nějakou síťovou aplikaci, nezbude nám pravděpodobně nic jiného, než si zjistit její parametry (na jakém portu a s jakou IP adresou aplikace komunikuje) a vytvořit pro ni nové povolující pravidlo. Snad u všech firewallů najdeme nějaký záznam (log) s podrobnými údaji o zablokované komunikaci, ze kterého můžeme všechny tyto údaje vyčíst.

Jaký firewall koupit?
Pokud jste personální firewall nedostali už v balíku s antivirovým programem, můžete si jej zakoupit také samostatně. Na trhu je dostupná řada produktů různé kvality. Ceny se pohybují už od několika stokorun, nejčastěji ale okolo tisícovky Kč. Stejně jako u antivirových programů ale můžete na internetu najít řadu produktů, které jsou nabízeny pro domácí použití zdarma. Než si nějaký personální firewall zakoupíte, každopádně si jej nejprve vyzkoušejte nebo se o tom alespoň poraďte s někým zkušenějším.

 
V dalším dílu seriálu s názvem Šifrovaná data - informace v bezpečí se budeme věnovat problematice úniku citlivých dat.

Seriál připravili specialisté z firmy AEC Data Security Company. Více informací o bezpečnosti se dozvíte na těchto stránkách.

Pro čtenáře Finance.cz jsme připravili speciální akci. Na této stránce se můžete zaregistrovat a získáte zdarma na jeden rok licenci na užívání softwaru TrustPort Workstation. V roletce Promo akce vyberte Finance.cz a zadejte heslo FIN1145PHOENIX0203WS.