Bezdyskowy firewall do SDI

Od momentu instalacji SDI nasz domowy komputer jest dostępny pod stałym adresem IP. Dla osób eksperymentujących z serwerami jest to rozwiązanie idealne. Dla szarego użytkownika - również dobre, ale... nasz komputer może stać się gratką dla hackerów. Początkowa euforia często przeradza się w niepewność. Zdecydowana większość użytkowników SDI pracować będzie bowiem w systemie Windows 95 lub 98. Każde włamanie ma zwykle motywację. Szary użytkownik SDI nie jest ciekawym materiałem dla włamywacza, ale... w grę mogą wchodzić sprawy personalne, a głównie chęć dokuczenia.

Od momentu instalacji SDI nasz domowy komputer jest dostępny pod stałym adresem IP. Dla osób eksperymentujących z serwerami jest to rozwiązanie idealne. Dla szarego użytkownika - również dobre, ale... nasz komputer może stać się gratką dla hackerów. Początkowa euforia często przeradza się w niepewność. Zdecydowana większość użytkowników SDI pracować będzie bowiem w systemie Windows 95 lub 98. Każde włamanie ma zwykle motywację. Szary użytkownik SDI nie jest ciekawym materiałem dla włamywacza, ale... w grę mogą wchodzić sprawy personalne, a głównie chęć dokuczenia.

Wychodzący z użytku Windows 95 jest w chwili obecnej (niestety) najgorszą alternatywą z możliwych. We wszystkich wersjach jest podatny na dziesiątki ataków typu DoS, np. Winnuke, Teardrop, Newtear, Nestea itd. Wszystkie powodują pojawienie się niebieskiego ekranu z komunikatem o błędzie lub sztywne zawieszenie systemu. Uaktualnienia Winsocka nie pomagają - część ataków nadal będzie możliwa, a ich odparcie trudne i pracochłonne. Mało jest informacji na temat ochrony Windows 95 przed atakami. Systemy te są bowiem bardzo rzadko podłączane bezpośrednio do Internetu i nawet Microsoft nie traktuje ich bezpieczeństwa priorytetowo. Najczęściej wykorzystuje się wewnętrzne sieci połączone z resztą świata przez firewall. Zatem pracę na SDI w środowisku Windows 95 należy zdecydowanie odradzić. Liczba opisanych luk tego systemu zdecydowanie go dyskwalifikuje.

Najpopularniejszy obecnie Windows 98 jest odporny na większość ataków. Standardowo zawiera Winsock w wer-sji 2.2. Nie ma doniesień o ogromnych lukach pozwalających na dostęp do twardego dysku. Można przyjąć, iż jest to system w miarę bezpieczny i do SDI może być stosowany, jednak nie zawsze. Każdy użytkownik musi zadać sobie pytanie, czy dane znajdujące się na twardym dysku mogą zostać skasowane, przechwycone lub zmienione? Na ile poważna jest zawartość naszego komputera? Może warto jednak zabezpieczyć się lepiej?

W witrynach grup dyskusyjnych do pracy na SDI zaleca się czasem Windows NT z najaktualniejszym zestawem poprawek. Jest to przecież system bardzo starannie przygotowany przez producenta. Wielu autorów zaleca również stosowanie w komputerach sieciowych instalacji na partycji NTFS (prawa dostępu zawsze utrudniają włamania, niezależnie od sytuacji). Jednak bezpieczeństwo Windows NT w stosunku do Windows 98 może być tematem niekończących się dyskusji akademickich. Choć pojawił się już Windows 2000, praktyka pokazuje, że błędów w nim sporo. I co w końcu ma wybrać zwykły użytkownik, aby uchronić się od ciemnej strony Sieci?

Jak zapewne wiadomo, najbezpieczniejszymi systemami są odpowiednio skonfigurowane wersje Uniksa. W praktyce domowej możemy się spotkać z dwoma systemami: Linux i BSD. Rodzina BSD jest w zasadzie stosowana wyłącznie na serwerach i pod tym kątem rozwijana. Obydwa systemy, pod warunkiem umiejętnej konfiguracji (blokada niepotrzebnych usług, mocne hasła), są zdecydowanie pewniejsze od systemów Microsoftu.

Chociaż we wszelkich raportach (tzw. bugtraq) NT 4.0 i Linux mają podobną liczbę odkrytych błędów, należy to interpretować w inny sposób. Luki NT dotyczą zwykle samego systemu i objawiają się w każdym komputerze z nim pracującym. W momencie wykrycia luki producent musi się do niej przyznać (co często nie od razu następuje). Potem należy opracować poprawkę i dostarczyć ją użytkownikowi. Przez ten czas (a mogą to być miesiące) luka w systemie istnieje i nie można na to nic poradzić.

W przypadku Linuksa i BSD raporty dotyczą poszczególnych komponentów systemu (bardzo rzadko jądra), zatem dotykają tych, którzy korzystają z konkretnych komponentów. Poza tym najwięcej luk dotyczy oprogramowania wykorzystywanego na serwerach, a nie w domowych systemach. Luki te są błyskawicznie łatane. Użytkując umiejętnie zainstalowany system Linux lub BSD, możemy się spodziewać kilku mało istotnych luk w ciągu roku. W przypadku NT liczba ta dochodzi często do setki (wg SecurityFocus). Jeśli jesteśmy zainteresowani postawieniem dodatkowego linuksowego serwera z maskaradą, rozwiązuje to większość problemów. W przypadku jednak wykorzystywania czysto klienckiego serwera pojawia się problem sensu takiego rozwiązania.

Już widzę przerażenie w oczach Czytelnika:-), więc zanim przejdę do sedna, zaproponuję ironicznie inne rozwiązanie. Najlepszym zabezpieczeniem komputera jest po prostu... odłączenie go od Sieci. Można więc rozważyć zakup prostego komputera do pracy w Sieci, a obecny pozostawić bez podłączenia i na nim przechowywać cenne dane. Komputery te mogą być łączone na czas wymiany danych. Postępujemy wtedy tak: rozłączamy połączenie SDI i dopiero spinamy komputery skrętką, kablem koncentrycznym czy kablem LPT. Po przeniesieniu danych (np. ściągniętych programów) natychmiast rozłączamy połączenie i wznawiamy SDI.

Ale przecież nie o to chodzi. Zbierając wszystko razem, niepokoi nas głównie to, że:

* Praca w systemie Windows naraża nas na wiele ataków, zwłaszcza typu DoS, zarówno w stosunku do systemu jak i programów (np. ICQ);

* Każdy może obserwować, kiedy jesteśmy w Sieci i bez względu na to, w jakim systemie aktualnie pracujemy;

* Wszystkie systemy musimy skonfigurować do pracy z SDI, co narzuca nieciekawe zajęcie.

Wszystkie powyższe problemy można tanio i prosto rozwiązać poprzez postawienie małego bezdyskowego firewalla. Należy kupić płytę zawierającą porty RS232 pracujące z prędkością 115200 b/s, 8 MB RAM (nie trzeba więcej) i z jednum napędem dyskietek. Do tego potrzebne są dwie najzwyklejsze karty sieciowe połączone skrętką lub kablem koncentrycznym. Muszą to być takie modele, aby były obsługiwane przez Linux (firewall) i używane systemy (komputer do pracy).


Zobacz również