Za pory i za drzwi!

Zapora sieciowa chroni komputer przed nieautoryzowanym dostępem przez Internet. Sposób jej działania wyjaśniamy w poniższym materiale. Pokazujemy stosowane technologie i opisujemy, czym powinna charakteryzować się dobra zapora.


Zapora sieciowa chroni komputer przed nieautoryzowanym dostępem przez Internet. Sposób jej działania wyjaśniamy w poniższym materiale. Pokazujemy stosowane technologie i opisujemy, czym powinna charakteryzować się dobra zapora.

Aby zapewnić bezpieczeństwo przed zagrożeniami z Internetu, zapory sieciowe wykorzystują różne mechanizmy. Czytając ten artykuł, zajrzysz za ich kulisy. Ponadto poznasz mocne i słabe strony firewalli.

Zadanie

Comodo Firewall to bardzo skuteczna zapora. Możesz ją pobrać bezpłatnie z tej strony internetowej.

Comodo Firewall to bardzo skuteczna zapora. Możesz ją pobrać bezpłatnie z tej strony internetowej.

Celem zapory jest skuteczne oddzielenie od siebie dwóch sieci. Z jednej strony Internet, z drugiej zaś kilka, kilkanaście, kilkadziesiąt pecetów sieci firmowej lub pojedynczy komputer w domu. Samo rozgraniczenie tych sieci nie jest wielką filozofią. Firewall musi jednak dopuszczać niegroźne, zaś blokować niebezpieczne połączenia.

Jak działają zapory

Zapora pracuje na podstawie jasno sprecyzowanych, prostych reguł. W ten sposób można nawiązywać właściwe połączenia, a nie dopuszczać do niepożądanych. Gdy program prawidłowo wykonuje swoje zadanie, zabezpiecza komputer przed wieloma typami ataków z Internetu. Niektóre aplikacje są wyposażone dodatkowo w skomplikowane mechanizmy ochronne - np. blokowanie przepływu danych na podstawie sygnatur lub tworzonych dynamicznie tabel stanu (SPI - patrz dalej).

Rodzaje zapór

Na tej stronie opisano, jak skonfigurować usługi w Windows 2000/XP, aby zwiększyć bezpieczeństwo systemu. Pomoże w tym dostępny tu plik wsadowy Svc2kxp.cmd.

Na tej stronie opisano, jak skonfigurować usługi w Windows 2000/XP, aby zwiększyć bezpieczeństwo systemu. Pomoże w tym dostępny tu plik wsadowy Svc2kxp.cmd.

W słownictwie informatycznym utarły się dwie nazwy rozróżniające odmienne systemy zabezpieczeń - zapory sprzętowe i programowe. Zapora sprzętowa oznacza komputer lub urządzenie, w którym działają programy filtrujące. Może to być zwyczajny pecet, serwer lub nawet odpowiednio wyposażony modem. Istotną cechą zapory sprzętowej jest to, że stanowi samodzielny system oddzielony zarówno od Internetu, jak i od maszyn, które zabezpiecza. Tylko w ten sposób bez zarzutu wypełnia powierzone jej zadanie odseparowywania od siebie dwóch sieci i kontrolowania połączeń.

Zapora programowa (zwana niekiedy osobistą lub podręczną) jest umieszczona bezpośrednio w komputerze, który chroni - i właśnie między innymi tym różni się od omówionej powyżej. Obie koncepcje mają swoje wady i zalety. Poniżej zamieszczamy listę argumentów przemawiających za doborem zapory jednego lub drugiego typu.

Gdy użyjesz jednego z dwóch wymienionych pojęć w rozmowie z administratorem sieci, nie zdziw się, że pokręci lekceważąco głową. Zapora nie jest dla niego ani pudłem, ani aplikacją, lecz mechanizmem wymagającym gruntownej wiedzy z zakresu działania sieci - a taką może posiąść tylko doświadczony zarządca.

Technologia

Prezentowane przez nas objaśnienia rozwiązań technicznych dotyczą zarówno zapór sprzętowych, jak i programowych. W wypadku funkcji dostępnych tylko w firewallach określonego typu zamieszczamy stosowną wzmiankę.

Filtr pakietów

Pod tym adresem znajdziesz szczegółowy opis modelu OSI i jego warstw. Zapory sprzętowe badają warstwę aplikacji w przesyłanych pakietach danych.

Pod tym adresem znajdziesz szczegółowy opis modelu OSI i jego warstw. Zapory sprzętowe badają warstwę aplikacji w przesyłanych pakietach danych.

Do podstawowych funkcji zapory zalicza się filtrowanie pakietów. W komunikacji w obrębie sieci przesyłane dane, takie jak składniki witryny internetowej, pobierany program lub utwór muzyczny są dzielone na drobne pakiety. Każdy z nich jest opatrzony adresem źródłowym i docelowym, długością, a także numerem pakietu. Taka struktura ułatwia pracę filtrowi zapory. W trakcie komunikowania się z Internetem nadawca i adresat są wyszczególnieni za pomocą adresów IP i numerów portu. Filtr odczytuje adres IP w każdym z nadchodzących pakietów, a następnie decyduje, który z nich wpuści, a który odrzuci. Reguły decydujące o przyjmowaniu i blokowaniu pakietów są zdefiniowane wewnątrz zapory bądź ustalane przez użytkownika.

Przykład. Do komputera usiłuje się dostać pakiet z Internetu noszący źródłowy adres IP 192.186.10.12. Zapora powinna uniemożliwić dostanie się takiego pakietu do peceta, bo wymieniony adres IP nie może występować w Internecie. Należy do obszaru adresów IP zarezerwowanego dla sieci prywatnych. Nietrudno się domyślić, że taki pakiet nie jest w porządku. Może wchodzić w grę np. próba zaatakowania komputera za pomocą tzw. spoofingu, w którym fałszuje się źródłowy adres IP. Cyberprzestępcy chcą oszukać w ten sposób mechanizmy zabezpieczające, takie jak np. zapory, licząc, że zaklasyfikują pakiet jako pochodzący z własnej, godnej zaufania sieci.

Ponadto są powszechne reguły dotyczące portów. Zapora dopuszcza ruch danych przez port 80, bo za jego pośrednictwem są przesyłane do komputera witryny internetowe oglądane przez użytkownika. Za dalsze przykłady mogą posłużyć porty 25 i 110 stosowane do korespondencji e-mailowej (110 - poczta nadchodząca z użyciem protokołu POP3, 25 - poczta wychodząca poprzez protokół SMTP).

Zapory programowe

Argumenty za

Argumentem przemawiającym za zaporami programowymi są koszty. Można pobrać bezpłatne rozwiązania, które bardzo dobrze wykonują powierzone im zadanie (np. Comodo Firewall -http://www.comodo.com i Zone Alarm Free -http://www.zonealarm.com). Instalowanie zapory programowej jest znacznie łatwiejsze i mniej czasochłonne niż w wypadku wariantu sprzętowego. Temu zadaniu powinien sprostać nawet mało doświadczony użytkownik. Najważniejsze to poprawna konfiguracja, bo błędami można zniweczyć mechanizmy ochronne zapory. Jednak ten problem występuje również w firewallach sprzętowych. Liczne testy wykazują, że programowe są w stanie odpierać ataki z Internetu. Ewentualne niedociągnięcia w ochronie wewnętrznej można skompensować dodatkowymi narzędziami. Oprócz tego zapory osobiste zapewniają funkcje, których próżno szukać w wariantach sprzętowych. Zgłaszają użytkownikowi, które aplikacje usiłują nawiązywać połączenia internetowe. Nawet jeśli masz zaporę sprzętową, powinieneś stosować dodatkowo programową, aby na bieżąco być informowanym o strumieniu danych wychodzących z twojego komputera.