Ono ?to vam treba jeète (pravilno konfigurisani) firewall Firewall vas ?titi onako kako antivirus programi ne mogu da vas ?tite, ali samo ako je pravilno pode?en. Autor SHERVL C ANTER Skoro svi uvidamo potrebu za an-tivirus programima, ali mo?da nam ba? i nije sasvim jasno ?ta æe nam firewall. Ova dva programa se nadopunjuju i podr?avaju je-dan drugi. Firewall koristi odreðena pravila da za?titi va? raèunar od upada, dok antivi-rus program skenira va? sistem u potrazi za nekim poznatim mahvareom koji je uspeo da se provuèe kraj firewalla, pa ga odstra-njuje ako ga pronaðe. Antivirus program je lako postaviti i koristiti. Default pode?avanja vam neæe ometati rad raèunara, samo je potrebno da redovno a?urirate definicije virusa. Meðu-tim, kod firewalla, neophodna su dodatna pode?avanja. Neodgovarajuæe konfigurisan firewall vas ili neæe ?tititi kako treba, ili æe vam ote?avati legitimne aktivnosti. Firewall mo?e biti hardverski i softverski. Mnogi za?titni paketi, kao ?to su Norman Internet Control, Norton Internet Secu-rity, McAfee Internet Security Suite i Zo-neAlarm Security Suite, sadr?e i antivirus softver i firewall. Èarobnjaci firewalla su korisni, ali ne mogu odluèivati o svemu. Pogre?an izbor vas mo?e uljuljkati u la?an oseæaj sigurnosti. Ovaj èlanak obja?njava kako napadaèi poku?avaju da pristupe va?em raèunaru i kako antivirus softveri i firewall blokira-ju te napade. Takoðe se navode i neki op?ti principi konfigurisanja firewalla. Va? raèunar je izlo?en napadima na dva fronta: fajl sistem i mre?ni stek (set proto-kola koji defini?u mre?nu komunikaciju). Antivirus softver brani fajl sistem tako ?to skenira e-mail ataèmente i daunloud fajlo-va, i proverava fajlove pre njihovog uèitava-nja, snimanja i izvr?avanja. Skenirani fajlovi se uporeðuju sa bazom podataka poznatih definicija virusa, ili sa potpisima. Kod nad-gledanja putem potpisa pogre?ni pozitivni odgovori su retkost. Neki antivirus programi nude heuristi-èko skeniranje, odnosno poku?avaju da identifikuju viruse koji nisu u bazi poda-taka putem otkrivanja sumnjivih ?ema. Takva vrsta nadgledanja ima vi?e pogre?nih pozitivnih odgovora i obièno je standardno iskljuèena. Kod firewalla, meðutim, stanje je obrnuto. Va? raèunar se mo?e zaraziti kad god ste konektovani na Internet, èak i kada su vam e-mail program i browser zatvoreni, i to pu-tem napada na mre?ni stek. Svaki raèunar prikljuèen na Internet ima jedinstvenu IP (Internet Protocol) adresu, pa se sva ko-munikacija prosleðuje na nju. Kod dial-up konekcije, va?a IP adresa se menja svaki put kada se ulogujete. ?to se tièe bezbednosti, to je dobra stvar, jer je va? raèunar pokre-tna meta za ljudske hakere (mada neki au- tomatski crvi mogu pretra?iti ceo opseg IP adresa za manje od 15 minuta). Kck' kopojasne konekcije, va?a IP adresa ie uvel ista, tako da hakeri mogu opu?teno I èaèkaju po raèunaru. Firewallovi ?tite mre?ne porto\ ? raèunara, odnosno krajnje taèke komunika cije (nasuprot USB-u i drugim portovima koji se koriste za povezivanje raznih sa raèunarom). Uobièajeni Intci koriste specifiène portove - HTTP je obi-èno na portu 80, FTP na 21. Otvoreni port za hakera predstavlja otvorena vrata da firewall zatvara i sakriva (?maski' one koji se ne koriste. Kori?æenje drugih portova je odreðeno setom pravila ! all, na primer, mo?e da dozvoli ¦ FTP zahteve, ali ne i ulazeæe (tako da mo-?ete skidati fajlove sa Interneta, ali drugi ni mogu skidati fajlove sa va?eg hard d MS-Blaster crv predstavlja dobar primer kako vas firewall mo?e za?tititi onda kada antivirus ne mo?e. Taj je crv u èunare kroz port 135. Window! izvr?avanje iz daljine (za pokre ma na zahtev drugih raèunara) je pokretao crva. Obièno su prc su se pokretali daljinski imali o pristup host sistemu, ali je zaobi?ao tako ?to je prepunio b vi?e podataka u ulazeæi bafer (c je izdvojen za program za koris nego ?to je on mogao da prihva upisivanja u memoriju napadac iskoriste za menjanje pode?avanja ili dopisi-vanje instrukcije. Kada se MS-Blaster pojavio, antivirus programi su a?urirali svoje fajlove sa po-tpisima da bi ga prepoznali, ali je on do tada veæ zarazio veliki broj raèunara. Fire- J wall je mogao spreèiti zarazu tako ?to bi bloki-rao pristup portu. Da ste morali da ostavite port 135 otvoren zbog nekog validnog servisa, pomogao bi vam Intrusion Detection System (IDS, sistem otkrivanja upada), jer nudi nadgledanje bazirano na potpisu. Ako bi do?lo do napada prepunjavanjem bafera i ako bi 4.875 bajtova bilo poslato na port 135, to bi bilo zabele?eno u IDS bazi potpisa, pa bi slièni napadi bili primeæeni, èak i ako bi port 135 bio otvoren. Sygate Personal Firewall Pro i Norton Personal Fi-rewall su primeri softverskih firewallova sa IDS-om (ZoneAlarm ga ne koristi). Postoje dve osnovne vrste firewalla: pro-ksi serveri i paket filteri. Proksi firewallovi se koriste u velikim mre?ama preduzeæa i imaju specijalizovane servere za prekidanje veze izmeðu klijenta i servera. To se odno-si i na ulazni i na izlazni saobraæaj, tako da klijent mo?e biti i neko od zaposlenih, i haker izvan preduzeæa. Server mo?e biti i eksterni web server i kompanijin interni server. Paket filteri proveravaju pakete - je-dinice u kojima podaci putuju Internetom - i odluèuju da li æe da ih proslede ili ne. Personalni i mnogi poslovni firewallovi koriste paket filtriranje. Najjednostavni-ji paket filteri rade po pravilima donetim samo na osnovu izvora i destinacije IP adresa, izvora i destinacije portova i proto-kola. Firewallovi koji te podatke proverava-ju za svaki paket posebno zovu se statièki paket filteri. Oni mogu da kontroli?u koje Internet servise raèunar koristi ili nudi, ali su kao softveri izlo?eni IP prevarama. Ovi filteri su èe?æe ugraðeni u rutere, gde pro-ces pod nazivom NAT - Network Address Translation, krije IP adrese raèunara na lo-kalnoj mre?i, a Internetu izla?e samo ruter. Veæina crva napada Windows ili njegove aplikacije. Po?to ruteri ne koriste Windo-ws, oni su prilièno imuni na te napade. Èak i ako imate samo jedan raèunar, korisno je imati i NAT ruter zajedno sa softverskim firewallom, jer æete tako bezbednost podiæi na vi?i nivo. Za bilo koju vrstu firevvala da se odluèite postoje i prednosti i mane, tj. idealnog re?enja nema Dinamièno paket filtriranje (ili paket-ska inspekcija stanja) posmatra IP pakete u kontekstu. Ova vam metoda mo?e reæi da li dati IP paket nastavlja postojeæu konekci-ju ili uspostavlja novu. Da bi se izbegle IP prevare, sva komunikacija koju ne pokreæe vlasnik firewalla biva blokirana. Slaba taèka ove metode je ?to uvek omoguæava izlazni saobraæaj, pa se tako trojanci ?ire ili kradu liène podatke. ZoneAlarm je bio prvi program koji je nadgledao i spoljni saobraæaj, kao i filtri-rao komunikaciju na nivou aplikacije, ?to je sada standard za personalne firewallove. Sa kontrolom izlaznog saobraæaja, mo?e-te odobravati zahteve va?eg pretra?ivaèa, a u isto vreme odbijati zahteve trojanaca, èak i na istom portu. Veæina personalnih firewallova zajedno sa podacima o portu, protokolu i toku podataka koristi i podatke o aplikaciji, pa tako dobijamo inspekciju stanja na vi?e nivoa. Normanov firewall to radi naroèito dobro (www.norman.com). Kada neki nepoznati program poku?ava da se konektuje na Internet, èarobnjak vam omoguæava da kontroli?ete koliki pristup æete mu dati. Sa Windows XP firewallom (SPl i SP2), mo?ete aplikacijama dozvoliti da oslu?kuju dolazeæe zahteve, ali ne i da govore, tako da vam on neæe pomoæi kod trojanaca. Micro-soft ka?e da XP SP2 firewall nije zami?ljen kao zamena za firewall drugih proizvoðaèa, veæ je njegova svrha u tome da svi korisni-ci imaju makar najni?i nivo za?tite od crva kao ?to je MS-Blaster. Najèe?æa odluka koju firewall od vas za- I skeni: hteva jeste da li ?elite odreðenom pi mu da dozvolite pristup na Internel pitanja æe vam biti postavljana n kada tek instalirate firewall. Ona vas mogu zbuniti, jer mo?da neæete moæi da prepo-znate ime izvr?nog fajla svog e-mail klijenta ili komponenti Windowsa koje treba da pristupe Netu. Najbolje je poèeti sa ?to èi-stijim sistemom. Apdejtujte svoje defini-cije virusa i izvr?ite potpuno skeniranje sistema pre nego ?to instalirate firewall. Na taj naèin bi trebalo da pohvatate sve 11 koje mo?da imate na svom sistemu. A onda mo?ete samon da odgovarate sa"Da" na sve zahtc\ dobijete pri prvoj konekciji na Internet ?to se daljnjih zahteva tièe> pogledajte podatke o programu. Ako ih ne prepozna-jete, prvo razmislite ?ta ste radili pn ?to je stigao taj zahtev. Ako ste samo lirali softver ili odabrali komandu k mo?da pokrenula komunikaciju, zal verovatno validan. Ukoliko niste sigur ni, recite firewallu da ga blokira, ali i opet obavesti ako program pon. pristup. Ukoliko odgovor "Ne" blokn ?to ste hteli da uradite, sledeæi put od rite sa "Da". Kada vam firewall ne dozvoljava du uradite, oduprite se ?elji da probu?ite rupu u zidu. Radije defini?ite rupicu li èuvati va? raèunar. Ako ?elite da od kuæe pristupite svom raèunaru na po: odobriti potpuni pristup portovima zmenu fajlova ili ugasiti firewall, nego lupa-ti glavu oko toga kako dati pristup ra fajlova samo va?oj kuænoj IP adn ðutim, vredi odvojiti vreme da se to uradi kako treba, jer æe vam raèunar u suprotnom i dalje biti izlo?en napadima. Postoji nekoliko web testova koji æe vam reæi koliko ste za?tiæeni: ShieldsUp (http://www.grc.com/x/ne.dll?bh0bkyd2 ) PC Flank ( http://www.pcflank.com/about.htm ) Sygate Tests (http://scan.sygate.com) Pokrenite jedan od njih i videæete zs?to je potrebno da podignete zid izmeðu sopstve-nog raèunara i Interneta. Sheryl Canter je pomoænik ured PC Magazina. Njen web sajtje www.SherylCanter.com . pri krajku teksta hvale neka slova. problem je us dlici koja je bila locirane u tom delu teksta. Rajko Za prijavu na ovu listu poslati poruku na adresu: slikom-request@xxxxxxxxxxxxx i u polju za tekst upisati, subscribe Za odjavu sa ove liste poslati poruku na adresu: slikom-request@xxxxxxxxxxxxx i u polju za tekst upisati, unsubscribe