[slikom] Ono što vam treba ječte (pravilno konfigurisani) firewall
- From: Tomić Rajko <milicat@xxxxxxxxxxx>
- To: <slikom@xxxxxxxxxxxxx>
- Date: Mon, 26 Apr 2004 18:36:24 +0200
Ono ?to vam treba jeète (pravilno konfigurisani) firewall
Firewall vas ?titi onako kako antivirus programi ne mogu da vas ?tite, ali samo
ako je pravilno pode?en.
Autor SHERVL C ANTER
Skoro svi uvidamo potrebu za an-tivirus programima, ali mo?da nam ba? i nije
sasvim jasno ?ta æe nam firewall. Ova dva programa se nadopunjuju i podr?avaju
je-dan drugi. Firewall koristi odreðena pravila da za?titi va? raèunar od
upada, dok antivi-rus program skenira va? sistem u potrazi za nekim poznatim
mahvareom koji je uspeo da se provuèe kraj firewalla, pa ga odstra-njuje ako ga
pronaðe.
Antivirus program je lako postaviti i koristiti. Default pode?avanja vam neæe
ometati rad raèunara, samo je potrebno da redovno a?urirate definicije virusa.
Meðu-tim, kod firewalla, neophodna su dodatna pode?avanja. Neodgovarajuæe
konfigurisan firewall vas ili neæe ?tititi kako treba, ili æe vam ote?avati
legitimne aktivnosti.
Firewall mo?e biti hardverski i softverski. Mnogi za?titni paketi, kao ?to su
Norman Internet Control, Norton Internet Secu-rity, McAfee Internet Security
Suite i Zo-neAlarm Security Suite, sadr?e i antivirus softver i firewall.
Èarobnjaci firewalla su korisni, ali ne mogu odluèivati o svemu. Pogre?an izbor
vas mo?e uljuljkati u la?an oseæaj sigurnosti.
Ovaj èlanak obja?njava kako napadaèi poku?avaju da pristupe va?em raèunaru i
kako antivirus softveri i firewall blokira-ju te napade. Takoðe se navode i
neki op?ti principi konfigurisanja firewalla.
Va? raèunar je izlo?en napadima na dva fronta: fajl sistem i mre?ni stek (set
proto-kola koji defini?u mre?nu komunikaciju). Antivirus softver brani fajl
sistem tako ?to skenira e-mail ataèmente i daunloud fajlo-va, i proverava
fajlove pre njihovog uèitava-nja, snimanja i izvr?avanja. Skenirani fajlovi se
uporeðuju sa bazom podataka poznatih definicija virusa, ili sa potpisima. Kod
nad-gledanja putem potpisa pogre?ni pozitivni
odgovori su retkost.
Neki antivirus programi nude heuristi-èko skeniranje, odnosno poku?avaju da
identifikuju viruse koji nisu u bazi poda-taka putem otkrivanja sumnjivih ?ema.
Takva vrsta nadgledanja ima vi?e pogre?nih pozitivnih odgovora i obièno je
standardno iskljuèena. Kod firewalla, meðutim, stanje je obrnuto.
Va? raèunar se mo?e zaraziti kad god ste konektovani na Internet, èak i kada su
vam e-mail program i browser zatvoreni, i to pu-tem napada na mre?ni stek.
Svaki raèunar prikljuèen na Internet ima jedinstvenu IP (Internet Protocol)
adresu, pa se sva ko-munikacija prosleðuje na nju. Kod dial-up konekcije, va?a
IP adresa se menja svaki put kada se ulogujete. ?to se tièe bezbednosti, to je
dobra stvar, jer je va? raèunar pokre-tna meta za ljudske hakere (mada neki au-
tomatski crvi mogu pretra?iti ceo opseg IP adresa za manje od 15 minuta). Kck'
kopojasne konekcije, va?a IP adresa ie uvel ista, tako da hakeri mogu opu?teno
I èaèkaju po raèunaru.
Firewallovi ?tite mre?ne porto\ ? raèunara, odnosno krajnje taèke komunika cije
(nasuprot USB-u i drugim portovima koji se koriste za povezivanje raznih sa
raèunarom). Uobièajeni Intci koriste specifiène portove - HTTP je obi-èno na
portu 80, FTP na 21. Otvoreni port za hakera predstavlja otvorena vrata da
firewall zatvara i sakriva (?maski' one koji se ne koriste. Kori?æenje drugih
portova je odreðeno setom pravila ! all, na primer, mo?e da dozvoli ¦ FTP
zahteve, ali ne i ulazeæe (tako da mo-?ete skidati fajlove sa Interneta, ali
drugi ni mogu skidati fajlove sa va?eg hard d
MS-Blaster crv predstavlja dobar primer kako vas firewall mo?e za?tititi onda
kada
antivirus ne mo?e. Taj je crv u èunare kroz port 135. Window! izvr?avanje iz
daljine (za pokre ma na zahtev drugih raèunara) je pokretao crva. Obièno su prc
su se pokretali daljinski imali o pristup host sistemu, ali je zaobi?ao tako
?to je prepunio b vi?e podataka u ulazeæi bafer (c je izdvojen za program za
koris nego ?to je on mogao da prihva upisivanja u memoriju napadac
iskoriste za menjanje pode?avanja ili dopisi-vanje instrukcije.
Kada se MS-Blaster pojavio, antivirus programi su a?urirali svoje fajlove sa
po-tpisima da bi ga prepoznali, ali je on do tada veæ zarazio veliki broj
raèunara. Fire- J wall je mogao spreèiti zarazu tako ?to bi bloki-rao pristup
portu.
Da ste morali da ostavite port 135 otvoren zbog nekog validnog servisa, pomogao
bi vam Intrusion Detection System (IDS, sistem otkrivanja upada), jer nudi
nadgledanje bazirano na potpisu. Ako bi do?lo do napada prepunjavanjem bafera i
ako bi 4.875 bajtova bilo poslato na port 135, to bi bilo zabele?eno u IDS bazi
potpisa, pa bi slièni napadi bili primeæeni, èak i ako bi port 135 bio otvoren.
Sygate Personal Firewall Pro i Norton Personal Fi-rewall su primeri softverskih
firewallova sa IDS-om (ZoneAlarm ga ne koristi).
Postoje dve osnovne vrste firewalla: pro-ksi serveri i paket filteri. Proksi
firewallovi se koriste u velikim mre?ama preduzeæa i imaju specijalizovane
servere za prekidanje veze izmeðu klijenta i servera. To se odno-si i na ulazni
i na izlazni saobraæaj, tako da klijent mo?e biti i neko od zaposlenih, i haker
izvan preduzeæa. Server mo?e biti i eksterni web server i kompanijin interni
server. Paket filteri proveravaju pakete - je-dinice u kojima podaci putuju
Internetom - i odluèuju da li æe da ih proslede ili ne.
Personalni i mnogi poslovni firewallovi koriste paket filtriranje.
Najjednostavni-ji paket filteri rade po pravilima donetim samo na osnovu izvora
i destinacije IP adresa, izvora i destinacije portova i proto-kola. Firewallovi
koji te podatke proverava-ju za svaki paket posebno zovu se statièki paket
filteri. Oni mogu da kontroli?u koje Internet servise raèunar koristi ili nudi,
ali su kao softveri izlo?eni IP prevarama. Ovi filteri su èe?æe ugraðeni u
rutere, gde pro-ces pod nazivom NAT - Network Address Translation, krije IP
adrese raèunara na lo-kalnoj mre?i, a Internetu izla?e samo ruter.
Veæina crva napada Windows ili njegove aplikacije. Po?to ruteri ne koriste
Windo-ws, oni su prilièno imuni na te napade. Èak i ako imate samo jedan
raèunar, korisno je imati i NAT ruter zajedno sa softverskim firewallom, jer
æete tako bezbednost podiæi na vi?i nivo.
Za bilo koju vrstu firevvala da se odluèite postoje i prednosti i mane, tj.
idealnog re?enja nema
Dinamièno paket filtriranje (ili paket-ska inspekcija stanja) posmatra IP
pakete u kontekstu. Ova vam metoda mo?e reæi da li dati IP paket nastavlja
postojeæu konekci-ju ili uspostavlja novu. Da bi se izbegle IP prevare, sva
komunikacija koju ne pokreæe vlasnik firewalla biva blokirana. Slaba taèka ove
metode je ?to uvek omoguæava izlazni saobraæaj, pa se tako trojanci ?ire ili
kradu liène podatke.
ZoneAlarm je bio prvi program koji je nadgledao i spoljni saobraæaj, kao i
filtri-rao komunikaciju na nivou aplikacije, ?to je sada standard za personalne
firewallove. Sa kontrolom izlaznog saobraæaja, mo?e-te odobravati zahteve va?eg
pretra?ivaèa, a u isto vreme odbijati zahteve trojanaca, èak i na istom portu.
Veæina personalnih firewallova zajedno sa podacima o portu, protokolu i toku
podataka koristi i podatke o aplikaciji, pa tako dobijamo inspekciju stanja na
vi?e nivoa. Normanov firewall to radi naroèito dobro (www.norman.com). Kada
neki nepoznati program poku?ava da se konektuje na Internet, èarobnjak vam
omoguæava da kontroli?ete koliki pristup æete mu dati.
Sa Windows XP firewallom (SPl i SP2), mo?ete aplikacijama dozvoliti da
oslu?kuju dolazeæe zahteve, ali ne i da govore, tako da vam on neæe pomoæi kod
trojanaca. Micro-soft ka?e da XP SP2 firewall nije zami?ljen kao zamena za
firewall drugih proizvoðaèa, veæ je njegova svrha u tome da svi korisni-ci
imaju makar najni?i nivo za?tite od crva kao ?to je MS-Blaster.
Najèe?æa odluka koju firewall od vas za-
I skeni:
hteva jeste da li ?elite odreðenom pi mu da dozvolite pristup na Internel
pitanja æe vam biti postavljana n kada tek instalirate firewall. Ona vas mogu
zbuniti, jer mo?da neæete moæi da prepo-znate ime izvr?nog fajla svog e-mail
klijenta ili komponenti Windowsa koje treba da pristupe Netu. Najbolje je
poèeti sa ?to èi-stijim sistemom. Apdejtujte svoje defini-cije virusa i
izvr?ite potpuno skeniranje sistema pre nego ?to instalirate firewall. Na taj
naèin bi trebalo da pohvatate sve 11 koje mo?da imate na svom sistemu. A onda
mo?ete samon da odgovarate sa"Da" na sve zahtc\ dobijete pri prvoj konekciji na
Internet
?to se daljnjih zahteva tièe> pogledajte podatke o programu. Ako ih ne
prepozna-jete, prvo razmislite ?ta ste radili pn ?to je stigao taj zahtev. Ako
ste samo lirali softver ili odabrali komandu k mo?da pokrenula komunikaciju,
zal verovatno validan. Ukoliko niste sigur ni, recite firewallu da ga blokira,
ali i opet obavesti ako program pon. pristup. Ukoliko odgovor "Ne" blokn ?to
ste hteli da uradite, sledeæi put od rite sa "Da".
Kada vam firewall ne dozvoljava du uradite, oduprite se ?elji da probu?ite rupu
u zidu. Radije defini?ite rupicu li èuvati va? raèunar. Ako ?elite da od kuæe
pristupite svom raèunaru na po: odobriti potpuni pristup portovima zmenu
fajlova ili ugasiti firewall, nego lupa-ti glavu oko toga kako dati pristup ra
fajlova samo va?oj kuænoj IP adn ðutim, vredi odvojiti vreme da se to uradi
kako treba, jer æe vam raèunar u suprotnom i dalje biti izlo?en napadima.
Postoji nekoliko web testova koji æe vam reæi koliko ste za?tiæeni:
ShieldsUp (http://www.grc.com/x/ne.dll?bh0bkyd2 )
PC Flank ( http://www.pcflank.com/about.htm )
Sygate Tests (http://scan.sygate.com)
Pokrenite jedan od njih i videæete zs?to je potrebno da podignete zid izmeðu
sopstve-nog raèunara i Interneta.
Sheryl Canter je pomoænik ured PC Magazina. Njen web sajtje
www.SherylCanter.com .
pri krajku teksta hvale neka slova. problem je us dlici koja je bila locirane
u tom delu teksta.
Rajko
Za prijavu na ovu listu poslati poruku na adresu:
slikom-request@xxxxxxxxxxxxx i u polju za tekst upisati, subscribe
Za odjavu sa ove liste poslati poruku na adresu:
slikom-request@xxxxxxxxxxxxx i u polju za tekst upisati, unsubscribe
Other related posts:
- » [slikom] Ono što vam treba ječte (pravilno konfigurisani) firewall