HD elektro v.o.s. Brno
zpět - Na hlavní stránku

návrat na úvodní stránku  
Poradny

HD elektro v.o.s. BRNO
výpočetní a kancelářská technika



Poradna

Download ceníků

Vyhledání položek
z celého ceníku

 
Tisk stránky
Co je to FireWall

Co je to FireWall ?


    FireWall [čti fajrvól] neboli česky ohnivá zeď je zařízení, která vás odděluje od Internetu (nebo obecně od zbytku světa). Slouží k tomu, aby nikdo zvenku nemohl proniknout do vašeho počítače a chrání vás tak před útokem lidí nebo virů a zároveň vám umožňuje volný (a bezpečný) přístup do Internetu.

Tedy:

Vy můžete bez omezení ven, nikdo cizí nemůže dovnitř

    FireWall může chránit jak jeden počítač, tak i celou skupinu počítačů, zapojených třeba do malé domácí či velké firemní sítě.

    Tato zařízení existují již roky. Dříve se na ně používaly většinou specializované počítače a jejich cena se pohybovala v desítkách nebo také stovkách tisíc korun. I dnes můžete pořídit FireWall za takovou vysokou cenu (a my vám ho můžeme nabídnout), ale to jsou specializované stroje pro velké firmy či organizace a pro většinu zákazníků je k dispozici mnohem levnější zařízení, určené pro běžné domácí použití.

Barricade - firewall firmy SMC

    FireWall bývá dnes součástí různých routerů, Acces Pointů a podobných zařízení. Většinou je prostě „v ceně“ a mnohdy o něm uživatelé ani nevědí a nemají ho vůbec zaktivovaný. A pokud jim použití doporučuji, brání se. Proč?

   Minule mi například zákazník tvrdil, že je normální člověk, nepracuje v žádném zbrojním průmyslu, není žádný bankéř apod. a je proto vysoce nepravděpodobné, že by se nějaký špión pokusil proniknout k němu do počítače. Takže žádné zvláštní ochrany nepotřebuje.
   Měl skutečně pravdu?

    Jaká je tedy pravděpodobnost že někdo nebo něco zaútočí přes internet na váš počítač?
Na tuto otázku můžeme naštěstí odpovědět docela snadno. Ve firmě používáme zařízení Barricade od firmy SMC. Tento FireWall považuji asi za nejlepší, jaký je u nás na trhu v této kategorii k dispozici (2006). Nejen dokonale chrání, ale navíc mi umožňuje i vytvoření jakési „branky“ v ohnivé zdi, kterou se domácí mohou spolehlivě dostat dovnitř. I přes dokonalou ochranu mají oprávnění uživatelé možnost přístupu zvenku do sítě, takže mohu třeba pracovat někde u zákazníka a přitom si stáhnout soubory, které jsem si nechal doma. Mimoto lze nastavovat různá pravidla hry pro jednotlivé počítače, které jsou zapojeny v chráněné zóně, regulovat jim oprávnění k přístupu na internet atd. atd.
    Ale chtěl jsem mluvit o něčem jiném - Barricade nejen chrání proti útokům, ale také tyto útoky eviduje. Mohu tedy zjistit nejen počet útoků, ale kdy k nim přesně došlo a od koho (z jaké IP adresy) byly. 

Pro ilustraci příklad výpisu:
(vidíte zde datum - čas - co se stalo - a ze které adresy k útoku došlo)

2006/03/01 17:27:59 : Blocked access attempt from 24.193.66.135 
2006/03/01 17:27:58 : Blocked access attempt from 85.220.15.53 
2006/03/01 17:27:58 : Blocked access attempt from 88.104.205.11 
2006/03/01 17:27:57 : Blocked access attempt from 151.197.243.211 
2006/03/01 17:27:57 : Blocked access attempt from 82.235.150.73 
2006/03/01 17:27:55 : Blocked access attempt from 84.42.210.39 
2006/03/01 17:27:55 : Blocked access attempt from 201.248.144.47 
2006/03/01 17:27:55 : Blocked access attempt from 88.104.205.11 
2006/03/01 17:27:54 : Blocked access attempt from 87.120.8.231 
2006/03/01 17:27:52 : Blocked access attempt from 201.248.144.47 
2006/03/01 17:27:51 : Blocked access attempt from 218.111.62.185 
2006/03/01 17:27:48 : Blocked access attempt from 69.141.34.147 
2006/03/01 17:27:47 : Blocked access attempt from 213.84.87.231 
2006/03/01 17:27:46 : Blocked access attempt from 65.190.62.8 
2006/03/01 17:27:45 : Blocked access attempt from 217.208.108.248 
2006/03/01 17:27:44 : Blocked access attempt from 68.83.30.121 
2006/03/01 17:27:44 : Blocked access attempt from 62.68.175.141 
2006/03/01 17:27:42 : Blocked access attempt from 84.27.101.64 
2006/03/01 17:27:40 : Blocked access attempt from 62.68.175.141 
2006/03/01 17:27:39 : Blocked access attempt from 70.29.54.179 
2006/03/01 17:27:39 : Blocked access attempt from 82.159.82.52 
2006/03/01 17:27:38 : Blocked access attempt from 64.78.117.37 
2006/03/01 17:27:36 : Blocked access attempt from 200.104.243.190 
2006/03/01 17:27:36 : Blocked access attempt from 195.140.154.56 
2006/03/01 17:27:36 : Blocked access attempt from 172.182.14.40 
2006/03/01 17:27:36 : Blocked access attempt from 222.164.164.41 
2006/03/01 17:27:35 : Blocked access attempt from 84.57.160.62 
2006/03/01 17:27:34 : Blocked access attempt from 62.178.172.177 
2006/03/01 17:27:33 : Blocked access attempt from 213.140.6.110 
2006/03/01 17:27:33 : Blocked access attempt from 201.235.198.212 
2006/03/01 17:27:33 : Blocked access attempt from 151.197.243.211 
2006/03/01 17:27:33 : Blocked access attempt from 222.164.168.127 

2006/03/01 17:27:31 : Blocked access attempt from 200.108.224.119 
2006/03/01 17:27:29 : Blocked access attempt from 195.38.115.187 
2006/03/01 17:27:29 : Blocked access attempt from 65.182.28.237 
2006/03/01 17:27:28 : Blocked access attempt from 201.235.198.212 
2006/03/01 17:27:27 : Blocked access attempt from 69.151.253.81 
2006/03/01 17:27:27 : Blocked access attempt from 222.164.168.127 
2006/03/01 17:27:25 : Blocked access attempt from 83.23.81.254 
2006/03/01 17:27:25 : Blocked access attempt from 84.52.162.9 
2006/03/01 17:27:25 : Blocked access attempt from 82.100.11.242 
2006/03/01 17:27:24 : Blocked access attempt from 222.164.168.127 
2006/03/01 17:27:24 : Blocked access attempt from 80.57.50.160 
2006/03/01 17:27:23 : Blocked access attempt from 65.182.28.237 
2006/03/01 17:27:23 : Blocked access attempt from 201.235.198.212 
2006/03/01 17:27:23 : Blocked access attempt from 87.120.8.231 
2006/03/01 17:27:22 : Blocked access attempt from 80.192.164.213 
2006/03/01 17:27:21 : Blocked access attempt from 83.132.38.216 
2006/03/01 17:27:21 : Blocked access attempt from 82.255.248.6 
2006/03/01 17:27:20 : Blocked access attempt from 65.182.28.237 
2006/03/01 17:27:20 : Blocked access attempt from 130.233.24.33 
2006/03/01 17:27:19 : Blocked access attempt from 83.23.81.254 
2006/03/01 17:27:19 : Blocked access attempt from 84.52.162.9 
2006/03/01 17:27:19 : Blocked access attempt from 82.100.11.242 
2006/03/01 17:27:17 : Blocked access attempt from 84.52.162.9 
2006/03/01 17:27:17 : Blocked access attempt from 219.95.45.61 
2006/03/01 17:27:17 : Blocked access attempt from 81.5.173.11 
2006/03/01 17:27:17 : Blocked access attempt from 69.120.211.65 
2006/03/01 17:27:16 : Blocked access attempt from 82.100.11.242 
2006/03/01 17:27:16 : Blocked access attempt from 83.23.81.254 
2006/03/01 17:27:15 : Blocked access attempt from 82.216.18.167 
2006/03/01 17:27:15 : Blocked access attempt from 64.86.77.81 
2006/03/01 17:27:15 : Blocked access attempt from 172.189.80.213 
2006/03/01 17:27:13 : Blocked access attempt from 86.61.29.118 
2006/03/01 17:27:11 : Blocked access attempt from 219.95.45.61 
2006/03/01 17:27:11 : Blocked access attempt from 200.104.243.190 
2006/03/01 17:27:10 : Blocked access attempt from 62.178.172.177 
2006/03/01 17:27:10 : Blocked access attempt from 194.63.217.218 
2006/03/01 17:27:09 : Blocked access attempt from 64.86.77.81 
2006/03/01 17:27:09 : Blocked access attempt from 172.189.80.213 
2006/03/01 17:27:08 : Blocked access attempt from 219.95.45.61 
2006/03/01 17:27:07 : Blocked access attempt from 64.86.77.81 
2006/03/01 17:27:06 : Blocked access attempt from 68.252.234.251 
2006/03/01 17:27:06 : Blocked access attempt from 80.200.49.143 
2006/03/01 17:27:06 : Blocked access attempt from 172.189.80.213 
2006/03/01 17:27:05 : Blocked access attempt from 62.68.175.141 
2006/03/01 17:27:05 : Blocked access attempt from 194.108.53.168 
2006/03/01 17:27:04 : Blocked access attempt from 220.245.110.218 
2006/03/01 17:27:04 : Blocked access attempt from 65.190.62.8 
2006/03/01 17:27:03 : Blocked access attempt from 125.173.82.126 
2006/03/01 17:27:02 : Blocked access attempt from 82.38.218.226 
2006/03/01 17:27:01 : Blocked access attempt from 217.208.108.248 
2006/03/01 17:27:01 : Blocked access attempt from 62.68.175.141 
2006/03/01 17:27:01 : Blocked access attempt from 70.160.32.25 
2006/03/01 17:27:00 : Blocked access attempt from 80.200.49.143 
2006/03/01 17:27:00 : Blocked access attempt from 24.14.32.84 

    Že jsem těch příkladů uvedl nějak moc? No, možná ano, ale když se lépe podíváte, zjistíte, že jsem vypsal pouze útoky, ke kterým došlo v průběhu jedné jediné minuty (začátek v 17:27:00, konec v 17:27:59) !!! A ve výpisu najdete i místa, kdy během jediné vteřiny došlo ke čtyřem útokům z různých míst ve světě (tři taková místa jsem vyznačil barevně).

    Tak co, stále si ještě myslíte, že je útok z internetu na váš počítač tak nepravděpodobný? Naopak!!! Útoky z internetu dnes berte jako naprostou samozřejmost a předem počítejte, že jich budou stovky či spíše tisíce za den. A pokud žádnou ochranu nepoužíváte, pak o nich jen nevíte. A je pak pouze otázkou času, kdy některý z útoků objeví slabé místo ve vašem počítači, pronikne dovnitř, zahájí skutečnou záškodnickou činnost, při které otevře přístup do počítače dalším kamarádům a následuje lavinová reakce...

    Kdo vlastně na váš počítač útočí?
   
Samozřejmě, může to být i člověk, který ve zlém úmyslu prochází internet a hledá počítač, do kterého by se dostal. To je ale spíš výjimka. Ve většině případů se jedná o virus nebo spyware. Řada těchto záškodníků se již nespoléhá na to, že si je přinesete domů na disketě nebo stáhnete omylem z internetu. Mechanismus jejich činnosti je následující: 

   První uživatel je nakažen. 
   Virus nebo spyware v jeho počítači se probudí a zahájí záškodnickou činnost. Připojí se na internet a začne zkoušet náhodná čísla IP adres, až najde existující (a momentálně připojený) počítač. 
   Potom vyzkouší útok na slabé místo v systému, na které je naprogramován. Pokud se mu průnik nepodaří, pokračuje v hledání na internetu. Pokud uspěje, pronikne do počítače, sám se do něj nainstaluje a provede nějakou záškodnickou činnost (poškození dat, stažení dalších kamarádů-záškodníků do počítače, zkopírování vašich soukromých údajů, zjištění čísla a hesla vaší kreditní karty apod.).
   Potom přejde k závěrečné fázi - opět „vyrazí do světa“ - ovšem nyní už z nově zavirovaného počítače - a začne vyhledávat další oběti na internetu. A tak je na světě další - zdánlivě nevinný počítač - který se stal postrachem všech ostatních na internetu. A jeho majitel o tom vůbec neví…

    Jaká je tedy „životnost“ počítače, který FireWall nepoužívá?
   
Tak to prosím záleží jen a jen na štěstí. Počítačů mi prochází rukama docela dost, takže znám i uživatele, kteří nepoužívají žádné ochrany, nemají ani nainstalovaný antivirus a přesto jejich počítač zatím nebyl poctěn návštěvou žádného nebezpečného viru nebo spyware. To ale rozhodně není pravidlo, spíše naprostá výjimka. Běžnější jsou opačné extrémy - počítač, chráněný antivirovými i antispywarovými programy byl připojen na rychlý internet přes kabelovou TV a k jeho úplnému zhroucení stačilo cca 20 minut !!! Po instalaci FireWallu Barricade funguje naopak již několik roků bez výskytu jediného vážného problému.
    Nebezpečí je podstatně menší u samostatného počítače. Ten je před okolím poměrně dobře uzavřen a i když i u něj slabá místa existují, je jich relativně méně. Vážně ohroženy jsou ale všechny počítače, které jsou uzpůsobeny práci v síti a mají sdílené disky. Pokud není přístup na sdílený disk zabezpečen heslem, je proniknutí do takového počítače nejen snadné, ale přímo primitivní. Bohužel, ani ochrana takového přístupu heslem ale není postačující. Určitá vrátka byla vytvořena a i když jsou zabezpečena, je jen otázkou šikovnosti autora záškodnického programu, jak dlouho útokům odolají.

    Jaká je spolehlivost FireWallu?
    Jaké procento útokům dokážou zadržet a kolik jich naopak propustí?
    Jak často je potřeba FireWall upgradovat (stáhnout nějakou novou verzi, novou databázi virů apod.)?
    A jak dlouho bude trvat, než se na můj nový FireWall najde metoda, jak jím proniknout?
Asi nebudete věřit, ale na tyto otázky existuje jednoznačná odpověď:
    Dobrý FireWall není možné prorazit. Jeho spolehlivost je stoprocentní. Nepotřebuje žádnou modernizaci, žádný upgrade virové databáze apod. Je to prostě tím, že žádnou znalost virů nepotřebuje, žádný jejich přehled nepoužívá. Nezajímají jej jednotlivé viry, zná jen jejich projev - útok. A tomu dokáže zabránit naprosto spolehlivě.

Nebudu to rozebírat s hlediska teorie. Zkusím to vysvětlit trochu jinak:
    Představte si, že máte dveře od domu. Pokud je nezamykáte, může vám tam vniknout každý. Tak si dáte na dveře zámek. Je to lepší, ale šperhákem se to dá otevřít. Takže vložkový zámek. Navíc upravený, aby se nedal rozlomit. Spolehlivé? Určitě, ale když ztratíte klíče, zámečník vám ten zámek otevře. To vás trochu vyvede z míry a pořídíte si specielní zámek motýlkového typu, jaký se nedá otevřít. Ovšem, pokud se do něj nepustí kasař. Kasaři, jak známo, otevírání takových zámků zvládají.
    Je tedy ochrana dveří - spolehlivá ochrana - vůbec možná? Je, a navíc je jednoduchá. Stačí dát na dveře závoru. A vše je vyřešeno. Závora je totiž tak strašně jednoduchá, ba primitivní, že se s ní nedá nic udělat. Nemá klíčovou dírku, kam by se dal strčit paklíč. Ovládat ji může jen ten, kdo je vevnitř v domě, ti venku nemají šanci. Leda prorazit dveře tankem nebo odstřelit barák dynamitem, ale to už je trochu jiná dimenze.
    A stejné vlastnosti má i FireWall. Je velmi jednoduchý, až primitivní a díky tomu zcela spolehlivý a nepřekonatelný. A proto - pokud si ho pořídíte - mu můžete naprosto důvěřovat.

    Znamená to, že jsou všechny FireWally stejné (stejně bezpečné) ?
    To rozhodně ne - jako všude, i v tomto oboru existuje zboží kvalitní - a pak to druhé. Pokud chválím schopnosti FireWallů, mluvím o těch dobrých. Zatím máme nejlepší zkušenosti s výrobky Barricade od fy. SMC. Jsou velmi kvalitní, spolehlivé, za rozumnou cenu a považuji je za ideální pro malé sítě - od jednotek do desítek počítačů. Pro větší sítě jsou ovšem určeny jiné typy.
    Čím se tyto dražší modely liší od levných? Především výkonem - je jasné, že je něco jiného zprostředkovat data pro dva nebo tři počítače a něco zcela jiného je řídit provoz pro několik set uživatelů. A výkonnější zařízení = vyšší cena, to dá rozum.
    Další vlastností jsou nástavbové funkce. Velké FireWally mají spousty dalších schopností - zvládají antivirovou ochranu, dokážou filtrovat spamy (takže vám do e-mailu nebude chodit spousta nevyžádané reklamní pošty), dá se na nich nastavit, kam který uživatel může nebo nemůže atd. atd.
    Drobnou nevýhodou ovšem je, že tyto vysoce inteligentní FireWally toho zvládají opravdu hodně. A pokud je někdo konfiguruje, musí se v tom opravdu vyznat. Pokud ne...

    Odstrašující příklad z jedné velké organizace:
někdo se rozhodl, že starý FireWall ("jen" za 300.000Kč) už nestačí a že se koupí nový - za 2 miliony. Proč ne - i když podle mého názoru to bylo vyhazování peněz. Ale znáte to - ve státních organizacích je na rozhazování vždycky peněz dost. Bohužel ten, kdo dostal konfiguraci zařízení na starost to "trochu nezvládl", vlastně vůbec nechápal princip tohoto zařízení a proto pro jistotu nastavil všude maximální úroveň ochrany. Tím bohužel došlo k opravdu dokonalému zablokování všeho. Od té doby jde sice pošta, ale jen omezeně (nejsou propouštěny zprávy s přílohou), řada uživatelů nemůže na internet, aby je to nerozptylovalo při práci (jenže oni internet ke své práci nutně potřebují), je zakázaný Skype (ale některé pracovní skupiny jej dosud využívaly k velmi intenzivní komunikaci se zahraničními partnery a šetřili tak desetitisíce měsíčně), není možný vzdálený přístup do sítě (a bez něj opět někteří zaměstnanci nemohou dělat svou práci). Prostě samotné drahé inteligentní zařízení nestačí, pokud k němu není k dispozici stejně inteligentní a schopná obsluha.

     I ve Windows je FireWall. Nestačí, když budeme používat tento?
     A vlastně existuje celá řada programů, které fungují jako Firewall !! nebudou nakonec lepší, než nějaká krabička ?
    Windows opravdu obsahují FireWall. A FireWall obsahuje i řada speciálních programů. Podstatný rozdíl je v tom, že my mluvíme o FireWallu hardwarovém a tohle jsou FireWally softwarové. Oba by sice měly zabezpečovat počítač podobným způsobem, ale v jednom se liší velmi podstatně. Zatímco HW FireWall nemá žádnou slabinu, SW FireWall pracuje pod operačním systémem (Windows) a má proto tolik slabin, kolik jich jen Windows mají - a není jich málo. A má-li chránit počítač před chybami, způsobenými nedokonalými Windows, není toho schopen, protože sám je těmito chybami ovlivněn.
   Existuje i řada dalších SW FireWallů - namátkou Kerio, ZoneAlarm, AVG - všechny mají stejnou funkci: kontrolují programy, které se spouštějí v počítači a snaží se rozlišit ty, které se spouštět mají (spouští je uživatel) a ty, které se spouštět nemají (spustily se samy od sebe). Na rozdíl od HW FireWallu tedy nebrání vniknutí záškodníka do počítače, ale až následně se jej snaží zneškodnit, pokud záškodník zahájí činnost. Myšlenka je dobrá, účinnost těchto produktů vynikající, bohužel všechny mají jednu nevýhodu - napřed se musí naučit, co je co a k tomu se potřebují dotázat uživatele: Spustit? Zakázat? Zakázet jen teď? nebo vždycky? A těchto dotazů kladou obvykle tolik, že je jimi uživatel otráven. Napřed se snaží odpovídat poctivě, později střídá pravidelně ANO - NE a nakonec prostě FireWall vypne. A tak nám chodí na opravu spousta počítačů, které sice FireWall mají, dokonce velmi kvalitní a legálně koupený, ale bohužel vypnutý (a tudíž k ničemu). A ještě horší varianta - FireWall je sice zapnutý, ale špatně nastavený (uživatel na jeho dotazy odpovídal ANO - NE zcela náhodným způsobem a bez přemýšlení) a výsledkem je, že FireWall na jedné straně klidně povoluje činnost virům, na druhé straně zcela nesmyslně zakazuje běžné funkce (např. netiskne tiskárna, nejde změnit rozlišení obrazovky, nelze nainstalovat nové programy apod.).
    Správně fungující SW FireWall ovšem může HW FireWall velmi dobře doplnit. Musíme si uvědomit, že HW FireWall chrání počítač proti útokům, ale nezabrání nám stáhnou si do počítače např. virus z některé webové stránky. To pro něj není útok, ale činnost obsluhy počítače a tu on nekontroluje. Takže pokud si do počítače (ať úmyslně, omylem či z vlastní hlouposti) stáhneme virus nebo spyware, pak v okamžiku jeho „probuzení“ a zahájení činnost zasáhne SW FireWall a podpoří tak svého HW bratříčka. A tak nebudeme rozebírat, který FireWall je lepší a raději se smíříme se skutečností, že se SW i HW FireWall navzájem výborně doplňují.



HD elektro v.o.s. - servis výpočetní techniky
tel. - 530 342 542                                              mobil 775 524 130

servis@hd.cz

Od jara 2017 jsme zrušili prodejnu.
Servis nadále poskytujeme na naší domácí adrese:

Domažlická 2, Brno - Královo Pole
rožák Domažlická/Štefánikova

Trasa šaliny 1 a 6 – mezi zastávkami Šumavská a Kartouzská
zastávka autobusu 67 a 81 přímo před domem.


zvonek Volný, 2. patro

pracovní doba dle tel. domluvy
(optimálně zavolat cca 1/2hod předem)


...sem do této poštovní schránky se to prosím hází...
A pokud nám chcete něco sdělit nebo se na něco zeptat,
pak prosím využijte zde naši schránku.

Jinak Webmaster má schránku támhle vpravo === >                         ...áno, tohle je poštovní schránka pro samotného pána tohoto webu...

           

NAVRCHOLU.cz