Co je to FireWall ?

    FireWall [čti fajrvól] neboli česky ohnivá zeď je zařízení, která vás odděluje od Internetu (nebo obecně od zbytku světa). Slouží k tomu, aby nikdo zvenku nemohl proniknout do vašeho počítače a chrání vás tak před útokem lidí nebo virů a zároveň vám umožňuje volný (a bezpečný) přístup do Internetu.

Tedy:

Vy můžete bez omezení ven, nikdo cizí nemůže dovnitř

    FireWall může chránit jak jeden počítač, tak i celou skupinu počítačů, zapojených třeba do malé domácí či velké firemní sítě.

    Tato zařízení existují již roky. Dříve se na ně používaly většinou specializované počítače a jejich cena se pohybovala v desítkách nebo také stovkách tisíc korun. I dnes můžete pořídit FireWall za takovou vysokou cenu (a my vám ho můžeme nabídnout), ale to jsou specializované stroje pro velké firmy či organizace a pro většinu zákazníků je k dispozici mnohem levnější zařízení, určené pro běžné domácí použití.

    FireWall bývá dnes součástí různých routerů, Acces Pointů a podobných zařízení. Většinou je prostě „v ceně“ a mnohdy o něm uživatelé ani nevědí a nemají ho vůbec zaktivovaný. A pokud jim použití doporučuji, brání se. Proč?

    Jaká je tedy pravděpodobnost že někdo nebo něco zaútočí přes internet na váš počítač?
Na tuto otázku můžeme naštěstí odpovědět docela snadno. Ve firmě používáme zařízení Barricade od firmy SMC. Tento FireWall považuji asi za nejlepší, jaký je u nás na trhu v této kategorii k dispozici (2006). Nejen dokonale chrání, ale navíc mi umožňuje i vytvoření jakési „branky“ v ohnivé zdi, kterou se domácí mohou spolehlivě dostat dovnitř. I přes dokonalou ochranu mají oprávnění uživatelé možnost přístupu zvenku do sítě, takže mohu třeba pracovat někde u zákazníka a přitom si stáhnout soubory, které jsem si nechal doma. Mimoto lze nastavovat různá pravidla hry pro jednotlivé počítače, které jsou zapojeny v chráněné zóně, regulovat jim oprávnění k přístupu na internet atd. atd.
    Ale chtěl jsem mluvit o něčem jiném - Barricade nejen chrání proti útokům, ale také tyto útoky eviduje. Mohu tedy zjistit nejen počet útoků, ale kdy k nim přesně došlo a od koho (z jaké IP adresy) byly. 

Pro ilustraci příklad výpisu:
(vidíte zde datum - čas - co se stalo - a ze které adresy k útoku došlo)

    Že jsem těch příkladů uvedl nějak moc? No, možná ano, ale když se lépe podíváte, zjistíte, že jsem vypsal pouze útoky, ke kterým došlo
v průběhu jedné jediné minuty
(začátek v 17:27:00, konec v 17:27:59) !!!
A ve výpisu najdete i místa, kdy během jediné vteřiny došlo ke čtyřem útokům z různých míst ve světě (tři taková místa jsem vyznačil barevně).

    Tak co, stále si ještě myslíte, že je útok z internetu na váš počítač tak nepravděpodobný? Naopak!!! Útoky z internetu dnes berte jako naprostou samozřejmost a předem počítejte, že jich budou stovky či spíše tisíce za den. A pokud žádnou ochranu nepoužíváte, pak o nich jen nevíte. A je pak pouze otázkou času, kdy některý z útoků objeví slabé místo ve vašem počítači, pronikne dovnitř, zahájí skutečnou záškodnickou činnost, při které otevře přístup do počítače dalším kamarádům a následuje lavinová reakce...

    Kdo vlastně na váš počítač útočí?
    Samozřejmě, může to být i člověk, který ve zlém úmyslu prochází internet a hledá počítač, do kterého by se dostal. To je ale spíš výjimka. Ve většině případů se jedná o virus nebo spyware. Řada těchto záškodníků se již nespoléhá na to, že si je přinesete domů na disketě nebo stáhnete omylem z internetu. Mechanismus jejich činnosti je následující: 

    Jaká je tedy „životnost“ počítače, který FireWall nepoužívá?
    Tak to prosím záleží jen a jen na štěstí. Počítačů mi prochází rukama docela dost, takže znám i uživatele, kteří nepoužívají žádné ochrany, nemají ani nainstalovaný antivirus a přesto jejich počítač zatím nebyl poctěn návštěvou žádného nebezpečného viru nebo spyware. To ale rozhodně není pravidlo, spíše naprostá výjimka. Běžnější jsou opačné extrémy

 Což jsem osobně zažil - přísahám na holej pupek !! Po instalaci FireWallu Barricade funguje naopak již několik roků bez výskytu jediného vážného problému.

    Nebezpečí je podstatně menší u samostatného počítače. Ten je před okolím poměrně dobře uzavřen a i když i u něj slabá místa existují, je jich relativně méně. Vážně ohroženy jsou ale všechny počítače, které jsou uzpůsobeny práci v síti a mají sdílené disky. Pokud není přístup na sdílený disk zabezpečen heslem, je proniknutí do takového počítače nejen snadné, ale přímo primitivní. Bohužel, ani ochrana takového přístupu heslem ale není postačující. Určitá vrátka byla vytvořena a i když jsou zabezpečena, je jen otázkou šikovnosti autora záškodnického programu, jak dlouho útokům odolají.

    Jaká je spolehlivost FireWallu?
    Jaké procento útokům dokážou zadržet a kolik jich naopak propustí?
    Jak často je potřeba FireWall upgradovat (stáhnout nějakou novou verzi, novou databázi virů apod.)?
    A jak dlouho bude trvat, než se na můj nový FireWall najde metoda, jak jím proniknout?
Asi nebudete věřit, ale na tyto otázky existuje jednoznačná odpověď:
    Dobrý FireWall není možné prorazit. Jeho spolehlivost je stoprocentní. Nepotřebuje žádnou modernizaci, žádný upgrade virové databáze apod. Je to prostě tím, že žádnou znalost virů nepotřebuje, žádný jejich přehled nepoužívá. Nezajímají jej jednotlivé viry, zná jen jejich projev - útok. A tomu dokáže zabránit naprosto spolehlivě.

Nebudu to rozebírat s hlediska teorie. Zkusím to vysvětlit trochu jinak:
    Představte si, že máte dveře od domu. Pokud je nezamykáte, může vám tam vniknout každý. Tak si dáte na dveře zámek. Je to lepší, ale šperhákem se to dá otevřít. Takže vložkový zámek. Navíc upravený, aby se nedal rozlomit. Spolehlivé? Určitě, ale když ztratíte klíče, zámečník vám ten zámek otevře. To vás trochu vyvede z míry a pořídíte si specielní zámek motýlkového typu, jaký se nedá otevřít. Ovšem, pokud se do něj nepustí kasař. Kasaři, jak známo, otevírání takových zámků zvládají.
    Je tedy ochrana dveří - spolehlivá ochrana - vůbec možná? Je, a navíc je jednoduchá. Stačí dát na dveře závoru. A vše je vyřešeno. Závora je totiž tak strašně jednoduchá, ba primitivní, že se s ní nedá nic udělat. Nemá klíčovou dírku, kam by se dal strčit paklíč. Ovládat ji může jen ten, kdo je vevnitř v domě, ti venku nemají šanci. Leda prorazit dveře tankem nebo odstřelit barák dynamitem, ale to už je trochu jiná dimenze.
    A stejné vlastnosti má i FireWall. Je velmi jednoduchý, až primitivní a díky tomu zcela spolehlivý a nepřekonatelný. A proto - pokud si ho pořídíte - mu můžete naprosto důvěřovat.

    Znamená to, že jsou všechny FireWally stejné (stejně bezpečné) ?
    To rozhodně ne - jako všude, i v tomto oboru existuje zboží kvalitní - a pak to druhé. Pokud chválím schopnosti FireWallů, mluvím o těch dobrých. Zatím máme nejlepší zkušenosti s výrobky Barricade od fy. SMC. Jsou velmi kvalitní, spolehlivé, za rozumnou cenu a považuji je za ideální pro malé sítě - od jednotek do desítek počítačů. Pro větší sítě jsou ovšem určeny jiné typy.
    Čím se tyto dražší modely liší od levných? Především výkonem - je jasné, že je něco jiného zprostředkovat data pro dva nebo tři počítače a něco zcela jiného je řídit provoz pro několik set uživatelů. A výkonnější zařízení = vyšší cena, to dá rozum.
    Další vlastností jsou nástavbové funkce. Velké FireWally mají spousty dalších schopností - zvládají antivirovou ochranu, dokážou filtrovat spamy (takže vám do e-mailu nebude chodit spousta nevyžádané reklamní pošty), dá se na nich nastavit, kam který uživatel může nebo nemůže atd. atd.
    Drobnou nevýhodou ovšem je, že tyto vysoce inteligentní FireWally toho zvládají opravdu hodně. A pokud je někdo konfiguruje, musí se v tom opravdu vyznat. Pokud ne...

     I ve Windows je FireWall. Nestačí, když budeme používat tento?
     A vlastně existuje celá řada programů, které fungují jako Firewall !! nebudou nakonec lepší, než nějaká krabička ?
    Windows opravdu obsahují FireWall. A FireWall obsahuje i řada speciálních programů. Podstatný rozdíl je v tom, že my mluvíme o FireWallu hardwarovém a tohle jsou FireWally softwarové. Oba by sice měly zabezpečovat počítač podobným způsobem, ale v jednom se liší velmi podstatně. Zatímco HW FireWall nemá žádnou slabinu, SW FireWall pracuje pod operačním systémem (Windows) a má proto tolik slabin, kolik jich jen Windows mají - a není jich málo. A má-li chránit počítač před chybami, způsobenými nedokonalými Windows, není toho schopen, protože sám je těmito chybami ovlivněn.
   Existuje i řada dalších SW FireWallů - namátkou Kerio, ZoneAlarm, AVG - všechny mají stejnou funkci: kontrolují programy, které se spouštějí v počítači a snaží se rozlišit ty, které se spouštět mají (spouští je uživatel) a ty, které se spouštět nemají (spustily se samy od sebe). Na rozdíl od HW FireWallu tedy nebrání vniknutí záškodníka do počítače, ale až následně se jej snaží zneškodnit, pokud záškodník zahájí činnost. Myšlenka je dobrá, účinnost těchto produktů vynikající, bohužel všechny mají jednu nevýhodu - napřed se musí naučit, co je co a k tomu se potřebují dotázat uživatele: Spustit?
Zakázat?
Zakázet jen teď?
nebo vždycky?
    A těchto dotazů kladou obvykle tolik, že je jimi uživatel otráven. Napřed se snaží odpovídat poctivě, později střídá pravidelně ANO - NE a nakonec prostě FireWall vypne. A tak nám chodí na opravu spousta počítačů, které sice SW FireWall mají, dokonce velmi kvalitní a legálně koupený, ale bohužel vypnutý (a tudíž k ničemu). A ještě horší varianta - FireWall je sice zapnutý, ale špatně nastavený (uživatel na jeho dotazy odpovídal ANO - NE zcela náhodným způsobem a bez přemýšlení) a výsledkem je, že FireWall na jedné straně klidně povoluje činnost virům, na druhé straně zcela nesmyslně zakazuje běžné funkce (např. netiskne tiskárna, nejde změnit rozlišení obrazovky, nelze nainstalovat nové programy apod.).
    A jako dodatek bych uvedl případ jednoho našeho zákazníka. Přišel s prakticky nefunkčním počítačem - nechodilo tam skoro nic. Hrabal jsem se v tom hodně dlouho - až jsem dostal spásný nápad - nastavil jsem pravidla pro SW FireWall na DEFAULT. A počítač se přímo zázračně rozjel...
    A drobnost k tomu - za rok, za dvě léta přišel stejný zákazník opět, se stejnou závadou. Nezaváhal jsem, nastavil mu FireWall opět na DEFAULT a zase to rok dva chodilo. Otázka ovšem je, jestli to v tomto případě byl zlepšovák nebo zhoršovák.
    Správně fungující SW FireWall ovšem může HW FireWall velmi dobře doplnit. Musíme si uvědomit, že HW FireWall chrání počítač proti útokům, ale nezabrání nám stáhnout si do počítače např. virus z některé webové stránky. To pro něj není útok, ale činnost obsluhy počítače a tu on nekontroluje. Takže pokud si do počítače (ať úmyslně, omylem či z vlastní hlouposti) stáhneme virus nebo spyware, pak v okamžiku jeho „probuzení“ a zahájení činnost zasáhne SW FireWall a podpoří tak svého HW bratříčka. A tak nebudeme rozebírat, který FireWall je lepší a raději se smíříme se skutečností, že se SW i HW FireWall navzájem výborně doplňují.

    Takže ještě jednou - HW FireWall je opravdu "neprůstřelný" ?

    Tak to prrr - jedna slabina by tu byla - a velká. Jedná se o PŘÍSTUP ZVENČÍ.
Každý FireWall má možnost nastavení - přihlásíte se ze svého počítače na jeho IP adresu, objeví se vám na webu jeho nastavovací stránka a můžete nastavovat spoustu parametrů. To samozřejmě platí, když sedím "uvnitř" - tedy v bytě, v chráněné zóně. A pokud si to sami neumíte nastavit, tak si tam pozvete technika (třeba mě) a ten vám to nastavení udělá. Což se pochopitelně prodraží - k vlastnímu nastavení (10minut) se ještě připočítá cesta - a pod pětistovku to asi nebude.
    Lepší FireWally mají ovšem funkci navíc - dá se u nich nastavit (povolit) přístup zvenčí - a to potom k vám domů nikdo jezdit nemusí, všechno se dá nastavit na dálku.
    Jenže !!!
    Právě teď jsme k té závoře, co ji máme z vnitřní strany dveří přidělali i tu klíčovou dírku...
Problém je v tom, že každý podobný přístroj je už od výrobce vybaven základním přístupem.
Obvykle:
Jméno: admin
Heslo: admin
Najdete to v manuálu, navíc štítek s těmito údaji bývá nalepen na spodní straně (musíte se tam přece nějak dostat, ne?).
Jistě, předpokládá se, že to všechno nastavíte A HESLO ZMĚNÍTE. Jenže znáte to, spousta lidí na to dlabe a heslo tam nechají původní.
A průser je na světě.
Není totiž problém naskenovat si IP adresy v okolí a zjistit/nebo odhadnout modely FireWallů, které se zde nacházejí. A není ani tak složité zjistit, s jakým heslem od výrobce se ten který model prodával. No a pak už jenom zkusit, jestli tam to přednastavené heslo nezůstalo - a už jsme uvnitř
A MŮŽEME TAM ŘÁDIT JAKO ČERNÁ RUKA.

Jak se tomu bránit? docela jednoduše

u fireWallu VŽDYCKY vypneme přístup/ovládání zvenčí.

A je vymalováno.