Biztonsági megoldások, 1. rész: A tűzfal

Tisztelt Olvasó!

Első részét olvassa annak a sorozatnak, melynek célja, hogy segítsége azon kevésbé tapasztalt felhasználókat, akik tájékozottabbak szeretnének lenni a manapság választható biztonsági termékek körében. A tapasztalt felhasználók számára is érdekesek lehetnek ezek a tömör összefoglalók, hiszen friss, átfogó képet kaphatnak az egymással gyakran ellentmondásos információkról. A hírlevél célja, hogy áttekintést adjon az aktuálisan használható biztonsági megoldásokról, kitérve azok fő alkalmazási területeire és képességeire épp úgy, mint a korlátaira és hátrányaira.

Az első rész a tűzfalakra összpontosít, amelyek az antivírus szoftverek mellet, szerves részeit alkotják a számítógép biztonságának. Az antivírus szoftverekkel a következő alkalommal foglalkozunk bővebben.

Tűzfal szoftverek

A tűzfalak fő feladata, hogy megelőzzék és megakadályozzák a rosszindulatú és nem kívánt kapcsolatokat a számítógép és a hálózat (általában az internet) között. A tűzfalak tulajdonképpen biztonsági őrként viselkednek - az arra jogosult embereket (hálózati forgalom) engedik ki- és belépni, viszont a kevésbé jó szándékú látogatókat (rosszindulatú és jogosulatlan kapcsolatok) vagy egyáltalán be sem engedik, vagy a vezető (felhasználó) utasítására ugyan békén hagyják, de várják a további utasításokat arra az esetre, ha ismeretlen tevékenységet észlelnek (azonosíthatatlan látogatók).

A tűzfalat tekintjük az elsődleges védelmi vonalnak, hiszen már abban is segít, hogy a hálózati hozzáférés blokkolásával kiszűri az ismeretlen fenyegetéseket. A tűzfalak tulajdonképpen előfutárok a saját megközelítésükben - megakadályozzák az ismeretlen kapcsolatokat, megkérdezik a felhasználót, hogyan bánjanak ezekkel a kapcsolat- kezdeményezésekkel, és csak a felhasználó által biztonságosnak megadott kapcsolatoknak engedélyezik a hozzáférést. A hálózati hozzáférés blokkolásával a tűzfal a kártevők terjedésének útvonalát - az internetet - blokkolja. A jelenlegi fenyegetések legtöbbje - trójaiak, botnet-ek, férgek és egyéb kártevők - az internetet használja önmaga terjesztésére, valamint a személyes adatok ismeretlen egyének és szervezetek felé történő továbbítására.

A tűzfal el tudja rejteni egy számítógép megjelenését az interneten, így a hackerek nem tudják meghatározni és kihasználni annak a sebezhető gépnek a jelenlétét. Egyes fejlettebb tűzfalak magukban foglalják a már ismert támadások és behatolások listáját, automatikusan megakadályozva azok kapcsolódását. Használják még a belső hálózatokon keresztül történő adat forgalom ellenőrzésére is (az otthoni vagy irodai hálózatok esetében), hogy a küldött adat biztosan a címzetthez jusson, elhárítva így a belső törést.

A tűzfalak mindkét irányú forgalmat figyelemmel kísérik és ellenőrzik. A fogadott adatokat bejövő adatoknak hívjuk, míg a küldötteket kimenő adatoknak. Még ha a mai fenyegetések többségét a kifelé irányuló rés is alkotja, szükséges mindkét irányú mozgás figyelése. A legáltalánosabb tűzfalak, ahogy a Windows Vista és XP beépített tűzfalai is, alapértelmezésben nem ellenőrzik a kimenő forgalmat. Ezt a védelmet külön kell beállítanunk.

Eltérően más kártevővédelmi alkalmazásoktól, a tűzfalak nem aláírás-alapúak. Ezalatt azt értjük, hogy nincs szükségük ismert mintákra ahhoz, hogy azonosítsanak egy fenyegetést és blokkolják azt. Ehelyett megkérdezik a felhasználót, hogy egy szokatlan programnak engedélyezzék-e az internet hozzáférést vagy ne. A felhasználók számára ez a legbonyolultabb része a tűzfal kezelésének, hiszen a legtöbb ember - érthetően - nem rendelkezik egy szakember tudásával, amely szükséges lenne a döntés meghozásához. Nem jártasak a hálózatépítésben vagy az operációs rendszerek belső működésében, ezért nem tudnak tájékozott választ adni a tűzfal kérdésére.

A tűzfal tehát bizonyos tekintetben valóban csak akkor nyújt védelmet, ha a felhasználó képes megválaszolni ezeket a kérdéseket; abban az esetben, ha a felhasználó helytelenül vagy figyelmetlenül engedélyezi egy trójai bejutását, a tűzfal tulajdonképpen egyszerűen úgy viselkedik ezzel a rosszindulatú programmal, mint ahogy egy biztonságosnak minősített hozzáféréssel. Ennek a helyzetnek a feloldására törekedve a tűzfalak többsége ma már rendelkezik úgynevezett "fehér listával", amely az ismert alkalmazásokat és rendszerszolgáltatásokat tartalmazza. Ezek a felhasználó megkérdezése nélkül is engedélyezett hozzáféréssel rendelkeznek. Tovább segítve a felhasználókat az egyedi tevékenységek megértésben és a helyes döntés meghozásában, amikor egy új hozzáférési jogot állítanak be, néhány tűzfal tartalmaz már szöveg-érzékeny értesítést, és útmutatást ad a folyamatban.

A hálózati tevékenységek helyes kezelésének érdekében az internet által engedélyezett alkalmazások többségét nem tartalmazza a használt fehér lista, ezeket a kifinomult tűzfalakat (mint például az Outpost Firewall Pro-t és a ZoneAlarm Pro-t is) egy folyamatosan frissített online adatbázis támogatja, amely azokat az ismert veszélytelen és rosszindulatú programokat tartalmazza, amelyeket a felhasználók rendszeresen töltenek le, így csökkentve le azon kérdések számát, amelyek megválaszolása szükséges lenne a hatékony védelem eléréséhez. De természetesen egyik megoldás sem maradéktalanul tökéletes, ezért mindig marad egy pár egyedi kérdés, amelyre a felhasználónak magának kell válaszolnia.

Ahogy láttuk, a tűzfalak ritkán nevezhetőek világosan meghatározott forgalomszűrőknek. Több közülük már rendelkezik olyan kiegészítő funkcióval, mint a Host Intrusion Prevention systems (HIPS), hogy ellenőrizni tudják a helyi együttműködést és az alkalmazások működését, a szülői felügyelet sajátosságát, a biztonságos szörfözés ellenőrzését, haladó kapcsolatok ellenőrzését és naplózását, és más lehetőségeket, amelyekről a későbbi hírleveleinkben írunk bővebben.

Összegzés

Amit egy tűzfal tesz:

• Megvédi a belső hálózatot és az internetet a rosszindulatú vagy kéretlen tartalmaktól
• Blokkolja az ismert vagy külső támadásokat és megvédi a belső hálózat adatainak biztonságát
• Megakadályozza a rosszindulatú kód hozzáférését a hálózathoz, és a személyes adatok továbbítását
• A hálózati adatok szűrését a felhasználó által meghatározott osztályozási feltétel szerint teljesíti
• Elrejti a számítógép megjelenését az interneten, megvédve azt a sebezhető pontokat kereső hackerektől

 

Amire egy tűzfal nem képes:

• Eltávolítani a kártevőt, egy már fertőzött rendszerből
• Automatikus védelmet biztosítani az ismeretlen kapcsolatteremtő próbálkozások ellen, szükséges a felhasználó döntése

 

A tűzfalak lehetséges hátrányai:

• Mivel a tűzfal egy kölcsönösen kizárólagos eszköz, ezért egyidejűleg békésen kettő nem fér meg belőle ugyanazon a rendszeren. A tűzfalak alacsony szintű kommunikációt alkalmaznak, közvetlenül a hálózati hardverrel kommunikálnak, és csak egy fajta kommunikáció folyik egy időben
• A tűzfalak lassíthatják az adatforgalom sebességét és további processzor erőforrásokat is használhatnak, miközben a nagy mennyiségű elküldött adatforgalmat ellenőriznek
• A legtöbb tűzfal rendelkezik néhány további, másodlagos funkcióval, mint például a szülői felügyelet vagy a weboldalak taralom szűrése, amelyeknek az esetleges más biztonsági szoftverekkel való együttes használata hibás működést okozhat.

Tanulság

Mialatt ez a hírlevél egy tömör áttekintést nyújtott arról, hogy mi az, amit egy tűzfaltól várhatunk, mit nem, egyben rá is világított arra, hogy a tűzfal kötelező eleme egy számítógép biztonsági rendszerének.

Következő hírlevelünkben az antivírus szoftverek erősségeit és gyengeségeit elemezzük, de ha időközben kérdése lenne a biztonsági szoftverekkel kapcsolatban, ne tétovázzon kapcsolatba lépni velünk elérhetőségeinken keresztül, és mi mindent megteszünk, hogy segítsünk Önnek.