Domácí síťování a Firewall Zyxel USG20-VPN
i Zdroj: PCTuning.cz
Sítě a Internet Článek Domácí síťování a Firewall Zyxel USG20-VPN

Domácí síťování a Firewall Zyxel USG20-VPN | Kapitola 6

Petr Šaroun

Petr Šaroun

19. 11. 2019 16:00 54

Seznam kapitol

1. Firewall 2. Jak ZyXEL USG20-VPN vypadá? 3. Portál Zyxel 4. Základní nastavení
5. Konfigurace s VDSL modemem v Bridge 6. Ochrana sítě proti virům z webových stránek 7. ADP ochrana

Pokud chcete mít data v bezpečí, potřebujete dobrý firewall. Navíc se svět mění a tato potřeba se stává naléhavější. Zyxel USG20-VPN je cenově dostupné řešení ze světa skutečných firewallů. Pojďme se podívat, co takový firewall pro malé firmy a podnikatele nabízí navíc oproti běžným domácím firewallům.

Reklama

Ochrana sítě proti virům z webových stránek

Než se dostaneme dál, zastavíme se u ochrany sítě. Některé statistiky tvrdí, že většina bezpečnostních incidentů přichází z webu. Nemá cenu diskutovat nad procenty, přijměme to jako fakt. Zavirované webové stránky jsou hlavní hrozba. A je jedno, jestli se jedná o zavirované doplňky prohlížeče nebo viry.

Jak fungují piráti? Buď zavirují cizí webovou stránku, nebo vám zavirovanou stránku podstrčí "ošklivá" reklamní služba. Chtějí, abyste si škodlivý doplněk/software nainstalovali sami ("ano" odvirujte mi počítač) nebo se díky bezpečností chybě nainstaluje sám. Pak vám prošmejdí disk, pokusí se ukrást zajímavé přístupové údaje a prodají vás na trhu s otroky další skupině. Váš nový pán vám zkusí ukrást peníze, těžit u vás kryptoměny nebo vám alespoň začne zobrazovat vlastní reklamy, ostatně za vás zaplatil, chce vydělat!

A jak fungují filtry stránek? Základem jsou databáze zavirovaných stránek. Pár odkazů je třeba zde. Obecně, při přístupu na každou webovou stránku se kontroluje, jestli není uvedená na takovém seznamu.

Do prohlížeče zadáme stránku http://zavirovanástránka.vir a budeme čekat, co se stane. Že to neděláte? To nevadí, stránky typu "SeriályZadarmikoOd.Pepíka" nebo "ŠmírováníSousedkyPo.rno" to udělají za vás. Mimo to, mnoho virů(!) dostává pravidelné aktualizace, proto se postupně šance na úspěšné zavirování zvyšuje.

Aby virus fungoval a mohl vám nakazit počítač, nesmí dojít k:

  • Zablokování stránky na firewallu
  • Zablokování stránky antivirem
  • Zablokování prohlížečem (Chrome)
  • Zranitelnost nesmí selhat

A začneme pěkně odspodu, tedy zranitelnost nesmí selhat. Útok se musí provést. To se daří, proto je zavirovaných stránek hodně. Navíc se spousta lidí toulá po internetu s mobilem, který dva roky nedostal aktualizaci, a navíc na vyvíjení virů pracují celé profesionální skupiny. Ostatně, slušně to vynáší!

Chrome toho dřív dost vychytal, ale teď možná trochu polevuje.

Stránka zablokovaná Chrome
i Zdroj: PCTuning.cz
Stránka zablokovaná Chrome

Legenda praví, že důvodem je naříkání organizací, které blokování zavirovaných stránek považují za cenzuru. Ano, jsou tu lidi, kteří věří, že je země placatá. Že muž s pindíkem je žena (pokud na tom trvá). Že očkování přináší ještěři z pekel. Že pětatřicetiletý Afgánec je třináctileté dítě, když to tvrdí. Že si žena může za znásilnění sama, když je v jedenáct večer venku. Že politické strany, co tu třicet let kradly, najednou přestanou.

Aktualizovaný Chrome je o poznání bezpečnější, ale pokud se ukliknete a někde dáte "ano" pro instalaci doplňku, mají cestu otevřenou. Doplněk sám o sobě nemusí být zavirovaný, stačí ho napsat tak, aby prošel bezpečnostní kontrolou, a přitom byl zranitelný. Uměle vytvořit bezpečnostní chybu je lehčí než hledat cizí.

Zachycení Antivirem

Ohledně antiviru mám dobré zkušenosti s Kasperským. Doporučuji základní verzi, která obsahuje antivirus a webovou ochranu za 369,- Kč. V testech dopadá dobře a za tři stovky ročně to není špatný produkt.

Takhle vypadá zablokovaná stránka:

Stránka zablokovaná antivirem
i Zdroj: PCTuning.cz
Stránka zablokovaná antivirem

A takhle blokuje zavirovaná vyskakovací okna:

Stránka zablokovaná antivirem
i Zdroj: PCTuning.cz
Stránka zablokovaná antivirem

Filtr obsahu na firewallu toho pustí celkem dost, Kaspersky je obecně nejpřísnější. Přesto, licence antiviru občas vyprší a Filtr obsahu na firewallu chrání úplně všechna zařízení připojená do sítě.

Filtr obsahu na firewallu

Z hlediska bezpečnosti je nejvýhodnější, aby se zavirované stránky vůbec nedostaly přes firewall. Filtrování obsahu je běžná schopnost firemních firewallů, ty domácí to vesměs neumí. Obecně žádná ochrana není stoprocentní, ale čím méně hrozeb se do počítače dostane, tím lépe.

Pokud mám porovnat filtr obsahu a to, co zachytí Kaspersky, Kaspersky vyhrává, ale je tu to ale. Antivirus může selhat, navíc nechrání zařízení, kde není nainstalovaný a obvykle ani mobilní telefony.

Pokud mám zaplacenou licenci, nastavím si, na kterých portech se provádí filtrování (80,443...) a hlášení, které se má zobrazit při přístupu na napadenou webovou stránku.

Zapnutí filtru obsahu
i Zdroj: PCTuning.cz
Zapnutí filtru obsahu

Ve vlastnostech filtru se pak nastaví, co všechno chci blokovat:

Nastavení filtru obsahu
i Zdroj: PCTuning.cz
Nastavení filtru obsahu

A stránky jsou zablokovány:

Zablokovaná stránka
i Zdroj: PCTuning.cz
Zablokovaná stránka

Na vašem uvážení je, jestli budete zablokování stránek logovat. Občas je blokovaná stránka i z ČR. Už dvakrát jsem dohledával, proč byla stránka zablokována a nutno říct, že pokaždé byla zablokována oprávněně.

Log obsahuje informaci o zablokování stránek
i Zdroj: PCTuning.cz
Log obsahuje informaci o zablokování stránek

Bohužel, starší verze filtru měla problémy s HTTPS, tedy s provozem na portu 443, což je problém, většina provozu dnes jede přes HTTPS a novou verzi Content Filtru ještě nemám k dispozici. Nicméně, nová verze filtru nazvaná (Content Filtering 2.0) to má v přímo v popisu (filtrování HTTPS).

Tipy na zavirované stránky naleznete třeba zde.

Předchozí
Další
Reklama
Reklama

Komentáře naleznete na konci poslední kapitoly.

Reklama
Reklama