Domácí síťování a Firewall Zyxel USG20-VPN
i Zdroj: PCTuning.cz
Sítě a Internet Článek Domácí síťování a Firewall Zyxel USG20-VPN

Domácí síťování a Firewall Zyxel USG20-VPN | Kapitola 7

Petr Šaroun

Petr Šaroun

19. 11. 2019 16:00 54

Seznam kapitol

1. Firewall 2. Jak ZyXEL USG20-VPN vypadá? 3. Portál Zyxel 4. Základní nastavení
5. Konfigurace s VDSL modemem v Bridge 6. Ochrana sítě proti virům z webových stránek 7. ADP ochrana

Pokud chcete mít data v bezpečí, potřebujete dobrý firewall. Navíc se svět mění a tato potřeba se stává naléhavější. Zyxel USG20-VPN je cenově dostupné řešení ze světa skutečných firewallů. Pojďme se podívat, co takový firewall pro malé firmy a podnikatele nabízí navíc oproti běžným domácím firewallům.

Reklama

ADP ochrana

Další věc, kterou u dražšího zařízení očekáváme, je nějaká forma IDS nebo ADP. Tedy mechanismus, který odhalí průnik nebo ohrožení systému. ADP (Anomaly Detection Prevention - detekce anomálií a prevence).

Zjednodušeně: Pokud se někdo zkusí dobývat dovnitř, začni zahazovat všechen provoz z jeho IP adresy.

A jdeme to otestovat! Jdeme do ADP, zobrazíme si nastavení a ujistíme se, že je ADP zapnuté.

Kontrola zapnutého ADP
i Zdroj: PCTuning.cz
Kontrola zapnutého ADP

Teď zjistím vlastní veřejnou IP adresu, třeba z hlavní stránky konfigurace. Mimochodem, tady je vidět, že WAN rozhraní "nemá" adresu. IP adresu má až rozhraní, které vytočilo PPPoE spojení.

Veřejná IP adresa
i Zdroj: PCTuning.cz
Veřejná IP adresa

Pro jistotu provedu kontrolu, otevřu si v prohlížeči www.mojeip.cz a ujistím se, že adresy souhlasí.

Kontrola přes www.mojeip.cz
i Zdroj: PCTuning.cz
Kontrola přes www.mojeip.cz

Ať pustím kterýkoliv z Online scannerů portů, ADP je v celkem klidu. Firewall na vstupu zahodí všechny pokusy o průnik. Ostatně, IPv4 adresy v celém internetu bývají zkoušeny několikrát denně. Lovců je hodně.

Proto firewall dočasně vypnu a podívám se, co se objeví v logu:

Zablokovaná spojení
i Zdroj: PCTuning.cz
Zablokovaná spojení

ADP zablokovalo celou řadu pokusů o skenování portů. Totiž, útočí se právě na otevřené porty.

Testovací pravidlo jsem měl jednoduché: Pokud je zaznamenán pokus o scannování portů, odstav tuto IP adresu na dobu 600 vteřin.

Pravidla pro blokování
i Zdroj: PCTuning.cz
Pravidla pro blokování

Tady už vidíte rozdíl s ADP vypnutým (porty jsou otevřené) a zapnutým (porty jsou sice stále otevřené, ale útočník byl odstřižen, a proto se mu porty jeví jako zavřené).

Testování otevřených portů
i Zdroj: PCTuning.cz
Testování otevřených portů

Pokud útočník provádí skenování portů z jedné IP adresy, ADP ho brzy odstřihne, ale za pár minut to může zkusit zas. Ovšem profesionální hackerské syndikáty (což jsou poměrně velké firmy zaměřené na loupežničení peněz) použijí botnet, každý jeden zombie stroj otestuje jeden nebo dva porty a ADP s tím nic nenadělá.

Dobře nastavené ADP odradí asi polovinu čmuchalů a hodně robotů. Proto funguje. Zmíním, že zařízení uchovává celou řadu logů. Ty jsou ovšem bez dalšího rozboru jsou k ničemu a samozřejmě si je můžete nechat posílat e-mailem, nebo je nahrávat na logovací server.

Závěr

V domácí krabičce je zaškrtávátko „povolit Firewall“ a tři roky starý firmware, tady máte:

  • Pravidelné aktualizace firmware a odstranění bezpečnostních chyb.
  • Portál s možností hlídat stav, aniž by člověk někam chodil a připojoval se.
  • Nějaký typ systému IDS/ADP, který odhání nejdotěrnější hmyz.
  • Rozšířené funkce firewallu jako je blokování škodlivého obsahu.

Dnešní díl byl především na rozkoukání, už delší dobu jsem z domácího síťování nic nevydal. Zároveň do dalšího dílu potřebuji firewall, který opravdu funguje. Příště začneme s IPv6, testovat firewall, a to jak tento, tak i ten ve Windows.

Předchozí
Další
Reklama
Reklama

Komentáře

Nejsi přihlášený(á)

Pro psaní a hodnocení komentářů se prosím přihlas ke svému účtu nebo si jej vytvoř.

Rychlé přihlášení přes:

Google Seznam
Reklama
Reklama