Zabezpečení počítače - firewall a jeho nastavení | Kapitola 3

Instalace samotného firewalllu je otázkou několika minut, kliků na Next a nejspíš jednoho restartu systému. Většina firewallů si už během instalace uživatele oťukává a zjišťuje, jak se má vlastně chovat. Nejčastěji firewall funguje ve dvou režimech - jednak maximálně automatický režim, kdy se vše pokusí řešit sám a uživatele otravuje co nejméně. Druhý režim je manuální, kdy je od uživatele vyžadováno hodně laborování a nastavování, ale jen takto je možno nastavit firewall skutečně pořádně. Proto, pokud se váš firewall již při instalaci bude ptát co a jak, pokuste se mu naznačit že to zvládnete sami.

Poměrně užitečnou funkcí některých firewallů je již obsažená databáze rozšířených programů. V praxi si firewall po instalaci očmuchá váš systém a automaticky přiřadí sobě známým programům pravidla pro přístup k internetu nebo do místní sítě. Je jen na vás, zda toto využijete. Není to všespásná funkce, ale řekněme že pro začátek ji využijeme.

Po instalaci (a restartu) vás již nejspíše uvítá nějaké okno vypisující všechno možné, nebo nenápadná ikonka v System tray, která signalizuje že firewall běží. Toto ovšem je jen začátek, nyní vás čeká to nejdůležitější - samotné nastavení firewallu.

Zjednodušeně lze říct, že nastavování má dvě úrovně - systémovou a aplikační. Tyto hranice nejsou vždy nutně jasně dané, některé firewally je odlišují dost striktně, jiné míchají vše dohromady, a obojí je použitelné, ale přece jen je ideální nastavit si vše zvlášť. V základním nastavení jsou firewally většinou poměrně inteligentní, takže zde vás bude čekat jen minimum změn.

Pro fungování na internetu je naprosto zásadní věc nastavení DNS serveru. Jedná se o službu, která překládá jména jednotlivých serverů na IP adresy. Lze se bez toho obejít, ale já osobně si nedovedu představit že bych místo na https://pctuning.cz šel na http://88.86.110.124 - proto je nutné tuto službu nastavit. Máte dvě možnosti, ale v praxi se spokojíme jen s jednou. Je totiž možné přiřadit DNS pravidlo každému programu, který jej potřebuje, ale my nastavíme DNS globálně pro všechny programy.

i Zdroj: PCTuning.cz

DNS server poslouchá na portu UDP 53. Zde nastavíme firewall co možná nejstriktněji. Jiným způsobem by se musel vyřešit DNS server přes DHCP. Ale většinou je nastaven buď napevno nebo vůbec (ADSL), takže je možné použít následující postup. Podívejte se do nastavení vaší síťové karty, tam kde máte nastavenu IP adresu. Najdete tam i adresu DNS serveru, případně ještě druhého, záložního DNS serveru. Nyní je nutné nastavit pro DNS pravidlo. Způsob se liší firewall od firewallu, většinou již toto pravidlo najdete předpřipravené a jen jej upravíte, u některých firewallů bohužel toto přesněji nastavit nemůžete, takže se spolehněte na svůj vlastní rozum a buď toto pravidlo najdete nebo ne. Je třeba jej nastavit následovně:

DNS server poslouchá na portu 53 a to na konkrétní IP adrese, případně ještě na druhé IP adrese. Proto v pravidlu pro DNS serveru povolte v nastavení firewalllu odchozí komunikaci pro port 53 na vašem DNS serveru (serverech). Neřešte váš vlastní port, zajímá vás jen IP adresa DNS serveru a port na kterém poslouchá jeho DNS služba. Pokud ještě úplně nechápete, podívejte se na toto nastavení, snad to z něj bude zřejmější.

i Zdroj: PCTuning.cz

DNS servery jsou dole, většinou minimálně jeden.

CCCo se týká globálního nastavení, vše ostatní necháme tak jak je, většinou to je již od výrobce rozumně nastaveno. Ještě je možno nastavit ping tak aby vy jste mohli pingovat okolní počítače, ale vás nikdo pingnout nemohl, ale to už je celkem zbytečná úprava, nehledě k tomu že mnoho firewallů je takhle již nastaveno.

Druhou fází je nastavení jednotlivých programů, , kterým povolíte nebo zakážete přístup k vnější síti. Některé firewally, jak už jsem výše napsal, si základní nastavení udělají samy a většinu programů správně nastaví, ale u jiných budete odkázáni sami na sebe.

Kromě logicky odvoditelných programů jako internetový prohlížeč, FTP klient nebo messenger, je třeba ještě poladit systémové procesy, kde ne vždy jde dobře odhadnout, proč se ten který proces připojuje k internetu. Obzvláště vypečený a profláklý je svchost.exe, který slouží jako hostitelský proces pro více služeb. Osobně jsem problém s těmito procesy vyřešil jednoduše - pomocí learning módu jsem zjistil kam a proč se připojují, a nastavil je k jejich spokojenosti. Konkrétně svchost.exe si podle všeho vystačí s povoleným DNS připojením (tj. nastavení stejné jako u globálního DNS), a k tomu ještě HTTP a HTTPS připojení (tj. porty 80 a 443 TCP). Dalším procesem dožadujícím se připojení přes firewall, by mohl být rundll32.exe, který je zřejmě potřeba, pokud využíváte windowsí Sdílení připojení k internetu. Toto již bohužel musíte nastavit sami. Využijte přitom jednoduchého pravidla - když něco bude křičet, tak to zakažte (většina firewallů má speciální možnost pro jednorázové povolení a zakázání), a když zjistíte že něco nefunguje, tak to dodatečně povolte.

Nyní už jen běžné "uživatelské" programy. Většina z nich si vystačí s jedním portem jednoho protokolu, jen některé jsou trochu záludnější.

Asi nejvíc na ráně bude internetový prohlížeč. Nezáleží na tom, zda používáte Operu, Firefox nebo Internet Explorer, jejich nastavení je stejné. Browseru stačí povolit odchozí komunikaci na libovolnou adresu, na port TCP 80 a také TCP 443 (HTTPS, tedy zabezpečené HTTP). Pro některé situace se vyplatí povolit i TCP 21 (pokud třeba přímo v prohlížeči potřebujete stáhnout nějaký soubor přes FTP protokol), a pokud používáte proxy, ty jsou většinou na TCP 8080, 8081, 8083 nebo 8088 - nicméně toto bych nijak neřešil a nastavil až to bude potřeba. Pokud používáte samostatný FTP klient (třeba i Total Commander), stačí mu povolit TCP 21.

Další důležité nastavení je messenger. ICQ používá pro připojení port 5190, MSN 1863. Pokud využíváte IRC, za normálních okolností vám stačí povolit TCP 6667.

Pokud využíváte nějaký e-mailový klient (MS Outlook, Thunderbird, Opera M2), je taktéž nutné povolit mu správné porty. Zde je toho více - protokoly POP3, IMAP, SMTP, a jejich zabezpečené verze. Čili povolte TCP 110 (POP3) a 25 (SMTP). Pokud používáte IMAP, povolte TCP 143. V případě nutnosti použití zabezpečeného připojení je třeba nastavit zabezpečené verze, tj. TCP 995 (POP3S), TCP 465 (SSL SMTP) případně TCP 993 (SSL IMAP). Teoreticky by se outlooku mohlo hodit ještě povolené TCP 80 (HTTP) například pro RSS čtečku.

ToTo vše byly programy vyžadující víceméně jen nastavení odchozí komunikace (rozumějte - komunikaci zahajovaly vždy ony). Teď se podíváme na  nastavení něčeho složitějšího.

Typickým příkladem programů vyžadujících povolenou i příchozí komunikaci jsou P2P aplikace. Ukažme si to na příkladu torrentu, který potřebuje povoleny odchozí TCP i UDP (aby se mohl připojit k trackeru, přičemž ani zdaleka nejsou trackery jen způsobně na portu 80 - HTTP, takže to uděláme takto, a také aby se mohl připojit k ostatním klientům), ale je nutno také nastavit "aktivní režim". Předpokládejme, že máte nastaven natvrdo jeden port, na kterém klient torrentu poslouchá, a ten nyní nastavíme. Povolte příchozí komunikaci pouze pro tento (lokální) port. Protože nevíte, z jaké adresy a portu se k vám budou připojovat ostatní, o IP nebo port vzdáleného počítače se nestarejte a povolte vše.

Úplně stejně se nastavují i ostatní P2P, například DirectConnect klient. Je třeba si uvědomit, že P2P sítě komunikují ve dvou směrech. Jednak se vy připojujete k ostatním (na který port, to nevíte), a jednak se ostatní připojují k vám (a zde si to ohlídat můžete, každý P2P klient umožňuje nastavit na kterém portu poslouchá). Výsledné nastavení tedy bude :

1. povolit všechny odchozí TCP a UDP


2. povolit příchozí TCP a UDP na port nastavený v torrent klientu.

Pokud používáte nějaký druh vzdálené plochy, nebo třeba máte na svém počítači vlastní FTP nebo HTTP server, je třeba jim také povolit komunikaci, a v tomto případě bude stačit pouze příchozí komunikace (pamatujte, vy nebo kdosi jiný se připojuje a zahajuje komunikaci). Takže povolte jen takový port (nejspíš také TCP), který potřebujete, zbytek vás nezajímá.

Nyní máte nastaveno. Teď je nutné ověřit, zda jste nastavili vše správně, takže zkuste používat systém jako obvykle, a uvidíte, jestli nebude třeba ještě něco poladit. Tady vám opět pomůže learning mód, a pokud pořád tápete, můžete kouknout do logu firewallu, co je vlastně blokováno a proč, abyste to mohli napravit.