FIREWALL - základ bezpečnosti (díl 2/3)
V předchozím díle článku Firewall je základ, antivir je k ničemu!, jsem se věnoval především tomu, k čemu slouží sandbox a firewall, a proč je použití antiviru spíše dodáním falešného pocitu bezpečí, než skutečným řešením.
Obsah:
- Díl 1: firewall a sandbox versus antivirus. Doporučený setup.
- Díl 2: řešení bezpečnosti pro Windows.
- Díl 3: praktické příklady nastavení firewallu.
Cíl tohoto článku: vysvětlit pokročilé principy nastavení a fungování firewallu a sandboxu.
Teď trochu více teorie, mírně zaměřené na Tiny Personal Firewall (existují i jiná řešení, nicméně TPF je mocné, a to jako firewall + sandbox, jiná řešení obvykle kombinují 2 i více softwarových balíků, které se hůř ovládají a vyjdou Vás i dráž).
Nicméně, teorie bezpečnosti je pochopitelně platná i pro jiné kombinace, než TPF.
Firewall slouží jako "filtr", který určuje, jaké procesy mohou komunikovat s okolním světem, a na kterým portech se, případně, počítač okolnímu světu otevře a bude naslouchat.
Komunikace se v zásadě dělí na:
- Outbound - výstupní, někdy v nastavení firewallu označovaná jako Local, Trusted Zone, či Allow Access.
- Inbound - vstupní, někdy označovaná také jako Server, či Internet.
Jaký je v tom rozdíl?
- Outbound - označuje, že daný lokální proces, program, či služba může na specifikovaném portu zahájit odchozí komunikaci (iniciovat ji).
- Inbound - označuje, že daný lokální proces na daném portu "naslouchá", je připraven akceptovat zahájenou komunikaci s okolním světem.
Firewall = sada pravidel pro filtrování paketů
Firewall je potom založen na sadě pravidel, která specifikují, na kterým portech bude daná aplikace naslouchat, a na kterých je oprávněna zahájit komunikaci. Pravidla pro Inbound a Outbound komunikaci se navíc liší pro tzv. Trusted Zone (komunikace na lokální síti, případně i v rámci jednoho počítače) a Internet Zone (komunikace s okolním světem).
Například pro Vaši testovací instalaci Apache 2 serveru povolíte Inbound komunikaci z Trusted Zone (Vaše lokální síť, či jen Váš počítač), ale již nikoliv z Internet Zone (není to server v produkci).
Na standardním počítači, se standardní instalací Windows, nemáte příliš důvodu povolovat aplikacím Inbound komunikaci. Jak internetové prohlížeče, tak FTP klient, email klient, RSS čtečka, a další, si vystačí jen s komunikací, kterou iniciují oni, tedy s Outbound komunikací. Není důvod aby akceptovali komunikaci iniciovanou z internetu.
Jediné místo, kde je nutné povolit Inbound bývá P2P (peer-to-peer) klient, popřípadě komunikátory typu ICQ či Miranda IM, popřípadě lokální proxy pro filtrování obsahu (Proxomitron).
Používání proxy je vůbec dost diskutabilní otázkou bezpečnosti, proxy totiž z principu naslouchá veškeré Inbound komunikaci na portu 80, případně i dalších (21, 443), z Trusted Zone i Internet Zone, doporučeno je tedy spíše, pokud se bez ní obejdete, proxy nepoužívat.
Firewall a vytváření pravidel
Základním pravidlem pro vytvoření správných a bezpečných pravidel je, povolit portů a IP adres co možná nejméně, jen to, co je nezbytně nutné, pro fungování dané aplikace.
Dobrý postup je začít s vytvořením skupin dns, browser a skupiny email. Řešení pro DNS je několik, já obvykle IP adresu DNS serveru zahrnu, z pohodlnosti, do Trusted Zóny, takže není nutné explicitně přidávat veškeré programy do DNS skupiny, je ale teoreticky bezpečnější vytvořit si speciální pravidla pro DNS (IP spoofing).
Základní pravidla pro browser by měla umožňovat Outbound komunikaci na portu 21 (ftp), 80 (http) a 443 (https), Inbound zakázána.
Pro seznam nejčastěji používaných portů doporučuji například governmentsecurity.org.
Pro email klienta by jste vytvořili skupinu s povolenými Outbound porty 25 (smtp, vhodné je i omezení IP adresy například na smtp.email.cz), a 110 (pop3, opět, můžete omezit i IP adresu například na pop3.email.cz, a neotevírat celé pásmo).
Obecně, zkuste definovat pravidla co nejstriktnější, pokud nějaká aplikace přestane fungovat, pravidla zmírněte. Takový Firefox a Internet Explorer poté zařadíte do skupiny browser, Operu navíc i do skupiny email (má v sobě M2, emailového klienta).
Zneužití IE a OE
Mimořádně vhodné je rovněž definovat sadu pravidel pro Internet Explorer, a povolit jen odchozí komunikaci na www.windowsupdate.com, a Outlook Express a Outlook (Office) zakázat úplně. Většina makro-virů a ActiveX nástrah využívá právě tyto 2 programy a bezpečnostní díry v nich.
Další pravidla
Firewall funguje následně tak, že veškeré procesy a komunikace, které nejsou explicitně povoleny, buď zakáže, nebo se Vás dotáže, zda je chcete povolit (toto chování, Ignore, Deny, Ask je možné v pravidlech nastavit).
Jako poslední pravidlo je vhodné vytvořit obecné pravidlo v nejnižší úrovni III., které zakáže veškerou Inbound a Outbound komunikaci, pravidla uvedená v úrovních I. a II. mají přednost (TPF podporuje 3 úrovně). Tak dosáhnete toho, že systém bude propouštět jen povolené procesy z úrovní I. a II.
NetBIOS a ICMP
Speciálně bych upozornil na porty 135-139, na kterých operuje Microsoftí NetBIOS. Řada napadení Windows zneužívá právě standardně povolený NetBIOS pro získání přístupu k počítači. Na domácím počítači nemá NetBIOS co dělat. Maximálně snad na lokální síti.
Poslední věcí bývá zakázání echo na ICMP (ping) pakety, a nastavení "stealh" režimu firewallu, firewall tak nebude odpovídat na žádné requesty, případnému útočníkovi se tak bude zdát, že zkoumaná IP adresa neexistuje a bude se raději zabývat IP adresou jinou...
Interní procesy Windows
Dalším krokem je zakázat veškeré služby Windows, které nepotřebujete, jak jsem již psal dříve, a to zejména:
- Automatická konfigurace WiFi - nechcete přece, aby se někdo do Vašeho notebooku naboural v internetové kavárně, že?
- ICF (firewall ve Windows) - používáte něco lepšího, ne?
- NetBIOS (port 135) nad TCP/IP - absolutně nutné zakázat, většina hackerů skenuje hromadně právě porty 135-139.
- NetMeeting (sdílení plochy) - v drtivé většině nepotřebujete, aby se někdo připojil na Váš desktop.
- Prohledávání počítačů - zpomaluje chod Windows, postačí ruční mapování.
- Protokol SSDP - protokol, který nepoužívá žádná rozumná aplikace.
- Systém událostí modelu COM+ - API, které nepoužívá žádná rozumná aplikace..
- Telnet - opět, ve Windows nemá smysl.
- Terminálové služba - ve Windows nemá smysl.
- Vzdálený registr - chcete aby se někdo napojoval na Váš registr? Vzdáleně?
- Webový klient - nepotřebujete.
- Zařízení UpnP - protokol, který nepoužívá žádná rozumná aplikace..
Sandbox
Následně je nutné přistoupit ke konfiguraci sandboxu, tedy té části TPF, která se stará o autorizaci procesů.
Představte si následující scénář:
Stáhnete si z www.bestwarez.com nějaký software. V klidu si jej nainstalujete. Spokojeně jej 3 měsíce používáte a napíšete v něm i jednu klíčovou prezentaci. Nicméně, nějak se stane, že Vaše konkurence se k této prezentaci dostane a nabídne klientovi o 10% nižší cenu, o 50% lepší garance, a o 20% kratší termíny. Jak je to možné?
Jednou z možností je, že se Vám s Vaším ukradeným softwarem do počítače dostal i Trojan. Trojan, který používá, například, "application hijacking" na to, aby legitimně, a pro Vás nepozorovaně, komunikoval s Internetem.
Jak tomu zabrání sandbox?
- Nedovolí vytvořit nový EXE, DLL, VXD a další soubor bez Vašeho vědomí.
- Nedovolí spustit EXE soubor, který není autorizován.
- Autorizace může být trvalá, není vhodné autorizovat každé jednotlivé spuštění, v tomto případě je spočítán MD5 hash-key souboru, a v případě jeho napadaní virem, tudíž změny souboru, je autorizace odmítnuta. Pro pár programů, které zapisují do svého těla, můžete povolit autorizaci jen na základě jména souboru a PATH.
- Nedovolí neschválený zápis do systémových souborů.
- Nedovolí neschválený zápis do registrů.
- Nedovolí neschválené použité OLE, DDE, COM+ mechanismu.
- Nedovolí "application hijacking", tedy přístup neautorizované aplikace ke komunikace formou přístupu přes aplikaci autorizovanou (nejčastěji Internet Explorer či Outlook)
Závěrem dílu 2/4 přeji příjemné nastavování a přidávám jednu dobrou radu - než uděláte jakékoliv změny pravidel, zastavíte services, atd., udělejte si zálohu, popřípadě si aspoň na kus papíru napište, co jste měnili. Ušetří Vám to pár bezesných nocí ;)
Příště se budu věnovat praktickým nastavením firewallu a sandboxu, na konkrétních příkladech pro Windows i Linux.
Ty Radku, jestli máš pravdu s tím, že antiviry jsou k ničemu, tak proč je tolik firem se tím zabývajících? Že by parazitování na neznalosti?
Zajímalo by mě, jak se díváš na firewall ve Windows XP. Já ho beru jako nespolehlivý, ale s SP2 se to snad zlepší, ale asi ne rapidně.
[1] antiviry jsou (skoro) k ničemu, tedy, pro pokročilého uživatele. Ta zakázka na 500.000 počítačů US Air Force je vázána na Centrally Managed Systems, veškeré procesy se spravují centrálně, ale zkus si představit, že do této konfigurace, co popisuji, se pustí normální BFU... Jak to dopadne? Jeho systém bude totálně špatně konfigorován, dotazy systému na spouštění procesů jej budou obtěžovat, takže je raději vypne, nebo firewall odinstaluje.
TPF je řešení pro pokročilé uživatele, a těch je málo, tak 1-5%...
Zbytek má problémy i s tím primitivním antivirem.
To ale neznamená, že když je pro BFU antivir tak akorát, že je to DOBŘE. Každý nemůže jezdit v Mercedesu ;)
Antivir poznává jen několik málo známých typů nákaz, kdežto sandbox je prevence pro libovolnou nákazu. Ale... musí se tomu rozumět :(
[1] většina masově prodávaného software MUSÍ být psána tak, aby tomu nebylo nutné rozumět... Masy nechtějí moc myslet..
no, tak vcera nainstalovany trial NOD mi nasel trojany. AVG si ani nehrablo, dale bez komantare.
Ale jedna otazka: Jak je resena "centralni sprava" TPF? Jde mi o to, ze pocitac pouziva nekolik uzivatelu s vlastnim kontem. Ted tam mam ZoneAlarm a uz se mi nekolikrat stalo, ze BFU povolil pristup urciteho programu na net, protoze bud to byl novy program, nebo zmeneny program. Takze, da se zakazat autorizace procesu pro ostatni konta? (Win XP)
[4] no, tak vcera nainstalovany trial NOD mi nasel trojany. AVG si ani nehrablo, dale bez komantare -- ne nadarmo, je slovenský NOD32 hodnocen jako nejlepsi na svete :!:
No, ZoneAlarm jsem taky testoval a tam se da nastavit heslo spravce... Ale ZA nema sandbox, coz mimo jine to, co brani BFU spoustet na pocitaci soubory typu super-zabava.exe, ktere jim prijdou emailem od jejich podobne omezenych kolegu...
Ale jinak TPF muze mit zcela oddelene konfigurace pro vice uzivatelu, vice kont, vcetne prav na to, co mohou delat. Navic, konfigurace je XML soubor, takze pri re-instalaci, ci jinem pocitaci jej staci prekopirovat...
No, cely mi to prijde jako reklamni clanek.
Pokud chcete o necem psat, takto napiste trochu objektivne a normalne.
Hlasky typu antiviry jsou na ho... a jedine TPF vas ochrani mi prijde trochu mimo.
Myslim, ze bezpecnosti se da dobre dosahnout i s free produkty a bez nutnosti platit za TPF!!
Pokud vim, tak SandBox pouziva napr. i Norman Antivirus.
Jaky je v nich rozdil nevim, o sandbox sem se nazajimal.
A antiviry tu maj urcite svoje misto.
[6] no vždyť toto ale je objektivní, alespoň z mého pohledu... Co konkrétně se Vám nezdá na závěru, že antivirus je ŘÁDOVĚ horší řešení než sandbox a firewall?
A pokud znáte dobrý open-source sandbox, sem s ním, TPF je za pár korun...
Já osobně lepší řešení neznám... Vy ano?
Me to tak vyznelo, ale asi zalezi jak komu pripada. Spis na me tak pusobil ten predchozi clanek, ale napsal sem to sem.
Netvrdim, co je lepsi. Jak sem psal, o sandbox jsem se jeste nezajimal tak to nebudu posuzovat, zatim. Jako zaver by mohlo byt, ze sandbox+firewall je lepsi jak AV+firewall, ale mohlo by se dodat, ze i druhou konfiguraci lze dosahnout vysoke bezpecnosti, pokud se dodrzuji urcite zasady. A co treba Norman antivirus, ktery ma sandbox + firewall?
Myslim, ze napr. na mail serverech sandbox asi ne, i kdzy clovek nikdz nevi. :D
Ono, zadna technologie neni samospasitelna a 100%. Pokud bude uzivatel hovado, tak mu nepumuze ani sandbox. [7]
Radku, potřeboval bych nutně poradit, kde v TPF 5.5 zavřu určitý port, jde mi konkrétně o port 1025. Nevím, z jakého důvodu je tento port stále otevřený, když ostatní jsou skryté nabo zavřené. Potvrzuje to GRC.COM i AUDITMYPC.COM. Díky moc za odpověď.
[9] no, podle mě, by mělo stačit toto, ale chce se to podívat, zda to neotevíráš jiným pravidlem:
"tcp,inbound,1025",
ip="*",
app="*",
zone="*",
assignment="$ All(*)",
prevent,
monitor
a samozřejmě, udělat to samé i pro UDP, a případně i pro System, nejen pro All
dobrá věc je taky podívat se na Activity Monitor (amon), popřípadě si stáhnout TCPView ze http://www.sysinternals.com/ a podívat se, která aplikace ten port otevírá..
Aha, otvírá ho svchost.exe protokol UDP a status LISTENING. Přitom na jiných portech má svchost.exe taky LISTENING, ale nejsou otevřené.
Tak jsem zkoušel všechno možné, ale pořád je 1025 vidět, v původním Sygate bylo vše skryté. Asi se k němu budu muset vrátit,bohužel. Jo a je to UDP/TCP svchost.exe listening.
[13] Sygate je úplně někde jinde... Z vlastních zkušeností, já jsem chtěl TPF po týdnu zahodit, opravdu, ale... protože jsem je neuměl. Nerozuměl jsem tomu. Ale až člověk pochopí co a jak nastavit, tak... NENÍ lepší produkt.
Doporučuji zeptat se na:
http://www.tinysoftware.com...
A případně tam hledat ;)
Ještě teda vydržím a budu zkoušet, případně, jestli mi nepomůže další část Tvého návodu.
Ahoj Radku, tak jsem to "částečně" vyřešil- po dalších čtyřech hodinách. Pomohla primitivní věc - úplně se stydím,po těch tisících věcech co jsem na PC řešil ať se softem,tak s hardwarem-naposled nekompatibilita P4 3.2EE s určitou GeForceFX5950 - a totiž přesunutí LAN připojení na net do DANGEROUS zóny(ať žije kolejní 100Mb připojení na net). Tím "částečně" myslím, že GRC i AUDITMYPC hlásí všechny porty jako skryté i ten 1025, ale problém je s programem NMapWin, který pořád vidí 135 a 1025 jako OPEN. Ale možná jen proto, že ho spouštím od sebe, v normálnější dobu požádám kámoše,ať mě testnou. Ale TPF ZŮSTÁVÁ ! :D
[16] Nemam TPF, takze nevim jaky to ma obecny nastaveni.
Port 135 otevira sluzba DCOM, ktera normalne neni treba. Utilitou z
http://grc.com/dcom/intro.htm ji muzes deaktivovat.
A ted k tomu UDP a portu 1025. Podle me tento port otevira svchost jako DNS sluzba. Tim padem predpokladam, ze je v TPF nejaky defaultni pravidlo na DNS. Deaktivuj ho a nastav si toto DNS pravidlo.
aplikace: Generic host process (tj. svchost.exe),
obousmerny provoz pro UDP (inbound+outbound) na vzdaleny port 53 a zadej IP adresu DNS serveru.
[17] Díky za radu, už jsem to s tím svchost.exe vyřešil, jen mě teď trochu zlobí Miranda. Jednak se hlásí na vzd.port 5190(aol) jako outbond-to je ale v klidu. Ale ještě otvírá jeden další port-většinou různé, kde má listening a tento port je jako open. Stejným zpúsobem jako svchost se mi to nepodařilo vyřešit, ani nastavením pravidla pro miranda.exe a rozsahem adres all. Taky nevím jestli nejde nastavit na konkrétním portu režim STEALTH, vím jen NETWORK SECURITY->OPTIONS->STEALTH MODE - enable, ale to jak vidět neskrývá vše.
[18] Miranda se prihlasuje na server a to na port 5190. Pro komunikaci otevira listening porty. Ty lze v nastaveni Mirandy definovat na urcitej rozsah a pak je povolit (na TPF) jen pro mirandu.
Pokud zakazes tyto porty, tak bude komunikace fungovat pres server, ale nebude fungovat napr. prenos souboru, protoze se navazuje prime spojeni a k tomu potrebujes tyto listening porty. V mirande jde myslim i nastavit omezeni, aby se pouzivala prima komunikace jen pro lidi z kontakt listu.
[19] Jo jo, díky, už jsem si s tím v noci pohrával a vyřešil. Ale fakt díky za radu. :D :P :wink:
[20] třetí díl seriálu bude v úterý :idea:
Mno...
A nejlepší je "belt and braces" kombinace antiviru, Spyware removeru a firewallu. Ale není to (zatím pořád ještě) pro BFU, protože to chce, aby uživatel u klikání myší taky myslel...
[23] Cau Radku, az do vcerejska jsem mel AVG 7, Ad-aware 6 professional, Kerio Personal Firewall 4 a nejaky programy na hlidani a odstraneni trojskych koni (Anti-trojan shield,atp.)a naivne jsem si myslel, ze jsem na internetu chranenej. Po precteni tve sranky jsem si pocitac prizpusobil jak pises, akorat mi dela problemy nastavit TPF, zaradil bych se do skupiny pokrocily amater a proto bych te chtel poprosit, jestli by si nenapsal navod jak ho prizpusobit, abych se v tom vyznal i ja. Diky moc!
[23] zítra vyjde díl 3/4 :)
Nějak nemůžu najít tyto služby Windows k zakázání. Prohledávání počítačů a Zařízení UpnP- pod jakým názvem se to přesně nachází a nebo že by mi to tam Bill zapomenul dát. 8)
[25] no, stačí do Start / Spustit... zadat text services.msc, samozřejmě ale na Win2K, XP, 2k3, ne na pohrobcích DOSu typu Win95/95/Me
Tam jsem byl všecno zakázal ale tyto dvě položky nenašel.Bud' jsem slepej nebo to má název kterej jsem nepoznal.Mám xp. Dík Josef
[27] celý název je Hostitel zařízení UPnP a Prohledávání počítačů
Tak Hostitele zařízeníUPnP máme.Ale Prohledávání počítačů jsem tam nenašel je to hezky abecedně seřazený ale Prohledávání,tak tam nic nezačíná.
[29] Tak to jsi asi opravdu slepej nebo máš nějaký divný WIN. Je to přesně tak, jak Radek napsal: PROHLEDÁVÁNÍ POČÍTAČŮ, popis: Udržuje aktualizovaný seznam počítačů v síti a poskytuje seznam ...
poprosil bych o specifikaci témat pro 4 díl seriálu:
http://myego.cz/item...
Děkuji :)
Je to pravda, s netbiosem a svchost mám dost špatné zkušenosti. Používám free Agnitum Outpost Firewall a pokud je updatovaný, nejsou větší potíže..
Lidi potreboval bych radu s tema services..., ale trochu jinak, mam tam polozku VNCserver (to je tady na brigade-asi aby me mohli kontrolovat ;-). VNC samozrejme znam, ale zajimalo by me jak se tam daj ty procesy pridavat. Doma si totiz musim VNCserver narvat po spusteni a pak je v systray, jestli sem to dobre pochopil tak v services se to da defaultne spustit...a je to taky spusteni hidden...
Jsem v tomhle oboru docela začátečníkem. Ale i jako začátečník poznám, že TPF je zřejmě velmi kvalitní Firewall.
Mám, ale docela problémy s nastavováním.
Například Trillian (ICQ klient) se mi nechce z nějakého důvodu připojit. Vytvořil jsem si na Messengery stejné nastaveni jako je uvedeno zde, ale stale je to stejne. V Activity History byl jako module uveden Windows Security.
Diky za odpoved.
[6] Bekdy se holt stane, ze nejlepsi program, ktery ma resit urcity pozadavek je zrovna komercni...
Freeware neni spatna vec, ale az prijde na lamani chleba, tak i kdyz se vam podari kontaktovat autora, odpovi "ze se ho to netyka, co byste chteli zadarmo?". Freeware nezarucuje zadnou podporu a tudiz jeho i momentalni spolehlivost nedovoli rozumnemu adminovi na freeware spolehat jako na stabilni reseni...
Generic Host Proces for WIN 32 services
Prosim te muzes mi poradit proc se mi zobrazuje tato hlaska --Generic Host Proces for WIN 32 services-- pri nove instalaci W XP na novy Notes.
Cim je to zpusobena a jak to odstranim.
Velmi ti dekuji a preji hezky den.
S pozdravem
Petr Novak
Novak1234@volny.cz
[36] na toto bych taky rád znal odpověd, už se ti někdo ozval čim to bude?????
Ked sa vypne service Windows Firewall/Internet Connection Sharing (ICS) zapisuje sa do event logu chybova hlaska. Tento bug sa da eliminovat hotfixom KB889320.
Popis
Hotfix
můžete mi poradit, jaký firewall mám nainstalovat do WIN 98 SE? Kerio tam nedostanu. Dík
Taky by mě zajímalo co použít u W 98 SE, už 2 dny si tím lámu hlavu, odpoví nám tu prosím někdo, díky za oba stejné dotazy...