W sieci można spotkać się z opinią, że jeśli niezabezpieczony komputer z systemem Windows podepniemy do Internetu, to w ciągu kilku minut zostanie zainfekowany. Czy to prawda?
Niezaprzeczalnym faktem jest to, że ze względu na swoją popularność, systemy z Redmond są bardzo częstym celem ataków. Zagrożenie stanowią wirusy i trojany dostarczane za pośrednictwem poczty e-mail lub przez zainfekowane strony internetowe. Niebezpieczne są też robaki sieciowe - oprogramowanie, które posiada zdolność samoreplikacji i rozpowszechnia się. Jeśli w zaatakowanej sieci znajduje się niezabezpieczony komputer, zostanie on zainfekowany.
Dobrym przykładem takiego robaka jest Slammer, który uaktywnił się pod koniec stycznia 2003 roku i zaatakował serwery zawierające bazę danych Microsoft SQL Server. W przeciągu krótkiego czasu doprowadził do paraliżu internetu powodując wyłączenie części stron, a także przeciążenie kilku głównych serwerów DNS (tak zwane root DNS servers - jest ich w sumie trzynaście i bez nich Internet praktycznie nie funkcjonuje).
Jak się zabezpieczyć?
W odpowiedzi na liczne zagrożenia płynące z sieci, powstało oprogramowanie, które ma na celu zabezpieczenie komputera:
- Programy antywirusowe, które reagują na bieżąco gdy uruchamiana przez użytkownika aplikacja próbuje wykonać podejrzane operacje w systemie.
- Firewalle, które filtrują ruch pomiędzy komputerem a siecią i blokują niepożądane połączenia. Obecnie dostępne programy bardzo często łączą w sobie obie takie funkcje i kompleksowo zabezpieczają nasz komputer.
Spora część tego typu oprogramowania jest dostępna bezpłatnie, o ile będziemy je wykorzystywać niekomercyjnie na własne potrzeby. Za darmo możemy pobrać i zainstalować np. Avast Home Edition, Outpost Firewall, ZoneAlarm czy Sygate Personal Firewall.
Na co zwrócić uwagę podczas wyboru firewalla
Na początek, istotnym jest to, że wszystkie "nowoczesne" systemy operacyjne (Windows XP SP3, Vista SP1) posiadają wbudowany firewall. Nie jest to tak wyszukany mechanizm, jak to bywa w przypadku programów firm trzecich, ale ważne jest to, że nawet na wejściu nie jesteśmy zupełnie bez ochrony. Niestety, jej jakość pozostawia wiele do życzenia.
Bardzo istotne jest to, aby stosowany przez nas firewall posiadał możliwość filtrowania ruchu w obie strony - zarówno to, co przychodzi z sieci do lokalnego komputera jak też i to co lokalny komputer wysyła do sieci. Jeżeli inne zabezpieczenia zawiodą i system zostanie zainfekowany np. trojanem, to przy dobrze skonfigurowanym firewallu takiemu trojanowi nie uda się wysłać żadnych danych do sieci. Nie staniemy się w efekcie elementem botnetu, nasze hasła, dane, numery kart kredytowych będą bezpieczne.
Powinniśmy też zwrócić uwagę na to, czy dany firewall umożliwia filtrowanie na poziomie aplikacji. Chodzi o to, aby była możliwość blokowania połączeń dla danej aplikacji - np. dla przeglądarki internetowej możemy chcieć zablokować możliwość odbierania połączeń, a także nawiązywania ich na porty inne niż 80, 8080, 443. Zazwyczaj ruch jest domyślnie blokowany dla wszystkich programów, z pominięciem tych, w przypadku których sami wyraziliśmy zgodę na nawiązanie połączenia. W sytuacji gdy jakiś program próbuje nawiązać połączenie z Internetem, firewall wyświetla monit informujący o takim zdarzeniu, do użytkownika zaś należy decyzja czy zezwolić na połączenie. Dzięki temu na bieżąco możemy kontrolować sytuację i reagować gdy zauważymy coś niepokojącego.
Kolejną kwestią, na jaką powinniśmy zwrócić uwagę jest domyślna konfiguracja firewalla. Teoretycznie powinno to wyglądać tak, że domyślnie blokowany jest cały ruch. Niestety, w praktyce bywa różnie. Najlepszym przykładem jest firewall systemu Microsoft Vista - teoretycznie posiada on możliwość blokowania połączeń wychodzących, jednak domyślnie cały ruch do sieci jest dozwolony.
Postępowanie w przypadku włamania
Firewall wyświetla alarmujące komunikaty, ktoś szykuje się do włamania na nasz komputer. Co w takiej sytuacji należy zrobić?
Po pierwsze, nie panikować. Bardzo często okazuje się, że jest to tylko fałszywy alarm. Istniejące na rynku aplikacje bywają przewrażliwione i zgłaszają nawet błahe incydenty.
Należy zorientować się, jaki rodzaj zagrożenia został zidentyfikowany. Czy jest to jakaś nieznana aplikacja, która próbuje połączyć się z siecią? Jeśli tak, należy dokładnie sprawdzić co to za aplikacja i w jakim celu próbuje uzyskać dostęp do internetu. Istnieje niebezpieczeństwo, że nasz komputer został zainfekowany przez trojana, który teraz "dzwoni do domu".
Jeśli zagrożenie zostało zdefiniowane jako przychodzące z zewnątrz, trzeba dokonać analizy. Czy jest to pojedynczy pakiet na pojedynczy port? Cała seria połączeń na różne porty? Na jakie? Czy są to porty na których nasłuchują jakieś znane usługi? Czy adres IP, z którego są nadawane pakiety ma jakiś związek z serwerami, z których ostatnio korzystaliśmy?
Z praktyki wiemy, że bardzo często okazuje się, że firewall reaguje nadpobudliwie na zwyczajny ruch - pakiety ICMP echo request, ruch z serwera WWW, który właśnie odwiedzamy w przeglądarce. Czasami firewall nie radzi sobie z analizą połączeń jakie nawiązujemy, przez co błędnie zgłasza wystąpienie alertu. Zdarza się to np. podczas nawiązywania aktywnego połączenia FTP - jeśli odpowiedź serwera potraktowana zostanie jako osobne połączenie, zgłoszona zostanie próba włamania.
Zdarza się też, że zgłoszenie alarmu faktycznie jest na miejscu, natomiast przyczyna nie leży tam, gdzie wskazuje firewall - przykładową taką sytuacją jest błąd routera rozdzielającego internet w sieci lokalnej. Komputery A i B znajdują się za NATem. Pakiety, które powinny iść do komputera A przez błąd routera trafiają do komputera B. Firewall na komputerze B zgłasza próbę włamania z serwera.
Dopiero po przeanalizowaniu dostępnych danych można ustalić, czy faktycznie istnieje jakieś zagrożenie i czy należy podjąć dalsze działania.
Działania te zazwyczaj sprowadzają się do kontaktu z abuse organizacji, do której należy adres IP próbujący połączyć się z naszym komputerem. Konieczne będzie udostępnienie dokładnych logów dotyczących incydentu - ważne aby nasz firewall takie logi generował. Trzeba pamiętać, że odbiorca naszego maila może zarządzać setkami tysięcy adresów IP (z czego część może należeć do klientów tej organizacji albo nawet klientów klientów), a jego łącza mogą przesyłać w ciągu sekundy gigabity danych. Dlatego ważne jest dostarczenie precyzyjnych danych na temat tego z jakiego IP nawiązywano połączenie, z jakiego portu, na jaki IP i jaki port, kiedy dokładnie (co do sekundy) to nastąpiło. Bez takich danych bardzo często niemożliwe jest ustalenie konkretnej przyczyny wystąpienia alarmu.
Poradę dla Czytelników Dziennika Internautów przygotowała firma Kei.pl dostawca usług hostingowych.
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*
|
|
|
|
|
|