4.5.6. Zaštita sustava - vatrozid

Opća zadaća vatrozida (firewall) je zaštita računala od napada preko mreže. No isto tako omogućava sigurnu komunikaciju između dva računala koja će tražiti identifikaciju i osigurati zaštitu podataka. Vatrozid ovog operativnog sustava ima integriranu naprednu tehnologiju zaštite, koja pored uobičajene tehnologije zaštite zaprečivanja programskoj potpori da pristupi resursima Interneta (kao zabrana izlaza), koristi i IPSsec (Internet Protocol Security) koji je dio TCP / IP skupa protokola glede sigurnosti (AH, ESP, TLS) u pogledi identifikacije u enkripcije. Zbog složenosti upravljanja funkcijama vatrozida, njegovo korištenje omogućeno je na dva načina:

• Korisnički - Uobičajeni korisnik koristi vatrozid preko ikone koja je dio 'Control Panel' sadržaja.
• Administratorski - Prošireno korištenje funkcija vatrozida i sigurnosnih podešavanja u poslovnom okruženju.

Vatrozid s integriranom tehnikom zaštite koristi mehanizam slanja potpunih informacija o stanju veze i podataka (stateful) učesnicima u konekciji koje se pridodaju podacima prilikom njihove obrade kroz slojeve OSI modela. Nadziru se i filtriraju svi paketi za IPv4 i IPv6 verzije protokola. Pod filtriranjem se misli na dozvolu ili blokiranje mrežnog prometa prema definiranim pravilima (rules). Internet promet se definira kao:

• Dolazni (inbound) - Promet od Interneta prema računalu, u osnovi se ne propušta osim u slučaju ako nije odgovor na zahtjev upućen od operativnog sustava (Windows update) ili programske potpore (Adobe), ili je dio razmjene podataka putem osobitih protokola (uTorrent), ili pak odgovor na upite koje IE šalje poslužitelju nekih web stranica. Posljednje dvije mogućnosti mogu biti izvor zloćudne programske potpore koju u osnovi treba ako prože vatrozid, zaustaviti antivirusna programska potpora.
  
  
• Odlazni (outbound) - Odlazni promet u osnovi se dozvoljava jer je pretpostavka da ga inicira operativni sustav ili instalirana ispravna programska potpora. No nije rijetkost da korisnik instalira nekakve neprovjerene (piratske) verzije programske potpore koje generiraju vanjski promet sa ciljem da se na neku adresu šalju osobni podaci korisnika (korisnički ime i zaporka kod banke na primjer) ili se naprosto vrši krađa datoteka, ili se pak računalo korisnika namjerava u jednom momentu iskoristiti za napad na određeni sustav spojen na Internet i slično.

Na slici 4.5.38 vidi se da su pripravljene uobičajene postavke vatrozida za kućnu i javnu mrežu, a na slici 4.5.40 vidi se da skup pravila definira kao se nadzire odlazni i dolazni promet. Podrazumno dolazni promet se blokira osim u slučaju ako nije odgovor na zahtjev upućen od strane računala ili je eksplicitno dozvoljen prema zadanim pravilima. Za korisnika koji dobro ne poznaje rad vatrozida ne preporuča se da mijenja njegove postavke, jer se može toliko upetljati da sam sebe zabrani.

Nadzor sustava glede sigurnosti je vrlo složena zadaća. U osnovi zaštita sustava ostvaruje se pomoću skupa alata pod nazivom MMC (Microsoft Management Console), s kojima se, kao jedan mali dio od raspoloživih mogućnosti, 'uvode' i definiraju sve postavke vatrozida, odnosno nadzire se ponašanja sustava u cjelini. Upisom komande MMC u formu glavnog izbornika |Search programs and files| dobije se naredna uvodna slika. MMC se koristiti za administraciju mreže, računala, usluge, i drugi komponenti sustava, a jedan od alata prepoznaje se u izborniku; gpedit.msc, kojemu je način korištenja prikazana na slici 4.4.13.

Slika* 4.5.103 Početni prozor MMC (Microsoft Management Console). ( + / - )

Izborom /File/-/Add/Remove Snap-In.../ dodaju se u popis predlošci koji se žele konfigurirati (preurediti) za sve značajne funkcije sustava. Ovi predlošci mogu se odnositi i na programske proizvode koji se instaliraju na sustav napisani od nezavisnih proizvođača. 'Windows Firewall' je samo jedan od njih.

Slika* 4.5.104 Korištenje kreirane MMC konfiguracije. ( + / - )

Na ovaj način kreiraju se postavke za pojedine komponente sustava, koje će usmjeriti rad sustava prema želji korisnika i koje se mogu spremiti izborom /File/-/Save as.../, učitati već nekakva postojeća konfiguracija ili izraditi posve nova. No, za ovakvo podešavanje sustava nužno je poprilično znanje (MOC na primjer), te se ne preporuča za prosječnog korisnika.

Prosječni korisnik osloniti će se u glavnom na upite koje mu postavi vatrozid glede propuštanja ili zaprečivanja prometa za neku aplikaciju za javnu i privatnu mrežu. Stoga neće u osnovi koristiti izbor /Advanced settings/ sa slike 4.5.38, već izbor /Allow a program or feature through Windows Firewall/ kako prikazuje naredna slika.

Slika 4.5.105 Podešavanje vatrozida za kućnu i javnu mrežu.

Iz primjera se vidi da se na vrlo jednostavan način postavljanjem 'kvačice' omogućava promet u kućnoj (home) ili javnoj (public) mreži i da se vrlo jednostavno može popisu pridružiti nekakva izvršiva datoteka, što ujedno znači da je omogućen i dolazni i odlazni promet za mrežu gdje je 'kvačica' postavljena. Za običnog korisnika obično si ova podešavanja dovoljna. Ako je računalo u privatnoj mreži (SOHO), sam NAT mehanizam usmjernika ne dozvoljava pregled mreže izvana i nijedna konekcija s računalom ne može se uspostaviti ako je samo računalo unutar mreže nije zatražilo prilikom izlaza na Internet. Ovo je samo po sebi već jedna učinkovita zaštita. Moderniji SOHO uređaji imaju u sebi implementirani vatrozid koji može filtrirati promet prema nekim općim načelima, spriječiti 'Port Scan' na primjer.

Na slici 4.5.40b prikazano je kako se u pravilima za nadzor prometa nalazi i programska potpora koja zahtjeva kontakt s Internetom (uTorrent), i kojoj su postavke za vatrozid podešene prilikom instalacije, Odabir /Properties/ sa slike nudi različite mogućnosti podešavanja od kojih su najbitnije prikazane u narednom skupu slika.

Slika** 4.5.106-107 Podešavanje postavki vatrozida za programsku potporu. ( + / - )

U osnovi postavke upisane u pravila tijekom postupka instalacije nije potrebno mijenjati, ali nekad se ukaže potreba za dodatnim podešavanjem. Kartica ||General|| (slika 4.5.106a) daje opće podatke o pravilu koje je dodano tijekom instalacije programske potpore ili o pravilu koje se izrađuje za izvršivu datoteku (.EXE) odabranu preko kartice ||Programs and Services||-|This program|-|Browse| (slika 4.5.106b) pomoću sučelja srodnog WE. Svakom pravilu u kartici ||General|| dodjeljuje se ime koje ga identificira, opis što bi pravilo trebalo raditi, i izbor |Enable| koji pravilo omogućava ili onemogućava, što se na slici 4.5.40b vidi kao zeleni ili sivi kružić uz ime pravila. Dozvola ili blokiranje prometa u konekciji daje više mogućnosti. |Allow the connection| propušta sve TCP / IP pakete koji zadovoljavaju sve kriterije pravila, |Allow the connection if it is secure| propušta samo pakete zaštićene IPSec pravilima, a odabir |Block the connection| zaustavlja sve pakete koji zadovoljavaju sve kriterije pravila.

Ako se u kartici ||Programs and Services|| odabere |All programs that meet the specified conditions| omogućava se slanje i prijam paketa od bilo kojeg programa na sustavu što baš nije mudro osim u slučaju ako se želi ispitati funkcionalnost nebranjene konekcije, a izbor |This program| odnosi se na samo jednu izabranu .EXE datoteku bila ona aktivna ili ne, dok izbor |Services| omogućava da se pravilo primjeni na sve procese i servise koji podržavaju rad programa (najčešći izbor), samo na servise ili samo na određene servise. Dakle, prvi izbor je najstroži.

Kartica ||Computers|| aktivna je samo ako je odabran izbor ||General||-|Allow the connection if it is secure| koji definira aktivnost IPSec skupa pravila. Tada se omogućava izbor koje računalo smije pristupiti uz pridržavanje pravila i za koja računala pravila ne vrijede. Ovo se odnosi na računala i grupe koji su definirani u 'Active Directory', tehnologiji koja omogućava rad sustava na osnovu informacija i postavki iz centrale baze podataka koja se uređuje s MMC. Slično vrije i za karticu ||Users||. Ove dvije kartice prikazane su na slici 4.5.106c kao animacija. Uobičajeno, ove postavke ne koriste se u kućnom okruženju.

Kartica ||Protocols and Ports|| (slika 4.5.107a) animirana je i prikazuje koje je sve protokole moguće nadzirati, odnosno na izabrani protokol primjenjuju se pravila. No to nisu svi raspoloživi protokoli. ako se izabere |Custom| tip protokola, raspoloživ je izbor |Protocol number| koji omogućava odabir bilo kojeg od protokola prema broju koji je definirala IANA (Internet Assigned Numbers Authority). Ako se koristi TCP ili UDP tip protokola raspoloživ je izbor broja lokalnog ili odredišnog porta koji će se koristiti, bilo koji (all ports) ili neki specifični. Kako uporaba ove kartice podrazumijeva potpuno poznavanje TCP / IP skupa protokola, ovaj dio uglavnom će koristiti profesionalci, kao i ICMP (Internet Control Message Protocol).

Kartica ||Scope|| (slika 4.5.107b) definira raspon lokalnih i odredišnih IP adresa na koja će se primijeniti definirana pravila. Mehanizam dodavanja adresa u raspon u oba slučaja je isti. Uobičajeni raspoloživi izbor po instalaciji programske potpore je |Any IP address| koji znači da pravila definirana u vatrozidu vrijede za sve IP adrese s kojima računalo komunicira prema Internetu. Ova opcija općenito je moćnija je od izbora |These IP addresses| koji omogućava unos raspona IP adresa na koja će se pravila odnositi, od definiranja jedne IP adrese do definiranja svih IP adresa u mreži ili podmreži, ili definiranja raspona početne i krajnje adrese u nekoj mreži, bilo u IPv4 ili IPv6 formatu koji se ne smiju miješati. Kako formate definiranja raspona IP adresa koristiti ilustrira prikazani primjer u kartici. Pravilo može biti vrlo korisno kad se na primjer za jednu aplikaciju, kao antivirus, definira samo adresa poslužitelja odakle će se preuzeti nove definicije, a eventualno preuzimanje s ostalih IP adresa zabrani. IP adrese koje treba omogućiti kao 'prihvatljive' za računalo su: podrazumni izlaz (default gateway), DNS poslužitelj, DHCP poslužitelj, WINS poslužitelj i lokalna mreža (podmreža) u kojoj je računalo član glede dostupa zajedničkim raspoloživim resursima.

Kartica ||Advanced|| (slika 4.5.107c) je mogućnost da se pravilo primjeni na željene tipove (profile) mreže: poslovnu domenu i/ili kućnu mrežu (private) i/ili neko javno okruženje kao kavana ili pivnica (public). Osim navedenog može se definirati i na koju vrstu uređaja za mrežnu povezanost (Interface types) vrijede pravila. Slika je animirana i završni dio pokazuje mogući izbor za razgraničenje (Edge Traversal), odnosno zaprečivanje ili propuštanje 'neodgovornog' prometa kojeg je propustio mrežni uređaj koji omogućava NAT. Dakle, razgraničenje se odnosi samo na dolazni promet i propušta na primjer promet prema web-poslužitelju u mrežu zaštićenu NAT-om. Navedeno, ako nije nužda, nije dobro omogućiti na računalu, ali je dobro da ovaj promet propusti usmjernik (router) prema web-poslužitelju. U kućnoj mreži ovo je bez značaja, ali u SOHO okruženju s 'javnim' poslužiteljem o ovome treba voditi računa.

SAŽETAK:

Navedeni opisi daju kratak uvid u mogućnosti vatrozida, koje su daleko moćnije od opisa koji pripadaju slici 4.4.41. To od korisnika zahtijeva potpunija znanja o odvijanju Internet prometa između računala i Interneta, te je stoga za prosječnog korisnika bolje da sve postavke vatrozida ostavi kako ih je iskoristila određena programska potpora prilikom instalacije. Ono što prosječan korisnik može učiniti je da pojedinoj programskoj potpori, koja je uporabila vatrozid kako bi komunicirala sa svojim sjedištem, zabrani bilo kakav promet da mu ne idu automatske nadogradnje ili obavijesti o novoj verziji proizvoda ili pak nekakve iritantne reklame i slično (za 'Adobe' ili 'Roxio', na primjer), kao da iskaču iz paštete :-). No profesionalci će njegove mogućnosti znati cijeniti.

Vatrozidu je nužno pridružiti antivirusnu potporu, jer je u operativni sustav proizvođač nije implementirao. Pošto je sam vatrozid implementiran u sustav dovoljno dobar u osnovi korisniku ne trebaju specijalana Internet rješenja, već je dovoljna i nekakva bespaltna programska potpora kao 'Avira', prepoznatljiva po ikoni s nacrtanim kišobranom u dosadašnjim primjerima. U poslovnom okruženju o zaštiti brinu poslužitelji, profesionalna antivirusna potpora koja sa svog poslužitelja neprekidno nadzire računala u mreži i profesionalni mrežni uređaji i njihovi servisi. Uostalom, u kućnom (SOHO) i poslovnom (LAN) okruženju već je uobičajeno da su sva računala i ostali mrežni uređaji i računala 'skriveni' iza NAT-a, u privatnu računalnu mrežu; jednog od bitnih uvjeta za ostvarivanje učinkovite zaštite.

Novi trendovi glede sigurnosti vode do te mjere da ako se ustanovi da računalo nema ažuriranu antivirusnu ili neku drugu zaštitu, kontaktira se operativni sustav preklopnika (switch) za koje računalo spojeno i koji na priključku prema neažurnom računalo propušta samo promet prema IP adresi poslužitelja koji osigurava ažuriranje programske potpore. Aspekte sigurnosti definira sama firma svojom sistemskom politikom, koja može biti vrlo restriktivna (dopušta priključak prema Internetu samo računalo administratora mreže i to onom koje nije u lokalnoj mreži) ili vrlo liberalna (svi mogu koristiti Internet prema nahođenju). U drugom slučaju administracija je vrlo teška i podrazumijeva obrazovane korisnike.