Zapora na każdym kroku
-
- 20.12.2004
Dużo lepiej niż wbudowane firewalle działają komercyjne produkty dla stacji roboczych Windows, np. ZoneAlarm Pro. Program ten umożliwia parametryzację ruchu w sieciach (pozwalając np. na wysyłanie do wybranych sieci całego ruchu, podczas gdy do innych trafiają tylko wybrane usługi albo wręcz nic), filtrowanie dostępu do sieci dla poszczególnych programów (także takich, które dynamicznie alokują porty) oraz ochronę przed połączeniami z zewnątrz. Tego nie potrafią firewalle instalowane poza stacją roboczą. Dodatkową zaletą jest możliwość filtrowania potencjalnie szkodliwej zawartości w przeglądanych stronach internetowych.
Filtr ten można ustawić tak, że przeglądarka Internet Explorer będzie przeglądać zawartość filtrowaną, zaś bezpieczniejszy od niej Firefox może przeglądać zawartość oryginalną. Takiej elastyczności nie da się łatwo uzyskać przy pomocy zapór zewnętrznych.
Trudna konfiguracja
Zastosowanie firewalli na stacjach roboczych ma wady. Konfiguracja zapory jest wówczas zależna od segmentu sieci, w której dana stacja robocza pracuje. Jeśli tym komputerem jest laptop, mobilny użytkownik przenośnego komputera musi mieć konfigurację dostosowaną nie tylko do pracy w różnych segmentach sieci, ale także w różnych sieciach.
Ustawienie firewalla, tak by prawidłowo pracował w sieci firmowej przy dostępie do Internetu przez modem (dynamicznie przydzielany adres publiczny z różnych sieci), a także WLAN i GPRS (adres z podsieci prywatnych, również dynamiczny, czasami z niezgodną z RFC maską), jest dość trudne.
Także centralizacja konfiguracji jest dość skomplikowana, choć możliwa, m.in. dzięki sprytnym sztuczkom w postaci plików rejestru przekształconych do paczki MSI i przypisywanych potem za pomocą Active Directory (assigned software).
Najkorzystniejsze jest połączenie obu tych rozwiązań: instalacja na stacji roboczej firewalla ukierunkowanego na proste zabezpieczenie komputera przed atakami z zewnątrz oraz filtrowanie ruchu pochodzącego od poszczególnych aplikacji wraz z jednoczesnym uruchomieniem firewalli w segmencie sieci. Ich zadaniem jest przepuszczanie jedynie dozwolonego ruchu od stacji roboczych do serwerów. To powinno zmniejszyć prawdopodobieństwo zarażenia wirusem dużej ilości komputerów w sieci lokalnej.
Ochrona sieci lokalnej przed wirusami i programami szpiegowskimi to trudne zadanie wymagające:
- ustanowienia polityki zakazującej samodzielnej instalacji oprogramowania przez pracowników i przeszkolenie ich w zakresie bezpieczeństwa
- instalacji firewalli blokujących dostęp do sieci niezarejestrowanym aplikacjom oraz dostęp do stron WWW umieszczonych na czarnej liście
- jeśli to tylko możliwe instalacji filtrów IP na każdym porcie sieciowym, a przynajmniej na styku segmentów
- rezygnacji z przeglądarki Internet Explorer i ustawienia wysokiego poziomu bezpieczeństwa uniemożliwiającego pobieranie i przeglądanie aktywnych zawartości z Internetu
- instalacji firewalla "czyszczącego" przeglądane strony WWW z niepożądanej zawartości
- rezygnacji z programu Outlook do czytania poczty elektronicznej (interfejs webowy jest dużo bezpieczniejszy, podobnie zresztą jak programy alternatywne)
- instalacji dobrego programu antywirusowego na wszystkich stacjach roboczych i serwerach (niestety, nie daje to stuprocentowej pewności, gdyż nie każde oprogramowanie szpiegowskie i wyświetlające reklamy jest wykrywane przez skanery antywirusowe)
- instalacji serwera SUS umożliwiającego półautomatyczne aktualizacje komputerów z systemem Windows w firmie
- skanowania komputerów programem do poszukiwania oprogramowania szpiegującego
- blokowania ruchu do serwerów, które są raportowane w Internecie jako miejsca docelowych połączeń programów spyware i adware i częsta aktualizacja tych list.
