Co je osobní firewall?

Osobní firewall je aplikace, která řídí síťový provoz počítače povolováním či zamítáním komunikace dovnitř a ven – na základě bezpečnostních zásad. Obvykle chrání pouze ten počítač, na kterém je instalován. V současné době bývá osobní firewall velice často součástí širších bezpečnostních balíků, nejčastěji v kombinaci s antivirovým řešením.

Proč nepoužíváte osobní firewall?

Tuto otázku pokládám až překvapivě často. Tedy jinými slovy, stále ještě mnoho firem osobní firewall nepoužívá a ani neuvažuje o jeho nasazení. Na svou otázku dostávám celou řadu odpovědí. Mezi ty nejčastější patří: máme velice dobrý síťový firewall, proto osobní nepotřebujeme. Tato odpověď vychází z nepochopení, k čemu je osobní firewall především určený. Další častou reakcí, se kterou se setkávám, je: osobní firewall jenom spotřebovává výkon počítače a znemožňuje práci uživatelům. Tento argument zase vychází spíše z neznalosti vlastního prostředí, či dokonce, troufám si říct, z lenosti. Posledním příkladem je pro mne již poněkud akceptovatelnější odpověď: na nasazení osobního firewallu nemáme dostatek prostředků (ať už lidí nebo peněz).

Pojďme se podívat trochu blíže na důvody, proč by měl být osobní firewall implementován. Zároveň tak odpovím i na časté námitky, které slýchám od CIO či CSO.

Ochrana před útokem zvenčí, nebo zevnitř?

Mnoho lidí se domnívá, že osobní firewall chrání počítač před útoky z internetu. Tak jako to obvykle dělají síťové firewally. To je částečně pravda, pokud je chráněný počítač „na přímo“ připojen do internetu, jako například notebook na veřejném hotspotu. Nicméně osobní firewall je vhodný i na počítači, který nikdy firemní síť neopouští. Firewall chrání stanici před útoky jiných strojů v rámci firemní sítě, ale také, a to především, před komunikací, která začíná na chráněné stanici. Zdá se to být složité? Podívejme se na to tedy na konkrétním příkladu.

Předpokládejme, že máme uživatele s notebookem. Tento notebook se připojoval po nějaký čas mimo naši síť. Pokud je notebook vybaven pouze klasickým antivirovým řešením, může se celkem snadno nakazit v internetu, například nějakým červem. Červ je klasickými antiviry zachycen až při pokusu o uložení na disk, nikoliv v okamžiku průniku do notebooku. Červ obvykle pro své šíření zneužívá nějaké konkrétní neošetřené zranitelnosti na cílovém systému. Antivirové řešení sice dovede kód červa detekovat při zápisu na disk, nedovede ho však zničit, pokud je spuštěný pouze v paměti napadeného počítače, kam se dostal právě zneužitím dané zranitelnosti. Pokud se takovýto kompromitovaný notebook připojí do firemní sítě, stane se okamžitě útočníkem. Útočníkem, který je naším vlastním počítačem, nikoliv někým cizím, či někým z venku, koho by dokázal zastavit „velký“ centrální firewall na perimetru sítě! Druhým příkladem, kdy máme zájem se chránit před komunikací, která vzniká na chráněném počítači, mohou být nechtěné aplikace, jako kupříkladu Skype, ICQ nebo celá řada jiných. Zablokování některých z těchto aplikací na úrovni centrálního síťového firewallu může být dost obtížné, neboť tyto programy používají ke komunikaci standardní HTTP nebo HTTPS protokol. Odlišit legitimní webový provoz od komunikace takovéto aplikace s okolním světem na úrovni brány pak nemusí být zrovna snadné. Nicméně na úrovni osobního firewallu je to víc než snadné, neboť personální firewall „vidí“, která aplikace komunikuje a kam.

Překážka v práci?

Nasazení osobního firewallu jistě není záležitost na jedno odpoledne mezi obědem a svačinou. Ideálně nasazený firewall by měl mít přesný seznam povolených aplikací s jejich specifikací včetně unikátního podpisu. Jakákoliv jiná aplikace je pak zakázaná. Tento přístup lze nazvat jako „whitelist“ přístup (vše, co není povoleno, je zakázáno). Je to velice bezpečné, ale zároveň náročné – jak na nasazení, tak i na údržbu (je třeba mít pod kontrolou změny verzí aplikací, neboť změna verze změní i její unikátní podpis). Ne v každém prostředí je tento přístup ale možný. Náročnost takovéhoto projektu je zřejmá, na druhou stranu výsledek posouvá bezpečnost do zcela jiné dimenze.

Postup lze i obrátit. Zaměříme-li se naopak na aplikace, u kterých si nepřejeme, aby z našich počítačů komunikovaly, vybereme ty, které považujeme za škodlivé, třeba klienty torentních sítí nebo například zastaralé a zranitelné verze prohlížečů. Tento přístup pak můžeme popsat naopak jako „blacklist“ (vše, co není zakázáno, je povoleno).

Shrnutí

Centrální síťový firewall je jen jedním z mnoha potřebných bezpečnostních prvků a rozhodně nedokáže nahradit firewall osobní, protože oba prvky řeší bezpečnost na odlišné úrovni. Složitost prostředí není dostatečným argumentem pro nevyužívání osobních firewallů, protože v režimu „blacklist“ jej může používat kdokoliv. A nakonec náklady na jeho pořízení a implementaci se jistě vyplatí pro vytvoření výrazně bezpečnějšího a stabilnějšího prostředí. Osobní firewall je proto jednoznačně nedílnou součástí bezpečnostní infrastruktury.