Forrás: Telbisz Ferenc, 2004. október

               A személyes tűzfalakról

Miért kellenek személyes tűzfalak?

Az antivirus programok jól védenek a virusok ellen, amelyek egy hordozóban terjednek (dokumentum, E-mail attachment, stb.), különösen, ha "shield" módban használjuk őket. Már persze, ha elegendően friss a virus adatbázisunk ahhoz, hogy felismerje a virus "aláírását". Mivel az antivirusírók legalább 6 órától 2-3 napig tartó késésben vannak, célszerű időnként, vagy a legkisebb gyanús jelre a vírusirtó programot "scan" módban is lefuttatni, hogy az esetleg bejutott és még lapuló virusokat letakarítsa.

Az antivirus programok viszont gyakorlatilag egyáltalán nem tudnak védeni a nyitott portokon támadó férgek ellen. Legföljebb scan módban tudják észrevenni a telepített programokat, ha már nem kapcsolta ki régen a vírusirtást a féreg.

Az intézményi tűzfalak védenek a külső támadásoktól, de ha egy féreg a tűzfalon belülre jutott, az ellen teljesen védtelenek vagyunk, ill. már csak személyes tűzfallal (personal firewall) védekezhetünk.

A személyes tűzfalak funkciói

A személyes tűzfalak általában háromféle feladatot látnak el:
  1.  A beérkező forgalmat blokkolni tudják szolgáltatás/program, port és protokoll (TCP/UDP) szerint.
  2.  A kimenő forgalmat blokkolni tudják program, port és protokoll szerint.
  3.  A bejövő forgalomra általában valamilyen tartalom szerinti szűrést is végeznek (scriptek, cookie-k, ... stb blokkolása).
Az első tevékenység szükséges a védelemhez. A második azt akadályozza, hogy egy fertőzött gép tovább fertőzzön (ha a féreg nem kapcsolta még ki a tuzfalat), ill. a kémprogramok sem működnek, hacsak nem egy "jogosítvánnyal" rendelkező programból (pl. böngésző) küldik az információt. A harmadik tevékenység azonban olyan, hogy egy jó böngésző (Netscape, Mozilla, Opera,...) maga is részben elvégzi ezt a feladatot.

Ingyenes tűzfalak:

  1. ZoneAlarm. Csak magánhasználatra ingyenes, intézményi használathoz meg kell venni a licencet. (http://www.zonelabs.com/)
  2. Sygate. A Tucows szerint "freeware", de a telepítéskor elfogadandó EULA azt mondja, hogy csak magánhasználatra freeware. Mindenestre valószínűleg tovább működik a 30 napon túl is, különben nincs értelme a magánhasználatnak. (http://smb.sygate.com/)
  3. Kerio. Ez a "Tiny Personal Firewall" folytatása, annak V.2 változata után. (http://www.kerio.com/us/kpf_home.html) 30 napig ingyenes, utána vagy meg kell venni a licenc-et, vagy csak u.n. korlátozott módban működik, ami azt jelenti, hogy lényegében a harmadik csoportba es funkciókat beszünteti. A további ingyenes használatot azonban ez is csak magánhasználatra engedélyezi. - Létezik egy ettl különböző "Tini Personal Firewall" is, (http://www.tinysoftware.com/) de az semmilyen célra nem ingyenes, csak ingyen tölthető le, és 30 napig kipróbálható, de utána be is szünteti a muködését, ha nem vettük meg. (ha nincs kulcsunk.)
  4. Az Outpost tűzfalnak is van szabad változata, ami az alkalmi web böngészőnek, vagy kispénzű szervezeteknek ad alapvédelmet. Letölthető a http://www.agnitum.com/download/outpost1.html URL-ről. Ezt a tűzfalat nem vizsgáltuk.
  5. A Windows XP SP1-hez van Microsoft tűzfal, ami opcionálisan bekapcsolható. Az 1-es funkciót végzi, a 2. és 3. funkció hiányzik. Az SP2 telepítése automatikusan bekapcsolja, de kikapcsolható.
A Windows XP tűzfal az XP operációs rendszer része, ezért nem kell külön fizetni. A ZoneAlarm-nak és a Kerio-nak voltak és ma is feltalálhatók korábbi, még freeware (teljesen ingyenes) változatai, (ha máshol nem, folyóiratok CD mellékleteiben) amelyek az 1. és 2. csoport funkcionalitását tudják, a harmadikra pedig lényegében nincs is szükségünk. A Sygate-nek korábbi freeware változatairól nincs tudomásunk, de ettől még létezhetnek.
 
A Kerio és a ZoneAlarm freeware változata letölthető az alábbi URL-ről is: http://www.kfki.hu/cnc/firewall/.
A "Tiny Personal Firewall" régi, freeware változata jelenleg még letölthető a http://www.webmasterfree.com/tpfw.html URL-ről.

A személyes tűzfalak működése és használata.

A személyes tűzfalak, az XP tűzfal kivételével egy "tanulási" folyamattal jutnak el ahhoz, hogy mely kommunikációt engedélyezzenek, ezért konfigurálásuk lényegében nem szükséges. Minden egyes új kommunikáció kezdeményezésekor megkérdezik, hogy azt engedélyezzük-e? (permit - deny) És ha igen, hogy ezt általános szabályként akarjuk-e, emlékezzék-e erre? Amennyiben ezt általános szabályként akarjuk, többet nem kérdeznek arra a programra. Így az elindulás után sokat kérdez(het)nek, de utána már csendben vannak. A konfigurálásuk ezért meglehetősen egyszerű. Mindegyiknél van mód a szabályok későbbi megtekintésére és azokat akkor módosíthatjuk is.

A Kerio a bejövő kapcsolatokat is megkérdezi a tanulási folyamat során. A ZoneAlarm-ot lehet előre, explicite is konfigurálni, a bejövő kapcsolatokat csak így lehet engedélyezni. Ennek hiányában a bejövő kapcsolatfelvételt nem engedélyezi, csak információt ad az elutasításról. Ezért a ZoneAlarm azoknak ajánlható, akik csak kliensként akarják a gépüket használni (azoknak elég praktikus), akik azon valamilyen szolgáltatást akarnak nyújtani, azoknak nem annyira kellemes.

Kipróbálni a mondottak értelmében a Kerio esetében a 2.14-et és a ZoneAlarm-nál a 3.1-et próbáltuk ki, amelyek még biztosan freeware-ek. A 3. funkció ezek egyikénél sem működik, de ettől alighanem csak gyorsabbak. A Sygate-nél nincs freeware változatunk, ott az 5.0-val kísérleteztünk.

A Windows XP tűzfal csak explicite konfigurálható. A tűzfalat nem az "Internet options"-nál kell bekapcsolni, amint gondolná az ember, hanem , az SP1-nél a "Control Panel/Network Connections"-nál hálózati kapcsolatonként, a hálózat tulajdonságainál  "advanced" módban, külön külön az egyes hálózati csatlakozásokra (LAN, Modemes), az SP2-nél a "Control Panel"-en van egy "Windows Firewall" ikon. Csak a szolgáltatásokat (bejövő kapcsolati kérelmeket) lehet engedélyezni (amit nem engedélyezünk, az tilos), kifelé "free for all". Akik a gépükön nem nyújtanak másoknak semmilyen szolgáltatást (service) sem, azoknak egyszerűen elég csak bekapcsolni a tűzfalat. Wivel a Windows XP tűzfala a kimenő forgalmat nem ellenőrzi, ezért, az előzőekben említett tűzfalaktól eltérően nem akadályozza azt, hogy egy fertőzött gép a virust tovább terjessze.

A tűzfal természetesen nem gátolja azon programok forgalmát, amiket engedélyeztünk. Mivel a férgek (és vírusok) magukat esetleg álnéven telepítik, (de természetesen nem az álnévként használt programot tartalmazó directory-ba), megeshet, hogy tévesen engedélyezzük egy program kimenő kapcsolatát. Ezért a Kerio tűzfal az engedélyezés kérésekor megmutatja a program "path" információját, amivel a programot azonosíthatjuk. De utólag is ellenőrizhetjük a program valódiságát, az engedélyezett programokhoz tartozó "path" információt mind a Kerio, mind a ZoneAlarm tűzfal hajlandó megmutatni.

Az újabb vírusok nagy része direkt módon (is) terjeszti magát a nyitva hagyott port-okon keresztül. Ezért XP esetében kapcsoljuk be a tűzfalat (hacsak nagyon nyomós érv nem szól ellene). A többi Windows változatnál pedig telepítsünk tűzfalat.