חומות של אש

תוכנות חומת אש

עם Windows XP מגיעה תוכנת Internet Connection Firewall (ICF) –תוכנת חומת אש החוסמת את הגישה ליציאות ומונעת מהאקרים לסרוק אותן. אבל ICF אינה עוצרת תשדורות נתונים יוצאות (למשל קובצי נתונים רגישים על החזרי המס שלך). חומות אש נועדו בעיקר לחסום מחשבים בפני ניסיונות סריקה וחדירה באמצעות חסימת יציאות, אך חלק מחומות האש יכולות גם למנוע יציאת מידע מהמחשב שלך באמצעות חסימת הגישה לרשת בפני יישומים הרצים במחשב שלך בהם אינך בוטח.

על מנת לאבטח באמצעות חומת אש בתוכנה, יש לבצע התקנה של התוכנה על כל המחשבים הזקוקים להגנה, בעוד שחומת אש מבוססת חומרה מגינה באופן מרוכז על כל המחשבים ברשת שלך. עם זאת, מאחר שתוכנות חומת אש רצות באופן מקומי, יש להן היכרות קרובה עם הנעשה במחשב שלך. למשל, פתרון חומרה צפוי לאשר תעבורת דואר אלקטרוני יוצא דרך port 25 בלי להבחין בסוג התוכן הנשלח, בעוד שפתרון תוכנה ידע להבדיל בין Outlook לסוסים טרויאניים. באופן טיפוסי, בפעם הראשונה כשתוכנה מנסה לגשת לאינטרנט, שואלת אותך תוכנת חומת האש האם לאשר את התקשורת. חלק מהתוכנות כבר יודעות לזהות יישומים נפוצים כמו תוכנות למסרים מיידיים, Lotus Notes ותוכנות Office. באופן אידיאלי תגן עליך תוכנת חומת אש לאחר יום או יומיים של אימון, וכמעט לא תפריע לך בעבודה השוטפת. לצערנו, לא מצאנו תוכנות שהגשימו אידיאל זה.

היתקלות בתוכנות לא מוכרות

לחומת אש יש חולשה בהיתקלות עם תוכנות, שלגביהן אין כלל סינון ברור משום שהן לא מוכרות למערכת. למשל, כשתוכנת Lsass.exe מנסה לגשת לאינטרנט, Norton Internet Security מודיעה לך על כך ושואלת אם אתה מעוניין לאשר את הגישה. איך אתה או בני משפחתך צפויים לענות? מאחר ובדוגמה זאת חומת האש מכירה את נשוא השאלה, היא תספק פרטים נוספים כדי לסייע בהחלטה. במקרה זה היא תודיע לך כי Lsass.exe הוא שרת אותנטיזציה שמאפשר לך לבצע פעולות קניה באינטרנט . עכשיו יש סיכוי שתחליט בצורה נבונה יותר. חומת האש תספר לך גם קצת על האתר אילו התוכנה מעונינת להתקשר. האם מידע זה מספיק על מנת לקבוע תצורה נכונה שתופעל אוטומטית גם באירועים דומים בעתיד?

ברוב המקרים תוכל להורות לקיר האש לבקש את הסכמתך בכל פעם שהתוכנה תנסה לגשת לרשת. אחרי זמן קצר ההתראות הופכות להיות כל כך מעצבנות, עד שהן גורמות לרוב המשתמשים לקבל החלטות חפוזות המבוססות על מידע מועט. לא קשה לנחש שאלה החלטות גרועות. אם אינך בטוח, אתה יכול לשלול את הגישה ולהתפלל ששום דבר לא ישבר. אנו לא ממליצים לנהוג כך. פסילה גורפת עלולה, למשל, לחסום את מערכת ההפעלה מלגשת אל עדכוני אבטחה. ואז לעולם לא תהיה מודע לכך שקיימים טלאים לחורי אבטחה במערכת ההפעלה.

סכנה נוספת היא היווצרות מכשלות לשימוש נורמלי, שהמשתמש הממוצע אינו יכול לתקן בקלות. נגיד שבטעות מנעת מ-Iexplore.exe את הגישה לאינטרנט. תגיד שלום יפה לאקספלורר! תיקון הטעות הוא בדרך כלל תהליך סבוך למדי והטראומה גורמת לאנשים להירתע ממניעת גישה בעתיד.

חומות אש מבוססות חומרה

התקני נתב (router appliances) זולים, שמאפשרים חיבור הרשת המשרדית או הביתית לפס הרחב (ADSL או כבלים), משתמשים מזה זמן רב בטכניקה הנקראת (NAT) Network Address Translation כדי להסתיר את שערי הרשת הפנימית מחשיפה לישירה לאינטרנט. חברות מסוימות מציגות לעתים את NAT כסוג של חומת אש, ולא היא. NAT בסך הכל מחביא כתובות IP של מחשבים וגורם לכך שכלפי חוץ נראה שכל תקשורת יוצאת מאותו מחשב. האקר יכול לעקוף התקן ניתוב מבוסס NAT אם אין מאחוריו חומת אש אמיתית. לשמחתנו לאחרונה החלו יצרני נתבים לכלול חומות אש אמיתיות גם במוצרים לא יקרים, כשהם משתמשים לחסימת תקשורת נכנסת ויוצאת באמצעות מספר טכניקות. סינון IP למשל יכול לחסום משתמשים מאחורי חומת אש מגישה או קבלת מידע מכתובות IP ספציפיות. באופן דומה, מנהל רשת יכול לחסום תעבורה אל כרטיסי רשת ברשת המקומית ומהם והלאה.

פתרונות חומרה לחומת אש הכלולים בסבב זה מוסיפים מעטפת הגנה נוספת, יעילה יותר, המכונה (SPI) Stateful Pocket Inspection. הגנת SPI בוחנת גם את תוכן מנות המידע העוברות ברשת, במקום להסתפק בבחינת הכתובת והשערים של מקורן ויעדן. חומות אש כאלה יכולות גם לשלוט על תעבורה באמצעות מסנני מילות מפתח ושמות תחום. מנהלים יכולים לחסום גישה אל שמות תחום ספציפיים, וכן לכל תחום הכולל מילות מפתח אסורות. חלק מחומות האש מאפשרות למנהלים ליצור מערכת חוקים מורכבת, כמו מניעת תקשורת בהתבסס על כתובות המקור והיעד, השערים או הפרוטוקולים בהם נעשה שימוש (דוגמת: ICMP, TCP ו-UDP).

מבולבלים מעודף מושגים? המשתמש הממוצע אינו צפוי להתעמק ברשתות עד כדי כך שידע להבחין בין UDP לבין חור בחומת האש. חלק מחומות האש שבדקנו באות עם הגדרות ברירות מחדל סבירות, אך בלתי מתאימות למשל למשחקים רבי שחקנים, הזקוקים לשערים ספציפיים. שינוי ההגדרות הוא משימה לא פשוטה. השחקן הממוצע אפילו לא יבין למה המשחק לא עובד. מצד שני, המשתמש הממוצע צפוי להעריך את מדיניות "שגר ושכח" שמציעים פתרונות חומרה, הנוטים לעבוד בשקט מאחורי הקלעים. לאלה המפעילים רשת ביתית עם מספר מחשבים, שימוש במתקן מרכזי אחד יהיה קל יותר מביצוע ניתור לכל מחשב בנפרד עם תוכנת חומת אש. נציין גם כי ההתקנה פשוטה: חבר כבל Ethernet בין מודם DSL והתקן חומת האש, ולאחר מכן חבר כל מחשב ברשת להתקן באמצעות חיבור Ethernet רגיל או אלחוטי. חלק מהנתבים מרשים לך לחלוק גם מודם רגיל.

איזה חומת אש מתאימה לך?

בשל המגבלות השונות, איננו נלהבים להמליץ על שום סוג של חומת אש כפתרון המומלץ לכולם. גם לתוכנה וגם לחומרה חסרונות ויתרונות, אבל להישאר מחוסרי הגנה לחלוטין זה רעיון ממש מחריד. אם אתה נייד בעבודתך, הבחירה היא מובנת מאליה: לך על תוכנה. זה לא מעשי לסחוב חומת אש בחומרה ממקום למקום. אם מדובר בהגנה על מחשב יחיד הקבוע במקום אחד, הבחירה קצת יותר קשה. נתב חומרה עם חומת אש SPI, המיועד בדרך כלל רק לרשתות, מהווה אמצעי זול ופשוט להגנת המחשב שלך. עם זאת, תוכנת חומת אש עשויה לספק תשובה טובה יותר לרוב האיומים, למרות שנדרש תחכום מסוים בכיוונון התצורה. חלק מהחברות, לרבות Network Associates ו-Symantec, המוליכות בהגנה הביתית, קושרות את מוצרי חומת האש שלהן עם חבילות אבטחה משולבת, הכוללות אנטי וירוס, חסימת פרסומות, בקרת פרטיות ותוכנה להסרת דואר זבל.

לעבודה ברשת יהיה בדרך כלל זול יותר להתקין נתב חומרה מוגן כהלכה מאשר לרכוש רשיונות תוכנה לכל מחשב. ואם אתה מאמין ביתירות, כדי להשיג את האבטחה הטובה ביותר קח את שתיהן. החומרה תגן על הרשת בעוד שהתוכנה תהווה קו הגנה משני, שישים עין על היישומים הפונים לאינטרנט. אך לא משנה מה תתקין, וודא שאתה מחזיק בגרסה מעודכנת. בדוק את האפשרות להריץ מדי פעם תוכנה לסריקת שערים מבחוץ לרשת כדי לבדוק את תפקוד מנגנון האבטחה שלך. אחת התוכנות שאהבנו היא ShieldsUP! מבית Gibson Research, המחזיק אתר מוליך בנושאי אבטחה (www.grc.com). המצב הרצוי הוא שסורקי שערים לא יצליחו לזהות את שם המחשב שלך או את סוגי היישומים שאתה מריץ. אם אתה משתמש בחומת אש בחומרה מבוססת NAT, לא תרצה שסורק השערים יזהה שיש מאחוריה רשת.

זכור שגם כשאתה מאחורי חומת אש עם תצורה נכונה, פעולות מסוכנות עלולות לפגוע במחשב שלך. חשוב שנית לפני שאתה מוריד קובץ ממקור מפוקפק וגלוש באינטרנט עם רמת חשדנות מתאימה. אין שום מערכת חסינה לחלוטין, אך השילוב הנכון של תוכנה, חומרה והרגלי התגוננות פרנואידיים ישמור עליך בביטחון יחסי.