offline
- Peca
- Glavni Administrator
- Predrag Damnjanović
- SysAdmin i programer
- Pridružio: 17 Apr 2003
- Poruke: 23211
- Gde živiš: Niš
|
Kada smo pisali o trojancima, upotrebili smo izraze port, IP, ping i Firewall. Sada ćemo se zadržati na Firewallu, najboljem 'sredstvu' za odbranu od hakera, i pokušaćemo da vam razjasnimo pomenute izraze da bi ste shvatili na kom principu funkcioniše Firewall.
Onog trenutka kada se poruka "Veryfing User Name and Password" ukloni sa ekrana i poćne da se odbrojava vaše vreme na Internetu, vaš provajder vam je dodelio jedinstvenu adresu koju u tom trenutku imate samo vi na Internetu i niko drugi - to je tzv. IP adresa ili niz od 4 broja između 0 i 255 razdvojenih tačkom (npr. 213.240.4.100). Postoji mnogo računara na Internetu koji su prikačeni 24h i imaju svoju IP adresu koja se ne menja, ali većina nas, koji se prikačimo s vremena na vreme da razmenimo poštu ili prosurfujemo Internetom, dobijamo tzv. dinamičku IP adresu (svaki provajder ih ima nekoliko i kada se neko prikači na Internet, dobije prvu slobodnu). Ove adrese (odnosno brojevi) vam mogu pomoći da identifikujete sagovornika, jer se za one stalne IP adrese taćno zna kome pripadaju dok se za dinamičke vodi evidencija kod provajdera kome su bile dodeljene u određenom trenutku. Kada želite da pristupite nekom računaru, sve što je potrebno je da otkucate njegovu adresu, ali da bi nam prekratili muke, uvedeni su tzv. DNS (Domain Name Server) računari koji prevode adrese tipa www.zastita.rs u IP adresu i obrnuto.
Sama adresa nije dovoljna, jer je potrebno obezbediti posebne kanale za komunikaciju kako ne bi došlo do zabune. Zbog toga su uvedeni portovi - zamislite ih kao autoput na ulazu u grad sa 65536 traka (koliko god pomisao na puževske brzine u domaćim uslovima ometa sliku autoputa) i dva računara koja se uvek dogovoraju kojim će se trakama odvijati saobraćaj. Pošto je standardizacija uvek poželjna, portovi sa brojevima manjim od 1024 su rezervisani i imaju specijalnu namenu (znaći samo za posebna "vozila") dok su oni preostali namenjeni korisnicima. Tako npr. kada skidate neke fajlove sa ftp servera, vaš računar će dotičnom slati sve komande samo na port 21, a dotični će ih samo tamo i očekivati. Neki drugi program, recimo ICQ, može bez problema slati podatke na port 1508 a primati ih na 1509. To objasšnjava kako je moguće istovremeno surfovati na tri stranice, skidati nekoliko fajlova, slati i primati poštu i chatovati.
Dakle, razjasnili smo šta je IP adresa a šta port. Došli smo do pingovanja.
Pingovanje je slanje podataka sa jednog kompjutera na određenu IP adresu i određeni port. Na prvi pogled, tu nema nićeg opasnog, tako rade svi programi za Internet, ali zamislite da na tom udaljenom kompjuteru kome se šalje taj paket podataka postoji trojanac koji osluškuje unapret definisani port. Šta će se desiti? Prvi kompjuter koji koristi haker, će uspostaviti vezu sa drugim kompjuterom, i moći će da radi sa tim kompjuterom sve što mu u normalnim situacijama nije dozvoljeno.
Međutim, ukoliko udaljeni računar nema nikakvog trojanca, teorijski se ništa neće desiti. Naravno, to je samo teorija, u praksi nije uvek tako. Win95 ima bug koji dozvoljva hakeru da na portu 137, koji je inače rezervisan za NetBios servis, pošalje određeni skup karaktera (paket podataka). Windows 95 će pokušati da protumaći šta znači taj skup karaktera i iz neobjašnjivih razloga će upasti u mrtvu petlju i blokiraće ceo sistem. Ovaj BUG je ispravljen u Win98, tako da nema razloga za paniku.
Kao što i sami vidite, vi kao obićan korisnik nemate nikakvu kontrolu nad podacima koji dolaze i odlaze sa vašeg računara. Zato postoji Firewall, program (a na nekim serverima i poseban hardverski dodatak) koji beleži sve što prođe kroz vaš modem ili link. U zavisnosti od proizvođaća, imamo puno Firewallawa (najhvaljeniji je Ciscov Firewall), koji se međusobno razlikuju po opcijama a u suštini imaju istu svrhu: a to je nadgledanje i filtriranje Internet saobraćaja.
Mi ćemo ovom prilikom detaljno opisati AtGuardov Firewall, jedan od popularnijih firewall-ova za Win95/98/ME/NT/2000. Ukoliko pak koristite Windows XP, onda vam preporucujemo da koritite firewall ZoneAlarm (u tom slucaju ne morate da citate nastavak ovog clanka)
----------------
AtGuardov Firewall se instalira kao i svaki drugi uslužni program.
Posle Instalacije, AtGuard je podešen da se automatski startuje kada se ulogujete na Internet, što je i dobro jer vam Firewall ne treba kada niste na Internetu. Sve ostale opcije su takođe podešene tako da je Firewall odmah spreman za korišćenje.
Napomenuli smo da se svaki Firewall razlikuje po nećemu. AtGuard se razlikuje od većine Firewalla po tome što na početku ne dopušta ni jednom programu (npr. ICQ, Netscape ili IE) da pristupi Internetu dok mu vi ne dozvolite. Ovo je veoma korisna mogućnost jer možete da vidite ako neki nepoznati program (najčešće trojanac) pokuša da uspostavi kontakt sa hakerom.
Pošto je za AtGuard svaki program nepoznat, moraćete tokom prvog boravka na Internetu sa Firewallom da neke programe proglasite za legalnim programima.
Dakle, vratimo se vašem prvom boravku na Internet sa Firewallom.
Kada se ulogujete na Internet, pojaviće vam se crni prozor u gornjem delu ekrana. Prvo što trebate da uradite je da u tom crnom prozoru uključite opciju Firewall - to se radi samo pri prvom logovanju na Internet, sledeći put će ostati ukljućeno!
Posle toga možete ukljućiti vaš browser (npr. Netscape ili Internet Explorer). Kada pokušate da pristupite nekom sajtu, vaš browser će pokušati da pristupi Internetu i AtGuard će tog istog trenutka izbaciti prozor u kome će vam javiti da aplikacija recimo NETSCAPE.EXE pokušava da pristupi nekoj adresi na nekom portu. U tom prozoru koji vam izbaci imate četiri opcije, a to su: da pomenutom programu uvek dozvolite pristup Internetu, da mu uvek zabranite pristup, da programu samo sada dozvolite i da mu samo sada ne dozvolite pristup Internetu. Zadnje dve opcije su trenutne, tj. pomenuti program ne autorizujete za uvek i kada sledeći put taj isti program pokuša da pristupi Internetu vi ćete ponovo biti pitani šta AtGuard da radi.
Prve dve opcije stavljaju pomenuti program na Firewall listu, tako da će Firewall u buduće znati šta da radi, tj. da li da uvek blokira ili da pusti pomenuti program. Ove dve opcije imaju i podopcije kojim tačno možete definisati da li pomenuti program sme komunicirati sa bilo kojom IP adresom ili samo sa adresom koju vi odobriti i da li sme komunicirati na svim portovima ili samo na portovima koje vi odobrite - idealno za programe za koje mislite da ponekad kontaktiraju svog proizvođaća da bi mu poslali poverljive podatke.
Naravno, ukoliko je pomenuti program vaš browser vi ćete mu dozvoliti (ukoliko niste paranoik) da komunicira sa svim adresama i na svim portovima.
Dakle, ovo radite samo prvi put, sve dok ne definišete za svaki program da li sme ili nesme da pristupa Internetu.
Verovatno se sada pitate kakve veze ima Firewall sa zaštitom.
Naš odgovor je da Firewall ima velike veze sa bezbednošću, u stvari Firewall je baš i stvoren da bi štitio.
Zamislite sledeću situaciju: putem emaila ste dobili sumnjivu igricu. Vaš Antivirus nije otkrio ništa sumnjivo i vi ste odlućili da je startujete. Igrica je stvarno bila ono što ste i očekivali, lepo ste se poigrali i odlučili ste da još malo surfujete Internetom.
Antivirusi, kao što smo u prošlom broju rekli, nisu savršeni, tj. otkrivaju viruse i trojance koje je prizvođač Antivirusa uspeo da nabavi i da analizira, tako da novi ili domaći trojanci (koje uopšte nije teško napisati zahvaljujući sve jednostavnijim programskim jezicima kao što su VisualBasic ili Delphi) glatko prolaze Antivirusu i on ih ne otkriva.
Zamislite da je ta igrica instalirala novog trojanca. Antivirusi vas neće zaštititi ali AtGuardov Firewall hoće. Prijaviće vam da neki novi program (recimo GAMEBOY.EXE) pokušava da pristupi Internetu što će vam biti dovoljno da shvatite da imate uljeza na disku. Tada trebate taj program da blokirate trajno, da izađete u pravi DOS (preko ShutDown) i da obrišete taj program (trojanca). To je sve, ponovo ste bezbedni!
Treba napomenuti i da ime trojanca može biti bilo koje. Hakeri će namerno staviti da ime fajla izgleda kao neki sistemski program kako bi žrtva pomislila da je to legalan program. Trojanac se može instalirati kao WINDOWS.EXE, INTERNET.EXE pa ćak i EXPLORER.EXE koji je stvarno sistemski fajl, samo što će trojanac biti u nekom drugom direktorijumu a zvaće se kao pravi EXPLORER.
Videli smo šta je prva uloga Firewalla, nadgledanje onoga što izlazi iz vašeg kompjutera na Internet (Inbound konekcija), sad je ostalo još samo da vidimo šta se dešava kada neki paket podataka dođe do vašeg kompjutera, tj. kad vas neki haker pinguje (za AtGuard je to Outbound konekcija).
Hakeri pinguju, tj. šalju neke podatke na port najpopularnijih trojanaca da bi saznali da li ste zaraženi. Ukoliko trojanac odgovori, haker će znati da ste zaraženi i upašće vam u kompjuter. Ako paket podataka bude upućen portu koji tog trenutka osluškuje program koji niste autorizovali, AtGuard će prijaviti *Outbound konekciju* i u delu gde piše ime programa će pisati ime prograama koji osluškuje taj port i IP adresa hakera. Ukoliko vam je program sumnjiv, blokirajte zauvek konekciju.
Međutim, ukoliko ste program već proglasili legalnim, Firewall vam neće ništa prijaviti, što je i normalno.
Ali ako paket podataka bude upućen portu koji tog trenutka nije rezervisan za nijedan program, AtGuard će prijaviti *Outbound konekciju* i u delu gde piše ime programa, ovog puta će pisati *N/A* zato što nijedan program ne prisluškuje taj port. U takvoj situaciji treba blokirati konekciju (ne zauvek) a ako haker bude baš dosadan, blokirajte zauvek konekciju sa tom IP adresom ili na portu koji trenutno koristi haker. Posle nekoliko dana možete izbaciti tu blokadu iz Firewall liste tako što ćete u meniju AtGuarda izabrati Settings i kliknuti na jezićak *Firewall*. Tu možete videti i kojim ste programima dozvolili, odnosno zabranili pristup Internetu i možete ih izbaciti sa liste.
Neko će na kraju pitati zašto blokirati paket ako je upućen portu koji ni jedan program ne osluškuje. I mi lićno mislimo da je to malo glupo, ali, nikad se nezna, možda taj paket otvori skrivena vrata u sistemu ili blokira ceo sistem, kao što je to slućaj sa portom 137 i Windowsom95. I naravno, AtGuard je ipak dužan da prijavi pingovanje, jer te podatke možete poslati provajderu koji će kazniti hakera zbog pokušaja da na vašem kompjuteru pronađe trojanca i iskoristi ga da bi upao na vaš kompjuter.
Posle nekoliko minuta, sve će biti definisano i moći ćete bez problema da koristite Internet, a za nekoliko dana, kada otkrijete sve ostale mogućnosti Firewala, shvatićete koliko ste sada bezbedniji i činiće vam se kako je sve pod vašom kontrolom.
Nadamo se da vam je ovaj tekst razjasnio neke stvari i pokazao kako da na najbolji naćin zaštitite vaš kompjuter.
----------------
Autor ovog teksta je Predrag Damnjanović, osnivač sajta www.zastita.rs, koji je ovaj tekst napisao za časopis Internet Ogledalo!
----------------
|
