Fontosabb módszerek

A portblokkolás a legelterjedtebb tűzfal funkció, amit az otthoni routerekben alkalmaznak. Azonban kétséges, hogy képes-e önmagában megvédeni minket az interneten leselkedő veszélyektől.

Az otthoni gépeinket sziklaszilárdan védi a routerünk és annak beépített tűzfala – vagy mégsem? A legtöbb felhasználó automatikusan azt feltételezi, hogy a szélessávú router tűzfala az a védelem, amelyre szükségük van az internethez való kapcsolódáskor. Ezzel a megállapítással azonban legalábbis illik vitatkozni. Általában a routerek tűzfal(szerű) komponensei valójában nem igazi tűzfalak, hanem csupán NAT-ot (hálózati címfordítást), portblokkolást (port blockingot) és hozzáférés-ellenőrzést (access controlt) kínálnak. Cikkünkben ezen funkciók mélyére ásunk, bemutatva, hogyan is működnek és milyen szintű védelmet képesek nyújtani.

Bemutatkozik a NAT

A NAT (network address translation) mint funkció már jó ideje jelen van a routerekbe építve, kétségtelenül a vezetékes és vezeték nélküli otthoni szélessávú útválasztók leglényegesebb eleme. A NAT az a technológia, amely lehetővé teszi, hogy egyetlen nyilvános IP-címünk legyen, amelyen keresztül kívülről elérhetők az otthoni hálózatunkon lévő gépek. A saját hálózatunkon privát IP-címeket használunk, az internet eléréséhez azonban nyilvánosat. A NAT ezt oly módon éri el, hogy a privát címekkel felruházott gépek kéréseit úgy alakítja át, mintha azok a routerünk nyilvános IP-címéről származnának. A router NAT-komponense jegyzi, hogy melyik gép mit kért, ezzel gondoskodva arról, hogy a válasz el is jusson oda, ahonnan a kérés jött. Az internet felől viszont úgy tűnik majd, mintha minden kérés a router nyilvános IP-címéről érkezne.

Ez a képessége teszi nagyszerűvé a NAT-ot – a magánhálózaton lévő megannyi gép így csak egy „igazi” címet használ. A különböző kéréseket leképezi a forrás és cél IP-címeknek és a használt portszámoknak megfelelően. Így ha a 192.168.1.100 IP-címen található gépünk a 2345-ös portot használva el kívánja érni a Google IP-címét, akkor a NAT leképezi a kérést egy táblázatba, és elküldi azt a Google oldalának az egyetlen nyilvános IP-címen keresztül, majd továbbítja a választ a megfelelő gépre a magánhálózaton. Mivel a különböző gépek által használt IP-cím- és portszám-kombinációk mindig egyediek, a NAT számítógépek százait szolgálhatja ki.

Azonban gyakran – tévesen – tűzfalként emlegetik a NAT által megtestesített funkciót, tekintve, hogy a NAT miként kezeli a kéréseket. Sokan azonban túlbecsülik ezt, mivel nincsenek tisztában a NAT működésével. Bonyolítja mindezt, hogy a marketingszakemberek úton-útfélen tűzfalnak neveznek mindent, ami akárcsak egy kicsi védelmet is képes nyújtani. A valóságban azonban a NAT nem figyeli a forgalmat azon túl, hogy monitorozza az IP-címeket és a portszámokat. Egy valódi tűzfal a maga teljességében vizsgálja a forgalmat, gyanús viselkedés, szabálytalanságok után kutatva. Egyes routerek tűzfalszerű vizsgálatot is nyújtanak bizonyos forgalom mellett, azonban nagy részük a NAT-ra támaszkodik a forgalom szűrésénél és a vizsgálati funkcióknál.

Porttovábbítás

A legtöbb NAT router a portblokkolás nevű technikával nyújt védelmet a bejövő kapcsolódási próbálkozások ellen. Alapértelmezésben a routerünknek automatikusan le kell zárnia minden befelé nyíló portot, megakadályozva így a kéretlen kapcsolatokat. A kéretlen alatt azt értjük, hogy a kapcsolatok nem felelnek meg a hálózatunkon belüli gépekről érkező kéréseknek. Tegyük fel például, hogy elindítjuk a webböngészőnket, és bekérjük a Google oldalát. A routerünk kiengedi a kérést, majd visszaengedi a megfelelő választ (a Google weboldalát). Azonban amikor kérés jön a web felől, a router portblokkolás funkciója megállítja. Azaz bárki is próbáljon kintről kapcsolatot létesíteni a mi IP-címünkkel, nem jár szerencsével.

Bár az otthoni router alapértelmezésben blokkol minden kívülről kezdeményezett kapcsolatlétesítési próbálkozást, megadja azt a lehetőséget is, hogy egyes portokat megnyissunk a porttovábbításon keresztül. Erre akkor van szükség, ha lehetővé szeretnénk tenni a külső felhasználóknak, hogy csatlakozzanak a hálózatunkon található rendszerek egyikéhez. Jó példa erre, ha FTP-szerverünkhöz szeretnének csatlakozni le- és feltöltés céljából, esetleg az egyik PC-nkhez távoli segítségnyújtás miatt. Ha nem adjuk meg a szükséges porttovábbítási beállításokat, e kéréseket a NAT router automatikusan elutasítja.

A portok megnyitása, vagyis a porttovábbítás konfigurálása külön beállítást igényel routerünk kezelőfelületén. Először is meg kell adnunk azt a számítógépet a hálózaton, ahová a kérések továbbítódnak, amikor megérkeznek a routerhez. Ugyanígy be kell állítanunk a helyes portszámokat a kérésekhez. Tegyük fel, hogy a hálózat 192.168.1.4 privát IP-címén található gépen futtatunk egy webszervert. Annak érdekében, hogy az internetezők elérhessék ezt a szervert, fel kell állítanunk egy olyan porttovábbítási szabályt, ami megmondja a routernek, hogy amikor kérést kap a 80-as porton keresztül, továbbítsa azt a 192.168.1.4 címen található gép 80-as portjára.

Egyes routereken virtuális szerverként aposztrofálják a porttovábbítást. Ha lehetővé akarjuk tenni internetes felhasználóknak, hogy elérhessenek egy adott számítógépet a hálózatunkon, ezt a módszert kell használnunk – ezzel arra korlátozzuk a felhasználókat, hogy csak az általunk megadott szolgáltatást érhessék el.

Rejtsük el a portokat!

A portoknak két fő állapotát különböztetjük meg: a nyitottat (ahol a port fogadja a kapcsolódási próbálkozásokat) és a zártat (ahol blokkolja ezeket). Sajnos a legtöbb régebbi router válaszol a portok állapotát firtató lekérdezésekre, így kívülről is tudhatják, hogy melyik port nyitott és melyik zárt. Ez veszélyt rejt: ha ugyanis a router válaszol az ilyen kérdésekre, akkor a kérdező tudni fogja, hogy van egy rendszer a címen. Ez pedig végső soron azt jelenti, hogy a routerünk látható a külső világ felé.

A rendszerünk biztonságát tehát nagyban szolgálja, ha routerünk képes elrejteni a portokat. Az újabb routerek alapértelmezésben használják a portelrejtési technikákat, s nem válaszolnak az olyan kérdésekre, hogy egy port nyitva van-e vagy sem. Ehelyett csöndben maradnak és kívülről láthatatlannak tűnnek.

Hozzáférés-ellenőrzés

Átböngészve a router tűzfalbeállításait, valószínűleg találunk egy olyan területet, ahol elérhetjük a hozzáférés-ellenőrzést. Ezek a beállítások lehetővé teszik, hogy szabályozzuk, milyen forgalom hagyhatja el a hálózatunkat. Például felállíthatunk egy olyan szabályt, hogy a hálózaton lévő, 192.168.1.3 IP-címen található számítógép csak az SMTP és POP3 protokollal érheti el a netet. Azaz erről a számítógépről csak levelezhetünk.

A hozzáférés-ellenőrzéssel tehát irányítható, hogy milyen típusú forgalom hagyhatja el a hálózatot. Ha például nem szeretnénk, hogy gyerekeink fájlcserélő programokat használjanak, úgy konfigurálhatjuk a hozzáférés-ellenőrzést, hogy nem engedélyezzük az ilyen programok generálta forgalmat. A router NAT szolgáltatása felelős ezért, ez vizsgálja a hálózatunkat elhagyni szándékozó forgalmat, majd engedélyezi vagy tiltja azon szabályok alapján, amelyeket mi állíthatunk fel.

Bár a hozzáférés-ellenőrzés hatékony eszközt ad a kezünkbe a forgalom szabályozására, mély ismertet feltételez a különböző programok használta protokollokról, hiszen ezek alapján állíthatjuk fel a szabályokat. Sajnos, ez a technika nem képes arra, hogy programok alapján gátoljuk a kommunikációt. Azaz például nem mondhatjuk a routernek, hogy tiltsa meg a Messenger kommunikációját a gyermekünk gépén. Ehelyett meg kell találnunk, melyik portot használja a Messenger, majd úgy kell konfigurálni a hozzáférés-ellenőrzést a routeren, hogy ne engedje kijutni az internetre ezt a típusú forgalmat, amikor a gyerek gépének IP-címéről érkezik.

A cikk még nem ért véget, kérlek, lapozz!