A mezei júzer útmutatója
http://wigwam.sztaki.hu 2005.03.01. 00:42
Ez az útmutató azoknak szól, akik nem akarják guruvá művelni magukat az internetes biztonság terén, egyszerűen netezni szeretnének, de emellett szeretnék viszonylagos biztonságban tudni a gépüket. A ZoneAlarm tűzfal egyszerű kezelése ezt lehetővé teszi számukra, de nem jelent 100%-os biztonságot (mint ahogy egyik tűzfal sem). A tapasztalat szerint az otthonról internetező csókákra nem nagytudású profik vadásznak, hanem unatkozó pattanásos sápadtarcú tinédzserek, és ezek ellen egy jól beállított tűzfal (márpedig a ZoneAlarmot - továbbiakban ZA - nehéz rosszul beállítani) és egy víruskergető program friss vírus-adatbázissal (ami általában havonta jelenik meg, és feltétlenül le kell tölteni!) elég jó védelmet nyújt.
Mit tud a ZoneAlarm? (csak címszavakban, zsargon nélkül)
- Elrejti a gépedet az interneten az illetéktelenek elől (stealth, azaz "lopakodó üzemmód"). Ha a legtöbben nem látnak, nem kapsz olyan gyakran támadást.
- Teljes kontrollt ad a kezedbe afelett, hogy mely programok érhetik el az Internetet. Így az esetleges "trójai faló" programok is fennakadnak a tűzfalon, ha elkezdenének kavarni.
- A gépedet ért támadásokat felfogja, elég hatékonyan.
- Könnyen áttekinthető, a beállítása, egyszerű, ezért ideális a nem szakértő internetezők számára.
Milyen hátrányai lehetnek más tűzfallal szemben?
- Az egyszerű kezelhetőség a finombeállítások, a varázslások rovására megy.
- A ZA Internetes "harcra" nemigen alkalmas. A bölcs indián előbb megtanul rejtőzködni. Ha harcolni akarsz, cseréld le a tüzesfalad egy erre a célra alkalmasabbra (olyanra, amivel "látható" vagy a támadók számára).
- A program folyamatos fejlesztés alatt áll. Ez egyrészt jó dolog, másrészt lehetnek bizonytalanságai. Ez utóbbi abban mutatkozik meg, hogy előfordulhat bizonyos esetekben, hogy "harcolni" kell a ZA-val, mert nem akar kiengedni egy-két programot a Netre. Az ilyen hibákat folyamatosan javítják az újabb verziókba.
|
BEÁLLÍTÁSA:
Miután installáltad a programot, és újraindítottad a gépet, ellenőrizd, hogy a ZoneAlarm is elindult-e. A képernyő jobb alsó sarkában a tálcán (az óra közelében) kell látnod ezt az ikont: (Ha nem látod, indítsd el a Start menüből, és kirakja a tálcára az ikont.) Erre duplán kattintva felugrik a program. |
AKTÍV PANEL |
a "HELP" felirat jelentését pedig remélhetőleg mindenki ismeri... |
ALERTS PANEL (korábbi verzióknál "TRAFFIC") |
Felül a számítógépünk által a mai napon küldött (send) és fogadott (received) adatmennyiség látható.
Current alerts: a jelenlegi riasztások adatai (több riasztás esetén az előre-hátra gombokkal tudunk közöttük lépegetni).
More info gomb: a legutolsó riasztás adatait elküldi a program készítő ZoneLabs szerverének, ahol további információkat próbálnak szerezni a támadóról.
Clear alerts gomb : törli az eseménylistát.
Log alerts to a text file: ha kipipáljuk, akkor a program napló (log) file-t készít a riasztásokról a következő helyen: C:\WINDOWS\Internet Logs\ZALog.txt
Show the alert popup window: riasztáskor egy sárga négyzet bukkan fel, benne a riasztás okával.
A korábbi verzióknál ezen a lapon csak a Show the alert popup window opció szerepel. |
CONFIGURE PANEL |
Az ajánlott beállítások ugyanazok, mint amit a képen látsz:
- "On top during internet activity" (ZA ablak mindig legfelül internetezés közben) - kikapcsolva
- "Show shell toolbar" (ez egy kicsinyített ZA gombsort lebegtet a képernyőn, a lakat gombbal és a STOP gombbal) - én kikapcsoltam, de legyen izlésed szerint.
- "Load ZoneAlarm at startup" - pipálva
(ez fontos, ilyenkor a wendóz betöltésekor automatikusan odakerül a ZA ikon a tálcára)
- Az "Updates"-et tetszés szerint pipálhatod,
(bejelölve minden netes feljelentkezésednél ellenőrzi a ZoneLabs szerverén, hogy jött-e ki újabb verzió) |
SECURITY PANEL |
Itt állítjuk be a biztonsági szinteket. A LOCAL a helyi hálózatra vonatkozik (ha van egyáltalán), alapbeállítása MEDIUM, azaz a csúszka középen áll. Hagyjuk ott. Az INTERNET értelemszerűen a biztonsági szint a Net felé. Alapbeállítása HIGH, azaz magas. Ezt se piszkáljuk, de ha véletlenül mégsem nem áll "High"-on, állítsuk oda. A high security esetén a gépünkön láthatatlanná tevő varázssipka van, azaz az internetről úgy látszik az illetékteleneknek, mintha nem is lennénk. A "block Internet servers"-t pipáljuk ki. Ezzel megakadályozzuk, hogy gépünkön bármilyen program - pl. egy trójai - szerverként funkcionáljon.
Ha ezzel végeztél, kattints az ALERTS (korábbi verziónál TRAFFIC) gombra.
A korábbi verziónál itt egyetlen egy állítanivaló van: A "Show the alert popup window" legyen kipipálva. Így a ZA a blokkolt internet forgalmat jelenteni fogja egy felugró ablakban. Az újabb verzió már loggolni is tud, azaz naplózza a blokkolt forgalmat. Ezt beállíthatod, ha kipipálod a "Log alerts to a text file"-t.
Ha ezzel is készen vagy, a beállítások ablakot zárd be (az ablak jobb felső sarkában az X, ugye :-), persze a ZA futni fog a háttérben, ezt jelzi is a kis ikon a tálcán) és irány a net! |
BEIZZÍTÁS |
A ZA lényege, hogy csak azok a programok érhetik el a hálót, amelyeknek ezt engedélyezed. Így minden egyes internet-használó program indításánál a ZA felteszi a kérdést, hogy a program elérheti-e az internetet. Lássunk egy példát, lépj fel a hálóra, indítsd el a böngésződet, és menj el egy weboldalra. A jobboldali képhez hasonló ablak ugrik majd fel. A kérdés úgy szól: Akarod-e, hogy ez és ez a program (a képen az Inet Explorer) elérhesse az internetet? Ha nem engedélyezed, a ZA blokkolni fogja a program internet-forgalmát. Persze a példánkban szereplő böngészőt szeretnénk használni, úgyhogy azt a YES-re kattintva engedélyezni fogjuk Van itt még egy opció: "Remember the answer each time I use this program", azaz emlékezzen a válaszra minden alkalommal, amikor használom ezt a programot. Példánkban, ha a böngészőnek engedélyezed a net-elérést, de nem X-eled ezt be, akkor a böngésző minden egyes indításakor fel fogja dobni ezt az ablakot. Azaz, a gyakran használt programoknál jelöld be, hogy jegyezze meg ezt a szabályt.
A ZoneAlarm ezen funkciója biztosítja, hogy teljes ellenőrzést gyakorolj, mikor melyik program küldhet illetve fogadhat adatot az internetről. Ez azért fontos, mert vannak olyan - trójainak nevezett - programok, amik a tudtod nélkül biztosítanak teljes hozzáférést a gépedhez gonosz sápadtarcúak számára. Ha netalán van ilyen program a gépeden, a ZoneAlarm erre is jelezni fog. Ezért alapszabály: Ha számodra ismeretlen, gyanús program akar kilépni a netre, akkor NE engedélyezd, azaz a válasz a ZoneAlarm kérdésére NO!
Néhány programnál (pl. ICQ) az előbbi után még egy kérdést feltehet a ZA. A szöveg a következő: "Do you want .... to act as a server?" Azaz: "Akarod, hogy ... program szerverként működjön?". Ha nem tudod konkrétan, mihez is kell ennek a programnak szerverként funkcionálnia, akkor tiltsd le! Pl. az ICQ esetében mindenképpen tiltani kell, mert a kisokos webszervert akar üzemeltetni a gépeden, amit engedélyezve egy gonosz sápadtarcú program segítségével fájlokat lehet letölteni a gépedről a tudtod nélkül. Ugyanígy, pl. a mIRC nevű IRC programnak sem kell szervernek lennie, ott is tiltsd le. Néhány alkalmazásnál ellenben problémát okozhat a tiltás. A Napster esetében pl. te ugyan tudsz letölteni másoktól, de tőled nem lehet letölteni, ha a napster nem szerver. |
AZ EGYES PROGRAMOKRA VONATKOZÓ SZABÁLYOK |
Ha esetleg egy programra vonatkozóan rosszul állítottad be a szabályt, ezt könnyen megváltoztathatod. Kattints a ikonra a tálcán, majd a PROGRAMS gombra. Ezen az oldalon látod felsorolva a programokhoz beállított szabályokat. Az Allow connect oszlopban szerepel értelemszerűen, hogy engedélyezve van-e az elérés a LOCAL (helyi hálózat) és az INTERNET felé. Ha az internetet engedélyezted, akkor a ZA a LOCAL-t automatikusan kipipálja. A ? azt jelenti, minden egyes alkalommal rákérdez majd a programra a ZA. Egy program beállításait az adott oszlopban a megfelelő helyen kattintva is átállíthatod, de ez lehetséges úgy is, hogy a program neve felett jobb gombbal kattintva, az előugró helyi menüből választod ki a megfelelelőt. ALLOW= engedélyezni / DISALLOW = tiltani. Az ALLOW SERVER oszlopban a pipa jelöli, ha az alkalmazás szerverként működhet. Az utolsó oszlopban (PASS LOCK) azt lehet beállítani, hogy az internet zárat átlépheti-e a program. Alapbeállításban a zár a képernyővédő bekapcsolásakor lép érvénybe. |
A ZONEALARM JELENTÉSEIRŐL MÉG NÉHÁNY SZÓ |
Ha békés netezés közben a ZA felpattant egy sárga buborékot, akkor ez azt jelzi, valamilyen adatáramlást blokkolt. Ez kétféle lehet:
- Vagy kifelé irányuló, pl. valamelyik programod egy bizonyos porton kommunikálni akart az interneten és a ZA úgy gondolta, ez nem helyes;
- Vagy befelé irányuló, pl. valaki biztonsági rést keresve a gépeden próbálgatja a portjaidat. (A portok kapuk a gépeden, amiken keresztül adat léphet be, illetve ki az internet felé)
Példa-jelentés egy támadás elhárításáról így néz ki (az IP címet csak hasból írom, ez csak egy példa): The firewall has blocked Internet access to your computer (UDP Port 31337) from 154.212.201.23 (UDP Port 1116). Time: 5/4/00 20:41:00 Magyarul: A tűzfal a számítógépedhez (UDP Port 31337) történő internet hozzáférést blokkolt a 154.212.201.23 címről (UDP Port 1116). Alatta a pontos dátum és idő. (bocs a magyartalan fordításért ;-)) Mit jelent ez? Valaki a 154.212.201.23 címről próbálkozott bejutni a gépedre, méghozzá a BackOrifice nevű trójan segítségével. Ezt az árulja el, hogy a gépedre a 31337. porton próbált belépni, és ezt a portot a BackOrifice használja. - Idegesnek kell lennem erre? - A sápadtarcúak nyitott port keresgélése nyilvánvaló betörési szándékot takar, tehát elcseszett szemétség. Hasonló próbálkozásból viszont egy hónap alatt akár több százat is regisztrálhat a tűzfal, ha mindegyiknél felkapnád a vizet, csak a ráncaid számát növelnéd feleslegesen. A bölcs indián higgadt indián. Ha azonos IP címről (a példában a 154.212.201.23 szám) egy portot valaki megnéz, de ez egyszeri próbálkozás és utána békénhagy, akkor nem kell parázni. Valószínűleg egy szélesebb tartományt szkennelt végig védtelen gépet keresve, és a te gépedről tudomást se szerzett, mivel a ZoneAlarm egyszerűen nem válaszolt az érdeklődésére! Ezzel szemben a védtelen internetezőkre továbbra is veszélyt jelent, ezt ne feledd. - Hogy fordulhat elő mégis, hogy valaki elkezd kitartóan "érdeklődni" a gépem iránt, ha egyszer a ZA "lopakodó üzemmódban" van? - Biztos lehetsz benne, nem véletlenszerűen talált a gépedre. A legvalószínűbb az, hogy valami chat-programot használsz (pl. IRC, valamilyen javás-chat, vagy akár az egyik Messenger program, pl ICQ), ahol ugye látják a jelenléted a többiek, tehát tudják, hogy ott vagy, és az IP-címedről is elég egyszerű tudomást szerezni. Az is lehet, hogy úgynevezett spyware, árulkodós program van a gépeden. A spyware olyan program, amit ingyenesen tölthetsz le az internetről, de az ingyenességét azon keresztül tudja biztosítani a gyártója, hogy reklámokat jelentet meg a program ablakában. Ez még idáig rendben is lenne, de azt elfelejti közölni veled, hogy a program minden elindításánál kapcsolatot épít fel az gyártó cég gépével, és adatokat küld neki (persze nem minden reklámokból élő program spyware!). Hogy ezek az adatcsomagok mit tartalmaznak, sűrű homály fedi, de jobb a spyware-ektől megszabadulni. - Mit lehet tenni a sápadtarcú támadók ellen? - Az Index fórumában a Kiástam a csatabárdot! topikban gyűjtjük az adatokat a támadókról. Ha támadás ér, a logot másold be a topikba. A topik már elég nagy publicitást kapott, az internet szolgáltatók kezdenek rá odafigyelni. A támadó ügyességétől függően különböző eszközökkel lehet felvenni ellene a harcot, ha nagyon béna, előfordulhat, hogy a nevét a szolgáltató segítsége nélkül is ki tudjuk deríteni (teljesen legális eszközökkel), sőt ad abszurdum még egy kedves invitáló levelet is lehet küldeni neki, hogy ugyanmá látogasson már el a topikba mosaxani! ;o) - Mit tegyek, ha biztonságtechnikai kérdésem van vagy problémám akadt a tűzfallal? - Gyere a topikba, és kérdezz bátran.
Végezetül: A lap elején említett vírusírtó programot ne feledd installálni. A magam részéről a Norton Antivirust ajánlom, a Tucowsról itt letöltheted a 30 napos próbaverzióját (30 nap után lejár, de egy uninstall + újrainstall segít a problémán), vagy ha a NAV nem tetszik, valamelyik másikat. Itt pedig az aktuális vírus-adatbázisokat találod, ami nélkül a vírusirtó majdnem olyan, mintha nem is lenne. Az új adatbázist havonta töltsd le, a hanyagság ezen a területen fájdalmas következményekhez vezethet.
Forrás: http://wigwam.sztaki.hu |
|