Page 108 - cgo333

COMPUTER ΓΙΑ ΟΛΟΥΣ

108

H E L P D E S K

συγκεκριμένη ενέργεια. Αυτό

που κάνετε στην πραγματικότη-

τα όταν ενημερώνετε το firewall

ότι ένα πρόγραμμα μπορεί να

συνδεθεί με το Internet, είναι

ότι δημιουργείτε έναν κανόνα,

ο οποίος με απλά λόγια δηλώ-

νει: αν το συγκεκριμένο πρό-

γραμμα επιχειρήσει να συνδε-

θεί με το Internet, επίτρεψε αυ-

τήν την ενέργεια. Σε αυτήν την

περίπτωση ειδοποιείτε το

firewall ότι είναι θεμιτό για το

Outlook να λειτουργήσει ως

client και να απευθύνει αίτημα

σε servers στο Internet (όπως ο

mail server).

Tα software firewalls διατη-

ρούν ένα αρχείο όλων των

προγραμμάτων στα οποία επι-

τρέπεται ή απαγορεύεται να

ενεργούν ως clients, οπότε εί-

ναι εύκολο να τροποποιήσετε

τις ρυθμίσεις, αν το κρίνετε

σκόπιμο.

Παρότι είναι εύκολο να λάβε-

τε μία απόφαση όταν το

Outlook ή ο Firefox επιχειρούν

να προσπελάσουν το Internet,

δεν μπορούμε να ισχυριστούμε

το ίδιο για μερικά από τα πιο

παράξενα ονόματα προγραμ-

μάτων και υπηρεσιών που θα

αντιμετωπίσετε. Για παράδειγ-

μα, η ονομασία Generic Host

Process για Win32 ίσως ακού-

γεται παράξενη, αλλά αν δεν

της επιτρέψετε την πρόσβαση

στο Διαδίκτυο, δεν θα μπορείτε

να αναλύσετε ονόματα DNS,

όπως

www.cgomag.gr,

στις

αντίστοιχες IP διευθύνσεις.

Όταν ένα πρόγραμμα επιχει-

ρεί να ενεργοποιήσει εισερχό-

μενες συνδέσεις, το software

firewall θα θεωρήσει ότι επιχει-

ρεί να λειτουργήσει ως server.

Ως γενικό κανόνα σάς προτεί-

νουμε να μην παρέχετε τη δυ-

νατότητα σε οποιαδήποτε προ-

γράμματα στον υπολογιστή

σας να λειτουργούν ως servers,

εκτός αν είστε βέβαιοι ότι αυτό

είναι απαραίτητο.

Όταν ένα πρόγραμμα δρα

ως server, σύμφωνα με τους

κανόνες του firewall, η θύρα

που χρησιμοποιείται από αυτό

παραμένει ανοιχτή καθ’ όλη τη

διάρκεια της εκτέλεσής του και

εξασφαλίζει πρόσβαση σε ει-

σερχόμενες συνδέσεις από το

Internet.

Aυτό είναι συχνά αναγκαίο,

για παράδειγμα, αν επιθυμείτε

να συνδεθεί κάποιος φίλος σας

σε έναν FTP server στο δίκτυό

σας. Επίσης, πολλά παιχνίδια

είναι απαραίτητο να ρυθμι-

στούν ως servers, προκειμένου

να λειτουργήσουν σωστά στο

δίκτυο.

Ο τρόπος με τον οποίο δια-

μορφώνονται οι κανόνες σχετι-

κά με την εξερχόμενη κυκλο-

φορία εξαρτάται από το συγκε-

κριμένο μοντέλο του router που

διαθέτετε. Ωστόσο, οι βασικές

ρυθμίζεις περιλαμβάνονται στο

τμήμα Firewall ή Security

Settings.

Αντίθετα με τα software

firewalls, που επιτρέπουν τον

έλεγχο της πρόσβασης στο

Internet ανά πρόγραμμα ή υπη-

ρεσία, τα περισσότερα firewalls

που βασίζονται σε hardware

απαιτούν να καθορίσετε το εί-

δος της κυκλοφορίας που επι-

τρέπεται να εξέρχεται από το

δίκτυό σας με βάση το πρωτό-

κολλο που εφαρμόζεται. Για

παράδειγμα, είναι πιθανό να

μπορείτε να εισαγάγετε κανόνα

στο firewall του router που να

δηλώνει ότι όλη η εξερχόμενη

κυκλοφορία επιτρέπεται, εκτός

από εκείνη που προορίζεται για

συγκεκριμένες θύρες. Εναλλα-

κτικά, το firewall σας ίσως να

διαχειρίζεται την εξερχόμενη

κυκλοφορία με τον ακριβώς

αντίθετο τρόπο: επιτρέποντας

τις εξερχόμενες συνδέσεις για

κάθε port εκτός από εκείνες για

τις οποίες έχει σαφώς δηλωθεί

ότι απαγορεύεται.

Η πλειονότητα των hardware

firewalls χρησιμοποιεί τη δεύτε-

ρη από τις προαναφερόμενες

μεθόδους.

Υποθέτοντας ότι το hardware

firewall που διαθέτετε πράττει

το ίδιο, είναι απαραίτητο να το

ρυθμίσετε να απαγορεύει

όλους τους τύπους κυκλοφο-

ρίας που δεν επιθυμείτε να

εξέρχονται από το δίκτυό σας.

Για παράδειγμα, αν οι μοναδι-

κές ενέργειες που εκτελείτε εί-

ναι η πλοήγηση στον Παγκό-

σμιο Ιστό και η αποστολή και

λήψη e-mail, τότε ενδείκνυται η

απαγόρευση όλων των πρωτο-

κόλλων, εκτός από τα HTTP,

HTTPS, SMTP, POP3 και DNS.

Με αυτές τις ρυθμίσεις, όλες οι

άλλες προσπάθειες εξερχόμε-

νων συνδέσεων (όπως η προ-

σπάθεια προσπέλασης FTP

server) δεν θα ήταν εφικτές.

Παρ’ όλα αυτά, το σύστημά

σας δεν είναι τόσο ασφαλές

όσο φαίνεται, καθώς εξακολου-

θεί να υπάρχει μία ενδεχόμενη

αιτία προβλημάτων. Επειδή το

firewall επιτρέπει εξερχόμενες

συνδέσεις μέσω των πρωτο-

κόλλων που προαναφέρθηκαν,

δεν αντιμετωπίζει με διαφορετι-

κό τρόπο την κυκλοφορία που

χρησιμοποιεί HTTP είτε προέρ-

χεται από τον Firefox είτε από

κάποιο πρόγραμμα spyware.

Για το firewall όλες οι αιτήσεις

HTTP που προέρχονται από το

PC σας είναι ίδιες.

CΓO

A

ν επιμένετε να βασίζεστε μόνο στο

hardware firewall για την προστασία από

ανεπιθύμητες εξερχόμενες συνδέσεις,

το καλύτερο που έχετε να κάνετε, είναι να δη-

μιουργήσετε κανόνες όσο το δυνατόν πιο αυ-

στηρούς, που θα απαγορεύουν την υλοποίηση

προσπαθειών σύνδεσης όταν προέρχονται

από πρωτόκολλα που δεν χρησιμοποιείτε συ-

νήθως. Αν σε ένα PC που βρίσκεται πίσω από

hardware firewall έχετε εγκατεστημένο ένα

πρόγραμμα που λειτουργεί ως server πα-

ρέχoντας πρόσβαση σε απομακρυσμένους

χρήστες, τότε απαιτείται η διαμόρφωση ενός

λεγόμενου εικονικού server. Για παράδειγμα,

ας υποθέσουμε ότι σε ένα από τα PCs στο

ιδιωτικό δίκτυό σας εκτελείται η υπηρεσία IIS

με εγκατεστημένο το προσωπικό σας Web

site. Η προεπιλογή του firewall είναι να απαγο-

ρεύει κάθε προσπάθεια σύνδεσης εξωτερικού

χρήστη μέσω της HTTP port 80 της δημόσιας

διεύθυνσης IP. Για να καταστεί εφικτή η επι-

κοινωνία εξωτερικών χρηστών με τον server,

πρέπει να δημιουργήσετε έναν κανόνα στο

firewall, ο οποίος θα αποδέχεται την κυκλοφο-

ρία που προορίζεται για την TCP port 80 της

δημόσιας διεύθυνσης και κατόπιν θα την προ-

ωθεί στην TCP port 80 της ιδιωτικής διεύθυν-

σης του Web server.

FIREWALL & KANONEΣ