Tűzfalunk tesztelésére jól bevált eszközök vannak, ezek egyik legjobb lelőhelye a Firewall Leak Tester honlapja. Egész pontosan az itt található 19 részes tesztsorozat letölthető tesztprogramjai. Ezek a programok nagyrészt valós internetes férgek megszelídített változatai, ezért sok víruskereső azonnal „ugrik” rájuk. Valójában kárt nem tesznek, csak demók, viszont pontosan úgy próbálnak áttörni tűzfalunk védelmén, mint vad társaik.
Befelé vagy kifelé?
Az emberek többsége azt hiszi, hogy a tűzfalak a kívülről befelé irányuló támadások ellen védenek. A Firewall Leak Tester faltörői viszont mind belülről kifelé akarják gépünk védelmét kijátszani – hogy is van ez?
A tűzfalak alapfeladata még mindig az, hogy csak az engedélyezett portokon és protokollokon keresztül engedje kommunikálni gépünket. Az ezt szabályzó funkciók évtizedes, jól bevált módszerekre alapulnak, gyakorlatilag nincs mit tesztelni rajtuk, tökéletesen működnek. A gond az manapság, hogy a modern betörési kísérletek – internetes férgek, távoli behatolók stb. – gyakorlatilag mind olyan helyeken próbálkoznak, amiket a tűzfalnak rögzített szabályai szerint nincs lehetősége lezárni. Ezek a pontok a tárva-nyitva álló webböngészők, levelezőprogramok, illetve minden más már szabad utat kapott internetes program.
A felhasználók figyelmetlensége, illetve az esetleges javítás nélkül maradt biztonsági réseken bekúszott károkozók első dolga a kifelé való kommunikáció, egy napra kész tűzfalnak ebben a fázisban kell megcsípnie a betolakodót. A kifelé menő kommunikációra két okból is szüksége van a támadónak. Első sorban azért, mert a támadási kísérletek nem öncélúak, leginkább információkat – bankszámlaszámokat, pinkódokat, levélcímeket – gyűjtenek, ezek továbbítása nem lehet meg kifelé menő kapcsolat nélkül. A másik fontos ok a férgek hazaszólására az, hogy a biztonsági réseken beférő kártevők igazából nagyon kicsik, általában csak néhány száz bájt méretűek. Ahhoz, hogy piszkos tevékenységüket el tudják kezdeni, kódjuk nagyobb részét azonnal le kell töltsék valahogy. Ha nem tud kijutni, gyakorlatilag nem jut be a teljes féreg, mert a már memóriába került behúzó rutinja elhal a feltört alkalmazás – mondjuk az Internet Explorer – bezárásakor.
Itt értünk el arra a pontra, ahol egy modern tűzfalnak közbe kell lépnie: fel kell ismernie, hogy az engedélyezett porton és protokollon keresztül matató program nem a rendszer része, nem is a felhasználó által indított alkalmazás, hanem kártevő, aminek minden kommunikációját blokkolnia kell. Persze a kártevők készítői sem estek a fejükre, tudják, hogy teremtményeik működését álcázniuk kell, mondjuk egy féregnek az Internet Explorerként kell mutatnia magát. A verseny folyamatosan zajlik; a kártevők egyre újabb, a rejtőzködési módszereket vetnek be, a tűzfalak készítői igyekeznek lebuktatni ezeket.
A Firewall Leak Tester leírásai részletesen elmagyarázzák a ma szokásos behatolási technikákat, a PC World októberi számában részletesebben bemutatjuk ezeket. A bátrabbak addig is próbálkozzanak a letölthető tűzfaltesztelő alkalmazásokkal!
