חומת האש שמגינה עליכם
לחבר מחשב לאינטרנט בלי חומת אש (פיירוול) זה כמו לשים פרה ליד חבורת אריות. זה לא יגמר טוב. איך החומה הזו מגינה על המחשב שלכם?
תדמיינו שאתם חיים בדירה שיש בה פתח אחד בלבד, ובפתח מותקנת דלת חכמה. כמה חכמה הדלת? ובכן, דבר ראשון היא לא מאפשרת לאיש להיכנס לדירה מבחוץ. אף לא לאחד! דבר שני, היא מאפשרת לבן משפחה לצאת מחוץ לבית בתנאי שמראש הוא מציין לאן הוא יוצא, ויהיה מותר לו להיכנס בחזרה רק אם יוכיח שבאמת היה היכן שאמר שיהיה. למשל: אם האבא אמר לדלת שהוא יוצא לקניות בסופר, וחזר גם בלי שקיות אוכל וגם כשנודף ממנו ריח חריף של אלכוהול, וסביר להניח ששוב בילה בפאב, הוא יישאר בחוץ. לתמיד!
נשמע הזוי? עתידני? ובכן זה בגדול עקרון הפעולה של חומת האש, הפיירוול, במחשב שלכם. המחשב הוא הדירה, בני המשפחה הם התוכנות שרוצות לגשת למחשבים אחרים ברחבי האינטרנט, והדלת החכמה היא תוכנת הפיירוול.
איך מחליטים מה ייכנס
בואו נניח, לדוגמה, שאתם עובדים על המחשב האישי שלכם ורוצים לגלוש לאתר ynet.co.il שכתובת האינטרנט שלו היא 192.115.80.66. על מנת לשלוח בקשה לאתר של ynet.co.il הדפדפן שלכם מכין חבילת בקשה שרשום בה שאתם מעוניינים לקבל את הדף הראשי של האתר. אחרי שגמר להכין את החבילה - הדפדפן שולח אותה. החבילה אמורה לצאת דרך כרטיס הרשת של המחשב, שמחובר לתשתית ולספק האינטרנט אל רחבי האינטרנט, ולהגיע למחשבים שמארחים את שרתי ynet. אבל לפני שהחבילה יוצאת החוצה היא נתקלת בחומת האש, שהיא תוכנה שרצה במחשב. חומת האש שמה ידיה על החבילה (מותר לה!), בוחנת אותה לעומק, ומחליטה אם לאפשר לה לצאת מהמחשב החוצה.
כדי להבין איך מחליטה חומת האש אם לחבילה מותר לצאת המחשב, בואו נסתכל על ההגדרות של חומת האש במחשב האישי שלי (Windows 7) – מגיעים להגדרות דרך לוח הבקרה.
הצבע הירוק מציין שחומת האש עובדת ומצבה טוב. לחצתי על ההגדרות המתקדמות (אם אתם לא מכירים את ההגדרות, אל תשנו אותן כדי שלא תמצאו את עצמכם נעולים מחוץ לאתרים חיוניים).
בצד שמאל ניתן לראות שלחומת האש ישנם שני סוגים של חוקים. חוקי יציאה (Outbound) וחוקי כניסה (Inbound). לחצנו על חוקי היציאה.
יש עשרות חוקי יציאה. חלקם פעילים (בצבע ירוק) וחלקם לא פעילים (בצבע אפור). כל חוק כזה קובע אם לאפשר או לחסום סוג מסוים של תקשורת מלצאת מהמחשב החוצה. בהנחה שאין לכם תוכנה זדונית במחשב, יציאה מהמחשב לא מהווה איום גדול. לראיה: בחומת האש מוגדר שאם אין חוק שמתעסק בסוג תקשורת ספציפית, חומת האש מאפשרת יציאה.
זהירות מהנכנסים בשער
הבעיה חמורה יותר כשמדובר בתקשורת נכנסת. חומת האש צריכה למנוע מכל האנשים הרעים שיש שם בחוץ, ויש המון, ליצור קשר עם המחשב שלכם, אבל כן לאפשר זאת לאנשים הטובים (חברים ב Skype, שירותים כמו DropBox או Remote Assistance). לחצנו על חוקי הכניסה (Inbound Rules).
אפשר לראות בחומת האש שיש חוק מוגדר, המאפשר לתוכנת ה Skype "לפתוח חורים" בחומת האש על מנת שתוכל לדבר עם תוכנות Skype אחרות. השאלה שאתם צריכים לשאול מי נתן ל Skype לעשות דבר כזה? והתשובה היא: אתם. ברגע שהתקנתם Skype התוכנה הגדירה חוק כניסה חדש.
מגנים על עסקים
גם אתם יכולים להגדיר חוקי כניסה ויציאה חדשים, אבל מומלץ שתבינו טוב טוב מה אתם עושים. אחרת, או שתחסמו תוכנות טובות, או - יותר גרוע - תפרצו חור בחומת האש. חור שינוצל ע"י האקרים. בעוד פיירוולים למחשבים האישיים הם פשוטים באופן יחסי, פיירוולים לעסקים (כמו של החברה הישראלית צ'ק פוינט) מורכבים הרבה יותר, והם חייבים לא רק לעמוד באיומים רבים ובעומס אדיר, אלא עליהם לעשות זאת גם מבלי לפגוע בעבודה של העסק שעליו הם מגנים. לרוב הם גם מכשירים ייעודיים ועצמאיים, שמותקנים בין רשת המחשבים של העסק לבין האינטרנט, ולא כתוכנה במחשב.
זה, לדוגמה, לוח הבקשה של פיירוול מתוצרת צ'ק פוינט. חוץ מכל היכולות שיש לפיירוול ביתי (כמו הגדרות חוקים) הוא גם מאפשר לאחראי על המחשוב להגדיר סוגי אתרים שאסור לגלוש אליהם. לדוגמה, עובד חברה שינסה לגלוש לאתר מפעל פיס (שהוא אתר הימורים) יראה בדפדפן שלו את הדף הבא:
זה קורה, כמו שצוין קודם, מכיוון שהפיירוול בוחן כל חבילה, וכשהוא מגלה שהחבילה מיועדת לאתר www.pais.co.il, במקום לאפשר לה לצאת החוצה, הוא מחזיר לעובד – שבאמת עדיף שלא יהמר – דף שמודיע לו שאסור לגלוש לאתר הזה בזמן העבודה.
ראש לאריות
עתיד הפיירוול תלוי בגורמים רבים. סוגי האיומים העתידיים, המעבר המסיבי לשירותי ענן, והגידול הענק בשימוש בטלפוניים סלולאריים ובטאבלטים יכתיבו אילו יכולות נוספות יהיה צריך להוסיף. אבל הדבר המרכזי לכל אחד ואחת הוא לזכור שחשוב שיהיה ביניכם לבין האינטרנט פיירוול טוב, שמוגדר כראוי. אחרת גורלכם יהיה כגורל הפרה שפגשה חבורת אריות.
בזמן שניר לא מגדיר חוקים בחומת האש הוא כותב בלוג בשם "החיים על פי ניר "