Sektion 3 – Maksimal sikkerhed

Opdatering december 2015:
Denne vejledning vedligeholdes ikke længere.
Vi henviser i stedet til sektionen Generel IT-sikkerhed.

 

Applikationsfirewalls
– Firewalls med HIPS (Host Intrusion Prevention System)

Fordele: Ekstremt høj sikkerhed, gratis.
Ulemper: Besværligt at konfigurere og giver pop-ups som skal besvares korrekt.

En af de mest effektive måder at sikre en PC på, er via en firewall med HIPS, også kaldt en host-based application firewall, eller på dansk en applikationsfirewall. De applikationsfirewalls vi beskriver på denne side er gratis, og anvender HIPS-teknologier der er fundamentalt anderledes end den signaturbaserede detektion som et traditionelt antivirus er baseret på. De kan blokere for det malware og de hacker-angreb som antivirusset må give op overfor. For forståelsens skyld har vi valgt at beskrive de væsentligste af de anvendte HIPS-teknologier som henholdsvis “whitelisting” og “behavior blocking”.

 

Whitelisting
Som beskrevet i Antivirus – En forældet teknologi benytter et traditionelt antivirus blacklisting. De her anbefalede applikationsfirewalls bruger derimod whitelisting (også kendt som “default-deny”), hvilket er klart at foretrække når man har sikkerheden i fokus. Det betyder, at med disse programmer installeret, er udgangspunktet, at intet program og ingen process på computeren har lov at foretage sig noget. Den mindste handling medfører en pop-up som man skal tage stilling til; vil man tillade eller blokere? Hvis en hackers spionprogram forsøger at starte, så kan du stoppe det med et simpelt klik på “bloker”. Hvis du bliver angrebet via din browser og en keylogger forsøger at installere sig, så kan du igen bare klikke “bloker”. Malware kan simpelthen intet foretage sig på din computer med mindre du tillader det.

Klik her hvis du vil se en begyndervenlig video-gennemgang af princippet om whitelisting/default-deny.

Sikkerhedsprogrammer baseret på whitelisting kan blive ekstremt effektive fordi de kan stoppe malware før malwaren får mulighed for at køre eller foretage sig noget på computeren. Men de medfører også en del pop-ups, og til tider kan det være vanskeligt at vurdere hvad der skal tillades og hvad der skal blokeres. Tillader man alt, giver en applikationsfirewall overhovedet ingen sikkerhed og er meningsløs at have installeret. Blokerer man alt, kan programmer man godt vil bruge, ikke fungere før man igen har fjernet blokeringen fra dem.

 

Behavior blocking
Traditionel behavior blocking forsøger i modsætning til traditionelt antivirus ikke at identificere malware, og det skelner ikke imellem “gode” og “onde” programmer. I stedet holder behavior blocking øje med de handlinger som programmer foretager på computeren. Nogle handlinger kan være særlig typiske for malware og vil i langt de fleste tilfælde være ondsindede. Sådanne mistænkelige handlinger vil en traditionel behavior blocker reagere på.
De anbefalede applikationsfirewalls fungerer lidt anderledes, ved ikke at tage stilling til, om bestemte handlinger virker mistænkelige. I stedet giver de besked om handlinger der rent teoretisk kunne være udført af malware, og som berører følsomme dele af computeren. Det kan give en del pop-ups i starten fra de mange legitime programmer der er installeret, men det stilner snart af, og det vil samtidig være nærmest umuligt for malware at foretage sig noget af betydning, uden at du får en pop-up der spørger om du vil tillade eller blokere handlingen. Ligesom de ovenfor beskrevne pop-ups, der spørger om du vil tillade eller blokere et program der forsøger at starte på din computer, så behøver du blot at vælge “bloker” for at stoppe den potentielt skadelige handling.

Vær opmærksom på, at selv om denne type behavior blocking (normalt omtalt som et “klassisk HIPS”) i sig selv er yderst effektivt, så kræver det stadig at man ikke bare klikker “tillad” til alt. Bemærk også, at behavior blocking er at betragte som en sekundær forsvarslinie, mens det er din whitelisting der er første forsvarslinie. Hvis du besvarer dine pop-ups korrekt, så vil malware blive effektivt blokeret fra overhovedet at starte på din computer, eftersom det ikke er kendt og tilladt ifølge din “whitelist”. Når malwaren ikke får lov at starte på computeren, kan den ikke engang forsøge at foretage ondsindede handlinger. Malwaren vil derfor kun nå frem til din sekundære forsvarslinie, hvis du svarer forkert på den første pop-up, og dermed giver malwaren lov til at starte på computeren. Dermed er malwaren forbi din første forsvarslinie og møder nu din sekundære forsvarslinie.

 

Håndtering af pop-ups
Når du lige har installeret en applikationsfirewall og genstartet computeren, så bør du åbne og lukke dine programmer ét for ét. På den måde kan du med det samme give applikationsfirewallen besked om, at tillade de programmer du har installeret, så du ikke fremover får så mange pop-ups. Dermed bliver dine programmer kendt i applikationsfirewallens whitelist, og har fremover lov til at starte. Prøv også at foretage de mest almindelige handlinger med programmerne, så du kan udløse nogle pop-ups fra behavior blockingen, og igen give dine programmer de nødvendige tilladelser på computeren.

Når du herefter er i tvivl om hvorvidt du skal tillade eller blokere en handling som din applikationsfirewall gør dig opmærksom på, så husk:

  • 1. Hvis du ikke genkender programmet, så bloker.
  • 2. Hvis du ikke bevidst foretager ændringer på computeren, så bloker.

Ændringer på computeren kan være når du installerer eller afinstallerer et program, hvis du er ved at ændre nogle indstillinger, eller hvis du starter et nyt program for første gang (et program der lige er blevet opdateret kan også opfattes som “nyt”). Så kan du roligt tillade.
Hvis du derimod får en pop-up fra din applikationsfirewall mens du bare surfer rundt på nettet, så skal du være forsigtig. Og vær især forsigtig hvis du ikke genkender det program der forsøger at foretage sig noget. Det kan være malware, og det skal blokeres. Skulle du komme til at blokere et legitimt program, så kan blokeringen fjernes igen i applikationsfirewallen.

Hvis du stadig ikke kan afgøre om et program skal tillades eller blokeres, så kan det nogle gange hjælpe at søge på internettet ud fra de oplysninger din applikationsfirewall giver i den pågældende pop-up.

Her er nogle eksempler på pop-ups. Det ser kompliceret ud, men det munder altid ud i samme spørgsmål; vil du tillade eller blokere? Ud fra ovenstående ved du nu hvordan du skal svare.

De forholdsvis mange pop-ups er den store begrænsning ved denne type sikkerhedsprogram. Det er heldigvis sådan, at når man én gang har tilladt en bestemt handling på computeren, så kan man sætte et flueben ved, at tilladelsen skal huskes fremover. Antallet af pop-ups stilner derfor af med tiden. Derudover er det almindeligt at applikationsfirewalls på forhånd har tilladt en række kendte programmer via en indbygget whitelist. Du behøver derfor ikke tage stilling til om Internet Explorer, Microsoft Word, eller andre kendte programmer må køre.
Man kan også sætte HIPS-modulet i Training Mode de første par dage. Derved bliver alle handlinger, fra alle programmer på computeren godkendt, og vil blive husket fremover. Dette sker helt uden pop-ups fra HIPS-modulet. Bare vær opmærksom på, at man ikke er beskyttet så længe man er i Training Mode.

 

Valg af Applikationsfirewall
Man behøver ikke være ekspert for at bruge en applikationsfirewall, men en vis viden om IT-sikkerhed er klart en fordel. Og hvis man straks bliver irriteret ved synet af en pop-up, så skal man holde sig til andre sikkerhedsprogrammer. Jo mere tid man er villig til at bruge på at fin-tune sin applikationsfirewall, og jo mere teknisk indsigt man har i hvordan de overvågede processer på computeren fungerer og hvordan de skal beskyttes, jo højere sikkerhed kan man opnå. Om man opnår ekstremt høj, eller ligefrem dårlig sikkerhed, er helt op til brugeren.

De følgende applikationsfirewalls anbefales. De bruger meget få systemressourcer, og hvis de anvendes fuldstændig korrekt, så behøver man strengt taget ikke anden sikkerhed. Det er dog også muligt at kombinere dem med for eksempel et antivirus eller en behavior blocker.
.

Online Armor
– Forholdsvis brugervenlig applikationsfirewall.
– Husk at downloade gratis-versionen.
– Efter installationen vælges Limited freeware version. Følg derefter instrukserne på skærmen.
– Bemærk at supporten ophører marts 2016.

 

Comodo Firewall
– Avanceret og kompliceret applikationsfirewall med mange funktioner.
– Under installationen fravælges at installere alt andet end Comodo Firewall.
– VIGTIGT: Sandbox-funktionen skal slås fra for at opnå maksimal beskyttelse.

.

.

.
Relateret læsning:
Manual til Online Armor.
Manual til Comodo Firewall.
Best Free Firewall Protection
HIPS Explained

What is a HIPS?
What is HIPS and how does it work?