Jednoduchý firewall pro váš Android: AFWall+
Karel Kilián
Asi jen málokdo si troufne připojit počítač bez aktivního firewallu přímo k Internetu, neboť rizika infiltrace jsou značná a zejména systém Windows XP bez aktualizací bude v takovém případě v řádu jednotek minut úspěšně atakován. Jaký firewall byste si ale měli nainstalovat na svůj mobilní telefon s Androidem? Možností je více – my jsme otestovali AFWall+, který dokáže omezit přístup aplikací k Internetu, takže můžete rozhodnout, které programy mohou na síť pouze při připojení přes Wi-Fi, které i skrze mobilní data, a které naopak vůbec.
Jednoduchý firewall pro váš Android: AFWall+Co AFWall+ slibuje?
Autor hned na prvním místě popisku v Obchodě Play důrazně upozorňuje, že aplikace funguje pouze na rootnutých zařízeních. Pokud nemáte na svém telefonu či tabletu práva roota, je naprosto zbytečné se pokoušet o její instalaci a zprovoznění.
Aplikace samotná je v podstatě jen grafickým uživatelským rozhraním k linuxové funkci iptables, která funguje na tomto operačním systému jako firewall. Uživateli dovoluje určit, které aplikace mají či nemají mít přístup k Internetu prostřednictvím mobilního datového připojení (včetně roamingu) a bezdrátových sítí (samozřejmě bude fungovat i na tabletech s výhradně Wi-Fi konektivitou).
Co jsou iptables?
Odpověď na otázku, co jsou vlastně iptables, jsme našli v české Wikipedii: „iptables je v informatice název pro user space nástroj v Linuxu, který slouží pro nastavování pravidel firewallu v jádře. Pravidla firewallu mohou být stavová i nestavová a mohou ovlivňovat příchozí, odchozí i procházející IP datagramy. Pravidla jsou v jádře zpracovávána několika netfilter moduly.“
Seznam funkcí aplikace AFWall+
Seznam funkcí a vlastností je poměrně dlouhý:
- Podporuje Android 2.2 až 4.4.x.
- Import/export pravidel na externí úložiště.
- Možnost importu pravidel z aplikace DroidWall.
- Filtrování a vyhledávání aplikací.
- Více pojmenovaných profilů.
- Podpora aplikací pro automatizaci telefonu Tasker / Locale.
- Výběr všech/ničeho/invertování/smazání označení aplikací pro každý sloupec tabulky.
- Prohlížeč pravidel a záznamů s možností kopírování/exportu do externího úložiště.
- Zvýraznění systémových aplikací vlastní barvou,
- Upozornění na nově nainstalované programy.
- Možnost skrýt ikonu aplikace.
- Možnost použití gesta pro ochranu aplikace.
- Zobrazení/skrytí ID aplikace.
- Nastavení chování pro roaming.
- Podpora VPN.
- Podpora LAN.
- Podpora tetheringu.
- Podpora IPv6/IPv4.
- Možnost nastavení aplikace jako správce zařízení, čímž ji ochráníte před odinstalací.
- Podpora zařízení x86/MIPS/ARM.
- Nový widget dovoluje přepínat profily.
- Upozornění na zablokování datových paketů včetně možnosti jejich zobrazení.
- Aplikace je lokalizována do více než dvaceti jazyků včetně češtiny (slovenské čtenáře zklameme – do slovenštiny ještě nebyl tento program přeložen).
Jak AFWall+ funguje v praxi?
Po prvním spuštění AFWall+ načte seznam aplikací a požádá o práva roota, která mu musíte udělit. Následně se ocitnete v tabulce, kde s pěti sloupci:
- Ikona aplikace.
- Zatržítko povolující přístup k LAN.
- Zatržítko povolující přístup k Wi-Fi.
- Zatržítko povolující přístup k mobilním datům.
- Název aplikace.
 Po prvním spuštění AFWall+ požádá o práva roota |
 Seznam aplikací (zde s aktivním filtrem) |
 Ve výchozím stavu program běží v režimu White list, |
My jsme jako první navštívili nastavení, kde jsme v sekci Languages přepnuli na českou lokalizaci (aplikace tedy ve výchozím stavu běží v angličtině). V horní části okna se dočtete, že program běží v režimu White list, což v praxi znamená, že vybrané aplikace mají přístup k Internetu. Klepnutím na tuto informaci můžete přepnout na obrácený mód Black list, kdy vybrané aplikace mají zakázaný přístup k síti, zatímco ty ostatní přistupovat mohou. Záleží jen na vašich osobních preferencích, který režim vám bude lépe vyhovovat.
Klepnutím na záhlaví sloupců se zatržítky vyvoláte nabídku hromadných operací, kde můžete aktivovat všechna zatržítka, deaktivovat je, případně invertovat dosavadní výběr. V tomto místě se ukazuje ne právě ideální optimalizace grafického rozhraní, kdy poslední tlačítko „přetéká“ mimo obraz.
Ikonka lupy slouží, jak by se dalo s ohledem na zvyklosti předpokládat, k vyhledávání v seznamu aplikací. Hledání je průběžné, takže se během zadávání seznam postupně filtruje jen na ty programy, které odpovídají dosud zadaným znakům.
 Výběr akce na sloupci |
 Ikona lupy slouží k vyhledávání |
 Hlavní nabídka aplikace |
Nejvíce možností najdete pod tradiční ikonou s třemi tečkami nebo též stisku tlačítka [Menu] na telefonu. Před aplikováním je nutné nastavená pravidla Uložit, poté z té samé nabídky můžete Zapnout firewall (v případě, že je firewall zapnutý, ho právě zde můžete kdykoli vypnout). Nabídka dále čítá tyto položky:
- Zapnout/vypnout firewall – zastavení a spuštění filtrování síťového provozu firewallem. Při vypnutí aplikace vymaže pravidla, při zapnutí je naopak zapíše.
- Aplikovat (při vypnutém firewallu Uložit) – zapíše nastavená pravidla do iptables – v případě spuštěného firewallu začínají tímto momentem podmínky platit. Pokud pravidla neuložíte, zeptá se AFWall+ při ukončení, zda si tak přejete učinit.
- Protokol firewallu – protokolování je nejprve nutné zapnout v nastavení v sekci Předvolby aktivací volby Povolit protokolování firewallu. Poté v této sekci najdete provozní záznamy.
- Pravidla firewallu – zobrazení souboru iptables.
 Pokud pravidla neuložíte, AFWall+ se zeptá |
 Protokol firewallu |
 Pravidla firewallu |
- Nastavit heslo – spuštění aplikace AFWall+ lze podmínit zadáním hesla.
- Vlastní skripty – zadání vlastních skriptů, které budou spuštěny při zapnutí a vypnutí firewallu.
- Předvolby – nastavení možností aplikace.
 Nastavení hesla |
 Zadání vlastních skriptů |
 Možnosti nastavení aplikace |
- Znovu načíst – opětovné načtení seznamu nastavených pravidel.
- Exportovat/importovat pravidla – exportuje pravidla na paměťovou kartu do složky afwall, odkud je lze opětovně importovat (například po návratu systému do továrního nastavení či změně ROM).
- Importovat pravidla DW – import pravidel nastavených konkurenční aplikací DroidWall.
- Nápověda – informace o aplikaci a zobrazení odpovědí na nejčastěji kladené otázky.
- Odejít – opuštění aplikace (neznamená ale ukončení filtrování).
Na vyzkoušení jsme povolili přístup k Internetu pouze Obchodu Play – použili jsme tedy režim White list a aktivovali zatržítka výhradně u této aplikace, zatímco u všech ostatních jsme je nechali neaktivní. Uložili jsme nastavení přes nabídku Aktivovat a ověřili, zda se z jednotlivých programů dostaneme na Internet. Výsledek splnil očekávání – všechny aplikace hlásily nedostupné datové připojení, pouze Obchod Play fungoval jako obvykle, ovšem jen do momentu, kdy jsme začali stahovat aplikace. Nepovolili jsme totiž přístup dalším systémovým službám, proto funkce stahování nebyla schopná dokončit úkol. Poté, co jsme povolili přístup systémovým procesům, jsme již aplikace mohli instalovat bez problémů.
 Foursquare má zakázaný přístup k síti |
 Google+ má zakázaný přístup k síti |
 Obchod Play má povolený přístup k síti |
V případě nově nainstalovaného programu se při pokusu o přístup na web AFWall+ neptá, což vnímáme asi jako největší nevýhodu. Bezprostředně po nainstalování alespoň upozorní v oznamovací liště, že přibyla nová aplikace, a standardním způsobem pak můžete určit, zda a kdy smí přistupovat k Internetu.
 Upozornění na novou aplikaci |
 V režimu white list má aplikace přístup zakázaný |
 V režimu white list zatržítky přístup povolíme |
Na alternativní ROMce CyanogenMod ve verzi 11 M5 fungoval AFWall+ přesně tak, jak bychom očekávali. Překvapení ale přišlo na méně populární ROM OmniROM verze 20140329 NIGHTLY, která sice taktéž běží na Androidu 4.4.2, nicméně bez ohledu na nastavení firewallu všechny aplikace přistupovaly k Internetu skrze mobilní připojení i Wi-Fi. Nefungovalo ani zaznamenávání aktivity firewallu.
Možnosti nastavení
V možnostech nastavení, které najdete pod položkou Předvolby v hlavní nabídce aplikace, můžete například povolit protokolování firewallu, skrýt ikony aplikací ze seznamu, případně aktivovat filtr seznamu, který pomocí přepínače zobrazí jen procesy/aplikace jádra, systémové nebo nainstalované uživatelem. Dále je možné zobrazit identifikátoru UID aplikace a systémové programy odlišit vybranou barvou písma.
 Možnosti nastavení AFWall+ |
 Možnosti nastavení AFWall+ |
 Možnosti nastavení AFWall+ |
Jak jsme zmínili výše, v nastavení také naleznete možnost změny jazyka, ve kterém AFWall+ komunikuje. Kromě hesla lze aplikaci zabezpečit také gestem s omezeným počtem pokusů, před nežádoucí odinstalací program ochráníte nastavením coby správce zařízení.
AFWall+ také může povolit příchozí připojení (například pokud na tabletu/telefonu provozujete nějaký typ serveru) či aktivovat víceuživatelský režim. Užitečné mohou být také profily, mezi kterými lze snadno přepínat, takže není problém mít jednu sadu pravidel například pro firemní síť a druhou, která bude platit při připojení z domova nebo skrze mobilní data. Mezi pravidly lze ale přepínat pouze manuálně, případně přes widget na domovské obrazovce.
 Možnosti nastavení |
 Možnosti nastavení |
 Možnosti nastavení |
Možností je ještě daleko více, nicméně rozebírat je od první do poslední by patrně bylo zbytečné – lokalizace do naší mateřštiny je dobrá a není problém pochopit, co která položka vlastně dělá.
Resumé
Ačkoli je problematika softwarových firewallů poměrně široká a snad pro všechny operační systémy existují velice propracované aplikace tohoto typu určené profesionálům a odborníkům na síťový provoz, AFWall+ jde opačnou cestou – orientuje se na nenáročné uživatele. Jeho hlavní funkcí je zakázání/povolení přístupu k Internetu a omezení připojení pouze na mobilní konektivitu či naopak jen přes Wi-Fi.
Uživatelské prostředí je prosté a snadno pochopitelné – základem je seznam programů, ve kterém lze zatržítky povolit/zakázat přístup k síti. Ve snazší orientaci pomáhá i poměrně povedený překlad do češtiny. Spíše než o pokročilý firewall jde ale o aplikaci, která povoluje či zakazuje přístup vybraných programů k Internetu.
Kritizovat můžeme patrně jen jednu vlastnost: aplikace neumí režim „nechť rozhodne uživatel“. Pokud se tedy některý program pokusí přistoupit k síti, nezobrazí dialogové okno s dotazem, zda mu to povolíte/zakážete, ale striktně se drží výchozího nastavení (tj. v režimu White list přístup zakazuje). Alespoň, že uživatele upozorňuje skrze oznamovací lištu, že by bylo vhodné podívat se na nastavení po instalaci nové aplikace. Drobnou výtku také musíme mít k „přetékajícím“ tlačítkům v uživatelském rozhraní.
Během týdenního testování jsme nezaznamenali žádný problém, který by stál za zmínku – provoz firewallu se nepodepisoval (a pokud ano, tak ne výrazně) na spotřebě baterie, ani jsme neměli (subjektivní) pocit zpomalení systému nebo přenosu dat. Své dojmy jsme se ale rozhodli otestovat pomocí aplikace DSL.cz. Provedli jsme pět měření se zapnutým firewallem a pět s vypnutým, přičemž telefon byl připojen přes mobilní data. Nejhorší a nejlepší výsledek jsme škrtli, ze zbylých tří pak spočítali průměr. V případě zapnutého firewallu byla průměrná naměřená hodnota 2,62 Mbit/s. S vypnutým firewallem byl výsledek 2,70 Mbit/s, což víceméně potvrzuje naše slova, že AFWall+ nijak zásadně nezpomaluje datové přenosy.
Aplikaci, která je k dispozici zdarma, si zatím stáhlo více než 50 tisíc uživatelů a její průměrná známka v Obchodě Play je 4,4. Instalační balíček velký 3,5 MB vyžaduje Android 2.2 a vyšší.
Spokojený uživatel Jan Novák ke svému hodnocení pěti hvězdičkami napsal komentář: „100x lepší než ty staré zabugované jako např. DroidWall, tohle si z něho sice bere příklad, ale zcela to vylepšuje.“ Podobně to vidí také Jirka Dittrich: „Pro mne zatím nejkvalitnější firewall na droid.“
Radek Toman
Jan Tipmann
Jakub Kárník
Komentáře (19)
Přidat komentář