INTERNET4U

Jak na Internet server ? (11)

V minulých dílech jsem se zabýval systémem práce sítě Internet a nastavením serveru pro různé síťové služby. V posledním jsem se začal blíže zabývat zabezpečením sítě před průnikem zvenčí a problematikou nazývající se firewall.

K čemu slouží firewall ?

Firewall je v principu zařízení, mající více než jedno TCP/IP rozhraní. Firewall však nepracuje jako router, aby všechny packety od stroje A pro stroj B posílal definovanou cestou, ale umí si mezi packety vybírat podle definovaného klíče a tak lze pomocí firewallu např. pro definovaný stroj 191.192.193.194 zakázat přístup na TCP/IP sockety telnetu, ftp a rloginu, stejně jako pro 191.192.193.195 zakázat jen přístupy na TCP/IP sockety WWW a sendmailu a lze samozřejmě též definovat výjimky, odkud smí být přístup možný. Některé firewallové systémy též umějí tzv. IP Masquerding, což znamená, že se celá síť (nebo velká její část) tváří jako jediná IP adresa. V principu neznamená, že firewall samotný zvýší bezpečnost vaší sítě, mnohem důležitější je naplánovat rozumnou bezpečnostní politiku celé sítě. Základní politiky zabezpečení počítačových systémů jsou zhruba čtyři:

1. promiskuitní (nic není zakázáno, vše je povoleno)

2. tolerantní (co není explicitně zakázáno je povoleno)

3. direktivní (co není explicitně povoleno je zakázáno)

4. paranoidní (všechno je zakázáno, nic není povoleno)

Tyto čtyři druhy politiky zabezpečení můžeme ještě diferencovat pro vlastní uživatele a pro přístupy z venku, tj. třeba počítač s významnými firemními daty bude mít pro vlastní uživatele politiku direktivní a pro přístupy z venku politiku paranoidní. Naopak třeba nějaký veřejně přístupný systém bude mít pro přístupy z venku politiku tolerantní a pro přístupy privilegovaných uživatelů zevnitř politiku promiskuitní. To jsou však extrémní případy, většina systémů má zabezpečovací politiku pro přístupy vlastních uživatelů v rozmezí variant 2 až 3, pro přístupy zvenku pak v rozmezí 2 až 4.

Teprve v návaznosti na zabezpečovací politiku sítě lze zvažovat případné použití firewallu. Osobně nejsem velkým zastáncem těchto zařízení, protože dobře zabezpečený unixový systém je podle mého názoru stejně bezpečný s firewallem, jako bez něj. Navíc i do firewallu se může případný narušitel nabourat a pak vám je celé tohle slavné zařízení platné asi jako slepému dalekohled.

Implementace firewallu

Nejdostupnější implementací systému firewallu bude asi operační systém Linux, pokud si zkompilujete kernel s podporou IP Firewalling. Dále budete potřebovat programový balík ipfwadm, který si stáhnete ze sítě, kde, to nejlépe zjistíte na Nosey Parkeru či na AltaVistě. Nastavení sice nepatří k nejjednodušším, ale v balíku je k dispozici jak návod, tak i pár sample nastavení.

Dalšími implementaci firewallu jsou například komerční produkty AEGIS Firewall, Livingston IRC Firewall, Brimstone Firewall, BorderWare, NetGuard a dlouhá řada dalších produktů, některé pro různé implementace Unixu (nejčastěji FreeBSD/NetBSD/BSDI) nebo i pro Windows NT. Většina jich je také extrémně drahá (řádově tisíce až desetitisíce $) a zcela určitě nesplní to, co o nich tvrdí propagační materiály.

Zbyněk Pospíchal


Horké novinky - únor '97 | Horké novinky | internet4U homepage