Nedßvno se mi dostal do ruky pom∞rn∞ svΘrßzn² program pro firewall. Pokud vßm termφn firewall nic ne°φkß, v∞zte, ₧e jde o program urΦen² pro zabezpeΦenφ vaÜφ lokßlnφ sφt∞ v∙Φi pr∙niku zvenΦφ. Jak takov² program pracuje? Filtruje TCP/IP pakety mezi dv∞ma Φi vφce odd∞len²mi sφt∞mi podle urΦit²ch, p°esn∞ definovan²ch pravidel. Je nap°φklad mo₧nΘ odmφtnout pakety nevy₧ßdanΘ Φi vy₧ßdanΘ ji₧ p°ed dlouhou dobou, pakety pochßzejφcφ z neov∞°en²ch mφst atd.
AvÜak ani firewall nenφ vÜespasiteln², sni₧uje sice riziko pr∙niku do vaÜφ sφt∞, pokud se v tematice zabezpeΦenφ poΦφtaΦ∙ v∙bec nevyznßte, ale pokud mßte p°ijatou dobrou koncepci zabezpeΦenφ vaÜφ sφt∞, firewall pro vßs bude v∞cφ do jistΘ mφry zbyteΦnou. Nehled∞ k tomu, ₧e n∞kterΘ druhy infiltracφ, nap°. neautorizovanΘ ActiveX applety (ActiveX je v∙bec takovß dφra do systΘmu), makroviry zneu₧φvajφcφ mezery v produktech Microsoftu, posφlanΘ e-mailem (i proti tomu existuje jednoduchß obrana, spoΦφvajφcφ v pou₧φvßnφ spolehlivΘho mailovΘho klienta) atd. Dob°e zabezpeΦen² server na Unixu je bez firewallu stejn∞ bezpeΦn², jako s nφm.
V∞nujme se vÜak samotnΘmu GNAT Boxu. Ji₧ z poΦßtku mne p°ekvapilo, ₧e dokumentace obsahuje vysv∞tlenφ, jak GNAT Box nainstalovat pod Windows 95, Windows 3.x, DOSem, na MacIntoshi a pod unixov²mi systΘmy. InstalaΦnφ program vÜak funguje asi takto: po₧ßdß vßs o disketu a z CD vytvo°φ bootovacφ disketu.
Nechßpu, proΦ tuto disketu v²robce nedodßvß rovnou mφsto CD disku, urΦit∞ by jej to vyÜlo levn∞ji ne₧ CD a navφc by uÜet°il instalujφcφm Φas. Ale to by na obalu nemohlo b²t napsßno, ₧e jde o CD-ROM verzi. Na samotnΘm CD disku jsou zabrßny asi 4 MB. Musφm se p°iznat, ₧e jsem se pokouÜel disketu GNAT Boxu generovat pod OS/2, kde jak instalaΦnφ program pro DOS, tak instalaΦnφ program pro Windows 3.x prohlßsil, ₧e nem∙₧e zamknout disketovou jednotku. PoslΘze mi tedy nezbylo, ne₧ disketu vygenerovat pomocφ programu rawrite z utilit Slackware distribuce Linuxu. I vsunul jsem disketu do mechaniky a zaΦal jsem bootovat. Objevilo se cosi, co siln∞ p°ipomφnß natahovßnφ unixov²ch kernel∙.
Kernel si zaΦal prohledßvat hardware poΦφtaΦe, naÜel pat°iΦn² poΦet sφ¥ov²ch karet, objevila se hlßÜka s verzφ a zßkladnφ nßpov∞da GNAT Boxu. Nynφ si m∙₧ete pomocφ kombinace funkΦnφch klßves spustit administrßtorskΘ prost°edφ (znaΦn∞ p°ipomφnajφcφ unixov² p°φkazov² °ßdek, avÜak znaΦn∞ mΘn∞ pohodlnΘ) a nakonfigurovat sφ¥ovß rozhranφ, routing, \tunely\ skrze firewall atd. Kdy₧ povolφte www interface, m∙₧ete GNAX box administrovat i prost°ednictvφm WWW browseru (ale logicky jen z chrßn∞nΘho segmentu). Krom∞ zßkladnφch dvou segment∙ externφho a chrßn∞nΘho, umo₧≥uje GNAT box definovat jeÜt∞ specißlnφ z≤nu t°etφ, kam se umis¥ujφ ve°ejn∞ p°φstupnΘ, ale do jistΘ mφry z obou stran chrßn∞nΘ servery.
Ke klad∙m systΘmu lze jeÜt∞ p°iΦφst, ₧e nevy₧aduje pevn² disk, nelze se na n∞j dostat ani Telnetem, ani niΦφm podobn²m (vyjma ji₧ uvedenΘho WWW interface), nelze na n∞j p°idat ₧ßdnΘ dalÜφ protokoly ani spouÜt∞t jakΘkoli externφ programy. Vzhledem k tomu, ₧e jsem GNAT Box nepodrobil prohlφdce debuggerem, nemohu potvrdit ani vyvrßtit domn∞nku, zda si auto°i ve firewallu nenechali zadnφ vrßtka, ale pova₧uji to za nepravd∞podobnΘ.
Co se mi lφbilo ji₧ mΘn∞ je, ₧e moji oblφbenou sφ¥ovou kartu HP 10/100VG GNAT box bohu₧el neznß.
GNAT Box u nßs prodßvß firma INFIMA, znßmß hlavn∞ svojφ obrovskou BBS, kterß tΘ₧ realizuje u₧ivatelskou podporu. Musφm potvrdit, ₧e prodejce problematiku programu skuteΦn∞ znß. Pokud se tedy nespolΘhßte na svΘ schopnosti co se t²Φe obrany proti pr∙niku do sφt∞ a o nßkupu firewallu uva₧ujete, GNAT Box si klidn∞ kupte. Jß nadßle pojedu bez firewallu a klidn∞ se vsadφm o lßhev whisky, ₧e se mi do Unixu stejn∞ nedostanete. ;-)
Zbyn∞k Pospφchal
