| |
Jak na Internet server ? (11)
K Φemu slou₧φ firewall ? Firewall je v principu za°φzenφ, majφcφ vφce ne₧ jedno TCP/IP rozhranφ. Firewall vÜak nepracuje jako router, aby vÜechny packety od stroje A pro stroj B posφlal definovanou cestou, ale umφ si mezi packety vybφrat podle definovanΘho klφΦe a tak lze pomocφ firewallu nap°. pro definovan² stroj 191.192.193.194 zakßzat p°φstup na TCP/IP sockety telnetu, ftp a rloginu, stejn∞ jako pro 191.192.193.195 zakßzat jen p°φstupy na TCP/IP sockety WWW a sendmailu a lze samoz°ejm∞ tΘ₧ definovat v²jimky, odkud smφ b²t p°φstup mo₧n². N∞kterΘ firewallovΘ systΘmy tΘ₧ um∞jφ tzv. IP Masquerding, co₧ znamenß, ₧e se celß sφ¥ (nebo velkß jejφ Φßst) tvß°φ jako jedinß IP adresa. V principu neznamenß, ₧e firewall samotn² zv²Üφ bezpeΦnost vaÜφ sφt∞, mnohem d∙le₧it∞jÜφ je naplßnovat rozumnou bezpeΦnostnφ politiku celΘ sφt∞. Zßkladnφ politiky zabezpeΦenφ poΦφtaΦov²ch systΘm∙ jsou zhruba Φty°i: 1. promiskuitnφ (nic nenφ zakßzßno, vÜe je povoleno) 2. tolerantnφ (co nenφ explicitn∞ zakßzßno je povoleno) 3. direktivnφ (co nenφ explicitn∞ povoleno je zakßzßno) 4. paranoidnφ (vÜechno je zakßzßno, nic nenφ povoleno) Tyto Φty°i druhy politiky zabezpeΦenφ m∙₧eme jeÜt∞ diferencovat pro vlastnφ u₧ivatele a pro p°φstupy z venku, tj. t°eba poΦφtaΦ s v²znamn²mi firemnφmi daty bude mφt pro vlastnφ u₧ivatele politiku direktivnφ a pro p°φstupy z venku politiku paranoidnφ. Naopak t°eba n∞jak² ve°ejn∞ p°φstupn² systΘm bude mφt pro p°φstupy z venku politiku tolerantnφ a pro p°φstupy privilegovan²ch u₧ivatel∙ zevnit° politiku promiskuitnφ. To jsou vÜak extrΘmnφ p°φpady, v∞tÜina systΘm∙ mß zabezpeΦovacφ politiku pro p°φstupy vlastnφch u₧ivatel∙ v rozmezφ variant 2 a₧ 3, pro p°φstupy zvenku pak v rozmezφ 2 a₧ 4. Teprve v nßvaznosti na zabezpeΦovacφ politiku sφt∞ lze zva₧ovat p°φpadnΘ pou₧itφ firewallu. Osobn∞ nejsem velk²m zastßncem t∞chto za°φzenφ, proto₧e dob°e zabezpeΦen² unixov² systΘm je podle mΘho nßzoru stejn∞ bezpeΦn² s firewallem, jako bez n∞j. Navφc i do firewallu se m∙₧e p°φpadn² naruÜitel nabourat a pak vßm je celΘ tohle slavnΘ za°φzenφ platnΘ asi jako slepΘmu dalekohled. Implementace firewallu Nejdostupn∞jÜφ implementacφ systΘmu firewallu bude asi operaΦnφ systΘm Linux, pokud si zkompilujete kernel s podporou IP Firewalling. Dßle budete pot°ebovat programov² balφk ipfwadm, kter² si stßhnete ze sφt∞, kde, to nejlΘpe zjistφte na Nosey Parkeru Φi na AltaVist∞. Nastavenφ sice nepat°φ k nejjednoduÜÜφm, ale v balφku je k dispozici jak nßvod, tak i pßr sample nastavenφ. DalÜφmi implementaci firewallu jsou nap°φklad komerΦnφ produkty AEGIS Firewall, Livingston IRC Firewall, Brimstone Firewall, BorderWare, NetGuard a dlouhß °ada dalÜφch produkt∙, n∞kterΘ pro r∙znΘ implementace Unixu (nejΦast∞ji FreeBSD/NetBSD/BSDI) nebo i pro Windows NT. V∞tÜina jich je takΘ extrΘmn∞ drahß (°ßdov∞ tisφce a₧ desetitisφce $) a zcela urΦit∞ nesplnφ to, co o nich tvrdφ propagaΦnφ materißly. Zbyn∞k Pospφchal
|