LINUXSOFT.cz Přeskoč levou lištu
Uživatel: Heslo:  
   CZUKPL

> Firewall

Proč používat firewall? Firewall v Linuxu.

12.2.2004 12:00 | o.k. | Články autora | přečteno 16317×

Co to je firewall?

Co to vlastně je ten firewall o kterém se pořád tolik mluví a o kterém se již tolik napsalo? Ve zjednodušeném smyslu, ale zato velice názorném si firewall můžeme představit jako dveře do bytu každého z nás. Zajisté mně dáte za pravdu, že každý z nás má jiné dveře - stejně tak i firewallů je spousta druhů. Každý z nás je více či méně paranoidní a chce se více či méně chránit a odizolovat svůj majetek na kterém mu zaleží od vnějšího okolí a podle toho má i své dveře buď bytelné (mnohdy i pancéřové a neprůstřelné) nebo naopak chatrné a mnohdy je i úplně bez dveří (třeba bezdomovec). Stejně tak je tomu i u firewallů, některé jsou opravdu paranoidně nastavené a povolují jenom minimum protokolů, některé jich povolují více a ostatní nemají firewall vůbec. Co to znamená, že firewally některé protokoly povolují a některé nikoliv? Pokračujme tedy v analogii s našimi dveřmi. Našimi dveřmi pouštíme dovnitř také pouze nám dobře známé osoby a jenom málokdo z nás pustí do bytu cizí osobu. A pokud tak učiní, třeba díky tomu, že ona neznámá osoba se k nám pod nějakou záminkou snažila vloudit a poté co prohlédneme její nekalé úmysly, tak je samozřejmě v našem zájmu ji co nejdříve z našeho bytu vypudit. Firewall, pokud obdrží packet, který nevyhovuje dané sadě našich pravidel nebo je z nějakého jiného důvodu považován za nežádoucí, tak je buď vrácen jeho odesílateli nebo v tichosti zničen, aniž by o tom jeho odesílatel dostal nějakou zprávu. Tady bych chtěl upozornit na to, aby to nikdo nebral jako analogii a návod k tomu, aby cizí osobu, která jej navštíví hned zničil a zakopal někde ve stinném koutu zahrady nebo doma ve sklepě.

Věřím, že výše uvedená analogie přispěla k pochopení funkce firewallu a mnoho lidí díky tomu konečně otevře své oči a pochopí, že firewall není jenom bohapustý výmysl, který se týká jenom velkých a bohatých firem, ale že je stejně tak potřebný jako ochrana pro bezpečný sex.

Proti čemu nás může firewall ochránit?

Je dobré si uvědomit, že firewall nás ochrání vlastně pouze proti nechtěnému síťovému provozu uvnitř lokální sítě. Firewall je ta prvotní hráz, která odděluje Internet od lokální sítě - zakáže všechny pokusy o spojení po daných nepovolených protokolech a na dané nepovolené porty na počítače v lokální síti.

schema firewallu

Proti čemu nás firewall neochrání?

Firewall nás rozhodně neochrání proti útokům, které nejdou přes firewall. Firewall nás také neochrání proti záškodníkům, kteří pracují v naší lokální síti a neochrání nás proti tunelování skrze protokoly směrem k špatně napsaným nebo trójskými koni napadeným klientům. Tunelování HTTP, SMTP a dalších protokolů je velice jednoduché zato ochrana proti tomuto tunelování je velice složitá. Nepleťte si firewall s antivirovou ochranou - proti virům nás firewall také neochrání. Viry jsou však v síti pouze s klienty s operačním systémem Linux/UNIX zatím bezpředmětné.

Jak firewall obvykle vypadá?

Firewall bývá v praxi obvykle zároveň i routerem a většinou se jedná o obyčejný počítač, který dříve sloužil jako desktop, ale v současnosti je již na desktop pomalý. Na firewall pro malou až střední firmu (do 50 počítačů) obvykle postačí nějaké to Pentium 100-200MHz s 32MB paměti a více. Při volbě počítače je obvykle dobré vycházet z toho kolik přibližně předpokládáme firewallovacích pravidel.

Firewall v Linuxu

Rozhodně nečekejte nějaké grafické klikací nastavování jako mají komerční firewally ve Windows. Samozřejmě existují i různé grafické frontendy pro nastavování firewallu v Linuxu, ale trochu potírají tu filozofii, že na firewallu/routeru by nemělo běžet žádné grafické prostředí (někdo by mohl namítnout, že tyto grafické frontendy používá pouze při vzdálené správě, ale co udělá v případě, že vzdálená správa selže a je potřeba pravidla změnit ručně?).

V linuxu je firewall realizován samotným jádrem (kernelem), tedy srdcem celého operačního systému. Uživatel má k dispozici v systému utility, které slouží k nastavení/uložení firewallovacích pravidel a o zbytek - tedy o samotné filtrování packetů se postará kernel.

V jádrech řady 2.2.x je firewall realizován pomocí balíku ipchains. Nejedná se o klasický plnohodnotný firewall, ale o packetový filtr.

Firewall v jádrech řady 2.4.x a 2.6.x je realizován balíkem iptables a jedná se již o skutečný stavový firewall. Firewall je možné buď zakompilovat přímo do jádra nebo jenom jako modul (spíše moduly).

Firewall rozhodně nemůžeme považovat za úplnou komplexní ochranu sítě. Pro úplnou ochranu sítě je zapotřebí nasadit spoustu dalších ochranných prostředků, IDS (Intrusion Detection System) počínaje a správnou politikou a jasně danými pravidly pro uživatele v lokální síti konče.

Potřebuju opravdu ten firewall?

Každý počítač, který je součástí nějaké sítě, ať již máme přidělenu veřejnou IP adresu nebo máme IP adresu privátní (třeba od nějakého providera sítě přes kabelovou televizi) se v momentě, kdy se připojí, stává téměř okamžitě cílem různých pokusů o scanování portů a o průnik do jeho počítače. Většinou se jedná o pokusy od skriptujících dětiček (script kiddies). Co to znamená, že nám někdo scanuje porty? Porty si můžeme představit jako přepínače v dřívější analogové telefonní ústředně. Aby byla síťová karta schopna zároveň obsloužit více různých typů spojení (ftp, ssh, smtp, http, ...) má každá služba (démon)/každý protokol přiřazeno svoje pevně dané číslo portu na kterém naslouchá. Těchto portů může být až 65535. Porty 1 - 1024 jsou privilegované a mohou být obsluhovány pouze pod identitou uživatele root. Ale vraťme se zpět. To, že nám někdo scanuje porty znamená, že se snaží zjistit co všechno nám za služby na počítači běží. Potom už není pro útočníka problém zjistit verze daných, nám na počítači běžících služeb a podle toho zjistit, zda některá z těchto služeb nemá nějakou bezpečnostní díru. A pokud má, ooops - hned ji také náležitě využít. Toto byl jen názorný příklad jak by útočník mohl postupovat - těch způsobů útoků je samozřejmě nekonečné množství. Můžete si to vyzkoušet sami jak je snadné někomu scanovat porty - v linuxu je jedním z nástrojů na scanování portů a zjišťování typu OS na scanovaném počítači nástroj nmap nebo jeho grafická varianta xnmap. Tento nástroj je vhodný i ke kontrole vlastního počítače a i ke kontrole nastavení firewallu.

nmap na Microsoft

Potřebný síťový provoz a takovéto pokusy o scanování portů můžete díky propracovanému logování (úroveň a druh logovaných událostí si můžete zvolit) snadno dohledat v logu firewallu. Zjistíte, že váš firewall je denně vystavován opravdu velkému množství síťového balastu.

Pokud vás výše uvedený text ještě pořád nepřesvědčil o nutnosti firewallu, tak si zkuste na chvíli spustit sniffovací program typu tcpdump nebo ethereal a chvíli sledovat aktivitu na vaší síťové kartě. To vás snad přesvědčí :-)

Náklady na firewall v prostředí Linuxu jsou minimální (a to jak náklady na softwarové vybavení, tak i na hardwarové vybavení). V Linuxu za koncovou cenu získáte zcela funkční a dané situaci maximálně přizpůsobený firewall. Náklady na firewall v prostředí OS Windows jsou o poznání vyšší. Je zapotřebí výkonnější hardware a cena pouze za firewall (nenastavený) se pohybuje od 1 500Kč (licence za Kerio Personal Firewall 4 na 1 počítač) přes cenu 85 000Kč (Kerio Personal Firewall 4 pro 100 PC) až do neuvěřitelných částek. Pokud chcete mít firewall zároveň s routerem - což je v Linuxu samozřejmost, zaplatíte pro malou síť o 10 PC částku 10 000Kč (Kerio WinRoute Firewall 5).

Komerční sdělení: Nabízíme zprovoznění a konfiguraci firewallů na Linuxu. Nabízíme předinstalované firewally za 2500Kč včetně DPH. Základní nastavení. Pokročilé nastavení dle dohody... Kontaktujte nás na e-mailové adrese: servis@linuxsoft.cz.

Verze pro tisk

pridej.cz

 

DISKUZE

Nejsou žádné diskuzní příspěvky u dané položky.



Příspívat do diskuze mohou pouze registrovaní uživatelé.
> Vyhledávání software
> Vyhledávání článků

14.11.2017 16:56 /František Kučera
Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Zajímá tě DIY, CNC, SDR nebo morseovka? Přijď na sraz spolku OpenAlt – tradičně první čtvrtek před třetím pátkem v měsíci: 16. listopadu od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5).
Přidat komentář

12.11.2017 11:06 /Redakce Linuxsoft.cz
PR: 4. ročník odborné IT konference na téma Datová centra pro business proběhne již ve čtvrtek 23. listopadu 2017 v konferenčním centru Vavruška, v paláci Charitas, Karlovo náměstí 5, Praha 2 (u metra Karlovo náměstí) od 9:00. Konference o návrhu, budování, správě a efektivním využívání datových center nabídne odpovědi na aktuální a často řešené otázky, např Jaké jsou aktuální trendy v oblasti datových center a jak je využít pro vlastní prospěch? Jak zajistit pro firmu či jinou organizaci odpovídající služby datových center? Podle jakých kritérií vybrat dodavatele služeb? Jak volit součásti infrastruktury při budování či rozšiřování vlastního datového centra? Jak efektivně spravovat datové centrum? Jak eliminovat možná rizika? apod.
Přidat komentář

13.9.2017 8:00 /František Kučera
Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Zajímá tě DIY, CNC, SDR nebo morseovka? Přijď na sraz spolku OpenAlt – tentokrát netradičně v pondělí: 18. září od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5).
Přidat komentář

3.9.2017 20:45 /Redakce Linuxsoft.cz
PR: Dne 21. září 2017 proběhne v Praze konference "Mobilní řešení pro business". Hlavní tématy konference budou: nejnovější trendy v oblasti mobilních řešení pro firmy, efektivní využití mobilních zařízení, bezpečnostní rizika a řešení pro jejich omezení, správa mobilních zařízení ve firmách a další.
Přidat komentář

15.5.2017 23:50 /František Kučera
Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Zajímá tě DIY, CNC, SDR nebo morseovka? Přijď na sraz spolku OpenAlt, který se bude konat ve čtvrtek 18. května od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5).
Přidat komentář

12.5.2017 16:42 /Honza Javorek
PyCon CZ, česká konference o programovacím jazyce Python, se po dvou úspěšných ročnících v Brně bude letos konat v Praze, a to 8. až 10. června. Na konferenci letos zavítá např. i Armin Ronacher, známý především jako autor frameworku Flask, šablon Jinja2/Twig, a dalších projektů. Těšit se můžete na přednášky o datové analytice, tvorbě webu, testování, tvorbě API, učení a mentorování programování, přednášky o rozvoji komunity, o použití Pythonu ve vědě nebo k ovládání nejrůznějších zařízení (MicroPython). Na vlastní prsty si můžete na workshopech vyzkoušet postavit Pythonem ovládaného robota, naučit se učit šestileté děti programovat, efektivně testovat nebo si v Pythonu pohrát s kartografickým materiálem. Kupujte lístky, dokud jsou.
Přidat komentář

2.5.2017 9:20 /Eva Rázgová
Putovní konference československé Drupal komunity "DrupalCamp Československo" se tentokrát koná 27. 5.2017 na VUT FIT v Brně. Můžete načerpat a vyměnit si zkušenosti z oblasti Drupalu 7 a 8, UX, SEO, managementu týmového vývoje, využití Dockeru pro Drupal a dalších. Vítáni jsou nováčci i experti. Akci pořádají Slovenská Drupal Asociácia a česká Asociace pro Drupal. Registrace na webu .
Přidat komentář

1.5.2017 20:31 /Pavel `Goldenfish' Kysilka
PR: 25.5.2017 proběhne v Praze konference na téma Firemní informační systémy. Hlavními tématy jsou: Informační systémy s vlastní inteligencí, efektivní práce s dokumenty, mobilní přístup k datům nebo využívání cloudu.
Přidat komentář

   Více ...   Přidat zprávičku

> Poslední diskuze

5.12.2017 11:50 / Thomas
kitchen renovations

18.9.2017 14:37 / Rojas
high security vault

15.9.2017 7:33 / Wilson
new zealand childcare jobs

31.8.2017 12:11 / Jaromir Obr
Re: ukůládání dat ze souboru

30.7.2017 11:12 / Jaromir Obr
Národní znaky

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2017) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze