LINUXSOFT.cz Přeskoč levou lištu
Uživatel: Heslo:  
   CZUKPL

> Firewall

Proč používat firewall? Firewall v Linuxu.

12.2.2004 12:00 | o.k. | Články autora | přečteno 16436×

Co to je firewall?

Co to vlastně je ten firewall o kterém se pořád tolik mluví a o kterém se již tolik napsalo? Ve zjednodušeném smyslu, ale zato velice názorném si firewall můžeme představit jako dveře do bytu každého z nás. Zajisté mně dáte za pravdu, že každý z nás má jiné dveře - stejně tak i firewallů je spousta druhů. Každý z nás je více či méně paranoidní a chce se více či méně chránit a odizolovat svůj majetek na kterém mu zaleží od vnějšího okolí a podle toho má i své dveře buď bytelné (mnohdy i pancéřové a neprůstřelné) nebo naopak chatrné a mnohdy je i úplně bez dveří (třeba bezdomovec). Stejně tak je tomu i u firewallů, některé jsou opravdu paranoidně nastavené a povolují jenom minimum protokolů, některé jich povolují více a ostatní nemají firewall vůbec. Co to znamená, že firewally některé protokoly povolují a některé nikoliv? Pokračujme tedy v analogii s našimi dveřmi. Našimi dveřmi pouštíme dovnitř také pouze nám dobře známé osoby a jenom málokdo z nás pustí do bytu cizí osobu. A pokud tak učiní, třeba díky tomu, že ona neznámá osoba se k nám pod nějakou záminkou snažila vloudit a poté co prohlédneme její nekalé úmysly, tak je samozřejmě v našem zájmu ji co nejdříve z našeho bytu vypudit. Firewall, pokud obdrží packet, který nevyhovuje dané sadě našich pravidel nebo je z nějakého jiného důvodu považován za nežádoucí, tak je buď vrácen jeho odesílateli nebo v tichosti zničen, aniž by o tom jeho odesílatel dostal nějakou zprávu. Tady bych chtěl upozornit na to, aby to nikdo nebral jako analogii a návod k tomu, aby cizí osobu, která jej navštíví hned zničil a zakopal někde ve stinném koutu zahrady nebo doma ve sklepě.

Věřím, že výše uvedená analogie přispěla k pochopení funkce firewallu a mnoho lidí díky tomu konečně otevře své oči a pochopí, že firewall není jenom bohapustý výmysl, který se týká jenom velkých a bohatých firem, ale že je stejně tak potřebný jako ochrana pro bezpečný sex.

Proti čemu nás může firewall ochránit?

Je dobré si uvědomit, že firewall nás ochrání vlastně pouze proti nechtěnému síťovému provozu uvnitř lokální sítě. Firewall je ta prvotní hráz, která odděluje Internet od lokální sítě - zakáže všechny pokusy o spojení po daných nepovolených protokolech a na dané nepovolené porty na počítače v lokální síti.

schema firewallu

Proti čemu nás firewall neochrání?

Firewall nás rozhodně neochrání proti útokům, které nejdou přes firewall. Firewall nás také neochrání proti záškodníkům, kteří pracují v naší lokální síti a neochrání nás proti tunelování skrze protokoly směrem k špatně napsaným nebo trójskými koni napadeným klientům. Tunelování HTTP, SMTP a dalších protokolů je velice jednoduché zato ochrana proti tomuto tunelování je velice složitá. Nepleťte si firewall s antivirovou ochranou - proti virům nás firewall také neochrání. Viry jsou však v síti pouze s klienty s operačním systémem Linux/UNIX zatím bezpředmětné.

Jak firewall obvykle vypadá?

Firewall bývá v praxi obvykle zároveň i routerem a většinou se jedná o obyčejný počítač, který dříve sloužil jako desktop, ale v současnosti je již na desktop pomalý. Na firewall pro malou až střední firmu (do 50 počítačů) obvykle postačí nějaké to Pentium 100-200MHz s 32MB paměti a více. Při volbě počítače je obvykle dobré vycházet z toho kolik přibližně předpokládáme firewallovacích pravidel.

Firewall v Linuxu

Rozhodně nečekejte nějaké grafické klikací nastavování jako mají komerční firewally ve Windows. Samozřejmě existují i různé grafické frontendy pro nastavování firewallu v Linuxu, ale trochu potírají tu filozofii, že na firewallu/routeru by nemělo běžet žádné grafické prostředí (někdo by mohl namítnout, že tyto grafické frontendy používá pouze při vzdálené správě, ale co udělá v případě, že vzdálená správa selže a je potřeba pravidla změnit ručně?).

V linuxu je firewall realizován samotným jádrem (kernelem), tedy srdcem celého operačního systému. Uživatel má k dispozici v systému utility, které slouží k nastavení/uložení firewallovacích pravidel a o zbytek - tedy o samotné filtrování packetů se postará kernel.

V jádrech řady 2.2.x je firewall realizován pomocí balíku ipchains. Nejedná se o klasický plnohodnotný firewall, ale o packetový filtr.

Firewall v jádrech řady 2.4.x a 2.6.x je realizován balíkem iptables a jedná se již o skutečný stavový firewall. Firewall je možné buď zakompilovat přímo do jádra nebo jenom jako modul (spíše moduly).

Firewall rozhodně nemůžeme považovat za úplnou komplexní ochranu sítě. Pro úplnou ochranu sítě je zapotřebí nasadit spoustu dalších ochranných prostředků, IDS (Intrusion Detection System) počínaje a správnou politikou a jasně danými pravidly pro uživatele v lokální síti konče.

Potřebuju opravdu ten firewall?

Každý počítač, který je součástí nějaké sítě, ať již máme přidělenu veřejnou IP adresu nebo máme IP adresu privátní (třeba od nějakého providera sítě přes kabelovou televizi) se v momentě, kdy se připojí, stává téměř okamžitě cílem různých pokusů o scanování portů a o průnik do jeho počítače. Většinou se jedná o pokusy od skriptujících dětiček (script kiddies). Co to znamená, že nám někdo scanuje porty? Porty si můžeme představit jako přepínače v dřívější analogové telefonní ústředně. Aby byla síťová karta schopna zároveň obsloužit více různých typů spojení (ftp, ssh, smtp, http, ...) má každá služba (démon)/každý protokol přiřazeno svoje pevně dané číslo portu na kterém naslouchá. Těchto portů může být až 65535. Porty 1 - 1024 jsou privilegované a mohou být obsluhovány pouze pod identitou uživatele root. Ale vraťme se zpět. To, že nám někdo scanuje porty znamená, že se snaží zjistit co všechno nám za služby na počítači běží. Potom už není pro útočníka problém zjistit verze daných, nám na počítači běžících služeb a podle toho zjistit, zda některá z těchto služeb nemá nějakou bezpečnostní díru. A pokud má, ooops - hned ji také náležitě využít. Toto byl jen názorný příklad jak by útočník mohl postupovat - těch způsobů útoků je samozřejmě nekonečné množství. Můžete si to vyzkoušet sami jak je snadné někomu scanovat porty - v linuxu je jedním z nástrojů na scanování portů a zjišťování typu OS na scanovaném počítači nástroj nmap nebo jeho grafická varianta xnmap. Tento nástroj je vhodný i ke kontrole vlastního počítače a i ke kontrole nastavení firewallu.

nmap na Microsoft

Potřebný síťový provoz a takovéto pokusy o scanování portů můžete díky propracovanému logování (úroveň a druh logovaných událostí si můžete zvolit) snadno dohledat v logu firewallu. Zjistíte, že váš firewall je denně vystavován opravdu velkému množství síťového balastu.

Pokud vás výše uvedený text ještě pořád nepřesvědčil o nutnosti firewallu, tak si zkuste na chvíli spustit sniffovací program typu tcpdump nebo ethereal a chvíli sledovat aktivitu na vaší síťové kartě. To vás snad přesvědčí :-)

Náklady na firewall v prostředí Linuxu jsou minimální (a to jak náklady na softwarové vybavení, tak i na hardwarové vybavení). V Linuxu za koncovou cenu získáte zcela funkční a dané situaci maximálně přizpůsobený firewall. Náklady na firewall v prostředí OS Windows jsou o poznání vyšší. Je zapotřebí výkonnější hardware a cena pouze za firewall (nenastavený) se pohybuje od 1 500Kč (licence za Kerio Personal Firewall 4 na 1 počítač) přes cenu 85 000Kč (Kerio Personal Firewall 4 pro 100 PC) až do neuvěřitelných částek. Pokud chcete mít firewall zároveň s routerem - což je v Linuxu samozřejmost, zaplatíte pro malou síť o 10 PC částku 10 000Kč (Kerio WinRoute Firewall 5).

Komerční sdělení: Nabízíme zprovoznění a konfiguraci firewallů na Linuxu. Nabízíme předinstalované firewally za 2500Kč včetně DPH. Základní nastavení. Pokročilé nastavení dle dohody... Kontaktujte nás na e-mailové adrese: servis@linuxsoft.cz.

Verze pro tisk

pridej.cz

 

DISKUZE

Nejsou žádné diskuzní příspěvky u dané položky.



Příspívat do diskuze mohou pouze registrovaní uživatelé.
> Vyhledávání software
> Vyhledávání článků

13.2.2018 0:41 /František Kučera
Únorový pražský sraz OpenAltu se koná 15. 2. 2018 a tentokrát se vydáme na návštěvu do jednoho pražského datacentra. Sejdeme se v 17:50 v severovýchodní části nástupiště tramvajové zastávky Koh-I-Noor. Po exkurzi se přesuneme do restaurace U Pštrosa (Moskevská 49), kde probereme tradiční témata (svobodný software a hardware, DIY, CNC, SDR, 3D tisk…) a tentokrát bude k vidění i IoT brána od The Things Network.
Přidat komentář

11.2.2018 23:11 /Petr Ježek
Hledáte lehký a rychlý prolížeč PDF souborů? Pokud vás již omrzelo čekat na načítání stránek či jiné nešvary, zkuste xreader.
Přidat komentář

11.2.2018 20:35 /Redakce Linuxsoft.cz
Třetí ročník odborné IT konference na téma Cloud computing v praxi proběhne ve čtvrtek 1. března 2018 v konferenčním centru Vavruška, v paláci Charitas, Karlovo náměstí 5, Praha 2 (u metra Karlovo náměstí) od 9:00 hod. dopoledne do cca 16 hod. odpoledne. Konference o trendech v oblasti cloud computingu nabídne i informace o konkrétních možnostech využívání cloudů a řešení vybraných otázek souvisejících s provozem IT infrastruktury.
Přidat komentář

15.1.2018 0:51 /František Kučera
První letošní pražský sraz se koná již tento čtvrtek 18. ledna od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Vítáni jsou všichni příznivci svobodného softwaru a hardwaru, ESP32, DIY, CNC, SDR nebo dobrého piva. Prvních deset účastníků srazu obdrží samolepku There Is No Cloud… just other people's computers. od Free Software Foundation.
Přidat komentář

14.11.2017 16:56 /František Kučera
Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Zajímá tě DIY, CNC, SDR nebo morseovka? Přijď na sraz spolku OpenAlt – tradičně první čtvrtek před třetím pátkem v měsíci: 16. listopadu od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5).
Přidat komentář

12.11.2017 11:06 /Redakce Linuxsoft.cz
PR: 4. ročník odborné IT konference na téma Datová centra pro business proběhne již ve čtvrtek 23. listopadu 2017 v konferenčním centru Vavruška, v paláci Charitas, Karlovo náměstí 5, Praha 2 (u metra Karlovo náměstí) od 9:00. Konference o návrhu, budování, správě a efektivním využívání datových center nabídne odpovědi na aktuální a často řešené otázky, např Jaké jsou aktuální trendy v oblasti datových center a jak je využít pro vlastní prospěch? Jak zajistit pro firmu či jinou organizaci odpovídající služby datových center? Podle jakých kritérií vybrat dodavatele služeb? Jak volit součásti infrastruktury při budování či rozšiřování vlastního datového centra? Jak efektivně spravovat datové centrum? Jak eliminovat možná rizika? apod.
Přidat komentář

13.9.2017 8:00 /František Kučera
Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Zajímá tě DIY, CNC, SDR nebo morseovka? Přijď na sraz spolku OpenAlt – tentokrát netradičně v pondělí: 18. září od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5).
Přidat komentář

3.9.2017 20:45 /Redakce Linuxsoft.cz
PR: Dne 21. září 2017 proběhne v Praze konference "Mobilní řešení pro business". Hlavní tématy konference budou: nejnovější trendy v oblasti mobilních řešení pro firmy, efektivní využití mobilních zařízení, bezpečnostní rizika a řešení pro jejich omezení, správa mobilních zařízení ve firmách a další.
Přidat komentář

   Více ...   Přidat zprávičku

> Poslední diskuze

20.2.2018 18:48 / Ivan Majer
portal

20.2.2018 15:57 / Jan Havel
Jak využíváte služby cloudu v podnikání?

16.1.2018 1:08 / Ivan Pittner
verejna ip od o2 ubuntu

15.1.2018 17:26 / Mira Harvalik
Re: Jak udělat HTML/Javascript swiping gallery do mobilu?

30.12.2017 20:16 / Michal Knoll
odmocnina

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2018) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze