LINUXSOFT.cz Přeskoč levou lištu
Uživatel: Heslo:  
   CZUKPL

> Firewall

Proč používat firewall? Firewall v Linuxu.

12.2.2004 12:00 | o.k. | Články autora | přečteno 16835×

Co to je firewall?

Co to vlastně je ten firewall o kterém se pořád tolik mluví a o kterém se již tolik napsalo? Ve zjednodušeném smyslu, ale zato velice názorném si firewall můžeme představit jako dveře do bytu každého z nás. Zajisté mně dáte za pravdu, že každý z nás má jiné dveře - stejně tak i firewallů je spousta druhů. Každý z nás je více či méně paranoidní a chce se více či méně chránit a odizolovat svůj majetek na kterém mu zaleží od vnějšího okolí a podle toho má i své dveře buď bytelné (mnohdy i pancéřové a neprůstřelné) nebo naopak chatrné a mnohdy je i úplně bez dveří (třeba bezdomovec). Stejně tak je tomu i u firewallů, některé jsou opravdu paranoidně nastavené a povolují jenom minimum protokolů, některé jich povolují více a ostatní nemají firewall vůbec. Co to znamená, že firewally některé protokoly povolují a některé nikoliv? Pokračujme tedy v analogii s našimi dveřmi. Našimi dveřmi pouštíme dovnitř také pouze nám dobře známé osoby a jenom málokdo z nás pustí do bytu cizí osobu. A pokud tak učiní, třeba díky tomu, že ona neznámá osoba se k nám pod nějakou záminkou snažila vloudit a poté co prohlédneme její nekalé úmysly, tak je samozřejmě v našem zájmu ji co nejdříve z našeho bytu vypudit. Firewall, pokud obdrží packet, který nevyhovuje dané sadě našich pravidel nebo je z nějakého jiného důvodu považován za nežádoucí, tak je buď vrácen jeho odesílateli nebo v tichosti zničen, aniž by o tom jeho odesílatel dostal nějakou zprávu. Tady bych chtěl upozornit na to, aby to nikdo nebral jako analogii a návod k tomu, aby cizí osobu, která jej navštíví hned zničil a zakopal někde ve stinném koutu zahrady nebo doma ve sklepě.

Věřím, že výše uvedená analogie přispěla k pochopení funkce firewallu a mnoho lidí díky tomu konečně otevře své oči a pochopí, že firewall není jenom bohapustý výmysl, který se týká jenom velkých a bohatých firem, ale že je stejně tak potřebný jako ochrana pro bezpečný sex.

Proti čemu nás může firewall ochránit?

Je dobré si uvědomit, že firewall nás ochrání vlastně pouze proti nechtěnému síťovému provozu uvnitř lokální sítě. Firewall je ta prvotní hráz, která odděluje Internet od lokální sítě - zakáže všechny pokusy o spojení po daných nepovolených protokolech a na dané nepovolené porty na počítače v lokální síti.

schema firewallu

Proti čemu nás firewall neochrání?

Firewall nás rozhodně neochrání proti útokům, které nejdou přes firewall. Firewall nás také neochrání proti záškodníkům, kteří pracují v naší lokální síti a neochrání nás proti tunelování skrze protokoly směrem k špatně napsaným nebo trójskými koni napadeným klientům. Tunelování HTTP, SMTP a dalších protokolů je velice jednoduché zato ochrana proti tomuto tunelování je velice složitá. Nepleťte si firewall s antivirovou ochranou - proti virům nás firewall také neochrání. Viry jsou však v síti pouze s klienty s operačním systémem Linux/UNIX zatím bezpředmětné.

Jak firewall obvykle vypadá?

Firewall bývá v praxi obvykle zároveň i routerem a většinou se jedná o obyčejný počítač, který dříve sloužil jako desktop, ale v současnosti je již na desktop pomalý. Na firewall pro malou až střední firmu (do 50 počítačů) obvykle postačí nějaké to Pentium 100-200MHz s 32MB paměti a více. Při volbě počítače je obvykle dobré vycházet z toho kolik přibližně předpokládáme firewallovacích pravidel.

Firewall v Linuxu

Rozhodně nečekejte nějaké grafické klikací nastavování jako mají komerční firewally ve Windows. Samozřejmě existují i různé grafické frontendy pro nastavování firewallu v Linuxu, ale trochu potírají tu filozofii, že na firewallu/routeru by nemělo běžet žádné grafické prostředí (někdo by mohl namítnout, že tyto grafické frontendy používá pouze při vzdálené správě, ale co udělá v případě, že vzdálená správa selže a je potřeba pravidla změnit ručně?).

V linuxu je firewall realizován samotným jádrem (kernelem), tedy srdcem celého operačního systému. Uživatel má k dispozici v systému utility, které slouží k nastavení/uložení firewallovacích pravidel a o zbytek - tedy o samotné filtrování packetů se postará kernel.

V jádrech řady 2.2.x je firewall realizován pomocí balíku ipchains. Nejedná se o klasický plnohodnotný firewall, ale o packetový filtr.

Firewall v jádrech řady 2.4.x a 2.6.x je realizován balíkem iptables a jedná se již o skutečný stavový firewall. Firewall je možné buď zakompilovat přímo do jádra nebo jenom jako modul (spíše moduly).

Firewall rozhodně nemůžeme považovat za úplnou komplexní ochranu sítě. Pro úplnou ochranu sítě je zapotřebí nasadit spoustu dalších ochranných prostředků, IDS (Intrusion Detection System) počínaje a správnou politikou a jasně danými pravidly pro uživatele v lokální síti konče.

Potřebuju opravdu ten firewall?

Každý počítač, který je součástí nějaké sítě, ať již máme přidělenu veřejnou IP adresu nebo máme IP adresu privátní (třeba od nějakého providera sítě přes kabelovou televizi) se v momentě, kdy se připojí, stává téměř okamžitě cílem různých pokusů o scanování portů a o průnik do jeho počítače. Většinou se jedná o pokusy od skriptujících dětiček (script kiddies). Co to znamená, že nám někdo scanuje porty? Porty si můžeme představit jako přepínače v dřívější analogové telefonní ústředně. Aby byla síťová karta schopna zároveň obsloužit více různých typů spojení (ftp, ssh, smtp, http, ...) má každá služba (démon)/každý protokol přiřazeno svoje pevně dané číslo portu na kterém naslouchá. Těchto portů může být až 65535. Porty 1 - 1024 jsou privilegované a mohou být obsluhovány pouze pod identitou uživatele root. Ale vraťme se zpět. To, že nám někdo scanuje porty znamená, že se snaží zjistit co všechno nám za služby na počítači běží. Potom už není pro útočníka problém zjistit verze daných, nám na počítači běžících služeb a podle toho zjistit, zda některá z těchto služeb nemá nějakou bezpečnostní díru. A pokud má, ooops - hned ji také náležitě využít. Toto byl jen názorný příklad jak by útočník mohl postupovat - těch způsobů útoků je samozřejmě nekonečné množství. Můžete si to vyzkoušet sami jak je snadné někomu scanovat porty - v linuxu je jedním z nástrojů na scanování portů a zjišťování typu OS na scanovaném počítači nástroj nmap nebo jeho grafická varianta xnmap. Tento nástroj je vhodný i ke kontrole vlastního počítače a i ke kontrole nastavení firewallu.

nmap na Microsoft

Potřebný síťový provoz a takovéto pokusy o scanování portů můžete díky propracovanému logování (úroveň a druh logovaných událostí si můžete zvolit) snadno dohledat v logu firewallu. Zjistíte, že váš firewall je denně vystavován opravdu velkému množství síťového balastu.

Pokud vás výše uvedený text ještě pořád nepřesvědčil o nutnosti firewallu, tak si zkuste na chvíli spustit sniffovací program typu tcpdump nebo ethereal a chvíli sledovat aktivitu na vaší síťové kartě. To vás snad přesvědčí :-)

Náklady na firewall v prostředí Linuxu jsou minimální (a to jak náklady na softwarové vybavení, tak i na hardwarové vybavení). V Linuxu za koncovou cenu získáte zcela funkční a dané situaci maximálně přizpůsobený firewall. Náklady na firewall v prostředí OS Windows jsou o poznání vyšší. Je zapotřebí výkonnější hardware a cena pouze za firewall (nenastavený) se pohybuje od 1 500Kč (licence za Kerio Personal Firewall 4 na 1 počítač) přes cenu 85 000Kč (Kerio Personal Firewall 4 pro 100 PC) až do neuvěřitelných částek. Pokud chcete mít firewall zároveň s routerem - což je v Linuxu samozřejmost, zaplatíte pro malou síť o 10 PC částku 10 000Kč (Kerio WinRoute Firewall 5).

Komerční sdělení: Nabízíme zprovoznění a konfiguraci firewallů na Linuxu. Nabízíme předinstalované firewally za 2500Kč včetně DPH. Základní nastavení. Pokročilé nastavení dle dohody... Kontaktujte nás na e-mailové adrese: servis@linuxsoft.cz.

Verze pro tisk

pridej.cz

 

DISKUZE

Nejsou žádné diskuzní příspěvky u dané položky.



Příspívat do diskuze mohou pouze registrovaní uživatelé.
> Vyhledávání software
> Vyhledávání článků

18.9.2018 23:30 /František Kučera
Zářijový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 20. 9. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář

9.9.2018 14:15 /Redakce Linuxsoft.cz
20.9.2018 proběhne v pražském Kongresovém centru Vavruška konference Mobilní řešení pro business. Návštěvníci si vyslechnou mimo jiné přednášky na témata: Nejdůležitější aktuální trendy v oblasti mobilních technologií, správa a zabezpečení mobilních zařízení ve firmách, jak mobilně přistupovat k informačnímu systému firmy, kdy se vyplatí používat odolná mobilní zařízení nebo jak zabezpečit mobilní komunikaci.
Přidat komentář

12.8.2018 16:58 /František Kučera
Srpnový pražský sraz spolku OpenAlt se koná ve čtvrtek – 16. 8. 2018 od 19:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát jsou tématem srazu databáze prezentaci svého projektu si pro nás připravil Standa Dzik. Dále bude prostor, abychom probrali nápady na využití IoT a sítě The Things Network, případně další témata.
Přidat komentář

16.7.2018 1:05 /František Kučera
Červencový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 19. 7. 2018 od 18:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát bude přednáška na téma: automatizační nástroj Ansible, kterou si připravil Martin Vicián.
Přidat komentář

18.6.2018 0:43 /František Kučera
Červnový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 21. 6. 2018 od 18:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát na téma: F-Droid, aneb svobodný software do vašeho mobilu. Kromě toho budou k vidění i vývojové desky HiFive1 se svobodným/otevřeným čipem RISC-V.
Přidat komentář

23.5.2018 20:55 /Ondřej Čečák
Od pátku 25.5. proběhne na Fakultě informačních technologií ČVUT v Praze openSUSE Conference. Můžete se těšit na spostu zajímavých přednášek, workshopů a také na Release Party nového openSUSE leap 15.0. V na stejném místě proběhne v sobotu 26.5. i seminář o bezpečnosti CryptoFest.
Přidat komentář

20.5.2018 17:45 /Redakce Linuxsoft.cz
Ve čtvrtek 31. května 2018 připravuje webový magazín BusinessIT ve spolupráci s Best Online Média s.r.o. pátý ročník odborné konference Firemní informační systémy 2018. Akce proběhne v kongresovém centru Vavruška (palác Charitas), Karlovo náměstí 5, Praha 2 (u metra Karlovo náměstí) od 9:00 hod. dopoledne do cca 15 hod. odpoledne. Konference je zaměřena na efektivní využití firemních informačních systémů a na to, jak plně využít jejich potenciál. Podrobnější informace na webových stránkách konfrence.
Přidat komentář

14.5.2018 7:28 /František Kučera
Květnový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 17. 5. 2018 od 18:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát na téma: Audio – zvuk v GNU/Linuxu.
Přidat komentář

   Více ...   Přidat zprávičku

> Poslední diskuze

20.9.2018 10:04 / Jan Ober
Jaký kurz a software by jste doporučili pro začínajcího kodéra?

20.9.2018 10:00 / Jan Ober
Re: Gimp

20.2.2018 18:48 / Ivan Majer
portal

20.2.2018 15:57 / Jan Havel
Jak využíváte služby cloudu v podnikání?

16.1.2018 1:08 / Ivan Pittner
verejna ip od o2 ubuntu

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2018) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze