LINUXSOFT.cz Přeskoč levou lištu

ARCHIV



   

> Firewall

Proč používat firewall? Firewall v Linuxu.

12.2.2004 12:00 | o.k. | Články autora | přečteno 20033×

Co to je firewall?

Co to vlastně je ten firewall o kterém se pořád tolik mluví a o kterém se již tolik napsalo? Ve zjednodušeném smyslu, ale zato velice názorném si firewall můžeme představit jako dveře do bytu každého z nás. Zajisté mně dáte za pravdu, že každý z nás má jiné dveře - stejně tak i firewallů je spousta druhů. Každý z nás je více či méně paranoidní a chce se více či méně chránit a odizolovat svůj majetek na kterém mu zaleží od vnějšího okolí a podle toho má i své dveře buď bytelné (mnohdy i pancéřové a neprůstřelné) nebo naopak chatrné a mnohdy je i úplně bez dveří (třeba bezdomovec). Stejně tak je tomu i u firewallů, některé jsou opravdu paranoidně nastavené a povolují jenom minimum protokolů, některé jich povolují více a ostatní nemají firewall vůbec. Co to znamená, že firewally některé protokoly povolují a některé nikoliv? Pokračujme tedy v analogii s našimi dveřmi. Našimi dveřmi pouštíme dovnitř také pouze nám dobře známé osoby a jenom málokdo z nás pustí do bytu cizí osobu. A pokud tak učiní, třeba díky tomu, že ona neznámá osoba se k nám pod nějakou záminkou snažila vloudit a poté co prohlédneme její nekalé úmysly, tak je samozřejmě v našem zájmu ji co nejdříve z našeho bytu vypudit. Firewall, pokud obdrží packet, který nevyhovuje dané sadě našich pravidel nebo je z nějakého jiného důvodu považován za nežádoucí, tak je buď vrácen jeho odesílateli nebo v tichosti zničen, aniž by o tom jeho odesílatel dostal nějakou zprávu. Tady bych chtěl upozornit na to, aby to nikdo nebral jako analogii a návod k tomu, aby cizí osobu, která jej navštíví hned zničil a zakopal někde ve stinném koutu zahrady nebo doma ve sklepě.

Věřím, že výše uvedená analogie přispěla k pochopení funkce firewallu a mnoho lidí díky tomu konečně otevře své oči a pochopí, že firewall není jenom bohapustý výmysl, který se týká jenom velkých a bohatých firem, ale že je stejně tak potřebný jako ochrana pro bezpečný sex.

Proti čemu nás může firewall ochránit?

Je dobré si uvědomit, že firewall nás ochrání vlastně pouze proti nechtěnému síťovému provozu uvnitř lokální sítě. Firewall je ta prvotní hráz, která odděluje Internet od lokální sítě - zakáže všechny pokusy o spojení po daných nepovolených protokolech a na dané nepovolené porty na počítače v lokální síti.

schema firewallu

Proti čemu nás firewall neochrání?

Firewall nás rozhodně neochrání proti útokům, které nejdou přes firewall. Firewall nás také neochrání proti záškodníkům, kteří pracují v naší lokální síti a neochrání nás proti tunelování skrze protokoly směrem k špatně napsaným nebo trójskými koni napadeným klientům. Tunelování HTTP, SMTP a dalších protokolů je velice jednoduché zato ochrana proti tomuto tunelování je velice složitá. Nepleťte si firewall s antivirovou ochranou - proti virům nás firewall také neochrání. Viry jsou však v síti pouze s klienty s operačním systémem Linux/UNIX zatím bezpředmětné.

Jak firewall obvykle vypadá?

Firewall bývá v praxi obvykle zároveň i routerem a většinou se jedná o obyčejný počítač, který dříve sloužil jako desktop, ale v současnosti je již na desktop pomalý. Na firewall pro malou až střední firmu (do 50 počítačů) obvykle postačí nějaké to Pentium 100-200MHz s 32MB paměti a více. Při volbě počítače je obvykle dobré vycházet z toho kolik přibližně předpokládáme firewallovacích pravidel.

Firewall v Linuxu

Rozhodně nečekejte nějaké grafické klikací nastavování jako mají komerční firewally ve Windows. Samozřejmě existují i různé grafické frontendy pro nastavování firewallu v Linuxu, ale trochu potírají tu filozofii, že na firewallu/routeru by nemělo běžet žádné grafické prostředí (někdo by mohl namítnout, že tyto grafické frontendy používá pouze při vzdálené správě, ale co udělá v případě, že vzdálená správa selže a je potřeba pravidla změnit ručně?).

V linuxu je firewall realizován samotným jádrem (kernelem), tedy srdcem celého operačního systému. Uživatel má k dispozici v systému utility, které slouží k nastavení/uložení firewallovacích pravidel a o zbytek - tedy o samotné filtrování packetů se postará kernel.

V jádrech řady 2.2.x je firewall realizován pomocí balíku ipchains. Nejedná se o klasický plnohodnotný firewall, ale o packetový filtr.

Firewall v jádrech řady 2.4.x a 2.6.x je realizován balíkem iptables a jedná se již o skutečný stavový firewall. Firewall je možné buď zakompilovat přímo do jádra nebo jenom jako modul (spíše moduly).

Firewall rozhodně nemůžeme považovat za úplnou komplexní ochranu sítě. Pro úplnou ochranu sítě je zapotřebí nasadit spoustu dalších ochranných prostředků, IDS (Intrusion Detection System) počínaje a správnou politikou a jasně danými pravidly pro uživatele v lokální síti konče.

Potřebuju opravdu ten firewall?

Každý počítač, který je součástí nějaké sítě, ať již máme přidělenu veřejnou IP adresu nebo máme IP adresu privátní (třeba od nějakého providera sítě přes kabelovou televizi) se v momentě, kdy se připojí, stává téměř okamžitě cílem různých pokusů o scanování portů a o průnik do jeho počítače. Většinou se jedná o pokusy od skriptujících dětiček (script kiddies). Co to znamená, že nám někdo scanuje porty? Porty si můžeme představit jako přepínače v dřívější analogové telefonní ústředně. Aby byla síťová karta schopna zároveň obsloužit více různých typů spojení (ftp, ssh, smtp, http, ...) má každá služba (démon)/každý protokol přiřazeno svoje pevně dané číslo portu na kterém naslouchá. Těchto portů může být až 65535. Porty 1 - 1024 jsou privilegované a mohou být obsluhovány pouze pod identitou uživatele root. Ale vraťme se zpět. To, že nám někdo scanuje porty znamená, že se snaží zjistit co všechno nám za služby na počítači běží. Potom už není pro útočníka problém zjistit verze daných, nám na počítači běžících služeb a podle toho zjistit, zda některá z těchto služeb nemá nějakou bezpečnostní díru. A pokud má, ooops - hned ji také náležitě využít. Toto byl jen názorný příklad jak by útočník mohl postupovat - těch způsobů útoků je samozřejmě nekonečné množství. Můžete si to vyzkoušet sami jak je snadné někomu scanovat porty - v linuxu je jedním z nástrojů na scanování portů a zjišťování typu OS na scanovaném počítači nástroj nmap nebo jeho grafická varianta xnmap. Tento nástroj je vhodný i ke kontrole vlastního počítače a i ke kontrole nastavení firewallu.

nmap na Microsoft

Potřebný síťový provoz a takovéto pokusy o scanování portů můžete díky propracovanému logování (úroveň a druh logovaných událostí si můžete zvolit) snadno dohledat v logu firewallu. Zjistíte, že váš firewall je denně vystavován opravdu velkému množství síťového balastu.

Pokud vás výše uvedený text ještě pořád nepřesvědčil o nutnosti firewallu, tak si zkuste na chvíli spustit sniffovací program typu tcpdump nebo ethereal a chvíli sledovat aktivitu na vaší síťové kartě. To vás snad přesvědčí :-)

Náklady na firewall v prostředí Linuxu jsou minimální (a to jak náklady na softwarové vybavení, tak i na hardwarové vybavení). V Linuxu za koncovou cenu získáte zcela funkční a dané situaci maximálně přizpůsobený firewall. Náklady na firewall v prostředí OS Windows jsou o poznání vyšší. Je zapotřebí výkonnější hardware a cena pouze za firewall (nenastavený) se pohybuje od 1 500Kč (licence za Kerio Personal Firewall 4 na 1 počítač) přes cenu 85 000Kč (Kerio Personal Firewall 4 pro 100 PC) až do neuvěřitelných částek. Pokud chcete mít firewall zároveň s routerem - což je v Linuxu samozřejmost, zaplatíte pro malou síť o 10 PC částku 10 000Kč (Kerio WinRoute Firewall 5).

Komerční sdělení: Nabízíme zprovoznění a konfiguraci firewallů na Linuxu. Nabízíme předinstalované firewally za 2500Kč včetně DPH. Základní nastavení. Pokročilé nastavení dle dohody... Kontaktujte nás na e-mailové adrese: servis@linuxsoft.cz.

Verze pro tisk

pridej.cz

 

DISKUZE

Nejsou žádné diskuzní příspěvky u dané položky.



Příspívat do diskuze mohou pouze registrovaní uživatelé.
> Vyhledávání software
> Vyhledávání článků

28.11.2018 23:56 /František Kučera
Prosincový sraz spolku OpenAlt se koná ve středu 5.12.2018 od 16:00 na adrese Zikova 1903/4, Praha 6. Tentokrát navštívíme organizaci CESNET. Na programu jsou dvě přednášky: Distribuované úložiště Ceph (Michal Strnad) a Plně šifrovaný disk na moderním systému (Ondřej Caletka). Následně se přesuneme do některé z nedalekých restaurací, kde budeme pokračovat v diskusi.
Komentářů: 1

12.11.2018 21:28 /Redakce Linuxsoft.cz
22. listopadu 2018 se koná v Praze na Karlově náměstí již pátý ročník konference s tématem Datová centra pro business, která nabídne odpovědi na aktuální a často řešené otázky: Jaké jsou aktuální trendy v oblasti datových center a jak je optimálně využít pro vlastní prospěch? Jak si zajistit odpovídající služby datových center? Podle jakých kritérií vybírat dodavatele služeb? Jak volit vhodné součásti infrastruktury při budování či rozšiřování vlastního datového centra? Jak efektivně datové centrum spravovat? Jak co nejlépe eliminovat možná rizika? apod. Příznivci LinuxSoftu mohou při registraci uplatnit kód LIN350, který jim přinese zvýhodněné vstupné s 50% slevou.
Přidat komentář

6.11.2018 2:04 /František Kučera
Říjnový pražský sraz spolku OpenAlt se koná v listopadu – již tento čtvrtek – 8. 11. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma umění a technologie, IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář

4.10.2018 21:30 /Ondřej Čečák
LinuxDays 2018 již tento víkend, registrace je otevřená.
Přidat komentář

18.9.2018 23:30 /František Kučera
Zářijový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 20. 9. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář

9.9.2018 14:15 /Redakce Linuxsoft.cz
20.9.2018 proběhne v pražském Kongresovém centru Vavruška konference Mobilní řešení pro business. Návštěvníci si vyslechnou mimo jiné přednášky na témata: Nejdůležitější aktuální trendy v oblasti mobilních technologií, správa a zabezpečení mobilních zařízení ve firmách, jak mobilně přistupovat k informačnímu systému firmy, kdy se vyplatí používat odolná mobilní zařízení nebo jak zabezpečit mobilní komunikaci.
Přidat komentář

12.8.2018 16:58 /František Kučera
Srpnový pražský sraz spolku OpenAlt se koná ve čtvrtek – 16. 8. 2018 od 19:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát jsou tématem srazu databáze prezentaci svého projektu si pro nás připravil Standa Dzik. Dále bude prostor, abychom probrali nápady na využití IoT a sítě The Things Network, případně další témata.
Přidat komentář

16.7.2018 1:05 /František Kučera
Červencový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 19. 7. 2018 od 18:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát bude přednáška na téma: automatizační nástroj Ansible, kterou si připravil Martin Vicián.
Přidat komentář

   Více ...   Přidat zprávičku

> Poslední diskuze

31.7.2023 14:13 / Linda Graham
iPhone Services

30.11.2022 9:32 / Kyle McDermott
Hosting download unavailable

13.12.2018 10:57 / Jan Mareš
Re: zavináč

2.12.2018 23:56 / František Kučera
Sraz

5.10.2018 17:12 / Jakub Kuljovsky
Re: Jaký kurz a software by jste doporučili pro začínajcího kodéra?

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2024) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze