ARCHIV

Firewall

Proč používat firewall? Firewall v Linuxu.

12.2.2004 12:00 | o.k. | Články autora | přečteno 20283×

Co to je firewall?

Co to vlastně je ten firewall o kterém se pořád tolik mluví a o kterém se již tolik napsalo? Ve zjednodušeném smyslu, ale zato velice názorném si firewall můžeme představit jako dveře do bytu každého z nás. Zajisté mně dáte za pravdu, že každý z nás má jiné dveře - stejně tak i firewallů je spousta druhů. Každý z nás je více či méně paranoidní a chce se více či méně chránit a odizolovat svůj majetek na kterém mu zaleží od vnějšího okolí a podle toho má i své dveře buď bytelné (mnohdy i pancéřové a neprůstřelné) nebo naopak chatrné a mnohdy je i úplně bez dveří (třeba bezdomovec). Stejně tak je tomu i u firewallů, některé jsou opravdu paranoidně nastavené a povolují jenom minimum protokolů, některé jich povolují více a ostatní nemají firewall vůbec. Co to znamená, že firewally některé protokoly povolují a některé nikoliv? Pokračujme tedy v analogii s našimi dveřmi. Našimi dveřmi pouštíme dovnitř také pouze nám dobře známé osoby a jenom málokdo z nás pustí do bytu cizí osobu. A pokud tak učiní, třeba díky tomu, že ona neznámá osoba se k nám pod nějakou záminkou snažila vloudit a poté co prohlédneme její nekalé úmysly, tak je samozřejmě v našem zájmu ji co nejdříve z našeho bytu vypudit. Firewall, pokud obdrží packet, který nevyhovuje dané sadě našich pravidel nebo je z nějakého jiného důvodu považován za nežádoucí, tak je buď vrácen jeho odesílateli nebo v tichosti zničen, aniž by o tom jeho odesílatel dostal nějakou zprávu. Tady bych chtěl upozornit na to, aby to nikdo nebral jako analogii a návod k tomu, aby cizí osobu, která jej navštíví hned zničil a zakopal někde ve stinném koutu zahrady nebo doma ve sklepě.

Věřím, že výše uvedená analogie přispěla k pochopení funkce firewallu a mnoho lidí díky tomu konečně otevře své oči a pochopí, že firewall není jenom bohapustý výmysl, který se týká jenom velkých a bohatých firem, ale že je stejně tak potřebný jako ochrana pro bezpečný sex.

Proti čemu nás může firewall ochránit?

Je dobré si uvědomit, že firewall nás ochrání vlastně pouze proti nechtěnému síťovému provozu uvnitř lokální sítě. Firewall je ta prvotní hráz, která odděluje Internet od lokální sítě - zakáže všechny pokusy o spojení po daných nepovolených protokolech a na dané nepovolené porty na počítače v lokální síti.

Proti čemu nás firewall neochrání?

Firewall nás rozhodně neochrání proti útokům, které nejdou přes firewall. Firewall nás také neochrání proti záškodníkům, kteří pracují v naší lokální síti a neochrání nás proti tunelování skrze protokoly směrem k špatně napsaným nebo trójskými koni napadeným klientům. Tunelování HTTP, SMTP a dalších protokolů je velice jednoduché zato ochrana proti tomuto tunelování je velice složitá. Nepleťte si firewall s antivirovou ochranou - proti virům nás firewall také neochrání. Viry jsou však v síti pouze s klienty s operačním systémem Linux/UNIX zatím bezpředmětné.

Jak firewall obvykle vypadá?

Firewall bývá v praxi obvykle zároveň i routerem a většinou se jedná o obyčejný počítač, který dříve sloužil jako desktop, ale v současnosti je již na desktop pomalý. Na firewall pro malou až střední firmu (do 50 počítačů) obvykle postačí nějaké to Pentium 100-200MHz s 32MB paměti a více. Při volbě počítače je obvykle dobré vycházet z toho kolik přibližně předpokládáme firewallovacích pravidel.

Firewall v Linuxu

Rozhodně nečekejte nějaké grafické klikací nastavování jako mají komerční firewally ve Windows. Samozřejmě existují i různé grafické frontendy pro nastavování firewallu v Linuxu, ale trochu potírají tu filozofii, že na firewallu/routeru by nemělo běžet žádné grafické prostředí (někdo by mohl namítnout, že tyto grafické frontendy používá pouze při vzdálené správě, ale co udělá v případě, že vzdálená správa selže a je potřeba pravidla změnit ručně?).

V linuxu je firewall realizován samotným jádrem (kernelem), tedy srdcem celého operačního systému. Uživatel má k dispozici v systému utility, které slouží k nastavení/uložení firewallovacích pravidel a o zbytek - tedy o samotné filtrování packetů se postará kernel.

V jádrech řady 2.2.x je firewall realizován pomocí balíku ipchains. Nejedná se o klasický plnohodnotný firewall, ale o packetový filtr.

Firewall v jádrech řady 2.4.x a 2.6.x je realizován balíkem iptables a jedná se již o skutečný stavový firewall. Firewall je možné buď zakompilovat přímo do jádra nebo jenom jako modul (spíše moduly).

Firewall rozhodně nemůžeme považovat za úplnou komplexní ochranu sítě. Pro úplnou ochranu sítě je zapotřebí nasadit spoustu dalších ochranných prostředků, IDS (Intrusion Detection System) počínaje a správnou politikou a jasně danými pravidly pro uživatele v lokální síti konče.

Potřebuju opravdu ten firewall?

Každý počítač, který je součástí nějaké sítě, ať již máme přidělenu veřejnou IP adresu nebo máme IP adresu privátní (třeba od nějakého providera sítě přes kabelovou televizi) se v momentě, kdy se připojí, stává téměř okamžitě cílem různých pokusů o scanování portů a o průnik do jeho počítače. Většinou se jedná o pokusy od skriptujících dětiček (script kiddies). Co to znamená, že nám někdo scanuje porty? Porty si můžeme představit jako přepínače v dřívější analogové telefonní ústředně. Aby byla síťová karta schopna zároveň obsloužit více různých typů spojení (ftp, ssh, smtp, http, ...) má každá služba (démon)/každý protokol přiřazeno svoje pevně dané číslo portu na kterém naslouchá. Těchto portů může být až 65535. Porty 1 - 1024 jsou privilegované a mohou být obsluhovány pouze pod identitou uživatele root. Ale vraťme se zpět. To, že nám někdo scanuje porty znamená, že se snaží zjistit co všechno nám za služby na počítači běží. Potom už není pro útočníka problém zjistit verze daných, nám na počítači běžících služeb a podle toho zjistit, zda některá z těchto služeb nemá nějakou bezpečnostní díru. A pokud má, ooops - hned ji také náležitě využít. Toto byl jen názorný příklad jak by útočník mohl postupovat - těch způsobů útoků je samozřejmě nekonečné množství. Můžete si to vyzkoušet sami jak je snadné někomu scanovat porty - v linuxu je jedním z nástrojů na scanování portů a zjišťování typu OS na scanovaném počítači nástroj nmap nebo jeho grafická varianta xnmap. Tento nástroj je vhodný i ke kontrole vlastního počítače a i ke kontrole nastavení firewallu.

Potřebný síťový provoz a takovéto pokusy o scanování portů můžete díky propracovanému logování (úroveň a druh logovaných událostí si můžete zvolit) snadno dohledat v logu firewallu. Zjistíte, že váš firewall je denně vystavován opravdu velkému množství síťového balastu.

Pokud vás výše uvedený text ještě pořád nepřesvědčil o nutnosti firewallu, tak si zkuste na chvíli spustit sniffovací program typu tcpdump nebo ethereal a chvíli sledovat aktivitu na vaší síťové kartě. To vás snad přesvědčí :-)

Náklady na firewall v prostředí Linuxu jsou minimální (a to jak náklady na softwarové vybavení, tak i na hardwarové vybavení). V Linuxu za koncovou cenu získáte zcela funkční a dané situaci maximálně přizpůsobený firewall. Náklady na firewall v prostředí OS Windows jsou o poznání vyšší. Je zapotřebí výkonnější hardware a cena pouze za firewall (nenastavený) se pohybuje od 1 500Kč (licence za Kerio Personal Firewall 4 na 1 počítač) přes cenu 85 000Kč (Kerio Personal Firewall 4 pro 100 PC) až do neuvěřitelných částek. Pokud chcete mít firewall zároveň s routerem - což je v Linuxu samozřejmost, zaplatíte pro malou síť o 10 PC částku 10 000Kč (Kerio WinRoute Firewall 5).

Verze pro tisk