Postavte si "stěnu", která ochrání vaši síť

03. února 2003, 00:00 - Aleš Vokál, vokal@profit.cz
03. února 2003, 00:00

Firewall zabezpečí počítačovou síť vaší firmy před útoky zvenčí Prvním bezpečnostním prvkem firemní i jiné sítě je firewall. Zřejmě nejlepším překladem tohoto slova je "ohnivzdorná stěna", přeneseně řečeno je to stěna, která chrání vaši síť před útoky zvenčí.

Firewall zabezpečí počítačovou síť vaší firmy před útoky zvenčí

Prvním bezpečnostním prvkem firemní i jiné sítě je firewall. Zřejmě nejlepším překladem tohoto slova je „ohnivzdorná stěna“, přeneseně řečeno je to stěna, která chrání vaši síť před útoky zvenčí.

V praxi je pak touto stěnou zpravidla malá krabička nebo počítač, který má za úkol filtrovat tok dat a nevpustit do sítě nic, co pochází z nedůvěryhodného zdroje. Jde o termín skloňovaný v posledních letech ve všech pádech, termín, který používají snad všechny firmy zabývající se sítěmi, které svá řešení více či méně úspěšně prodávají. Spousta lidí si představuje, že koupí populárního firewallu pod populární operační systém vyřeší veškeré jejich starosti se zabezpečením sítě. Bohužel tomu tak v praxi není.

Jak dobře zabezpečíte svoji síť

Firewally a zabezpečení sítí obecně je velice rozsáhlé a složité téma, proto ho nelze jednoduše shrnout do jednoho „krabicového“ softwaru, který by se stal magickou formulí, která zabezpečí vaši síť před útoky. Účelně neuvádíme na konci předešlé věty slovo „zvenčí“, protože je známo, že největší nebezpečí tvoří nepřítel zevnitř. Mnohdy to bývá za (někdy nevědomé) spolupráce uživatele vnitřní sítě. Proto je firewall „pouze“ jedním ze zabezpečovacích mechanizmů celé sítě. Prvním krokem před samotnou realizací zabezpečení by mělo být shrnutí bezpečnostní politiky. Jinými slovy, navrhněte si strukturu a rozhodněte, jak moc zabezpečenou síť chcete mít. V případě, že jde „jen“ o zabezpečení sítě před průniky zvenčí, ve většině případů tedy z internetu, jde pouze o rozhodnutí jaký firewall koupit. Ovšem pokud potřebujete zabezpečit jednotlivá oddělení různým způsobem a především jim přidělit různá přístupová práva do zbytku sítě, je potřeba vše nejprve pečlivě rozvrhnout.

Co si představit pod pojmem firewall?

Když se řekne firewall, většina lidí si pod tímto pojmem představí zařízení nebo počítač, který má za úkol filtrovat příchozí data ze sítě internet a propouštět do vnitřní sítě pouze ta legitimní. I když definice firewallu je mnohem širší, pro naše účely bude tato zjednodušená definice bohatě postačovat. Firewally, jak již zde bylo zmíněno, mohou být čistě hardwarovou záležitostí, tedy pak se bude jednat o krabičku, která je čistě jednoúčelová a není možné s ní provádět cokoliv jiného. Na druhou stranu jde zřejmě o nejlepší řešení z hlediska menších sítí, kde nejsou požadavky na složité filtrování a rozdělování datového toku. Takovýto specifický hardware je relativně odolný vůči útokům, protože nelze jakkoliv vzdáleně zasahovat do softwaru nahraného v paměti, a tak jedinou reálnou hrozbou je špatně zvolené administrátorské heslo a případně zapomenutí nastavení některého z bezpečnostních pravidel. Při výběru takovéhoto firewallu pro menší firemní síť nebudou zřejmě nejdůležitější sofistikované filtrovací funkce, ale především jednoduchost nastavení a komunikační rozhraní. Nejideálnější je zřejmě forma webového rozhraní, kdy firewall má přímo v sobě implementován jednoduchý WWW server, pomocí kterého lze komunikovat a nastavovat parametry firewallu, nicméně tato forma má několik nevýhod, mezi něž patří především možnost chyb v rozhraní, a tudíž snížená bezpečnost takového zařízení.

Které funkce by neměly firewallu chybět

Mezi funkce, které by takovýto firewall měl rozhodně mít, patří bezesporu možnost fungovat jako tzv. NAT firewall (Network Address T ranslation - překlad síťových adres), což znamená, že přes jedinou veřejnou IP adresu lze připojit k internetu celou firemní síť. Další funkcí, kterou by měl být firewall vybaven, je možnost zaznamenávání důležitých událostí do logů, tedy do souborů, po mocí kterých lze kdykoliv později analyzovat komunikaci směrem ven i dovnitř sítě a v případě průlomu tak odhalit chyby v zabezpečení. Další požadavky, které se na toto vážou, jsou pak především spolehlivost (tedy možnost běžet bez jakéhokoliv zásahu i několik měsíců v kuse), robustnost (tedy možnost bezpečného omezení provozu při přetížení), minimální nároky na každodenní administraci a kontrolu a v neposlední řadě také minimální nároky na rekonfiguraci vnitřní sítě v důsledku instalace firewallu. Vedle těchto základních funkcí by váš budoucí firewall měl také umět řídit komunikaci, a to obousměrně. Jinými slovy, měl by umět propustit, nebo naopak zadržet komunikaci na úrovni určitého protokolu tak, aby bylo možno přímo nastavit, které transportní protokoly budou povoleny a které budou zakázány, a případně také pouze selektivně povolit či zakázat jen z/na určité adresy.

Odměřený čas připojení na internet

Dalším důležitým prvkem, který by měl firewall umět rozpoznat, je datum a čas. Administrátor by měl být schopen povolit nebo zakázat komunikaci určitému počítači nebo skupině počítačů v určitou dobu. V praxi to může znamenat, že zaměstnanci budou mít přístup k internetu od 8.00 ráno do 18.00 večer a po této době již bude moci na internet jen management firmy a jejich sekretářky.

Monitorování síťové aktivity

Mezi základní bezpečnostní opatření patří monitorování síťové aktivity. Podle takovýchto záznamů je administrátor schopen rozpoznat např. chybnou konfiguraci směrování v síti, přetížení na síti a další možné problémy, mezi něž samozřejmě patří také rozpoznání pokusu. Obecně platí, že čím větší množství informací se zaznamenává, tím podrobnější může být analýza a také následné řešení případných problémů.

Administrátorské rozhraní

Administrátorské rozhraní je jedním z dalších důležitých vlastností firewallu - je nutno, aby bylo přehledné, umožňovalo jednoduše nastavit pravidla jednotlivých síťových rozhraní a pravidel jejich komunikace. Nemusí se nutně jednat o grafické rozhraní, ale klasická příkazová řádka mnohé administrátory také nepotěší, protože jedna věc je nastavit takto antivirový software a druhá věc je nastavit kompletní zabezpečení sítě. Firewallů postavených na některém z populárních operačních systémů existuje celá řada, nicméně k ochraně firemních sítí se zřejmě příliš nehodí ani jeden ze známých softwarů. Především pak ne takové, které jsou postaveny na MS Windows NT, které mají samy o sobě dostatek problémů se zabezpečením a téměř s železnou pravidelností jsou na ně vydávány záplaty.

Pro nejvyšší nasazení

Lepším řešením jsou pak firewally postavené na upraveném jádře některého z volně šiřitelných OS, především pak pro svoji relativně vysokou spolehlivost a velké možnosti v oblasti konfigurace zabezpečení. Mezi takové firewally patří například z těch jednodušších GNAT Box nebo některé z mnoha firewallů postavených na Linuxu. Mezi ty sofistikovanější pak patří CheckPoint Firewall-1, Gauntlet, Sun Solstice Firewall, SLM SecurIT Firewall for Solaris a další. Tyto posledně jmenované mají mnoho funkcí a patří mezi nejlepší právě z důvodu, že jsou postaveny na upravených jádrech některých operačních systémů, ale jsou natolik zabezpečeny a zbaveny všech chyb, že asi jediná možnost průniku spočívá v chybně zadané konfiguraci ze strany správce systému. Takovéto firewally jsou určeny pro nejvyšší nasazení a jsou schopny zvládat v závislosti na použitém hardware obrovský nápor dat, aniž by s nimi byly problé
my. Mezi nejideálnější firewally pro použití na malých firemních sítích se jeví jednoúčelová zařízení postavená na vlastním hardwaru a softwaru, většinou uzavřená do malé černé krabičky bez možnosti jakýchkoliv zásahů ze strany uživatele. Mezi takováto řešení patří např. firewally od firmy CISCO řady PIX500, nebo SuperStack 3 Firewall od firmy 3Com. Cena takovýchto řešení se pohybuje kolem 20 000 Kč. Existují také některá proprietární řešení od firmy CISCO, LUCENT a dalších, ale jejich použití je zcela mimo rámec tohoto článku a taktéž to je i s cenami - takováto zcela profesionální řešení stojí stovky tisíc korun a mají propustnost v řádu gigabitů za sekundu, což je zcela mimo rámec použití v malých a středních sítích, kde firewally potřebují propustnost přinejlepším 10Mbps.

Druhy firewallů podle principu jejich implementace:

* Firewall postavený na některém populárním operačním systému - nejčastěji pak MS Windows NT, Linux, FreeBSD, typicky je lze provozovat na vlastním hardwaru.

* Firewall postavený na upravené verzi některého volně šiřitelného operačního systému, některé implementace jsou postaveny na vlastním hardwaru, některé jsou naopak dodávány s hardwarem přímo od výrobce.

* Firewall postavený na proprietárním řešení, tedy zcela na vlastním hardwaru i softwaru.

Mohlo by vás zajímat

  • Majitel textilky Juta a senátor Hlavatý: V Senátu by…

  • Jan Hawelka: kavárenská hvězda z Mostu

  • Aleš Kučera: Chvíli potrvá, než se lidé naučí se státem…

  • Ondřej Kania: Otevřeme další dvě školy

  • Martin Burda: Bankám v Česku ujíždí vlak

  • Mnislav Zelený Atapana: Přítel amazonských indiánů

  • Jan Bílý: Nebuď uštvaný manažer. Buď král!

  • Jaroslav Žlábek: Na jedno nabití ujedeme 1000 kilometrů

  • Daniel Stein Kubín: Slova jsou jen slova, surf a poušť…

Hry pro příležitostné hráče