- internet4U -

GNAT BOX FIREWALL

      Nedávno se mi dostal do ruky poměrně svérázný program pro firewall. Pokud vám termín firewall nic neříká, vězte, že jde o program určený pro zabezpečení vaší lokální sítě vůči průniku zvenčí. Jak takový program pracuje? Filtruje TCP/IP pakety mezi dvěma či více oddělenými sítěmi podle určitých, přesně definovaných pravidel. Je například možné odmítnout pakety nevyžádané či vyžádané již před dlouhou dobou, pakety pocházející z neověřených míst atd.

      Avšak ani firewall není všespasitelný, snižuje sice riziko průniku do vaší sítě, pokud se v tematice zabezpečení počítačů vůbec nevyznáte, ale pokud máte přijatou dobrou koncepci zabezpečení vaší sítě, firewall pro vás bude věcí do jisté míry zbytečnou. Nehledě k tomu, že některé druhy infiltrací, např. neautorizované ActiveX applety (ActiveX je vůbec taková díra do systému), makroviry zneužívající mezery v produktech Microsoftu, posílané e-mailem (i proti tomu existuje jednoduchá obrana, spočívající v používání spolehlivého mailového klienta) atd. Dobře zabezpečený server na Unixu je bez firewallu stejně bezpečný, jako s ním.

      Věnujme se však samotnému GNAT Boxu. Již z počátku mne překvapilo, že dokumentace obsahuje vysvětlení, jak GNAT Box nainstalovat pod Windows 95, Windows 3.x, DOSem, na MacIntoshi a pod unixovými systémy. Instalační program však funguje asi takto: požádá vás o disketu a z CD vytvoří bootovací disketu.

      Nechápu, proč tuto disketu výrobce nedodává rovnou místo CD disku, určitě by jej to vyšlo levněji než CD a navíc by ušetřil instalujícím čas. Ale to by na obalu nemohlo být napsáno, že jde o CD-ROM verzi. Na samotném CD disku jsou zabrány asi 4 MB. Musím se přiznat, že jsem se pokoušel disketu GNAT Boxu generovat pod OS/2, kde jak instalační program pro DOS, tak instalační program pro Windows 3.x prohlásil, že nemůže zamknout disketovou jednotku. Posléze mi tedy nezbylo, než disketu vygenerovat pomocí programu rawrite z utilit Slackware distribuce Linuxu. I vsunul jsem disketu do mechaniky a začal jsem bootovat. Objevilo se cosi, co silně připomíná natahování unixových kernelů.

      Kernel si začal prohledávat hardware počítače, našel patřičný počet síťových karet, objevila se hláška s verzí a základní nápověda GNAT Boxu. Nyní si můžete pomocí kombinace funkčních kláves spustit administrátorské prostředí (značně připomínající unixový příkazový řádek, avšak značně méně pohodlné) a nakonfigurovat síťová rozhraní, routing, \tunely\ skrze firewall atd. Když povolíte www interface, můžete GNAX box administrovat i prostřednictvím WWW browseru (ale logicky jen z chráněného segmentu). Kromě základních dvou segmentů externího a chráněného, umožňuje GNAT box definovat ještě speciální zónu třetí, kam se umisťují veřejně přístupné, ale do jisté míry z obou stran chráněné servery.

      Ke kladům systému lze ještě přičíst, že nevyžaduje pevný disk, nelze se na něj dostat ani Telnetem, ani ničím podobným (vyjma již uvedeného WWW interface), nelze na něj přidat žádné další protokoly ani spouštět jakékoli externí programy. Vzhledem k tomu, že jsem GNAT Box nepodrobil prohlídce debuggerem, nemohu potvrdit ani vyvrátit domněnku, zda si autoři ve firewallu nenechali zadní vrátka, ale považuji to za nepravděpodobné.

      Co se mi líbilo již méně je, že moji oblíbenou síťovou kartu HP 10/100VG GNAT box bohužel nezná.

      GNAT Box u nás prodává firma INFIMA, známá hlavně svojí obrovskou BBS, která též realizuje uživatelskou podporu. Musím potvrdit, že prodejce problematiku programu skutečně zná. Pokud se tedy nespoléháte na své schopnosti co se týče obrany proti průniku do sítě a o nákupu firewallu uvažujete, GNAT Box si klidně kupte. Já nadále pojedu bez firewallu a klidně se vsadím o láhev whisky, že se mi do Unixu stejně nedostanete. ;-)

Zbyněk Pospíchal

internet4U