Firewall
za pusu
Karel Obluk, Computer 19/97
Nenφ to
tak dßvno, kdy jsem se pom∞rn∞ intenzφvn∞ rozhlφ₧el po n∞jakΘm firewallu,
tedy systΘmu pro ochranu vnit°nφ sφt∞ p°ed pr∙nikem zv∞nΦφ, ze strany
"zlΘho Internetu" a "zßke°n²ch hacker∙". M∙j v²b∞r byl navφc z·₧en po₧adavkem,
aby dotyΦn² firewall pokud mo₧no b∞₧el na Windows NT.
Pominu-li
rßdoby vtipnΘ traktßty na tΘma ·dajnΘ naprostΘ nevhodnosti NT pro n∞co
takovΘho, dostal jsem i n∞kolik tip∙ na skuteΦn∞ dobrΘ systΘmy sv∞toznßm²ch
firem. VÜechny byly ·pln∞ skv∞lΘ, um∞ly ·pln∞ vÜechno, zvlßdaly libovolnou
zßt∞₧, m∞ly (tΘm∞°) dokonalou technickou podporu a jejich nejlevn∞jÜφ
varianty v zßkladnφm provedenφ stßly kolem p∞ti tisφc dolar∙. Usoudil
jsem tehdy, ₧e jedinß mo₧nost bude bu∩ n∞jak² freeware pro Unix (Linux
nebo FreeBSD - oba zdarma) nebo dokonce ·pln∞ specializovan² systΘm jako
jsou t°eba KarlBridge nebo DrawBridge. Jejich spoleΦnou v²hodou je velmi
nφzkß cena, spoleΦnou nev²hodou pak naprostß absence podpory a problΘmy
s instalacφ a ·dr₧bou (kdo se mß uΦit po°ßd n∞jak² nov² systΘm). Ale co
se dß d∞lat, o penφze jde v₧dy a₧ v prvnφ °ad∞, mnoho variant na v²b∞r
tedy nezb²valo. Donedßvna.
┌plnou nßhodou
se ke mn∞ p°ed necel²m t²dnem (to znamenß konec zß°φ - i Computer mß svΘ
v²robnφ lh∙ty) dostala betaverze programu WinRoute. A na prvnφ pohled
mne uchvßtila. ╚eskß firma MT-NET nabφzφ za necel²ch deset tisφc firewall
pro Windows NT ·dajn∞ schopn² spolehlivΘho (!) provozu i pod Windows 95.
WinRoute je v²razn∞ orientovan² zejmΘna na p°ipojenφ po vytßΦenΘm spojenφ
(dial-up connection), pevnΘ spojenφ mu vÜak pochopiteln∞ neΦinφ problΘmy.
V zßkladnφ verzi obsahuje IP router, filtr paket∙ (packet firewall), plßnovaΦ
(scheduler), vlastnφ implementaci PPP a dokonce i modul NAT (Network Address
Translation, n∞kdy znßm² pod nßzvem IP masquarading). A za cenu jen o
2500 vyÜÜφ je rozÜφ°en o modul cache-proxy serveru SMTP/POP3.
Bohu₧el
jsem nem∞l zatφm na testovßnφ tohoto krßsnΘho systΘmu p°φliÜ mnoho Φasu,
proto jen letmΘ zkuÜenosti. WinRoute implementuje vlastnφ vrstvu TCP a
IP, kterß ·pln∞ nahrazuje TCP/IP od Microsoftu na vstupnφ stran∞ poΦφtaΦe,
jen₧ mß b²t branou do sφt∞. Tato vrstva m∙₧e b²t navßzßna bu∩ p°φmo na
sφ¥ovou kartu nebo m∙₧e vyu₧φvat vytßΦenΘho spojenφ. Implementace protokol∙
je jen zßkladnφ, tak aby WinRoute mohl sm∞rovat pakety podle pravidel,
kterΘ pom∞rn∞ p°ehledn²m zp∙sobem zadßvßte pomocφ °φdφcφho programu. Srdce
systΘmu WinRoute je mo₧nΘ na NT instalovat i jako plnohodnotnou slu₧bu,
tak₧e se startuje automaticky p°i spuÜt∞nφ systΘmu.
╪eÜenφ pro
ΦeskΘ podmφnky Celß implementace je v²razn∞ ovlivn∞na p°edpoklßdan²m nasazenφm
v Φesk²ch podmφnkßch, kde v∞tÜina mal²ch sφtφ nemß p°ipojenφ k Internetu
pevnou linku. A¥ u₧ je to samotnß existence plßnovaΦe (p°ipojenφ se ve
stanovenou dobu, sta₧enφ poÜty, atp.), proxy serveru nebo pon∞kud zjednoduÜen²
poÜtovnφ server, kter² po₧adavky na odeslßnφ poÜty sm∞ruje vÜechny na
jeden - v konfiguraci pevn∞ nastaven² - SMTP server. O dalÜφ sm∞rovßnφ
se tedy musφ postarat ten. V²stupy z programu vypadajφ pom∞rn∞ p°ehledn∞,
i kdy₧ bych si dovedl p°edstavit i pßr dalÜφch mo₧nostφ v²stupu a zp∙sob∙
oÜet°enφ zadan²ch pravidel pro filtrovßnφ paket∙. Auto°i podle sv²ch slov
chystajφ do ostrΘ verze mimo jinΘ snad i implementaci DHCP serveru - uvidφme.
Evidentn∞ se rozhodli (a ΦßsteΦn∞ majφ jist∞ pravdu), ₧e v tΘto oblasti
originßlnφ produkty Microsoftu Φasto dosti siln∞ pokulhßvajφ. WinRoute
je zatφm v betaverzi, nicmΘn∞ na Invexu (tedy v dob∞, kdy Φtete tento
Φlßnek) by ·dajn∞ m∞la b²t k dispozici i ostrß verze. Na ₧ßdnΘ zßva₧n∞jÜφ
problΘmy jsem vÜak p°i instalaci ani p°i pokusech nenarazil a i nabφzenß
betaverze stojφ jist∞ alespo≥ za podφvßnφ. Na domßcφch strßnkßch produktu
na adrese http://www.winroute.cz/ naleznete jak kontakt na firmu, tak
i Φasov∞ omezenou demoverzi. Navφc se dozvφte, ₧e do budoucna chystajφ
auto°i takovΘ lah∙dky, jako vlastnφ DNS server, implementace DES IP tunnelling,
podporu RIP, autentizaci IDENT protokolem a mnoho dalÜφho.
Doufßm,
₧e se na strßnkßch Computeru nebo sesterskΘho Connect!u k tomuto programu
vrßtφme podrobn∞ji, abychom prov∞°ili i jeho provoz p°i v∞tÜφm zatφ₧enφ,
odolnost proti chybßm a ·tok∙m, a¥ u₧ zevnit° nebo zvenΦφ. Pevn∞ v∞°φm,
₧e i druh² pohled se bude jevit jako skuteΦn∞ vynikajφcφ systΘm.
|