Zajφmajφ Vßs dalÜφ novinky od firmy Tiny Software? Od updat∙ programu a₧ po u₧iteΦnΘ rady, jak z nich vyt∞₧it co nejvφce. Pokud ano, sd∞lte nßm laskav∞ VaÜi e-mailovou adresu a my Vßs budeme jejφm prost°ednictvφm o vÜem informovat

 

 

NestaΦφ malß zφdka?


MiloÜ UrbiÜ, Connect 11/97

Spousta u₧ivatel∙ neopl²vß dostateΦn²mi finanΦnφmi zdroji a nem∙₧e si dovolit po°φdit po°ßdn² firewall za statisφce nebo mili≤ny. Jednφm z mo₧n²ch °eÜenφ je pou₧itφ firewallu jako aplikace nad klasick²m operaΦnφm systΘmem Windows 95 nebo Windows NT.

Jak levn∞ zachrßnit vlastnφ sφ¥?

Jak u₧ jsem p°edeslal v ·vodu, podφvßme se na jednu 32bitovou aplikaci pro prost°edφ Windows slou₧φcφ k zajiÜt∞nφ standardnφch funkcφ firewallu z vaÜeho b∞₧nΘho PC. Aplikace WinRoute nabφzφ standardnφ firewallovΘ slu ₧by, nap°φklad p°eklad adres, slu₧by proxy atd. Tento systΘm nabφzφ pouze standardnφ bezpeΦnost rozÜφ°enou zejmΘna o p°φdavnΘ slu₧by s jednoduchou a intuitivnφ administracφ. SouΦßstφ systΘmu je i °eÜenφ tzv. slu₧by Cache-Proxy server, elektronickΘ poÜty a mo₧nost definovanΘho spouÜt∞nφ ·loh. N∞kterΘ vlastnosti nemajφ ani mnohem dra₧Üφ firewally. P°ipojenφ do Internetu m∙₧e b²t provedeno p°es klasickou telefonnφ linku (komutovan² spoj), pevnou linku nebo druhou sφ¥ovou kartu. P°ipojenß sφ¥ m∙₧e b²t sm∞rovßna nebo (pomocφ p°ekladu adres (NAT)) schovßna za jedinou adresou IP. CelΘ prost°edφ se sklßdß z nßsledujφcφch Φßstφ:

IP sm∞rovaΦ - realizuje zßkladnφ funkci produktu, tj. sm∞rovßnφ paket∙ IP mezi vφce sφt∞mi. NAT - modul p°ekladu adres pro odstφn∞nφ adres na vnit°nφ chrßn∞nΘ sφti. WinRoute podporuje takΘ ICMP. Packet Layer Firewall - zajiÜ¥uje filtrovßnφ provozu na zßklad∞ filtrovacφch pravidel pro adresy IP a porty. Cache-Proxy server (http, ftp, gopher) - tento modul zajiÜ¥uje optimalizaci poΦtu p°φstup∙ do Internetu, nap°φklad ke shodn²m strßnkßm WWW. PoÜtovnφ server - zabezpeΦuje komplexnφ zpracovßnφ poÜty. PlßnovaΦ - slou₧φ k plßnovßnφ vybran²ch akcφ. CelΘ prost°edφ si m∙₧ete komplexn∞ vyzkouÜet, ale jen na dobu 15 minut, pak je nutnΘ celou aplikaci spustit znovu. Po zakoupenφ produktu obdr₧φte aktivaΦnφ klφΦ a sΘriovΘ Φφslo, s kter²mi m∙₧ete z neoficißlnφ testovacφ verze ud∞lat oficißlnφ prost°edφ.

InstalatΘr se zapotφ
Po klasickΘm miÜmaÜi s kartami a jejich zprovozn∞nφ pod TCP/IP nenφ instalace vlastnφho software z jedinΘ diskety problΘmem. Ty zaΦφnajφ a₧ p°i konfiguraci celΘho prost°edφ, proto₧e musφte pochopit filosofii celΘho °eÜenφ. Bohu₧el jsem k testovßnφ nenaÜel ₧ßdnou adekvßtnφ dokumentaci. Ta je dostupnß alespo≥ v zßkladnφ mφ°e na http://www.winroute.cz, a le je t°eba si uv∞domit, ₧e v okam₧iku instalace nemusφ mφt b∞₧n² zßkaznφk p°φstup na Internet. Pak mß ovÜem sm∙lu a v p°φpad∞, ₧e konfiguruje firewall poprvΘ v ₧ivot∞, po°ßdn∞ se zapotφ. SystΘm toti₧ °eÜφ bezpeΦnost nad virtußlnφmi logick²mi ovladaΦi a nepou₧φvß fyzickΘ adresy IP poΦφtaΦe, na kterΘm je WinRoute nainstalovßn. CelΘ °eÜenφ je zalo₧eno na vytvo°enφ virtußlnφho poΦφtaΦe odd∞lenΘho od poΦφtaΦe fyzickΘho. Proto je na nßsledujφcφm obrßzku systΘm rozd∞len na dva celky a firewall je oznaΦen Φßrkovanou Φarou. WinRoute vy₧aduje pro svoji Φinnost vlastnφ jedineΦnou adresu IP a fyzickΘ rozhranφ; ve Windows nemusφ mφt adresu v∙bec p°id∞lenu. To je na obrßzku demonstrovßno p°eÜkrtnutφm linky. Pokud se do Internetu p°ipojujete telefonnφ linkou, je t°eba toto spojenφ nakonfigurovat pomocφ klasickΘho menu. WinRoute realizuje telefonickΘ p°ipojenφ vlastnφm zp∙sobem a nenφ t°eba mφt nainstalovßno telefonickΘ p°ipojenφ od Microsoftu. Po konfiguraci telefonnφho p°ipojenφ je t°eba provΘst konfiguraci jednotliv²ch sφ¥ov²ch rozhranφ. JmΘno rozhranφ zaΦφnß typem a konΦφ po°adov²m Φφslem (nap°φklad eth0, eth1, ppp0) V souΦasnosti jsou podporovßny dva typy rozhranφ: ethernet a ppp. Praktickou konfiguraci tabulek k zapojenφ na obrßzku Φ. 1, najdete na obrßzku Φ. 2. Je t°eba si ale uv∞domit, ₧e testovacφ prost°edφ bylo rozdφlnΘ od b∞₧n²ch provoznφch podmφnek a nepou₧φvali jsme telefonnφ p°ipojenφ.

Co nabφzφ bezpeΦnost
Pro Φinnost firewallu je kritickΘ nastavenφ bezpeΦnostnφch pravidel. Tato pravidla definujφ, kterΘ pakety budou vpuÜt∞ny do sφt∞ a kterΘ budou zamφtnuty. Nastavenφ t∞chto pravidel se provßdφ na ·rovni adres IP a port∙. P°i p°φchodu paketu se zkontrolujφ pravidla nejprve pro rozhranφ, ze kterΘho paket p°iÜel a potΘ pravidla pro ka₧dΘ rozhranφ (atribut any). V p°φpad∞, ₧e paket pravidlu vyhovuje, je provedena p°φsluÜnß akce a paket je bu∩ vpuÜt∞n nebo zamφtnut. Pravidla jsou prochßzena v po°adφ, jak jsou zobrazena. P°i nalezenφ prvnφho vyhovujφcφho pravidla se ji₧ dalÜφ nekontrolujφ. Pravidlo definuje zdrojovou adresu/rozsah adres, cφlovou adresu/rozsah adres, pop°φpad∞ zdrojov² a cφlov² port TCP a UDP. U TCP je mo₧nΘ urΦit, zda se pravidlo vztahuje pouze k paket∙m nenavazujφcφm spojenφ. Pokud je nad n∞jak²m rozhranφm provßd∞n p°eklad adres, je toto rozhranφ pova₧ovßno za bezpeΦnΘ a nenφ nutno pro toto rozhranφ definovat dalÜφ bezpeΦnostnφ pravidla. Dßle lze jednoduÜe zajistit mapovßnφ port∙. Tato funkce zajistφ mo₧nost otev°enφ komunikaΦnφho kanßlu z Internetu do lokßlnφ sφt∞. Prost°ednictvφm mapovan²ch port∙ je tedy mo₧nΘ zp°φstupnit slu₧by b∞₧φcφ na poΦφtaΦφch v lokßlnφ sφti.

Instalace firewallu zdaleka nekonΦφ
Nynφ je t°eba se zmφnit takΘ o slabinßch firewallu, kterΘ vypl²vajφ z jeho filosofie. Firewall se sprßvn∞ sna₧φ odst φnit veÜkerou svou Φinnost od fyzick²ch ovladaΦ∙ na provoznφm poΦφtaΦi pomocφ vlastnφho virtußlnφho rozhranφ. Bohu₧el vßs vÜak firewall nem∙₧e odstφnit od problΘm∙ provoznφho operaΦnφho systΘmu, kter²m jsou zranitelnß Windows. To platφ jak pro Windows 95, tak pro Windows NT. Samoz°ejm∞, ₧e bezpeΦnost Windows NT je na mnohem vyÜÜφm stupni a m∞li byste jednoznaΦn∞ preferovat toto prost°edφ. Vzhledem k cen∞ firewallu si vÜak myslφm, ₧e si jej zakoupφ spφÜe ten, kdo nemß ani na Windows NT a kdo ocenφ mo₧nost pou₧φvat poΦφtaΦ s firewallem pro b∞₧nou prßci. V p°φpad∞ provozu nad Windows 95 bych vßm doporuΦil alespo≥ definovat jedinΘho u₧ivatele tohoto poΦφtaΦe a °ßdn∞ jej proÜkolit v pou₧φvßnφ tohoto produktu nebo mu zakßzat manipulaci s touto aplikacφ. Dbejte takΘ na bezpeΦnost p°φstupu k tomuto poΦφtaΦi a nepus¥te k n∞mu kohokoliv.

Vstupnφ k≤d nebo nic
Konfigurace jednotliv²ch server∙ a slu₧eb je mo₧nß prost°ednictvφm dialogov²ch menu nebo vzdßlen∞ prohlφ₧eΦem WWW. P°i pou₧itφ serveru proxy mohou b²t data prochßzejφcφ systΘmem uklßdßna do sdφlenΘ cache, tj. na disk v lokßlnφm poΦφtaΦi. Jestli₧e si u₧ivatelΘ vy₧ßdajφ stejnΘ strßnky WWW, jsou tyto strßnky nahrßny z cache, co₧ zvyÜuje rychlost odezvy a Üet°φ vaÜe poplatky za p°ipojenφ do Internetu. Pou₧itφm serveru proxy m∙₧ete takΘ omezit p°φstup u₧ivatel∙ k slu₧b∞ WWW a m∙₧ete definovat nap°φklad seznam povolen²ch server∙ WWW pro vybranΘ skupiny u₧ivatel∙. Kontrola p°φstupu u₧ivatel∙ k jednotliv²m URL se provßdφ podle Access Listu (ACL). P°i p°φstupu na tyto URL je vy₧ßdßna autentizace u₧ivatele, musφ b²t ale podpora autentizace ve vaÜem prohlφ₧eΦi, jinak mßte sm∙lu. Omezenφ uvedenß v ACL se nevztahujφ na administrßtory uvedenΘ ve skupin∞ admins. Lze takΘ zaznamenßvat informace o prochßzejφcφch strßnkßch do souboru.

PoÜtovnφ panßΦek
V rßmci poÜtovnφch slu₧eb nabφzφ WinRoute vÜechny standardnφ slu₧by nad protokoly SMTP a POP3. P°i p°φjmu poÜty p°es POP3 je poÜta vyzvedßvßna mail serverem ze zadan²ch poÜtovnφch strßnek POP3 kdekoliv v Internetu a je uklßdßna do mφstnφch u₧ivatelsk²ch strßnek. P°ijφmanß poÜta m∙₧e b²t uklßdßna do mφstnφch u₧ivatelsk²ch p°ihrßdek podle t°φdφcφch kritΘriφ. P°φjem a odesφlßnφ poÜty se °φdφ nastavenφm plßnovaΦe. P°φjem a odesφlßnφ m∙₧e probφhat v urΦitΘm Φase nebo v pravideln²ch intervalech. M∙₧eme konfigurovat Φinnost poÜty v souboru mail.log. Zßkladnφ konfiguraci poÜty m∙₧ete vid∞t na obrßzku Φ. 3.

A co °φkß Hamlet: "Koupit Φi nekoupit?"
Tato otßzka je filosofickß a jestli mßte hluboko do kapsy, pak nemusφte p°φliÜ vßhat. Hned tak brzy nekoupφte nic levn∞jÜφho. Kdy₧ jsem testoval firewall GNAT v p°edchozφm Φφsle, zdßla se mi jeho cena okolo 30 tisφc bez hardwaru adekvßtnφ. Firewall WinRoute koupφte za asi 12 tisφc, tak₧e jde o dalÜφ cenov² rekord, kdy₧ pominu firewall nad Linuxem, kter² je zdarma. Na v²stav∞ Invex jsem zjistil, ₧e hardwarov² box pro bezpeΦnΘ p°ipojenφ na Internet s linuxov²m firewallem dodßvß firma INET za 42 tisφc korun, tak₧e kdy₧ odeΦtete cenu za hardware, dostanete cenu firewallu WinRoute. Pro b∞₧nΘ provoznφ prost°edφ mal²ch firem bez citliv²ch informacφ je tento produkt dobr²m °eÜenφm i slabinami. MalΘ firmy takΘ vφce ocenφ p°φdavnou hodnotu v tomto firewallu, tj. proxy a mail server. Firewall toho umφ jeÜt∞ vφce, nap°φklad jsem se nezmi≥oval o statistice, sm∞rovßnφ atd., ale tyto vlastnosti jsou ji₧ v dneÜnφch firewallech b∞₧nΘ. Kladem tohoto °eÜenφ je zejmΘna nφzkß cena a jednoduchß sprßva, co₧ ocenφ zejmΘna malΘ firmy, kterΘ si nemohou dovolit vyhradit na firewall samostatn² poΦφtaΦ.

   

This site © copyright 1999 Tiny Software Inc,. All rights reserved.
This website created by i like this!

 

k o n t a k t y d e a l e r i p r o d e j d o w n l o a d p o d p o r a p r o d u k t y return to top k o n t a k t y d e a l e r i p o d p o r a p r o d e j d o w n l o a d p r o d u k t y n o v i n k y