NestaΦφ
malß zφdka?
MiloÜ UrbiÜ, Connect 11/97
Spousta
u₧ivatel∙ neopl²vß dostateΦn²mi finanΦnφmi zdroji a nem∙₧e si dovolit
po°φdit po°ßdn² firewall za statisφce nebo mili≤ny. Jednφm z mo₧n²ch °eÜenφ
je pou₧itφ firewallu jako aplikace nad klasick²m operaΦnφm systΘmem Windows
95 nebo Windows NT.
Jak
levn∞ zachrßnit vlastnφ sφ¥?
Jak
u₧ jsem p°edeslal v ·vodu, podφvßme se na jednu 32bitovou aplikaci pro
prost°edφ Windows slou₧φcφ k zajiÜt∞nφ standardnφch funkcφ firewallu z
vaÜeho b∞₧nΘho PC. Aplikace WinRoute nabφzφ standardnφ firewallovΘ slu
₧by, nap°φklad p°eklad adres, slu₧by proxy atd. Tento systΘm nabφzφ pouze
standardnφ bezpeΦnost rozÜφ°enou zejmΘna o p°φdavnΘ slu₧by s jednoduchou
a intuitivnφ administracφ. SouΦßstφ systΘmu je i °eÜenφ tzv. slu₧by Cache-Proxy
server, elektronickΘ poÜty a mo₧nost definovanΘho spouÜt∞nφ ·loh. N∞kterΘ
vlastnosti nemajφ ani mnohem dra₧Üφ firewally. P°ipojenφ do Internetu
m∙₧e b²t provedeno p°es klasickou telefonnφ linku (komutovan² spoj), pevnou
linku nebo druhou sφ¥ovou kartu. P°ipojenß sφ¥ m∙₧e b²t sm∞rovßna nebo
(pomocφ p°ekladu adres (NAT)) schovßna za jedinou adresou IP. CelΘ prost°edφ
se sklßdß z nßsledujφcφch Φßstφ:
IP
sm∞rovaΦ - realizuje zßkladnφ funkci produktu, tj. sm∞rovßnφ paket∙ IP
mezi vφce sφt∞mi. NAT - modul p°ekladu adres pro odstφn∞nφ adres na vnit°nφ
chrßn∞nΘ sφti. WinRoute podporuje takΘ ICMP. Packet Layer Firewall - zajiÜ¥uje
filtrovßnφ provozu na zßklad∞ filtrovacφch pravidel pro adresy IP a porty.
Cache-Proxy server (http, ftp, gopher) - tento modul zajiܥuje optimalizaci
poΦtu p°φstup∙ do Internetu, nap°φklad ke shodn²m strßnkßm WWW. PoÜtovnφ
server - zabezpeΦuje komplexnφ zpracovßnφ poÜty. PlßnovaΦ - slou₧φ k plßnovßnφ
vybran²ch akcφ. CelΘ prost°edφ si m∙₧ete komplexn∞ vyzkouÜet, ale jen
na dobu 15 minut, pak je nutnΘ celou aplikaci spustit znovu. Po zakoupenφ
produktu obdr₧φte aktivaΦnφ klφΦ a sΘriovΘ Φφslo, s kter²mi m∙₧ete z neoficißlnφ
testovacφ verze ud∞lat oficißlnφ prost°edφ.
InstalatΘr
se zapotφ
Po klasickΘm miÜmaÜi s kartami a jejich zprovozn∞nφ pod TCP/IP nenφ instalace
vlastnφho software z jedinΘ diskety problΘmem. Ty zaΦφnajφ a₧ p°i konfiguraci
celΘho prost°edφ, proto₧e musφte pochopit filosofii celΘho °eÜenφ. Bohu₧el
jsem k testovßnφ nenaÜel ₧ßdnou adekvßtnφ dokumentaci. Ta je dostupnß
alespo≥ v zßkladnφ mφ°e na http://www.winroute.cz, a le je t°eba si uv∞domit,
₧e v okam₧iku instalace nemusφ mφt b∞₧n² zßkaznφk p°φstup na Internet.
Pak mß ovÜem sm∙lu a v p°φpad∞, ₧e konfiguruje firewall poprvΘ v ₧ivot∞,
po°ßdn∞ se zapotφ. SystΘm toti₧ °eÜφ bezpeΦnost nad virtußlnφmi logick²mi
ovladaΦi a nepou₧φvß fyzickΘ adresy IP poΦφtaΦe, na kterΘm je WinRoute
nainstalovßn. CelΘ °eÜenφ je zalo₧eno na vytvo°enφ virtußlnφho poΦφtaΦe
odd∞lenΘho od poΦφtaΦe fyzickΘho. Proto je na nßsledujφcφm obrßzku systΘm
rozd∞len na dva celky a firewall je oznaΦen Φßrkovanou Φarou. WinRoute
vy₧aduje pro svoji Φinnost vlastnφ jedineΦnou adresu IP a fyzickΘ rozhranφ;
ve Windows nemusφ mφt adresu v∙bec p°id∞lenu. To je na obrßzku demonstrovßno
p°eÜkrtnutφm linky. Pokud se do Internetu p°ipojujete telefonnφ linkou,
je t°eba toto spojenφ nakonfigurovat pomocφ klasickΘho menu. WinRoute
realizuje telefonickΘ p°ipojenφ vlastnφm zp∙sobem a nenφ t°eba mφt nainstalovßno
telefonickΘ p°ipojenφ od Microsoftu. Po konfiguraci telefonnφho p°ipojenφ
je t°eba provΘst konfiguraci jednotliv²ch sφ¥ov²ch rozhranφ. JmΘno rozhranφ
zaΦφnß typem a konΦφ po°adov²m Φφslem (nap°φklad eth0, eth1, ppp0) V souΦasnosti
jsou podporovßny dva typy rozhranφ: ethernet a ppp. Praktickou konfiguraci
tabulek k zapojenφ na obrßzku Φ. 1, najdete na obrßzku Φ. 2. Je t°eba
si ale uv∞domit, ₧e testovacφ prost°edφ bylo rozdφlnΘ od b∞₧n²ch provoznφch
podmφnek a nepou₧φvali jsme telefonnφ p°ipojenφ.
Co
nabφzφ bezpeΦnost
Pro Φinnost firewallu je kritickΘ nastavenφ bezpeΦnostnφch pravidel. Tato
pravidla definujφ, kterΘ pakety budou vpuÜt∞ny do sφt∞ a kterΘ budou zamφtnuty.
Nastavenφ t∞chto pravidel se provßdφ na ·rovni adres IP a port∙. P°i p°φchodu
paketu se zkontrolujφ pravidla nejprve pro rozhranφ, ze kterΘho paket
p°iÜel a potΘ pravidla pro ka₧dΘ rozhranφ (atribut any). V p°φpad∞, ₧e
paket pravidlu vyhovuje, je provedena p°φsluÜnß akce a paket je bu∩ vpuÜt∞n
nebo zamφtnut. Pravidla jsou prochßzena v po°adφ, jak jsou zobrazena.
P°i nalezenφ prvnφho vyhovujφcφho pravidla se ji₧ dalÜφ nekontrolujφ.
Pravidlo definuje zdrojovou adresu/rozsah adres, cφlovou adresu/rozsah
adres, pop°φpad∞ zdrojov² a cφlov² port TCP a UDP. U TCP je mo₧nΘ urΦit,
zda se pravidlo vztahuje pouze k paket∙m nenavazujφcφm spojenφ. Pokud
je nad n∞jak²m rozhranφm provßd∞n p°eklad adres, je toto rozhranφ pova₧ovßno
za bezpeΦnΘ a nenφ nutno pro toto rozhranφ definovat dalÜφ bezpeΦnostnφ
pravidla. Dßle lze jednoduÜe zajistit mapovßnφ port∙. Tato funkce zajistφ
mo₧nost otev°enφ komunikaΦnφho kanßlu z Internetu do lokßlnφ sφt∞. Prost°ednictvφm
mapovan²ch port∙ je tedy mo₧nΘ zp°φstupnit slu₧by b∞₧φcφ na poΦφtaΦφch
v lokßlnφ sφti.
Instalace
firewallu zdaleka nekonΦφ
Nynφ je t°eba se zmφnit takΘ o slabinßch firewallu, kterΘ vypl²vajφ z
jeho filosofie. Firewall se sprßvn∞ sna₧φ odst φnit veÜkerou svou Φinnost
od fyzick²ch ovladaΦ∙ na provoznφm poΦφtaΦi pomocφ vlastnφho virtußlnφho
rozhranφ. Bohu₧el vßs vÜak firewall nem∙₧e odstφnit od problΘm∙ provoznφho
operaΦnφho systΘmu, kter²m jsou zranitelnß Windows. To platφ jak pro Windows
95, tak pro Windows NT. Samoz°ejm∞, ₧e bezpeΦnost Windows NT je na mnohem
vyÜÜφm stupni a m∞li byste jednoznaΦn∞ preferovat toto prost°edφ. Vzhledem
k cen∞ firewallu si vÜak myslφm, ₧e si jej zakoupφ spφÜe ten, kdo nemß
ani na Windows NT a kdo ocenφ mo₧nost pou₧φvat poΦφtaΦ s firewallem pro
b∞₧nou prßci. V p°φpad∞ provozu nad Windows 95 bych vßm doporuΦil alespo≥
definovat jedinΘho u₧ivatele tohoto poΦφtaΦe a °ßdn∞ jej proÜkolit v pou₧φvßnφ
tohoto produktu nebo mu zakßzat manipulaci s touto aplikacφ. Dbejte takΘ
na bezpeΦnost p°φstupu k tomuto poΦφtaΦi a nepus¥te k n∞mu kohokoliv.
Vstupnφ
k≤d nebo nic
Konfigurace jednotliv²ch server∙ a slu₧eb je mo₧nß prost°ednictvφm dialogov²ch
menu nebo vzdßlen∞ prohlφ₧eΦem WWW. P°i pou₧itφ serveru proxy mohou b²t
data prochßzejφcφ systΘmem uklßdßna do sdφlenΘ cache, tj. na disk v lokßlnφm
poΦφtaΦi. Jestli₧e si u₧ivatelΘ vy₧ßdajφ stejnΘ strßnky WWW, jsou tyto
strßnky nahrßny z cache, co₧ zvyÜuje rychlost odezvy a Üet°φ vaÜe poplatky
za p°ipojenφ do Internetu. Pou₧itφm serveru proxy m∙₧ete takΘ omezit p°φstup
u₧ivatel∙ k slu₧b∞ WWW a m∙₧ete definovat nap°φklad seznam povolen²ch
server∙ WWW pro vybranΘ skupiny u₧ivatel∙. Kontrola p°φstupu u₧ivatel∙
k jednotliv²m URL se provßdφ podle Access Listu (ACL). P°i p°φstupu na
tyto URL je vy₧ßdßna autentizace u₧ivatele, musφ b²t ale podpora autentizace
ve vaÜem prohlφ₧eΦi, jinak mßte sm∙lu. Omezenφ uvedenß v ACL se nevztahujφ
na administrßtory uvedenΘ ve skupin∞ admins. Lze takΘ zaznamenßvat informace
o prochßzejφcφch strßnkßch do souboru.
PoÜtovnφ
panßΦek
V rßmci poÜtovnφch slu₧eb nabφzφ WinRoute vÜechny standardnφ slu₧by nad
protokoly SMTP a POP3. P°i p°φjmu poÜty p°es POP3 je poÜta vyzvedßvßna
mail serverem ze zadan²ch poÜtovnφch strßnek POP3 kdekoliv v Internetu
a je uklßdßna do mφstnφch u₧ivatelsk²ch strßnek. P°ijφmanß poÜta m∙₧e
b²t uklßdßna do mφstnφch u₧ivatelsk²ch p°ihrßdek podle t°φdφcφch kritΘriφ.
P°φjem a odesφlßnφ poÜty se °φdφ nastavenφm plßnovaΦe. P°φjem a odesφlßnφ
m∙₧e probφhat v urΦitΘm Φase nebo v pravideln²ch intervalech. M∙₧eme konfigurovat
Φinnost poÜty v souboru mail.log. Zßkladnφ konfiguraci poÜty m∙₧ete vid∞t
na obrßzku Φ. 3.
A
co °φkß Hamlet: "Koupit Φi nekoupit?"
Tato otßzka je filosofickß a jestli mßte hluboko do kapsy, pak nemusφte
p°φliÜ vßhat. Hned tak brzy nekoupφte nic levn∞jÜφho. Kdy₧ jsem testoval
firewall GNAT v p°edchozφm Φφsle, zdßla se mi jeho cena okolo 30 tisφc
bez hardwaru adekvßtnφ. Firewall WinRoute koupφte za asi 12 tisφc, tak₧e
jde o dalÜφ cenov² rekord, kdy₧ pominu firewall nad Linuxem, kter² je
zdarma. Na v²stav∞ Invex jsem zjistil, ₧e hardwarov² box pro bezpeΦnΘ
p°ipojenφ na Internet s linuxov²m firewallem dodßvß firma INET za 42 tisφc
korun, tak₧e kdy₧ odeΦtete cenu za hardware, dostanete cenu firewallu
WinRoute. Pro b∞₧nΘ provoznφ prost°edφ mal²ch firem bez citliv²ch informacφ
je tento produkt dobr²m °eÜenφm i slabinami. MalΘ firmy takΘ vφce ocenφ
p°φdavnou hodnotu v tomto firewallu, tj. proxy a mail server. Firewall
toho umφ jeÜt∞ vφce, nap°φklad jsem se nezmi≥oval o statistice, sm∞rovßnφ
atd., ale tyto vlastnosti jsou ji₧ v dneÜnφch firewallech b∞₧nΘ. Kladem
tohoto °eÜenφ je zejmΘna nφzkß cena a jednoduchß sprßva, co₧ ocenφ zejmΘna
malΘ firmy, kterΘ si nemohou dovolit vyhradit na firewall samostatn² poΦφtaΦ.
|