Nasazení firewallu v praxi

V dobách, kdy lokáním sítím dominoval Novell Netware provozovaný na v podstatě privátním protokolu IPX, bylo riziko n...


V dobách, kdy lokáním sítím dominoval Novell Netware provozovaný na v podstatě
privátním protokolu IPX, bylo riziko napadení sítě podstatně menší než dnes.
Vnitřní síť totiž před uživateli Internetu bránila už sama rozdílnost použitých
protokolů. TCP/IP běžel jen na stanicích a nanejvýš ještě na poštovním serveru.
Největší nebezpečí tak představovala možnost zanesení virové nákazy různými
downloady.
Jako správci sítě jste se mohli spolehnout na to, že vaši zodpovědní uživatelé
všechno stažené prověří. Jistě byste nebyli první ani poslední, koneckonců
hřbitovy jsou optimistů plné. Stejně tak se váš poštovní server mohl stát
terčem hrátek nějakého vtipálka, který vás mohl obšťastnit lavinou nesmyslných
zpráv a tak zahltit diskový prostor příchozím zprávám určený. To nejmenší, co
pak nastalo, bylo ochromení vašeho poštovního systému. Pokud však pošta končila
například v novellovských mailboxech (nacházejících se na volumu SYS), mohli
jste se těšit i na ochromení vnitřní pošty a tiskového systému.
Připočtěte zdokumentované chyby v raných verzích webových browserů (a
nezdokumentované v těch nových) a s tím spojené riziko krádeže privátních dat
přímo z pevného disku lokální stanice (či namapovaného síťového disku) nebo
dokonce jejich poškození až zničení vhodně nastraženou pastí na oblíbené webové
stránce, a máte o vrásky postaráno.
Postupem času jste si zřejmě vybudovali vlastní veřejně přístupný webový,
případně FTP server. I v případě, že jste neudělali tu hloupost, abyste takové
služby zprovoznili na serverech, na kterých běží vaše kritické firemní
aplikace, jste najednou měli ke klidnému spánku čím dál tím méně důvodů. K
vašim dosavadním starostem přibyly ještě obavy o to, kdy si nějaký šikula
povšimne vašich krásných stránek a vyšperkuje je něčím veselým.
Tohle všechno jsou však jen takové banalitky, zpestřující každodenní nudnou šeď
dlouhých dní správců sítí, kteří by se jinak stejně unudili. Opravdové starosti
nastanou, pokud vaše důležité aplikace běží na serverech s podporou TCP/IP nebo
pokud prostřednictvím tohoto protokolu samy komunikují. To je případ různých
unixových systémů, pro které je tento protokol nativní, nebo rozličných SQL
serverů na nejrůznějších platformách.
Pak je zabezpečení vašich dat záležitostí použitého operačního systému a také
stavby dané aplikace. Je snad zbytečné připomínat, že bezpečnostní politika,
kterou uplatňujete vůči svým uživatelům a která je pro tento účel naprosto
postačující, může být naprosto nevhodná, uvážíte-li přístup kohokoli anonymního
do vaší sítě. Jako anonymní přístupnost sítě nelze brát jen poskytování
nějakých veřejných služeb (WWW, FTP, NNTP apod.), ale i pouhý fakt, že vaše
kritické uzly jsou zvenčí viditelné (tj. jsou jim přiřazeny veřejné IP adresy,
lze na ně odkudkoliv ze světa zaslat ping).
Rovněž s nástupem a rozvojem intera intranetových technologií přibývá
zranitelných míst a tím i rizik. HTML, Java, ActiveX a další jsou dnes velkou
módou a jejich použití se neomezuje jen na vnější prezentaci firmy na webových
stránkách, ale stávají se často i základem vnitřního informačního systému.
Přitom úroveň zabezpečení těchto technologií zdaleka neodpovídá důležitosti
aplikací, které jsou na nich vystavěny.
Protože stoprocentní zabezpečení vnitřní sítě samotné je u rozsáhlejšího
systému takřka nemožné, rozhodnete se jednoho dne postavit mezi něj a Internet
zeď, která vás ochrání firewall. V tom okamžiku začne vybírání desítky výrobců
vás začnou přesvědčovat o tom, že právě jejich řešení je to nejlepší a když už
ne nejlepší, pak že poskytuje optimální poměr cena/výkon a funkce, kterými
nedisponuje, stejně nebudete potřebovat.
Na co se tedy zaměřit? Pro většinu malých sítí, ve kterých je dominantní Novell
Netware a na TCP/IP běží jen poštovní server, vám bude pravděpodobně stačit
firewall na principu paketového filtru. Jeho prostřednictvím lze nastavením
filtrovaných portů efektivně omezit aplikace, na které se mohou vnější
uživatelé z Internetu u vás obracet, a naopak, které mohou z vnějšku požadovat
uživatelé vaši.
Přidá-li se k tomuto filtru ještě překlad adres (NAT), ušetří se nejenom počet
IP adres potřebných k připojení vaší sítě do Internetu, ale zamezí se také
průzkumu vnitřní sítě zvenčí. Pokud potřebujete spojit prostřednictvím veřejné
sítě více svých lokálních sítí, nebo potřebujete přenášet data ke vzdáleným
uživatelům, měl by zvolený firewall disponovat funkcí VPN virtuální privátní
síť, která pro vás stvoří kódovaný tunel Internetem. Nezapomeňte ovšem, že na
obou stranách kanálu musí být stejný firewall (resp. firewall podporující
stejné kódování což ve skutečnosti znamená to samé).
Používáte-li uvnitř své sítě aplikace využívající protokol TCP/IP, máte tedy
např. unixovou síť a v ní informační systém postavený na SQL serveru, měli
byste uvažovat o firewallu s aplikačními branami (proxy), který dokáže
podstatně efektivněji analyzovat obsah procházejících dat a zamezit tak přenosu
těch nežádoucích. Prostřednictvím firewallu na principu proxy můžete též omezit
příliv informací přicházejících k vnitřním uživatelům. Je-li zvolený firewall
schopen komunikovat s nějakou databází zakázaných lokací, lze též využít služeb
specializovaných firem, které vám budou zasílat seznamy těch míst na Internetu,
která mají nežádoucí obsah (erotika, zpraně, zábava...). Vzhledem k charakteru
Internetu jako velmi dynamického média se ovšem na takovou ochranu nedá
stoprocentně spoléhat.
Pokud jde o proxy, je třeba ještě uvážit množství podporovaných aplikací. Pokud
totiž nebude firewall na principu aplikačních bran schopen zřídit
specializovanou proxy pro určitou službu, nezbyde vám, než použít tzv. plug-in
proxy, která nabízí de facto stejný stupeň ochrany jako paketový filtr s NAT a
výhoda aplikační brány se tím ztrácí.
Když už se rozhodnete pro funkce, kterými by váš firewall měl disponovat, je
třeba vyzkoušet jej v provozu. Vzhledem ke kapacitám používaných pevných linek
dokážete plný provoz na síti nasimulovat i prostřednictvím 3 obyčejných
počítačů PC a pak můžete sledovat, jak se s takovou zátěží vybraný software
vyrovnává. Ovšem běžný provoz, to je přece jenom zase něco jiného např.
rozsáhlé tabulky navázaných spojení a vyhledávání v nich může firewall
zpomalovat. Také případné mezní situace (typicky start firewallu nebo změna
konfigurace zásah do báze pravidel) mohou přinášet nečekané chování např.
dočasné volné propouštění paketů tak, jak jsme se s tím u nás setkali před
určitou dobou v případě jednoho testovaného firewallu (vzhledem k tomu, že
chyba je nyní již opravena, nebudu jmenovat).
Nedílnou součástí provozování firewallu jsou též analýzy informací, které
poskytuje o síťovém provozu. Je nesmírně výhodné, když je už základní software
schopen poskytovat data ve srozumitelné formě tedy ne jako pouhý výpis IP adres
a několika dalších čísel např. součtu délek přenesených souborů. Pokud vámi
zvolený firewall není přehledného podávání zpráv schopen (ovšem pravidelné (s
nastavitelnou periodou) zasílání požadovaných informací by mělo být
samozřejmostí), je třeba zjistit, existuje-li nějaký doplňkový software, který
tuto funkci zastane.
V okamžiku instalace také často nepohrdnete zasvěcenou radou distributora nebo
výrobce. Opět bez uvedení konkrétního jména přístup, kdy vás prodejce odkáže na
svá (placená) školení, kde se údajně vše dozvíte, jistě nesvěd-čí pro volbu jím
nabízeného produktu. Obzvláště uvážíme-li, že vzhledem k bouřlivému vývoji
Internetu se více či méně častému kontaktu s prodejcem a požadavkům na
informace, případně updaty, nejspíš nevyhnete.
Nákupem a instalováním firewallu vaše starosti zdaleka nekončí. Provoz
firewallu je třeba sledovat a reagovat na důležité události. Pokud se do toho
pustíte, brzy zjistíte, že je to rozsah práce hodný najmutí další pracovní
síly. Pokud totiž nebudete průběžně vyhodnocovat provoz na firewallu, snadno
vám uniknou události, na které byste jinak mohli včas reagovat.
8 0021 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.