Stejně jako každý z nás chrání svůj byt či dům před zloději, musí i každá společnost chránit svou počítačovou síť. Dnes již nezáleží na velikosti nebo na počtu samotných počítačů připojených k internetu, je nutné chránit síť jako celek, včetně ochrany klíčových serverů, na nichž běží aplikace typu mailserver, fileserver, databázový server a další. Pomocí firewallů můžeme také dosáhnout nejbezpečnějšího možného připojení k internetu. Firewally kontrolují a následně povolují nebo zamítají jednotlivé pokusy o přístupy z nebo do podnikové sítě.
Firewall je důležitý
Každý firewall by měl umět filtrovat síťový provoz na úrovni jednotlivých paketů – tzv. paketový filtr. Na základě stanovených pravidel potom propouští pouze některé pakety a jiné odmítá nebo rovnou odstraňuje. Paketové filtry se obecně dělí na stavové a bezestavové. Stavový paketový filtr umí dynamicky propustit nebo odmítnout nějaký paket na základě jiného již dříve propuštěného paketu. Například automaticky povolit přijetí nějakých dat umožní jen tehdy, pokud si je předtím nějaká stanice na síti vyžádala. Povolí se také všechny pakety v obou směrech, patří-li k jednomu TCP spojení. Pravidla stavového paketového filtru se konfigurují mnohem snáze než pravidla pro bezestavový filtr. Stavový paketový filtr dnes obsahuje každý moderní firewall včetně softwarových.
Firewall hardwarový či softwarový?
Při výběru firewallu můžeme volit z řešení hardwarových nebo softwarových. Nejlacinějším řešením bývají často malé hardwarové firewally, které v sobě integrují jednoduchý firewall a router a mohou být doplněny o další funkce, jako je vestavěný hub nebo switch, případně připojení přenosných počítačů k bezdrátovým sítím. Výhodou menších hardwarových firewallů bývá obvykle relativně nízká pořizovací cena, pohybující se kolem několika tisíc korun, a jednoduchá instalace, kterou zvládne i mírně pokročilý uživatel. Nevýhodou na druhou stranu bývá omezená nabídka funkcí vestavěného firewallu a obtížnější upgrade. Typickým zástupcem firewallů této kategorie je např. 3Com OfficeConnect VPN Firewall a další.
Druhou variantou hardwarových firewallů jsou komplexní řešení ochrany podnikových sítí, jako je například Cisco, Check Point, která se dodávají včetně technické podpory. Pro firmu, která si takové řešení pořídí, je ovšem nezbytností kvalifikovaný administrátor. Pro velké hardwarové firewally je typický vysoký dosahovaný výkon a rovněž bohatá nabídka funkcí. Ceny menších řešení přitom začínají na 20 000 Kč, u rozsáhlejších firewallů pak dosahují i několik milionů Kč.
Poslední možností jsou softwarové firewally. Označení je však poněkud zavádějící, protože většina firewallů hardwarových jsou jen upravené počítače s operačním systémem (např. Linux), na kterých pak běží vlastní program firewallu. Proto bychom měli softwarové firewally označovat spíše jako firewally v podobě programů pro běžné počítače. Tyto firewally instalujeme na osobní počítač či server podobně jako jiný software a kromě ochrany vlastní podnikové sítě nabízejí i celou řadu dalších funkcí. Existuje ovšem také řada programů, umožňující pouze částečnou funkčnost (např. známý Squid, který nepracuje jako firewall, pouze umožňuje předávat požadavky konkrétních protokolů, třeba HTTP pro prohlí-
žení webových stránek). Známé firewally pro systémy Windows jsou například Kerio Win-
Route Firewall, WinGate nebo Microsoft ISA Server 2004.
Firewally síťové, personální, speciální
Firewally, v podobě programů pro běžné počítače, můžeme ještě dále rozdělit podle vhodného způsobu použití na firewally síťové, firewally personální a firewally speciální. O síťových firewallech jsem se zmínil na předchozích řádcích. Jejich funkcí je ochránit podnikovou síť na přechodu z internetu do podnikové sítě.
Personální firewall je oproti tomu určený pouze pro ochranu počítače, na kterém je instalován. Umožňuje uživatelům absolutní kontrolu výměny informací mezi jejich počítači a dalšími počítači, jak v rámci lokální sítě, tak i na internetu. V jednotlivých podnikových sítích chrání personální firewall vždy jeden počítač před útoky z interní sítě. Vzdálené pracovní stanice a přenosné počítače jsou tímto personálním firewallem chráněny zároveň proti útokům z internetu – v době, kdy nejsou připojeny k místní podnikové síti. K nejznámějším personálním firewallům patří Kerio Personal Firewall, Zone Alarm, Bortin Personal Firewall nebo personální firewall integrovaný v MS Windows XP po instalaci SP2.
Poslední dobou přicházejí na trh produkty, které jsou určené pro speciální typ ochrany. Pro účely tohoto článku je označme jako speciální softwarové firewally. Můžeme zmínit například Kerio ServerFirewall, což je firewall speciálně navržený pro ochranu serverů s operačním systémem MS Windows. Vhodným způsobem tak doplňuje síťové firewally, chrání před útoky zevnitř sítě a brání zneužití bezpečnostních chyb v operačním systému a aplikacích, pro něž neexistují záplaty.
Závěr
Útoky hackerů, viry a spam představují velký problém dnešního internetu. Proto nemůžeme podceňovat výběr a nasazení firewallu pro podnikové sítě. Žádnou síť, která je připojena k internetu, bohužel nelze zabezpečit stoprocentně. Avšak vhodným výběrem řešení a kombinací různých firewallů můžete tato rizika minimalizovat. Nelze jednoznačně říci, zda jsou lepší firewally hardwarové nebo softwarové. Vždy je nutné zvážit potřeby, velikost a případně další specifické požadavky na bezpečnost podnikové sítě. Všeobecně můžeme říci, že pro menší a středně veliké podnikové sítě s požadavky na jednodušší implementaci firewallů se hodí spíše firewally softwarové, pro rozsáhlejší podnikové sítě pak firewally hardwarové. Nesmíme však zapomenout ani na ochranu před útoky zevnitř sítě, která je často podceňovaná. Proto pamatujme na nasazení personálních firewallů na pracovní stanice a notebooky a rovněž na dostatečné zabezpečení serverů.
Tomáš Vávra je zaměstnancem společnosti Kerio Technologies.
PŘEDPLATNÉ
ČLÁNKY DO MAILU