oblasti směrování a filtrování síťového provozu není se čemu divit, vždyť
unixové platformy jsou k tomuto účelu slušně vybaveny "od narození" a
implementace protokolu TCP/IP, jenž dnes představuje klíčový komunikační
standard, je jim více než vlastní. Jeden z nejsilnějších dodavatelů linuxových
řešení v tuzemských podmínkách, společnost SuSE CR, má rovněž ve svém
produktovém portfoliu řešení, specializované na ochranu a připojení lokálních
sítí do internetu. Podívali jsme se blíže, jaké jsou jeho možnosti.
Základní filozofie
Ačkoliv distribuční název hovoří o firewallu, což je softwarové či hardwarové
vybavení chápané v poněkud užším smyslu slova, představuje tento produkt
rozsáhlejší řešení, neboť zahrnuje kompletní služby proxy-serveru či aplikační
brány. Lze tedy provádět ochranu nejen na úrovni paketů protokolu IP, ale
rovněž na aplikační vrstvě síťového modelu TCP/IP. Z hlediska provozování je
produkt rozdělen na dvě části: první z nich je vlastní firewall/proxy-server,
jenž je provozován na dedikovaném počítači a využívá klíčovou technologii,
souborový systém, fungující přímo z média CD. Na tomto stroji mohou rovněž
běžet další důležité síťové služby, jako jsou DNS či SMTP. Druhou částí je
administrátorská stanice, na níž správce může využít speciální nástroj s
grafickým rozhraním FAS (Firewall Administration System). Za důležité pro
potenciální zájemce považuji fakt, že celková filozofie produktu je, jak jinak,
linuxová. Alespoň základní ponětí o službách tohoto OS ve vztahu k sítím
považuji za žádoucí, pokud má systém opravdu plnit svou funkci.
Správa
Při zavádění do praxe je dobré využít základní postup doporučený výrobcem. Jak
bylo zmíněno, jeden počítač je předpokládán pro samotný provoz firewallu, a
proto pochopitelně vyžaduje alespoň dvě síťová rozhraní. Na druhou stranu,
pokud nebudete využívat na proxy-serveru cachování obsahu, můžete vymontovat
pevný disk, neboť pro běh není nezbytný. Nepoužíváte-li v síti Linux, budete
muset nainstalovat ještě druhý počítač pokročilé rozhraní pro správu FAS
vyžaduje SuSE Linux (je samozřejmě přibalen a instaluje se z CD, označeného
jako Adminhost). Důsledný princip ochrany samotného firewallového počítače je
využit právě při konfiguraci pomocí FAS relativně pohodlně nadefinujete
potřebná pravidla, a poté je vyexportujete na běžnou disketu. Spuštění
dedikovaného stroje provedete po vložení vlastního "Firewall CD" se zmíněným
live file systémem a konfigurační disketou, mechanicky uzamčenou proti zápisu.
Právě tyto, na první pohled primitivní mechanismy, představují základní a
poměrně podstatný krok při vlastní ochraně sítě.
Pojďme se blíže podívat na grafický nástroj pro správu FAS. Jedná se o "okenní"
aplikaci, jež je určena k přípravě výše uvedené konfigurační diskety. Zahrnuje
širokou škálu potřebných konfiguračních kroků: definici síťových rozhraní
(externí, interní, demilitarizovaná zóna), nastavení služby DNS, definici
vlastních IP filtrů, routování, NAT (včetně maškarády), logování, předávání
elektronické pošty (mail relay), filtrování a směrování FTP či definici HTTP
proxy-serveru. Posledně jmenovaná služba zahrnuje kontrolu obsahu, nastavení
autentifikace uživatelů, či naopak zveřejnění WWW serveru do internetu.
Důležitá je rovněž konfigurace protokolu SSH pro pozdější alternativní
vzdálenou správu firewallu.
Považuji tuto administrátorskou grafickou konzoli za opravdu velmi kvalitní.
Jejím použitím lze postihnout drtivou většinu potřebných úkonů, a troufám si
tvrdit, že i pro pokročilé uživatele příkazové řádky bude znamenat urychlení a
zpřehlednění práce.
Co je uvnitř
Motorem firewallu je, pochopitelně, Linux, a základem funkcionality pak
příslušné služby. V tomto ohledu bych řekl, že přidanou hodnotu produktu
představuje především pečlivý výběr a sestavení potřebných programů v
distribuci s tím, že nežádoucí a potenciálně nebezpečné komponenty byly
eliminovány. Vlastní filtrační funkcionalitu zajišťuje služba ipchains, neboť v
době přípravy produktu nebylo k dispozici stabilní jádro 2.4.x s novinkou
iptables, a tímto jsou jasně předurčeny možnosti a omezení. Dále si zmiňme
např. službu DNS v podobě bind8 či HTTP proxy službu (squid, httpf a další).
Nechybí nástroje pro analýzu provozu a logů, z nichž třeba uvedu opravdu skvělý
paketový sniffer ethereal.
Co opravdu získáte
Výrobce tohoto řešení platí ve světě Linuxu za znalce, a kus této pověsti je
patrný i zde. Máte možnost si pořídit důkladně vyladěné prostředí, jež bylo
připraveno speciálně pro svůj náročný úkol, a právě s přihlédnutím k této
okolnosti bylo vybaveno potřebnými funkcemi. Konfigurační prostředí je
kvalitní, avšak vyžaduje správcovský počítač se SuSE Linuxem, což je škoda
očekával jsem, že výrobce umožní omezit svůj Linux výhradně na firewall a
zpřístupní správu např. pomocí zabezpečené HTTP komunikace. Co se týče nároků
na hardware, zde si rovněž myslím, že na firewall by mohlo stačit i slabší
vybavení, než je Pentium II, avšak použijete-li HTTP Proxy, jsou nároky
opodstatněné. Za důležité považuji také roční "systémovou údržbu" v ceně
(zahrnuje patche a aktualizace) a poměrně kvalitní dokumentaci, bohužel nikoliv
v češtině. Pevně doufám, že se brzy dočkáme upgradu na verzi s kernelem 2.4.x,
neboť nevyužít nových možností iptables by jistě byla škoda.
SuSE Linux Firewall on CD
Softwarový firewall a proxy-server
grafická konzole správy
dostupné nástroje
live filesystem
vazba grafické konzole
výhradně na Linux
K recenzi poskytla firma: SuSE CR, Drahobejlova 27, 190 00 Praha 9,
http://www.suse.cz
Cena: 38 000 Kč bez DPH
PŘEDPLATNÉ
ČLÁNKY DO MAILU