Použitie firewallu
1. udržať útočníkmi mimo siete alebo
2. udržať používateľa v sieti, zrejmá je
3. možnosť, ktorá predstavuje kombináciu vyššie uvedeného.
Možno by sme teraz mali rozšíriť definíciu firewalu ako systému filtrujícího sieťovú prevádzku – teda paketový filter – o najrôznejšie proxy servery, ktoré budeme v tejto práci chápať ako systémy umožňujúce užívateľom po autorizaci a na základe pridelených práv na prístup k určitému médiu, napríklad http protokolu internetu. Zámerne abstrahujeme od takzvaných transparentných proxy serverov, ktorých cieľom väčšinou býva skryté monitorovanie, filtrovanie alebo urýchlení niektorých služieb.
Zapojenie firewallu do chránenej siete, respektíve architektúra firewallu, predstavujú prvý a možno najzásadnejšie problém, ktorý musí byť riešený. Záleží z veľkej časti na tom, či bude potrebné poskytovať internetu nejaké služby, povedzme napríklad webserver. V takom prípade často volíme model s takzvanou DMZ – demilitarizovanej zónou – ktorá je stále pod úplnou kontrolou správcov podnikovej siete (viď kap. 2.2.1), ale zároveň je fyzicky oddelené od zvyšku systému. Architektúra by v takom prípade mohla vyzerať napríklad takto:
Ak máme jasno v umiestnení firewallu môžeme pristúpiť k samotnému návrhu. Všeobecne existujú dve základné možnosti:
– Štandardne povoliť všetok prevádzku a zakazovať len určité služby / porty / atď
– Alebo implicitne zakázať úplne všetko a potom určiť, ktoré služby / porty / atď majú firewallem prechádzať.
V podnikovom prostredí sa najčastejšie stretávame s druhou možnosťou, tzn. default deny, pretože firmy majú väčšinou IT oddelenie, ktoré je schopné udržiavať a meniť odlučovací pravidlá v závislosti na požiadavkách pracovníkov. Stratégia filtrovanie všetkého prevádzky totiž vyžaduje veľmi časté zásahy do konfigurácie firewallu a teda veľmi veľa času poverených pracovníkov. Navyše bohužiaľ existujú aplikácie, ktoré nepracujú s presne stanovenou skupinou portov takže nie je možné povoliť ich priechod firewallom. Riešením môže byť použitie Socks proxy alebo v krajnom prípade vybudovanie VPN medzi problémovými miestami.
Konfigurácia filtra
Po zvolení defaultní stratégie môžeme pristúpiť k samotnej konfiguráciu firewallu, táto sa samozrejme líšia produkt od produktu. Budeme ďalej predpokladať návrh firewallu na úrovni TCP / IP a rodinu protokolov IPv4. Existujú samozrejme aj iné kombinácie, ale vyššie uvedené riešenie je dnes asi najrozšírenejší. V našom prípade si teda musíme poradiť v zásade s TCP, UDP a ICMP. Protokol TCP je ako známe stavový, takže sa pre neho pravidlá píší veľmi ľahko, stačí napríklad len povoliť iniciačné konekce na určité služby z vonkajšej siete (internetu) a potom už len pridať pravidlo na prepúšťanie už nadviazaných spojenie. Protokol UDP má trochu iné určenie, UDP transakcie nemajú charakter trvalé spojenie a tak je potrebné pravidlá často písať obojsmerne. Tento problém je možné riešiť mnohými spôsobmi, jedným z nich je napríklad použitie takzvaného stavového firewallu. Ak napríklad pravidlo pre odchádzajúce UDP konekci zvolíme ako stavové, vytvára si potom softvér firewallu samostatne krátkodobé dočasné pravidlá, ktoré povolia aj pripojenie v opačnom smere. Stavové pravidlá je samozrejme možné použiť iu TCP, je však potrebné mať na zreteli značné množstvo generovaných dynamických pravidiel (najmä u protokolu UDP). Čo sa týka ICMP, je vecou každého správcu siete, aké ICMP type povolia. Podľa štandardov by mal každý stroj pripojený do internetu zodpovedať minimálne na ping tzn. echo request a reply, ďalej je potom vhodné kvôli správnemu routovania a prevádzky na sieti povoliť source quench, unreachable, fragmentácii prípadne traceroute. Vyššie uvedené platí skôr pre poskytované služby do internetu, nastavenia pre vnútornú sieť je samozrejme plne v kompetencii podniku.
