eNet System
O nás Řešení Technologie Support Reference
Odkazy
Bezpečnost

Firewall
Firewall je zařízení (zpravidla počítač) sídlící mezi dvěma (nebo i více) sítěmi, který omezuje, monitoruje či dokonce upravuje veškeré informace proudící mezi nimi, a to oběma směry. Typické použití firewallu je na hranici lokální sítě a Internetu, kde chceme chránit zejména relativně důvěryhodné prostředí lokální sítě od škodlivých útoků z Internetu.

Typy firewallů
- Paketový filtr (packet filter)
- Stavový firewall (statefull inspection firewall)
- Aplikační proxy/brány (application proxy)
- Analyzátor paketů (packet analyzer)
- Network Address Translation (bývá někdy zařazován na úroveň paketových filtrů)
V praxi jsou uvedené typy firewallů kombinovány.

Paketový filtr
Nejdůležitější stupeň každého firewallu. V základní podobě pracují pouze na síťové vrstvě ISO/OSI. V podstatě se chová jako filtrující router, neboť zkoumá procházející pakety na základě IP hlavičky. Podle nastavených pravidel potom rozhoduje jak s pakety naloží, zejména zda daný paket zahodí nebo propustí. Paketové filtry se postupem času vyvíjely a dnes už často zasahují i do jiných vrstev OSI modelu (např. linkové při klasifikaci podle ethernetové adresy).
Výhody:
Jsou velmi rychlé a nenáročné - analýza na základě hlaviček paketů nemá velké nároky na výkon. Navíc je filtrování obvykle zabudováno přímo v jádře systému. Není také třeba uchovávat žádné stavové informace.
Pro uživatele jsou transparentní - není potřeba žádným způsobem upravovat ani nastavovat uživatelské aplikace.
Nevýhody:
Sledují pouze hlavičky paketů - neumí se rozhodovat podle vyšších vrstev, nerozumějí návaznosti jednotlivých paketů.
Nutná velká pozornost při konfiguraci filtrů - pro precizní zabezpečení potřebujeme mít povoleno právě to co používáme a nic navíc.
Nepodporují autentizační mechanizmy (maximálně tak autentizaci podle IP adres ...)
Omezené možnosti logování - náročné na výkon (co vlastně logovat?).

Stavový firewall
Rozšíření paketových filtrů, které umožňuje rozhodování o osudu paketů na základě informací z okolních vrstev OSI modelu. Příkladem je zahazování, paketů které neodpovídají žádnému existujícímu TCP spojení. Náročné na výkon, neboť je třeba analyzovat celý paket a uchovávat si stavové informace. Někdy není bráno jako zvláštní typ firewallu, ale pouze jako nádstavba paketového filtru.

Aplikační proxy
Brána, která pracuje na úrovni aplikační vrstvy. Principem je, že všechny pakety procházející ven ze sítě musí projít touto branou, což je využíváno pro řízení přístupu k vnější síti (např. omezení velikosti stahovaných souborů, žádné porno) a monitorování provozu (např. co kdo stáhl). Komunikace většinou probíhá tak, že lokální klient kontaktuje proxy server, který poté vystupuje jako prostředník (server pro lokálního klienta, a klient pro vnější server) při komunikaci. Příkladem je HTTP proxy, FTP proxy, SMTP proxy apod.
Výhody:
Logování - proxy umožňují precizní logování (až na úrovni uživatelů).
Možnost cacheování - může snížit počet vnějších dotazů a zvýšit výkon.
Umožňují autentizaci - např. pomocí hesla jednotlivé uživatele.
Není potřeba podpora v jádře systému.
Nevýhody:
Pro uživatele není transparentní - je třeba u aplikací nastavit použití proxy serveru (přičemž aplikace to musí umožňovat).
Náročnost na výkon - každá služba potřebuje vlastní proxy.

Analyzátor paketů
Pasivní zařízení, jehož výstupem jsou výstražné, logovací nebo chybové zprávy. Tímto typem se zde nebudeme podrobněji zabývat. Příkladem je nástroj Snort, jehož funkcionalita se však už blíží IDS.

NAT
NAT (Network Address Translation) je služba sloužící k převodu vnitřních privátních adres na adresy veřejné (nejčastěji na jednu jedinou), které je možno používat v Internetu. NAT lze rozdělit na dva typy:
- Source NAT (SNAT, zdrojový překlad) - při tomto typu se modifikuje zdrojová adresa paketů. Provádí se vždy až po dokončení směrování, těsně předtím, než je paket vyslán do sítě.
- Destination NAT (DNAT, cílový překlad) - při tomto typu se modifikuje cílová adresa paketů. Provádí se před počátkem směrování, těsně po přijetí paketu ze sítě.
Výhody:
Skrytí vnitřní struktury sítě při pohledu zvenčí.
Jednoduchá konfigurace klientů - stačí nastavit NAT jako bránu (jinak zůstávají beze změny).
Nevýhody:
Zvnějšku není možné do sítě přímo přistupovat - komunikace musí být iniciována zevnitř sítě (možnost použití speciálního software pro přeposílání portů)
Problémy při použití DHCP.