Firewally

Za��zen� (a� u� hardwarov� nebo softwarov�) ur�en� k zabezpe�en� s��ov�ho provozu.

Typy

Paketov� filtry

Funguj� na �rovni paket�, resp. 3. a 4. vrstv� ISO/OSI. Propou�t� pakety v z�vislosti na zdrojov� nebo c�lov� adrese a portu. Jednoduch� a rychl� �e�en�, implementa�n� nen�ro�n�, kter� ov�em nijak nekontroluje samotn� obsah paketu, tj. nelze filtrovat podle obsahu, proto vyhovuje jen pro z�kladn� pou�it�.

Stavov� paketov� filtry

Podobn� paketov�m filtr�m, nav�c ukl�daj� informace o ji� nav�zan�ch spojen�ch a umo��uj� tak urychlit proces rozhodov�n�. Jsou tedy rychlej��, ale op�t poskytuj� jen pom�rn� jednoduch� mo�nosti rozhodov�n�.

Aplika�n� br�ny / Proxy

Kontrola prob�h� na aplika�n� vrstv�, tak�e br�na mus� b�t optimalizovan� pro konkr�tn� protokol. Nicm�n� umo��uje filtraci i na z�klad� konkr�tn�ho obsahu. Hardwarov� n�ro�n�j��, ale spolehliv�j��. Princip je v tom, �e vn�j�� stroj je p�ipoj� jako klient k proxy a proxy se pak jako klient p�ipoj� p��mo k serveru.

Stavov� paketov� filtry s kontrolou protokol�

Nejpokro�ilej�� ze zm�n�n�ch variant. Nab�z� to, co p�edchoz�, nav�c um� kontrolovat obsah paket� do hloubky, tak�e nap��klad mohou odhalit tunelov�n� nap�. zak�zan�ho ICQ nebo P2P s�t� p�es HTTP.

Paketov� filtry v Linuxu

Od verze 1.1 je paketov� filtr zabudov�n v j�d�e. Jednalo se o ipfw, kter� bylo p�evzato z BSD. V sou�asnosti je nahrazen netfilterem, kter� se nastavuje pomoc� n�stroje iptables.

Princip netfilteru

Podle n�sleduj�c�ho sch�matu proch�z� pakety kontrolou pravidly v jednotliv�ch �et�zech (chain; seznamy pravidel, proch�z� se sekven�n� od prvn�ho). V ka�d�m m��e b�t paket bu� akceptov�n (ACCEPT), zahozen (DROP) nebo zahozen s upozorn�n�m (REJECT).

Iptables a FirewallBuilder

Ve�ker� nastaven� netfilteru lze z p��kazov� ��dky prov�d�t pomoc� p��kazu iptables. Jeho syntaxe je pom�rn� komplikovan� a proto doporu�uji pou�it� grafick�ho voln� �i�iteln�ho a multiplatformn�ho n�stroje FirewallBuilder. Ve v�t�in� distribuc� m� sv�j bal��ek fwbuilder a um� spolupracovat i s netfilterem (dok�e generovat skripty pro iptables).

Nastaven� netfilteru je nutn� prov�d�t p�i ka�d�m startu znovu, proto je dobr� p��kazy pro nastaven� filtru um�stit do startovac�ch skript�.

P��klad p��kaz� iptables:

• iptables -F vyma�e v�echna pravidla.
• iptables -L vyp��e v�echna zaveden� pravidla, tj. aktu�ln� nastaven� firewallu.
• iptables -A INPUT -p tcp --dport=80 -j ACCEPT p�id� do �et�zce INPUT pravidlo, kter� akceptuje tcp spojen� na c�lov�m portu 80 (www)

Dal�� p��klady jsou detailn� vysv�tleny v refer�tu z jara 2009 p��padn� v prezentaci firmy WebStep. V p��pad� pou��v�n� aplikace FirewallBuilder je net�eba zn�t.

NAT

Network adress translation je technika, kterou lze odst�nit celou pods�� t�m, �e odchoz�m paket�m je na routeru p�i�azena jedna spole�n� IP. Lze vyu��t i k zabezpe�en� po��ta�� za routerem, kter� nemaj� ve�ejnou adresu a nelze na n� tedy p��mo p�istupovat z internetu. �asto to ale zp�sobuje probl�my n�kter�m aplikac�m (typicky s protokolem SIP).

V netfilteru existuje speci�ln� tabulka nat ur�en� pr�v� pro pravidla natov�n�.

Odkazy a literatura

• Archiv refer�t�
• Wikipedia
• O firewallech na rootu
• O iptables na rootu
• FirewallBuilder