Firewall

Z HelpDesk
Verze z 15. 8. 2023, 13:36, kterou vytvořil Svamberg (diskuse | příspěvky) (zmena tridy tabulka na wikitable pro tabulky (automaticky))
(rozdíl) ← Starší verze | zobrazit aktuální verzi (rozdíl) | Novější verze → (rozdíl)
Civenka-Firewall-Ilustrace.png

Firewall, společně s antivirovým štítem a aktualizací operačního systému, tvoří základní pilíře zabezpečení stanice. Pracovní stanice připojené v síti WEBnet mají (až na výjimky) přidělené veřejné IP adresy, což znamená, že jsou přímo přístupné ze sítě Internet a použití firewallu je tedy naprosto nezbytné. Firewally umožňují filtraci a případně i monitorování síťového provozu, čímž redukují bezpečnostní rizika - kdo se k vám nedostane, nemá šanci škodit.

Jak funguje Firewall?

Firewall slouží jako kontrolní bod, definující pravidla pro komunikaci mezi sítěmi, které odděluje. Kontroluje veškerou procházející komunikaci a na základě nastavených pravidel rozhoduje, zda ji propustí či zablokuje. Firewall samozřejmě není ani zdaleka "všemohoucí"; že přes něj komunikace prošla ještě neznamená, že jejím cílem není vás poškodit. Existuje mnoho způsobů, jak k útokům využít běžné komunikace, kterou firewall propouští, či je za běžnou komunikaci zamaskovat (např. podvržením IP adresy).

Komunikace počítače s okolím

Před samotným popisem firewallu je dobré si připomenout, jak funguje přenášení dat mezi počítači připojenými do počítačové sítě. V následujícím příkladu předpokládejme, že počítač A chce poslat nějaká data počítači B.

Aby bylo možné od sebe jednotlivé počítače v počítačové síti rozlišit, byly vynalezeny tzv. IP adresy. Pro zjednodušení lze říci, že každému počítači patří jedna takováta adresa. Počítač A (odesílatel) je pak specifikován svou zdrojovou IP adresou a počítač B (příjemce) svou cílovou IP adresou.

Na každém počítači může současně běžet více aplikací, které by rády odesílaly a přijímaly data. Například WWW prohlížeč, textový editor provádějící tisk a podobně. Aby tyto aplikace mohly také současně komunikovat, má každý počítač k dispozici více komunikačních kanálů, kterým se říká porty. Tyto porty jsou číslovány 1-65535, přičemž portům s čísly 1-1024 měly být přiřazeny konkrétní aplikace (např. HTTP pro přesnos WWW stránek = 80, POP3 pro stahování e-mailů = 110, SMTP pro odesílání e-mailů = 25 apod.) Prakticky to však v mnoha případech nemusí platit. Pro porty s vyššími čísly neexistuje žádná určitá aplikace, ale jsou v počítači volně k dispozici pro libovolnou aplikaci. Při komunikaci jsou pak data odesílána aplikací v počítači A na určitém komunikačním kanále (zdrojový port) a na druhé straně jsou přijímána počítačem B také na určitém portu (cílový port).

Posílaná data jsou rozdělena na menší části, nazývané pakety, které se počítačovou sítí lépe přenášejí. Zjednodušeně řečeno, každý paket si s sebou nese informace o své zdrojové IP adrese, zdrojovém portu, cílové IP adrese a cílovém portu. Následující obrázek ilustruje cestu paketu, který patří protokolu SSH (tomuto protokolu je vyhrazen port s číslem 22). V tomto případě se zdrojový i cílový port shodují, ale zpravidla se zdrojový a cílový port liší.

Komunikace dvou počítačů

Funkce firewalu

Činností paketového firewallu je kontrola jednotlivých paketů a rozhodnutí, zda smí pokračovat ve své cestě nebo nikoliv. K rozhodnutí používá čtveřici údajů, kterou si každý paket nese s sebou, tj. zdrojovou IP adresu, zdrojový port, cílovou IP adresu a cílový port. Přístup k přijímání nebo zamítání paketů je definován pravidly v konfiguračním souboru firewalu. Takováto pravidla jsou na následujícím obrázku reprezentována jednotlivými "cihlami" ve zdi firewallu. Pro každý paket nalézt pravidlo, které říká, jestli smí projít, nebo má být "zpopelněn".

Jak funguje firewall

Na výše uvedeném obrázku je příklad, kdy na nějaký počítač přistupujeme pomocí SSH pouze z určitého okruhu počítačů (třeba ze sítě WEBnet). Pak je povolen přístup paketům směřujícím na port 22 pouze tehdy, pokud odešly také z portu 22 z počítače, jehož IP adresa odpovídá 147.228.*.*, tedy univerzitní síti. Nesmíme zapomenout na pakety, které putují opačným směrem, tj. které odcházejí z portu 22 a směřují k počítači s IP adresou 147.228.*.*

Doporučené firewally

Pro různé operační systémy existuje řada komerčních i OpenSourcových firewallů. Následující přehled není v žádném případě vyčerpávající, jsou zde zmíněny pouze doporučené produkty nevyžadující od studentů a zaměstnanců ZČU finanční náklady.

Firewall Použití
McAfee Windows - univerzitní PC, o instalaci požádejte svého lokálního správce
Microsoft Defender Windows - výchozí součást systému, soukromé PC
iptables Linux

Doporučená konfigurace

Doporučená konfigurace personálního firewallu pro prostředí ZČU je taková, která omezí přístup na váš počítač a minimálně omezí přístup aplikací z vašeho počítače kamkoliv do světa. Například typická konfigurace pracovní stanice může vypadat takto:

  • povolit veškerou komunikaci z adresy 127.0.0.1 (loopback, neboli počítač se může spojit sám se sebou)
  • povolit veškerou odchozí komunikaci
  • povolit komunikaci, která je navázána směrem ze stanice nebo je tzv. příbuzná (jelikož je UDP bezstavový protokol, nelze jednoduše navázat spojení - proto příbuzné spojení)
  • zakázat veškerá příchozí spojení na pracovní stanici z internetu.

Vytváření konfigurace firewallu, která je funkční a současně uživateli povolí vše co ke své práci potřebuje, vyžaduje určité znalosti. Součástí následujícího přehledu doporučených firewallů jsou také typické konfigurace. Nevyberete-li si z předpřipravených konfigurací a potřebujete-li povolit další službu, poraďte se vaším s lokálním správcem.

Pokud si nejste jisti, jak správně nastavit Firewall ve Windows Defenderu, může Vám pomoci tento článek od Microsoftu: https://learn.microsoft.com/en-us/windows/security/threat-protection/windows-firewall/best-practices-configuring

Firewall pro ostatní zařízení

Nejen pracovní stanice, ale i další připojená zařízení, jako jsou například tiskárny, kamery, průmyslové stroje a mnoho dalších, mohou být (a bývají) cílem síťových útoků a je tedy nutno je chránit. Některá z těchto zařízení mají firewall zabudovaný, jiná však nikoli. Pro takováto zařízení je k dispozici služba Zabezpečení zařízení v katedrální síti, která umožňuje jejich ochranu pomocí centrálního firewallu.