Ochraňte svou síť - SuSE Linux Firewall na CD

Jedno z nejvýznamnějších nasazení operačního systému Linux je bezesporu v
oblasti směrování a filtrování síťového provozu není se čemu divit, vždyť

unixové platformy jsou k tomuto účelu slušně vybaveny „od narození“ a

implementace protokolu TCP/IP, jenž dnes představuje klíčový komunikační

standard, je jim více než vlastní. Jeden z nejsilnějších dodavatelů linuxových

řešení v tuzemských podmínkách, společnost SuSE CR, má rovněž ve svém

produktovém portfoliu řešení, specializované na ochranu a připojení lokálních

sítí do internetu. Podívali jsme se blíže, jaké jsou jeho možnosti.





Základní filozofie



Ačkoliv distribuční název hovoří o firewallu, což je softwarové či hardwarové

vybavení chápané v poněkud užším smyslu slova, představuje tento produkt

rozsáhlejší řešení, neboť zahrnuje kompletní služby proxy-serveru či aplikační

brány. Lze tedy provádět ochranu nejen na úrovni paketů protokolu IP, ale

rovněž na aplikační vrstvě síťového modelu TCP/IP. Z hlediska provozování je

produkt rozdělen na dvě části: první z nich je vlastní firewall/proxy-server,

jenž je provozován na dedikovaném počítači a využívá klíčovou technologii,

souborový systém, fungující přímo z média CD. Na tomto stroji mohou rovněž

běžet další důležité síťové služby, jako jsou DNS či SMTP. Druhou částí je

administrátorská stanice, na níž správce může využít speciální nástroj s

grafickým rozhraním FAS (Firewall Administration System). Za důležité pro

potenciální zájemce považuji fakt, že celková filozofie produktu je, jak jinak,

linuxová. Alespoň základní ponětí o službách tohoto OS ve vztahu k sítím

považuji za žádoucí, pokud má systém opravdu plnit svou funkci.





Správa



Při zavádění do praxe je dobré využít základní postup doporučený výrobcem. Jak

bylo zmíněno, jeden počítač je předpokládán pro samotný provoz firewallu, a

proto pochopitelně vyžaduje alespoň dvě síťová rozhraní. Na druhou stranu,

pokud nebudete využívat na proxy-serveru cachování obsahu, můžete vymontovat

pevný disk, neboť pro běh není nezbytný. Nepoužíváte-li v síti Linux, budete

muset nainstalovat ještě druhý počítač pokročilé rozhraní pro správu FAS

vyžaduje SuSE Linux (je samozřejmě přibalen a instaluje se z CD, označeného

jako Adminhost). Důsledný princip ochrany samotného firewallového počítače je

využit právě při konfiguraci pomocí FAS relativně pohodlně nadefinujete

potřebná pravidla, a poté je vyexportujete na běžnou disketu. Spuštění

dedikovaného stroje provedete po vložení vlastního „Firewall CD“ se zmíněným

live file systémem a konfigurační disketou, mechanicky uzamčenou proti zápisu.

Právě tyto, na první pohled primitivní mechanismy, představují základní a

poměrně podstatný krok při vlastní ochraně sítě.



Pojďme se blíže podívat na grafický nástroj pro správu FAS. Jedná se o „okenní“

aplikaci, jež je určena k přípravě výše uvedené konfigurační diskety. Zahrnuje

širokou škálu potřebných konfiguračních kroků: definici síťových rozhraní

(externí, interní, demilitarizovaná zóna), nastavení služby DNS, definici

vlastních IP filtrů, routování, NAT (včetně maškarády), logování, předávání

elektronické pošty (mail relay), filtrování a směrování FTP či definici HTTP

proxy-serveru. Posledně jmenovaná služba zahrnuje kontrolu obsahu, nastavení

autentifikace uživatelů, či naopak zveřejnění WWW serveru do internetu.

Důležitá je rovněž konfigurace protokolu SSH pro pozdější alternativní

vzdálenou správu firewallu.



Považuji tuto administrátorskou grafickou konzoli za opravdu velmi kvalitní.

Jejím použitím lze postihnout drtivou většinu potřebných úkonů, a troufám si

tvrdit, že i pro pokročilé uživatele příkazové řádky bude znamenat urychlení a

zpřehlednění práce.





Co je uvnitř



Motorem firewallu je, pochopitelně, Linux, a základem funkcionality pak

příslušné služby. V tomto ohledu bych řekl, že přidanou hodnotu produktu

představuje především pečlivý výběr a sestavení potřebných programů v

distribuci s tím, že nežádoucí a potenciálně nebezpečné komponenty byly

eliminovány. Vlastní filtrační funkcionalitu zajišťuje služba ipchains, neboť v

době přípravy produktu nebylo k dispozici stabilní jádro 2.4.x s novinkou

iptables, a tímto jsou jasně předurčeny možnosti a omezení. Dále si zmiňme

např. službu DNS v podobě bind8 či HTTP proxy službu (squid, httpf a další).

Nechybí nástroje pro analýzu provozu a logů, z nichž třeba uvedu opravdu skvělý

paketový sniffer ethereal.





Co opravdu získáte



Výrobce tohoto řešení platí ve světě Linuxu za znalce, a kus této pověsti je

patrný i zde. Máte možnost si pořídit důkladně vyladěné prostředí, jež bylo

připraveno speciálně pro svůj náročný úkol, a právě s přihlédnutím k této

okolnosti bylo vybaveno potřebnými funkcemi. Konfigurační prostředí je

kvalitní, avšak vyžaduje správcovský počítač se SuSE Linuxem, což je škoda

očekával jsem, že výrobce umožní omezit svůj Linux výhradně na firewall a

zpřístupní správu např. pomocí zabezpečené HTTP komunikace. Co se týče nároků

na hardware, zde si rovněž myslím, že na firewall by mohlo stačit i slabší

vybavení, než je Pentium II, avšak použijete-li HTTP Proxy, jsou nároky

opodstatněné. Za důležité považuji také roční „systémovou údržbu“ v ceně

(zahrnuje patche a aktualizace) a poměrně kvalitní dokumentaci, bohužel nikoliv

v češtině. Pevně doufám, že se brzy dočkáme upgradu na verzi s kernelem 2.4.x,

neboť nevyužít nových možností iptables by jistě byla škoda.





SuSE Linux Firewall on CD



Softwarový firewall a proxy-server

grafická konzole správy

dostupné nástroje

live filesystem

vazba grafické konzole

výhradně na Linux

K recenzi poskytla firma: SuSE CR, Drahobejlova 27, 190 00 Praha 9,

http://www.suse.cz

Cena: 38 000 Kč bez DPH