Copyright © 1997 RNDr. Libor Dostalek
 
 

Jednopočítačové firewally

Jednopočítačový firewall musí všechny problémy vyřešit na jednom počítači. Konstrukčně se jedná o složitější software. Je třeba hned v úvodu napsat, že zákazník nakupující jednopočítačový firewall bude muset stejně nakonec koupit počítače tři. Jeden na vnější síť, kde umístí WWW server s prezentací své firmy a druhý na vnitřní síť, který bude používat jako poštovní server.

Pravdou ale je, že jako tyto servery může použít i už existující počítače nebo počítače sloužící i k jiným účelům.

 Pro protokoly TELNET, FTP, HTTP apod. pracuje tento firewall jako proxy (obdobně jako počítač gatekeeper u předchozího firewallu).


 
 

Mail a news

Poštovní server umísťujeme na počítač vnitřní sítě. Z hlediska Internetu je pošta směrována přímo na firewall. Na firewalu pracuje program, který veškeré požadavky předává na poštovní server vnitřní sítě. Princip činnosti tohoto programu se podobá generické proxy, směrující požadavky klientů Internetu na poštovní server.

Zpravidla jsou však tyto programy složitější. Nejprve přijmou celý mail jako dávku a ukončí TCP spojení s odesilatelem. Poté si mohou mail prohlédnout (tj. prohlédnout si záhlaví mailu) a rozhodnout se, zda-li jej vůbec na poštovní server vnitřní sítě předají. K tomuto účelu jim slouží konfigurační soubor, kde správce firewallu specifikuje jaké maily se mohou propouštět nebo nepropouštět.

 V případě, že se firewall rozhodne mail propustit, pak naváže spojení s poštovním serverem a předá mu mail. Činnost tohoto programu připomíná činnost velice zjednodušeného poštovního serveru, který rovněž rozebírá hlavičky mailu.

 Odchozí pošta se předává rovněž jako dávka na firewall. Firewally často přepracovávají záhlaví odchozího mailu tak, aby si adresát myslel, že odesilatel posílá poštu přímo z firewallu, tj. aby se adresát z hlavičky mailu dověděl co možná nejméně informací o struktuře vnitřní sítě firmy.

 News server by se umístil obdobně jako mailserver na počítač ve vnitřní síti firmy (např. na týž počítač co mail server). Na firewallu zpracovává news generická proxy upravená tak, aby přijímala nové news z určitého news serveru v Internetu (z tzv. krmítka news). Problém je ještě s odchozími news (např. s odpověďmi). Pro odchozí news je nutná další generická proxy směrovaná opačným směrem.

 Vzhledem k ohromnému toku dat mezi krmítkem a firemním news serverem se všeobecně upouští od umisťování news serverů na vnitřní síť firmy. Využívá se news server providera a klienti přistupují skrze firewall na news server providera. Pro takovéto řešení postačuje jedna generická proxy směrovaná z vnitřní sítě na news server providera.

 Podobně je možné řešit i mail. Klienti protokolem POP3 nebo IMAP pracují se svou poštovní schránkou na serveru providera nebo na poštovním serveru firmy, který je umístěn v Internetu před firewallem (např. na témže počítači jako www.firma.cz).


 
 

DNS

DNS je i u jednopočítačových firewallů možné řešit jako otevřené (transparentní) nebo uzavřené. Musíme si však vždy uvědomovat, že máme k dispozici pouze jeden počítač a pro každou zónu musíme mít vždy alespoň dva name servery.

 Následující obrázek znázorňuje činnost otevřeného DNS. Kdy jak pro Internet, tak i pro vnitřní síť existuje pouze jedna doména firma.cz. Jelikož však obě sítě jsou oddělené, tak pro každou síť je potřeba alespoň jeden sekundární name server.

Primární name server se zpravidla umísťuje na firewall. V Internetu umístíme sekundární nameserver u providera. Ve vnitřní síti pak umístíme sekundární name server např. na počítač s poštovním serverem.

 Sekundární name server ve vnitřní síti je slave server, který předává požadavky, které není schopen vyřešit name serveru na firewallu. Klienti vnitřní sítě mohou žádat o překlad name server umístěný na firewallu nebo o překlad mohou žádat sekundární name server (jak je znázorněno na obrázku).

 V případě uzavřeného DNS pracuje name server na firewallu jako primární name server pro doménu firma.cz v Internetu, jako sekundární name server se zpravidla používá name server providera.

 Jelikož firewall se skládá z jednoho počítače a na témže počítači může být buď nameserver domény firma.cz pro Interent nebo nameserver domény firma.cz pro vnitřní síť (jsou-li různé, což je případ uzavřeného DNS). Tak musím pro primární a sekundární name servery domény firma.cz ve vnitřní síti použít jiné dva počítače vnitřní sítě.

Name servery vnitřní sítě mohou být slave servery nasměrované na name server na firewallu, pak klientům vnitřní sítě je zprostředkován překlad všech jmen z Internetu. Nebo je možné zcela oddělit vnitřní DNS od Internetu a vybudovat ve vnitřní síti root name servery. Dostali jsme se do situace zcela obdobné situaci u vícepočítačových firewallů, kde je funkce odděleného DNS podrobněji popsána.

Routing

Routing se v podstatě neliší od routingu používaného u vícepočítačovách firewallů.

Logy a alerty

Firewall udržuje záznam o činnosti v logovém souboru. V tomto souboru je možné dohledávat sporné události, z logového souboru je také možné vytvářet sumární a statistická hlášení. Jednopočítačové firewally bývají výrobcem vybaveny škálou programů určených pro tento účel.

 U popisu vícepočítačového firewallu jsem se snažil popsat jeho princip tak, aby jeho funkce bylo možné vytvořit pomocí programů psaných pomocí standardních socketových knihoven a spustit na běžném UNIXu.

 Toto standardní řešení nám však nedává příliš velký prostor pro tzv. alerty. Právě jednopočítačové firewally, které jsou psány atypicky na míru přináší bohatou škálu alertů.

 Alert je akce generovaná systémem nebo programem při vzniku nějaké události. Událostí může být např. pokus o útok na bezpečnost firewallu nebo správce firewallu může nastavit sledování např. příchodu požadavku od podezřelého klienta atp.

 Jako reakci na alert je možné nastavit odeslání mailu o vzniku události správci firewallu. Obecně je možné jako reakci na událost nastavit spuštění libovolného programu - např. programu shutdown... .