bezpečnost:firewall

Firewall

Firewall je základní bezpečnostní prvek u počítačů připojených k nějaké síti. Firewall umožňuje nastavit pravidla síťového provozu a tak zakázat (nebo naopak povolit) různé druhy odchozích a příchozích síťových komunikací. Správně nastavený firewall zabraňuje síťovým útokům na počítač. Firewall ale nalezne uplatnění i při nastavování sdílení internetového připojení mezi počítači nebo například při omezení používání internetu.

Potřebuji firewall?

Otázka je to celkem složitá a také by měla být lépe položená, ale jednoduchá odpověď zní - pokud neprovozujete server, tak ne.

Nyní se na tuto problematiku podíváme trochu šířeji. Jak se dočtete níže, systém obsahuje vestavěný firewall Iptables, který se automaticky stará o veškerý síťový provoz a podle přednastavených pravidel (respektive podle vámi předepsaných pravidel, pokud se je rozhodnete změnit) jej také spravuje a rozhoduje, co s jednotlivými pakety udělá.

Ve výchozím nastavení je Iptables nastaveno velmi volně a síťový provoz prakticky nijak neomezuje. Ač to nemusí být zřejmé, vaše bezpečnost není nijak výrazně ohrožena. Většina domácích počítačů je firewallem chráněna aniž o tom jejich uživatelé vědí (firewall se totiž nachází v různých zařízeních jako jsou switche, routery a další) a navíc je většina „zneužitelných“ služeb a nástrojů (jako SSH, webový server a další) vypnuta nebo není v základní instalaci Ubuntu vůbec zahrnuta.

Iptables

Přímo v jádru Ubuntu naleznete nástroj Iptables, který umožňuje nastavit veškerá pravidla síťové komunikace. Iptables je také jediným „pravým“ firewallem v Ubuntu - ostatní aplikace, které se nazývají firewall jsou v drtivé většině pouze nástroje pro správné nastavení Iptables.

Více informací se dočtete v samostatném článku Iptables.

Celá situace okolo nastavení síťového provozu, přesné funkce Iptables, vztah dalších zde zmiňovaných nástrojů a Iptables a definice firewallu vůbec, je mnohem složitější. Zde je daná problematika popsána s důrazem na porozumění i pro technicky méně zdatné uživatele.

Konfigurace Iptables

Iptables je možno konfigurovat přímo, ale je to věc velmi náročná a pro začátečníka prakticky neproveditelná. Proto existuje celá řada nástrojů, které toto nastavení zjednodušují. Co do účelu jsou rovnocenné a liší se pouze škálou nastavení, prostředím a uživatelskou přívětivostí.

Jak již bylo řečeno výše, síťová komunikace je spravována přímo nástrojem Iptables a níže uvedené nástroje slouží pouze k předefinování jeho pravidel, a proto žádný z níže uvedených nástrojů není potřeba spouštět při každém startu systému, ale pouze pokud chcete něco změnit, přenastavit nebo (u některých nástrojů) sledovat síťový přenos.

Níže uvedené nástroje umožňují nastavit pravidla pro firewall pomocí grafického rozhraní a jsou tak vhodné i pro méně zkušené uživatele.

Firestarter je oblíbený nástroj, který umožňuje nastavení pravidel pro firewall. Díky přehlednému grafickému rozhraní je Firestarter dobrou volbou pro každého.

Více informací se dočtete v samostatném článku Firestarter.

GUFW je přehledné grafické rozhraní pro níže zmíněný Uncomplicated Firewall a naplňuje tak jeho podstatu nekomplikovanosti.

Více informací se dočtete v samostatném článku GUFW.

Lokkit je velice jednoduchý nástroj pro nastavení firewallu z dílen firmy RedHat. Lokkit neumožňuje žádná složitá nastavení - konfigurace firewallu se provede automaticky na základě vašich odpovědí na sérii otázek.

Více informací se dočtete v samostatném článku Lokkit.

Níže uvedené nástroje umožňují nastavit pravidla pro firewall pouze pomocí textového prostředí a jsou tedy vhodné především pro pokročilejší uživatele.

UFW neboli Uncomplicated Firewall (česky Nekomplikovaný firewall) je výchozím nástrojem pro konfiguraci firewallu v Ubuntu od vydání Ubuntu 8.04 Hardy Heron. Ač se z názvu může zdát, že UFW je vhodnou volbou pro ty, kteří chtějí nastavit firewall snadno (bez komplikací), není tomu tak - UFW je totiž možné ovládat pouze v textovém prostředí.

Více informací se dočtete v samostatném článku UFW.

  • Poslední úprava: 2019/02/25 17:21
  • autor: 127.0.0.1