Jak nakonfigurovat firewall?

V tomto krátkém článku si ukážeme, jak nastavit jednoduchý firewall pro malou firmu nebo domácnost.

Co je to firewall?

Firewall je maličká krabička, jejímž cílem je oddělit počítačové sítě tak, aby dané sítě mohly resp. nemohli k sobě přistupovat na základě předem definovaných kritérií. Firewall bývá nejčastěji zabalen do routeru. V tomto článku budeme uvažovat o firewallu tak, že je součástí routeru.

Pojďme si ukázat jednotlivé kroky konfigurace firewallu:

Krok č. | 1: Ochraňte router, na kterém chcete nastavit firewall

Pokud bude útočník schopen se přihlásit na váš směrovač, na kterém máte firewall, bude váš firewall naprosto neúčinný. Dokonce, pomocí hacknutého firewallu může snadno útočník začít sledovat vás. Proto se přesvědčte, že váš router je dostatečně zabezpečen.

Admin heslo by mělo obsahovat alespoň 16 alfanumerických znaků. To je minimum. Dále mám váš router otevřené porty? Lze se přihlásit i přes HTTP resp. HTTPS i přes SSL? Všechny takové přístupy si raději zkontrolujte, zda je máte povoleno a dobře zaheslováno. Pokud má váš router povolenou zprávu přes protokol SNMP a nemáte jasně prokazatelné jeho výhody, tak tento protokol raději zakažte.

Krok č. | 2: Navrhněte IP adresová schémata pro sítě, ve kterých budete dělat firewall

Firewall na routeru funguje tak, že povoluje a zakazuje provoz na základě IP adres, MAC adres a portů. Je také docela logické, že ty počítače které budete chtít vybrat pro aplikaci nějakého firewalového pravidla, budou ve stejné síti. Navrhněte si proto síť tak, aby počítače které chcete seskupovat firewalová pravidla, patřily do stejné sítě.

Uvedu příklad. Například servery, jako například VPN server mailový server webový server a emailový server budou patřit do samostatného IP adresového rozsahu, například do sítě 192.168.1.0/24. Zaměstnanecké počítače včetně notebooků a telefonů připojených na WiFi budou patřit do sítě 192.168.2.0/24. Počítače pro návštěvníky budou patřit do sítě 192.168.3.0/24. Mezi těmito sítěmi lze udělat velmi krásná firewalová pravidla na routeru.

Krok č. | 3: Nakonfigurujte přístupové listy ACL

ACL nebo Access Controll Lists je vlastně seznam pravidel pro směrovač, který na základě nich posoudí zda daná informace, která je zaslána po síti, splňuje podmínky toho aby byla dále pro poslána nebo má se vrátit nebo se mě zahodit.

Proto je třeba dát dohromady tato pravidla pro rozličné sítě. Navážem na předchozí příklad. Pravidlo může být např. takové, že chceme zakázat počítačům v návštěvnické síti přístup na všechny sítě kromě sítě internet na portu HTTP (80) a HTTPS (443).

Pamatujte, že některé Cisco směrovače mají možnost blokovat neúspěšné pokusy - to znamená situace, kdy jsem směrovač musel zasáhnout a zahodit nebo vrátit síťovou informaci zpět.

Krok č. | 4: Aplikujte daně přístupové listy na rozhraní směrovače

Přístupové listy, které jste si vytvořili předchozím kroku, je třeba umístit na rozhraní směrovače. Přemýšlejte kdy nejdříve může směrovač dané síťové informace zahodit nebo vrátit. Třeba najít hned první místo.

Krok č. | 5: Otestujte vaši konfiguraci firewallu

Zkuste si teď trochu zahrát a útočníka. Zkuste udělat něco, co by přes barvou neměl projít. Rovněž byste měli otestovat zda chodí přes barvou všechno jiné to, co chodil dosud. Takto zjistíte, zda je váš firewall byl nebo nebyl úspěšně nakonfigurován.

Doufám, že se vám toto jeho líbil. Sdílejte, dokud to tady nesmažou :D

Kurz konfigurace

Více informací se dozvíte na kurzu NA1 - Směrování TCP/IP sítích - praktická konfigurace routeru Cisco, kde spolu konfigurujeme síťové směrovače (routery).

Chtěli byste začít hned? V tom prípade odporúčame sieťové online školenie: Jak nakonfigurovat router v Cisco CLI přes praktické příklady?