Ako nakonfigurovať firewall?

V tomto krátkom článku si ukážeme, ako nastaviť jednoduchý firewall pre malú firmu alebo domácnosť.

Čo je to firewall?

Firewall je maličká krabička, ktorej cieľom je oddeliť počítačové siete tak, aby dané siete mohli resp. nemohli k sebe pristupovať na základe vopred definovaných kritérií. Firewall býva najčastejšie zabalený do routra. V tomto článku budeme uvažovať o firewalle tak, že je súčasťou routra.

Poďme si ukázať jednotlivé kroky konfigurácie firewallu:

Krok č. 1: Zabezpečte si router, na ktorom chcete robiť firewall

Pokiaľ bude útočník schopný sa prihlásiť na váš smerovač, na ktorom máte firewall, tak váš firewall bude absolútne neúčinný. Dokonca, pomocou hacknutého firewallu môže ľahko útočník začať sledovať vás. Preto sa presvedčte, že váš router je dostatočne zabezpečený.

Admin heslo by malo obsahovať aspoň 16 alfanumerických znakov. To je minimum. Ďalej mám váš router otvorené porty? Dá sa prihlásiť aj cez HTTP resp. HTTPS aj cez SSL? Všetky takéto prístupy si radšej skontrolujte, či ich máte povolené a dobre zaheslované. Ak má váš router povolenú správu cez protokol SNMP a nemáte jasne preukázateľné jeho výhody, tak tento protokol radšej zakážte.

Krok č. 2: Navrhnite si IP adresové schémy pre siete, v ktorých budete robiť firewall

Firewall na routri funguje tak, že povoľuje a zakazuje prevádzku na základe IP adries, MAC adries a portov. Je aj celkom logické, že tie počítače ktoré budete chcieť vybrať na aplikáciu nejakého firewalového pravidla, budú v tej istej sieti. Navrhnite si preto sieť tak, aby počítače ktoré chcete zoskupovať firewalové pravidlá, patrili do tej istej siete.

Uvediem príklad. Napríklad servery, ako napríklad VPN server mailový server webový server a emailový server budú patriť do samostatného IP adresového rozsahu, napríklad do siete 192.168.1.0/24. Zamestnanecké počítače vrátane notebookov a telefónov pripojených na WiFi budú patriť do siete 192.168.2.0/24. Počítače pre návštevníkov budú patriť do siete 192.168.3.0/24. Medzi týmito sieťami je možné urobiť veľmi krásne firewalové pravidlá na routri.

Krok č. 3: Nakonfigurujte prístupové listy ACL

ACL alebo Access Controll Lists je vlastne zoznam pravidiel pre smerovač, ktorý na základe nich posúdi či daná informácia, ktorá je zaslaná po sieti, spĺňa podmienky toho aby bola ďalej pre poslaná alebo má sa vrátiť alebo sa ma zahodiť.

Preto treba dať dokopy tieto pravidlá pre rozličné siete. Nadviažem na predchádzajúci príklad. Pravidlo môže byť napr také, že chceme zakázať počítačom v návštevníckej sieti prístup na všetky siete okrem siete internet na porte HTTP (80) a HTTPS (443).

Pamätajte, že niektoré Cisco smerovače majú možnosť blokovať neúspešne pokusy - to znamená situácie, kedy som smerovač musel zasiahnuť a zahodiť alebo vrátiť sieťovú informáciu späť.

Krok č. 4: Aplikujte dane prístupové listy na rozhraní smerovača

Prístupové listy, ktoré ste si vytvorili predchádzajúcom kroku, je treba umiestniť na rozhranie smerovača. Porozmýšľajte kedy najskôr môže smerovač dané sieťové informácie zahodiť alebo vrátiť. Treba nájsť hneď prvé miesto.

Krok č. 5: Otestujte vašu konfiguráciu firewallu

Skúste sa teraz trochu zahrať a útočníka. Skúste urobiť niečo, čo by cez farbou nemal prejsť. Rovnako by ste mali otestovať či chodí cez farbou všetko iné to čo chodil doteraz. Takto zistíte, či je váš firewall bol alebo nebol úspešne nakonfigurovaný.

Dúfam že sa vám toto jeho páčil. Zdieľajte, kým to tu nezmažú :D

Kurz konfiguácie

Viac informácií sa dozviete na kurze NA3 - Gateway: Preklad adries NAT/PAT a IP Firewall , kde spolu konfigurujeme sieťové smerovače (routre).

Chceli by ste začať hneď? V tom prípade odporúčame sieťové online školenie: Ako nakonfigurovať router v Cisco CLI cez praktické príklady?