Tűzfal
Tűzfallal a biztonságért
Napjaink internetes támadásai miatt fokozott védelemre van szükség. Ezt felismerve sziklaszilárd tűzfalat ígér a gyártó, de vajon tényleg meg is valósítja ezt?
A hálózati térképen forgó földgömb jelképezi az Internetet, egy UTP-vonalvég a csatlakozó interfészt; a router ikonja a központ, a kettő közt található lángnyelv mögötti téglafal pedig a tűzfalat szimbolizálja, mely lehet alacsony, közepes és magas, a választott védettségi szint függvényében. Ezt az ikonra kattintva vagy a bal oldali menüből elérve tudunk beállítani.
A legalacsonyabb szint „Minimum Security” néven van feltüntetve, melynél nincs védelem, mivel bízunk benne, hogy olyan nagy a világháló, hogy pont nem hozzánk akar valaki betörni. Ez esetben tehát minden külső és belső forgalom engedélyezett, gyakorlatilag ez jelenti a tűzfal kikapcsolását.
A középső „Typical Security” szintre kapcsolva az Internet felőli hozzáférések blokkolódnak, de a belső hálón nincs házirend. Természetesen továbbra is lehetőségünk van a kezelőfelület távoli hozzáférésének engedélyezésére, és a „Local Servers” fül alatt tűzfalunk mögötti szervereket adhatunk meg, melyek egyes portjai kívülről is közvetlenül elérhetők.
A legszigorúbb gyári beállítást a „Maximum Security” nyújtja, amely azon kívül, hogy letiltja a külső hozzáféréseket, a belső forgalmat is korlátozza, és csak a készítők szerinti leggyakoribb protokollok (Telnet, FTP, HTTP, HTTPS, DNS, IMAP, POP3, és SMTP) csomagjait engedi át. Érdekes hogy szerepel a listán a Telnet is, amely alapvető biztonsági rizikófaktort jelent, és ma már kevésbé használatos, míg az SSH, amely védett távoli hozzáférést tenne lehetővé, már nem. Szerencsére ezt a hibát gyorsan javíthatja az élelmes rendszergazda, ugyanis az eddig elmondott általános biztonsági beállítások mellett speciálisabb védelmi intézkedéseket is hozhatunk.
Először is lehetőségünk van helyi szerverek és DMZ-hostok beállítására, de ezen felül az egész helyi hálóra vagy külön gépekre szabottan is korlátozhatjuk egyes portok elérhetőségét, sőt teljesen egyedi szűrőket is megadhatunk, külön szegmensekre és interfészekre lebontva.
Ezekkel a szűrőkkel a hálózati csomagforgalmat tarthatjuk kézben. A forrás- és célcímre, illetve a portra illesztve egy-egy csomag vagy egy teljes kapcsolat összes csomagja eldobható, loggolható. Természetesen ettől függetlenül is alapvető biztonsági napló készül a rendszerről.
Tetszett, hogy nagyon sok alkalmazás adatai előre be vannak állítva, ezek portjait nem kell külön felderítenünk, de természetesen egyedi alkalmazások porthasználatát is bevihetjük, melyekre a hozzáférés szabályozása, kívülről elérhető belső szerver megadása és egyéni szűrés esetén lehet szükség.
Egyéni engedélyek esetén a kezelőközpont hálózati térképén megjelenő hostok alatt feltűnnek kívülről elérhető portjaik is, illetve a DMZ-host is külön szerepel, így egy pillantással áttekinthető a teljes rendszer hozzáférhetősége.
Az alapos felderítés után megállapítottuk, hogy egy átlagos linuxos szerveren beállítható tűzfalhoz mérhető biztonsági redszert ezen a routeren is megvalósíthatunk, persze némi hozzáértés nem árt ennek teljeskörű kézben tartásához. Az alapos konfigurálás után kívülről estünk neki a tűzfalnak, de nem találtunk rajta szabad fogást, makacsul ellenállt behatolási kísérleteinknek. (A kedélyek felkavarásának elkerülése érdekében a teszt ezen szakaszáról nem szeretnénk bővebb tájékoztatást adni.)
Körülbástyázva a főhadiszállást, gondolnunk kell azért a kívül rekedtekre is; nézzük milyen megoldást kínál erre az USR8200.
A cikk még nem ért véget, kérlek, lapozz!
