Firewall k vašim službám - MujMAC.cz - Apple, Mac OS X, Apple iPod

Odběr fotomagazínu

Fotografický magazín "iZIN IDIF" každý týden ve Vašem e-mailu.
Co nového ve světě fotografie!

 

Zadejte Vaši e-mailovou adresu:

Kamarád fotí rád?

Přihlas ho k odběru fotomagazínu!

 

Zadejte e-mailovou adresu kamaráda:

Seriály

Více seriálů



Informace

Firewall k vašim službám

macosearly

6. ledna 2003, 00.00 | Třetí díl seriálu o bezpečnosti počítačů s OS X se zabývá fungováním firewallu, který je zabudovaný přímo v Mac OS X.

V předchozích dvou článcích jsem se vám nejdříve pokusil vysvětlit proč je důležité přemýšlet o bezpečnosti systému a posléze jsem naznačil několik jednoduchých způsobů, které může potenciální hacker použít při průniku do vaší sítě. Pro uklidnění všech panikářů bych rád znovu podotkl pár velkých "pravd", které byste měli mít na paměti....

Fyzická bezpečnost
Fyzická bezpečnost počítače je zcela základní věc, která by měla být posuzována na prvním místě. Pokud může kdokoliv přijít a vyndat disk z počítače, nemá smysl o bezpečnosti mluvit.

Zálohování
Pokud máte vyřešenu fyzickou bezpečnost počítače, další na řadě je zálohování. Pokud totiž k nějakému problému opravdu dojde, nemá smysl "plakat nad rozlitým mlékem", ale všichni ocení rychlost, jakou bude systém zase v provozuschopném stavu. Zálohování je obrovská oblast, které by možná stálo za to věnovat celý seriál, ale vyjděme z těchto pravidel:
  • Zálohovat by se mělo pravidelně
  • Záloha by měla být na jiném typu média, ideálně tak, aby nešla smazat
  • Zálohovaná data by měl být umístěna v jiné místnosti, než zálohovaný počítač
  • Zálohovací média by měla být udržována v čistotě, nejlépe za stálé teploty. To platí především u elektro-magnetických typů záznamů, třeba u pásek

Pravidelné kontroly
Pravidelné kontroly, i když se to nezdá, jsou velmi důležitým prvkem. Co je vám platné, že pravidelně zálohujete na pásku, když pak nejde zpátky přečíst? Měli byste si tudíž zkusmo obnovit několik souborů ze zálohy, jen pro kontrolu, zda vše funguje tak, jak má.

Pravděpodobnost
Pravděpodobnost je ošidná věc. Některé základní úvahy však lze z hlediska pravděpodobnosti udělat. Například, pokud si vezmu tři náhodné uživatele, jednoho připojeného k internetu přes modem, druhého přes ISDN a třetího přes pevnou linku, je pravděpodobné, že s potenciálním útokem se nejspíše setká ten třetí. Ovšem v případě použití automatizovaného programu, který byl popsán v minulém dílu, je možné, že napaden může být i uživatel jedna a dvě.

Stejně tak, je-li 95% počítačů na internetu s operačním systémem Windows, je pravděpodobné, že průnik zažije asi váš kolega :)) - ne, že bych mu to přál.

Pokud tedy děláte vše, co bylo již zmíněno, můžete číst dál a pustit se do konfigurace firewallu. Nejdříve, jako vždy, se pokusím vysvětlit co to je a jak funguje.

Firewall
Firewall je hardwarové zařízení nebo program, který "stojí" mezi daným počítačem a Internetem. Pokud je to fyzické zařízení, lze si princip představit poměrně jednoduše, ale v případě software je to trochu těžší. Představte si to tedy tak, že program je připojen na aktivní síťové rozhraní, které je připojené k internetu, takže se přes něj dostane každý paket, který přijde z jakéhokoliv směru.

Obecně jsou dva principy firewallů. Jeden pracuje na základě paketového filtru a druhý je proxy server. Paketový filtr dělá to, co naznačuje jeho jméno - má nastavenu sadu pravidel, a pokud přijde nějaký paket, tak ho otestuje oproti této sadě. Pokud paket vyhovuje, projde, pokud ne, je zahozen. Proxy server funguje tím způsobem, že schovává počítače na vnitřní síti, takže veškeré požadavky, které vznikají mají identifikaci proxy serveru. Více myslím ukáže obrázek.Na prvním vidíte fungování proxy serveru, na druhém paketový filtr.

ipfw
Všechny počítače s OS X mají vestavěný softwarový firewall. Je založen na programu ipfw a grafickém rozhraní v systémových předvolbách. Pravidla firewallu, o kterých jsem psal se automaticky konfigurují podle zvolených služeb a osobně se domnívám, že pro začátečníka, či člověka který si na počítač neinstaluje žádné programy typu databázových serverů (mySQL, FrontBase, OpenBase, Oracle apod.) nebo obecně programy, které si otvírají další porty na počítači, je rozhraní naprosto dostačující. S tím, co jste se dozvěděli, jak firewall funguje již pro vás nebude žádný problém správné nastavení. Zbytek tohoto článku je pro ty, co chtějí vědět, co se na firewallu děje.

Terminal
Protože firewall založený na ipfw je velmi robustní, doporučuji jeho používání. Jedná se o historicky vyzkoušený produkt, certifikovaný u BSD a dodávaný společností Apple standardně, tzn. pokud dojde k jeho vylepšení, po update systému se to okamžitě projeví. Jak jistě sami tušíte, základním způsobem pro přístup k příkazu ipfw je Terminal.
Takže si ho pusťte a protože budete potřebovat administrátorská práva, napište sudo -s a stiskněte Enter. Tím byste se měli přepnout do práv superuživatele.
Pokud je příkaz v danou chvíli aktivní, můžete si zobrazit aktuální seznam pravidel:
ipfw list

Zajímavější je asi výpis:
ipfw -at list, který ukazuje počet paketů, které odpovídali danému pravidlu, a také časový záznam posledního výskytu. Pokud příkaz vylepšíte ještě o parametr -N, takže vypadá takhle: ipfw -atN list , pokusí se ipfw najít adresu počítače, který paket poslal... Pro celkový výpis všech parametrů prosím použijte manuálové stránky man ipfw. Protože alespoň já osobně jsem poměrně líný používat v tomto případě příkazovou řádku, doporučuji vaší pozornosti program BrickHouse.

BrickHouse
BrickHouse je program od programátora Briana Hilla, který mimo BrickHouse udělal ještě spoustu dalších užitečných utilitek, které stojí za vyzkoušení, případně používání. BrickHouse navíc, přestože toho umí opravdu hodně lze používat i zadarmo. Přesto bych chtěl upozornit, že se jedná o shareware, takže při dlouhodobějším užívání byste měli zvážit nákup a těch $25 utratit.

Při prvním spuštění programu se objeví Průvodce konfigurací, který s vámi provede základní nastavení. Zde se nastavuje firewall velmi podobně jako v systémových předvolbách, jen snad s tím rozdílem, že nabídka služeb (přednastavených pravidel) je mnohem bohatší. Zatrhněte si tedy ty, co chcete používat. Uvědomte si, že zapínáte služby, které jsou spouštěny na vašem počítači a ne, které sami využíváte! Tzn., že pokud chcete používat ICQ, nemusíte nic nastavovat. Stejně tak, pokud se chcete připojovat k Win2k serveru, nenastavujete nic. Ovšem pokud chcete, aby byl na internetu vidět váš webový server, musíte jej povolit.

V nastavení Blocked Services můžete nastavit blokování některých specifických portů. Protože je příchozí paket standardně blokován, jde spíš o ujištění, že tenhle paket opravdu neprojde (při změnách konfigurace atd.) Po nastavení v posledním kroku můžete vybrat mezi "Apply Configuration", které okamžitě provede všechny kroky a spustí firewall, nebo "Install Startup Script", které provede všechny potřebné kroky k tomu, aby se firewall v tomto nastavení spustil po restartu počítače. Pokud chcete, aby váš počítač fungoval jako brána na internet pro ostatní počítače, je pro vás volba "Setup IP Sharing".

Přes nastavení, která provedete, zůstanou některé porty aktivní. Ty můžete ovlivnit pomocí nastavení "Advanced". Pokud tedy chcete blokovat ping, tak jak jsem popisoval v předchozím dílu, ujistěte se, že nemáte zatrženou volbu "Allow All ICMP Traffic".

Důležitá (alespoň pro mne) je možnost logování zahozených paketů. Ty se samozřejmě zaznamenávají do systémové konzole, informace o nich najdete pomocí aplikace Console.

Obsah seriálu (více o seriálu):

Tématické zařazení:

 » Rubriky  » Informace  

 » Rubriky  » Agregator  

 » Rubriky  » Software  

 

 

 

Nejčtenější články
Nejlépe hodnocené články
Apple kurzy

 

Přihlášení k mému účtu

Uživatelské jméno:

Heslo: