Podcast na Firewally: Základy síťové bezpečnosti

Kapitoly

Co je to firewall?

Pravidla a druhy firewallů

Moderní NGFW a stavové firewally

Jak si vše ověřit a na co dát pozor

Přepis

Filip: Většina lidí si myslí, že firewall je prostě nějaká neprostupná digitální zeď, která zastaví všechno zlé z internetu.

Eliška: To je běžná představa. Ale ve skutečnosti je to spíš jako chytrý vyhazovač u dveří exkluzivního klubu, co má v ruce seznam hostů.

Filip: Vyhazovač? Tak to mě zajímá! Tomu rozumím víc než nějaké zdi.

Eliška: Přesně! A přesně o tom si dnes budeme povídat. Tohle je Studyfi Podcast.

Filip: Takže, Eliško, jestli je firewall vyhazovač, co přesně kontroluje, než někoho pustí dovnitř… nebo ven?

Eliška: Skvělá otázka. Tenhle náš „vyhazovač“ kontroluje síťovou komunikaci podle předem daných pravidel. Rozhoduje, jestli data, tedy pakety, můžou projít, nebo je zablokuje.

Filip: Takže neblokuje všechno slepě, ale řídí se nějakým seznamem. Kde takový firewall vlastně sedí?

Eliška: Může být na různých místech. Nejčastěji je to takzvaný perimetrový firewall – ten je mezi vaší vnitřní sítí, třeba doma nebo ve firmě, a divokým internetem.

Filip: Takový hlavní vrátný u vchodu.

Eliška: Přesně. Ale může být i interní, mezi různými odděleními ve firmě, nebo dokonce jako „osobní strážce“ přímo na tvém počítači. Říká se mu host firewall.

Filip: Dobře, pojďme k tomu seznamu, podle kterého se řídí. Slyšel jsem o zkratce ACL. To je ono?

Eliška: Ano, ACL znamená Access Control List. To je přesně ten seznam pravidel pro našeho vyhazovače. Každé pravidlo říká něco jako: „Pokud jde paket z téhle adresy na tuhle adresu a používá tenhle port, pusť ho dál.“

Filip: A co když paket nesplňuje žádné pravidlo?

Eliška: Tady je to nejdůležitější. Existují dva přístupy. „Default allow“, kde je povoleno vše, co není zakázáno. To je ale dost nebezpečné.

Filip: Proč?

Eliška: Protože na něco můžeš zapomenout zakázat. Mnohem bezpečnější je „default deny“. To znamená, že je ve výchozím stavu zakázáno úplně všechno. A ty povolíš jen to, co opravdu potřebuješ.

Filip: To zní jako když se doma ptám, jestli můžu jít ven, a výchozí odpověď je vždycky „ne“, dokud neřeknu všechny detaily.

Eliška: Je to dokonalá analogie! A pořadí pravidel na tom seznamu je klíčové. Vyhodnocují se shora dolů a jakmile paket nějakému pravidlu odpovídá, provede se akce a dál se už nic neřeší.

Filip: Takže existují různé typy těchhle vyhazovačů? Nějací jsou chytřejší než ostatní?

Eliška: Určitě. Starší, takzvané paketové filtry, se dívaly jen na adresu a port. Ale moderní, stavové firewally si pamatují navázaná spojení. Ví, že když ses ty zeptal serveru Googlu, tak odpověď od Googlu má pustit zpátky k tobě.

Filip: To je chytré. Takže neřeší každý paket zvlášť, ale vnímá celou konverzaci.

Eliška: Přesně tak. A pak tu máme krále všech vyhazovačů – NGFW, neboli Next Generation Firewall.

Filip: Páni, to zní jako z nějakého akčního filmu. Co umí navíc?

Eliška: Ten už není jen vyhazovač. To je spíš šéf bezpečnosti. Kromě IP adres a portů rozumí konkrétním aplikacím. Dokáže říct: „Povolit Facebook, ale zakázat Facebook hry.“ Umí i odhalovat útoky, funguje jako VPN brána a spoustu dalších věcí.

Filip: Dobře, nastavím si super firewall, napíšu pravidla… ale jak si můžu být jistý, že funguje správně? Že jsem někde nenechal otevřené dveře?

Eliška: Na to existuje skvělý nástroj jménem nmap. Můžeš s ním proskenovat svoji síť zvenku, z internetu, a podívat se, které porty jsou opravdu viditelné.

Filip: Takže si zahraju na hodného hackera a zkusím se nabourat sám k sobě.

Eliška: V podstatě ano. Tím si ověříš, jestli tvůj vyhazovač opravdu pouští jen lidi na guest listu. Důležité je skenovat jen sítě, ke kterým máš oprávnění!

Filip: Jasně. A jaké jsou nejčastější chyby, které lidi dělají?

Eliška: Často nechají otevřenou správu routeru nebo firewallu z internetu, což je obrovské riziko. Nebo používají moc benevolentní pravidla jako „povolit všechno všem“. A taky si pletou NAT, tedy překlad adres, s firewallem. NAT sám o sobě není bezpečnostní prvek.

Filip: Super. Takže co je klíčové si odnést k maturitě?

Eliška: Zapamatuj si, že firewall filtruje komunikaci podle pravidel v ACL. Bezpečný přístup je „default deny“. NGFW je nová generace s pokročilými funkcemi. A pomocí nmap si můžeš konfiguraci ověřit. Tím ukážeš, že tomu opravdu rozumíš.

Filip: Perfektní shrnutí. Eliško, moc děkuji za skvělé vysvětlení!

Eliška: Rádo se stalo. Bezpečnosti zdar!