Zabezpečení sítě: Firewally, Proxy a Brány

V dnešním digitálním světě je zabezpečení sítě klíčové pro ochranu dat a zajištění bezproblémového fungování. Tento článek se podrobně zaměří na základní obranné mechanismy: firewally, proxy a brány, které hrají nezastupitelnou roli při rozhodování, který síťový provoz pustit a který naopak zablokovat. Probereme jejich principy, praktické nasazení i rozdíly, abyste lépe porozuměli, jak chrání vaši síť před vnějšími hrozbami.

Co je Filtrace v Kontextu Zabezpečení Sítě?

Filtrace je základní kámen síťové bezpečnosti. Jde o kontrolu dat procházejících aktivním síťovým prvkem, který funguje jako polopropustný filtr – některé komunikaci povolí, jinou zablokuje. Důležité je, že filtrace data nemění, pouze o nich rozhoduje, zda projdou, nebo budou zahozeny.

Kritéria pro filtraci mohou být různá. Filtr může kontrolovat režijní informace protokolu, jako jsou IP adresy, porty nebo příznaky (SYN/ACK). Pokročilejší filtrace se zaměřuje i na data aplikačního protokolu, což však vyžaduje, aby filtr protokolu „rozuměl“ a dokázal ho parsovat. Filtrace podle hlaviček je rychlá a levná, zatímco filtrace podle obsahu (Deep Packet Inspection – DPI) je náročnější a u šifrovaného provozu (HTTPS) vyžaduje SSL inspekci.

Filtrační politiky se dělí na dvě základní strategie:

• Blacklisting: „Co není zakázáno, je povoleno.“ Blokují se pouze specifické problematické prvky. Často se používá u koncových stanic, kde je defaultně vše povoleno.
• Whitelisting: „Co není povoleno, je zakázáno.“ Tento přístup je bezpečnější, protože povoluje jen to, co je nezbytně nutné, ale je náročnější na správu. V dnešní době se na firewallech používá hybridní přístup: defaultní zamítnutí s whitelistem pro známé a potřebné služby.

Filtrace se provádí na mnoha místech v síti: na manažovatelných switchích (L2), routerech (L3 a L4), specializovaných hardwarových firewallech i softwarových firewallech na klientských stanicích (např. Windows Firewall). Princip Defense in depth znamená, že filtrace probíhá na více úrovních současně, aby selhání jedné vrstvy zachytila vrstva další.

Filtrace na Úrovni IP Protokolu

Na úrovni IP protokolu lze povolit nebo zakázat komunikaci mezi počítači na základě údajů ze záhlaví paketu. To zahrnuje IP adresu odesílatele/příjemce, protokol vyšší vrstvy (TCP, UDP, ICMP) nebo příznaky. Důležitá je také filtrace ICMP zpráv, které mohou být zneužity.

Samotná IP filtrace je však poměrně bezzubá bez kombinace s TCP/UDP filtrem. Neumí například rozlišit mezi HTTP a SSH provozem – k tomu jsou potřeba porty.

Reflexivní filtr (stateful filter) je klíčový pro moderní firewall. Sleduje stav spojení vyšších protokolů, což mu umožňuje povolit navázání relace zevnitř sítě a dovnitř propustit pouze související odpovědi. Většina dnešních firewallů je stateful, což zjednodušuje správu pravidel.

Address-spoofing attack je útok, při kterém útočník podvrhne zdrojovou IP adresu na adresu z vnitřní sítě. Firewall si pak může myslet, že paket pochází zevnitř a pustí ho dál. Obrana proti tomuto útoku spočívá v ingress filteringu, kdy hraniční router zahazuje pakety s vnitřní zdrojovou IP adresou přicházející z vnějšku (viz BCP 38 / RFC 2827).

Filtrace na TCP/UDP Protokolech

Filtrace na úrovni TCP a UDP protokolů umožňuje povolit nebo zakázat komunikaci určitých aplikací. Kombinuje se s IP filtrem a kontroluje porty a příznaky SYN/ACK v TCP/UDP záhlaví.

Problém fragmentace paketů může komplikovat filtraci. Pokud se paket fragmentuje, TCP záhlaví je obsaženo pouze v prvním fragmentu. Filtr tak může zastavit jen první paket, zatímco ostatní fragmenty dorazí k cíli. Robustnější firewally čekají na celý TCP segment a zamítají všechny fragmenty.

Filtrace ICMP je důležitá, protože ICMP zprávy mohou být zneužity pro útoky (např. redirect pro spoofing) nebo signalizovat skenování sítě.

Filtrace TCP příchozích spojení je typicky stateful. Primárně se filtrují SYN pakety (žádosti o navázání spojení). Po navázání spojení se dočasně povolí obousměrný provoz pro pakety bez SYN (ale s ACK/RST), s kontrolou čísel paketů, IP adres a portů (sequence number tracking).

Některé aplikace, jako je FTP v aktivním režimu, vyžadují speciální zacházení, protože vytvářejí datový kanál z druhého směru. Firewall musí být schopen tento druhý port dynamicky otevřít. Podobně u UDP a DNS se pouštějí jen odpovědi po dotazu.

Firewall: Obránce Vaší Sítě

Firewall je aplikace nebo hardwarové zařízení, které provádí filtraci síťového provozu a zároveň logování událostí. Dnes se často jedná o specializovaný hardware s vysokým výkonem, schopný zpracovat stovky až tisíce filtračních pravidel. Moderní firewally disponují kvalitními síťovými kartami, redundancí a porozuměním protokolům vyšších vrstev (Deep Packet Inspection – DPI). Některé podporují i SSL inspekci (MITM), kdy firewall dešifruje TLS provoz, zkontroluje obsah a znovu jej zašifruje, což umožňuje detekci malware v HTTPS, ale vyžaduje důvěru klienta.

Praktická Pravidla Firewalu: Příklady z UPOL

Správná konfigurace firewallu je klíčová. Následují best practices a ukázky pravidel z reálné konfigurace na UPOL:

1. Pojmenované rozsahy adres: Při práci s větší sítí je vhodné logicky rozdělit a pojmenovat rozsahy IP adres pro lepší přehlednost pravidel. Příklad: ip firewall address-list add address=158.194.92.201-158.194.92.218 list=Ucebna-5002
2. Komentáře u pravidel: Vždy přidávejte komentáře k pravidlům. Za chvíli zapomenete, proč tam pravidlo je, a bez komentářů má firewall „bus factor“ 1 (když odejde jediný admin, je to katastrofa). Příklad: `comment=