Shrnutí na Zabezpečení sítě: Firewally, Proxy a Brány
Zabezpečení Sítě: Firewally, Proxy a Brány – Detailní Rozbor
Úvod
Firewall je klíčová součást síťové bezpečnosti, která rozhoduje, který provoz bude mezi sítěmi povolen a který zamítnut. Tento materiál shrnuje principy filtrace, způsoby nasazení firewallů a praktické zásady konfigurace tak, aby i samostatně studující student pochopil základní koncepty a dokázal je aplikovat.
Definice: Firewall = aplikace nebo hardware, který provádí filtraci síťového provozu a logování událostí; nemění data, pouze je propouští nebo zahazuje.
1) Základní princip filtrace
Co je filtrace
- Filtrace kontroluje informace v paketech na aktivním síťovém prvku.
- Filtr může být "polopropustný" — některou komunikaci povolí, jinou zablokuje.
Poznámka: Polopropustný filtr nezasahuje do obsahu paketů, pouze rozhoduje o propustnosti.
Co lze kontrolovat
- Režijní informace protokolu: IP adresy, porty, příznaky v hlavičkách (např. SYN/ACK).
- Aplikační data: vyžaduje parsování protokolu (DPI) a porozumění obsahu.
💡 Věděli jste?Did you know that filtrování podle hlaviček (IP/port) je výrazně rychlejší a levnější než filtrování podle obsahu, a že u šifrovaného provozu (HTTPS) bez SSL inspekce DPI nestačí?
Politiky filtrace (blacklist vs whitelist)
| Politika | Popis | Výhody | Nevýhody |
|---|---|---|---|
| Blacklist | Co není zakázáno, je povoleno | Snadné nasazení, méně správy | Méně bezpečné, nutné průběžné aktualizace |
| Whitelist | Co není povoleno, je zakázáno (default-deny) | Vyšší bezpečnost, menší plošné riziko | Náročnější správa, možné problémy s dostupností |
- Praktické nasazení často kombinuje: default-deny pro perimetr, na koncových stanicích spíše default-allow.
Kde se filtrace provádí
- Manažovatelný switch (L2)
- Router (L3 a L4)
- Specializovaný HW firewall přes který teče veškerý provoz
- SW firewall na klientských stanicích (např. Windows Firewall, iptables)
Princip: Defense in depth — více vrstev filtrace zvyšuje odolnost sítě.
2) Filtrace na úrovni IP
Co lze filtrovat na IP úrovni
- Zdrojová a cílová IP adresa
- Protokol vyšší vrstvy (TCP, UDP, ICMP)
- Příznaky v IP záhlaví
- Blokace vybraných rozsahů adres (např. geolokační blokace)
Definice: Reflexivní filtr (stateful) = filtr, který sleduje stav spojení a propouští odpovědi pouze pokud odpovídají dříve navázané relaci.
Stateful vs stateless
| Vlastnost | Stateless | Stateful |
|---|---|---|
| Paměť relací | Ne | Ano |
| Potřeba pravidel pro oba směry | Ano | Ne (dynamické) |
| Vhodné pro | Jednoduché rychlé filtry | Moderní firewallové služby |
💡 Věděli jste?Did you know that ingress filtering (BCP 38 / RFC 2827) je základní obrana proti spoofingu, kdy hraniční router zahazuje příchozí pakety s vnitřní zdrojovou IP adresou?
Útok: address-spoofing
- Útočník podvrhne zdrojovou IP z vnitřní sítě, firewall může paket považovat za legitimní a pustit ho dovnitř.
- Obrana: ingress filtering — blokovat pakety s interními adresami, které přicházejí z vnějšku.
3) Filtrace na TCP/UDP úrovni
Co lze filtrovat
- Porty v TCP/UDP záhlaví (cílové/zdrojové)
- TCP příznaky (SYN, ACK, RST)
- Kombinace s IP filtrem: povolit jen konkrétní aplikace mezi danými sítěmi
Poznámka: Filtrace portů umožňuje řídit, které aplikace mohou komunikovat mezi segmenty sítě.
Problém fragmentace
- Při fragmentaci nemusí každý fragment obsahovat TCP záhlaví — pouze první fragment obvykle obsahuje plné hlavičky.
- Důsledek: jednoduchý filtr může rozhodovat jen podle prvního fragmentu; ostatní fragmenty projdou až k cíli.
- Robustní řešení: firewall může čekat na celé sestavení segmentu a zamítat fragmenty, ale to je náročné na výkon a implementaci.
Filtrace ICMP
- ICMP zprávy (redirect, echo request, destination unreachable) mohou být zneužity nebo indikovat skenování.
- Doporučuje se selektivně filtrovat rizikové typy ICMP zpráv.
Stateful filtrace TCP
- Hlavním bodem je kontrola SYN paketů (požadavek na navázání spojení).
- Po navázání relace firewall dočasně povolí obousměrný provoz související s danou relací.
- Firewall
Zaregistruj se pro celé shrnutíKartičkyTest znalostíShrnutíPodcastMyšlenková mapa
Začni zdarma Už máš účet? Přihlásit se
Firewall - Základy
Klíčová slova: Firewall, Skenování portů, Proxy
Klíčové pojmy: Firewall filtruje paketní provoz a loguje události, Filtrace podle hlaviček je rychlá, DPI je náročné a potřeba u šifrovaného provozu, Blacklisting = default-allow, Whitelisting = default-deny, Stateful firewall sleduje stav relací, stateless zpracovává každý paket samostatně, Ingress filtering (BCP 38) brání address-spoofingu, Fragmentace může obejít jednoduché TCP/UDP filtry, SSL inspekce umožní kontrolu HTTPS ale vyžaduje MITM a správu CA, Pojmenované adresní rozsahy a komentáře u pravidel zvyšují přehlednost a zastupitelnost, Segmentace (např. tiskárny) omezuje laterální pohyb útočníka, Filtrace se provádí na více úrovních: switch, router, HW firewall, SW na stanicích
## Úvod
Firewall je klíčová součást síťové bezpečnosti, která rozhoduje, který provoz bude mezi sítěmi povolen a který zamítnut. Tento materiál shrnuje principy filtrace, způsoby nasazení firewallů a praktické zásady konfigurace tak, aby i samostatně studující student pochopil základní koncepty a dokázal je aplikovat.
> Definice: Firewall = aplikace nebo hardware, který provádí filtraci síťového provozu a logování událostí; nemění data, pouze je propouští nebo zahazuje.
## 1) Základní princip filtrace
### Co je filtrace
- Filtrace kontroluje informace v paketech na aktivním síťovém prvku.
- Filtr může být "polopropustný" — některou komunikaci povolí, jinou zablokuje.
> Poznámka: Polopropustný filtr nezasahuje do obsahu paketů, pouze rozhoduje o propustnosti.
### Co lze kontrolovat
- Režijní informace protokolu: IP adresy, porty, příznaky v hlavičkách (např. SYN/ACK).
- Aplikační data: vyžaduje parsování protokolu (DPI) a porozumění obsahu.
Did you know that filtrování podle hlaviček (IP/port) je výrazně rychlejší a levnější než filtrování podle obsahu, a že u šifrovaného provozu (HTTPS) bez SSL inspekce DPI nestačí?
### Politiky filtrace (blacklist vs whitelist)
| Politika | Popis | Výhody | Nevýhody |
|---|---:|---|---|
| Blacklist | Co není zakázáno, je povoleno | Snadné nasazení, méně správy | Méně bezpečné, nutné průběžné aktualizace |
| Whitelist | Co není povoleno, je zakázáno (default-deny) | Vyšší bezpečnost, menší plošné riziko | Náročnější správa, možné problémy s dostupností |
- Praktické nasazení často kombinuje: default-deny pro perimetr, na koncových stanicích spíše default-allow.
### Kde se filtrace provádí
- Manažovatelný switch (L2)
- Router (L3 a L4)
- Specializovaný HW firewall přes který teče veškerý provoz
- SW firewall na klientských stanicích (např. Windows Firewall, iptables)
> Princip: Defense in depth — více vrstev filtrace zvyšuje odolnost sítě.
## 2) Filtrace na úrovni IP
### Co lze filtrovat na IP úrovni
- Zdrojová a cílová IP adresa
- Protokol vyšší vrstvy (TCP, UDP, ICMP)
- Příznaky v IP záhlaví
- Blokace vybraných rozsahů adres (např. geolokační blokace)
> Definice: Reflexivní filtr (stateful) = filtr, který sleduje stav spojení a propouští odpovědi pouze pokud odpovídají dříve navázané relaci.
### Stateful vs stateless
| Vlastnost | Stateless | Stateful |
|---|---:|---:|
| Paměť relací | Ne | Ano |
| Potřeba pravidel pro oba směry | Ano | Ne (dynamické) |
| Vhodné pro | Jednoduché rychlé filtry | Moderní firewallové služby |
Did you know that ingress filtering (BCP 38 / RFC 2827) je základní obrana proti spoofingu, kdy hraniční router zahazuje příchozí pakety s vnitřní zdrojovou IP adresou?
### Útok: address-spoofing
- Útočník podvrhne zdrojovou IP z vnitřní sítě, firewall může paket považovat za legitimní a pustit ho dovnitř.
- Obrana: ingress filtering — blokovat pakety s interními adresami, které přicházejí z vnějšku.
## 3) Filtrace na TCP/UDP úrovni
### Co lze filtrovat
- Porty v TCP/UDP záhlaví (cílové/zdrojové)
- TCP příznaky (SYN, ACK, RST)
- Kombinace s IP filtrem: povolit jen konkrétní aplikace mezi danými sítěmi
> Poznámka: Filtrace portů umožňuje řídit, které aplikace mohou komunikovat mezi segmenty sítě.
### Problém fragmentace
- Při fragmentaci nemusí každý fragment obsahovat TCP záhlaví — pouze první fragment obvykle obsahuje plné hlavičky.
- Důsledek: jednoduchý filtr může rozhodovat jen podle prvního fragmentu; ostatní fragmenty projdou až k cíli.
- Robustní řešení: firewall může čekat na celé sestavení segmentu a zamítat fragmenty, ale to je náročné na výkon a implementaci.
### Filtrace ICMP
- ICMP zprávy (redirect, echo request, destination unreachable) mohou být zneužity nebo indikovat skenování.
- Doporučuje se selektivně filtrovat rizikové typy ICMP zpráv.
### Stateful filtrace TCP
- Hlavním bodem je kontrola SYN paketů (požadavek na navázání spojení).
- Po navázání relace firewall dočasně povolí obousměrný provoz související s danou relací.
- Firewall