Slovak versionEnglish version

THR Systems a. s.
Jilemnického 3, Zvolen
tel.: +421 650 52 00 00
info@thr.sk

Pobočka Bratislava
THR Systems a. s.

Čapkova 2, Bratislava 1
tel.: +421 650 52 00 15
info@thr.sk

Pobočka Nové Zámky
THR Systems a. s.

Turecká 36, Nové Zámky
tel.: +421 650 52 00 33
info@thr.sk


Riešenia - Sieťové

Firewall (sieťová zábrana)

Firewall (sieťová zábrana) je programový prostriedok operačného systému, ktorý riadi sieťovú prevádzku do daného počítača, z neho alebo cezeň. Týmto prostriedkom je možné chrániť počítač pred nepovolaným prístupom po sieti, prípadne ak je tento počítač vo funkcii brány (oddeľuje dve siete, napr. lokálnu sieť od Internetu), chráni celú sieť alebo obmedzuje jej využívanie.

Firewall je dnes už súčasťou každého moderného operačného systému. Nie každý však poskytuje rovnaké vymoženosti pri ochrane počítača či siete.

Bežný firewall umožňuje filtrovať pakety podľa obsahu ich hlavičky, v ktorej sa nachádzajú záznamy o tom, odkiaľ pakety prichádzajú, kam smerujú, akú službu sprostredkúvajú a podobne.

Moderné firewall-y navyše umožňujú aj stavovú filtráciu. Ide o techniku, pri ktorej si firewall na základe sledovania sieťovej prevádzky vytvára databázu otvorených spojení a potom dokáže vykonávať inteligentné rozhodnutia. Vie identifikovať pakety, ktoré súvisia s už existujúcim spojením, a teda sú legitímne, a umožniť im prechod firewallom aj napriek tomu, že nie sú explicitne povolené. Pri bezstavovej filtrácii by bolo nutné otvoriť široký priestor na prechod paketov, aby súvisiace pakety neboli fitrované. Výrazne sa zvyšuje bezpečnosť chránenej siete. Podobným spôsobom je možné identifikovať aj podozrivé pakety.

Firewall umožňuje aj zber štatistík o prenesených údajoch, čo možno využiť pri analyzovaní používania siete prípadne jej služieb.

Firewall možno vhodne previazať aj so službou DHCP.

NAT (preklad sieťových adries)

Príbuznou technikou firewallingu je aj NAT (preklad sieťových adries). Táto technika umožňuje prekladať IP adresy danej siete na iné tak, že používatelia ostatných sietí vidia iné adresy ako v skutočnosti sú. Do tejto kategórie spadajú aj prípady, keď je potrebné presmerovať nejakú službu na iné miesto v sieti, napríklad je možné vytvoriť transparentné proxy tak, že pri prístupe k nejakej službe (napr. www) bude všetka komunikácia presmerovaná na adresu lokálneho proxy servera. Ďalšou možnosťou využitia NAT je technika nazvaná IP Masquerading, ktorá umožňuje zamaskovať celú sieť adresou daného počítača (brány). Brána prepisuje všetku odchádzajúcu komunikáciu svojou zdrojovou adresou a spätnú komunikáciu následne distribuuje pôvodným odosielateľom. Technika NAT umožňuje modifikovať prechádzajúce pakety tak, že podľa čísla služby je nastavovaný typ služby (ToS). Táto služba umožní rýchlejšiu odozvu interaktívnych aplikácií a podobne.

S firewallom je zviazaná aj technika QoS (kvalita služieb), ktorá umožňuje regulovať rýchlosť prenášaných údajov na výstupe. Technika je vhodná na prideľovanie pásma jednotlivým uzlom v sieti pri prístupe na Internet v prípade, že všetky vnútorné uzly majú priamy prístup na Internet.

OS Linux poskytuje všetky uvedené služby.

Virtuálne privátne siete

Častou potrebou býva prepojenie viacerých pobočiek firmy pomocou Internetu. Komunikácia má často interný charakter a komunikácia cez Internet je verejná. Nastáva otázka, ako možno vytvoriť tunel medzi viacerými sieťami tak, aby sa stal transparentným.

Prvá možnosť je tunelovanie IP protokolu pomocou GRE tunela alebo iných prostriedkov. Internet ako komunikačný prostriedok sa stáva pre používateľov v sieti neviditeľným a takýmto tunelom je možné prepojiť pomocou Internetu aj siete, ktoré majú adresy neprístupné z Internetu. Nevýhodou je, že takáto komunikácia v Internete môže byť odpočúvaná.

Najvhodnejším riešením je šifrovanie komunikácie najlepšie pomocou široko používaného štandardu. Takýmto štandardom je IPsec. Pracuje ako bezpečný šifrovaný tunel medzi sieťami. Okrem premostenia sietí táto technika umožňuje aj bezpečné pripojenie pracovníkov, ktorí sa pripájajú z externého prostredia a mení sa ich IP adresa. Môže ísť o komutované linky, prípadne pracovníkov, ktorí sa pripájajú na Internet z rôznych miest. Všetci môžu pracovať tak, akoby boli pripojení do podnikovej siete.

DHCP server

DHCP server umožňuje odľahčiť správu siete tým, že prideľuje IP adresy staniciam v sieti podľa vopred zadaného kľúča buď staticky, alebo dynamicky. Na strane klienta sa zvyčajne nevyžaduje žiadna konfigurácia siete.