Firewall
Kdy byl firewall nainstalován a proč?
Firewall pracoviště CIT zakoupilo na základě schválení Návrhu bezpečnostních
pravidel fakulty. Byl nainstalován ve dnech 5.- 8. 2. 2004. Hlavní důvody byly:
- obrana proti zvyšujícímu se počtu napadených počítačů na fakultě
- zajištění ochrany fakultních serverů a agend
Co to je za firewall?
Jedná se o hardwarový firewall od firmy Cisco řady 535. Hardwarové řešení se
zvolilo kvůli vysoké propustnosti těchto firewallů.
Jak to funguje?
Firewally jsou bezpečnostní produkty, které chrání interní počítačové sítě.
Instalují se na rozhraní mezi interní LAN a Internet (viz. obrázek). Primární
funkce firewalu je ochrana před neoprávněným průnikem do sítě, hackerskými útoky
vedoucími k odepření služeb (Denial of Service, DoS) a posuzování oprávněnosti
přístupu do sítě pro vzdálené uživatele (VPN). Firewall kontroluje veškerý provoz,
který přes něj teče a na základě tzv. access-listů rozhoduje, jestli se spojení
mezi počítači povolí nebo ne.
Co mi firewall dovolí a co ne?
Firewall stojí mezi Internetem a fakultní sítí, provádí překlad adres (NAT resp.
PAT) a směrem dovnitř nepropustí žádné spojení navazované počítačem v Internetu.
Váš počítač je tak skryt za firewallem a neumožní útoky vedené z Internetu.
Z toho ale také vyplývá, že se na Váš počítač nebudete moci přímo připojit např.
z domova.
Naopak z Vašeho počítače můžete bez omezení (kromě smtp portu 25) navazovat
spojení směrem ven. Firewall sám ohlídá návratový provoz.
Běžného uživatele se tedy instalace firewallu příliš nedotkne, budou nadále
fungovat všechny služby (www, telnet, ICQ...), omezení se týká pouze serverových
služeb, které nemůžete nabízet (ftp server, www server…).
Co to znamená překlad adres?
Překlad adres funguje tak, že se neveřejná IP (nevyskytuje se na Internetu)
10.x.y.z fakultních počítačů při přístupu na Internet na firewallu překládají
na veřejná IP z rozsahu 195.113.47.1-254, 195.113.58.1-254 a 195.113.59.1-254.
Každý počítač, který přistupuje ven, dostane přiděleno jedno volné IP z tohoto
rozsahu - neboli NAT. Poslední IP rozsahu (195.113.59.254) je nakonfigurováno
pro překlad adres typu PAT, kdy se víc neveřejných IP překládá na jedno veřejné.
Přestalo mi fungovat posílání e-mailů. Co s tím?
Zkontrolujte nastavení Odchozí pošty. Odchozí smtp server musí být tao.natur.cuni.cz.
To platí i pro účty na jiných poštovních serverech!
Tímto opatřením jde veškerá pošta přes náš poštovní server a můžeme tak reagovat
na zavirované e-maily fakultních počítačů.
Mám na fakultě linuxový stroj a potřeboval bych ho na dálku spravovat. Půjde
to nějak?
Ano, můžete pro správu Vašeho počítače využít tunelování přes port 22 (ssh)
přes náš poštovní server. Nebo se připojit sshčkem přímo na náš poštovní server
a z něj potom spravovat Váš fakultní počítač.
Naše katedrální www stránky a ftp máme umístěné na vlastním serveru, které
je ale nyní z venku kvůli firewallu nedostupný.
Každá katedra má vyhrazeno 1GB dat na našem poštovním serveru pro své www stránky.
Zvažte, jestli raději nepřesunete Váš web sem. Odpadnou Vám tak starosti o správu
serveru a zálohování. Na druhou stranu Vám na poštovním serveru nemůžeme zajistit
případné nadstandardní služby potřebné pro chod Vašeho webu. Je proto lepší
celou věc dopředu prokonzultovat s naším správcem pošt. serveru p. Hůlou na
tel. 1024.
V případě, že serverové služby nebude možné zajistit přes celofakultní servery,
je možné zažádat o přidělení veřejného IP z rozsahu 195.113.57.0/24. Server
potom bude "vystrčen" před firewall a uživatel bude plně zodpovídat
za případné hacknutí serveru a s tím spojených problémů.
Žádost ve formě webového formuláře je k dispozici zde.
Akce dokumentů