Firewall

Kdy byl firewall nainstalován a proč?
Firewall pracoviště CIT zakoupilo na základě schválení Návrhu bezpečnostních pravidel fakulty. Byl nainstalován ve dnech 5.- 8. 2. 2004. Hlavní důvody byly:
- obrana proti zvyšujícímu se počtu napadených počítačů na fakultě
- zajištění ochrany fakultních serverů a agend

Co to je za firewall?
Jedná se o hardwarový firewall od firmy Cisco řady 535. Hardwarové řešení se zvolilo kvůli vysoké propustnosti těchto firewallů.

Jak to funguje?
Firewally jsou bezpečnostní produkty, které chrání interní počítačové sítě. Instalují se na rozhraní mezi interní LAN a Internet (viz. obrázek). Primární funkce firewalu je ochrana před neoprávněným průnikem do sítě, hackerskými útoky vedoucími k odepření služeb (Denial of Service, DoS) a posuzování oprávněnosti přístupu do sítě pro vzdálené uživatele (VPN). Firewall kontroluje veškerý provoz, který přes něj teče a na základě tzv. access-listů rozhoduje, jestli se spojení mezi počítači povolí nebo ne.

Co mi firewall dovolí a co ne?
Firewall stojí mezi Internetem a fakultní sítí, provádí překlad adres (NAT resp. PAT) a směrem dovnitř nepropustí žádné spojení navazované počítačem v Internetu. Váš počítač je tak skryt za firewallem a neumožní útoky vedené z Internetu. Z toho ale také vyplývá, že se na Váš počítač nebudete moci přímo připojit např. z domova.
Naopak z Vašeho počítače můžete bez omezení (kromě smtp portu 25) navazovat spojení směrem ven. Firewall sám ohlídá návratový provoz.
Běžného uživatele se tedy instalace firewallu příliš nedotkne, budou nadále fungovat všechny služby (www, telnet, ICQ...), omezení se týká pouze serverových služeb, které nemůžete nabízet (ftp server, www server…).

Co to znamená překlad adres?
Překlad adres funguje tak, že se neveřejná IP (nevyskytuje se na Internetu) 10.x.y.z fakultních počítačů při přístupu na Internet na firewallu překládají na veřejná IP z rozsahu 195.113.47.1-254, 195.113.58.1-254 a 195.113.59.1-254. Každý počítač, který přistupuje ven, dostane přiděleno jedno volné IP z tohoto rozsahu - neboli NAT. Poslední IP rozsahu (195.113.59.254) je nakonfigurováno pro překlad adres typu PAT, kdy se víc neveřejných IP překládá na jedno veřejné.

Přestalo mi fungovat posílání e-mailů. Co s tím?
Zkontrolujte nastavení Odchozí pošty. Odchozí smtp server musí být tao.natur.cuni.cz. To platí i pro účty na jiných poštovních serverech!
Tímto opatřením jde veškerá pošta přes náš poštovní server a můžeme tak reagovat na zavirované e-maily fakultních počítačů.

Mám na fakultě linuxový stroj a potřeboval bych ho na dálku spravovat. Půjde to nějak?
Ano, můžete pro správu Vašeho počítače využít tunelování přes port 22 (ssh) přes náš poštovní server. Nebo se připojit sshčkem přímo na náš poštovní server a z něj potom spravovat Váš fakultní počítač.

Naše katedrální www stránky a ftp máme umístěné na vlastním serveru, které je ale nyní z venku kvůli firewallu nedostupný.
Každá katedra má vyhrazeno 1GB dat na našem poštovním serveru pro své www stránky. Zvažte, jestli raději nepřesunete Váš web sem. Odpadnou Vám tak starosti o správu serveru a zálohování. Na druhou stranu Vám na poštovním serveru nemůžeme zajistit případné nadstandardní služby potřebné pro chod Vašeho webu. Je proto lepší celou věc dopředu prokonzultovat s naším správcem pošt. serveru p. Hůlou na tel. 1024.
V případě, že serverové služby nebude možné zajistit přes celofakultní servery, je možné zažádat o přidělení veřejného IP z rozsahu 195.113.57.0/24. Server potom bude "vystrčen" před firewall a uživatel bude plně zodpovídat za případné hacknutí serveru a s tím spojených problémů.
Žádost ve formě webového formuláře je k dispozici zde.