13.3.2020

Potřebovali jsme připojit u jednoho zákazníka firemní síť k internetu. Desítka připojených PC plus mobilní telefony a nějaké notebooky vymezily potřebný výkon, zákazník stanovil cenový strop a koronavirus dodací lhůty.

Od výrobce nám dorazil krásný, malý počítač v průmyslovém industrial provedení. Počítač má na palubě čtyři ethernová rozhraní, je tedy přímo předurčený k použití v roli firewallu. Uvnitř počítače se ukrývá relativně běžné PC s úsporným procesorem. Spotřeba celého počítače obvykle nepřesahuje deset wattů, naše certifikované měřidlo z Lidlu ukazuje spotřebu běžně kolem čtyř wattů.

Přes svou malou spotřebu a rozměry je počítač dost výkonný, aby dokázal obsloužit malou firemní síť:

• Čtyřjádrový procesor Intel J1900.
• 2 GB RAM (dá se vyměnit, ale pro firewall 2 GB stačí).
• 64 GB SSD disk (opět - dá se vyměnit, ale pro firewall běžně stačí 3...4 GB).
• Čtyři síťové karty, rychlost 1Gbit.
• Pasivní chlazení (počítač se během provozu jen mírně zahřívá)
• Průmyslové provedení - router vypadá, že by se jím dalo podložit kolo kamionu zaparkovaného ve svahu.
• Výška 1U. Krabice sice není určená k zabudování do racku, ale na malou poličku by se krabice bez potíží uložit dala.
• Rozměry 134 × 126 × 43 mm.
• Externí napájení 12 V, zdroj přiložen.
• Bez operačního systému, možné nainstalovat například Linux nebo pfSense.

Proč mít router jako samostatné zařízení?

Máte-li dnes ve firmě server, ve kterém máte uložené sdílené disky, poštu a zároveň server slouží jako router či firewall pro připojení k internetu, nejspíš vám takové řešení funguje dlouhá léta bez potíží a k vaší plné spokojenosti.

Proč potom v takové situaci uvažovat o samostatném zařízení? Důvodem je bezpečnost. Dedikovaný firewall je bezpečnostní prvek, který slouží pouze k ochraně sítě a žádnou jinou funkci nemá. Na firewallu by neměly běžet žádné další služby. Každá další služba může mít totiž své specifické chyby, které ohrožují celkovou bezpečnost firewallu. Když se útočník dostane do zařízení například prostřednictvím webového serveru a změní nastavení firewallu, otevře si tak celou vaši síť. U firewallu, kde žádná služba neběží, není co napadnout.

K čemu použít čtyři ethernetové karty?

Do jedné síťové karty vrazím internet, do druhé síťové karty vrazím intranet... a k čemu mi budou zbylé dvě síťové karty? Na ty lze připojit další zařízení či takové části sítě, které musejí být z bezpečnostních či jiných důvodů oddělené:

• Wifi pro hosty. Nechcete přece, aby si vaše návštěvy mohly prohlédnout vnitřní strukturu vaší sítě a otestovat třeba viruodolnost vašich počítačů.
• Demilitarizovaná zóna (vysvětleno dále).
• Projekty vyžadující oddělení od zbytku sítě.

Projektem, který vyžaduje oddělení od zbytku sítě, je u nás například mdcv04ip. U tohoto projektu potřebujeme mít vlastní, speciálně nastavený DHCP server, což nepříjemně koliduje s nastavením pro zbytek naší sítě.

Co je demilitarizovaná zóna?

Některé služby v síti bývají určené primárně pro komunikaci s vnějším světem. Typickým představitelem takové služby je web nebo pošta. Na druhou stranu taková služba nepotřebuje obvykle příliš rozsáhlý přístup do vnitřní sítě a komunikace takových služeb je velmi specifická pro každou službu a předem je dobře známá.

Webový server například musí být dostupný na portech 80 a 443 z internetu i z vnitřní sítě, ale sám obvykle nemá potřebu lézt někam na internet nebo intranet. Pro server, na kterém běží web, obvykle stačí povolit porty 80 a 443 na internet (pro aktualizace operačního systému), 53 (překlad jmen na IP adresy) a 123 (synchronizace hodin). Do vnitřní sítě nemusí webový server často přistupovat vůbec, vyjímkou může být třeba databáze s potřebnými daty. Povolený provoz je přesně daný a jakákoliv odchylka je podezřelá a nesmí být povolená. Pokud už se nějaké podezřelé chování vyskytne, může to znamenat bezpečnostní incident (napadení serveru) a o takové události by se měl dozvědět aministrátor sítě).

Servery, ke kterým je přístup z internetu a u kterých je zvyšené riziko napadení (typicky web a pošta), se proto zavírají do ohrádky obehnané kotouči žiletkového UTP kabelu kategorie 5e a možná i kategorie 6 – této ohrádce se říká demilitarizovaná zóna.

Pokud dojde k napadení služby v demilitarizované zóně, je pro útočníka velmi obtížné či nemožné demilitarizovanou zónu opustit a prohlédnout si ostatní části vaší sítě (intranet, sdílené disky, účetnictví, docházkový systém atd).

Operační systém

Na našem vlastním firewallu (dříve "obrovská" škatule o rozměrech 26 × 28 × 20 mm osazená bzučícím diskem a šumícím ventilátorem, dnes už máme zde představený router) provozujeme Debian Linux a pravidla zapisujeme v systému Shorewall. Z dalších služeb zde běží už jen DHCP, DNS a SSH server a IPSec pro šifrované propojení se servery, které máme umístěné mimo kancelář.

Na serveru jsme zkoušeli i pfsense. To je distribuce založená na FreeBSD Unixu a její předností je webové rozhraní, ve kterém lze firewall jednoduše naklikat (slovo jednoduše by mělo být v uvozovkách, nic není jednoduché). Ale my jsme programátoři – zápis pravidel v textovém tvaru nám připadá hezčí, jednodušší a přehlednější.