Dobře nastavený a udržovaný firewall je nezbytné pro zabezpečení vaší sítě připojené do Internetu. Ochráníte se tak před velkou většinou útoků z vnějšku.
Firewall
Dobře nastavený a udržovaný firewall je nezbytné pro zabezpečení vaší sítě připojené do internetu. Ochráníte se tak před velkou většinou útoků z vnějšku.
Pamatujte, že firewall vás neochrání před viry (pokud uvnitř sítě používáte Microsoft Windows) ani před útoky proti webovému prohlížeči (Internet Explorer je prakticky nemožné aktualizovat tempem, kterým se objevují nové a nové bezpečnostní chyby tohoto programu).
Pro Linux existuje velké množství bezplatných nadstaveb nad paketovým filtrem obsaženým v linuxovém jádře, které po krátké konfiguraci můžete přímo nasadit. Mezi dobré, snadno nastavitelné a aktivně podporované skripty patří například MonMotha firewall.
Při správném nastavení bude váš firewall bude svou činnost zaznamenávat do žurnálu. Nejpravděpodobněji to bude do souboru /var/log/messages. Čas od času byste měli do tohoto souboru nahlédnout. Bohužel počet záznamů může snadno dosáhnout tisíců za den, takže je lépe používat vhodný program pro statistickou analýzu tohoto žurnálu.
Sledování pokusů o průnik
Pro servery připojené do internetu rychlým spojením se často používá sledovací systém, jehož cílem je monitorovat pokusy o průnik. Tyto systémy jsou známé pod názvem Intrusion detection system. Popis těchto systémů je nad rámec tohoto povídání, ale rozhodně stojí za zmínku, že i tyto systémy lze ošálit, a proto se mají pravidelně aktualizovat. Jinak jsou spíš škodlivé než užitečné, protože vzbuzují falešný pocit bezpečí. Podrobně jsme o těchto systémech psali například v seriálu LIDS – Linuxový systém odhalení průniku.
Viry
Pod pojmem virus budeme rozumět program, šířený jako soubor e-mailem, na disketě nebo na CD-ROM, který si běžný uživatel spustí a virus pak poškodí celý systém. Pro operační systém Linux je známo jen minimum takových virů. Systém neposkytuje podhoubí, nezbytné pro šíření těchto virů. To znamená, že váš linuxový server jako takový nemůže být napaden a poškozen virem.
Na Linuxu sice můžete bezpečně otevírat email obsahující virus pro Windows, ale tyto emaily jsou ve skutečnosti často otevírány až na koncové stanici, která často obsahuje systém Microsoft Windows. Tam má virus volné pole působnosti. Proti takovému nebezpečí se může chránit uživatel systému Windows tak, že zakoupí licenci na antivirový program, a pravidelně platí za jeho aktualizaci.
Lepší řešení spočívá v instalaci antivirového programu na váš linuxový server. K tomu je nutné, aby váš linuxový server byl vaším emailovým serverem. Existuje množství komerčních i bezplatných řešení pro linuxový antivirový emailový subsystém. Levným a přitom překvapivě účinným řešením je nasadit některý z filtračních mechanismů, které zajišťují odstranění či deaktivaci potenciálně nebezpečných částí emailů. 99 % virů (respektive červů) šířených emailem tím ztratí možnost se projevit a šířit. Mezi oblíbené programy tohoto typu patří například Email Security through Procmail.
Chyby prohlížečů
Mnoho uživatelů používá prohlížeč Internet Explorer. Množství bezpečnostních chyb, které se pro tento prohlížeč objevují prakticky každý měsíc je tak velké, že neustálá aktualizace je nemožná. Navíc:
- instalace nové verze Exporeru někdy končí poškozením celého systému Windows,
- nebo vyžaduje upgrade celého operačního systému (novější verze Internet Exploreru nemusí fungovat např. na Windows 95)
- nebo je nutný upgrade hardware (protože je nutná taková nová verze Windows pro nový Internet Exploreru, která neběží na stávajícím počítači)
Pokud vaši uživatelé systému Microsoft Windows navštěvují jen bezpečné weby, nemělo by se vcelku nic stát. Bohužel čím větší je počet PC ve firmě, tím menší je šance udržet kontrolu nad tím co uživatelé dělají. Na scestí je může svést reklama, která vyskočí v novém okně, nebo nevinně vypadající email.
Řešení z hlediska Linuxu je v podstatě dvojí:
- Zakázat v celé firmě použití Internet Exploreru, a technicky ho na všech počítačích zablokovat (odinstalovat nejde). Vynalézaví uživatelé ale mohou přijít na to, jak zablokování zrušit, a pokud na Linuxu budete sledovat User Agent pro HTTP požadavky, tak bohužel i ten se dá falšovat.
- Používat web proxy, jako např. squid nebo wwwoffle, a dovolit přístup jen na schválený seznam webů. Další weby povolovat jen na písemnou žádost uživatele, kterou schválí vedení firmy nebo pověřený bezpečnostní úředník. Toto zdánlivě drastické opatření se už na západ od nás docela prosazuje, a obchází se jen velmi obtížně.
