Správná sít - Perimetr LAN / WAN
Po dlouhé době a současně s novým vzhledem webových stránek Pilsedu.cz je tu další pokračování Správné sítě. Tentokrát se budeme věnovat rozhranní mezi vnitřní a vnější částí sítě. Co je tedy LAN / WAN perimetr?
Je část sítě, kde se nachází zařízení, které z jedné strany komunikuje do internetu (WAN) a ze strany druhé obsluhuje vnitřní síť LAN. Takové zařízení bývá zpravidla router. Ten by měl mít také funkci firewallu, ale není to podmínkou, jelikož firewall může být samostatné zařízení, nebo software na serveru.
Tato část sítě je ovšem jedna z nejdůležitějších, jelikož router spolu s firewallem tvoří zabezpečení a oddělení sítí od sebe, zároveň zajišťují komunikaci mezi jednotlivými sítěmi a zařízeními v těchto sítích.
Router
Router (směrovač) se stará o vytváření a komunikaci mezi sítěmi a většinou zajišťuje další služby pro funkčnost celé sítě. Nejjednodušší nastavení routeru je z jedné strany připojení do internetu, z druhé strany připojení sítě LAN. Mezi těmito sítěmi pak dojde k oddělení (tzv. NAT), aby se obě sítě neviděli napřímo mezi sebou a aby bylo možné ve vnitřní síti používat tzv. neveřejné IP adresy (např. 192.168.x.x, 10.x.x.x). Takto nastavený router je ovšem zcela nevyhovující pro jakoukoli školní síť, kde je nutná segmentace (oddělení) různých druhů zařízení tak, aby bylo možné zablokovat, nebo řídit jejich vzájemnou komunikaci. Pro představu je například nežádoucí připojování mobilních telefonů žáků do stejné sítě s učitelskými počítači, stejně tak je vhodně oddělit jednotlivé učebny, aby v případě napadení nedošlo k rozšíření útoku po celé organizaci. Segmentace sítě se provádí právě na routeru, kde se nastaví potřebný počet sítí. Těm se pak blokují, nebo povolují možnosti komunikace mezi sebou. Toto nastavení má zpravidla na starosti firewall, který bývá součástí routeru.
Firewall
Firewall má za úkol zabezpečit komunikaci mezi sítěmi tak, aby nedocházelo k možnému napadení jednotlivých zařízení jak z internetu, tak také z vnitřní sítě například připojením zavirovaného zařízení na vnitřní Wi-Fi síť. Základní funkčnost firewallu je rozdělení jednotlivých sítí a nastavení pravidel komunikace mezi těmito sítěmi. Pravidla se nastavují jako příchozí (IN), nebo odchozí (OUT) pro danou síť nebo segment, případně se určují pravidly konkrétní služby (porty, nebo protokoly) – například PC z učebny mohou komunikovat do internetu, ale ne do sítě pro pedagogy a na síť se servery mohou komunikovat pouze na službu pro sdílení souborů a složek pro přístup k síťovému úložišti, ale nemohou se připojit například na vzdálenou plochu serveru.
Pokročilejší firewally pak mají funkci zón, tzv. zónová pravidla. Místo pravidel, která se určují pro jednotlivé sítě (subnety) se určují pravidla mezi zónami. Každá zóna pak může obsahovat jednu nebo několik sítí, síťových rozsahů apod. Tyto zóny se pak mohou pojmenovat podle jejich funkcí. Můžeme tak mít zóny WAN, LAN, DMZ, Wi-Fi, Veřejná Wi-Fi, Učebny apod. Výhodou je, že zóna Učebny může obsahovat několik sítí, například všechny sítě učeben, kde každá učebna má vlastní síť (subnet). Pravidla pak se pak nenastavují mezi každou sítí (subnetem) zvlášť, ale mezi zónami. Je to tedy rychlejší a přehlednější systém nastavení firewallových pravidel.
NextGen Firewall
Existují také tzv. NextGeneration Firewally (NextGen), které mají mnoho dalších služeb, starajících se o bezpečnost. Většinou se jedná o zabezpečení perimetru WAN/LAN tak, aby nedocházelo k útokům z internetu do vnitřní sítě. Bezpečnostních služeb může být velké množství dle výrobce firewallu a zakoupené licence, jelikož tyto služby bývají zpravidla placené. Pokročilé funkce tak mohou například obsahovat antivirus, antispam řešení pro poštu, GeoIP fitr zabraňující útokům dle zemí původu útoku, Botnet filtr, IDS/IPS fitr a mnoho dalších). Vřele doporučuji využití NextGen firewallů, jelikož kybernetická bezpečnost je velmi důležitá vzhledem k stále narůstajícím útokům jak co do početnosti, tak co do sofistikovanosti.
Časté chyby v nastavení firewallů
- Slabé zabezpečení přístupu k routeru, firewallu – slabá hesla, nezměněná výchozí hesla.
- Zbytečné účty, které již nejsou třeba.
- Přístup na zařízení z internetu (správa z veřejné IP adresy), povolení cloudové správy bez nutnosti.
- Ponechání firewallových pravidel na routeru ve výchozím nastavení.
- Nedostatečné rozdělení sítí.
- Nesprávné nastavení pravidel (většinou málo restriktivní), špatná nebo žádná konfigurace pokročilých služeb (IDS/IPS, GeoIP, VPN).