2020. május 25., hétfő

A router és a tűzfal szerepe a hálózatban

Router
A router és a benne helyet foglaló tűzfal az internet felé történő kommunikáció egyik fontos eleme (a biztonság szempontjából). A kis hálózatnál (néhány PC esetén) nem célszerű több tízezer forintot kiadni egy router-re, viszont ha már néhány tucat gépről beszélünk, akkor véleményem szerint megtérül a befektetés a cserébe kapott stabilitás és biztonság miatt.

Igen profi routert gyárt például a Mikrotik. A készülék tapasztalatom szerint nagyon stabil, és megbízható. Szolgáltatásai révén a hálózatra kötött gépek adatáramlása jól kézben tarthatók.

Egyik alkalommal egy kb: 80 gép alkotta hálózatból valamelyik gép folyamatosan spam-eket (kéretlen leveleket) küldött ki az internetre. A Mikrotik router segítségével nagyon egyszerűen lehetett blokkolni, hogy a hálózatból csak a saját szolgáltató irányába lehessen levelet kiküldeni, majd ezek után monitorozni lehet, hogy melyik gép próbálkozik a kéretlen levelek küldésével.

Az említett 80 gép jelentős része kapcsolatba állt az internettel. Ebben az esetben vigyázni kell arra, hogy ne fordulhasson elő egy olyan helyzet, amikor néhány felhasználó szándékosan vagy akaratán kívül lefoglalja a teljes sávszélességet hosszabb időre. A Mikrotik erre is kínál praktikus megoldásokat. A gépeket csoportba szedve, de akár egyenként is megadható, hogy a felhasználó mekkora maximális sávszélességet vehessen igénybe, milyen portokat használhasson. Így amikor ''elfogy'' a sávszélesség, akkor nem azon kell gondolkodni, hogy mennyibe kerül a bővítés, hanem egyszerűen ellenőrizhető, hogy melyik gép használja fel a kapacitások jelentős részét. Ellenőrizni kell, hogy az adott gépnek tényleg szüksége van-e az igénybe vett sávszélességre, mert ha nem, a router segítségével egyszerűen korlátozható.

Előfordulhat, hogy a felhasználó tudtán kívül valamelyik szoftver, vagy vírus kommunikál az internet felé, de az is lehet, hogy a felhasználó úgy gondolja, hogy munkaidőben adatokat (filmeket stb.) tölt le. Ezek mind pontosan felderíthetők a Mikrotik eszközzel. Még a jobb képességű routerek között is jócskán akad olyan melyek nem képesek monitorozni az internet felé történő adatforgalmazást. A szolgáltatók által biztosított sávszélesség folyamatosan nő, és ezért egyre könnyebben lehet vírusok, férgek által adatokat kijuttatni egy belső hálózatból, ugyan is a felhasználó sok esetben nem fog jelentős sebesség csökkenést tapasztalni az internet felé miközben egyes programok olyasmire használják a hálózatot, melyre mi nem szeretnénk.


Tűzfalak
Tűzfalak közül általában két fajtával találkozhatunk. Az egyik az mely a router-be beépített, és a mögötte levő teljes hálózatot védi, a másik a számítógépre telepített szoftveres tűzfal.

Router-be épített tűzfal
Ezt helytelenül szokás hívni hardveres tűzfalnak is, mivel egy hardverbe van építve. Ennek ellenére ez is szoftveres tűzfal, mivel a router-be épített ''mikro számítógépen'' futó tűzfal szoftverről van szó. Mivel azonban ez egy célprogram, (és nem egy univerzális szoftver mint pl. egy operációs rendszer) ezért sokkal stabilabb és megbízhatóbb mint a számítógépen futtatott tűzfal szoftver.

A router-be épített tűzfal előnyei:
• Stabil, megbízható működés.
• A felhasználónak nem kell bajlódnia vele.
• Vírussal vagy egyéb szoftveres úton nem lehet kijátszani az eszközt.

A router-be épített tűzfal hátrányai:
•Szaktudást igényel (a felhasználó nem biztos hogy be tudja állítani, illetve az alapbeállítások többnyire kevésnek bizonyulnak a hatékony védelem érdekében) a tűzfal beállításait a hálózatra kell szabni.
• A rosszul beállított (vagy kikapcsolva felejtett) tűzfalon észrevétlenül ki lehet szivárogtatni adatokat.

A router-be épített tűzfal beállítása:
A tűzfalon a kimenő információkat többnyire nem szokták blokkolni, pedig ugyanolyan fontos mint az, hogy a hálózatba ne lehessen betörni. Vírusok és egyéb úton bejuttatott programok gond nélkül tudnak adatokat kiküldeni a tűzfalon, ha azok az gyári beállításokkal működnek. Ezért célszerű minden kimenő kommunikációt is blokkolni, és csak az alapvető portokat kell nyitva hagyni.
Alapvetően szükséges portok:     Egyéb fontos portok
• FTP - 21     SSH (Remote login secure) - 22
• SMPT - 25     Kerberos (computer authentication protocol) - 88
• DNS - 53     NTP (Network time) - 123
• HTTP - 80     NetBIOS (DOS/Windows naming) 137-139
• POP3 - 110     SNMP (Network management) 161-162
• IMAP - 143     CMIP (Network management) 163-164
• HTTPS - 443     Syslog (Event logging) - 514
      NNTPS (Usenet newsgroups secure) - 563
      IMAP4 over SSL, Internet Message Access Protocol - 993/tcp
      POP3 over SSL, Post Office Protocol - 995/tcp
      FTPS (File transfer secure) 989 -990
      Virtual private network (VPN) - 1723


Ezek után célszerű megnézni, hogy a hálózatban milyen további szükséges szoftverek kommunikálnak az internet felé. A különféle banki szoftverek, flotta nyomkövető rendszerek stb. más-más portot használnak a kommunikációhoz melyeket engedélyezni kell ha szeretnénk használni. Erre a feladatra is nagy jól használható a Mikrotik router, ugyan is a gépek által elérni kívánt portokat egyszerűen fel lehet vele deríteni.
Miért érdekes ez? Azért mert például egy flotta nyomkövető szoftver kommunikációs portja nem biztos hogy egyértelmű. Ráadásul egyes szoftvereknél (pl. VPN rendszerek) célszerű az alapbeállítástól eltérő portot használni, így aztán a router beállítója igen csak sok időt tölthet el a pontos beállítással, ha nem tudja monitorozni a hálózatról kimenő forgalmat.

Számítógépre telepített tűzfal
Lényegében ez a hálózati kommunikációt ellenőrző szoftver, mely az adott gép felett gyakorol felügyeletet. A windows-nak van saját tűzfala, de még a megszállott windows pártiak is többnyire azt javasolják, hogy használjunk egyéb tűzfalakat, mert a tapasztalok szerint egy ingyenes változat is komolyabb védelmet biztosít mint a windows-é.

Számítógépre telepített tűzfal előnyei:
• Egyedileg jól beállítható az adott gépre.
• A felhasználót minden hálózati kommunikációról informálja.
• Léteznek jól használható ingyenes változatok. (Néhány itt megtalálható.)

Számítógépre telepített tűzfal hátrányai:
• Sebezhetőbb mint a router-be épített tűzfal.
• Szakértelmet igényel.
A tűzfal amikor nem tudja eldönteni, hogy ''mire készül'' egy szoftver, akkor megkérdezi a felhasználót, akinek el kell tudni dönteni, hogy melyik program akar kommunikálni az internet felé és azt engedélyezi-e vagy sem. Például, ha a a Firefox böngésző lefrissíti automatikusan magát majd elindul, akkor a tűzfal megkérdi, hogy a felhasználó engedélyezi-e a kommunikációt. Ha ebben az esetben a felhasználó megvonja az engedélyt, akkor nem a továbbiakban nem fog tudni böngészni az interneten. Ehhez hasonló módon a felhasználó akár a saját levelezőjét is letilthatja. Tehát a lokális gépen használt tűzfal igen hasznos, de tisztában kell lennie a felhasználónak a működésével!

Nincsenek megjegyzések:

Megjegyzés küldése