Zapora dla Linuksa

Pytanie: Moja firma przechodzi na linuksowe platformy serwerowe. Mając świadomość różnych zagrożeń, wiemy, że powinniśmy zastosować jakiś rodzaj zapory do ochrony tych serwerów. Jaki mamy wybór?

Pytanie: Moja firma przechodzi na linuksowe platformy serwerowe. Mając świadomość różnych zagrożeń, wiemy, że powinniśmy zastosować jakiś rodzaj zapory do ochrony tych serwerów. Jaki mamy wybór?

Odpowiedź: Jest kilka opcji. Linux zawiera funkcję zapory ogniowej, udostępnianą przez narzędzie iptables (http://iptables-tutorial.frozentux.net ). Na ten temat dostępna jest pewna dokumentacja na stronach WWW wyjaśniająca, jak można ustawiać zaporę ogniową w ten sposób. Dostępne są także książki wyjaśniające szczegóły tego procesu (w języku polskim informacje o iptables można znaleźć m.in. w książce "Bezpieczeństwo systemu Linux" Ramon J. Hontanon wydanej przez Mikom).

Zależnie od tego, ile serwerów jest w sieci, iptables można implementować na każdym serwerze stosownie do usług pracujących na nim. Oznacza to jednak, że trzeba będzie utrzymywać zaporę ogniową na każdym z tych serwerów, na którym zaimplementowano iptables. Taki model jest dobry, jeżeli liczba serwerów nie jest duża.

Jeżeli jednak sieć zawiera dużą liczbę serwerów, to prawdopodobnie najlepszym rozwiązaniem będzie utworzenie centralnej zapory ogniowej - z jedną, centralną konfiguracją iptables - przez którą będą przechodzić wszystkie stacje robocze sieci, dostając się do poszczególnych serwerów. W tym podejściu należy jednak upewnić się, czy serwer zapory ogniowej może obsługiwać ruch pochodzący ze wszystkich urządzeń w sieci. Należy także zapewnić, aby serwer ten był niezawodny, ponieważ jego załamanie stworzy potrzebę przełączenia się na serwer zapasowy lub szybkiego wykonania rekonfiguracji wszystkich chronionych serwerów, by odpowiadały stacjom roboczym bezpośrednio.

Innym sposobem jest użycie jednej z bootowalnych dystrybucji zapór ogniowych, które można znaleźć na stroniehttp://sourceforge.net/ i innych witrynach. Przy niektórych z tych dystrybucji konfiguracje zapory ogniowej można zachować na dyskietce lub pamięci USB, co pozwala na szybkie ustawienie nowej lub podmianę istniejącej zapory. Jest to najlepsze rozwiązanie dla użytkowników z małym doświadczeniem linuksowym. Dopóki nie będziemy gotowi do przejścia na iptables, dopóty można także używać komercyjnych zapór zapewniających podobną funkcjonalność.


TOP 200