M04 - Bezpečnost operačního systému a síťové komunikace

Síťové filtry umožňují kontrolovat vnější spojení s počítačem na základě pevně
definovaných pravidel. Z pohledu síťového modelu ISO/OSI pracují na třetí
síťové vrstvě a vystačí pouze s informací, která je obsažena v hlavičce paketu.
Operační systém Windows umožňuje definovat síťové filtry ve verzích vychá-
zejících z Windows NT. Ve výchozím nastavení operačního systému Windows
nejsou vnější připojení omezena. Tato konfigurace není v otevřeném síťovém
prostředí bezpečná a je vhodné ji změnit. Pro jednotlivé protokoly TCP, UDP
a IP je možné připojení omezit pomocí seznamů explicitně definovaných portů,
případně komunikaci zcela zakázat. Proces vytvoření takového seznamu je pa-
trný z následujícího obrázku. Předně je třeba si všimnout, že filtrování sí-
ťové komunikace se vztahuje na všechny síťové adaptéry. Jednotlivé množiny
– TCP ports, UDP ports a IP ports – slouží k explicitní definici přípustných
portů v rámci protokolu. Pokud je přepínač v poloze Permit Only a seznam je
prázdný, je výsledek stejný jako úplný zákaz protokolu UDP.

Obrázek 18: Konfigurace síťových filtrů ve Windows 2000

Softwarová služba nebo specializované zařízení, které ovlivňuje síťovou komu-
nikaci na základě informací z vyšších vrstev modelu ISO/OSI, se nazývá bez-
pečnostní brána. Častěji se označuje původním anglickým termínem firewall.
Bezpečnostní brány můžeme rozdělit podle toho, v jaké vrstvě síťového modelu
informaci analyzují. Okruhové brány monitorují proces navázání TCP/IP spo-
jení a z této úrovně rozhodují o oprávněnosti dalšího síťového přenosu. Pracují
na úrovni spojové vrstvy modelu OSI. Aplikační brány pracují na nejvyšší apli-
kační vrstvě. Říká se, že zosobňují nebo zastupují klienty v síťové komunikaci.
Umožňují formulovat pravidla pro přípustná spojení na uživatelské úrovni –
pro konkrétní uživatele. Stavové brány využívají informace ze všech vrstev