abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 14:22 | Nová verze

    HollowByte je zranitelnost typu Denial of Service (DoS) v kryptografické knihovně OpenSSL. Útočník může odesíláním škodlivého payloadu o velikosti pouhých 11 bajtů zaplnit paměť serveru. OpenSSL před ověřením dat vyhradí nepřiměřený blok paměti (až 131 KB). Server pak čeká na data, která nepřišla. Zranitelnost je opravena ve verzích OpenSSL 4.0.1, 3.6.3, 3.5.7, 3.4.6 a 3.0.21.

    Ladislav Hagara | Komentářů: 0
    včera 13:44 | Komunita

    Ve španělské A Coruñě probíhá GUADEC 2026, tj. letošní konference vývojářů a uživatelů desktopového prostředí GNOME. Videozáznamy přednášek jsou k dispozici na YouTube.

    Ladislav Hagara | Komentářů: 0
    včera 13:22 | Komunita

    Společnost Collabora ve spolupráci s Valve vyvíjí Holo Core, tj. port Arch Linuxu pro ARM64 procesory (AArch64), který bude pohánět VR headset Steam Frame. Pro testování Arch Linuxu pro AArch64 jsou k dispozici binární balíčky, zdrojové kódy i kontejner pro Docker nebo Podman.

    Ladislav Hagara | Komentářů: 1
    včera 13:00 | IT novinky

    Mikroprocesor Zilog Z80 byl oficiálně uveden na trh před 50 lety, tj. v červenci 1976. Výroba mikroprocesoru skončila v roce 2024.

    Ladislav Hagara | Komentářů: 0
    včera 02:55 | Bezpečnostní upozornění

    Výzkumníci ze společnosti ESET objevili 11 zapomenutých UEFI shim zavaděčů, které byly podepsány společností Microsoft, a které umožňují útočníkům obejít ochranu UEFI Secure Boot na většině zařízení. Microsoft je zneplatnil (přidal jejich hash do databáze dbx) v rámci aktualizace Patch Tuesday dne 9. června 2026. Uživatelé Linuxu mohou databází aktualizovat pomocí LVFS. Ověřit zneplatnění zavaděčů lze pomocí skriptu uefi-dbx-audit. Jedná se o CVE-2026-8863 a CVE-2026-10797.

    Ladislav Hagara | Komentářů: 3
    17.7. 16:55 | Zajímavý software

    pico-usb-wifi je open source firmware pro Raspberry Pi Pico W, který jej promění v USB Wi-Fi adaptér. Po připojení k počítači se objeví jako zařízení USB CDC-NCM.

    Ladislav Hagara | Komentářů: 0
    17.7. 16:00 | IT novinky

    Americká společnost Google ze skupiny Alphabet bude muset podle nových požadavků Evropské unie umožnit společnosti OpenAI i dalším konkurentům v oblasti umělé inteligence (AI) a internetových vyhledávačů přístup ke svým službám. Ve svém rozhodnutí o tom včera informovala Evropská komise (EK). Opatření má zajistit dodržování pravidel, jejichž cílem je omezit v EU tržní sílu velkých technologických firem. Google s tím nesouhlasí.

    … více »
    Ladislav Hagara | Komentářů: 0
    17.7. 04:55 | Komunita

    Nové verze webových prohlížečů Chrome a Firefox jsou vydávány každé 4 týdny. Aktuální verze Chrome je 150. Aktuální verze Firefoxu je 152. V březnu bylo oznámeno, že od září přejde Chrome na dvoutýdenní cyklus vydávání verzí. To by znamenalo, že Chrome v číslování verzí Firefox brzy přeskočí. Vývojáři Firefoxu proto také od září přecházejí na dvoutýdenní cyklus vydávání verzí. :-)

    Ladislav Hagara | Komentářů: 7
    17.7. 00:22 | Zajímavý software

    Microsoft Comic Chat (Wikipedie), tj. grafický IRC klient z devadesátek, který převáděl konverzace na IRC do podoby komiksových panelů, a který zpopularizoval font Comic Sans, je dnešním dnem open source. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.

    Ladislav Hagara | Komentářů: 3
    16.7. 19:55 | Nová verze

    Byla vydána (𝕏) nová verze 26.7 open source firewallové a routovací platformy OPNsense (Wikipedie). Jedná se o fork pfSense postavený na FreeBSD. Kódový název OPNsense 26.7 je Xenial Xenops. Přehled novinek v příspěvku na fóru.

    Ladislav Hagara | Komentářů: 0
    Které desktopové prostředí na Linuxu používáte?
     (11%)
     (7%)
     (2%)
     (17%)
     (30%)
     (5%)
     (6%)
     (2%)
     (15%)
     (24%)
    Celkem 2174 hlasů
     Komentářů: 30, poslední 3.4. 20:20
    Rozcestník
    Štítky: není přiřazen žádný štítek


    Linuxové DMZ - II

    12. 2. 2003 | Martin Pavlíček | Bezpečnost | 23666×

    Hardwarový a softwarový router. Firewall. Služby provozované v DMZ.

    V dnešním, již druhém díle, našeho seriálu týkajícího se DMZ v Linuxu, se podíváme trošku obecněji na jednotlivá zařízení, které můžete nejčastěji v "demilitarizované zóně" najít. Opět budeme vycházet z obrázku, který se nachází v prvním díle seriálu.

    Router (směrovač)

    Je dnes přítomen v téměř každé síti, protože téměř každá dnešní síť je připojena k nějaké jiné síti (např. k internetu nebo jiné LAN). K čemu vlastně router slouží? Router vzájemně propojuje dva či více segmentů počítačové sítě. V našem případě zůstaneme u toho, že spojuje lokální síť s internetem.

    Nejzákladnější rozdělení routerů je na hardwarové a softwarové.

    Hardwarové routery jsou malé (relativně :-)) krabičky, ve kterých běží speciální software, který vytvořil jejich výrobce, a jejich jediným úkolem je posílat (routovat) data z jedné sítě do druhé. Velká skupina lidí (firem) preferuje hardwarové routery (jsou rychlé, spolehlivé, ale docela drahé). Asi nejznámějším výrobcem routerů je firma Cisco.

    Softwarové routery odvedou stejnou práci. Samozřejmě to nejsou nějaké kompaktní krabičky, ale je to v podstatě normální počítač, na kterém běží program, který provádí routování. Softwarový router může být založen na systému Windows, Novell NetWare nebo, což nás hlavně bude zajímat, na systému Linux. Od použitého OS se také bude odvíjet cena takového routeru. Pokud použijeme Windows, tak zaplatíme za samotný systém a také za počítač, protože takové Windows hned tak na něčem nepoběží (dále bychom také mohli spekulovat nad spolehlivostí takového routeru). Naopak Linux se spokojí s málem (v závislosti na velikosti sítě bude určitě stačit nějaké staré Pentium či dokonce 486), operační systém je zdarma a je velmi spolehlivý (když to tak vezmete, tak takový router pořídíte, co se peněz týče, téměř zadarmo :-)).

    Nyní se podívejme, jak takový router vlastně pracuje, a jaké jsou jeho úkoly v naší síti.

    Hlavním úkolem routeru je rozhodnout, jak a kam poslat příchozí paket tak, aby se dostal až k příjemci. Tomuto rozhodování a také konečnému zasílání paketů se říká routing (směrování). Chcete-li definici, tak jednu z Linux Networking HOWTO vám můžu nabídnout: IP směrování je proces, kterým hostitel s více síťovými připojeními rozhodne, kam odeslat obdržené IP datagramy.

    Router pochopitelně musí vědět, jak vypadá síť. Jinými slovy musí znát topologii sítě, ve které je provozován (ještě přesněji, musí znát topologii sítí, mezi kterými routuje pakety). Toto je nastaveno v tzv. routovací tabulce.

    Statické a dynamické routování

    Podle toho, jestli se routery "učí" o vzdálených sítích od ostatních (sousedních) routerů nebo od administrátora, hovoříme o tzv. dynamickém nebo statickém routování.

    Statické, pevně nastavené routování, je nutno manuálně nastavit v routovací tabulce. Toto nastavení je vhodné do menších sítí, protože v případě jakýchkoliv problémů (např. výpadek jednoho routeru) je nutno vše přenastavit opět "ručně".

    Dynamické. V tomto případě je routovací tabulka nastavována (a aktualizována) dynamicky (automaticky) podle dění v síti od ostatních routerů. Toto řešení je výhodné ve větších sítích, ve kterých se nachází více routerů, a díky tomuto způsobu lze např. "obejít" výpadek jednoho z nich (v takovém případě dojde automaticky k aktualizování routovací tabulky a pakety budou putovat jinudy).

    Routovací proces

    Po příchodu paketu (např. z internetu) se jeho cílová adresa porovná s údaji v routovací tabulce a vybere se ten údaj z tabulky, který adrese nejlépe odpovídá, a na tuto adresu je paket následně odeslán. Pokud budeme vycházet z našeho schématu, tak potom náš router bude "obsluhovat" dvě rozhraní - místní síť a internet. Právě mezi těmito dvěma rozhraními bude probíhat routovací proces. Chcete-li si nyní na svém počítači zobrazit routovací tabulku (podle které se rozhoduje, jak bude routování paketů probíhat) zkuste příkaz:

    cat /proc/net/route nebo /sbin/route -n

    Podrobněji se problematice nastavení routování pod Linuxem bude věnovat některý z příštích dílů našeho seriálu.

    Firewall

    Česky přeloženo "protipožární stěna". Mně se více líbí "ohnivá stěna". Je to jedna z nejdůležitějších částí v tzv. bezpečnostní politice, v našem případě v DMZ. Takový firewall může mít spoustu funkcí a podob; řekněme si aspoň některé z nich. Pokud se podíváme na náš obrázek, tak na první pohled je vidět, že firewall slouží k regulaci připojení a to jak směrem ven, tak směrem dovnitř. Možná lépe než regulaci lze říci, že slouží přímo k omezení. Např. pokud se někdo bude chtít z internetu dostat na náš FTP server a něco si z něj stáhnout, tak to mu náš firewall umožní (pokud bude dostačovat anonymní přístup nebo pokud bude dotyčný mít jméno a heslo opravňující jej k přístupu), ale pokud by se chtěl "podívat" na počítač ve vnitřní síti, tak by se mu to již nemělo podařit (předpokládejme, že máme vše dobře nastaveno :-)).

    Klasický firewall by se dal rozdělit do několika stupňů:

    1. Paketový filtr
    2. Aplikační proxy
    3. Stavový firewall
    4. Analyzátor paketů

    Je samozřejmé, že náš firewall nemusí obsahovat všechny stupně. Pokud budeme chtít, můžeme zůstat pouze u paketového filtru (což je hodně časté).

    Paketový filr

    Paketový filtr je obsažen přímo v jádře Linuxu a nastavuje se pomocí modulu IPTABLES či staršího IPCHAINS (nebo hodně starého IPFWADMIN). V dnešní době se používá IPTABLES, které je obsaženo v jádrech řady 2.4 a je podle mého názoru nejlepší. Pokud používáte jádro řady 2.2 musíte se spokojit se starším IPCHAINS nebo upgradovat jádro. Pochopitelně pokud máte nastaven složitý a rozsáhlý paketový filtr pomocí IPCHAINS, tak není nutné jej hned přepisovat, protože i tato starší služba funguje spolehlivě (pravda je, že ten kdo má takový skript napsaný, tak asi tento článek číst stejně nebude). Opět zopakuji, že podrobnému nastavení paketového filtru pomocí IPTABLES se budeme věnovat v některém dalším dílu našeho seriálu.

    Ostatní objekty nacházející se v DMZ

    Do DMZ je velmi vhodné umístit všechny servery (ve své podstatě služby), které jsou přístupné z "venku", a ke kterým v mnoha případech může přistupovat každý (dobrým příkladem je třeba web server nebo anonymní ftp server), a tudíž jsou nejohroženější, ale na druhou stranu většinou na nich nejsou cenná a citlivá data (pokud ano, tak si myslím, že to není dobrý nápad :-)). Proto je velmi vhodné je oddělit od ostatních počítačů resp. serverů v lokální síti.

    Nyní si ještě řekneme něco málo o nejčastějších službách provozovaných v DMZ.

    FTP server - File Transfer Protocol

    Tuto službu určitě všichni znají. Používá se k přenosu souborů po internetu (resp. mezi počítači v síti). K přenosu slouží "služebně" velmi starý protokol FTP, jehož počátky se datují do začátku 70. let minulého století. K přenosu souborů můžete použít speciální programy (řádkové i GUI) nebo i běžný internetový browser.

    DNS - Domain Name System

    DNS převádí názvy strojů na číselné IP adresy, které mají všechny počítače v síti. A samozřejmě i opačně, z IP adres na "slovní" názvy počítačů. V Linuxu se hodně často (nejčastěji?) používá program Bind. Do nějakých podrobností zabíhat nebudu, protože nedávno o nastavení DNS pod Linuxem vyšel na tomto serveru docela obsáhlý článek, takže zájemcům o hlubší informace doporučuji si jej přečíst.

    WWW server

    V Linuxu nejčastěji reprezentovaný programem Apache. Web server je speciální software, který je nainstalovaný na počítači (serveru), a který umožňuje uživatelům přístup k webovým stránkám, které jsou na tomto serveru umístěny. Zadáte v prohlížeči nějakou adresu, tím se připojíte k patřičnému web serveru a ten vaši žádost zpracuje, výsledek vám pošle a vy v prohlížeči uvidíte výsledek, což by měly být ty samotné stránky. Na serveru mohou být jak čistě statické stránky napsané pouze v HTML, tak dynamicky generované, např. pomocí PHP.

    Tak, to je pro dnešek vše. V příštím díle bychom se měli věnovat topologii sítí a pak v dalších dílech se budeme vracet k tomu, co jsme dnes začali. Pokud máte nápady, jak by mělo vypadat další pokračování tohoto seriálu, tak se klidně svěřte v diskuzi.

    Související články

    Linuxové DMZ - I (Úvod do problematiky)
    Linuxové DMZ - III (Modelové topologie)
    Linuxové DMZ - IV (Protokoly rodiny TCP/IP)
    Linuxové DMZ - V (Routery a minidistribuce LRP)
    Linuxové DMZ - VI (Firewally)
    Linuxové DMZ - VII (Paketové filtry)

    Odkazy a zdroje

           

    Hodnocení: 37 %

            špatnédobré        

    Nástroje: Tisk bez diskuse

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    20.2.2003 14:01 PaJaSoft
    Rozbalit Rozbalit vše ipchains v 2.4.X
    Jen bych podotkl, ze funkcnost ipchains v jadrech 2.4.X neni semanticky 100% stejna jako v jadrech 2.2.X (nekde v source je snad i 'oficialni' varovani), dokonce se mohou vyskytnout pripady, kdy stejna konfigurace s jadrem 2.4.X nefunguje tak, jak s jadrem 2.2.X -> v jadre 2.4.X skutecne nedoporucuji pouzivat ipchains. Kdyz uz, tak radsi nainstalujte distribuci s jadrem 2.4.X a pak (pokud to HW zakladna dovoli) si prelozte vlastni (ci od distributora) posledni 2.2.X jadro, ktere provozujte s 'nativnimi' ipchains.
    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.