Web na firewalu nebo az za nim?

[Mila Kuchta]

Pavel Kankovsky <peak na argo.troja.mff.cuni.cz> píše v diskusním
příspěvku:20000605113059.7141.0 na argo.troja.mff.cuni.cz...
> On Sun, 4 Jun 2000, Radek Svoboda wrote:
>
> > V cem je problem pri firewall == verejne pristupny server?
>
> Nejprve si poradne definujme pojmy. Firewallem minim zarizeni, ktere se
> predevsim zabyva rizenim pristupu po siti, verejne pristupnym serverem pak
> neco, co poskytuje sluzby verejnosti (treba webserver).
>
> Teoreticky by nemel byt problem s provozovanim obeho na jednom stroji,
> v praxi to ale nemusi byt idealni. Je asi rozumne predpokladat, ze je
> vyssi riziko infiltrace a ovladnuti verejne pristupne sluzby nez samotneho
> firewallu. Ovsem provozujeme-li je na jednom pocitaci, pak 1. utocnik ma
> po naboreni byt i jednoho subsystemu nezanedbatelne lepsi pozici pro utok
> na dalsi subsystemy, 2. je treba konfigurovat firewall tak, aby chranil
> vnitrni sit i proti procesum bezicim na tom samem stroji, coz nemusi byt
> uplne jednoduche (napr. v pripade, ze bychom chteli povolit ruznym
> skupinam procesu ruzny stupen pristupu).

Jo takhle to bylo mysleno. No, ja osobne nemam dobre zkusenosti s umistenim
unixoveho web serveru spolu s fw. Webove servery byvaji celkem slozite
zalezitosti a casto jsou predmetem utoku. Ne ani tak pro svou "deravost",
ale spise porusenim integrity systemu pri jejich konfiguraci a sprave.

Shrnuti: Umistit pocitac s verejnymi sluzbami pred, v horsim pripade za, ale
nikdy ne na fw.

S pozdravem

Mila Kuchta