firewall a HTTP

[Vlada Macek]

[Autor citovane zpravy: Jan Houstek, cas odeslani: 04.08.2004 23:04]
> On Wed, 4 Aug 2004, Vlada Macek wrote:
>> Dalsi moznosti je nejaky cas logovat "zajmy" Vasich uzivatelu na
>> siti a tomu prizpusobit firewall, abyste je co nejmene omezoval.
>
> Tahle logika mi ponekud unika.

Logika je prosta. Jako spravce site v podstate zodpovedny za to, co leta
mezi ni a providerem, chci mit nad tim v ramci moznosti co nejlepsi
prehled, ale zatim bez zavadeni aplikacniho firewallu (napr. webove
proxy). To zahrnuje restrikce nevedomych pokusu o spojeni ven. Firma je
liberalni, kdyz prijde oduvodneny pozadavek uzivatele, ze na tento port
a toto IP ma z tohoto duvodu zajem se pripojit, nebudu mu branit.

Nechci proste mit stav, kdy je povoleno vsechno kamkoli, ale mit danou
mnozinu povolenych aktivit za soucasneho minimalniho obtezovani
uzivatelu v souladu se zajmy firmy. Verim, ze tim predchazim problemum.

K velice paranoidnimu nastaveni firewallu smerem dovnitr a privreni
dvirek smerem ven jsem se odhodlal pote, co jsem spatril, jak
neuveritelny provoz by obema smery bez toho firewallu letal.

Zcela souhlasim s tim, ze firewall jakozto technicke zarizeni je uzce
svazan se socialni a zamestnaneckou politikou vnitrni site. Jista temata
nelze resit technicky, ale zaroven smluvne (ci umluvou). Z toho vyplyva,
ze moje zkusenosti a opatreni nemuze nikdo jiny beze zbytku aplikovat na
svou situaci, pravidla firewallu jsou vzdy individualni.


> Firewall ma chranit predevsim vnitrni sit, k dosazeni tohoto ucelu
> neni nutne nijak omezovat aktivity iniciovane zevnitr te site

Jisty port je podle meho nazoru velmi prakticke omezit smerem ven, a to
je SMTP. Je casto vhodne, aby veskera posta, ktera odchazi z firmy,
prochazela pres jediny MTA. Opet samozrejme mohou existovat individualni
vyjimky.

Sam pisete "predevsim". Zastavam nazor, ze firewall by mel mit prehled o
obou svych stranach, chranit i vnejsi site od (alespon nekterych)
nevedomych aktivit site vnitrni. To jsem tu sam, kdo si tohle mysli?


> Pokud tyka omezeni aktivity vnitrnich uzivatelu, pak ji firewall bud
> - ma omezovat (jakkoliv je to pochybne, viz nize) a neni tedy nutne
> uzivatele smirovat
> - nema omezovat, pak tuplem neni nutne uzivatele
> smirovat

Je videt, ze se snazite o diplomacii za kazdou cenu. V situaci, kdy
spravuji i souborove a postovni servery teze firmy, mi uz byla dana
znacna duvera. Z toho, jak _tato_konkretni_firma_ (kterou Vy neznate)
funguje, vyplyva, ze uz tak jako tak musim byt zasvecen do mnozstvi
duvernych informaci proto, abych mohl pomahat zajistovat plynuly chod.
Ten je vzdy (bohuzel) to nejdulezitejsi.


> P.S. Chcete-li neco uzivatelum zakazat, musite jim to predevsim
> zakazat nejakym netechnickym zpusobem (narizeni, smernice apod.).
> Jakykoliv firewall, ktery umozni byt jen bazalni komunikaci smerem
> ven (i kdyby to bylo treba jen DNS) totiz schopny uzivatel hrave
> obejde.

Nevim, proc zavadite tema zakazovani neceho uzivatelum, o nic takoveho
tu nejde. Jedna se o malou firmu, kde panuje pratelska atmosfera. Se
svymi uzivateli jsem myslim ve velmi dobrem vztahu. Zakazovat jim
pristupy ven, ktere potrebuji k plneni pracovnich povinnosti, by bylo
samozrejme proti zajmum firmy. O omezovani pristupu soukromych --
nepracovnich -- nepadlo od vedeni nikdy ani slovo, proto zadne neni.
Jsou povolene napr. i IRC servery. Jedine co chci, je mit prehled.

Nebudu to uz dal prodluzovat. Myslim, ze kdo chtel pochopit, pochopil.

Vlada Macek

------------- další část ---------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 252 bytes
Desc: OpenPGP digital signature
URL: <http://www.linux.cz/pipermail/linux/attachments/20040805/1b5e5ef6/attachment.sig>