a-20
20
Zdroj:- Počítačový zdroj je komponentom počítača, ktorý zabezpečuje dodávku energie pre systém transformovaním vstupného napätia (230V/50Hz) na napätia požadované (12V, 5V, 3,3 V) pre napájanie HW komponentov. Ďalšou dôležitou funkciou zdroja je zabezpečenie cirkulácie vzduchu potrebného pre chladenie komponentov v počítači.
Zdroj môže byť štandardný (súčasť modulárneho systému počítača) s definovanými rozmermi, montážnymi bodmi, umiestnením chladenia, napätím a konektormi (napr. AT, ATX, mini ATX , BTX, WTX.....), alebo neštandardný (výrobca ho vyrába len pre konkrétny model počítača). Najčastejším typom zdroja používaným v súčasnosti je zdroj štandardu ATX a ATX12V. Rozmer zdroja je 86 x 150 x 140 mm.
Počítačový zdroj musí zabezpečiť napätie v určitom rozsahu. Napätie nesme poklesnúť pod stanovený limit ani pri maximálnom zaťažení zdroja. Obvykle by mal zdroj pracovať maximálne na 75% - 80%) svojho výkonu. Zvyšná kapacita je určená ako rezerva pre špičkové odbery. Zdroj má najvyššiu účinnosť pri 50 – 75%-nom zaťažení.
Firewall:- Firewall je sieťové zariadenie, ktoré má za úlohu kontrolovať a riadiť(obmedzovať) sieťový prenos. Používa sa na rozhraniach sietí, prípadne na koncových staniciach. Keď oddeľuje dve siete, tak má zväčša za úlohu obmedziť tok dát z jednej siete do druhej tak, aby bola jedna sieť "chránená" pred druhou - zväčša privátna pred verejnou. Ďalej sa môže používať na obmedzovanie služieb v sieti(stanici). Môže to byť špecializovaný hardware, alebo software.
Základné druhy firewallu :- Paket filter:- Ako paketový filter sa označuje firewall, ktorý svoje rozhodnutia zakladá na tom, čo obsahujú hlavičky paketov. Firewall si môže pozrieť hlavičku každého prechádzajúceho paketu a na základe jej obsahu(ip adresy, porty, mac, ...) sa rozhodnúť čo s daným paketom spraví. V základe ma na výber zamietnuť alebo prijať(preposlať) ho. Medzi výhody paketových filtrov patrí jeho jednoduchosť(rýchlosť, bezstavovosť, transparentnosť), naopak medzi nevýhody jeho obmedzenosť iba na hlavičky paketov - ktoré nemusia byť vždy spoľahlivé.
-Application layer firewall:- Aplikačné brány sú firewally pracujúce na vyššej úrovni zaujímajúce sa priamo o obsah sieťovej komunikácie. Medzi komunikáciu klient-server sa stavajú ako proxy server, kde obe strany komunikujú výlučne s bránou. Medzi hlavné výhody patrí to, že sa pred ním nedá skryť žiadny sieťový tok a v prípade "drsných policy" je naozaj bezpečný. Nevýhody začínajú tým, že je pomalý, viazaný na aplikácie a musia sa mu prispôsobiť aj klientske aplikácie.
-Stateful firewall:- Stavový paketový filter je typ firewallu, ktorý taktiež pracuje s hlavičkami jednotlivých paketov, ale narozdiel od klasického paketového filtru dokáže zaraďovať jednotlivé pakety do určitých spojení a aj na základe toho sa rozhodovať. Medzi výhody patrí určitý nárast výkonu v tom smere, že nieje potrebné pre každý paket vyhodnocovať množstvo pravidiel, ale stačí nám to, že samotné spojenie bolo povolené a daný paket patrí doň. Nevýhoda sa môže objaviť pri širších systémoch, kde operuje viac firewallov - tieto si medzi sebou musia vymienať tabuľku otvorených spojení. Ak touto tabuľkou náhradný firewall nedisponuje, všetky pakety v jemu neznámom spojení zahodí(samozrejme iba ak je tak nastavený).
-Network address translation - slúži na preklad zdrojových a cieľových adries. To sa využíva, keď sa lokálna sieť pripája na internet pomocou zdielanej verejnej IP adresy. Táto istá metóda sa používa aj na presmerovávanie pomocou zmien ip/portov.
-Iptables:- Iptables je len užívateľská aplikácia, ktorá umožňuje jednoducho nastavovať a obsluhovať samotný firewall, ktorý sa nachádza v jadre –netfilter. Iptables, ako názov napovedá, sa v podstate skladá z viacerých tabuliek, ktoré obsahujú rozhodovacie pravidlá.
Pravidlá pre filtrovanie paketov sa pomocou iptables zoraďujú do troch hlavných reťazí - INPUT, OUTPUT a FORWARD. Reťaz INPUT, ako už jej názov napovedá, bude obsahovať pravidlá pre pakety vstupujúce do systému zo siete. Reťaz OUTPUT zas obsahuje pravidlá pre pakety odchádzajúce z nášho systému do siete a reťaz FORWARD sa využíva pri budovaní routerov a firewallov oddeľujúcich siete. Pri bežnom zabezpečení pracovnej stanice alebo servera sa reťaz FORWARD nevyužíva.
Paket, ktorý príde do systému je porovnávaný postupne so všetkými pravidlami odpovedajúcej reťaze (pre prichádzajúce pakety je to INPUT) a pri nájdení prvého pravidla, ktorému vyhovuje sa s ním vykoná akcia, ktorú toto pravidlo definuje. Najbežnejšie akcie sú ACCEPT, REJECT a DROP. ACCEPT povolí prechod paketu, DROP paket zahodí a REJECT paket odmietne, pričom o tom pomocou ICMP správy informuje jeho zdroj.
Na výpis všetkých pravidiel definovaných pomocou iptables použijeme príkaz 'iptables -L'. Samozrejme musíme byť prihlásený ako používateľ root. Ak počítač nemá definované pravidlá, teda je úplne otvorený, bude výpis vyzerať nasledovne:
[root@linux root]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Na výpise môžeme vidieť už spomínané tri hlavné reťaze a za každou z nich v zátvorke uvedenú politiku reťaze. Politika reťaze je základným pravidlom, ktoré platí pre paket, ktorý sa nezhoduje so žiadnym pravidlom z danej reťaze. Z príkladu je zrejmé, že pre pakety prichádzajúce do systému zo siete (INPUT) je politika ACCEPT a pretože reťaz neobsahuje žiadne pravidlá, budú všetky pakety prijaté. Obdobná situácia je aj v reťaziach FORWARD a OUTPUT.
2. Syntax
Po nutnom, avšak veľmi odľahčenom teoretickom úvode nasleduje názorná ukážka syntaxe iptables. Tieto príklady obsahujú popis len základných parametrov. Pre kompletný opis možností odporúčam preštudovať manuálové stránky programu iptables 'man iptables'.
iptables -F
Vymaže všetky definované pravidlá v reťaziach INPUT OUTPUT a FORWARD
iptables -P INPUT DROP
Nastaví politiku (-P) pre reťaz INPUT na DROP. Na vstupe zo siete sú teda odhadzované všetky pakety, pre ktoré neexistuje iné pravidlo.
iptables -A INPUT -p tcp --dport 80 \
-m state --state NEW -j ACCEPT
Do reťaze INPUT pridá (-A) stavové pravidlo (-m state), ktoré povolí (-j ACCEPT) zahájiť nové (--state NEW) TCP spojenie (-p tcp) smerované na cieľový port 80 (--dport 80).
iptables -A INPUT -p tcp --dport 22 -s 10.1.1.15 \
-m state --state NEW -j ACCEPT
Do reťaze INPUT pridá (-A) stavové pravidlo (-m state), ktoré povolí (-j ACCEPT) zahájiť nové (--state NEW) TCP spojenie (-p tcp) smerované na cieľový port 22 (--dport 22). Toto spojenie však musí pochádzať z IP adresy 10.1.1.15 (-s 10.1.1.15).
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Do reťaze INPUT pridá (-A) stavové pravidlo (-m state), ktoré povolí (-j ACCEPT) prechod pre pakety, ktoré sú príbuzné alebo patria do už nadviazaného spojenia (--state ESTABLISHED,RELATED).
Eset
Pravidlá personálneho firewallu