ESET Personal Firewall Uživatelská příručka
chráníme vaše digitální světy
obsah
1. Úvod.............................................................3 2. Seznámení s problematikou........................... 4 2.1 Režimy filtrování personálního firewallu ESET..........4 2.2 Zóny.................................................................... 7 2.3 Přísná pravidla & vyšší bezpečnost..........................8 2.4 Strategie tvorby pravidel v síťovém prostředí...........9
3.
Tvorba pravidel, zón v grafickém prostředí . ESET........................................................... 10
3.1 Detekce změn aplikací..........................................13 3.2 Protokolování síťové aktivity.................................14 3.3 Konfigurační XML & konfigurační editor..................16
4. Shrnutí........................................................17
ESET Personal Firewall Copyright © ESET, spol. s r. o. ESET software spol. s r. o. Meteor Centre Office Park Sokolovská 100/94 180 00 Praha 8 Obchodní oddělení
[email protected] tel.: 233 090 233 Technická podpora
[email protected] tel.: 233 090 244 Všechna práva vyhrazena. Žádná část této publikace nesmí být reprodukována žádným prostředkem, ani distribuována jakýmkoliv způsobem bez předchozího písemného povolení společnosti ESET software, spol. s r. o. Společnost ESET software spol. s r. o. si vyhrazuje právo změny programových produktů popsaných v této publikaci bez předchozího upozornění. V dokumentu použité názvy programových produktů, firem apod. mohou být ochrannými známkami nebo registrovanými ochrannými známkami jejich příslušných vlastníků. REV.20080225-001
1. Úvod Řešení ESET Smart Security v sobě integruje antivirus, antispyware, antispam a v neposlední řadě i personální firewall s možností centrální správy skrze ESET Remote Administrator. Tento dokument popisuje možnosti nasazení personálního firewallu v síti. Můžeme si ale pokládat otázku, k čemu je instalace personálních firewallů na samotných klientech vhodná, když se již instalován firemní firewall na serveru. Důvodů je několik: • Personální firewall brání útokům z interní sítě (typický případ, kdy se do LAN sítě připojí návštěva s infikovaným notebookem). • Personální firewall umožňuje na klientech efektivně omezit komunikaci a nezatěžovat jak interní LAN síť, tak internetovou přípojku (typicky případ, kdy je dovoleno využívat pouze firemní SMTP server, zakázáni instant messaging klienti). • Personální firewall dokáže zabránit šíření škodlivého kódu a tento izolovat přímo na klientovi (typicky situace, kdy trojský kůň využívá vlastního SMTP serveru pro rozesílání spamu a dalšího škodlivého kódu).
3
2. Seznámení s problematikou 2.1 Režimy filtrování personálního firewallu ESET Personální firewall ESET nabízí tři režimy filtrování: • Automatický V tomto režimu je automaticky povolena veškerá odchozí komunikace a blokována příchozí s výjimkou té, která byla inicializována zevnitř. Základní pravidla jsou definovaná společností ESET. Uživatel tak nemusí schvalovat neznámou komunikaci a nemusí se tak orientovat v síťové problematice s jedinou výjimkou - rozlišení důvěryhodné zóny od veřejné. • Interaktivní V tomto režimu se vychází z pravidel, které definoval sám uživatel, popřípadě ze základních systémových pravidel definovaných společností ESET. Pokud je nalezeno pravidlo, které odpovídá zahájené komunikaci, je rovnou uplatněno (tj. komunikace se zakáže, pokud pravidlo danou komunikaci zakazuje / komunikace se povolí, pokud pravidlo danou komunikaci povoluje) . Pokud je zahájena komunikace, pro kterou není nalezeno žádné odpovídající pravidlo, uživatel je dotázán dialogem, ve kterém se musí rozhodnout, zda danou komunikaci povolí či zakáže. Pokud není zvoleno žádné zatrhávací políčko, pak platí toto povolení / tento zákaz dočasně v rámci jedné instance zmiňované komunikace (nevznikne tak trvalé pravidlo).
Zatržením volby Zapamatovat akci pro tento proces (nevytvoří se pravidlo) bude povolení / zákaz vázán na ID procesu (PID), který komunikaci vyvolal. Dialog se tak pro shodný typ komunikace nezobrazí do ukončení daného programu - procesu (nevznikne tak trvalé pravidlo). 4
Zatržením volby Zapamatovat si akci (vytvořit pravidlo) a zvolením Povolit / Zakázat dojde k vytvoření pravidla, které danou komunikaci automaticky povolí / zakáže kdykoliv v budoucnu. Takto vytvořené pravidlo je ale velice obecné, jelikož vždy povolíte veškerou komunikaci (na všechny cílové porty, na všechny IP adresy...) pro daný proces v příchozím či odchozím směru. Z tohoto důvodu lze dialog dále rozšířit volbou Zobrazit nastavení a pravidlo (a tedy i komunikaci) tak omezit. Následující obrázek tak ukazuje, jakým způsobem lze omezit HTTP komunikaci (port 80) vyvolanou browserem Mozilla Firefox. V tomto konkrétním případě se nabízí omezení komunikace pouze na vzdálený (cílový) port 80 a protokolu na TCP.
V uvedeném případě by se hodilo povolit komunikaci kromě portu 80 (HTTP) i pro 443 (HTTPS). To lze realizovat třemi způsoby: o o
Vyčkat do chvíle, než prohlížeč zahájí komunikaci na portu 443 (např. při přihlašování k internetovému bankovnictví. Vznikne tak další a DRUHÉ pravidlo pro totožnou aplikaci (v tomto případe Mozilla Firefox a proces firefox.exe). Zvolit tlačítko Vlastní pravidlo, které otevře dialog s detailním nastavením pravidla, kde lze další porty, IP adresy, rozsahy IP adres apod. vyjmenovat. Komunikace pro danou aplikaci tak bude kompletně definována v JEDNOM pravidlu.1
1 Toto nemusí být vždy pravda, obzvláště pokud požadujeme různé chování v / mimo důvěryhodnou zónu, popř. pokud jde o pravidla vztahující se pouze k příchozí / odchozí komunikaci..
5
o
Zcela se vyhnout zobrazení dialogu o zahájení neznámé komunikace a pravidla definovat předem v detailním nastavení firewallu. Toto koneckonců souvisí s posledním režimem filtrování.
• Administrátorský (policy-based) V tomto režimu filtrování se plně vychází z předdefinovaných pravidel. Pokud odpovídající pravidlo neexistuje, je komunikace automaticky zablokována bez zobrazení dialogu (což je prakticky jediný rozdíl oproti interaktivnímu režimu). Tento režim najde uplatnění právě ve firemním prostředí, kdy bude komunikace striktně omezena samotným správcem a bude předem definována. Ve stručnosti tak lze prohlásit, že pro všechny tři režimy platí: Komunikace, které neodpovídá žádné pravidlo je automaticky zakázána (automatický a administrátorský režim), popř. je zobrazen dialog pro rozhodnutí uživatele (interaktivní režim).
6
2.2 Zóny Kromě pravidel hrají významnou roli i tzv. zóny. Pod pojmem zóna si můžeme představit: • konkrétní IP adresu (např. 192.168.1.1) • rozsah IP adres (192.168.1.1 až 192.168.1.5) • podsíť - subnet (192.168.1.0 / maska 255.255.255.0, tedy adresy 192.168.1.1 až 192.168.1.255) Zóna tak může obsahovat IP adresu či IP adresy (definované rozsahem, podsítí) a jedná se o pojmenované skupiny IP adres, které mohou zjednodušit tvorbu pravidel. Kromě toho existuji předdefinované zóny, které nelze odstranit.. Jedná se o: • Důvěryhodná zóna (Trusted Zone) Obsahuje IP adresy, rozsahy či podsítě, které bude firewall považovat za důvěryhodné. Minimálně u předdefinovaných pravidel společností ESET se zařazení do této kategorie projeví v souvislosti s povoleným sdílením souborů a tiskáren. Pokud bude mít PC přiřazenu jinou IP adresu nespadající mezi IP adresy důvěryhodné zóny, pak bude personální firewall považovat tuto síť za nedůvěryhodnou. • Zóna se sítěmi označenými jako “nedůvěryhodné” (Untrusted) Opak důvěryhodné zóny. Zde by měly být uvedeny IP adresy, rozsahy či podsítě, které jsou předem vyhodnoceny jako nedůvěryhodné. Nebude tedy umožněno sdílení souborů a tiskáren a klient bude z tohoto prohledu pro ostatní neviditelný. • DNS servery Definuje DNS servery, které může klient využívat. • Lokální adresy Definuje IP adresy, kterými se klient prezentuje (obsahuje obvykle IP 127.0.0.1 a IP adresy přiřazené jednotlivým síťových adaptérům). Zóny lze vhodně využít při tvorbě přísných pravidel personálního firewallu. Chování v případě připojení PC do nové sítě souvisí s volbou Nezobrazovat dialog s nastavením důvěryhodné zóny při změně nastavení síťových adaptérů (změna IP adresy) v detailním nastavení firewallu, větev Pravidla a zóny. Pokud je tato volba aktivní a počítač nezíská IP adresu (např. z DHCP serveru) definovanou v důvěryhodné zóně, pak bude automaticky tato podsíť považována za nedůvěryhodnou (přísná ochrana).
7
Poznámka: Dialog se nezobrazí i v případě, že získaná IP adresa počítače patří do podsítě, která neobsahuje žádnou jinou IP (maska 255.255.255.255), popř. jde o veřejnou IP adresu. V takovém případě nepovažuje firewall podsíť za důvěryhodnou.
Další využití zón v pravidlech může být například následující: Úkol 1: FTP komunikace má být možná pouze v rámci firemní LAN sítě a zakázána v Internetu s výjimkou veřejné IP adresy 217.67.22.98 a 72.32.7.91. Řešení 1: Nadefinujeme novou zónu do které přidáme IP adresu 217.67.22.98 a 72.32.7.91 a pojmenujeme ji jako “FTP servery v Internetu”. Při tvorbě pravidla, v němž povolujeme odchozí FTP komunikaci (protokol TCP) nastavíme vzdálené zóny “Důvěryhodná zóna” a “FTP servery v Internetu”. Úkol 2: Klienti potřebují využívat služby DNS Serveru uvnitř sítě. Zároveň tyto služby nesmí být dostupné z Internetu (server je totiž zároveň bránou do Internetu). Řešení 2: Nadefinujeme nové pravidlo se jménem “DNS pro klienty”, směr: DOVNITŘ, akce: POVOLIT, protokol: UDP, lokální port: 53 (DNS), vzdálená adresa - zóna: důvěryhodná zóna.
2.3 Přísná pravidla & vyšší bezpečnost Správce může při nasazení řešení ESET Smart Security, resp. integrovaného personálního firewallu vycházet z následujících modelů: • Ponechat personální firewall v automatickém režimu filtrování a ideálně předdefinovat důvěryhodnou zónu. Uživatel tak nebude obtěžován vůbec žádným dialogem v případě, že nebude PC (většinou notebook) přenášet do jiných sítí. Odchozí komunikace ale nebude prakticky filtrována. • Nastavit personální firewall do interaktivního režimu filtrování. Tento režim není příliš vhodný pro nezkušené uživatele, jelikož uživatel se bude muset sám rozhodovat, zda komunikaci povolí či zakáže. A to může být pro většinu díky neznalosti síťových pravidel problém. • Nastavit personální firewall do administrátorského režimu filtrování (policy-based) s “volnějšími “ pravidly, které budou například obecně povolovat SMTP, HTTP, POP3 bez ohledu na to, která aplikace tuto komunikaci inicializuje. Tento režim vyžaduje nastavení zkušeným administrátorem. • Nastavit personální firewall do administrátorského režimu filtrování (policy-based) s přísnými pravidly, kde budou jednotlivé služby přivázány ke konkrétním procesům. Tj. např. proces firefox.exe bude mít povolen pouze vzdálený port 80 (HTTP), 443 (HTTPS), Outlook Express pouze porty 25, 110, 143 a to ještě s omezením na konkrétní IP adresy (kde běží poštovní servery pod naší správou...). Poslední model je pochopitelně nejvíce komplikovaný a přináší řadu úskalí, avšak nabízí nejvyšší úroveň zabezpečení. Příkladová situace v současné době: na PC pronikne neznámý škodlivý kód, který není odchycen rezidentním štítem - tento vytvoří lokální SMTP server s účelem rozesílat nevyžádanou poštu, přičemž “inspiraci” čerpá z web serveru na předem dané veřejné IP adrese Internetu. Tato infekce bude v případě posledního modelu zaizolována, jelikož SMTP komunikace je umožněna pouze procesu Outlook Express a HTTP pouze procesu Mozilla Firefox.
8
2.4 Strategie tvorby pravidel v síťovém prostředí
Pokud budeme chtít komunikaci na klientech v síti maximálně zpřísnit, nabízí se ve výsledku pouze administrátorský režim filtrace (jinde označený jako policy-based), do kterého nemůže uživatel zasahovat.2 Nasazení administrátorského režimu ale vyžaduje důkladnou přípravu, aby nedošlo k blokování legitimních aplikací nutných pro práci apod. Nabízí se tak několik způsobů, jak administrátorský režim nasadit, přičemž nejvýhodnější je posledně zmiňovaná: • Předem definovat pravidla “z hlavy” a rovnou provést instalaci ESET Smart Security v administrátorském režimu spolu s těmito předdefinovanými pravidly Zde se vystavujeme riziku, že nějakou aplikaci zapomeneme v pravidle zmínit a tím znemožníme její funkčnost. • Dočasně nainstalovat ESET Smart Security s personálním firewallem v režimu Interaktivním, spolu s následným “učením” přímo během běžné činnosti Při detekce neznámé komunikace (neexistuje pro ní pravidlo) bude zobrazen dialog a ideálně přímo správce rovnou zadefinuje pravidlo. Po několika dnech, jakmile jsou použity veškeré síťové aplikace, mohou být pravidla kompletně utvořena.
TIP: Personální firewall lze pak přepnout do Administrátorského režimu filtrování (policy-based) a následně nastavení pravidel vyexportovat pomocí nástroje ESET Remote Administrator či samotného rozhraní ESET Smart Security (menu Nástroje -> Import a export nastavení...) do podoby XML souboru! Tento lze jednoduše použít při vzdálené instalaci dalších klientů, při vzdálené změně konfigurace klientů, nebo ho přímo naimportovat zpět do dalších klientů s ESET Smart Security (menu Nástroje -> Import a export nastavení...).
2 Plně pouze za předpokladu, že klientská řešení ESET Smart Security budou mít zaheslovaný přístup do detailního nastavení personálního firewallu.. 9
3. Tvorba pravidel, zón v grafickém prostředí ESET Pravidla a zóny lze vytvářet mimo jiné: • V detailním nastavení ESET Smart Security, které lze vyvolat klávesou F5 v případě, že se pohybujeme v grafickém prostředí řešení ESET Smart Security (popř. v menu Nastavení -> Personální firewall). • Prostřednictvím konfiguračního editoru, který je součástí nástroje ESET Remote Administrator. Tímto můžeme otevřít existující pravidla libovolného klienta (importem současné konfigurace daného klienta), otevřít přímo vyexportovanou konfiguraci v podobě XML souboru, popř. vycházet z originálního stavu. Ve výsledku jsou dialogy pro definování pravidel či zón velice podobné.
Šedě podsvícené řádky označují pravidla předdefinovaná společností ESET. V některých případech je lze částečně ovlivňovat pomocí voleb v části IDS a rozšířená nastavení (např. povolením či zakázáním sdílení souborů a tiskáren v důvěryhodné zóně). Pravidla na bílém podkladě jsou uživatelem definovaná pravidla. Volbou Přepnout na zobrazení, jenž je... měníme různé způsoby zobrazení pravidel. Zatrhávací pole před každým pravidlem určuje, zda je pravidlo aktivní (zatrženo), popř. zda je ignorováno. Pokud pravidlo otevřeme (poklepáním myší, popř. tlačítkem Změnit), získáváme následující informace. Toto pravidlo souvisí s komunikací poštovního klienta Microsoft Outlook Express.
10
Položka
Význam - určuje
Název
název pravidla
Směr
směr komunikace (ven, dovnitř, oba směry)
Akce
činnost s komunikací (zakázat, povolit, zeptat se - zobrazit dialog)
Protokol
protokol
Zapsat do protokolu
Komunikace tohoto pravidla bude zapsána do protokolu personálního firewallu (kapitola protokolování)
Upozornit uživatele
uživatel bude malým oknem informován o uplatnění tohoto pravidla
Lokální port
zdrojový port komunikace (popř. několik portů)
Aplikace
aplikace - proces, ke kterému se pravidlo vztahuje
Vzdálený port
cílový port komunikace (popř. několik portů)
Vzdálená adresa
cílová IP adresa (případně rozsah nebo podsíť)
Poznámka: Na pořadí pravidel nezáleží. Vždy je použito pravidlo, které se dané komunikace týká. Pokud takové neexistuje, daná komunikace je zakázána. Vyšší prioritu mají pravidla, které komunikaci vymezují přesněji (např. blokování FTP komunikace konkrétního FTP klienta vs obecné povolení FTP komunikace). Následuje soupis typických pravidel, z nichž většinu lze uplatnit při nasazení administrátorského režimu filtrace (resp. je skoro nutností některé z nich nastavit): 11
Požadavek
Povolení aktualizace na klientovi s ESS
Povolení komunikace klienta ESS s ERA serverem (pravidlo na klientovi)
Směr
Ven
Ven
Protokol
Lokální port
TCP
Aplikace
ekrn.exe
TCP
ekrn.exe
Vzdálený port
80, 2221
2222, 2224
Port 2224 může být využit při vzdálené reinstalaci či odinstalaci.
Ven
TCP
console.exe
2223
Příjem a odesílání pošty
Ven
TCP
proces poštovního klienta
25 (SMTP), 110 (POP3), 143 (IMAP) 80 (HTTP), 443 (HTTPS), popř. port proxy serveru
Ven
TCP
proces prohlížeče
FTP klient na server
Ven
TCP
FTP klient
FTP klient na server (aktivní)
Ven
TCP
FTP klient
druhé pravidlo předchozího
Poznámka Port 80 je v případě aktualizace z Internetu, port 2221 v případě aktualizace z lokálního aktualizačního serveru (např. z ERA)
Povolení komunikace ERA konzole s ERA serverem
Prohlížení webových stránek
Vzdálená adresa
IP adresy poštovních serverů
21 (FTP),
Pravidlo na straně PC s konzolí, pokud je zároveň instalován ESS. Vzdálená adresa může být vyplněna v případě opravdu přísné ochrany
Pasivní režim FTP (vhodnější)
1024 až 65535 21 (FTP) IP adresa FTP serveru
Je nutností definovat IP adresu FTP serveru!
Dovnitř
TCP & UDP
FTP klient
20 (FTP-data)
Vzdálená plocha na jiné PC
Ven
TCP
mstsc.exe
3389
Nutno proces dohledat
Microsoft Live Messenger
Ven
TCP
msnmsgr. exe
1863
Nutno proces dohledat
Lokálně běžící Apache Web Server – potřeba vidět z venku
12
Dovnitř
TCP
80
apache.exe
Jako vzdálenou adresu lze uvést IP adresy, ze kterých má být web dostupný, popř. rovnou definovat zónu (popř. využít důvěryhodné zóny)
Výše uvedený přehled naznačuje, že je nutné vyspecifikovat i pravidla pro komunikaci samotného řešení ESET Smart Security! Tyto nejsou předdefinovány společností ESET! Speciální kapitolou je pak systémový proces svchost.exe. Pro tento proces se může pravidlo (či dokonce více pravidel v obou směrech) výrazně lišit v závislosti na prostředí, ve kterém je klient nasazen. Minimálně RPC a DHCP komunikaci řeší předdefinované pravidlo (příchozí RPC je povoleno v případě, že se klient nachází v důvěryhodné zóně) a zaměřit se je tak potřeba především na odchozí komunikaci svchost.exe. Zcela ideální je pro svchost.exe vytvořit následující pravidlo:
Požadavek
Směr
Protokol
Lokální port
Aplikace
Vzdálený port
Vzdálená adresa
update.microsoft.com,
svchost.exe ven
Ven
TCP
svchost.exe
443
download. microsoftupdates.com, windowsupdate. microsoft.com
Poznámka
Vzdálené adresy je potřeba definovat v podobě IP adres, popř. se spolehnout na pravidlo bez definice vzdálených adres.
3.1 Detekce změn aplikací V detailním nastavení firewallu lze najít funkci Detekce změn aplikací (Detection of application modifications). Tato funkce řeší situaci, kdy se proces, jehož komunikace je schválena, změní. Pro každý sledovaný proces je tak automaticky vytvořen kontrolní součet a při jeho změně může být uživatel informován. Uživatel se musí rozhodnout, zda je tato změna legitimní či nikoliv jak ukazuje následující obrázek. Pokud zvolí Zakázat, stane se odpovídající pravidlo neaktivní a od tohoto momentu je daná komunikace zakázána). Chování může ovlivnit i volba Povolit změnu podepsaných (důvěryhodných) aplikací - Allow modification of signed applications (ověřuje se pravost certifikátů, kterým je aplikace podepsána – typické pro Microsoft aplikace a komponenty operačního systému).
13
Detekce změny aplikace dokáže zabránit situaci, kdy se za původně legitimní proces vydává škodlivý kód. Představme si situaci, kdy škodlivý kód nahradí soubor Outlook.exe vlastním kódem, který rozesílá nevyžádanou poštu skrze vestavěný SMTP server. Jelikož existovalo pravidlo pro legitimní proces Outlook.exe pro příjem a zasílání pošty (SMTP), nic by mu v tom nebránilo. Funkce má i své záporné stránky, které lze částečně potlačit výjimkami. K modifikaci procesu (a tím i kontrolního součtu) totiž dojde i v případě upgrade na novější verzi. Je to typické například u aplikace Adobe Acrobat Reader, kterou využíváme ke stahování PDF dokumentů přímo z Internetu (tudíž pro tuto aplikaci existuje pravidlo).
3.2 Protokolování síťové aktivity Informace o zpracované či zachycené síťové aktivitě lze ukládat do protokolu pro pozdější analýzu. Protokolování se může uplatnit především v momentě, kdy personální firewall blokuje z neznámých důvodů určitou komunikaci. V detailním nastavení personálního firewallu, konkrétně větvi IDS a rozšířené nastavení tak lze povolit Zapisovat všechna zablokovaná spojení do protokolu. Ve stejném dialogu lze nastavit i samotný systém IDS (detekce a blokování známých útoků) a obecné vlastnosti personálního firewallu (povolení / zakázání sdílení souborů a tiskáren v důvěryhodné zóně, UPNP apod.).
Následně lze v protokolu personálního firewallu (menu Nástroje -> Protokoly -> Protokol personálního firewallu) zjistit přesný důvod zablokování komunikace. Stěžejní informace se přitom nachází ve sloupci Název pravidla, kde může být uveden název konkrétního pravidla, které za celým incidentem stojí.
14
Podobně lze povolit protokolování při uplatnění libovolného uživatelského pravidla. Stačí pouze v jeho vlastnostech povolit volbu Zapsat do protokolu. Aktuální stav komunikace lze sledovat v menu Stav ochrany -> Personální firewall. Pravým tlačítkem myši lze vyvolat kontextové menu, ve kterém lze mimo jiné zablokovat komunikaci daného procesu či dané spojení. Vznikne tak dočasné pravidlo vázané na ID procesu (PID), které zaniká s ukončením tohoto procesu (aplikace).
15
3.3 Konfigurační XML & konfigurační editor Součástí nástroje ESET Remote Administrator je i konfigurační editor, který dokáže načíst konfiguraci vyexportovanou z klientského řešení ESET Smart Security (bližší informace v samotné dokumentaci k ERA). V této konfiguraci jsou zaznamenány i samotná pravidla firewallu a celé jeho nastavení. Pokud takovou konfiguraci v editoru otevřeme, jde o větev ESET Smart Security, ESET NOD32 Antivirus -> Personal firewall -> Setup. Zde je stěžejní atribut Filtering mode (režim filtrování) a Rule setup, kde lze definovat samotná pravidla, zóny a další parametry. Tento dialog je velice podobný tomu, který byl popisován výše. Novinkou je zde volba Discard previous settings on the target computer. Pokud je aktivní, budou veškerá současná pravidla na cílovém PC odstraněna a následně nahrazena těmi, které v dialogu vidíme. V opačném případě cílová pravidla zůstanou a pouze dojde k jejich modifikaci, popřípadě vzniknou nová. POZOR! Uživatelská pravidla jsou identifikována názvem pravidla! Pokud není volba Discard previous settings on the target computer aktivní a je přejmenováno existující uživatelské pravidlo, vznikne při použití takové konfigurace duplicita těchto pravidel! Pokud chceme ze získané konfigurace využít jen nastavení personálního firewallu (nechceme např. pozměnit specifické nastavení rezidentního štítu, kontroly pošty, aktualizace apod.), nabízí konfigurační editor následující: 1. Stiskem kombinace CTRL-D odstraníme modré symboly (ikony „zešednou“). 2. Na větvi ESET Smart Security, ESET NOD32 Antivirus -> Personal firewall stiskneme mezerník (celá větev personálního firewallu “zmodrá”). 3. Konfiguraci uložíme z menu File -> Export selected to... Význam modrých / šedých ikon je detailně popsán v dokumentaci k nástroji ESET Remote Administrator. V podstatě jde o to, že v XML výstupu budou zapsány pouze ty informace, které mají před řádkem modrý symbol. Při použití 3 tohoto výstupního XML na koncových klientech tak bude přenastaven pouze firewall.
3 Opět se nabízí několik způsobů, jak XML výstup uplatnit: v rámci úlohy configuration (task configuration), při vzdálené instalaci – importem XML do instalačního balíčku (package), importem přímo v ESET Smart Security atd. 16
4. Shrnutí Shrňme tedy, co je pro nasazení řešení ESET Smart Security, resp. integrovaného personálního firewallu důležité: • Maximální režim zabezpečení a zároveň nejkomplikovanější přípravu zajistí administrátorský režim filtrace (policy-based). • Personální firewall společnosti ESET funguje tak, že komunikaci, pro kterou neexistuje odpovídající pravidlo, automaticky zakáže. To vždy s výjimkou interaktivního režimu filtrace, kdy se čeká na rozhodnutí uživatele. • Při nasazení personálního firewallu je bez ohledu na typ filtrování vhodné předdefinovat minimálně jednu důvěryhodnou zónu, ve které budou klienti „trávit“ většinu času. Nebudeme tak uživatele obtěžovat zbytečným dialogem pro zařazení podsítě do důvěryhodné (trusted) či nedůvěryhodné zóny (untrusted). • ESET Smart Security neobsahuje předdefinované pravidla zahrnující komunikaci samotného řešení ESET Smart Security. Je tak nutné vytvořit pravidla (především pokud je nasazen v administrátorském režimu filtrace), které zajistí aktualizaci řešení a komunikaci s ERA serverem pro centrální správu (ideálně i další pravidla). • Jednou ze zajímavých strategií pro tvorbu pravidel je jejich průběžné vytváření v interaktivním režimu filtrace, přičemž po jejich kompletaci lze firewall přepnout do administrátorského režimu filtrace, nastavení vyexportovat do podoby XML souboru a využít na dalších klientech.
17