Handleiding I. Inleiding: Voor dat je van start gaat: Om het even wie, van beginnende tot gevorderde computergebruiker, kan Sunbelt Kerio Personal Firewall gebruiken (SKPF). Beginnende computergebruikers die nog weinig computer- en netwerkkennis hebben, installeren SKPF best in de Eenvoudige (Simple) mode. Gevorderde computergebruikers kunnen de Geavanceerde mode gebruiken.
Overzicht: Sunbelt Kerio Personal Firewall controleert het dataverkeer van computers met het Internet en (of) een locaal netwerk. Zo beschermt het computers tegen aanvallen van andere computers. Wat is een Firewall? Een Firewall is een programma dat een computer beschermt tegen andere computers door alle dataverkeer dat plaatsvindt met andere computers, hetzij via het Internet, hetzij via een locaal netwerk te controleren of het veilig of onveilig is.
Onderdelen: Sunbelt Kerio Personal Firewall maakt gebruik van meerdere onderdelen om je computer te beschermen. Netwerkbeveiliging: Netwerk beveiliging controleert alle netwerkverkeer. Het stelt je in staat om twee methoden te gebruiken. • Applicaties. Blokkeert of staat netwerk toepassingsverkeer toe. • Packet filter. Blokkeert of staat delen van boodschappen toe.
1
De Firewall bevat een set van vooraf ingestelde netwerk beveiligingsregels, zoals voor DNS, DHCP, enz. Deze regels staan los van de door de gebruiker gemaakte regels (instellingen) en kunnen te allen tijde in- of uitgeschakeld worden. Wanneer de Firewall een trafiek waarneemt die niet beantwoord aan de ingestelde criteria, dan zal een dialoogvenster getoond worden waarin de gebruiker gevraagd wordt verbinding toe te staan of te weigeren. Zo kan te allen tijde een toepassings- of packet filterregel gemaakt worden. Behavior Blocking: De Behavior Blocking module controleert de actieve processen. Het controleert de volgende gebeurtenissen: • Lopende processen. • Verplaatsing van een in uitvoering zijnde procesbestand. • Bestaande processen die actief zijn bij andere processen. Wanneer er netwerkverkeer plaats vindt, dan kunnen voor alle afzonderlijke processen regels instelt worden. Deze regels zullen de verschillende soorten aan gegevensverkeer toestaan of blokkeren. Telkens wanneer een verbinding of gebeurtenis niet de gestelde criteria voldoet, zal een dialoogvenster geopend worden waarin de gebruiker gevraagd wordt deze toe te staan of te blokkeren. Ter attentie: Sunbelt Kerio Personal Firewall 4 controleert alle actieve processen, kijkt in hoeverre deze deel uitmaken van het netwerkverkeer. Wanneer een computers geïnfecteerd is, dan is de Firewall betrouwbaarder dan antivirus software. Dit is voornamelijk het geval wanneer het om een nieuw virus gaat dat nog niet opgenomen is in de virus database. Sunbelt Kerio Personal Firewall detecteert de aanval en waarschuwt de gebruiker.
Network Intrusion Detection and Prevention (NIPS) NIPS herkent, blokkeert en noteert gekende soorten indringers. Hierbij wordt gebruik gemaakt van een databank van gekende indringers, die regelmatig bijgewerkt wordt. (De bijgewerkte databank zit vervat in nieuwe versies van de Firewall). Host intrusion detection and prevention (HIPS) HIPS spoort pogingen tot misbruik van actieve processen en pogingen tot uitvoeren valse code op. Web filtering Web filtering maakt het volgende mogelijk: • Blokkeert advertenties (gekoppeld aan URI/URL regels), scripts en andere Web items. • Blokkeert pop-up en pop-onder vensters. • Blokkeert Web inhoud (JavaScript, VBScript en ActiveX). • Beschermt computergebruikers tegen ongewenste cookies en stopt het inzamelen van persoonlijke informatie door allerhande Web toepassingsvormen. Je kunt speciale instellingen doen voor betrouwbare servers en wanneer filtering errors veroorzaakt. Opstarttijd beveiliging
2
Opstarttijd beveiliging beveiligt computers wanneer de Firewall niet actief is. Dat is ondermeer van toepassing tijdens het opstarten van het systeem en tijdens het installeren van een nieuwe versie van de Firewall.
Functies en kenmerken Stop alle verkeer (Stop all traffic) Stopt alle verkeer op de computer. Deze functie kan nuttig zijn wanneer ongewenst of onbekend netwerkverkeer is vastgesteld. Het verkeer kan worden hersteld zodra de noodzakelijke beveiligingsmaatregelen zijn getroffen Logging Elke Firewall module maakt een afzonderlijke log die als text (txt) bestand is opgeslagen. .
Verbindingsoverzicht en statistieken Het overzicht bevat informatie over de tot stand gebrachte verbindingen en geopende poorten bij afzonderlijke toepassingen. Informatie over de actuele snelheid en grootte van verzonden data in beide richtingen is steeds beschikbaar voor actieve verbindingen. Het overzicht wordt automatisch bijgewerkt volgens vooraf ingestelde tijdsintervallen. Statistieken tonen de gebruikers het nummer van de geblokkeerde objecten door de Web filter en het nummer van de vastgestelde indringers gedurende een bepaalde periode. Automatische update Regelmatig wordt er nagegaan of er een nieuwe versie van de Firewall ter beschikking is. Indien er een nieuwe versie ter beschikking is dan hebben de gebruikers de mogelijkheid deze te downloaden en te installeren. Het is ook steeds mogelijk eigenhandig te gaan kijken of er een nieuwe versie ter beschikking is. Ter attentie: Sunbelt Kerio Personal Firewall 4 kan niet gebruikt worden bij Windows NT Server, Windows 2000 Server en Windows Server 2003
Systeemvereisten De volgende hardware en software is noodzakelijk om Sunbelt Kerio Personal Firewall te kunnen installeren: • De besturingssystemen: Windows 2000 Professional, XP Home, XP Professional en Windows Media Center Edition. • CPU: Intel Pentium of 100% compatible • 64 MB RAM • 10 MB vrije schijfruimte • Een minimum schermresolutie van 800x600 pixels. Ter attentie: Sunbelt Kerio Personal Firewall 4 werkt niet onder Windows NT, Windows 2000 Server, Windows 2003 Server, Win95, Win98, WinME en 64 bit versies van Windows.
Conflicterende sofware
3
Sunbelt Kerio Personal Firewall kan in conflict geraken met toepassingen die op dezelfde of op nagebootste technologie gebaseerd is. Sunbelt Software kan je niet verzekeren dat Sunbelt Kerio Personal Firewall op uw besturingssysteem goed werkt indien de volgende soorten van softwaretoepassingen in hetzelfde besturingssysteem geïnstalleerd zijn: • Personal Firewalls: Personal firewalls (zoals: Internet Connection Firewall, Windows XP Firewall, Zone Alarm, Sygate Personal Firewall, Norton Personal Firewall, enz.) veroorzaken nagebootste functies in Sunbelt Kerio Personal Firewall • Netwerk Firewalls: Netwerk Firewalls (zoals: Kerio WinRoute Firewall, KerioWinroute Pro, Kerio WinRoute Lite, Microsoft ISA Server, CheckPoint Firewall-1, WinProxy van Ositis, Sygate Office Network, Sygate Home Network, enz. ) beschermen de computer reeds. Het is dan niet meer noodzakelijk een Personal Firewall te gebruiken. Ter attentie: Sunbelt Kerio Personal Firewall 4 gecombineerd worden met proxy server router om alzo een basis netwerk firewall in te stellen.
Als algemene regel geldt, combineer Sunbelt Kerio Personal Firewall nooit met een andere Firewall.
II. Installatie: Alvorens te installeren: • •
Indien er reeds een ander Firewall programma geïnstalleerd is, verwijder dit dan volgens de voorschriften van dat programma en start de computer opnieuw op. Sluit alle Windows programma’s, alsook de in de systeembalk weergegeven programma’s. Ter attentie: Indien je een oudere versie van deze Firewall gebruikt, verwijder deze dan alvorens de nieuwe versie te installeren. Opgepast: Indien je AVG antivirus wenst te gebruiken, dan moet dit programma vóór de installatie van Sunbelt Kerio Personal Firewall geïnstalleerd zijn. Zodra SKPF voor de eerste maal wordt gestart zullen er de noodzakelijke instellingen worden uitgevoerd voor de antivirus
Installatie:. Naar gelang de installatiebron: 1. Installatie vanaf een CD: Plaats de CD in de CD-drive. De installatie zal automatisch starten. Zoniet, open Windows verkenner, ga naar de CD drive en dubbelklik op het setup.exe icoon. De installatiewizard zal starten. 2. Installatie vanaf een gedownload bestand: Je kunt Sunbelt Kerio Personal Firewall hier downloaden: http://www.sunbelt-software.com/KerioDownload.cfm Open vervolgens de Windows verkenner en ga naar de plaats waar je het gedownloade bestand hebt opgeslagen. Dubbelklik op het icoon om de installatiewizard te starten
4
Ziehier het openingsvenster.
Klik Next. Indien het om een upgrade gaat dan krijg je een venster met een overzicht van wat er nieuw is in de respectievelijke versies.
5
Klik Next. Het venster “Licence Agreement” wordt geöpend.
Indien je de installatie wil voortzetten, selecteer dan “I accept the terms in the license agreement”. Klik Next. Nu kun je bepalen waar de installatie zal opgeslagen worden.
6
Indien je voor de aangegeven standaardlocatie kiest, klik dan Next. Indien je de bestemming wenst te wijzigen, klik dan Change… In de verkenner kun je dan een andere map selecteren. Klik op OK. Je komt nu terug in bovenstaand venster. Controleer het weergegeven pat en klik op Next. Nu kun je een keuze maken uit twee aanvangsinstellingen.
Kies voor Simple indien je slechts over basis computerkennis beschikt en niet vertrouwt bent met begrippen die verband houden met netwerken en processen. Ter attentie: Je kunt later nog altijd overschakelen naar de advanced mode, zodra je wat meer vertrouwd bent met het programma en het omgaan met netwerken en processen.
Hiervoor dient u de firewal lwel te herinstalleren en dan kunt u kiezen voor Advanced mode. Er is op dit moment helaas nog geen mogelijkheid in de software voorzien om te switchen. Kies voor Advanced indien je een gevorderde computergebruiker bent en vertrouwt bent met netwerktverkeer en het blokkeren/toestaan van processen. Voor meer informatie ga naar Aanvangsinstellingen. Blz. 9
Klik vervolgens op Next. Het Ready to Install the Program venster word geopend.
7
Klik op Install om de installatie te starten. Zodra de installatie voltooid is verschijnt het onderstaande venster.
Klik op Finish.
8
Er zal een dialoogvenster geopend worden.
Sluit alle eventueel nog openstaande vensters. Klik vervolgens op Yes. De computer zal opnieuw opgestart worden om de installatie te vervolledigen. Indien je Windows XP SP2 of later gebruikt, zal de Windows Firewall, nadat de computer opnieuw is opgestart, een dialoogvenster openen.
Kies voor Blokkering opheffen. Sunbelt Kerio Personal Firewall zal in het Windows beveiligingscentrum opgenomen worden als standaard Firewall en de Windows Firewall zal automatisch uitgeschakeld worden.
Aanvangsinstellingen: Tijdens de installatie (Blz. 7) werd gevraagd een keuze te maken uit twee basis instellingen die van toepassing zullen zijn zodra SKPF voor de eerste keer wordt opgestart. • Simple: In de simple mode zal de firewall alle uitgaande verkeer toestaan ( Zoals bv surfen op het Internet) en alle inkomende verkeer blokkeren (Zoals bv websites of hackers die contact zoeken met uw computer). Netwerkinstellingen zijn automatisch uitgevoerd op uw computer en de aandacht voor de systeembeveiliging is uitgeschakeld. Dit houdt in dat je geen meldingen krijgt waarin je gedetailleerde vragen worden gesteld en waarvoor
9
een zekere kennis van computers en computernetwerken is vereist. Zodra je kennis dat toelaat kun je, na de installatie van het programma, nog altijd overschakelen naar de “Advanced mode”. Dat kan echter enkel door het programma opnieuw te installeren. Ter attentie: De enige uitzondering voor het gebruik van de Simple mode is het gebruik van een inbelverbinding. Je moet de inbelnummers bevestigingen (ingeven) die je voor je Internetverbinding gebruikt. Zo zal je altijd om bevestiging gevraagd worden indien een ander telefoonnummer wordt gebruikt.
•
Advanced: In de geavanceerde mode zal de firewall je vragen het niveau van verbindings- en systeembeveiling te bepalen. Zo zal de firewall je waarschuwen zodra er een onbekende verbinding of proces wil starten. In het getoonde venster kun je voor dit item een regel instellen zodat de firewall weet hoe hier in de toekomst mee moet worden omgegaan. Je kunt een afzonderlijke Firewall instelling doen voor een gast en voor een gebruiker. Indien de geavanceerde mode is ingesteld dan zal SKPF de actieve netwerkactiviteiten waarnemen. Voor iedere activiteit zal aan de gebruikers gevraagd worden of deze al dan niet met een betrouwbaar netwerk verbonden is. De geavanceerde mode is enkel geschikt voor gevorderde gebruikers die weten waar ze mee bezig zijn. Deze mode is dus niet geschikt voor beginners.
Upgrading naar een nieuwe versie Upgraden naar een nieuwe versie van Sunbelt Kerio Personal Firewall doe je door een gewone installatie te doen zoals eerder beschreven is. De oude, actieve, versie zal tijdens het installatieproces automatisch uitgeschakeld worden. Je doet er echter goed aan de oude versie eerst te verwijderen. Ter attentie: SKPF beschikt over een automatisch Update verificatie systeem. Voor gewone updates moet de bestaande versie blijven staan!!!
Verwijderen van de SKP Firewall Deze Firewall kun je verwijderen door gebruik te maken van de “Wijzigen/verwijderen” optie in het configuratiescherm / Software. Dat doe je dus zo: Klik op START >> Configuratiescherm >> Software. Selecteer in de lijst van programma’s Sunbelt Kerio Personal Firewall en klik op verwijderen. Bevestig met Ja. Bestanden die na de installatie gemaakt zijn (zoals configuratie bestanden, logs, enz. ), worden niet verwijderd. Deze kun je na het verwijderen van SKPF handmatig verwijderen via de verkenner. Indien je een herinstallatie van SKPF wenst te doen, dan kun je ze ook laten staan. Ter attentie: Indien je Windows XP SP2 of later gebruikt, dan zal SKPF automatisch uit het Windows beveiligingscentrum verwijderd worden en zal de Windows Firewall ingeschakeld worden.
Updaten van de bestaande versie 10
Bij iedere start (en minstens om de 24 uur) controleert SKPF of er een nieuwe versie beschikbaar is. Indien een nieuwe versie ter beschikking is dan kan deze gedownload worden. Downloaden en updaten van een nieuwe versie kan op twee verschillende manieren gebeuren: 1 Automatisch zoeken naar updates: Kies Overzicht in het zij-menu, klik het tabblad Voorkeuren. Plaats een vinkje vóór Controleer automatisch op updates. Indien er een update gevonden wordt dan zal de Update Wizard geopend worden. 1 Manueel zoeken naar updates: Kies Overzicht in het zij-menu, klik het tabblad Voorkeuren. Selecteer dan de box Controleer nu. Indien er een update gevonden wordt dan zal de Update Wizard geopend worden. Klik op Next om de update te downloaden en voer de installatie uit.
Ter attentie: Indoen je het downloaden zou afbreken door op “Afsluiten” te klikken, dan zal deze update niet meer automatisch worden aangeboden. Indien je deze alsnog wenst te downloaden dan moet dat manueel gebeuren.
Start de computer opnieuw op.
III. Productregistratie en kopen (of Freeware) Er zijn twee versies van Sunbelt Kerio Personal Firewall beschikbaar. • Full versie. Voor deze uitgebreide versie moet je betalen. • Free versie. Deze iets beperktere versie kan gratis gebruikt worden. 11
Free of Full versie? De installatie is voor beide versies identiek. Aanvankelijk beschik je hoe dan ook over de Full versie en dat gedurende een proefperiode van 30 dagen. Na afloop van die proefperiode moet je beslissen welke versie je kiest. Daar waar je met de Full versie over alle funkties beschikt is dat met de Free versie niet het geval. Ter attentie: Indien je na afloop van de 30 dagen durende proefperiode niets onderneemt, dan blijf je firewall verder werken als Free versie. Deze versie biedt voor de niet professionele gebruiker ruimschoots voldoende beveiliging.
Free versie: De volgende beperkingen zijn van toepassing in de Free versie: • Deze is enkel beschikbaar voor persoonlijk en niet commercieel gebruik. • Web content filtering, met inbegrip van zijn logs en statistieken, is niet beschikbaar. • Host Intrusion and Prevention System (HIPS) is niet beschikbaar. • Het kan niet worden gebruikt voor Internet Gateways. Concreet betekent dit dat de PC waarop de gratis versie is geïnstalleerd niet als tussenstation voor andere PC's die naar het Internet willen kan gebruikt worden. • Er kunnen geen logs naar de Syslog server gezonden worden. • De configuratie kan niet met een wachtwoord beveiligd worden en het is niet mogelijk de firewall van op afstand te beheren en te besturen. Full versie: De Full versie is enkel beschikbaar na het bekomen van een licentienummer en het registreren van de software. Na de registratie zijn alle functies van de firewall beschikbaar. Technische ondersteuning: Er is enkel technische ondersteung beschikbaar via E-mail. Gebruikers van Multi-licenties (licenties voor meer dan één gebruiker/computer) kunnen gebruik maken van telefonische ondersteuning. Voor gedetailleerde contactinformatie, ga naar http://www.sunbelt-software.com
Kopen van Sunbelt Kerio Personal Firewall Omdat deze handleiding voornamelijk geschreven is om de niet-gevorderde computergebruikers van dienst te zijn en te verwachten valt dat deze voor de Free versie zullen kiezen, gaan we dit onderwerp niet verder behandelen. Er van uitgaande dat diegenen die de Full versie wensen aan te kopen tot de categorie van de gevorderde gebruikers behoren, en als dusdanig voldoende noties hebben van de Engelse taal, kunnen deze voor meer informatie altijd terecht bij de Help functie van het programma. Dit geldt ook voor de productregistratie.
12
IV. Firewall onderdelen en kenmerken van het syteembalk icoon Sunbelt Kerio Personal Firewall uses several components and system tray features. The Components section of this chapter is highly technical. We recommend that basic computer users should focus more on the System Tray Icons section. This chapter covers the following topics:
SKPF bevat meerdere onderdelen en systeembalk kenmerken. Vermits de sectie “onderdelen” bijzonder technisch is en als dusdanig meer gericht is op gevorderde gebruikers, wordt dit onderwerp hier niet behandeld. Basis computer gebruikers hebben er meer aan zich toe te spitsen op de kenmerken van het systeembalk icoon.
Systeembalk icoon A shield-shaped icon is displayed in the System Tray whenever the Personal Firewall is running. This component is started automatically by the Personal Firewall Engine. The icon also shows network activity of the computer on which the firewall is installed. Network traffic is represented by small colored bars at the bottom of the icon
Wanneer de firewall actief is, zal er in de systeembalk een icoon (zie in rode kader op de afbeelding) in de vorm van een schild zichtbaar zijn. Aan de hand van dit icoon kun je zien of er netwerkactiviteit is op de computer waarop de firewall actief is. Deze netwerkactiviteit wordt weergegeven aan de hand van kleine kleursymbooltjes (bolletjes) aan de onderzijde van het icoon. Tevens zal een dialoogvenstertje, met gele achtergrond, aangeven dat de firewall actief is van zodra je met de muisaanwijzer op het icoon gaat staan. Zie afbeelding.
Groene puntjes staan voor uitgaand verkeer, de rode voor inkomend verkeer. Klik met de rechtermuisknop op het icoon om een menu (rechtsklikmenu) met meer opties te bekomen.
Toelichting bij de verschillende opties: Schakel de Firewall uit:
13
Klik op deze optie indien je de Firewall volledig wenst uit te schakelen. Dit kan nodig zijn bij sommige systeemtesten of bij debugging (zoals het falen van een netwerkverbinding). Het is uiteraard niet wenselijk deze gedurende al te lange tijd uitgeschakeld te laten. Schakel eventueel in die tijdspanne de Windows Firewall tijdelijk in.
Ter attentie: In Windows XP SP2 zal het beveiligingscentrum onmiddellijk reageren op het uitschakelen van SKPF.
De Firewall kan terug ingeschakeld worden door in het rechtsklikmenu te klikken op Schakel de Firewall in. Stop al het verkeer: Met deze optie wordt alle netwerkverkeer geblokkeerd. Wanneer je per vergissing ongewenst netwerkverkeer toch de toelating hebt gegeven, klik dan op “Stop al het verkeer” zodat alle actieve verbindingen worden stopgezet. Door gebruik te maken van de optie “Maak een regel voor deze verbinding” kun je deze instellen als “verbied”. Zodra er een trafiekregel is ingesteld kun je in het rechtsklikmenu klikken op Sta verkeer toe.
Telkens wanneer de firewall terug gestart wordt zullen de instellingen zoals Schakel de Firewall uit en Stop al het verkeer naar de standaard instellingen worden teruggezet. Om veiligheidsredenen is het onverantwoord dat de firewall is uitgeschakeld nadat het systeem opnieuw is opgestart. Zo ook kan “het geblokkeerd zijn” van alle verkeer voor problemen zorgen bij het inloggen van de gebruiker. Configuratie: Met deze optie kan de configuratie dialoogbox geopend worden. Dat kun je ook bereiken door te dubbelklikken op het icoon. Registreer: Met deze optie wordt de registratie wizard geopend, wat noodzakelijk is van zodra je, na de proefperiode, over de Full versie wil blijven beschikken. Om te kunnen registreren heb je echter een registratienummer nodig. Dat verkrijg je van zodra je het product aangekocht hebt. Over: Met deze optie open je het venster Info over Sunbelt Kerio Personal Firewall. Dit venster verschaft informatie betreffende SKPF en de versies van de verschillende onderdelen.
14
Select this option to stop the Personal Firewall Engine service and close the Personal Firewall (all open windows and application dialogs are closed and the icon on the Systray is hidden). Reactivated the Firewall by selecting Start>All Programs>Sunbelt Software>Kerio Personal Firewall 4.
Sluiten: Gebruik deze optie om de Firewall te stoppen en te sluiten (Alle open vensters en dialoogboxen worden gesloten en het icoon in de systeembalk verdwijnt). De Firewall kan opnieuw geactiveerd worden via Start > Alle programma’s > Sunbelt Software > Personal Firewall > Start Firewall.
V. Firewall acties en reacties van de gebruiker Before learning how to configure Sunbelt Kerio Personal Firewall, it is important to understand how it behaves and interacts with users. This chapter covers the following topics:
Alvorens te leren hoe Sunbelt Kerio Personal Firewall moet ingesteld worden, is het belangrijk te begrijpen hoe de firewall werkt en omgaat het tussenkomsten van de gebruiker.
Werking van de Firewall Informatie wordt via het Internet verstuurd door gebruik te maken van TCP/IP protocols. TCP/IP (Transmission Control Protocol / Internet Protocol) is de basistaal voor het Internet. Het kan als dusdanig gebruikt worden als een communicatie protocol in een privaat netwerk (zoals in een bedrijf of wij u thuis).
15
Wanneer je opstart met een directe verbinding met het Internet, dan is je computer voorzien van een copie van de TCP/IP protocols. Elke computer waar je communiceert beschikt ook over TCP/IP protocols. TCP/IP Layers (lagen) TCP/IP bestaat uit twee lagen. De bovenste laag, Transmission Control Protocol (TCP), verdeelt een bestand in kleinere stukken (packets) zodat het bestand gemakkelijker te verzenden is. Ieder stuk (packet) is afzonderlijk genummerd en bevat het Internetadres van de bestemmeling. De afzonderlijke stukken van zo een bestand worden elk via een andere weg over het Internet verstuurd. Zodra deze ter bestemming zijn worden deze weer samengevoegd als originele bestand (aan de hand van de TCP layer van de bestemmeling). De onderste laag (layer), Internet Protocol (IP), beheert het adresgedeelte van ieder stuk (packet) zodat het bij de juiste bestemmeling terecht komt. Indien je deel uitmaakt van een computer netwerk, dan zal elke computer die met het Internet verbonden is het IP-adres controleren om te kunnen bepalen waar het bericht naartoe moet worden gestuurd. Controleren van de pakketten Sunbelt Kerio Personal Firewall controleert ieder packet. Dan wordt een beslissing genomen op basis van de informatie die van de paketten bekomen is en op basis van informatie van eerdere verbindingen. Er wordt een log gemaakt waarin de informatie betreffende de toegestane verbinding is weergegeven. Een pakket zal tot je computer worden toegelaten indien het als niet bedreigend aanzien wordt. Het zal weg gefilterd worden indien het als bedreigend wordt aanzien. Het controleproces van pakketten in een bericht is veel efficiënter dan basis pakket filtering, welke pakketten toestaat of blokkeert op basis van bron- en bestemmingsadressen, poorten, of protocollen, ongeacht de inhoud. Advanced (Learning mode) Indien je tijdens de installatie hebt gekozen voor de Advanced (Learning mode), dan hanteert SKPF een pop-up stijl die je informatie verschaft om je te helpen een beslissing te nemen betreffende het al dan niet toestaan van een verbinding met het Internet. Indien voor een verbinding een blijvend verbod of toestemming is ingesteld, dan zal deze regel aangemaakt worden en weet de Firewall hoe hier in de toekomst mee moet worden omgegaan zodat de gebruikers betreffende dat item niet langer geconfronteerd worden met een dialoogvenster. Ter attentie: voor actieve toepassingen wordt dezelfde methode toegepast
De mogelijkheid om zelf regels aan te maken verschaft de gebruikers meer controle over de netwerktrafiek van en naar hun computers. Enkel pakketten die aan behoorlijk veilige criteria voldoen, of die eerder reeds als veilig werden bevonden, worden door de firewall toegestaan. De dialoogboxen die de gebruikers waarschuwen voor op gang zijnde verbindingen zullen op de voorgrond geplaatst worden. Indien er tegelijkertijd meerdere waarschuwingen zijn, dan worden deze achter elkaar geplaatst en zul je deze achtereenvolgens moeten behandelen.
16
Verbindingswaarschuwing. SKPF opent een waarschuwingsvenster zodra er een, voor de firewall, onbekende verbinding wordt vastgesteld. Er wordt je gevraagd of je, deze trafiek, al dan niet toestemming verleent tot het Internet en of je daar een overeenstemmende regel voor wil maken.
Ter attentie: De verbinding wordt tegengehouden zolang het dialoogvenster is geopend.
In het dialoogvenster worden o.a. twee belangrijke items getoond: 1. De richting van de verbinding ( zie in rode kader). In- of uitgaand. 2. De toepassing en het punt op afstand (zie in blauwe kader). Verbindingsrichting en zone
•
Een groene achtergrond stelt een uitgaande verbinding voor van een plaatselijke computer naar een punt op het Internet of een als veilig beschouwd IP adres. • Een rode achtergrond stelt een inkomende verbinding voor van een punt op het Internet of een als veilig beschouw IP adres naar een plaatselijke computer. De bestemming staat tussen haakjes weergegeven.
17
Ter informatie: Een veilige zone betekent een groep van veilige IP adressen. Internet betekent IP adressen die niet in een veilige zone zijn opgenomen.
Plaatselijke toepassing en het bestemmingspunt.
Deze basis informatie betreffende de verbinding staat onder de gekleurde balk. • De eerste regel toont de toepassing die op de plaatselijke computer in gebruik is. Indien er geen beschrijving beschikbaar is dan zal de naam van een daar mee verbonden zijnde uitvoerbaar bestand getoond worden. Indien een toepassing geen icoon heeft dan zal een standaard systeemicoon afgebeeld worden. • De tweede regel toont de naam van het bestemmingspunt DNS (Domain Name System) en zijn IP adres (in stukken). Ter informatie: DNS namen worden herkend aan de hand van DNS vragen. Indien een overeenkomstige DNS naam is gevonden dan vervangt deze het IP adres.
•
Het bestemmingspunt van de verbinding (indien het om een standaard service gaat), en de naam van de service is weergegeven als toevoeging aan het poortnummer. Plaats de muisaanwijzer boven de toepassingsnaam om het path naar het uitvoerbaar bestand van de toepassing op je computer te zien. Zie afbeelding.
Hoe reageren op een waarschuwingsbericht? Ter informatie: Punt 3 en 4 zijn eerder bestemd voor gevorderden.
1. Zet een vinkje bij Creëer een regel voor deze communicatie en vraag het mij niet weer.
2. Beslis nu of je deze toepassing gaat toestaan of verbieden. Indien je eerst nog over meer informatie wenst te beschikken, klik dan op Details. Zodra je op de knop toestaan of verbieden hebt geklikt zal het waarschuwingsvenster gesloten worden. 3. Plaats een vinkje vóór Creëer een geavanceerde filterregel, Geavanceerde filterregels worden gebruikt om gedetailleerdere parameters in te stellen om het in- en uitgaand verkeer te controleren.
18
4. Klik op Geavanceerde filter regel… om geavanceerde filter regel definities in te stellen. Het venster Netwerk beveiliging- Geavanceerd filter pakket wordt geopend. Ter informatie: Geavanceerde regels kunnen ten allen tijde worden opgesteld, aangepast of verwijderd door in het geopende venster van de Firewall naar het tabblad Applicaties te gaan onder Netwerkbeveiliging. Klik daar op de knop Packet filter…
Toepassingswaarschuwing Aan de hand van dit venster waarschuwt SKPF de gebruikers dat er getracht wordt een toepassing te starten, te verplaatsen of een toepassing van een iemand anders op te starten. Ter informatie: In het onderdeel Netwerkbeveiliging kun je zien hoe de Firewall zal reageren wanneer gekende toepassingen worden gestart. Bij het starten, verplaatsen of toevoegen van nog niet gekende toepassingen (bv nieuwe programma’s) zal een waarschuwingsvenster worden getoond indien hiervoor geen regel is gevonden. Opgelet: Indien de Firewall met een wachtwoord is beveiligd, dan zal de actie slechts worden toegestaan na het invoeren van een geldig wachtwoord.
Het toepassingswaarschuwingsventer bestaat uit de volgende onderdelen. Beschrijving Hier staat beschreven welke toepassing er wil starten en wat deze tot doel heeft. Tevens wordt de gebruiker geholpen bij het nemen van een beslissing.
19
Ter informatie: Indien er aan het einde van de beschrijving van de toepassing drie puntjes staan, dan is dat een aanwijzing dat de beschrijving te lang om volledig in het venster te kunnen weergeven.
Het type gebeurtenis De oranje strook geeft het type van de vastgestelde gebeurtenis weer.
Opstartende toepassingen kunnen het volgende betekenen: • Dat een toepassing wil opstarten. • Dat er getracht wordt om een uitvoerbaar bestand van een toepassing te vervangen. • Dat een toepassing is opgestart of dat de ene toepassing probeert de andere op te starten.
Icoon en naam van de toepassing Onder de oranje strook wordt een icoon en beschrijving van de toepassing weergegeven.
Indien er geen beschrijving beschikbaar is dan zal enkel de naam van de toepassing weergegeven worden. Indien de toepassing geen icoon heeft dan zal het icoon van het uitvoerbaar bestand weergegeven worden. Indien de toepassing door een andere toepassing is opgestart dan zal dit weergegeven worden onder “Opgestart door”. Plaats de muisaanwijzer boven de toepassingsnaam om het path naar het uitvoerbaar bestand van de toepassing op je computer te zien. Zie afbeelding.
Beantwoord deze waarschuwing op een vergelijkbare manier als weergegeven op blz. 18.
Host (gastheer) indringingswaarschuwing. Bij een poging om in je computer in te breken, zal SKPF een waarschuwingsvenster tonen en deze actie blokkeren. Ter informatie: Deze waarschuwing zal getoond worden indien er voor deze toepassing geen uitzondering ingesteld is of indien het waarschuwen voor dit soort gebeurtenissen niet is uitgeschakeld.
20
Beschrijving Een beschrijving van de poging tot indringen staat weergegeven boven in het dialoogvenster, alsook een aanbeveling. Het gebeurtenis type In de blauwe strook wordt het gebeurtenis type weergegeven.
Het icoon en path van de toepassing Het path naar het doel van de inkomende toepassing, alsook het icoon daarvan staan direct onder de overeenkomstige naam weergegeven. Indien die toepassing geen eigen icoon heeft dan zal het standaard systeem icoon weergegeven worden.
Wanneer er zich een buffer overflow voordoet, dan is enkel het proces waar de inbraak is vastgesteld voorzien. Zie hier onder.
To take action based on an intrusion alert 1 To Allow technical details to be transmitted to Sunbelt, select the Create a rule for this communication and don’t ask me again check box.
21
Dit is wat je moet doen indien er een indringingswaarschuwing wordt gegeven: 1. Zet een vinkje bij “Ik stem toe om technische informatie naar Kerio te zenden en klik op “Sluiten” 2. Voor meer informatie betreffende deze verbinding (aanval?), klik op “Details”. Er zal een dialoogbox geopend worden waarin meer details betreffende deze inbraakpoging weergegeven worden. Klik nogmaals op die knop om die dioloogbox te sluiten;
22
