1 Kerio Control Příručka administrátora Kerio Technologies2 Kerio Technologies s.r.o. Všechna práva vyhrazena. Tento manuál popisuje konfiguraci a spr...
Kerio Technologies s.r.o. Všechna práva vyhrazena. Tento manuál popisuje konfiguraci a správu produktu Kerio Control ve verzi 7.0.0. Zmˇ eny vyhrazeny. Uživatelská rozhraní Kerio StaR a Kerio Clientless SSL-VPN jsou popsána v samostatném manuálu Kerio Control — Pˇ ríruˇ cka uživatele. Aplikace Kerio VPN Client je popsána v samostatném manuálu Kerio VPN Client — Pˇ ríruˇ cka uživatele. Aktuální verzi produktu naleznete na WWW stránce http://www.kerio.cz/cz/firewall/download, další dokumentaci na stránce http://www.kerio.cz/cz/firewall/manual.
Informace o registrovaných ochranných známkách a ochranných známkách jsou uvedeny v pˇ ríloze A. Produkty Kerio Control a Kerio VPN Client obsahují software volnˇ e šiˇ ritelný ve formˇ e zdrojových kód˚ u (open source). Seznam tohoto software je uveden v pˇ ríloze B.
Tato kapitola obsahuje seznam krok˚ u, které je nutno provést, aby mohl Kerio Control okamžitˇ e sloužit pro sdílení internetového pˇ ripojení a ochranu vaší lokální sítˇ e. Podrobný postup rychlé instalace a konfigurace naleznete v samostatném manuálu Kerio Control — Konfigurace krok za krokem. Nebudete-li si jisti nˇ ekterým nastavením Kerio Control, jednoduše vyhledejte pˇ ríslušnou kapitolu v tomto manuálu. Informace týkající se internetového pˇ ripojení (IP adresa, výchozí brána, DNS server atd.) vám sdˇ elí váš poskytovatel Internetu. Poznámka: V následujícím textu je termínem firewall oznaˇ cován poˇ cítaˇ c, kde je Kerio Control nainstalován (resp. kam má být nainstalován). 1.
Firewall musí mít alespoˇ n jedno rozhraní pˇ ripojené do lokální sítˇ e (napˇ r. sít’ový adaptér Ethernet nebo WiFi). Pro pˇ ripojení k Internetu m˚ uže být použit druhý sít’ový adaptér, USB ADSL modem, PPPoE, vytᡠcená linka apod. V operaˇ cním systému Windows pˇ red zahájením instalace Kerio Control provˇ eˇ rte komunikaci s poˇ cítaˇ ci v lokální síti a funkˇ cnost internetového pˇ ripojení. Tímto testem si ušetˇ ríte mnoho problém˚ u pˇ ri pozdˇ ejším ladˇ ení konfigurace a hledání chyb.
2.
Spust’te instalaci Kerio Control a v pr˚ uvodci zadejte potˇ rebné základní parametry (podrobnosti viz kapitola 2.4, resp. 2.7).
3.
Pˇ rihlašte se k firewallu programem Kerio Administration Console (viz kapitola 3).
4.
Pomocí Pr˚ uvodce komunikaˇ cními pravidly (viz kapitola 7.1) nastavte skupiny rozhraní a základní komunikaˇ cní pravidla.
5.
Zapnˇ ete DHCP server a nastavte požadované rozsahy IP adres vˇ cetnˇ e parametr˚ u (maska subsítˇ e, výchozí brána, adresa DNS serveru, pˇ ríp. jméno domény). Podrobnosti viz kapitola 9.2. TIP: DHCP server m˚ uže být konfigurován automaticky na základˇ e parametr˚ u rozhraní pro lokální sít’. Automatickou konfiguraci DHCP serveru lze v souˇ casné verzi povolit pouze ve webovém rozhraní Kerio Control Administration (viz kapitola 3.1).
6.
Zkontrolujte nastavení modulu DNS. Chcete-li využívat soubor hosts a/nebo tabulky DHCP serveru, nezapomeˇ nte uvést lokální DNS doménu. Podrobnosti viz kapitola 9.1.
7.
Nastavte mapování uživatel˚ u z Active Directory domény, pˇ rípadnˇ e vytvoˇ rte nebo importujte lokální uživatelské úˇ cty a skupiny. Nastavte uživatel˚ um požadovaná pˇ rístupová práva. Podrobnosti viz kapitola 16. 8
8.
Povolte systém prevence útok˚ u (viz kapitola 8.1).
9.
Vyberte antivirový program a nastavte typy objekt˚ u, které mají být kontrolovány. Pˇ ri použití integrovaného antiviru Sophos zkontrolujte a pˇ rípadnˇ e upravte nastavení automatické aktualizace. Externí antivirový program musí být nainstalován dˇ ríve, než jej v Kerio Control zvolíte.
casové intervaly (kapitola 15.2) a skupiny URL 10. Definujte skupiny IP adres (kapitola 15.1), ˇ (kapitola 15.4), které použijete pˇ ri definici pravidel (viz kapitola 15.2). 11. Vytvoˇ rte pravidla pro URL (kapitola 13.2). Nastavte modul Kerio Web Filter (kapitola 13.3) a automatickou konfiguraci WWW prohlížeˇ cu ˚ (kapitola 9.5). 12. Definujte pravidla pro FTP (kapitola 13.5). 13. Nastavte parametry TCP/IP sít’ového adaptéru každé klientské stanice v lokální síti jedním z následujících zp˚ usob˚ u: • Automatická konfigurace — povolte automatickou konfiguraci protokolem DHCP (výchozí nastavení ve vˇ etšinˇ e operaˇ cních systém˚ u). Nenastavujte žádné další parametry. • Ruˇ cní konfigurace — zadejte IP adresu, masku subsítˇ e, adresu výchozí brány, adresu DNS serveru a jméno lokální domény. Na každé stanici nastavte WWW prohlížeˇ c jedním z tˇ echto zp˚ usob˚ u: • Automatická konfigurace — zaškrtnˇ ete volbu Automaticky zjišt’ovat nastavení (Internet Explorer) nebo zadejte URL pro automatickou konfiguraci (jiné typy prohlížeˇ cu ˚). Podrobnosti naleznete v kapitole 9.5. • Ruˇ cní konfigurace — zvolte pˇ ripojení lokální sítí, pˇ rípadnˇ e nastavte IP adresu a port proxy serveru (viz kapitola 9.4).
9
Kapitola 2
Úvod
2.1 Novinky ve verzi 7.0 V produktu Kerio Control 7.0 naleznete tyto inovace: Nový název produktu — Kerio Control Produkt Kerio WinRoute Firewall není již pouze sít’ový firewall. Díky novým funkcím postupnˇ e pˇ ridaným ve verzích ˇ rady 6.x a 7.0 se jedná o komplexní nástroj pro zabezpeˇ cení lokální sítˇ e, vzdálený pˇ rístup do sítˇ e, ˇ rízení pˇ rístupu uživatel˚ u do Internetu a sledování jejich aktivit. A právˇ e od ˇ rízení pˇ rístupu je odvozen nový název produktu — Kerio Control. Systém detekce a prevence útok˚ u (IDS/IPS) Kerio Control novˇ e integruje jeden z nejrozšíˇ renˇ ejších systém˚ u detekce a prevence sít’ových útok˚ u— Snort. Tento systém pˇ ridává k firewallu další úroveˇ n zabezpeˇ cení a produkt Kerio Control lze nyní považovat za UTM ˇ rešení (Unified Threat Management). Více v kapitole 8.1. Nový integrovaný antivirus — Sophos Kerio Control obsahuje zcela nový integrovaný antivirus — Sophos. Antivirový modul Sophos nabízí extrémní výkon a obsahuje mnoho inovativních technologií navržených pro eliminaci vir˚ u, škodlivého softwaru a dalších hrozeb. Antivirový modul funguje jako 30-denní zkušební verze od prvotní instalace produktu. Pˇ ri aktualizaci ze starší verze bude antivirový modul McAfee automaticky nahrazen modulem Sophos. Více v kapitole 14. Filtrování MAC adres Tento nový modul firewallu umožˇ nuje filtrovat sít’ovou komunikaci na základˇ e fyzických adres (tzv. MAC adres) sít’ových zaˇ rízení. Filtrováním fyzických adres lze napˇ r. zabránit uživatel˚ um svévolnˇ e pˇ ripojovat vlastní zaˇ rízení do sítˇ e nebo obejít pravidla firewallu zmˇ enou IP adresy svého poˇ cítaˇ ce. Více v kapitole 8.2. Zmˇ ena licenˇ cní politiky Licenˇ cní politika produktu Kerio Control byla zmˇ enˇ ena tak, aby bylo možné pˇ ri nákupu licence jednoduše stanovit potˇ rebný poˇ cet uživatel˚ u. Více v kapitole 4.
10
2.2 Konfliktní software
Upozornˇ ení: Ve verzi 7.0.0 došlo oproti verzím ˇ rady 6.x ke zmˇ enám v nˇ ekterých konfiguraˇ cních parametrech. Aktualizace je stále automatická a bezproblémová, je však potˇ reba mít na pamˇ eti tyto drobné zmˇ eny. Bližší informace: • Edice pro systém Windows — viz kapitola 2.6, • Edice Software Appliance / VMware Virtual Appliance — viz kapitola 2.8. Po aktualizaci doporuˇ cujeme peˇ clivˇ e zkontrolovat pˇ rípadná hlášení v záznamu Warning (viz kapitola 22.13).
2.2 Konfliktní software Kerio Control m˚ uže být provozován spoleˇ cnˇ e s vˇ etšinou bˇ ežných aplikací. Existují však urˇ cité aplikace, které mohou vykazovat kolize, a nemˇ ely by proto být na tomtéž poˇ cítaˇ ci provozovány. Poˇ cítaˇ c, na nˇ emž je Kerio Control nainstalován, m˚ uže být rovnˇ ež využíván jako pracovní stanice. To ale není pˇ ríliš doporuˇ cováno — ˇ cinnost uživatele m˚ uže mít negativní vliv na chod operaˇ cního systému a tím i Kerio Control. Kolize nízkoúrovˇ nových ovladaˇ cu ˚ Kerio Control vykazuje kolize se systémovými službami a aplikacemi, jejichž nízkoúrovˇ nové ovladaˇ ce používají stejnou nebo podobnou technologii. Jedná se zejména o tyto typy služeb a aplikací: • Systémová služba Windows Firewall / Sdílení pˇ ripojení k Internetu. Tuto službu dokáže Kerio Control detekovat a automaticky vypnout. • Systémová služba Smˇ erování a vzdálený pˇ rístup (RRAS) v operaˇ cních systémech typu Windows Server. Tato služba rovnˇ ež umožˇ nuje sdílení internetového pˇ ripojení (NAT). Kerio Control dokáže detekovat, zda je NAT ve službˇ e RRAS aktivní, a pokud ano, zobrazí varování. Správce serveru pak musí NAT v konfiguraci služby RRAS vypnout. Pokud není aktivní NAT, nedochází ke kolizím a Kerio Control m˚ uže být používán spoleˇ cnˇ e se službou RRAS. • Sít’ové firewally — napˇ r. Microsoft ISA Server. • Osobní firewally — napˇ r. Sunbelt Personal Firewall, Zone Alarm, Norton Personal Firewall apod. • Software pro vytvᡠrení virtuálních privátních sítí (VPN) — napˇ r. firem CheckPoint, Cisco Systems, Nortel apod. Tˇ echto aplikací existuje celá ˇ rada a vyznaˇ cují se velmi specifickými vlastnostmi, které se liší u jednotlivých výrobc˚ u. Pokud to okolnosti dovolují, doporuˇ cujeme využít VPN ˇ rešení obsažené v Kerio Control (podrobnosti viz kapitola 23). V opaˇ cném pˇ rípadˇ e doporuˇ cujeme otestovat konkrétní VPN server ˇ ci VPN klienta se zkušební verzí Kerio Cont11
Úvod
rol a pˇ rípadnˇ e kontaktovat technickou podporu firmy Kerio Technologies (viz kapitola 26). Poznámka: Implementace VPN obsažená v operaˇ cním systému Windows (založená na protokolu PPTP) je v Kerio Control podporována. Kolize port˚ u Na poˇ cítaˇ ci, kde je Kerio Control nainstalován, nemohou být provozovány aplikace, které využívají tytéž porty (nebo je tˇ reba konfiguraci port˚ u zmˇ enit). Pokud jsou zapnuty všechny služby, které Kerio Control nabízí, pak Kerio Control využívá tyto porty: 53/UDP — modul DNS, 67/UDP — DHCP server, 1900/UDP — služba SSDP Discovery, 2869/TCP — služba UPnP Host. Služby SSDP Discovery a UPnP Host jsou souˇ cásti podpory protokolu UPnP (viz kapitola 18.2). • 4080/TCP — nezabezpeˇ cené WWW rozhraní firewallu, pouze na lokální zpˇ etnovazební adrese — localhost, typicky 127.0.0.1 (viz kapitola 12). Tuto službu nelze vypnout. • 4081/TCP — zabezpeˇ cená (SSL) verze WWW rozhraní firewallu (viz kapitola 12). Tuto službu nelze vypnout. • 44333/TCP+UDP — komunikace mezi programem Kerio Administration Console a Kerio Control Engine. Tuto službu nelze vypnout. Následující služby používají uvedené porty ve výchozí konfiguraci. Porty tˇ echto služeb lze zmˇ enit. • • • •
• 443/TCP — server rozhraní SSL-VPN (pouze v Kerio Control na systému Windows — viz kapitola 24), • 3128/TCP — HTTP proxy server (viz kapitola 9.4), • 4090/TCP+UDP — proprietární VPN server (podrobnosti viz kapitola 23). Antivirové programy ˇ ada moderních desktopových antivir˚ R u (tj. antivir˚ u urˇ cených pro ochranu pracovních stanic) provádí také antivirovou kontrolu sít’ové komunikace — typicky HTTP, FTP a e-mailových protokol˚ u. Kerio Control rovnˇ ež poskytuje tuto funkci, a proto zde dochází ke kolizím. Z tohoto d˚ uvodu doporuˇ cujeme na poˇ cítaˇ c s Kerio Control instalovat vždy serverovou verzi zvoleného antivirového programu. Serverovou verzi antiviru lze zároveˇ n využít pro kontrolu sít’ové komunikace v Kerio Control, pˇ rípadnˇ e jako doplˇ nkovou kontrolu k integrovanému antivirovému modulu Sophos (podrobnosti viz kapitola 14). Má-li antivirový program tzv. rezidentní štít (automatická kontrola všech ˇ ctených a zapisovaných soubor˚ u), pak je tˇ reba z kontroly vylouˇ cit podadresᡠre cache (HTTP cache Kerio Control — viz kapitola 9.5) a tmp (používá se pro antivirovou kontrolu). Pokud Kerio Control využívá antivirový program pro kontrolu objekt˚ u stahovaných protokoly HTTP a FTP (viz kapitola 14.3), pak vylouˇ cení adresᡠre cache z kontroly soubor˚ u na disku nepˇ redstavuje žádnou hrozbu — soubory uložené v tomto adresᡠri jsou již antivirovým 12
2.3 Systémové požadavky
programem zkontrolovány. Integrovaný antivirový modul Sophos nevykazuje žádnou interakci s antivirovým programem nainstalovaným na poˇ cítaˇ ci s Kerio Control (za pˇ redpokladu, že jsou splnˇ eny výše uvedené podmínky).
2.3 Systémové požadavky Minimální hardwarová konfigurace poˇ cítaˇ ce, na který má být Kerio Control nainstalován: • CPU 1 GHz, • 1 GB operaˇ cní pamˇ eti RAM, • Alespoˇ n jedno sít’ové rozhraní. Pro operaˇ cní systém Windows: • 100 MB diskového prostoru pro instalaci produktu Kerio Control. • Diskový prostor pro statistiky (viz kapitola 21), HTTP cache (viz kapitola 9.5) a záznamy (dle intenzity provozu a zvolené úrovnˇ e logování — viz kapitola 22). Všechna tato data se z bezpeˇ cnostních d˚ uvod˚ u ukládají do podadresᡠru ˚ instalaˇ cního adresᡠre aplikace. Není možné použít jiný diskový oddíl nebo jiný disk. • Z d˚ uvodu bezpeˇ cnosti nainstalovaného produktu (zejména jeho konfiguraˇ cních soubor˚ u) doporuˇ cujeme použít souborový systém NTFS. Pro Kerio Control Software Appliance: • Pevný disk o kapacitˇ e minimálnˇ e 3 GB. • Na poˇ cítaˇ ci nemusí být nainstalován žádný operaˇ cní systém. Existující OS bude pˇ ri instalaci vymazán. Pro Kerio Control VMware Virtual Appliance: • VMware Player, VMware Workstation nebo VMware Server. • 3 GB diskového prostoru. Pro pˇ rístup k webovým službám Kerio Control (Kerio Control Administration — viz kapitola 3, Kerio StaR — viz kapitola 21 a Kerio SSL-VPN — viz kapitola 24) je možné použít tyto WWW prohlížeˇ ce: • Internet Explorer 7 a vyšší, • Firefox 3 a vyšší, • Safari 3 a vyšší.
13
Úvod
2.4 Instalace - Windows Instalaˇ cní balíky Kerio Control je distribuován ve dvou edicích: pro 32-bitové platformy a pro 64-bitové platformy (viz stránka pro stažení produktu: http://www.kerio.cz/cz/firewall/download). 32-bitovou edici (instalaˇ cní balík oznaˇ cený „win32“) lze nainstalovat na tyto operaˇ cní systémy: • • • • • •
Windows 2000, Windows XP (32 bit), Windows Server 2003 (32 bit), Windows Vista (32 bit), Windows Server 2008 (32 bit), Windows 7 (32 bit).
64-bitovou edici (instalaˇ cní balík oznaˇ cený „win64“) lze nainstalovat na tyto operaˇ cní systémy: • • • • •
Windows Windows Windows Windows Windows
XP (64 bit), Server 2003 (64 bit), Vista (64 bit), Server 2008 (64 bit), 7 (64 bit).
Starší verze operaˇ cních systém˚ u Windows nejsou podporovány. Poznámka: 1. Instalaˇ cní balíky Kerio Control již obsahují administraˇ cní program Kerio Administration Console. Samostatný instalaˇ cní balík Kerio Administration Console (soubor kerio-control-admin*.exe) je urˇ cen pro instalaci na jiný poˇ cítaˇ c za úˇ celem plné vzdálené správy. Tento balík je spoleˇ cný pro 32-bitové i 64-bitové verze systému Windows. Podrobnosti o správˇ e Kerio Control viz kapitola 3. 2. Pro správnou funkci rozhraní Kerio StaR (viz kapitola 21) musí operaˇ cní systém poˇ cítaˇ ce s Kerio Control podporovat všechny jazyky, které budou v rozhraní Kerio StaR používány. Pro nˇ ekteré jazyky (napˇ r. japonština a ˇ cínština) m˚ uže být vyžadována instalace podp˚ urných soubor˚ u. Bližší informace naleznete v dokumentaci k pˇ ríslušnému operaˇ cnímu systému.
Kroky pˇ red spuštˇ ením instalace Kerio Control by mˇ el být nainstalován na poˇ cítaˇ c, který tvoˇ rí bránu mezi lokální sítí a Internetem. Tento poˇ cítaˇ c musí obsahovat alespoˇ n jedno rozhraní pˇ ripojené k lokální síti (Ethernet, WiFi apod.) a rozhraní pˇ ripojené k Internetu. Internetovým rozhraním m˚ uže být bud’ sít’ový adaptér (Ethernet, WiFi atd.) nebo modem (analogový, ISDN apod.).
14
2.4 Instalace - Windows
Pˇ red zahájením instalace Kerio Control doporuˇ cujeme provˇ eˇ rit následující: • Správné nastavení systémového ˇ casu (nutné pro kontrolu aktualizací operaˇ cního systému, antivirového programu atd.), • Instalaci všech nejnovˇ ejších (zejména bezpeˇ cnostních) aktualizací operaˇ cního systému, • Nastavení parametr˚ u TCP/IP na všech aktivních sít’ových adaptérech, • Funkˇ cnost všech sít’ových pˇ ripojení — jak k lokální síti, tak k Internetu (vhodným nástrojem je napˇ r. pˇ ríkaz ping, který zjišt’uje dobu odezvy poˇ cítaˇ ce zadaného jménem nebo IP adresou). Provedení tˇ echto krok˚ u vám ušetˇ rí mnoho komplikací pˇ ri pozdˇ ejším odstraˇ nování pˇ rípadných problém˚ u. Poznámka: Všechny podporované operaˇ cní systémy obsahují ve standardní instalaci všechny komponenty, které Kerio Control pro svoji ˇ cinnost vyžaduje.
Postup instalace a poˇ cáteˇ cní konfigurace Po spuštˇ ení instalaˇ cního programu (napˇ r. kerio-control-7.0.0-1000-win32.exe) lze vybrat jazyk instalaˇ cního programu. Výbˇ er jazyka ovlivˇ nuje pouze samotnou instalaci, jazyk uživatelského rozhraní lze pak nastavit nezávisle pro jednotlivé komponenty Kerio Control. V instalaˇ cním programu je možné zvolit typ instalace — Úplnou nebo Vlastní . Vlastní instalace umožˇ nuje výbˇ er volitelných komponent programu:
Obrázek 2.1
Instalace — výbˇ er volitelných komponent
15
Úvod
• Kerio Control Engine — vlastní výkonné jádro aplikace. • Podpora VPN — proprietární VPN ˇ rešení firmy Kerio Technologies (Kerio VPN ). • Administration Console — program Kerio Administration Console (univerzální konzole pro správu serverových aplikací firmy Kerio Technologies) s modulem pro správu Kerio Control. • Soubory nápovˇ edy — soubory nápovˇ edy (tato pˇ ríruˇ cka ve formátu HTML Help). Podrobnosti o souborech nápovˇ edy viz samostatný manuál Kerio Administration Console — Nápovˇ eda (k dispozici na WWW stránce http://www.kerio.cz/cz/firewall/manual). Podrobný popis komponent Kerio Control naleznete v kapitole 2.9. Proprietární VPN ˇ rešení je detailnˇ e popsáno v kapitole 23. Po výbˇ eru volitelných komponent následuje vlastní instalace (tj. zkopírování soubor˚ u na pevný disk a nezbytná systémová nastavení). Poté je automaticky spuštˇ en pr˚ uvodce nastavením základních parametr˚ u Kerio Control (viz kapitola 2.5). Za normálních okolností není tˇ reba po instalaci poˇ cítaˇ c restartovat (restart m˚ uže být vyžadován, pokud instalaˇ cní program pˇ repisuje sdílené soubory, které jsou právˇ e používány). Po dokonˇ cení instalace se automaticky spustí Kerio Control Engine, tj. vlastní výkonné jádro programu (bˇ eží jako systémová služba) a také Kerio Control Engine Monitor. Poznámka: 1. Je-li zvolen typ instalace Vlastní , pak se instalaˇ cní program chová takto: • všechny oznaˇ cené komponenty se nainstalují nebo aktualizují, • všechny neoznaˇ cené komponenty se nenainstalují nebo odstraní. Pˇ ri instalaci nové verze Kerio Control pˇ res stávající (upgrade) je tedy tˇ reba oznaˇ cit všechny komponenty, které mají z˚ ustat zachovány. 2. Instalaˇ cní program neumožˇ nuje nainstalovat samostatnou komponentu Administration Console. Pro instalaci Administration Console za úˇ celem plné vzdálené správy je urˇ cen samostatný instalaˇ cní balík (soubor kerio-control-admin*.exe).
Ochrana nainstalovaného produktu Pro zajištˇ ení plné bezpeˇ cnosti firewallu je d˚ uležité, aby neoprávnˇ ené osoby nemˇ ely žádný pˇ rístup k soubor˚ um aplikace (zejména ke konfiguraˇ cním soubor˚ um). Je-li použit souborový systém NTFS, pak Kerio Control pˇ ri každém svém startu obnovuje nastavení pˇ rístupových práv k adresᡠri, ve kterém je nainstalován (vˇ cetnˇ e všech podadresᡠru ˚): pouze ˇ clen˚ um skupiny Administrators a lokálnímu systémovému úˇ ctu (SYSTEM ) je povolen pˇ rístup pro ˇ ctení i zápis, ostatní uživatelé nemají žádný pˇ rístup.
16
2.4 Instalace - Windows
Upozornˇ ení: Pˇ ri použití souborového systému FAT32 nelze soubory Kerio Control výše popsaným zp˚ usobem zabezpeˇ cit. Z tohoto d˚ uvodu doporuˇ cujeme instalovat Kerio Control výhradnˇ e na disk se souborovým systémem NTFS.
Kolizní programy a systémové služby Instalaˇ cní program Kerio Control detekuje programy a systémové služby, které by mohly zp˚ usobovat kolize se službou Kerio Control Engine. 1.
ripojení k Internetu Systémové komponenty Windows Firewall 1 a Sdílení pˇ Tyto komponenty zajišt’ují podobné nízkoúrovˇ nové funkce jako Kerio Control. Pokud by byly spuštˇ eny spoleˇ cnˇ e s Kerio Control, nefungovala by sít’ová komunikace správnˇ e a Kerio Control by mohl být nestabilní. Obˇ e tyto komponenty jsou realizovány systémovou službou Windows Firewall / Sdílení pˇ ripojení k Internetu (Windows Firewall / Internet Con2 nection Sharing) . Upozornˇ ení: Pro správnou funkci Kerio Control musí být služba Windows Firewall / Sdílení pˇ ripojení k Internetu zastavena a zakázána!
2.
Hostitel zaˇ rízení UPnP (Universal Plug and Play Device Host) a Služba rozpoznávání pomocí protokolu SSDP (SSDP Discovery Service) Uvedené služby tvoˇ rí podporu protokolu UPnP (Universal Plug and Play) v operaˇ cních systémech Windows. Tyto služby však vykazují kolize s podporou protokolu UPnP v Kerio Control (viz kapitola 18.2).
Instalaˇ cní program Kerio Control pˇ ri instalaci zobrazí dialog, ve kterém m˚ uže uživatel zakázat konfliktní systémové služby. Ve výchozím nastavení instalaˇ cní program Kerio Control zakáže všechny výše uvedené kolizní služby. Za normálních okolností není tˇ reba toto nastavení mˇ enit. Obecnˇ e existují následující možnosti: • Služba Windows Firewall / Internet Connection Sharing (ICS) by mˇ ela být vždy zakázána. Pokud bude tato služba spuštˇ ena, nebude Kerio Control fungovat správnˇ e.
1
2
V operaˇ cním systému Windows XP Service Pack 1 a starších verzích má integrovaný firewall název Brána Firewall pˇ ripojení k Internetu (Internet Connection Firewall). V uvedených starších verzích operaˇ cního systému Windows má služba název Souˇ cást ICF (Brána Firewall pˇ ripojení k Internetu) / souˇ cást ICS (Sdílení pˇ ripojení k Internetu); v angliˇ ctinˇ e Internet Connection Firewall / Internet Connection Sharing.
17
Úvod
Obrázek 2.2
Zakázání konfliktních systémových služeb pˇ ri instalaci
Uvedenou volbu pˇ ri instalaci lze chápat spíše jako varování, že tato služba je spuštˇ ena a musí být zastavena a zakázána. • Pokud chceme využít podporu protokolu UPnP v Kerio Control (viz kapitola 18.2), pak je nutné zakázat také služby Hostitel zaˇ rízení UPnP (UPnP Device Host) a Služba rozpoznávání pomocí protokolu SSDP (SSDP Discovery). • Nechceme-li využívat podporu UPnP v Kerio Control, není nutné uvedené služby zakazovat. Poznámka: 1. Kerio Control pˇ ri každém svém startu automaticky detekuje, zda je spuštˇ ena systémová služba Windows Firewall / Sdílení pˇ ripojení k Internetu (Windows Firewall / Internet Connection Sharing), a pokud ano, automaticky ji zastaví a zapíše informaci do záznamu Warning. Tím je ošetˇ ren pˇ rípad, že dojde k povolení/spuštˇ ení této služby v dobˇ e, kdy je již Kerio Control nainstalován. 2. V operaˇ cních systémech Windows XP Service Pack 2, Windows Server 2003, Windows Vista, Windows Server 2008 a Windows 7 se Kerio Control také automaticky registruje v Centru zabezpeˇ cení (Security Center). To znamená, že Centrum zabezpeˇ cení bude vždy správnˇ e indikovat stav firewallu a nebude zobrazováno varování, že systém není chránˇ en.
2.5 Pr˚ uvodce poˇ cáteˇ cní konfigurací (Windows) Instalaˇ cní program pro systém Windows automaticky spouští pr˚ uvodce, který vám pom˚ uže nastavit základní parametry Kerio Control.
Nastavení administrátorského jména a hesla Velmi d˚ uležitým krokem pro zajištˇ ení bezpeˇ cnosti vašeho firewallu je nastavení administrátorského jména a hesla. Ponecháte-li prázdné heslo, pak se vystavujete riziku, že se ke konfiguraci Kerio Control pˇ rihlásí nepovolaná osoba.
Obrázek 2.3
Poˇ cáteˇ cní konfigurace — nastavení uživatelského jména a hesla pro administraci
V dialogu pro nastavení úˇ ctu je tˇ reba zadat heslo a zopakovat jej pro kontrolu. V položce Uživatelské jméno m˚ užete zmˇ enit jméno administrátora (standardnˇ e Admin). Poznámka: Pokud je instalace spuštˇ ena jako upgrade, pak je tento krok pˇ reskoˇ cen — administrátorský úˇ cet již existuje.
Vzdálený pˇ rístup Bezprostˇ rednˇ e po prvním spuštˇ ení Kerio Control Engine dojde k blokování veškeré sít’ové komunikace (požadovaná komunikace pak musí být povolena vytvoˇ rením pravidel — viz kapitola 7). Je-li Kerio Control instalován vzdálenˇ e (napˇ r. pomocí terminálového pˇ rístupu), pak se v tomto okamžiku pˇ reruší také komunikace se vzdáleným klientem (a konfigurace Kerio Control musí být provedena lokálnˇ e). Pro umožnˇ ení vzdálené instalace a správy lze ve druhém kroku pr˚ uvodce poˇ cáteˇ cní konfigurací zadat IP adresu poˇ cítaˇ ce, odkud bude po spuštˇ ení Kerio Control Engine možné 19
Úvod
pracovat s firewallem vzdálenˇ e. Kerio Control povolí veškerou komunikaci mezi firewallem a vzdáleným poˇ cítaˇ cem. Poznámka: Pokud Kerio Control instalujete lokálnˇ e, pak tento krok pˇ reskoˇ cte. Povolení plného pˇ rístupu ze vzdáleného poˇ cítaˇ ce m˚ uže pˇ redstavovat bezpeˇ cnostní hrozbu.
Obrázek 2.4
Poˇ cáteˇ cní konfigurace — povolení vzdálené správy
Povolit vzdálený pˇ rístup Tato volba povoluje plný pˇ rístup k poˇ cítaˇ ci s Kerio Control z jedné vybrané IP adresy. Vzdálená IP adresa IP adresa poˇ cítaˇ ce, odkud se vzdálenˇ e pˇ ripojujete (napˇ r. terminálovým klientem). Do této položky lze uvést pouze jeden poˇ cítaˇ c, který musí být zadán IP adresou (nikoliv DNS jménem). Upozornˇ ení: Po nastavení Kerio Control pr˚ uvodcem komunikaˇ cními pravidly (viz kapitola 7.1) se pravidlo pro povolení vzdáleného pˇ rístupu zruší.
2.6 Upgrade a deinstalace - Windows Upgrade Chceme-li provést upgrade (tj. instalovat novˇ ejší verzi získanou napˇ r. z WWW stránek výrobce), staˇ cí jednoduše spustit instalaci nové verze. Pˇ red instalací je tˇ reba zavˇ rít všechna okna programu Kerio Administration Console. Komponenty Kerio Control Engine a Kerio Control Engine Monitor dokáže instalaˇ cní program ukonˇ cit sám. 20
2.6 Upgrade a deinstalace - Windows
Pˇ ri instalaci bude rozpoznán adresᡠr, kde je stávající verze nainstalována, a nahrazeny pˇ ríslušné soubory novými. Pˇ ritom z˚ ustane zachována licence, veškerá nastavení i soubory záznam˚ u. Poznámka: Tento postup je platný pro upgrade mezi verzemi stejné ˇ rady (napˇ r. z verze 7.0.0 na verzi 7.0.1) nebo z verze pˇ redchozí ˇ rady na verzi následující ˇ rady (napˇ r. z verze Kerio WinRoute Firewall 6.7.1 na verzi Kerio Control 7.0.0). Pˇ ri upgrade z verze starší ˇ rady (napˇ r. 6.6.1) není zaruˇ cena plná pˇ renositelnost konfigurace a doporuˇ cuje se provést upgrade „skokovˇ e“ (napˇ r. 6.6.1 → 6.7.1 → 7.0.0), pˇ rípadnˇ e starou verzi nejprve odinstalovat s odstranˇ ením všech soubor˚ u a poté provést „ˇ cistou“ instalaci nové verze.
21
Úvod
Upozornˇ ení: Ve verzi 7.0.0 došlo oproti verzím ˇ rady 6.x ke zmˇ enám v nˇ ekterých konfiguraˇ cních parametrech. Aktualizace na novou verzi je stále plnˇ e automatická, je však potˇ reba mít na pamˇ eti níže popsané zmˇ eny, které jsou platné ihned po instalaci nové verze. Jedná se o tyto parametry: • Cesta k adresᡠri pro HTTP cache — nyní se vždy používá podadresᡠr cache instalaˇ cního adresᡠre firewallu, typicky C:\Program Files\Kerio\WinRoute Firewall\cache. Pokud byla HTTP cache umístˇ ena v jiném adresᡠri, je možné ji pˇ resunout (se zastavenou službou Kerio Control Engine). To však nemá pˇ ríliš velký význam — aktualizace produktu de facto zp˚ usobí jednorázové vyprázdnˇ ení cache, což m˚ uže v mnoha pˇ rípadech i zvýšit její efektivitu. Podrobnosti o HTTP cache viz kapitola 9.5. • Pomocné skripty pro ovládání vytᡠcených linek — tyto skripty musejí být vždy uloženy v podadresᡠri scripts instalaˇ cního adresᡠre firewallu, typicky C:\Program Files\Kerio\WinRoute Firewall\scripts a musejí mít pevnˇ e daná jména. Pokud byly v pˇ redchozí verzi produktu tyto skripty použity, je potˇ reba je pˇ resunout do uvedeného adresᡠre pod správnými názvy. Podrobnosti o konfiguraci vytᡠcených linek viz kapitola 6.2. • Jména soubor˚ u záznam˚ u — každý záznam má nyní pevnˇ e nastavené jméno souboru (alert.log, config.log, debug.log atd.). Cesta pro uložení soubor˚ u záznam˚ u z˚ ustává beze zmˇ eny — záznamy se ukládají do podadresᡠre logs instalaˇ cního adresᡠre firewallu, typicky C:\Program Files\Kerio\WinRoute Firewall\logs Pokud byla použita jiná jména soubor˚ u záznam˚ u, p˚ uvodní soubory z˚ ustanou zachovány, ale nové záznamy již budou zapisovány do soubor˚ u s uvedenými jmény. • Typ záznamu (Facility) a d˚ uležitost (Severity) pro externí záznam na server Syslog — jednotlivé záznamy produktu Kerio Control mají nyní pevnˇ e nastavený typ a d˚ uležitost. Toto je potˇ reba mít na pamˇ eti pˇ ri prohlížení záznam˚ u firewallu na serveru Syslog. Podrobnosti o nastavení záznam˚ u viz kapitola 22.1. Po aktualizaci doporuˇ cujeme peˇ clivˇ e zkontrolovat pˇ rípadná hlášení v záznamu Warning (viz kapitola 22.13).
22
2.6 Upgrade a deinstalace - Windows
Automatická kontrola nových verzí Kerio Control umožˇ nuje automaticky zjišt’ovat, zda se na serveru firmy Kerio Technologies nachází novˇ ejší verze, než je aktuálnˇ e nainstalována. Je-li nalezena nová verze, nabídne Kerio Control její stažení a instalaci. Podrobné informace naleznete v kapitole 17.3.
Deinstalace Pro deinstalaci je vhodné ukonˇ cit všechny komponenty Kerio Control. Program lze deinstalovat pr˚ uvodcem Pˇ ridat nebo odebrat programy v Ovládacích panelech. Pˇ ri deinstalaci mohou být volitelnˇ e smazány také všechny soubory v instalaˇ cním adresᡠri Kerio Control (typicky C:\Program Files\Kerio\WinRoute Firewall) — konfiguraˇ cní soubory, SSL certifikáty, licenˇ cní klíˇ c, záznamy apod.
Obrázek 2.5
Deinstalace — dotaz na smazání soubor˚ u vytvoˇ rených za bˇ ehu Kerio Control
Ponechání tˇ echto soubor˚ u m˚ uže mít význam napˇ r. pro pˇ renos konfigurace na jiný poˇ cítaˇ c nebo v pˇ rípadˇ e, kdy si nejsme jisti, zda máme zálohované SSL certifikáty vystavené d˚ uvˇ eryhodnou certifikaˇ cní autoritou. Pˇ ri deinstalaci instalaˇ cní program Kerio Control automaticky obnoví p˚ uvodní stav systémových služeb Windows Firewall / Sdílení pˇ ripojení k Internetu (Windows Firewall / Internet Connection 1 rízení UPnP (Universal Plug and Play Device Host) a Služba rozpoznávání Sharing) , Hostitel zaˇ pomocí protokolu SSDP (SSDP Discovery Service).
23
Úvod
2.7 Instalace - Software Appliance a VMware Virtual Appliance Kerio Control v edici softwarového zaˇ rízení je distribuován: • ve formˇ e ISO obrazu instalaˇ cního CD, ze kterého lze zavést systém a nainstalovat firewall na fyzický nebo virtuální poˇ cítaˇ c (Software Appliance), • ve formˇ e virtuálního zaˇ rízení pro VMware (VMware Virtual Appliance). Samostatný instalaˇ cní balík Kerio Control pro instalaci na stávající systém Linux není k dispozici. Instalace Software Appliance / VMware Virtual Appliance probíhá v nˇ ekolika jednoduchých krocích: Spuštˇ ení instalace Software Appliance ISO obraz instalaˇ cního CD m˚ užeme vypálit na fyzické CD a z tohoto CD spustit instalaci systému na zvoleném cílovém poˇ cítaˇ ci (fyzickém nebo virtuálním). V pˇ rípadˇ e virtuálního poˇ cítaˇ ce lze ISO obraz také pˇ rímo pˇ ripojit jako virtuální CD mechaniku, bez nutnosti vypalování CD. Poznámka: Kerio Control Software Appliance není možné nainstalovat na poˇ cítaˇ c souˇ casnˇ e s jiným operaˇ cním systémem. Existující operaˇ cní systém na cílovém disku bude pˇ ri instalaci vymazán. VMware Virtual Appliance Podle typu produktu VMware (viz výše) použijeme odpovídající instalaˇ cní balík: • V pˇ rípadˇ e produkt˚ u VMware Server, Workstation a Fusion stáhneme distribuˇ cní balík ve formátu VMX (*.zip), rozbalíme jej a otevˇ reme v pˇ ríslušném produktu VMware. • Do VMware ESX/ESXi m˚ užeme pˇ rímo importovat virtuální zaˇ rízení ze zadané URL adresy OVF souboru — napˇ r.: http://download.kerio.com/cz/dwn/control/ kerio-control-appliance-7.0.0-1234-linux.ovf VMware ESX/ESXi si automaticky stáhne daný konfiguraˇ cní OVF soubor a odpovídající obraz disku (soubor s pˇ ríponou .vmdk). V pˇ rípadˇ e importu virtuálního zaˇ rízení ve formátu OVF je potˇ reba mít na pamˇ eti následující specifické vlastnosti: • V importovaném virtuálním zaˇ rízení je vypnuta synchronizace ˇ casu mezi hostitelským poˇ cítaˇ cem a virtuálním zaˇ rízením. Produkt Kerio Control však disponuje vlastním mechanismem pro synchronizaci ˇ casu s ˇ casovými servery v Internetu, a proto není nutné synchronizaci s hostitelským poˇ cítaˇ cem explicitnˇ e povolovat. • Akce pro vypnutí, resp. restart virtuálního poˇ cítaˇ ce budou po importu nastaveny na výchozí hodnoty, což m˚ uže být „tvrdé“ vypnutí a „tvrdý“ reset. To však m˚ uže 24
2.7 Instalace - Software Appliance a VMware Virtual Appliance
zp˚ usobit ztrátu dat ve virtuálním zaˇ rízení. Kerio Control VMware Virtual Appliance podporuje tzv. Soft Power Operations, které umožˇ nují regulérnˇ e vypnout nebo restartovat hostovaný operaˇ cní systém. Proto je doporuˇ ceno jako akce pro vypnutí a restart nastavit vypnutí, resp. restart hostovaného operaˇ cního systému. Následující kroky jsou již shodné pro Software Appliance i Virtual Appliance.
Volba jazyka Zvolený jazyk bude použit nejen pro instalaci Kerio Control, ale také pro konzoli firewallu (viz kapitola 2.11).
Výbˇ er cílového pevného disku Pokud instalaˇ cní program detekuje v poˇ cítaˇ ci více pevných disk˚ u, pak je potˇ reba zvolit disk, na který má být Kerio Control nainstalován. Obsah vybraného disku bude pˇ red vlastní instalací Kerio Control kompletnˇ e vymazán, zatímco ostatní disky instalace nijak neovlivní. Je-li v poˇ cítaˇ ci detekován pouze jeden pevný disk, instalaˇ cní program pˇ rejde ihned k následujícímu kroku. Není-li nalezen žádný pevný disk, pak bude instalace ukonˇ cena. Pˇ ríˇ cinou této chyby bývá nejˇ castˇ eji nepodporovaný typ pevného disku nebo závada hardware.
Výbˇ er sít’ového rozhraní pro lokální sít’ a pˇ rístup ke správˇ e Instalaˇ cní program zobrazí všechna detekovaná sít’ová rozhraní firewallu. Z nich je nutné vybrat rozhraní, které je pˇ ripojeno do lokální (d˚ uvˇ eryhodné) sítˇ e, ze které budeme firewall vzdálenˇ e spravovat. V praxi se m˚ uže ˇ casto stát, že má poˇ cítaˇ c více rozhraní stejného typu, a tudíž nelze jednoduše rozpoznat, které rozhraní je pˇ ripojené do lokální sítˇ e a které do Internetu. Urˇ citým vodítkem mohou být hardwarové adresy adaptér˚ u, pˇ rípadnˇ e lze postupovat experimentálnˇ e — vybereme nˇ ekteré rozhraní, dokonˇ címe instalaci a zkusíme se pˇ ripojit ke správˇ e. Pokud se pˇ ripojení nepodaˇ rí, zmˇ eníme nastavení jednotlivých rozhraní volbou Konfigurace sítˇ e v hlavní nabídce konzole firewallu (viz kapitola 2.11). Dále m˚ uže nastat situace, že instalaˇ cní program nerozpozná nˇ ekteré nebo všechny sít’ové adaptéry. V takovém pˇ rípadˇ e je doporuˇ ceno vymˇ enit fyzický adaptér za jiný typ, pˇ rípadnˇ e zmˇ enit typ virtuálního adaptéru (pokud to daný virtuální poˇ cítaˇ c umožˇ nuje) nebo nainstalovat Kerio Control Software Appliance do jiného typu virtuálního poˇ cítaˇ ce. Tento problém doporuˇ cujeme konzultovat s technickou podporou spoleˇ cnosti Kerio Technologies (viz kapitola 26). Pokud není detekován žádný sít’ový adaptér, pak není možné v instalaci Kerio Control pokraˇ covat.
25
Úvod
Nastavení IP adresy lokálního rozhraní Vybranému lokálnímu rozhraní je potˇ reba nastavit IP adresu a masku subsítˇ e. Tyto parametry mohou být pˇ ridˇ eleny automaticky DHCP serverem, anebo zadány ruˇ cnˇ e. Doporuˇ cujeme nastavit parametry lokálního rozhraní ruˇ cnˇ e, a to z následujících d˚ uvod˚ u: • Automaticky pˇ ridˇ elovaná IP adresa se m˚ uže mˇ enit, což by zp˚ usobovalo problémy s pˇ ripojením ke správˇ e firewallu (IP adresu sice lze na DHCP serveru rezervovat, to však m˚ uže pˇ rinášet další komplikace). • Kerio Control bude pravdˇ epodobnˇ e ve vˇ etšinˇ e pˇ rípad˚ u sám sloužit jako DHCP server pro poˇ cítaˇ ce (pracovní stanice) v lokální síti.
Heslo uživatele Admin Pˇ ri instalaci je nutné zadat heslo uživatele Admin — hlavního správce firewallu. Jméno Admin s tímto heslem pak slouží pro pˇ rístup: • Do konzole firewallu (viz kapitola 2.11), • Ke vzdálené správˇ e firewallu prostˇ rednictvím webového administraˇ cního rozhraní (viz kapitola 3), • Ke vzdálené správˇ e firewallu pomocí aplikace Kerio Administration Console (viz kapitola 3). Zvolené heslo si dobˇ re zapamatujte nebo uložte na bezpeˇ cném místˇ e a uchovejte jej v tajnosti!
Nastavení ˇ casové zóny, data a ˇ casu Pro celou ˇ radu funkcí Kerio Control (ovˇ eˇ rování uživatel˚ u, záznamy, statistiky atd.) je nezbytné správné nastavení data, ˇ casu a ˇ casové zóny na firewallu. Zvolte vaši ˇ casovou zónu a v následujícím kroku zkontrolujte, pˇ rípadnˇ e upravte nastavení data a ˇ casu.
Dokonˇ cení instalace Po nastavení všech uvedených parametr˚ u se spustí služba (daemon) Kerio Control Engine. Na konzoli firewallu bude po celou dobu jeho bˇ ehu zobrazena informace o možnostech vzdálené správy a zmˇ eny nˇ ekterých základních nastavení — viz kapitola 2.11.
2.8 Upgrade - Software Appliance / VMware Virtual Appliance Upgrade (aktualizaci) Kerio Control lze provést dvˇ ema zp˚ usoby: • Spouštˇ ením systému z instalaˇ cního CD (resp. pˇ ripojeného ISO obrazu) nové verze. Instalace probíhá stejným zp˚ usobem jako nová instalace, pouze na zaˇ cátku se 26
2.9 Komponenty Kerio Control
instalaˇ cní program dotáže, zda má být provedena aktualizace (stávající nastavení a data z˚ ustanou zachována) nebo nová instalace (všechny konfiguraˇ cní soubory, statistiky, záznamy atd. budou vymazány). Podrobnosti viz kapitola 2.7. • Prostˇ rednictvím kontroly nových verzí v programu Kerio Administration Console. Podrobnosti naleznete v kapitole 17.3. Upozornˇ ení: Ve verzi 7.0.0 došlo oproti verzi 6.7.1 ke zmˇ enám v nˇ ekterých konfiguraˇ cních parametrech. Aktualizace na novou verzi je stále plnˇ e automatická, je však potˇ reba mít na pamˇ eti níže popsané zmˇ eny, které jsou platné ihned po instalaci nové verze. Jedná se o tyto parametry: • Jména soubor˚ u záznam˚ u — každý záznam má nyní pevnˇ e nastavené jméno souboru (alert.log, config.log, debug.log atd.). Cesta pro uložení soubor˚ u záznam˚ u z˚ ustává beze zmˇ eny — záznamy se ukládají do adresᡠre /opt/kerio/winroute/logs Pokud byla použita jiná jména soubor˚ u záznam˚ u, p˚ uvodní soubory z˚ ustanou zachovány, ale nové záznamy již budou zapisovány do soubor˚ u s uvedenými jmény. • Typ záznamu (Facility) a d˚ uležitost (Severity) pro externí záznam na server Syslog — jednotlivé záznamy produktu Kerio Control mají nyní pevnˇ e nastavený typ a d˚ uležitost. Toto je potˇ reba mít na pamˇ eti pˇ ri prohlížení záznam˚ u firewallu na serveru Syslog. Podrobnosti o nastavení záznam˚ u viz kapitola 22.1. Po aktualizaci doporuˇ cujeme peˇ clivˇ e zkontrolovat pˇ rípadná hlášení v záznamu Warning (viz kapitola 22.13).
2.9 Komponenty Kerio Control Kerio Control sestává z tˇ echto souˇ cástí: Kerio Control Engine Vlastní výkonný program, který realizuje všechny služby a funkce. Bˇ eží jako služba operaˇ cního systému (služba má název Kerio Control a ve výchozím nastavení je spouštˇ ena automaticky pod systémovým úˇ ctem). Kerio Control Engine Monitor (pouze Windows) Slouží k monitorování a zmˇ enˇ e stavu Engine (zastaven / spuštˇ en), nastavení spouštˇ ecích preferencí (tj. zda se má Engine a/nebo Monitor sám spouštˇ et automaticky pˇ ri startu systému) a snadnému spuštˇ ení administraˇ cní konzole. Podrobnosti naleznete v kapitole 2.10. 27
Úvod
Poznámka: Kerio Control Engine je zcela nezávislý na aplikaci Kerio Control Engine Monitor. Engine tedy m˚ uže být spuštˇ en, i když se na lištˇ e právˇ e nezobrazuje ikona. Kerio Administration Console (pouze Windows) Univerzální program pro plnou lokální ˇ ci vzdálenou správu serverových produkt˚ u firmy Kerio Technologies. Pro pˇ ripojení k urˇ cité aplikaci je potˇ reba modul obsahující specifické rozhraní pro tuto aplikaci. Pˇ ri instalaci Kerio Control na systém Windows je Kerio Administration Console nainstalována s pˇ ríslušným modulem. K dispozici je rovnˇ ež samostatný instalaˇ cní balík Kerio Administration Console pro vzdálenou správu Kerio Control z jiného poˇ cítaˇ ce. Program Kerio Administration Console je k dispozici pouze pro systém Windows, lze jím však spravovat jak Kerio Control nainstalovaný na systému Windows, tak Kerio Control Software Appliance / VMware Virtual Appliance. Použití programu Kerio Administration Console je podrobnˇ e popsáno v samostatném dokumentu Kerio Administration Console — Nápovˇ eda (http://www.kerio.cz/cz/firewall/manual). Konzole firewallu (pouze Software Appliance / VMware Virtual Appliance) Konzole firewallu je jednoduché rozhraní, které je trvale spuštˇ ené na poˇ cítaˇ ci s Kerio Control. Umožˇ nuje nastavit základní parametry operaˇ cního systému a firewallu, pokud se k nˇ emu nelze vzdálenˇ e pˇ rihlásit prostˇ rednictvím WWW rozhraní Administration ani programu Kerio Administration Console.
2.10 Kerio Control Engine Monitor (Windows) Kerio Control Engine Monitor je samostatný program, který slouží k ovládání a sledování stavu Kerio Control Engine. Tato komponenta se zobrazuje jako ikona na nástrojové lištˇ e.
Obrázek 2.6
Ikona programu Kerio Control Engine Monitor v oznamovací oblasti nástrojové lišty
Je-li Kerio Control Engine zastaven, objeví se pˇ res ikonu ˇ cervený kruh s bílým kˇ rížkem. Spouštˇ ení ˇ ci zastavování Engine m˚ uže za r˚ uzných okolností trvat až nˇ ekolik sekund. Na tuto dobu ikona zešedne a je neaktivní. Dvojitým kliknutím levým tlaˇ cítkem na tuto ikonu lze spustit program Kerio Administration Console (viz dále). Po kliknutí pravým tlaˇ cítkem se zobrazí menu s následujícími funkcemi: Startup Preferences Volby pro automatické spouštˇ ení Kerio Control Engine a Engine Monitoru pˇ ri startu systému. Výchozí nastavení (po instalaci) je obˇ e volby zapnuty.
Administration Spuštˇ ení programu Kerio Administration Console (odpovídá dvojitému kliknutí levým tlaˇ cítkem myši na ikonu Engine Monitoru). Internet Usage Statistics Otevˇ rení Statistik využívání Internetu ve výchozím WWW prohlížeˇ ci. Podrobnosti viz kapitola 21. Start / Stop Kerio Control Spuštˇ ení nebo zastavení Kerio Control Engine (text se mˇ ení v závislosti na jeho aktuálním stavu). Exit Engine Monitor Ukonˇ cení programu Engine Monitor. Tato volba nezastavuje Kerio Control Engine, na což je uživatel upozornˇ en varovným hlášením. Poznámka: 1. Pokud má licence Kerio Control omezenou platnost (napˇ r. zkušební verze), pak se 7 dní pˇ red vypršením licence automaticky zobrazí informace o tom, že se blíží konec její platnosti. Zobrazení této informace se pak periodicky opakuje až do okamžiku, kdy licence vyprší. 2. Kerio Control Engine Monitor je k dispozici pouze v anglickém jazyce.
2.11 Konzole firewallu (Software Appliance / VMware Virtual Appliance) Na konzoli poˇ cítaˇ ce, kde je spuštˇ en Kerio Control Software Appliance / VMware Virtual Appliance, je po celou dobu jeho bˇ ehu zobrazena informace o možnostech vzdálené správy firewallu. Po zadání administrátorského hesla (viz výše) tato konzole umožˇ nuje zmˇ enit nˇ ekterá základní nastavení, obnovit výchozí nastavení po instalaci a vypnout nebo restartovat poˇ cítaˇ c. Ve výchozím stavu zobrazuje konzole pouze informace o URL, resp. IP adrese, kam se lze pˇ ripojit ke správˇ e firewallu prostˇ rednictvím webového administraˇ cního rozhraní firewallu nebo programu Kerio Administration Console. Pro pˇ rístup ke konfiguraˇ cním volbám je potˇ reba se nejprve ovˇ eˇ rit heslem uživatele Admin (hlavního správce firewallu). Pˇ ri delší dobˇ e neˇ cinnosti dojde z bezpeˇ cnostních d˚ uvod˚ u k automatickému odhlášení uživatele a na konzole se opˇ et zobrazí úvodní obrazovka s informacemi o vzdálené správˇ e firewallu. 29
Úvod
Konzole firewallu nabízí tyto konfiguraˇ cní volby: Konfigurace sít’ových rozhraní Tato volba umožˇ nuje zobrazit, pˇ rípadnˇ e zmˇ enit parametry jednotlivých sít’ových rozhraní firewallu. Na každém rozhraní lze nastavit automatickou konfiguraci protokolem DHCP nebo ruˇ cnˇ e zadat IP adresu, masku subsítˇ e a výchozí bránu. Poznámka: Na rozhraních pˇ ripojených do lokální sítˇ e nesmí být nastavena žádná výchozí brána, jinak nebude možné použít tento firewall jako bránu pro pˇ rístup do Internetu. Nastavení pravidel pro vzdálenou správu Pˇ ri zmˇ enách komunikaˇ cních pravidel firewallu (viz kapitola 7) prostˇ rednictvím webového administraˇ cního rozhraní nebo programu Kerio Administration Console m˚ uže dojít k nechtˇ enému zablokování pˇ rístupu ke vzdálené správˇ e. Pokud jsme si jisti, že sít’ová rozhraní firewallu jsou nastavena správnˇ e, ale pˇ resto se nelze pˇ ripojit ke vzdálené správˇ e, m˚ užeme volbou Vzdálená správa zmˇ enit komunikaˇ cní pravidla firewallu tak, aby neblokovala pˇ rístup ke vzdálené správˇ e pˇ res žádné rozhraní. Po zmˇ enˇ e komunikaˇ cních pravidel bude automaticky restartována služba Kerio Control Engine. „Odblokování“ vzdálené správy v praxi znamená, že na zaˇ cátek tabulky komunikaˇ cních pravidel bude pˇ ridáno pravidlo povolující pˇ rístup z libovolného poˇ cítaˇ ce ke službám Kerio Control Admin (pˇ ripojení programem Kerio Administration Console) a Kerio Control WebAdmin (zabezpeˇ cené WWW rozhraní firewallu). Vypnutí / restart firewallu V pˇ rípadˇ e, že potˇ rebujeme firewall vypnout nebo restartovat, tyto volby zajistí bezpeˇ cné ukonˇ cení služby Kerio Control Engine a vypnutí operaˇ cního systému firewallu. Obnovení továrního nastavení Tato volba uvede firewall do výchozího stavu jako po spuštˇ ení instalace z instalaˇ cního CD nebo po prvním spuštˇ ení virtuálního zaˇ rízení pro VMware. Všechny konfiguraˇ cní soubory a data (záznamy, statistiky atd.) budou vymazány a bude potˇ reba provést znovu poˇ cáteˇ cní konfiguraci firewallu, stejnˇ e jako pˇ ri ˇ cisté instalaci (viz kapitola 2.7). Obnovení továrního nastavení m˚ uže být užiteˇ cné v pˇ rípadˇ e, kdy je omylem nebo neodborným zásahem konfigurace firewallu poškozena natolik, že jej již nelze žádnými jinými prostˇ redky znovu zprovoznit.
30
Kapitola 3
Správa Kerio Control
Kerio Control nabízí dva nástroje pro konfiguraci: WWW rozhraní Kerio Control Administration Rozhraní Administration umožˇ nuje vzdálenou i lokální správu firewallu prostˇ rednictvím bˇ ežného WWW prohlížeˇ ce. V souˇ casné verzi Kerio Control umožˇ nuje rozhraní Administration konfiguraci vˇ etšiny základních funkcí a parametr˚ u firewallu: • sít’ová rozhraní, • komunikaˇ cní pravidla — pouze ruˇ cní konfigurace; Pr˚ uvodce komunikaˇ cními pravidly (viz kapitola 7.1) není k dispozici, • systém prevence útok˚ u, • filtrování MAC adres, • doplˇ nkové bezpeˇ cnostní volby (Anti-Spoofing, omezování poˇ ctu spojení, podpora UPnP) • DHCP server (vˇ cetnˇ e automatické konfigurace), • pravidla pro filtrování protokol˚ u HTTP a FTP, • uživatelské úˇ cty, skupiny, ovˇ eˇ rování uživatel˚ u a mapování domén, • skupiny IP adres, skupiny URL, ˇ casové intervaly a sít’ové služby, • záznamy. Nˇ ekteré novˇ e pˇ ridané funkce jsou naopak k dispozici pouze ve WWW rozhraní: • export a import konfigurace, • automatická konfigurace rozsah˚ u adres v DHCP serveru. Program Kerio Administration Console Kerio Administration Console (dále jen „Administration Console“) je univerzální aplikace pro správu serverových produkt˚ u firmy Kerio Technologies. Pro Kerio Control nabízí všechny konfiguraˇ cní parametry. Administration Console umožˇ nuje lokální správu (tj. z téhož poˇ cítaˇ ce, na kterém je Kerio Control nainstalován) i vzdálenou správu (z libovolného jiného poˇ cítaˇ ce). Komunikace mezi Administration Console a Kerio Control Engine je šifrována, což zabraˇ nuje jejímu odposlechu a zneužití. Pˇ ri instalaci Kerio Control na systém Windows je program Kerio Administration Console spoleˇ cnˇ e s ním. K dispozici je rovnˇ ež samostatný instalaˇ cní balík Kerio Administration Console pro vzdálenou správu Kerio Control z jiného poˇ cítaˇ ce. Program Kerio Administration Console je k dispozici pouze pro systém Windows, lze jím však spravovat jak Kerio Control nainstalovaný na systému Windows, tak Kerio Control Software Appliance / VMware Virtual Appliance. 31
Správa Kerio Control
Použití Administration Console je podrobnˇ e popsáno v samostatném manuálu Kerio Administration Console — Nápovˇ eda (tento manuál lze zobrazit volbou Nápovˇ eda → Obsah v hlavním oknˇ e Administration Console a je rovnˇ ež k dispozici v online verzi nebo ke stažení na WWW stránce http://www.kerio.cz/cz/firewall/manual). Další kapitoly tohoto manuálu popisují jednotlivé sekce programu Administration Console, resp. webového administraˇ cního rozhraní. Poznámka: 1. WWW rozhraní Administration a program Administration Console pro Kerio Control jsou lokalizovány celkem do 16 jazyk˚ u. V rozhraní Administration lze zvolit jazyk pomocí ikony vlajky v pravém horním rohu okna, pˇ rípadnˇ e m˚ uže být nastaven automaticky podle preferovaného jazyka ve WWW prohlížeˇ ci. V programu Administration Console lze jazyk zvolit v pˇ rihlašovacím oknˇ e v nabídce Nástroje. 2. Pˇ ri prvním pˇ rihlášení do programu Administration Console po instalaci Kerio Control se nejprve automaticky spustí pr˚ uvodce vytvoˇ rením komunikaˇ cních pravidel, který slouží ke snadné poˇ cáteˇ cní konfiguraci Kerio Control. Podrobný popis tohoto pr˚ uvodce naleznete v kapitole 7.1. V souˇ casné verzi rozhraní Administration tento pr˚ uvodce není k dispozici. Proto doporuˇ cujeme pro poˇ cáteˇ cní konfiguraci produktu Kerio Control (bezprostˇ rednˇ e po instalaci) využít program Administration Console.
3.1 WWW rozhraní Kerio Control Administration Rozhraní Kerio Control Administration je dostupné na adrese https://server:4081/admin (server má význam jména nebo IP adresy firewallu a 4081 je port jeho WWW rozhraní). Pˇ ri použití protokolu HTTPS je komunikace mezi klientem a Kerio Control Engine šifrována, což zabraˇ nuje jejímu odposlechu a zneužití. Nezabezpeˇ cenou verzi rozhraní Administration (protokol HTTP) doporuˇ cujeme používat pouze pro lokální správu Kerio Control (tj. správu z poˇ cítaˇ ce, na kterém je nainstalován). Po úspˇ ešném pˇ rihlášení do WWW rozhraní Administration se zobrazí hlavní okno, které je rozdˇ eleno na dvˇ eˇ cásti: • Levý sloupec obsahuje seznam sekcí administraˇ cního rozhraní v podobˇ e stromu. Pro vˇ etší pˇ rehlednost lze jednotlivé ˇ cásti stromu skrývat a rozbalovat (bezprostˇ rednˇ e po pˇ rihlášení je strom kompletnˇ e rozbalený). • Pravá ˇ cást okna zobrazuje obsah sekce zvolené v levém sloupci. Ve vˇ etšinˇ e pˇ rípad˚ u se zmˇ eny konfigurace v jednotlivých sekcích provádˇ ejí pouze na stranˇ e klienta (tj. ve WWW prohlížeˇ ci), a teprve po stisknutí tlaˇ cítka Použít se tyto zmˇ eny aplikují a uloží do konfiguraˇ cního souboru. Díky tomu je možné tlaˇ cítkem Storno kdykoliv obnovit p˚ uvodní stav.
32
3.2 Administration Console - hlavní okno
Obrázek 3.1
Hlavní okno rozhraní Kerio Control Administration
3.2 Administration Console - hlavní okno Po úspˇ ešném pˇ rihlášení programem Administration Console ke Kerio Control Engine se zobrazí okno modulu pro správu Kerio Control (dále jen „administraˇ cní okno“). Toto okno je rozdˇ eleno na dvˇ eˇ cásti: • Levý sloupec obsahuje seznam sekcí administraˇ cního okna v podobˇ e stromu. Pro vˇ etší pˇ rehlednost lze jednotlivé ˇ cásti stromu skrývat a rozbalovat. Administration Console si pˇ ri svém ukonˇ cení zapamatuje aktuální nastavení stromu a pˇ ri dalším pˇ rihlášení jej zobrazí ve stejné podobˇ e. • Pravá ˇ cást okna zobrazuje obsah sekce zvolené v levém sloupci (pˇ rípadnˇ e seznam sekcí ve zvolené skupinˇ e). Ve vˇ etšinˇ e pˇ rípad˚ u se zmˇ eny konfigurace v jednotlivých sekcích provádˇ ejí pouze na stranˇ e klienta, a teprve po stisknutí tlaˇ cítka Použít se tyto zmˇ eny aplikují a uloží do konfiguraˇ cního souboru. Díky tomu je možné tlaˇ cítkem Storno kdykoliv obnovit p˚ uvodní stav.
33
Správa Kerio Control
Obrázek 3.2
Hlavní okno Administration Console pro Kerio Control
Hlavní menu administraˇ cního okna Hlavní menu obsahuje tyto funkce: Nabídka Soubor • Obnovit pˇ ripojení — pˇ ripojení ke Kerio Control Engine po výpadku spojení (napˇ r. z d˚ uvodu restartu Engine ˇ ci sít’ové chyby). • Nové pˇ ripojení — otevˇ rení (resp. pˇ repnutí do) hlavního okna Administration Console. V tomto oknˇ e se pak m˚ užeme pomocí záložky nebo pˇ rihlašovacího dialogu pˇ ripojit k požadovanému serveru. Tuto funkci lze využít, pokud chceme spravovat více serverových aplikací souˇ casnˇ e (napˇ r. Kerio Control na více serverech). Podrobnosti viz manuál Administration Console — Nápovˇ eda. Poznámka: Volba Nové pˇ ripojení má zcela identický efekt jako spuštˇ ení Administration Console z nabídky Start. • Konec — ukonˇ cení správy (odhlášení od serveru a uzavˇ rení administraˇ cního okna). Stejného efektu dosáhneme uzavˇ rením okna kliknutím na závˇ er (kˇ rížek) v pravém horním rohu nebo kombinací kláves Alt+F4 ˇ ci Ctrl+Q. Nabídka Zmˇ enit (pouze na úvodní obrazovce) Volby v nabídce Zmˇ enit souvisejí s licencí a registrací produktu. Dostupné volby se mˇ ení v závislosti na stavu registrace (napˇ r. pokud je produkt již zaregistrován jako zkušební verze, pak lze provést pouze registraci zakoupené verze nebo zmˇ enu registraˇ cních údaj˚ u). 34
3.2 Administration Console - hlavní okno
• Zkopírovat licenˇ cní ˇ císlo do schránky — zkopírování ˇ císla aktuální licence (položka ID licence) do schránky. Toto m˚ uže být užiteˇ cné napˇ r. pˇ ri objednávce upgrade nebo pˇ redplatného, kdy je tˇ reba zadat ˇ císlo základní licence, nebo pˇ ri zadávání požadavku na technickou podporu Kerio Technologies. • Zaregistrovat zkušební verzi — registrace zkušební verze produktu. • Zaregistrovat produkt — registrace produktu se zakoupeným licenˇ cním ˇ císlem. • Instalovat licenci — import souboru s licenˇ cním klíˇ cem (podrobnosti viz kapitola 4.5). Nabídka Nápovˇ eda • Zobrazit identitu serveru — informace o firewallu, ke kterému je Administration Console aktuálnˇ e pˇ ripojena (jméno nebo IP adresa serveru, port a otisk SSL certifikátu). Tyto informace lze využít pro ovˇ eˇ rení identity firewallu pˇ ri pˇ rihlašování ke správˇ e z jiného poˇ cítaˇ ce (viz manuál Kerio Administration Console — Nápovˇ eda). • Pˇ ríruˇ cka administrátora — otevˇ rení pˇ ríruˇ cky administrátora (tohoto manuálu) ve formátu HTML Help. Podrobnosti o nápovˇ edách naleznete v manuálu Kerio Administration Console — Nápovˇ eda. • O aplikaci — informace o verzi aplikace (v tomto pˇ rípadˇ e administraˇ cního modulu pro Kerio Control), odkaz na WWW stránku výrobce a další informace.
Stavový ˇ rádek Na dolním okraji administraˇ cního okna je umístˇ en stavový ˇ rádek, který zobrazuje tyto informace (v poˇ radí zleva doprava):
Obrázek 3.3
Stavový ˇ rádek okna Administration Console
• Aktuální sekce administraˇ cního okna (vybraná v levém sloupci). Tato informace usnadˇ nuje orientaci v administraˇ cním oknˇ e zejména v pˇ rípadech, kdy není vidˇ et celý strom sekcí (napˇ r. pˇ ri nižším rozlišení obrazovky). • Jméno nebo IP adresa serveru a port serverové aplikace (Kerio Control používá port 44333). • Jméno uživatele pˇ rihlášeného ke správˇ e. • Aktuální stav Administration Console: Pˇ ripraven (ˇ cekání na akci uživatele), Naˇ cítání (pˇ renos dat ze serveru) nebo Ukládání (zápis provedených zmˇ en na server).
35
Správa Kerio Control
Detekce výpadku pˇ ripojení ke Kerio Control Engine Administration Console dokáže automaticky detekovat, že došlo k výpadku pˇ ripojení. Výpadek je zpravidla detekován pˇ ri pokusu o ˇ ctení nebo uložení dat z/na server (tj. pˇ ri stisknutí tlaˇ cítka Použít nebo pˇ repnutí do jiné sekce Administration Console). V takovém pˇ rípadˇ e se automaticky zobrazí dialog pro obnovení pˇ ripojení s pˇ ríslušným chybovým hlášením. Po odstranˇ ení pˇ ríˇ ciny výpadku m˚ užeme zkusit pˇ ripojení obnovit. Administration Console nabízí dvˇ e možnosti: • Použít & Obnovit pˇ ripojení — spojení se serverem bude obnoveno a poté budou uloženy všechny zmˇ eny provedené v aktuální sekci Administration Console pˇ red výpadkem pˇ ripojení, • Obnovit pˇ ripojení — spojení se serverem bude obnoveno, ale provedené zmˇ eny budou stornovány. Pokud se pˇ ripojení nepodaˇ rí obnovit, zobrazí se již pouze chybové hlášení. Pak m˚ užeme zkusit pˇ ripojení obnovit volbou Soubor → Obnovit pˇ ripojení z hlavního menu, pˇ rípadnˇ e okno uzavˇ rít a pˇ ripojit se znovu standardním zp˚ usobem. Poznámka: Rozhraní Administration po výpadku a obnovení pˇ ripojení automaticky pˇ rejde na pˇ rihlašovací stránku. Pˇ rípadné neuložené zmˇ eny budou ztraceny.
3.3 Administration Console - nastavení pohled˚ u V mnoha sekcích Administration Console má zobrazení tvar tabulky, pˇ riˇ cemž každý ˇ rádek obsahuje jeden záznam (napˇ r. údaje o jednom uživateli, jednom rozhraní apod.) a sloupce obsahují jednotlivé položky tohoto záznamu (napˇ r. jméno rozhraní, název adaptéru, hardwarovou adresu, IP adresu atd.). Správce firewallu má možnost upravit si zp˚ usob zobrazení informací v jednotlivých sekcích dle vlastní potˇ reby ˇ ci vkusu. V každé z výše popsaných sekcí se po stisknutí pravého tlaˇ cítka myši zobrazí kontextová nabídka obsahující volbu Nastavit sloupce. Tato volba otevírá dialog, v nˇ emž je možné nastavit, které sloupce mají být zobrazeny a které mají z˚ ustat skryty. Dialog obsahuje seznam všech sloupc˚ u dostupných v pˇ ríslušném pohledu. Zaškrtávací pole (vlevo od názvu sloupce) zapíná/vypíná zobrazování tohoto sloupce. Tlaˇ cítko Zobrazit vše nastavuje zobrazování všech dostupných sloupc˚ u. Tlaˇ cítko Výchozí uvede nastavení sloupc˚ u do výchozího stavu (ve výchozím nastavení jsou zpravidla z d˚ uvodu pˇ rehlednosti zobrazeny pouze sloupce s nejd˚ uležitˇ ejšími informacemi, zatímco sloupce s doplˇ nujícími informacemi jsou skryty). Tlaˇ cítka se šipkami slouží k posunu vybraného sloupce v seznamu nahoru nebo dol˚ u. Tím lze urˇ cit poˇ radí, v jakém mají být sloupce zobrazeny. Poˇ radí sloupc˚ u lze také upravit v pohledu samotném: klikneme levým tlaˇ cítkem myši na název sloupce, podržíme jej a pˇ resuneme na požadované místo. 36
3.3 Administration Console - nastavení pohled˚ u
Obrázek 3.4
Výbˇ er zobrazovaných sloupc˚ u v sekci Rozhraní
Poznámka: Šíˇ rku jednotlivých sloupc˚ u lze upravit posunutím dˇ elicích ˇ car mezi záhlavími sloupc˚ u.
37
Kapitola 4
Licence a registrace produktu
Používání produktu Kerio Control je vázáno na licenci. Technicky se produkt chová takto: • Bezprostˇ rednˇ e po instalaci produkt funguje jako zkušební verze, ˇ casovˇ e omezená na dobu 30 dn˚ u od okamžiku instalace. Produkt je plnˇ e funkˇ cní s výjimkou modulu Kerio Web Filter a aktualizace pravidel systému prevence útok˚ u. • Zkušební verzi lze bezplatnˇ e zaregistrovat. Registrací zkušební verze získává uživatel nárok na technickou podporu bˇ ehem zkušebního období. Navíc m˚ uže také testovat modul Kerio Web Filter a budou automaticky aktualizována pravidla systému prevence útok˚ u. Registrace neprodlužuje zkušební období. • Po zakoupení licence je potˇ reba produkt zaregistrovat s pˇ ríslušným licenˇ cním ˇ císlem. Po úspˇ ešné registraci bude produkt funkˇ cní po neomezenou dobu v rozsahu dle pˇ ríslušné licence (podrobnosti viz kapitola 4.1).
Rozdíl mezi zkušební verzí a plnou verzí Kerio Control je pouze v tom, zda je zaregistrována s platnou licencí ˇ ci nikoliv. Každý zákazník má tak možnost si produkt nainstalovat a bˇ ehem zkušební lh˚ uty otestovat v konkrétních podmínkách. Pokud si jej zakoupí, staˇ cí pouze zaregistrovat nainstalovanou verzi se zakoupeným licenˇ cním ˇ císlem (viz kapitola 4.4). Není tedy tˇ reba Kerio Control znovu instalovat a nastavovat. V pˇ rípadˇ e, že tˇ ricetidenní zkušební lh˚ uta již vypršela, produkt Kerio Control pˇ restává být funkˇ cní — systémová služba Kerio Control Engine se automaticky zastaví. Po registraci s platným licenˇ cním ˇ císlem (získaným pˇ ri zakoupení produktu) bude Kerio Control opˇ et funkˇ cní. Poznámka: Registrací produktu Kerio Control dojde k vytvoˇ rení tzv. licenˇ cního klíˇ ce (soubor license.key — viz kapitola 25.1). V pˇ rípadˇ e ztráty licenˇ cního klíˇ ce (napˇ r. z d˚ uvodu havárie disku, nechtˇ eným smazáním apod.), staˇ cí produkt jednoduše znovu zaregistrovat s prodejním ˇ císlem základního produktu. Stejným zp˚ usobem lze postupovat pˇ ri zmˇ enˇ e platformy firewallu (Windows / Software Appliance / VMware Virtual Appliance) — licenˇ cní klíˇ c je nepˇ renositelný mezi platformami. Pˇ ri ztrátˇ e licenˇ cního ˇ císla je nutné kontaktovat obchodní oddˇ elení spoleˇ cnosti Kerio Technologies.
38
4.1 Typy licencí (volitelné komponenty)
4.1 Typy licencí (volitelné komponenty) Kerio Control m˚ uže obsahovat volitelné komponenty: antivirový program Sophos (viz kapitola 14) a modul pro hodnocení obsahu WWW stránek Kerio Web Filter (viz kapitola 13.3). Tyto komponenty jsou licencovány oddˇ elenˇ e. Licenˇ cní klíˇ c obsahuje následující informace: Licence Kerio Control Základní licence Kerio Control. Její platnost urˇ cují dvˇ e data: • Skonˇ cení práva na aktualizaci — datum, do kdy je možné Kerio Control bezplatnˇ e upgradovat na nejnovˇ ejší verzi. Po tomto datu je Kerio Control nadále funkˇ cní, ale nelze jej aktualizovat. Právo na aktualizaci m˚ užete prodloužit zakoupením tzv. pˇ redplatného. • Skonˇ cení funkˇ cnosti produktu — k tomuto datu pˇ restává být Kerio Control funkˇ cní — služba Kerio Control Engine se automaticky zastaví. Pokud tato situace nastane, musíte ihned zaregistrovat platnou licenci nebo Kerio Control odinstalovat. Pro úˇ cely registrace lze službu Kerio Control znovu spustit. Pokud ovšem nebude bˇ ehem 10 minut zaregistrována platná licence, služba se opˇ et zastaví. Licence antivirového programu Sophos Tato licence je urˇ cena dvˇ ema daty: • skonˇ cení práva na aktualizaci (nezávislé na Kerio Control) — po tomto datu z˚ ustává antivirus funkˇ cní, ale nelze aktualizovat virovou databázi ani antivirový program. • skonˇ cení funkˇ cnosti antivirového modulu — po tomto datu se antivirový modul Sophos zablokuje a nelze jej nadále používat. Upozornˇ ení: Vzhledem ke stálému výskytu nových vir˚ u doporuˇ cujeme používat vždy nejnovˇ ejší verzi virové databáze. Pˇ redplatné modulu Kerio Web Filter Modul Kerio Web Filter je dodáván jako služba. Licence je urˇ cena pouze datem skonˇ cení platnosti, po kterém pˇ restane tento modul fungovat. Poznámka: Aktuální informace o jednotlivých licencích, možnostech prodloužení jejich platnosti atd. naleznete na WWW stránkách firmy Kerio Technologies (http://www.kerio.cz/).
4.2 Stanovení potˇ rebného poˇ ctu uživatel˚ u Produkt Kerio Control 7 zavádí nový systém sledování pˇ rístupu do Internetu, který lépe odpovídá tomu, jakým zp˚ usobem je produkt licencován a používán. Spoleˇ cnost Kerio Technologies licencuje tento software jako server, který v základní licenci obsahuje úˇ cet Admin a 5 uživatelských úˇ ct˚ u. Uživatele lze pˇ ridávat v balíˇ ccích po 5. 39
Licence a registrace produktu
Uživatel je definován jako osoba, který se m˚ uže pˇ rihlásit ke Kerio Control a jeho službám. Každý uživatel se pˇ ritom m˚ uže pˇ ripojit až z pˇ eti r˚ uzných zaˇ rízení reprezentovaných IP adresami, vˇ cetnˇ e VPN klient˚ u. Pokud se jeden uživatel chce pˇ ripojit z více než pˇ eti zaˇ rízení souˇ casnˇ e, pak je potˇ reba licence pro dalšího uživatele. Produkt sice v minulost neomezoval poˇ cet pˇ rihlášení uživatel˚ u, zato však považoval každou IP adresu pˇ ristupující k serveru za jednoho uživatele, takže nˇ ekteˇ rí uživatele mohli vyˇ cerpat dostupné licence již pˇ ripojením ze dvou zaˇ rízení souˇ casnˇ e. Upozornˇ ení: Kerio Control neomezuje poˇ cet definovaných uživatelských úˇ ct˚ u (viz kapitola 16). Pˇ ri dosažení maximálního povoleného poˇ ctu souˇ casnˇ e pˇ rihlášených uživatel˚ u však firewall nepovolí pˇ rihlášení dalšího uživatele.
4.3 Informace o licenci Informace o licenci lze zobrazit volbou Kerio Control (první položka ve stromu v levé ˇ cásti okna Administration Console — tato sekce se zobrazuje bezprostˇ rednˇ e po pˇ rihlášení ke správˇ e Kerio Control).
Obrázek 4.1
Úvodní stránka Administration Console s informacemi o licenci
40
4.3 Informace o licenci
Produkt Název produktu (Kerio Control). Copyright Informace o držiteli autorských práv. Domovská stránka Odkaz na domovskou stránku produktu Kerio Control (informace o cenách, nových verzích atd.). Kliknutím na odkaz se domovská stránka otevˇ re ve WWW prohlížeˇ ci, který je v operaˇ cním systému nastaven jako výchozí. Operaˇ cní systém Název operaˇ cního systému, na kterém bˇ eží služba Kerio Control Engine. Tento údaj je pouze informativní — zakoupená licence je platná pro libovolný podporovaný operaˇ cní systém. ID licence Licenˇ cní ˇ císlo nebo oznaˇ cení speciální licence. Právo na aktualizaci konˇ cí Datum skonˇ cení nároku na bezplatný upgrade produktu. Funkˇ cnost produktu konˇ cí Datum skonˇ cení funkˇ cnosti produktu (pouze u zkušební verze nebo speciálních licencí). Poˇ cet uživatel˚ u Maximální poˇ cet uživatel˚ u, kteˇ rí mohou být souˇ casnˇ e pˇ rihlášeni k firewallu (podrobnosti viz kapitola 4.2). Spoleˇ cnost Název spoleˇ cnosti (pˇ ríp. osoby), na niž je produkt registrován. V závislosti na aktuální licenci se v dolní ˇ cásti obrázku zobrazují odkazy: 1.
V pˇ rípadˇ e neregistrované verze: • Zaregistrovat se jako uživatel zkušební verze — registrace zkušební verze produktu. Tato registrace je nepovinná a nezávazná. Registrací získá uživatel nárok na bezplatnou technickou podporu po dobu zkušebního období. • Zaregistrovat produkt se zakoupeným licenˇ cním ˇ císlem — registrace zakoupeného produktu. Zakoupený produkt je nutno zaregistrovat, jinak se bude stále chovat jako zkušební verze!
2.
V pˇ rípadˇ e registrované verze: • Aktualizovat registraˇ cní informace — možnost úpravy údaj˚ u o firmˇ e/osobˇ e, na kterou je produkt registrován, nebo pˇ ridání licenˇ cních ˇ císel pˇ redplatného ˇ ci add-on licencí (zvýšení poˇ ctu uživatel˚ u). 41
Licence a registrace produktu
Ve všech pˇ rípadech bude spuštˇ en pr˚ uvodce registrací, který uživatele vyzve k zadání potˇ rebných a doplˇ nujících údaj˚ u. Podrobnosti o tomto pr˚ uvodci naleznete v kapitole 4.4. Je-li aktivní automatická kontrola nových verzí (viz kapitola 17.3), pak se v pˇ rípadˇ e zveˇ rejnˇ ení nové verze zobrazí odkaz K dispozici je nová verze programu. Kliknˇ ete zde pro podrobnosti.... Po kliknutí na tento odkaz se otevˇ re dialog umožˇ nující stažení nové verze a následné spuštˇ ení instalace (podrobnosti viz kapitola 17.3). Poznámka: Po kliknutí pravým tlaˇ cítkem myši na úvodní stránce Administration Console se zobrazí kontextové menu s volbami odpovídající nabídce Zmˇ enit v hlavním menu administraˇ cního okna (viz kapitola 3.2).
4.4 Registrace produktu z Administration Console Registraci Kerio Control, zmˇ enu registraˇ cních údaj˚ u, pˇ ridání add-on licencí nebo prodloužení pˇ redplatného lze provést pˇ rímo z Administration Console kliknutím na pˇ ríslušný odkaz v úvodní obrazovce (viz kapitola 4.3), pˇ rípadnˇ e odpovídající volbou z nabídky Zmˇ enit v hlavním menu administraˇ cního okna (viz kapitola 3.2). Registrace zkušební verze Registrací zkušební verze získá uživatel e-mailovou a telefonickou technickou podporu zdarma po dobu zkušební periody. Zároveˇ n spoleˇ cnost Kerio Technologies získává zpˇ etnou vazbu od tˇ echto uživatel˚ u. Registrace zkušební verze je nepovinná, ale doporuˇ cená (pˇ rináší pouze výhody). Registrace nezavazuje uživatele ke koupi produktu. Kliknutím na odkaz Zaregistrovat se jako uživatel zkušební verze se spustí pr˚ uvodce registrací. 1.
V prvním kroku pr˚ uvodce je tˇ reba opsat bezpeˇ cnostní kód z obrázku do textového pole (ochrana proti zneužití registraˇ cního serveru). V bezpeˇ cnostním kódu se nerozlišují malá a velká písmena.
Obrázek 4.2
Registrace zkušební verze — bezpeˇ cnostní kód
42
4.4 Registrace produktu z Administration Console
2.
Ve druhém kroku je tˇ reba vyplnit údaje o uživateli zkušební verze (osobˇ e, firmˇ e). D˚ uležitý je také souhlas uživatele se Zásadami ochrany soukromí — bez tohoto souhlasu nemohou být zadané údaje uloženy do databáze spoleˇ cnosti Kerio Technologies. Do položky E-mailová adresa je nutno uvést platnou e-mailovou adresu, nejlépe pˇ rímo adresu osoby, která registraci provádí. Na tuto adresu bude po dokonˇ cení pr˚ uvodce zaslána žádost o potvrzení registrace.
Obrázek 4.3
Registrace zkušební verze — údaje o uživateli
3.
Tˇ retí krok pr˚ uvodce obsahuje nepovinné doplˇ nující otázky. Odpovˇ edi na tyto otázky pomáhají spoleˇ cnosti Kerio Technologies v zacílení produktu na správnou skupinu zákazník˚ u.
4.
Ve ˇ ctvrtém kroku se zobrazí shrnutí zadaných údaj˚ u. Je-li nˇ ekterý údaj nesprávný, lze se tlaˇ cítkem Zpˇ et vrátit do pˇ ríslušného kroku pr˚ uvodce a opravit jej.
43
Licence a registrace produktu
Obrázek 4.4
Registrace zkušební verze — doplˇ nující otázky
Obrázek 4.5
5.
Registrace zkušební verze — shrnutí
V posledním kroku pr˚ uvodce se zobrazí pˇ ríslušné Trial ID. Toto je jedineˇ cný identifikátor registrované zkušební verze, kterým se registrovaný uživatel prokazuje v pˇ rípadˇ e požadavku na technickou podporu. 44
4.4 Registrace produktu z Administration Console
Obrázek 4.6
Registrace zkušební verze — Trial ID
Na e-mailovou adresu uvedenou ve druhém kroku pr˚ uvodce se v tomto okamžiku odešle žádost o potvrzení registrace (v jazyce odpovídajícím jazyku Administration Console). Teprve po kliknutí na odkaz v této zprávˇ e je registrace dokonˇ cena a pˇ ríslušné Trial ID platné. Hlavním úˇ celem tohoto potvrzení je ovˇ eˇ rení platnosti e-mailové adresy uvedené pˇ ri registraci.
Registrace zakoupeného produktu Kliknutím na odkaz Zaregistrovat produkt se zakoupeným licenˇ cním ˇ císlem se spustí pr˚ uvodce registrací. 1.
V prvním kroku pr˚ uvodce je tˇ reba zadat patnáctimístné licenˇ cní ˇ císlo základního produktu (získané pˇ ri jeho zakoupení) a opsat bezpeˇ cnostní kód z obrázku do textového pole (ochrana proti zneužití registraˇ cního serveru). V licenˇ cním ˇ císle ani v bezpeˇ cnostním kódu se nerozlišují malá a velká písmena.
2.
Ve druhém kroku lze zadat pˇ rípadná licenˇ cní ˇ císla add-on licencí (zvýšení poˇ ctu uživatel˚ u), volitelných doplˇ nk˚ u nebo pˇ redplatného. Zároveˇ n zde budou zobrazena všechna taková licenˇ cní ˇ císla, která byla k pˇ ríslušnému základnímu produktu již dˇ ríve zaregistrována. Tlaˇ cítkem Pˇ ridat lze pˇ ridávat další zakoupená licenˇ cní ˇ císla. Každé zadané ˇ císlo je ihned zkontrolováno — pˇ ridat lze pouze platné licenˇ cní ˇ císlo. Novˇ e zadaná licenˇ cní ˇ císla lze v pˇ rípadˇ e potˇ reby zmˇ enit nebo odebrat. Zaregistrovaná licenˇ cní ˇ císla (z pˇ redchozích registrací) již odebrat nelze.
45
Licence a registrace produktu
Obrázek 4.7
Registrace zakoupeného produktu — ˇ císlo základního produktu a bezpeˇ cnostní kód
46
4.4 Registrace produktu z Administration Console
Obrázek 4.8
Registrace zakoupeného produktu —
licenˇ cní ˇ císla doplˇ nk˚ u, add-on licencí a pˇ redplatného
3.
Ve tˇ retím kroku je tˇ reba vyplnit údaje o uživateli (osobˇ e, firmˇ e). D˚ uležitý je také souhlas uživatele se Zásadami ochrany soukromí — bez tohoto souhlasu nemohou být zadané údaje uloženy do databáze spoleˇ cnosti Kerio Technologies. Do položky E-mailová adresa je nutno uvést platnou e-mailovou adresu, nejlépe pˇ rímo adresu osoby, která registraci provádí. Na tuto adresu bude po dokonˇ cení pr˚ uvodce zaslána žádost o potvrzení registrace.
4.
ˇ Ctvrtý krok pr˚ uvodce obsahuje nepovinné doplˇ nující otázky. Odpovˇ edi na tyto otázky pomáhají spoleˇ cnosti Kerio Technologies v zacílení produktu na správnou skupinu zákazník˚ u. Tyto otázky se zobrazují pouze pˇ ri prvotní registraci. Pokud byly již zodpovˇ ezeny, pak se tento krok pr˚ uvodce nezobrazí (pr˚ uvodce pak má pouze ˇ ctyˇ ri kroky).
47
Licence a registrace produktu
Obrázek 4.9
Obrázek 4.10
5.
Registrace zakoupeného produktu — údaje o uživateli
Registrace zakoupeného produktu — doplˇ nující otázky
V posledním kroku se zobrazí shrnutí zadaných údaj˚ u. Je-li nˇ ekterý údaj nesprávný, lze se tlaˇ cítkem Zpˇ et vrátit do pˇ ríslušného kroku pr˚ uvodce a opravit jej.
48
4.5 Registrace produktu na WWW stránkách
Obrázek 4.11
Registrace zakoupeného produktu — shrnutí
Po stisknutí tlaˇ cítka Dokonˇ cit se na základˇ e zadaných údaj˚ u automaticky vygeneruje pˇ ríslušný licenˇ cní klíˇ c. Nová licence je ihned aktivní (není vyžadován žádný restart). Poznámky: 1.
Vytvoˇ rený licenˇ cní klíˇ c je urˇ cen pouze pro operaˇ cní systém, na kterém byl Kerio Control nainstalován v dobˇ e registrace (Windows / Linux). Licence sama o sobˇ e je pˇ renositelná, ale licenˇ cní klíˇ c je vygenerován vždy pro konkrétní platformu.
2.
Pokud je po dokonˇ cení pr˚ uvodce hlášena chyba (napˇ r. z d˚ uvodu výpadku sítˇ e apod.), staˇ cí spustit pr˚ uvodce znovu a zopakovat registraˇ cní proces.
4.5 Registrace produktu na WWW stránkách Pokud z nˇ ejakého d˚ uvodu nelze provést registraci Kerio Control z Administration Console, pak je možné produkt zaregistrovat na WWW stránkách Kerio Technologies. Registraˇ cní formulᡠr otevˇ rete volbou Podpora → Zaregistrovat licenci z hlavní nabídky. Formulᡠr je velmi podobný pr˚ uvodci registrací popsanému v kapitole 4.4. Po vyplnˇ ení registraˇ cního formulᡠre bude automaticky vygenerován soubor s pˇ ríslušným licenˇ cním klíˇ cem. Pˇ ri vyplˇ nování registraˇ cních údaj˚ u zvolte správnˇ e operaˇ cní systém, na kterém chcete vaši licenci používat (Windows nebo Linux). Licence sama o sobˇ e je pˇ renositelná, ale licenˇ cní klíˇ c je již urˇ cen pouze pro konkrétní platformu.
49
Licence a registrace produktu
Instalace licenˇ cního klíˇ ce Licenˇ cní klíˇ c lze nainstalovat dvˇ ema zp˚ usoby: • Volbou Instalovat licenci z nabídky Zmˇ enit v hlavním menu administraˇ cního okna (viz rení souboru. kapitola 3.2). Tento odkaz zobrazí standardní systémový dialog pro otevˇ Je-li instalace licenˇ cního klíˇ ce úspˇ ešná, licence je ihned aktivní. Na úvodní stránce Administration Console se zobrazí se informace o nové licenci. Tímto zp˚ usobem lze instalovat licenˇ cní klíˇ c i vzdálenˇ e (soubor s licenˇ cním klíˇ cem musí být uložen na disku poˇ cítaˇ ce, ze kterého je vzdálená správa provádˇ ena). • Zkopírováním souboru s licenˇ cním klíˇ cem do pˇ ríslušného adresᡠre. Licenˇ cní klíˇ c je tˇ reba uložit do podadresᡠre license instalaˇ cního adresᡠre Kerio Control (typicky C:\Program Files\Kerio\WinRoute Firewall\license). Název souboru (license.key) musí z˚ ustat zachován! Pro aktivaci licence je nutné restartovat (zastavit a znovu spustit) Kerio Control Engine. Poznámka: Je-li to možné, doporuˇ cujeme registrovat Kerio Control prostˇ rednictvím Administration Console (není nutný restart Kerio Control Engine).
4.6 Vypršení licence nebo práva na aktualizaci Kerio Control automaticky upozorˇ nuje správce na blížící se datum skonˇ cení platnosti licence základního produktu, antiviru Sophos nebo modulu Kerio Web Filter a/nebo skonˇ cení práva na aktualizaci (tzv. pˇ redplatného) Kerio Control nebo antiviru Sophos. Hlavním úˇ celem tˇ echto upozornˇ ení je vˇ cas informovat správce tom, že je tˇ reba prodloužit pˇ redplatné Kerio Control nebo obnovit pˇ ríslušnou licenci. Tato upozornˇ ení mají následující podoby: • Upozornˇ ení bublinovou zprávou (tyto zprávy zobrazuje komponenta Kerio Control Engine Monitor — pouze v operaˇ cních systémech Windows), • Upozornˇ ení na vypršení pˇ redplatného informaˇ cním oknem po pˇ rihlášení do Administration Console. • Upozornˇ ení na skonˇ cení funkˇ cnosti produktu ve WWW rozhraní firewallu pˇ ri pˇ rístupu na WWW stránku v Internetu. Poznámka: Správce Kerio Control m˚ uže rovnˇ ež nastavit zasílání výstrahy o vypršení licence nebo pˇ redplatného formou e-mailu nebo krátké textové zprávy na mobilní telefon (viz kapitola 19.4).
50
4.6 Vypršení licence nebo práva na aktualizaci
Upozornˇ ení bublinovými zprávami (Windows) Sedm dní pˇ red inkriminovaným datem zaˇ cne Kerio Control Engine Monitor periodicky (nˇ ekolikrát dennˇ e) zobrazovat informaci o tom, kolik dní zbývá do vypršení licence nebo pˇ redplatného. Tato informace se zobrazuje až do chvíle, kdy pˇ restane být Kerio Control nebo nˇ ekterá z jeho komponent funkˇ cní, pˇ rípadnˇ e kdy vyprší pˇ redplatné Kerio Control nebo antiviru Sophos. Informace se rovnˇ ež pˇ restane zobrazovat bezprostˇ rednˇ e po registraci pˇ redplatného nebo licence pˇ ríslušné komponenty (podrobnosti viz kapitola 4.4).
Upozornˇ ení v Administration Console Poˇ cínaje 30. dnem pˇ red vypršením pˇ redplatného se po každém pˇ rihlášení zobrazí varování o zbývajícím poˇ ctu dn˚ u do vypršení, pˇ rípadnˇ e že pˇ redplatné již vypršelo. Souˇ cástí tohoto upozornˇ ení je odkaz na WWW stránky spoleˇ cnosti Kerio Technologies, kde lze získat bližší informace o pˇ redplatném a objednat pˇ redplatné na další období. Upozornˇ ení se pˇ restane zobrazovat po registraci licenˇ cního ˇ císla nového pˇ redplatného (viz kapitola 4.4).
Upozornˇ ení ve WWW rozhraní Toto upozornˇ ení se zobrazuje v pˇ rípadˇ e ˇ casovˇ e omezených licencí (napˇ r. NFR licence) nebo ˇ casovˇ e omezených verzí (Beta a RC verze). Poˇ cínaje 7. dnem pˇ red datem skonˇ cení funkˇ cnosti Kerio Control pˇ ri pˇ rístupu libovolného uživatele na WWW stránku v Internetu dojde k pˇ resmˇ erování prohlížeˇ ce na speciální stránku WWW rozhraní firewallu. Tato stránka informuje uživatele o poˇ ctu dn˚ u zbývajících do skonˇ cení funkˇ cnosti produktu. V den skonˇ cení funkˇ cnosti pak bude zobrazen zbývající ˇ cas do automatického vypnutí Kerio Control Engine. Poznámka: Funkˇ cnost finálních verzí s platnou „standardní“ licencí není ˇ casovˇ e omezena.
51
Kapitola 5
Sít’ová rozhraní
Kerio Control je sít’ový firewall. To znamená, že tvoˇ rí bránu mezi dvˇ ema nebo více sítˇ emi (typicky mezi lokální sítí a Internetem) a obsluhuje komunikaci procházející pˇ res sít’ová rozhraní (Ethernet, WiFi, vytᡠcené linky atd.), která jsou do tˇ echto sítí pˇ ripojena. Kerio Control v principu pracuje jako IP smˇ erovaˇ c nad všemi sít’ovými rozhraními, která jsou 3 v systému instalována. Základem konfigurace firewallu je proto správné nastavení sít’ových rozhraní. Sít’ová rozhraní firewallu lze rozhraní zobrazit a konfigurovat v programu Administration Console nebo ve WWW rozhraní Administration v sekci Konfigurace → Rozhraní .
Obrázek 5.1
3
Sít’ová rozhraní
Chceme-li na systému Windows docílit toho, aby Kerio Control nepracoval s nˇ ekterým rozhraním, je možné ve vlastnostech tohoto rozhraní vypnout komponentu Kerio Control (nízkoúrovˇ nový ovladaˇ c Kerio Control). Z d˚ uvodu zajištˇ ení bezpeˇ cnosti a plné kontroly nad sít’ovou komunikací procházející pˇ res firewall však doporuˇ cujeme nevypínat nízkoúrovˇ nový ovladaˇ c Kerio Control na žádném sít’ovém rozhraní! Kerio Control v edici Software Appliance / VMware Virtual Appliance pracuje vždy se všemi sít’ovými rozhraními, která jsou ve stavu „UP“.
52
5.1 Skupiny rozhraní
5.1 Skupiny rozhraní Pro snazší konfiguraci firewallu a lepší pˇ rehlednost se sít’ová rozhraní v Kerio Control ˇ radí do skupin. V komunikaˇ cních pravidlech firewallu lze skupiny rozhraní použít v položkách Zdroj a Cíl, stejnˇ e jako jednotlivá rozhraní (podrobnosti viz kapitola 7.3). Hlavní výhodou skupin rozhraní je fakt, že pˇ ri zmˇ enˇ e internetového pˇ ripojení, pˇ ridání nové linky, výmˇ enˇ e sít’ového adaptéru atd. není v˚ ubec nutné zasahovat do komunikaˇ cních pravidel — staˇ cí pouze zaˇ radit nové rozhraní do správné skupiny. V Kerio Control jsou definovány tyto skupiny rozhraní: • Internetová rozhraní — rozhraní, která jsou nebo mohou být použita pro pˇ ripojení k Internetu (sít’ové adaptéry, bezdrátové adaptéry, vytᡠcené linky atd.), • D˚ uvˇ eryhodná / lokální rozhraní — rozhraní pˇ ripojená k lokálním privátním sítím, které budou firewallem chránˇ eny (typicky adaptéry Ethernet nebo WiFi), • Rozhraní pro VPN — virtuální sít’ová rozhraní využívaná proprietárním ˇ rešením Kerio VPN (VPN server a vytvoˇ rené VPN tunely — podrobnosti viz kapitola 23), • Ostatní rozhraní — rozhraní, která logicky nepatˇ rí do žádné z výše uvedených skupin (napˇ r. sít’ový adaptér pro DMZ, nevyužitá vytᡠcená linka atd.). Skupiny rozhraní nelze vytvᡠret ani rušit (z hlediska konfigurace firewallu to nemá žádný smysl). Pˇ ri vytvᡠrení poˇ cáteˇ cní konfigurace firewallu prostˇ rednictvím Pr˚ uvodce komunikaˇ cními prarazena do správných skupin rozhraní vybraná vidly (viz kapitola 7.1) budou automaticky zaˇ pro pˇ ripojení k Internetu a pro lokální sít’. Zaˇ razení rozhraní do skupin lze kdykoliv pozdˇ eji upravit dle potˇ reby (s urˇ citými omezeními — napˇ r. VPN server a VPN tunely patˇ rí vždy do skupiny Rozhraní pro VPN ). Pˇ resun rozhraní do jiné skupiny se provádí pˇ retažením myší nebo výbˇ erem skupiny ve vlastnostech pˇ ríslušného rozhraní — viz níže. Poznámka: Pokud se neprovede poˇ cáteˇ cní konfigurace firewall pomocí pr˚ uvodce, pak jsou všechna rozhraní (s výjimkou rozhraní pro VPN) zaˇ razena do skupiny Ostatní rozhraní. Pˇ red vytvᡠrením komunikaˇ cních pravidel doporuˇ cujeme správnˇ e definovat rozhraní pro pˇ ripojení k Internetu a pro lokální sít’ — tím se znaˇ cnˇ e zjednoduší definice vlastních pravidel.
5.2 Speciální rozhraní V sekci Rozhraní se zobrazují také tato dvˇ e speciální rozhraní: VPN server Toto rozhraní pˇ redstavuje server pro pˇ ripojení proprietárního VPN klienta (Kerio VPN Client — zdarma ke stažení na stránce http://www.kerio.cz/cz/firewall/download). VPN server je vždy zaˇ razen do skupiny Rozhraní pro VPN. 53
Sít’ová rozhraní
Dvojitým kliknutím na toto rozhraní (pˇ rípadnˇ e stisknutím tlaˇ cítka Zmˇ enit) se otevírá dialog pro nastavení parametr˚ u VPN serveru. Rozhraní VPN server nelze odstranit. Podrobné informace o proprietárním VPN ˇ rešení Kerio VPN naleznete v kapitole 23. Dial-In (pouze na systému Windows) Toto rozhraní pˇ redstavuje server služby RAS (telefonického pˇ ripojení sítˇ e) na poˇ cítaˇ ci s Kerio Control. S použitím rozhraní Dial-In lze definovat komunikaˇ cní pravidla (viz kapitola 7) pro RAS klienty, kteˇ rí se na tento server pˇ ripojují. Rozhraní Dial-In je považováno za d˚ uvˇ eryhodné (klient pˇ ripojený pˇ res toto rozhraní má pˇ rístup do lokální sítˇ e). Toto rozhraní nelze konfigurovat ani odstranit. Pokud z nˇ ejakého d˚ uvodu RAS klienty nepovažujeme za souˇ cást d˚ uvˇ eryhodné lokální sítˇ e, m˚ užeme rozhraní Dial-In pˇ resunout do skupiny Ostatní rozhraní. Poznámka: 1.
2.
Pˇ ri použití RAS serveru spoleˇ cnˇ e s Kerio Control je tˇ reba nastavit RAS server tak, aby pˇ ridˇ eloval klient˚ um IP adresy ze subsítˇ e, která není použita v žádném segmentu lokální sítˇ e. Kerio Control provádí standardní IP smˇ erování a pˇ ri nedodržení uvedené podmínky nebude toto smˇ erování fungovat správnˇ e. Pro pˇ ridˇ elování IP adres RAS klient˚ um pˇ ripojujícím se pˇ rímo k poˇ cítaˇ ci s Kerio Control nelze využít DHCP server v Kerio Control. Podrobnosti viz kapitola 9.2.
5.3 Zobrazení a zmˇ ena parametr˚ u rozhraní Kerio Control v seznamu rozhraní zobrazuje parametry, které souvisejí s konfigurací a ˇ cinností firewallu: Jméno Jednoznaˇ cný název, který identifikuje rozhraní v rámci Kerio Control. Zvolte jej tak, aby bylo zˇ rejmé, o který adaptér se jedná (napˇ r. Internet pro rozhraní pˇ ripojené k Internetu). Název rozhraní m˚ uže být kdykoliv pozdˇ eji zmˇ enˇ en (viz dále), aniž by tím došlo k ovlivnˇ ení funkce Kerio Control. Ikona vlevo od názvu zobrazuje typ rozhraní (sít’ový adaptér, vytᡠcené pˇ ripojení, VPN server, VPN tunel). Poznámka: Nebyl-li dosud název rozhraní zadán ruˇ cnˇ e, obsahuje tato položka jméno adaptéru z operaˇ cního systému (viz položka Jméno adaptéru). IP adresa, Maska IP adresa a maska subsítˇ e pˇ riˇ razené tomuto rozhraní. Pokud má zvolený adaptér nastaveno více IP adres, zobrazuje se zde vždy primární IP adresa. V systému Windows je za primární adresu považována ta, která byla danému adaptéru pˇ riˇ razena jako první. Stav Stav rozhraní (pˇ ripojeno/odpojeno).
54
5.3 Zobrazení a zmˇ ena parametr˚ u rozhraní
Internet Indikace, jakým zp˚ usobem je rozhraní použito pro pˇ ripojení k (primární/sekundární pˇ ripojení, využitá šíˇ rka pásma pˇ ri rozložení zátˇ eže).
Internetu
Podrobnosti Identifikaˇ cní ˇ retˇ ezec adaptéru, který vrací pˇ ríslušný ovladaˇ c zaˇ rízení. Jméno v systému Pojmenování adaptéru v operaˇ cním systému (napˇ r. „Pˇ ripojení k místní síti 2“). Slouží pro snazší orientaci, o který adaptér se jedná. Brána IP adresa výchozí brány nastavené na pˇ ríslušném rozhraní. DNS IP adresa primárního DNS serveru nastaveného na pˇ ríslušném rozhraní. MAC Hardwarová (MAC) adresa pˇ ríslušného sít’ového adaptéru. U vytᡠcených linek, rozhraní pro VPN atd. nemá tato položka smysl a je prázdná. Tlaˇ cítka pod seznamem rozhraní umožˇ nují provádˇ et urˇ cité akce s vybraným rozhraním. Není-li vybráno žádné rozhraní, nebo vybrané rozhraní danou funkci nepodporuje, jsou pˇ ríslušná tlaˇ cítka neaktivní. Pˇ ridat VPN tunel Tímto tlaˇ cítkem lze vytvoˇ rit nový VPN tunel typu server-to-server. Podrobnosti o proprietárním VPN ˇ rešení Kerio VPN viz kapitola 23. Poznámka: V Software Appliance / VMware Virtual Appliance je možné také pˇ ridávat nová rozhraní (vytᡠcené pˇ ripojení, PPTP nebo PPPoE pˇ ripojení) — viz sekce Pˇ ridání nového rozhraní. Je-li Kerio Control nainstalován na systému Windows, pak je potˇ reba definovat nová pˇ ripojení standardním zp˚ usobem pˇ rímo v operaˇ cním systému. Zmˇ enit Stisknutím tlaˇ cítka Zmˇ enit lze zobrazit podrobné informace a upravit parametry vybraného rozhraní. Každému rozhraní lze v Kerio Control pˇ riˇ radit vlastní jméno (název rozhraní pˇ revzatý z operaˇ cního systému nemusí být vždy srozumitelný, dokonce ani jednoznaˇ cný). Dále lze zmˇ enit skupinu, do které je rozhraní zaˇ razeno (Internet, chránˇ ená lokální sít’, jiná sít’ — napˇ r. DMZ). Dále je možné zmˇ enit nastavení výchozí brány a DNS server˚ u. V edici Software Appliance / VMware Virtual Appliance je možné v tomto dialogu nastavit všechny parametry sít’ového rozhraní. Jedná-li se o vytᡠcenou linku, umožˇ nuje dialog nastavit také pˇ rihlašovací údaje a volby pro vytᡠcení (viz kapitola 6.2). V pˇ rípadˇ e rozhraní VPN server a VPN tunel˚ u se zobrazí dialog pro nastavení parametr˚ u VPN serveru (viz kapitola 23.1), resp. VPN tunelu (viz kapitola 23.3).
55
Sít’ová rozhraní
Obrázek 5.2
Nastavení parametr˚ u rozhraní
Odebrat Odstranˇ ení vybraného rozhraní z Kerio Control. Odstranit rozhraní lze pouze za následujících podmínek: • jedná se o neaktivní (zakázaný) VPN tunel, • jedná se o sít’ový adaptér, který již není v systému fyzicky pˇ rítomen nebo není aktivní, • jedná se o vytᡠcenou linku, která již v systému neexistuje. Sít’ový adaptér nebo vytᡠcenou linku definovanou v operaˇ cním systému ˇ ci navázaný VPN tunel Kerio Control nepovolí odebrat. Poznámka: 1.
2.
Záznam o již neexistujícím sít’ovém adaptéru nebo odstranˇ ené vytᡠcené lince nemá žádný vliv na ˇ cinnost Kerio Control — je považován za neaktivní, stejnˇ e jako vytᡠcená linka v zavˇ ešeném stavu. Pˇ ri odstranˇ ení rozhraní se ve všech komunikaˇ cních pravidlech, ve kterých bylo toto rozhraní použito, dosadí do pˇ ríslušné položky hodnota Nic. Všechna taková pravidla pak budou neaktivní. Tím je zajištˇ eno, že odebrání rozhraní nijak neovlivní smysl komunikaˇ cních pravidel (podrobnosti viz kapitola 7.3).
Vytoˇ cit, Zavˇ esit / Povolit, Zakázat Funkce tˇ echto tlaˇ cítek závisí na typu vybraného rozhraní: • V pˇ rípadˇ e vytᡠcené linky, PPTP nebo PPPoE pˇ ripojení jsou tlaˇ cítka oznaˇ cena Vy56
5.4 Pˇ ridání nového rozhraní (Software Appliance / VMware Virtual Appliance)
toˇ cit a Zavˇ esit a slouží k ruˇ cnímu ovládání vybrané linky. Poznámka: Uživatelé s pˇ ríslušným právem mohou rovnˇ ež ovládat vytᡠcené linky rív uživatelském WWW rozhraní (viz kapitola 16.2 a manuál Kerio Control — Pˇ ruˇ cka uživatele). • V pˇ rípadˇ e VPN tunelu jsou tato tlaˇ cítka oznaˇ cena Povolit a Zakázat a slouží k aktivaci / deaktivaci vybraného VPN tunelu (podrobnosti viz kapitola 23.3). V edici Software Appliance / VMware Virtual Appliance lze povolit nebo zakázat také jednotlivé sít’ové adaptéry. • Je-li vybráno rozhraní Dial-in nebo VPN server, jsou tato tlaˇ cítka neaktivní.
5.4 Pˇ ridání nového rozhraní (Software Appliance / VMware Virtual Appliance) Kerio Control v edici Software Appliance / VMware Virtual Appliance umožˇ nuje pˇ ridávat nová sít’ová rozhraní (vytᡠcené linky, PPPoE a PPTP pˇ ripojení) pˇ rímo v administraˇ cní konzoli. Stisknutím tlaˇ cítka Pˇ ridat se zobrazí nabídka, ze které vybereme požadovaný typ nového rozhraní (vytᡠcenou linku lze pˇ ridat pouze v pˇ rípadˇ e, že je v poˇ cítaˇ ci s firewallem nainstalován analogový nebo ISDN modem). Novému rozhraní je potˇ reba pˇ riˇ radit dostateˇ cnˇ e popisné jméno, pod kterým bude rozhraní zobrazováno v Kerio Control, a zaˇ radit jej do nˇ ekteré skupiny rozhraní (skupinu lze samozˇ rejmˇ e kdykoliv pozdˇ eji zmˇ enit dle potˇ reby). Další parametry rozhraní závisejí na zvoleném typu rozhraní. Ve vˇ etšinˇ e pˇ rípad˚ u je potˇ reba zadat také uživatelské jméno a heslo pro ovˇ eˇ rení pˇ rístupu. Volitelnˇ e lze zadat IP adresu specifického DNS serveru, který bude použit jako primární DNS server pˇ ri pˇ rístupu do Internetu pˇ res toto rozhraní. Záložka Nastavení vytᡠcení umožˇ nuje nastavit ˇ casové intervaly, ve kterých má být pˇ ripojení trvale navázáno nebo trvale odpojeno. Mimo tyto intervaly bude pˇ ripojení navazováno na žádost (tzn. bude automaticky navázáno vždy, pokud Kerio Control potˇ rebuje odeslat paket do pˇ ríslušné sítˇ e). Podrobné informace o linkách vytᡠcených na žádost naleznete v kapitole 6.2 a 25.5.
5.5 Upˇ resˇ nující nastavení vytᡠcené linky Pro vytᡠcené linky je dialog pro nastavení parametr˚ u rozhraní (viz kapitola 5) rozšíˇ ren o záložku Nastavení vytᡠcení , která umožˇ nuje nastavit specifické parametry pro vytᡠcená pˇ ripojení: Pˇ rihlašovací údaje Dojde-li ke zmˇ enˇ e pˇ rihlašovacích údaj˚ u k pˇ ríslušnému vytᡠcenému pˇ ripojení, m˚ užeme je zde aktualizovat, pˇ rípadnˇ e použít údaje uložené v operaˇ cním systému (pokud byly mezitím v systému uloženy).
57
Sít’ová rozhraní
Obrázek 5.3
Vlastnosti rozhraní — nastavení vytᡠcení
ˇ Casové intervaly pro trvalé pˇ ripojení a trvalé zavˇ ešení V nˇ ekterých pˇ rípadech m˚ uže být požadováno, aby vytᡠcení na žádost fungovalo jen v urˇ citém ˇ case (typicky v pracovní dobˇ e) a mimo tuto dobu z˚ ustala linka zavˇ ešená. S ohledem na tarif telefonního operátora m˚ uže být v dobˇ e s velkou intenzitou sít’ového provozu naopak výhodnˇ ejší ponechat linku trvale vytoˇ cenou. Pro tyto úˇ cely je možné nastavit ˇ casové intervaly, kdy má být linka trvale pˇ ripojena a kdy naopak trvale zavˇ ešena. Pokud se vybrané ˇ casové intervaly pˇ rekrývají, pak má vyšší prioritu interval, ve kterém je linka trvale zavˇ ešena. V ˇ casech mimo nastavené intervaly je linka vytᡠcena na žádost. Poznámka: 1.
Pokud je ve smˇ erovací tabulce v Kerio Control definována statická cesta pˇ res vytᡠcenou linku, pak tato linka bude vytoˇ cena vždy, když bude touto cestou smˇ erován nˇ ejaký paket. Nastavení intervalu, kdy má být linka trvale zavˇ ešena, bude v tomto pˇ rípadˇ e ignorováno.
58
5.6 Pomocné skripty pro ovládání linky (Windows)
2.
Podrobnosti viz kapitola 18.1. Konfigurace vytᡠcení neobsahuje explicitní volbu pro obnovení pˇ ripojení po výpadku. V pˇ rípadˇ e výpadku pˇ ripojení bude nebo nebude obnoveno v závislosti na režimu linky v aktuálním okamžiku: • Pokud má být linka trvale pˇ ripojena, pak bude spojení automaticky ihned obnoveno. • Má-li být linka trvale zavˇ ešena, pak pˇ ripojení obnoveno nebude. • V režimu vytᡠcení na žádost (tj. mimo zde nastavené intervaly) bude pˇ ripojení obnoveno s prvním následujícím požadavkem (paketem z lokální sítˇ e do Internetu).
Automatické zavˇ ešení linky pˇ ri neˇ cinnosti Vytᡠcené linky jsou zpravidla úˇ ctovány podle doby pˇ ripojení. Pokud pˇ ripojením nejsou pˇ renášena žádná data, je zbyteˇ cné, aby linka z˚ ustávala pˇ ripojená. Proto je možné nastavit dobu, po které bude linka automaticky zavˇ ešena. Pro optimální nastavení doby neˇ cinnosti je tˇ reba vzít v úvahu zp˚ usob, jakým je pˇ ripojení úˇ ctováno. Pˇ ríliš krátká doba zp˚ usobí ˇ casté zavˇ ešování a vytᡠcení linky, což m˚ uže náklady naopak zvýšit (a navíc zhoršit uživatelský komfort). Poznámka: V ˇ casovém intervalu, kdy má být linka trvale pˇ ripojena (viz výše), je doba neˇ cinnosti ignorována.
5.6 Pomocné skripty pro ovládání linky (Windows) V nˇ ekterých pˇ rípadech vzniká potˇ reba spustit pˇ ri vytᡠcení nebo zavˇ ešování linky urˇ citý program nebo skript (dávkový pˇ ríkaz). M˚ uže se jednat napˇ r. o speciální typ modemu, který musí být ovládán programem dodaným jeho výrobcem. Kerio Control umožˇ nuje spustit libovolný program nebo pˇ ríkaz v tˇ echto okamžicích: Pˇ red vytoˇ cením linky, Po vytoˇ cení linky, Pˇ red zavˇ ešením linky a Po zavˇ ešení linky. V pˇ rípadˇ e akcí Pˇ red vytoˇ cením a Pˇ red zavˇ ešením se po spuštˇ ení programu neˇ ceká na jeho ukonˇ cení.
Obrázek 5.4
Vytᡠcená linka — externí pˇ ríkazy
59
Sít’ová rozhraní
Skripty pro ovládání vytᡠcených linek musejí být umístˇ eny v podadresᡠri scripts instalaˇ cního adresᡠre firewallu, typicky C:\Program Files\Kerio\WinRoute Firewall\scripts (pozor, tento adresᡠr ve výchozí instalaci neexistuje — je potˇ reba jej vytvoˇ rit!). Soubory skript˚ u musejí mít tyto názvy: • BeforeDial.cmd — pˇ red vytoˇ cením linky, • AfterDial.cmd — po vytoˇ cení linky, • BeforeHangup.cmd — pˇ red zavˇ ešením linky, • AfterHangup.cmd — po zavˇ ešení linky. Každému skriptu je jako první parametr pˇ redán celý název pˇ ripojení, které je právˇ e vytᡠceno nebo zavˇ ešováno — jméno rozhraní v Kerio Control. Pˇ rípadné chyby (napˇ r. pokud povolíme nˇ ekterou akci, ale pˇ ríslušný skript neexistuje) se zapisují do záznamu Error (viz kapitola 22.8). Poznámka: Pokud název vytᡠceného pˇ ripojení obsahuje mezery, bude pˇ ri volání skriptu automaticky vložen do uvozovek, ˇ címž bude správnˇ e zajištˇ eno pˇ redání celého názvu v jediném parametru skriptu. Vhodnˇ ejší je však používat pro vytᡠcená rozhraní názvy bez mezer a bez diakritiky. Rozhraní v Kerio Control lze kdykoliv bez problém˚ u pˇ rejmenovat. Upozornˇ ení: V operaˇ cním systému Windows bˇ eží Kerio Control jako služba, a proto budou zadané externí aplikace nebo pˇ ríkazy operaˇ cního systému spouštˇ eny pouze na pozadí (pod úˇ ctem SYSTEM ). Totéž platí pro všechny pˇ ríkazy a externí programy volané v zadaných skriptech. Z tohoto d˚ uvodu není vhodné pro výše popsané akce používat interaktivní aplikace (tzn. aplikace, které vyžadují zásah uživatele). Interaktivní aplikace by z˚ ustala „neviditelnˇ e“ spuštˇ ená až do restartu systému nebo ukonˇ cení pˇ ríslušného procesu. V nˇ ekterých pˇ rípadech by taková aplikace mohla zároveˇ n blokovat další vytoˇ cení nebo zavˇ ešení linky. V edici Software Appliance / VMware Virtual Appliance nejsou pomocné skripty pro vytᡠcené linky podporovány.
60
Kapitola 6
Internetové pˇ ripojení
Základní funkcí Kerio Control je pˇ ripojení lokální sítˇ e k Internetu prostˇ rednictvím jednoho nebo více internetových pˇ ripojení (internetových linek). V závislosti na poˇ ctu a typu linek nabízí Kerio Control r˚ uzné možnosti pˇ ripojení k Internetu: Jedna linka — trvalé pˇ ripojení Nejbˇ ežnˇ ejší zp˚ usob pˇ ripojení lokální sítˇ e k Internetu. K dispozici je pouze jedno internetové pˇ ripojení, které má trvalý charakter (typicky Ethernet, WiFi, ADSL nebo kabelový modem). Lze použít i linky, které mají charakter vytᡠceného pˇ ripojení, ale mohou být trvale pˇ ripojeny — napˇ r. pˇ ripojení PPPoE nebo CDMA modem. Jedna linka — vytᡠcení na žádost Tento zp˚ usob pˇ ripojení je vhodný pro linky, které jsou úˇ ctovány podle doby pˇ ripojení — typicky modem pro analogovou nebo ISDN linku. Linka je ve výchozím stavu zavˇ ešena a Kerio Control ji automaticky vytoˇ cí v okamžiku, kdy zaznamená požadavek na pˇ rístup z lokální sítˇ e do Internetu. Pokud nejsou po lince pˇ renášena žádná data, Kerio Control ji po nastavené dobˇ e opˇ et zavˇ esí, ˇ címž snižuje náklady na pˇ ripojení. Dvˇ e linky — zálohování pˇ ripojení Pokud je kladen d˚ uraz na spolehlivost internetového pˇ ripojení (dostupnost Internetu) a jsou k dispozici dvˇ e internetové linky, pak lze využít funkci zálohování internetového pˇ ripojení. V pˇ rípadˇ e výpadku primární linky zaˇ cne Kerio Control automaticky používat záložní linku (pevnou nebo vytᡠcenou). Uživatelé tak zaznamenají jen velmi krátkodobý výpadek internetového pˇ ripojení. Po obnovení funkˇ cnosti primární linky Kerio Control automaticky pˇ repne internetové pˇ ripojení zpˇ et na primární linku. Pˇ ri pˇ repnutí zpˇ et již vˇ etšina uživatel˚ u ani nezaznamená výpadek. Dvˇ e a více linek — rozložení zátˇ eže Je-li nejd˚ uležitˇ ejším kritériem propustnost (rychlost) internetového pˇ ripojení, pak m˚ uže Kerio Control použít více internetových linek zároveˇ n a rozdˇ elit data pˇ renášená mezi lokální sítí a Internetem mezi tyto linky. Pˇ ri standardním nastavení se zároveˇ n jedná o zálohované pˇ ripojení — pˇ ri výpadku nˇ ekteré z linek budou data automaticky rozložena mezi zbývající linky. Ve všech pˇ rípadech Kerio Control pracuje v režimu sdílení internetového pˇ ripojení. Pro sdílení pˇ ripojení se využívá technologie pˇ rekladu IP adres (NAT), kdy je celá lokální sít’ skryta za veˇ rejnou IP adresou firewallu (resp. nˇ ekolika veˇ rejnými adresami — dle použitého zp˚ usobu internetového pˇ ripojení). Kerio Control lze rovnˇ ež použít jako neutrální smˇ erovaˇ c (tj. smˇ erovaˇ c bez pˇ rekladu IP adres). Tento režim však není pˇ ríliš vhodný pro pˇ ripojení lokální sítˇ e k Internetu — vyžaduje pokroˇ cilejší nastavení smˇ erování a zabezpeˇ cení.
61
Internetové pˇ ripojení
Pˇ ri konfiguraci internetového pˇ ripojení v Kerio Control je nejprve potˇ reba v sekci Konfigurace → Rozhraní vybrat požadovaný zp˚ usob pˇ ripojení k Internetu, nastavit pˇ ríslušná rozhraní pro pˇ ripojení k Internetu a definovat odpovídající komunikaˇ cní pravidla (viz kapitola 7.3). Tip: Všechna potˇ rebná nastavení mohou být provedena automaticky pomocí Pr˚ uvodce komunikaˇ cními pravidly — viz kapitola 7.1. V následujících kapitolách bude uvedeno nastavení daného typu internetového pˇ ripojení pomocí pr˚ uvodce a popis odpovídající konfigurace rozhraní a komunikaˇ cních pravidel. Tyto informace lze využít pro úpravu nastavení dle potˇ reby (napˇ r. pˇ ri pˇ ripojení nové lokální subsítˇ e nebo zmˇ enˇ e internetového pˇ ripojení).
6.1 Trvalé pˇ ripojení jednou linkou Požadavky Poˇ cítaˇ c s Kerio Control musí být pˇ ripojen k Internetu pevnou linkou (typicky adaptér Ethernet nebo WiFi). Parametry toho rozhraní budou nastaveny podle údaj˚ u od poskytovatele internetového pˇ ripojení nebo mohou být konfigurovány automaticky protokolem DHCP. Alternativnˇ e je možné použít linku, která má charakter vytᡠceného pˇ ripojení, ale m˚ uže být trvale pˇ ripojena — napˇ r. pˇ ripojení PPPoE nebo CDMA modem. Linku tohoto typu bude Kerio Control udržovat trvale pˇ ripojenou (pˇ ri výpadku dojde ihned k automatickému obnovení pˇ ripojení). Dále musí být pˇ rítomen jeden nebo více sít’ových adaptér˚ u pro pˇ ripojení segment˚ u lokální sítˇ e. Na žádném z tˇ echto adaptér˚ u nesmí být nastavena výchozí brána! Je-li to možné, doporuˇ cujeme vyzkoušet funkˇ cnost internetového pˇ ripojení ještˇ e pˇ red instalací Kerio Control.
Konfigurace pomocí pr˚ uvodce V Pr˚ uvodci komunikaˇ cními pravidly (viz kapitola 7.1) ve druhém kroku zvolíme možnost Jedna internetová linka — trvalé pˇ ripojení . Ve tˇ retím kroku pr˚ uvodce pak vybereme odpovídající sít’ové rozhraní (internetovou linku). Kerio Control automaticky nabídne rozhraní, na kterém detekoval výchozí bránu. Proto je ve vˇ etšinˇ e pˇ rípad˚ u v tomto kroku již pˇ rednastaven správný adaptér. Pokud vybereme linku, která je definována jako vytᡠcené pˇ ripojení (viz výše), pak je potˇ reba také zadat pˇ ríslušné uživatelské jméno a heslo. Pokud jsou tyto údaje v operaˇ cním systému uloženy, m˚ uže je Kerio Control naˇ císt automaticky.
Pr˚ uvodce komunikaˇ cními pravidly — výbˇ er rozhraní pro pˇ ripojení k Internetu
V edici Software Appliance / VMware Virtual Appliance je pˇ rímo v pr˚ uvodci možné: • Konfigurovat parametry vybraného rozhraní, • Vytvoˇ rit nové rozhraní (PPPoE, PPTP nebo vytᡠcené pˇ ripojení). Podrobné informace o sít’ových rozhraních naleznete v kapitole 5. Poznámky: 1.
Na prvním místˇ e seznamu je nabízeno internetové rozhraní, na nˇ emž je nastavena výchozí brána. Proto je ve vˇ etšinˇ e pˇ rípad˚ u v tomto kroku již pˇ rednastaven správný adaptér.
63
Internetové pˇ ripojení
2.
Pokud má zvolený adaptér nastaveno více IP adres, zobrazuje se zde vždy primární IP adresa. V systému Windows je za primární adresu považována ta, která byla danému adaptéru pˇ riˇ razena jako první.
3.
Zbývající kroky Pr˚ uvodce komunikaˇ cními pravidly již nesouvisejí s typem internetového pˇ ripojení. Tyto kroky jsou popsány samostatnˇ e v kapitole 7.1
Výsledná konfigurace rozhraní Po dokonˇ cení Pr˚ uvodce komunikaˇ cními pravidly si m˚ užeme v sekci Konfigurace → Rozhraní prohlédnout výslednou konfiguraci rozhraní a v pˇ rípadˇ e potˇ reby ji dále upravit.
Obrázek 6.3
Konfigurace rozhraní — pˇ ripojení jednou pevnou linkou
Do skupiny Internetová rozhraní je zaˇ razen pouze adaptér Internet vybraný ve tˇ retím kroku pr˚ uvodce. Ostatní rozhraní (vˇ cetnˇ e rozhraní Dial-In) jsou považována za segmenty lokální sítˇ e a jsou zaˇ razena do skupiny D˚ uvˇ eryhodná / lokální rozhraní. Pokud nastavení rozhraní neodpovídá skuteˇ cné konfiguraci sítˇ e (napˇ r. nˇ ekterý adaptér je urˇ cen pro DMZ), m˚ užeme pˇ resunout pˇ ríslušné rozhraní do skupiny Ostatní rozhraní. Pro tato rozhraní je pak nutné ruˇ cnˇ e definovat odpovídající komunikaˇ cní pravidla (viz kapitola 7.3). Do skupiny Internetová rozhraní je rovnˇ ež možné pˇ ridat další rozhraní. Pakety pak budou smˇ erovány do pˇ ríslušných cílových sítí dle systémové smˇ erovací tabulky (viz též kapitola 18.1) ríliš velký a bude provádˇ en pˇ reklad IP adres (NAT). V praxi však takováto konfigurace nemá pˇ význam.
64
6.2 Pˇ ripojení jednou vytᡠcenou linkou - vytᡠcení na žádost
Upozornˇ ení: V režimu Jedna internetová linka musí být nastavena výchozí brána pouze na „hlavním“ internetovém rozhraní! Pokud Kerio Control detekuje více výchozích bran, zobrazí se chybové hlášení. Tento problém je potˇ reba ihned vyˇ rešit, jinak nebude komunikace z firewallu a lokální sítˇ e do Internetu fungovat správnˇ e.
6.2 Pˇ ripojení jednou vytᡠcenou linkou - vytᡠcení na žádost Je-li poˇ cítaˇ c s Kerio Control pˇ ripojen k Internetu vytᡠcenou linkou, vzniká zpravidla požadavek, aby bylo vytᡠcení a zavˇ ešování linky urˇ citým zp˚ usobem automatizováno (ruˇ cní obsluha linky je vˇ etšinou ˇ casovˇ e nároˇ cná a nepohodlná). Kerio Control nabízí následující možnosti obsluhy vytᡠcené linky: • Vytoˇ cení linky na základˇ e požadavku z lokální sítˇ e. Tato funkce se nazývá vytᡠcení na žádost a bude detailnˇ e popsána dále. • Automatické zavˇ ešení linky pˇ ri neˇ cinnosti, tj. pokud po ní nejsou po urˇ citou dobu pˇ renášena žádná data (ani v jednom smˇ eru). • Udržování linky trvale pˇ ripojené nebo trvale zavˇ ešené ve zvolených ˇ casových intervalech.
Požadavky V poˇ cítaˇ ci s Kerio Control musí být nainstalováno pˇ ríslušné zaˇ rízení (zpravidla analogový modem nebo ISDN modem) a v operaˇ cním systému vytvoˇ reno odpovídající vytᡠcené pˇ ripojení. U vytᡠceného pˇ ripojení nemusejí být uloženy pˇ rihlašovací údaje (je-li k tomu nˇ ejaký d˚ uvod), tyto údaje lze zadat pˇ rímo v Kerio Control. Dále musí být pˇ rítomen jeden nebo více sít’ových adaptér˚ u pro pˇ ripojení segment˚ u lokální sítˇ e. Na žádném z tˇ echto adaptér˚ u nesmí být nastavena výchozí brána! Doporuˇ cujeme vytvoˇ rit vytᡠcené pˇ ripojení a provˇ eˇ rit jeho funkˇ cnost ještˇ e pˇ red instalací Kerio Control. Upozornˇ ení: Pˇ red konfigurací lokální sítˇ e a firewallu s použitím internetové linky vytᡠcené na žádost doporuˇ cujeme d˚ ukladnˇ e prostudovat informace uvedené v kapitole 25.5. Vhodným návrhem konfigurace sítˇ e s ohledem na specifické vlastnosti linky vytᡠcené na žádost lze pˇ redejít mnoha pozdˇ ejším problém˚ um.
65
Internetové pˇ ripojení
Konfigurace pomocí pr˚ uvodce V Pr˚ uvodci komunikaˇ cními pravidly (viz kapitola 7.1) ve druhém kroku zvolíme možnost Jedna internetová linka — vytᡠcení na žádost.
Obrázek 6.4
Pr˚ uvodce komunikaˇ cními pravidly — vytᡠcení linky na žádost
Ve tˇ retím kroku pr˚ uvodce pak vybereme odpovídající vytᡠcené pˇ ripojení (internetovou linku). Pokud nejsou v operaˇ cním systému uloženy pˇ rihlašovací údaje, pak je potˇ reba také zadat pˇ ríslušné uživatelské jméno a heslo.
Obrázek 6.5
Pr˚ uvodce komunikaˇ cními pravidly — výbˇ er rozhraní pro pˇ ripojení k Internetu
66
6.2 Pˇ ripojení jednou vytᡠcenou linkou - vytᡠcení na žádost
V edici Software Appliance / VMware Virtual Appliance je pˇ rímo v pr˚ uvodci možné: • Konfigurovat parametry vybraného rozhraní, • Vytvoˇ rit nové rozhraní (PPPoE, PPTP nebo vytᡠcené pˇ ripojení). Podrobné informace o sít’ových rozhraních naleznete v kapitole 5.
Výsledná konfigurace rozhraní Po dokonˇ cení Pr˚ uvodce komunikaˇ cními pravidly si m˚ užeme v sekci Konfigurace → Rozhraní prohlédnout výslednou konfiguraci rozhraní a v pˇ rípadˇ e potˇ reby ji dále upravit.
Obrázek 6.6
cená na žádost Konfigurace rozhraní — linka vytáˇ
Do skupiny Internetová rozhraní je zaˇ razena pouze linka Vytᡠcené pˇ ripojení vybraná ve tˇ retím kroku pr˚ uvodce. Toto pˇ ripojení je automaticky oznaˇ ceno jako linka vytᡠcená na žádost (viz informace ve sloupci Internet). Ostatní rozhraní (vˇ cetnˇ e rozhraní Dial-In) jsou považována za segmenty lokální sítˇ e a jsou zaˇ razena do skupiny D˚ uvˇ eryhodná / lokální rozhraní. Ve skupinˇ e Internetová rozhraní m˚ uže být zaˇ razeno více vytᡠcených linek. Pro vytᡠcení na žádost však m˚ uže být nastavena vždy pouze jedna linka. Pokud dojde k ruˇ cnímu vytoˇ cení nˇ ekteré další linky, pak bude Kerio Control smˇ erovat pakety do pˇ ríslušné cílové sítˇ e dle systémové smˇ erovací tabulky (viz též kapitola 18.1) a provádˇ et pˇ reklad IP adres (NAT). Takováto konfigurace však nemá témˇ eˇ r žádný praktický význam. Do skupiny Internetová rozhraní proto doporuˇ cujeme zaˇ radit vždy pouze jednu linku, která bude vytᡠcena na žádost. Chceme-li zmˇ enit linku, která má být vytᡠcena na žádost, použijeme volbu v dialogu pro zmˇ enu parametr˚ u rozhraní (viz kapitola 5) nebo v kontextovém menu (po kliknutí pravým tlaˇ cítkem myši na vybranou linku).
67
Internetové pˇ ripojení
Upozornˇ ení: V režimu Vytᡠcení na žádost nesmí být na žádném sít’ovém rozhraní firewallu nastavena výchozí brána! Vytᡠcení na žádost funguje na základˇ e neexistence výchozí brány (pokud ve smˇ erovací tabulce neexistuje cesta, kam by mˇ el být paket smˇ erován, pak Kerio Control vytvoˇ rí výchozí cestu vytoˇ cením internetové linky).
Upˇ resˇ nující nastavení vytᡠcené linky Tlaˇ cítkem Upˇ resnˇ ení lze nastavit parametry pro vytᡠcení linky — napˇ r. intervaly, kdy má být linka trvale pˇ ripojena nebo naopak trvale zavˇ ešena, a pomocné skripty pro vytᡠcení a zavˇ ešování linky. Tato nastavení jsou podrobnˇ e popsána v kapitole 5.5.
6.3 Zálohované internetové pˇ ripojení Kerio Control umožˇ nuje zálohovat internetové pˇ ripojení další linkou. Záložní pˇ ripojení se automaticky aktivuje, jestliže je detekován výpadek primárního pˇ ripojení. Jakmile Kerio Control zjistí, že je primární pˇ ripojení opˇ et funkˇ cní, automaticky deaktivuje záložní pˇ ripojení a zaˇ cne opˇ et používat primární pˇ ripojení. Požadavky Poˇ cítaˇ c s Kerio Control musí mít dvˇ e sít’ová rozhraní pro pˇ ripojení k Internetu: pevnou linku (Ethernet, WiFi) nebo trvale pˇ ripojenou vytᡠcenou linku (CDMA, PPPoE) pro primární pˇ ripojení a pevnou nebo vytᡠcenou linku pro sekundární (záložní) pˇ ripojení. Dále musí být pˇ rítomen jeden nebo více sít’ových adaptér˚ u pro pˇ ripojení segment˚ u lokální sítˇ e. Na žádném z adaptér˚ u pro lokální sít’ nesmí být nastavena výchozí brána! V pˇ rípadˇ e vytᡠcených linek je potˇ reba v operaˇ cním systému také definovat odpovídající telefonické pˇ ripojení. Pˇ rihlašovací údaje k telefonickým pˇ ripojením nemusejí být v systému uloženy (je-li k tomu nˇ ejaký d˚ uvod), tyto údaje lze zadat pˇ rímo ve Kerio Control. Primární i záložní linka mohou být konfigurovány automaticky protokolem DHCP. Kerio Control pak detekuje z operaˇ cního systému všechny potˇ rebné parametry. Doporuˇ cujeme provˇ eˇ rit funkˇ cnost primární a sekundární linky ještˇ e pˇ red instalací Kerio Control: • Pokud se jedná o dvˇ e vytᡠcené linky, vytoˇ címe postupnˇ e každou z nich a provˇ eˇ ríme pˇ rístup do Internetu. • Je-li primární linka pevná a záložní linka vytᡠcená, otestujeme nejprve pˇ ripojení primární linkou a poté vytoˇ címe záložní linku. Po vytoˇ cení linky vznikne nová výchozí cesta pˇ res tuto linku, a tak m˚ užeme otestovat pˇ rístup do Internetu pˇ res záložní linku. • V pˇ rípadˇ e dvou pevných linek je nejjednodušší zakázat v operaˇ cním systému jedno pˇ ripojení a vyzkoušet pˇ rístup do Internetu pˇ res druhou (povolenou) linku. Tento postup pak zopakujeme pro první linku. 68
6.3 Zálohované internetové pˇ ripojení
Upozornˇ ení: Zálohování internetového pˇ ripojení je vhodné pouze pro trvalé pˇ ripojení (tzn. primární pˇ ripojení je realizováno sít’ovým adaptérem nebo trvale pˇ ripojenou vytᡠcenou linkou). V opaˇ cném pˇ rípadˇ e by docházelo k automatické aktivaci záložního pˇ ripojení pˇ ri každém zavˇ ešení primární linky.
Konfigurace pomocí pr˚ uvodce V Pr˚ uvodci komunikaˇ cními pravidly (viz kapitola 7.1) ve druhém kroku zvolíme možnost Více internetových linek — zálohování pˇ ripojení .
Ve tˇ retím kroku pr˚ uvodce pak vybereme sít’ové rozhraní pro primární pˇ ripojení (pevnou nebo trvale pˇ ripojenou vytᡠcenou linku) a pro sekundární pˇ ripojení (pevnou nebo vytᡠcenou linku). Pokud u vybraných telefonických pˇ ripojení nejsou v operaˇ cním systému uloženy pˇ rihlašovací údaje, zadáme pˇ ríslušné jméno a heslo. V edici Software Appliance / VMware Virtual Appliance je pˇ rímo v pr˚ uvodci možné: • Konfigurovat parametry vybraného primárního a sekundárního rozhraní, • Vytvoˇ rit nové primární a/nebo sekundární rozhraní (PPPoE, PPTP nebo vytᡠcené pˇ ripojení). Podrobné informace o sít’ových rozhraních naleznete v kapitole 5. 69
Výsledná konfigurace rozhraní Po dokonˇ cení Pr˚ uvodce komunikaˇ cními pravidly si m˚ užeme v sekci Konfigurace → Rozhraní prohlédnout výslednou konfiguraci rozhraní a v pˇ rípadˇ e potˇ reby ji dále upravit.
Obrázek 6.9
Konfigurace rozhraní — zálohované internetové pˇ ripojení
70
6.3 Zálohované internetové pˇ ripojení
Do skupiny Internetová rozhraní jsou zaˇ razeny linky Internet a Vytᡠcené pˇ ripojení vybrané ve tˇ retím kroku pr˚ uvodce jako primární a sekundární (záložní) internetové pˇ ripojení. Ve sloupci Internet je zobrazeno, která linka je použita jako primární a která jako sekundární pˇ ripojení. Ve sloupci Stav je kromˇ e stavu linky samotné (pˇ ripojena/odpojena) zobrazována také informace, zda je linka aktivní — tzn. zda je právˇ e použita jako internetové pˇ ripojení. Ostatní rozhraní (vˇ cetnˇ e rozhraní Dial-In) jsou považována za segmenty lokální sítˇ e a jsou zaˇ razena do skupiny D˚ uvˇ eryhodná / lokální rozhraní. Ve skupinˇ e Internetová rozhraní mohou být zaˇ razeny i další linky. Pokud budou tyto linky pˇ ripojené, bude probíhat standardní smˇ erování s pˇ rekladem IP adres (NAT). Je zˇ rejmé, že tyto linky nebudou zálohovány. Takováto konfigurace nemá pˇ ríliš velký praktický význam. Doporuˇ cujeme do skupiny Internetová rozhraní zaˇ radit pouze linky pro primární a sekundární internetové pˇ ripojení. Chceme-li zmˇ enit nastavení primárního a sekundárního pˇ ripojení, použijeme volby v dialogu pro zmˇ enu parametr˚ u rozhraní (viz kapitola 5) nebo v kontextovém menu (po kliknutí pravým tlaˇ cítkem myši na vybranou linku). Vždy však m˚ uže být pouze jedna linka nastavena jako primární pˇ ripojení a pouze jedna linka jako sekundární pˇ ripojení.
Testovací poˇ cítaˇ ce Funkˇ cnost primárního internetového pˇ ripojení se ovˇ eˇ ruje periodickým vysíláním ICMP žádostí o odezvu (PING) na urˇ cité poˇ cítaˇ ce nebo sít’ová zaˇ rízení. Standardnˇ e se jako testovací poˇ cítaˇ c používá výchozí brána primárního pˇ ripojení. Je zˇ rejmé, že pokud není výchozí brána dostupná, není toto internetové pˇ ripojení (plnˇ e) funkˇ cní. Pokud z nˇ ejakého d˚ uvodu nelze použít jako testovací poˇ cítaˇ c primární výchozí bránu, m˚ užeme po stisknutí tlaˇ cítka Upˇ resnˇ ení specifikovat IP adresy jednoho nebo více testovacích poˇ cítaˇ cu ˚. Je-li alespoˇ n jeden z testovacích poˇ cítaˇ cu ˚ dostupný, považuje se primární internetové pˇ ripojení za funkˇ cní.
Poznámka: 1. Testovací poˇ cítaˇ c nesmí blokovat zprávy ICMP Echo Request (PING), které Kerio Control používá pro testování jeho dostupnosti — jinak by byl vždy vyhodnocen jako nedostupný. Toto je typický pˇ rípad, kdy nelze použít primární výchozí bránu jako testovací poˇ cítaˇ c. 2. Jako testovací poˇ cítaˇ ce je tˇ reba použít poˇ cítaˇ ce nebo sít’ová zaˇ rízení, která jsou trvale v provozu (napˇ r. servery, smˇ erovaˇ ce apod.). Použít jako testovací poˇ cítaˇ c pracovní stanici, která je v provozu nˇ ekolik hodin dennˇ e, nemá pˇ ríliš velký smysl. 3. ICMP zprávy odesílané na testovací poˇ cítaˇ ce nelze zablokovat komunikaˇ cními pravidly firewallu.
6.4 Rozložení zátˇ eže internetového pˇ ripojení Jsou-li k dispozici alespoˇ n dvˇ e internetové linky, m˚ uže Kerio Control ˇ cást internetové komunikace posílat pˇ res jednu linku a ˇ cást pˇ res jinou linku. Výhody jsou zˇ rejmé — zvýší se propustnost internetového pˇ ripojení (rychlost pˇ renosu dat mezi lokální sítí a Internetem) a zkrátí se doba odezvy pˇ ri pˇ rístupu k server˚ um v Internetu. Pokud nejsou definována speciální komunikaˇ cní pravidla (tzv. policy routing — viz kapitola 7.5), pak jsou jednotlivé linky navíc vzájemnˇ e zálohovány (viz též kapitola 6.3) — pˇ ri výpadku nˇ ekteré linky bude komunikace smˇ erována pˇ res jinou linku. Poznámka: 1. Rozložení zátˇ eže sítˇ e je aplikováno pouze na komunikaci smˇ erovanou výchozí cestou do Internetu. Pokud je ve smˇ erovací tabulce (viz kapitola 18.1) definována cesta do urˇ cité cílové sítˇ e, pak bude komunikace do této sítˇ e vždy smˇ erována pˇ res pˇ ríslušné rozhraní. 2. Rozložení zátˇ eže se neaplikuje na komunikaci samotného firewallu. Tato komunikace je zpracovávána pˇ rímo operaˇ cním systémem, a proto zde probíhá standardní smˇ erování (bude vždy použita výchozí cesta s nejnižší metrikou).
Požadavky Poˇ cítaˇ c s Kerio Control musí mít dvˇ e sít’ová rozhraní pro pˇ ripojení k Internetu, a to pevné linky (Ethernet, WiFi) nebo trvale pˇ ripojené vytᡠcené linky (CDMA, PPPoE). Klasické vytᡠcené linky (analogový modem, ISDN ) nejsou vhodné, protože v režimu rozložení zátˇ eže internetového pˇ ripojení nelze vytᡠcet linku na žádost. Dále musí být pˇ rítomen jeden nebo více sít’ových adaptér˚ u pro pˇ ripojení segment˚ u lokální sítˇ e. Na žádném z adaptér˚ u pro lokální sít’ nesmí být nastavena výchozí brána! V pˇ rípadˇ e linek vytᡠceného charakteru (CDMA, PPPoE) je potˇ reba v operaˇ cním systému také definovat odpovídající telefonické pˇ ripojení. Pˇ rihlašovací údaje k telefonickým pˇ ripojením nemusejí být v systému uloženy (je-li k tomu nˇ ejaký d˚ uvod), tyto údaje lze zadat pˇ rímo v Kerio Control. Primární i záložní linka mohou být konfigurovány automaticky protokolem DHCP. Kerio Control pak detekuje z operaˇ cního systému všechny potˇ rebné parametry.
72
6.4 Rozložení zátˇ eže internetového pˇ ripojení
Doporuˇ cujeme provˇ eˇ rit funkˇ cnost jednotlivých internetových linek ještˇ e pˇ red instalací Kerio Control. Možné zp˚ usoby testování (pro dvˇ e linky): • Pokud se jedná o dvˇ e linky vytᡠceného charakteru, pˇ ripojíme postupnˇ e každou z nich a provˇ eˇ ríme pˇ rístup do Internetu. • Je-li jedna linka pevná a druhá linka vytᡠcená, otestujeme nejprve pˇ ripojení pevnou linkou a poté vytoˇ címe druhou linku. Po vytoˇ cení linky vznikne nová výchozí cesta pˇ res tuto linku, a tak m˚ užeme otestovat pˇ rístup do Internetu pˇ res záložní linku. • V pˇ rípadˇ e dvou pevných linek je nejjednodušší zakázat v operaˇ cním systému jedno pˇ ripojení a vyzkoušet pˇ rístup do Internetu pˇ res druhou (povolenou) linku. Tento postup pak zopakujeme pro první linku. Obdobnˇ e lze postupovat pro libovolný poˇ cet internetových linek.
Konfigurace pomocí pr˚ uvodce V Pr˚ uvodci komunikaˇ cními pravidly (viz kapitola 7.1) ve druhém kroku zvolíme možnost Více internetových linek — rozložení zátˇ eže.
Ve tˇ retím kroku pr˚ uvodce pak postupnˇ e pˇ ridáme všechny linky, které chceme použít pro rozložení zátˇ eže internetového pˇ ripojení. V edici Software Appliance / VMware Virtual Appliance je pˇ rímo v pr˚ uvodci možné: • Konfigurovat parametry vybraného rozhraní, • Vytvoˇ rit nové rozhraní (PPPoE, PPTP nebo vytᡠcené pˇ ripojení). Podrobné informace o sít’ových rozhraních naleznete v kapitole 5.
Pro každou linku je tˇ reba specifikovat šíˇ rku pásma, tj. rychlost linky. Na absolutní hodnotˇ e rychlosti linky nezáleží (z d˚ uvodu pˇ rehlednosti by však mˇ ela pokud možno korespondovat s rychlostí linky udávanou poskytovatelem pˇ ripojení). D˚ uležitý je pomˇ er mezi rychlostmi jednotlivých linek — ten udává, jakým zp˚ usobem bude internetová komunikace mezi tyto linky rozdˇ elována. Pokud u vybraných telefonických pˇ ripojení nejsou v operaˇ cním systému uloženy pˇ rihlašovací údaje, je tˇ reba zadat pˇ ríslušné jméno a heslo.
74
6.4 Rozložení zátˇ eže internetového pˇ ripojení
Pˇ ríklad: Máme k dispozici dvˇ e internetové linky. Jedné z nich nastavíme šíˇ rku pásma 4 Mbit/s a druhé 8 Mbit/s. Celková (deklarovaná) rychlost internetového pˇ ripojení je tedy 12 Mbit/s, pˇ riˇ cemž tˇ retinu této kapacity tvoˇ rí první linka a dvˇ e tˇ retiny druhá linka. Velmi zjednodušenˇ eˇ reˇ ceno, tˇ retina internetové komunikace bude smˇ erována pˇ res první linku a zbývající dvˇ e tˇ retiny pˇ res druhou linku.
Výsledná konfigurace rozhraní Po dokonˇ cení Pr˚ uvodce komunikaˇ cními pravidly si m˚ užeme v sekci Konfigurace → Rozhraní prohlédnout výslednou konfiguraci rozhraní a v pˇ rípadˇ e potˇ reby ji dále upravit.
Obrázek 6.13
Konfigurace rozhraní — rozložení zátˇ eže internetového pˇ ripojení
Do skupiny Internetová rozhraní jsou zaˇ razeny linky Internet 4Mbit a Internet 8Mbit vybrané ve tˇ retím kroku pr˚ uvodce jako rozhraní pro rozložení zátˇ eže internetového pˇ ripojení. Ve sloupci Internet se zobrazují deklarované rychlosti jednotlivých linek (viz výše). Ve sloupci Stav je kromˇ e stavu linky samotné (pˇ ripojena/odpojena) zobrazována také informace, zda je linka aktivní — tzn. zda je internetové pˇ ripojení touto linkou funkˇ cní a lze pˇ res ni smˇ erovat ˇ cást internetové komunikace. Ostatní rozhraní (vˇ cetnˇ e rozhraní Dial-In) jsou považována za segmenty lokální sítˇ e a jsou zaˇ razena do skupiny D˚ uvˇ eryhodná / lokální rozhraní. Pˇ ri pˇ ridání další linky do skupiny Internetová rozhraní bude nové lince nastavena výchozí rychlost (1 Mbit/s). Pak je vhodné upravit v dialogu pro zmˇ enu parametr˚ u rozhraní (viz cnou rychlost, aby byla zátˇ ež kapitola 5) deklarovanou rychlost linky s ohledem na její skuteˇ rozložena pokud možno rovnomˇ ernˇ e.
75
Internetové pˇ ripojení
Tip: Rychlost linky (ˇ ci nˇ ekolika linek) je možné nastavit i na 0 Mbit/s. Takové linky pak nebudou použity pro rozložení zátˇ eže internetového pˇ ripojení, ale bude pˇ res nˇ e smˇ erována pouze komunikace podle specifických komunikaˇ cních pravidel (viz kapitola 7.5). Zároveˇ n však stále bude testována jejich dostupnost a tyto linky budou sloužit jako záložní pro pˇ rípad výpadku všech ostatních linek.
Pokroˇ cilé nastavení (optimalizace, dedikované linky atd.) V základní konfiguraci probíhá rozložení zátˇ eže sítˇ e mezi jednotlivé linky automaticky podle jejich deklarovaných rychlostí (viz výše). Prostˇ rednictvím komunikaˇ cních pravidel lze tento algoritmus upravit (napˇ r. vyhradit jednu linku pouze pro urˇ citou komunikaci). Tato problematika je podrobnˇ e popsána v kapitole 7.5.
Testovací poˇ cítaˇ ce Funkˇ cnost jednotlivých internetových linek se ovˇ eˇ ruje periodickým vysíláním ICMP žádostí o odezvu (PING) na urˇ cité poˇ cítaˇ ce nebo sít’ová zaˇ rízení. Standardnˇ e se jako testovací poˇ cítaˇ c používá výchozí brána pˇ ríslušné linky. Je zˇ rejmé, že pokud není výchozí brána dostupná, není pˇ ríslušná linka (plnˇ e) funkˇ cní. Pokud z nˇ ejakého d˚ uvodu nelze použít jako testovací poˇ cítaˇ c primární výchozí bránu (tzn. výchozí bránu nastavenou na testované lince), m˚ užeme po stisknutí tlaˇ cítka Upˇ resnˇ ení specifikovat IP adresy jednoho nebo více testovacích poˇ cítaˇ cu ˚. Je-li alespoˇ n jeden z testovacích poˇ cítaˇ cu ˚ dostupný, považuje se internetové pˇ ripojení za funkˇ cní. Zadané testovací poˇ cítaˇ ce budou použity pˇ ri testování dostupnosti všech internetových linek. Proto by zde mˇ elo být uvedeno nˇ ekolik poˇ cítaˇ cu ˚ z r˚ uzných subsítí Internetu.
Poznámka: 1. Testovací poˇ cítaˇ c nesmí blokovat zprávy ICMP Echo Request (PING), které Kerio Control používá pro testování jeho dostupnosti — jinak by byl vždy vyhodnocen jako nedostupný. Toto je typický pˇ rípad, kdy nelze použít výchozí bránu jako testovací poˇ cítaˇ c. 2. Jako testovací poˇ cítaˇ ce je tˇ reba použít poˇ cítaˇ ce nebo sít’ová zaˇ rízení, která jsou trvale v provozu (napˇ r. servery, smˇ erovaˇ ce apod.). Použít jako testovací poˇ cítaˇ c pracovní stanici, která je v provozu nˇ ekolik hodin dennˇ e, nemá pˇ ríliš velký smysl. 3. ICMP zprávy odesílané na testovací poˇ cítaˇ ce nelze zablokovat komunikaˇ cními pravidly firewallu.
77
Kapitola 7
Komunikaˇ cní pravidla
Komunikaˇ cní pravidla (Traffic Rules) jsou základem konfigurace Kerio Control. V jediné tabulce je integrováno nastavení: • zabezpeˇ cení (tj. ochrany lokální sítˇ e vˇ cetnˇ e poˇ cítaˇ ce, na nˇ emž je Kerio Control nainstalován, proti nežádoucímu pr˚ uniku z Internetu) • pˇ rekladu IP adres (též NAT — Network Address Translation — technologie umožˇ nující transparentní pˇ rístup z celé lokální sítˇ e do Internetu prostˇ rednictvím jediné veˇ rejné IP adresy) • zpˇ rístupnˇ ení server˚ u (služeb) bˇ ežících v lokální síti z Internetu (tzv. mapování port˚ u) • ˇ rízení pˇ rístupu lokálních uživatel˚ u do Internetu K definici komunikaˇ cních pravidel slouží sekce Konfigurace → Zásady komunikace → Komunikaˇ cní pravidla. Pravidla mohou být definována dvˇ ema zp˚ usoby: ruˇ cnˇ e (pro zkušené správce) nebo pomocí pr˚ uvodce (pro ménˇ e zkušené uživatele nebo pro pˇ rípady, kdy nejsou tˇ reba žádná speciální nastavení). Typický postup je vytvoˇ rit základní komunikaˇ cní pravidla pomocí pr˚ uvodce a tato pravidla pak „doladit“, pˇ rípadnˇ e doplnit další pravidla dle potˇ reby. Zkušení správci nemusejí pr˚ uvodce použít v˚ ubec — mohou vytvoˇ rit kompletní sadu pravidel pˇ resnˇ e podle specifických požadavk˚ u.
7.1 Pr˚ uvodce komunikaˇ cními pravidly
Pr˚ uvodce komunikaˇ cními pravidly je v souˇ casné verzi Kerio Control k dispozici pouze v programu Administration Console. Pr˚ uvodce se spustí stisknutím tlaˇ cítka Pr˚ uvodce v sekci Konfigurace → Zásady komunikace → Komunikaˇ cní pravidla. Pr˚ uvodce se uživatele dotáže pouze na nejnutnˇ ejší informace, na jejichž základˇ e vytvoˇ rí sadu komunikaˇ cních pravidel. Vytvoˇ rená pravidla zajistí pˇ rístup z lokální sítˇ e do Internetu ke zvoleným službám, pˇ rístup z Internetu k vybraným lokálním server˚ um a plnou ochranu lokální sítˇ e (vˇ cetnˇ e poˇ cítaˇ ce s Kerio Control) proti neoprávnˇ enému pˇ rístupu z Internetu. Aby bylo možné zaruˇ cit funkˇ cnost Kerio Control po použití pr˚ uvodce, jsou pˇ red dokonˇ cením pr˚ uvodce všechna stávající pravidla smazána a nahrazena pravidly vytvoˇ renými automaticky na základˇ e poskytnutých informací.
78
7.1 Pr˚ uvodce komunikaˇ cními pravidly
Poznámka: Nahrazení stávajících komunikaˇ cních pravidel pravidly vytvoˇ renými pr˚ uvodcem se provádí až po potvrzení posledního kroku. Pr˚ uvodce tedy m˚ užete v kterémkoliv kroku stornovat beze ztráty stávajících pravidel.
Krok 1 — informace
Obrázek 7.1
Pr˚ uvodce komunikaˇ cními pravidly — úvodní informace
Pr˚ uvodce pˇ redpokládá, že poˇ cítaˇ c, kde je Kerio Control nainstalován, je vybaven: • alespoˇ n jedním aktivním adaptérem pro lokální sít’, • alespoˇ n jedním aktivním adaptérem pˇ ripojeným k Internetu nebo je definováno alespoˇ n jedno telefonické nebo PPPoE pˇ ripojení. Toto pˇ ripojení nemusí být v okamžiku spuštˇ ení pr˚ uvodce navázáno.
Kroky 2 a 3 — nastavení internetového pˇ ripojení Ve druhém kroku pr˚ uvodce zvolte požadovaný zp˚ usob pˇ ripojení lokální sítˇ e k Internetu pomocí Kerio Control (pevná linka, vytᡠcené pˇ ripojení, pevná linka se záložním pˇ ripojením nebo více linek s rozložením zátˇ eže). Ve tˇ retím kroku pˇ rípadnˇ e nastavte potˇ rebné parametry pro zvolený typ internetového pˇ ripojení. Jednotlivé možnosti internetového pˇ ripojení jsou podrobnˇ e popsány v kapitole 6.
79
Komunikaˇ cní pravidla
Poznámka: 1. Výbˇ er typu internetového pˇ ripojení neovlivˇ nuje výsledná komunikaˇ cní pravidla, ale pouze konfiguraci rozhraní a jejich zaˇ razení do skupin (viz kapitoly 5 a 6). 2. Pr˚ uvodce komunikaˇ cními pravidly již neobsahuje volbu pro zapnutí / vypnutí pˇ rekladu IP adres (NAT), která byla k dispozici ve starších verzích Kerio Control. Ve vytvoˇ rených komunikaˇ cních pravidlech je nyní pˇ reklad adres automaticky vždy nastaven. D˚ uvodem je skuteˇ cnost, že režimy rozložení zátˇ eže sítˇ e, zálohování pˇ ripojení a vytᡠcení na žádost prakticky nelze použít bez pˇ rekladu adres.
Krok 4 — omezení pˇ rístupu na Internet Zvolte, k jakým službám v Internetu budou uživatelé z lokální sítˇ e smˇ et pˇ ristupovat:
Obrázek 7.2
Pr˚ uvodce komunikaˇ cními pravidly — povolení pˇ rístupu ke službám v Internetu
Povolit pˇ rístup ke všem službám Pˇ rístup z lokální sítˇ e do Internetu nebude nijak omezen. Uživatelé budou smˇ et využívat jakoukoliv službu bˇ ežící na serveru v Internetu. Povolit pˇ rístup pouze k následujícím službám Z lokální sítˇ e bude povolen pˇ rístup pouze ke službám, které zde vyberete. Poznámka: 1. 2.
Nastavená omezení budou aplikována i na samotný firewall. V tomto dialogu je uveden výˇ cet pouze základních služeb (nezávisle na tom, jaké služby jsou v Kerio Control definovány — viz kapitola 15.3). Další služby lze povolit úpravou komunikaˇ cních pravidel NAT (pro poˇ cítaˇ ce v lokální síti) nebo Komunikace firewallu (pro samotný firewall), pˇ rípadnˇ e pˇ ridáním vlastních pravidel. Podrobnosti viz kapitola 7.3.
80
7.1 Pr˚ uvodce komunikaˇ cními pravidly
Krok 5 — povolení komunikace Kerio VPN Chcete-li použít proprietární VPN ˇ rešení v Kerio Control pro pˇ ripojování vzdálených klient˚ u nebo vytvᡠrení tunel˚ u mezi vzdálenými sítˇ emi, ponechte zapnutou volbu Vytvoˇ rit pravidla pro Kerio VPN server. Pr˚ uvodce pˇ ridá do komunikaˇ cních pravidel specifické služby a skupiny adres pro Kerio VPN. Podrobné informace o proprietárním VPN ˇ rešení naleznete v kapitole 23. Používáte-li (nebo plánujete-li použít) VPN ˇ rešení jiného výrobce (napˇ r. Microsoft PPTP, Nortel IPSec apod.), vypnˇ ete volbu Vytvoˇ rit pravidla pro Kerio VPN server. Chcete-li vzdálenˇ e pˇ ristupovat ke sdíleným prostˇ redk˚ um v lokální síti pomocí WWW prohlížeˇ ce, ponechte zapnutou volbu Vytvoˇ rit pravidla pro Kerio Clientless SSL-VPN . Toto rozhraní je nezávislé na Kerio VPN a m˚ uže být použito i spoleˇ cnˇ e s VPN ˇ rešením jiného výrobce. Podrobné informace naleznete v kapitole 24.
Obrázek 7.3
Pr˚ uvodce komunikaˇ cními pravidly — Kerio VPN
Krok 6 — zpˇ rístupnˇ ení služeb v lokální síti Je-li na poˇ cítaˇ ci s Kerio Control ˇ ci na nˇ ekterém poˇ cítaˇ ci v lokální síti provozována služba (napˇ r. WWW server, FTP server apod.), kterou chcete zpˇ rístupnit z Internetu, definujte ji v tomto dialogu.
Poznámka: Pokud bylo v pˇ redchozím kroku požadováno vytvoˇ rení pravidel pro VPN, budou do seznamu lokálních server˚ u automaticky pˇ ridány služby Kerio VPN a HTTPS na firewallu. Odstranˇ ení nebo zmˇ ena nastavení tˇ echto služeb zp˚ usobí nedostupnost VPN služeb z Internetu! Tlaˇ cítko Pˇ ridat otevírá dialog pro zpˇ rístupnˇ ení nové služby.
Obrázek 7.5
cními pravidly — mapování lokální služby Pr˚ uvodce komunikaˇ
Služba bˇ eží na Volba poˇ cítaˇ ce, na kterém bˇ eží pˇ ríslušná služba (tzn. na který bude pˇ resmˇ erována pˇ ríchozí komunikace z Internetu): • Firewall — poˇ cítaˇ c, na nˇ emž je Kerio Control nainstalován • Lokální poˇ cítaˇ c s IP adresou — jiný poˇ cítaˇ c v lokální síti (lokální server) Poznámka: Výchozí brána na lokálním serveru musí být nastavena tak, aby pˇ ristupoval do Internetu pˇ res Kerio Control — jinak nebude zpˇ rístupnˇ ení služby fungovat!
82
7.1 Pr˚ uvodce komunikaˇ cními pravidly
Služba Výbˇ er služby, která má být zpˇ rístupnˇ ena. Tato služba musí být nejprve definována v sekci etšina bˇ ežných služeb je v Kerio Konfigurace → Definice → Služby (viz kapitola 15.3). Vˇ Control již pˇ reddefinována.
Krok 7 — vytvoˇ rení pravidel V posledním kroku vás pr˚ uvodce informuje o tom, že vytvoˇ rí komunikaˇ cní pravidla na základˇ e shromáždˇ ených informací. Všechna stávající pravidla budou smazána a nahrazena novˇ e vytvoˇ renými pravidly.
Obrázek 7.6
Pr˚ uvodce komunikaˇ cními pravidly — dokonˇ cení
Upozornˇ ení: Toto je poslední možnost pr˚ uvodce stornovat a zachovat stávající komunikaˇ cní pravidla! Po stisknutí tlaˇ cítka Dokonˇ cit budou smazána a nahrazena novými.
Pravidla vytvoˇ rená pr˚ uvodcem Podívejme se podrobnˇ eji na komunikaˇ cní pravidla, která byla vytvoˇ rena pr˚ uvodcem v pˇ redchozím pˇ ríkladu. Tato pravidla jsou nezávislá na zvoleném zp˚ usobu internetového pˇ ripojení (2. a 3. krok pr˚ uvodce). Služba FTP a Služba HTTP Tato dvˇ e pravidla zpˇ rístupˇ nují (mapují) služby HTTP a HTTPS bˇ ežící na poˇ cítaˇ ci s IP adresou 192.168.1.10 (krok 6). Tyto služby budou pˇ rístupné na IP adresách „vnˇ ejšího“ rozhraní firewallu (tj. rozhraní pˇ ripojeného k Internetu — krok 3). Služba Kerio VPN a Služba HTTPS Pravidlo Služba Kerio VPN povoluje pˇ ripojení k VPN serveru v Kerio Control (navázání ˇ rídicího spojení mezi VPN klientem a serverem, resp. vytvoˇ rení VPN tunelu — podrobnosti viz kapitola 23). Pravidlo Služba HTTPS povoluje pˇ ripojení k rozhraní Clientless SSL-VPN (pˇ rístup ke sdíleným prostˇ redk˚ um v síti pomocí WWW prohlížeˇ ce — podrobnosti viz kapitola 24). Každé z tˇ echto pravidel je vytvoˇ reno pouze v pˇ rípadˇ e, pokud bylo v kroku 5 pr˚ uvodce komunikaˇ cními pravidly požadováno povolení pˇ rístupu k pˇ ríslušné službˇ e. 83
Komunikaˇ cní pravidla
Obrázek 7.7 Komunikaˇ cní pravidla vytvoˇ rená pr˚ uvodcem
Poznámka: V tˇ echto pravidlech je rovnˇ ež v položce Zdroj nastavena hodnota Libovolný. Hlavním d˚ uvodem je udržení konzistence s pravidly pro mapované služby (všechna tato pravidla se vytvᡠrejí v 6. kroku pr˚ uvodce). Pˇ rístup z lokální sítˇ e ke službám na firewallu je za normálních okolností povolen pravidlem Komunikace firewallu, ale nemusí tomu tak být vždy. NAT Toto pravidlo urˇ cuje, že ve všech paketech smˇ erovaných z lokální sítˇ e do Internetu bude zdrojová (privátní) IP adresa nahrazována adresou internetového rozhraní, pˇ res které je paket z firewallu odesílán. Pˇ rístup do Internetu bude povolen pouze k vybraným službám (4. krok pr˚ uvodce). Položka Zdroj tohoto pravidla obsahuje skupinu D˚ uvˇ eryhodná / lokální rozhraní a položka Cíl obsahuje skupinu Internetová rozhraní. Díky tomu je pravidlo zcela univerzální pro libovolnou konfiguraci sítˇ e. Pˇ ri pˇ ripojení nového segmentu lokální sítˇ e ˇ ci zmˇ enˇ e internetového pˇ ripojení není nutné toto pravidlo mˇ enit. Skupina D˚ uvˇ eryhodná / lokální rozhraní standardnˇ e obsahuje také adaptér Dial-In, tzn. všichni klienti služby RAS pˇ ripojující se na tento server budou mít povolen pˇ rístup do Internetu pomocí technologie NAT.
84
7.2 Jak komunikaˇ cní pravidla fungují?
Lokální komunikace Toto pravidlo povoluje veškerou komunikaci poˇ cítaˇ cu ˚ v lokální síti firewallem (tj. s poˇ cítaˇ cem, na nˇ emž je Kerio Control nainstalován). Položky Zdroj a Cíl v tomto pravidle zahrnují skupinu D˚ uvˇ eryhodná / lokální rozhraní (viz kapitola 5) a speciální skupinu Firewall. Skupina D˚ uvˇ eryhodná / lokální rozhraní standardnˇ e obsahuje také adaptér Dial-In. Pravidlo Lokální komunikace tedy povoluje také komunikaci mezi poˇ cítaˇ ci v lokální síti (resp. firewallem) a klienty služby RAS pˇ ripojujícími se na tento server. Pokud bylo v pr˚ uvodci požadováno vytvoˇ rení pravidel pro Kerio VPN (5. krok pr˚ uvodce), pak pravidlo Lokální komunikace obsahuje také speciální skupiny adres Všechny VPN tunely a Všichni VPN klienti. Pravidlo tedy implicitnˇ e povoluje komunikaci mezi lokální sítí (firewallem), vzdálenými sítˇ emi pˇ ripojenými pˇ res VPN tunely a VPN klienty pˇ ripojujícími se k VPN serveru v Kerio Control. Poznámka: Pr˚ uvodce pˇ redpokládá, že poˇ cítaˇ c s Kerio Control logicky patˇ rí do lokální sítˇ e, a pˇ rístup k nˇ emu nijak neomezuje. Omezení pˇ rístupu na tento poˇ cítaˇ c lze provést úpravou pravidla nebo definicí nového. Je nutné si uvˇ edomit, že nevhodné omezení pˇ rístupu k poˇ cítaˇ ci s Kerio Control m˚ uže mít za následek zablokování vzdálené správy ˇ ci nedostupnost služeb v Internetu (veškerá komunikace mezi lokální sítí a Internetem prochází pˇ res tento poˇ cítaˇ c). Komunikace firewallu Toto pravidlo povoluje pˇ rístup k vybraným službám z poˇ cítaˇ ce, kde je Kerio Control nainstalován. Je obdobou pravidla NAT , ale s tím rozdílem, že se zde neprovádí pˇ reklad IP adres (tento poˇ cítaˇ c má pˇ rímý pˇ rístup do Internetu). Výchozí pravidlo Toto pravidlo zahazuje veškerou komunikaci, která není povolena jinými pravidly. Implicitní pravidlo je vždy na konci seznamu komunikaˇ cních pravidel a nelze jej odstranit. Implicitní pravidlo umožˇ nuje zvolit akci pro nežádoucí komunikaci (Zakázat nebo Zahodit) a zapnout záznam paket˚ u nebo spojení. Poznámka: Podrobný popis jednotlivých ˇ cástí komunikaˇ cního pravidla najdete v kapitole 7.3.
7.2 Jak komunikaˇ cní pravidla fungují? Komunikaˇ cní pravidla jsou uložena v uspoˇ rádaném seznamu. Pˇ ri aplikaci pravidel je seznam procházen shora dol˚ u a použije se vždy první pravidlo, kterému dané spojení ˇ ci paket vyhovuje — záleží tedy na poˇ radí pravidel v seznamu. Poˇ radí pravidel lze upravit šipkovými tlaˇ cítky v pravé ˇ cásti okna. Na konci seznamu je vždy umístˇ eno implicitní pravidlo, které zakazuje nebo zahazuje veškerou komunikaci (akce je volitelná). Toto pravidlo nelze odstranit. Komunikace, která není pravidly výslovnˇ e povolena, je zakázána.
85
Komunikaˇ cní pravidla
Poznámka: 1. Bez definice komunikaˇ cních pravidel (pomocí pr˚ uvodce ˇ ci vlastních) existuje v Kerio Control pouze implicitní pravidlo, které blokuje veškerou komunikaci. 2. Pro ˇ rízení pˇ rístupu uživatel˚ u k WWW a FTP server˚ um a filtrování obsahu doporuˇ cujeme namísto komunikaˇ cních pravidel použít speciální nástroje, které Kerio Control k tomuto úˇ celu nabízí — viz kapitola 13.
7.3 Definice vlastních komunikaˇ cních pravidel Komunikaˇ cní pravidla jsou zobrazována ve formˇ e tabulky, kde každý ˇ rádek obsahuje jedno pravidlo a ve sloupcích jsou jeho jednotlivé ˇ cásti (jméno, podmínky, akce — podrobnosti viz dále). Dvojitým kliknutím levým tlaˇ cítkem myši na vybrané pole tabulky (pˇ rípadnˇ e kliknutím pravým tlaˇ cítkem a volbou Zmˇ enit... z kontextového menu) se zobrazí dialog pro zmˇ enu vybrané položky. Nové pravidlo pˇ ridáme stisknutím tlaˇ cítka Pˇ ridat a šipkovými tlaˇ cítky v pravé ˇ cásti okna jej pˇ resuneme na požadované místo.
Jméno Název pravidla. Mˇ el by být struˇ cný a výstižný, aby tabulka pravidel byla pˇ rehledná. Detailnˇ ejší informace by mˇ ely být zapsány do položky Popis. Zaškrtávací pole pˇ red jménem pravidla slouží k jeho aktivaci a deaktivaci. Není-li toto pole zaškrtnuto, pak se Kerio Control chová, jako by pravidlo neexistovalo. Toho lze využít napˇ r. pro doˇ casné vyˇ razení pravidla — není tˇ reba je odstraˇ novat a pozdˇ eji znovu definovat.
Obrázek 7.8
Komunikaˇ cní pravidlo — jméno, barva a popis pravidla
86
7.3 Definice vlastních komunikaˇ cních pravidel
Kromˇ e jména lze nastavit také barvu pozadí ˇ rádku tabulky s tímto pravidlem. Volba Transparentní znamená, že ˇ rádek bude „pr˚ uhledný“ (pod textem bude barva pozadí celého seznamu, typicky bílá). Barevné oznaˇ cení umožˇ nuje zvýraznit nˇ ekterá pravidla nebo odlišit urˇ cité skupiny pravidel (napˇ r. pravidla pro odchozí a pro pˇ ríchozí komunikaci). Položka Popis m˚ uže obsahovat libovolný text popisující význam a úˇ cel daného pravidla (maximálnˇ e 1024 znak˚ u). Je-li popis uveden, pak se v seznamu pravidel ve sloupci Jméno vedle názvu pravidla zobrazí symbol „bubliny“. Umístˇ ením kurzoru myši na tento symbol bude zobrazen text popisu pravidla. Doporuˇ cujeme d˚ uslednˇ e popisovat všechna vytvoˇ rená pravidla (v pravidlech vytvoˇ rených pr˚ uvodcem je popis již vyplnˇ en). Ne vždy je totiž na první pohled zˇ rejmé, k jakému úˇ celu konkrétní pravidlo slouží. Dobré popisy pravidel ušetˇ rí správci Kerio Control mnoho ˇ casu pˇ ri pozdˇ ejším ladˇ ení ˇ ci hledání problém˚ u. Poznámka: Popis a barevné oznaˇ cení pravidla slouží pouze pro zlepšení pˇ rehlednosti — nemají vliv na ˇ cinnost firewallu.
Zdroj, Cíl Volba zdroje, resp. cíle komunikace, pro niž má pravidlo platit.
Tlaˇ cítkem Pˇ ridat lze definovat novou položku zdroje, resp. cíle komunikace: • Poˇ cítaˇ c — jméno nebo IP adresa konkrétního poˇ cítaˇ ce (napˇ r. www.firma.cz nebo 192.168.1.1)
87
Komunikaˇ cní pravidla
Upozornˇ ení: Je-li zdrojový nebo cílový poˇ cítaˇ c zadán DNS jménem, pak Kerio Control zjišt’uje odpovídající IP adresu v okamžiku stisknutí tlaˇ cítka Použít. Pokud není nalezen odpovídající záznam v DNS cache, vysílá se DNS dotaz do Internetu. Je-li internetové pˇ ripojení realizováno vytᡠcenou linkou, která je momentálnˇ e zavˇ ešena, vyšle se tento dotaz až po vytoˇ cení linky. Do zjištˇ ení IP adresy z DNS jména je však pˇ ríslušné pravidlo neaktivní. V krajním pˇ rípadˇ e m˚ uže dojít i k tomu, že po definici pravidla bude linka vytoˇ cena na základˇ e komunikace, která má být pravidlem zakázána. Z výše uvedených d˚ uvod˚ u doporuˇ cujeme v pˇ rípadˇ e vytᡠcené internetové linky zadávat zdrojové a cílové poˇ cítaˇ ce výhradnˇ e IP adresami! • Rozsah IP adres — napˇ r. 192.168.1.10—192.168.1.20 • Skupinu IP adres — skupina adres definovaná v Kerio Control (viz kapitola 15.1) • Subsít’ s maskou — subsít’ zadaná adresou sítˇ e a maskou (napˇ r. 192.168.1.0/255.255.255.0) • Sít’ pˇ ripojenou k rozhraní — výbˇ er rozhraní nebo skupiny rozhraní, odkud paket pˇ richází (v položce Zdroj) nebo kudy má být odeslán (v položce Cíl).
Obrázek 7.10
Komunikaˇ cní pravidlo — výbˇ er rozhraní nebo skupiny rozhraní
Skupiny rozhraní umožˇ nují vytvᡠret obecnˇ ejší pravidla, která jsou nezávislá na konkrétní konfiguraci sítˇ e (napˇ r. pˇ ri zmˇ enˇ e internetového pˇ ripojení nebo pˇ ridání segmentu lokální sítˇ e není nutné taková pravidla mˇ enit). Je-li to možné, doporuˇ cujeme definovat komunikaˇ cní pravidla s použitím skupin rozhraní. Podrobnosti o sít’ových rozhraních a skupinách rozhraní viz kapitola 5. Poznámka: V komunikaˇ cních pravidlech lze použít pouze skupiny Internetová rozhraní a D˚ uvˇ eryhodná / lokální rozhraní. Rozhraní pro Kerio VPN se pˇ ridávají jiným zp˚ usobem (viz níže). Skupina Ostatní rozhraní obsahuje rozhraní r˚ uzných typ˚ u, která
88
7.3 Definice vlastních komunikaˇ cních pravidel
nebyla zaˇ razena do jiné skupiny. Komunikaˇ cní pravidlo pro tuto skupinu jako celek by ve vˇ etšinˇ e pˇ rípad˚ u nemˇ elo žádný smysl. • VPN — virtuální privátní sít’ (vytvoˇ rená pomocí Kerio VPN ). Volbou VPN m˚ užeme pˇ ridat položky následujících typ˚ u:
Obrázek 7.11
Komunikaˇ cní pravidlo — VPN klienti /
VPN tunel v definici zdrojových nebo cílových adres
1.
Pˇ ríchozí spojení (VPN klienti) — všichni VPN klienti pˇ ripojující se k VPN serveru v Kerio Control pomocí aplikace Kerio VPN Client,
2.
VPN tunel — sít’ pˇ ripojená vybraným VPN tunelem. Speciální volba Vše znamená všechny sítˇ e pˇ ripojené všemi definovanými VPN tunely (které jsou v daném okamžiku aktivní).
Podrobné informace o VPN ˇ rešení v Kerio Control naleznete v kapitole 23. • Uživatele — uživatelé nebo skupiny uživatel˚ u, které lze vybrat ve speciálním dialogu.
Obrázek 7.12
Komunikaˇ cní pravidlo — uživatelé
a skupiny v definici zdrojových nebo cílových adres
89
Komunikaˇ cní pravidla
Volba Ovˇ eˇ rení uživatelé znamená, že podmínka bude platit pro všechny uživatele, kteˇ rí jsou na firewall již pˇ rihlášeni (viz kapitola 11.1). Volbou Uživatelé z domény m˚ užeme pˇ ridat požadované uživatele a/nebo skupiny z mapovaných Active Directory domén nebo z lokální databáze uživatel˚ u (podrobnosti viz kapitola 16). Tip: Do pravidla m˚ užeme pˇ ridat uživatele/skupiny z nˇ ekolika r˚ uzných domén zároveˇ n. Vybereme doménu, pˇ ridáme uživatele a/nebo skupiny, pak zvolíme jinou doménu a postup opakujeme. V komunikaˇ cních pravidlech má uživatel význam IP adresy poˇ cítaˇ ce, z nˇ ehož je pˇ rihlášen. Podrobnosti o pˇ rihlašování uživatel˚ u k firewallu naleznete v kapitole 11.1. Poznámka: 1. Povolení / zákaz pˇ rístupu urˇ citým uživatel˚ um má smysl jen tehdy, pokud není z pˇ ríslušných IP adres povolen pˇ rístup nepˇ rihlášeným uživatel˚ um (jinak totiž nejsou uživatelé donuceni se pˇ rihlásit). Pokud uživatelé pracují stˇ rídavˇ e na r˚ uzných poˇ cítaˇ cích, je tˇ reba vzít v úvahu IP adresy všech tˇ echto poˇ cítaˇ cu ˚. 2. Jsou-li uživatelské úˇ cty nebo skupiny použity jako zdroj v pravidle pro pˇ rístup do Internetu, pak v pˇ rípadˇ e služby HTTP nebude funkˇ cní automatické pˇ resmˇ erování uživatel˚ u na pˇ rihlašovací stránku ani NTLM ovˇ eˇ rování. K pˇ resmˇ erování totiž dojde až po úspˇ ešném navázání spojení na cílový server. Jsou-li komunikaˇ cní pravidla nastavena tímto zp˚ usobem, pak je tˇ reba uživatel˚ um sdˇ elit, že pˇ red pˇ rístupem do Internetu musejí otevˇ rít pˇ rihlašovací stránku (viz kapitoly 12 a 11.1) ve svém WWW prohlížeˇ ci a pˇ rihlásit se. Tato problematika je podrobnˇ e diskutována v kapitole 7.6. • Firewall — speciální skupina adres zahrnující všechna rozhraní poˇ cítaˇ ce, na nˇ emž je Kerio Control nainstalován. Tuto volbu lze s výhodou využít napˇ r. pro povolení komunikace mezi lokální sítí a poˇ cítaˇ cem s Kerio Control. Tlaˇ cítko Libovolný nahradí všechny definované položky položkou Libovolný (toto je rovnˇ ež výchozí hodnota pˇ ri vytvᡠrení nového pravidla). Bude-li pak pˇ ridána alespoˇ n jedna nová položka, bude položka Libovolný automaticky odstranˇ ena. Tlaˇ cítko Smazat odstraní všechny definované položky (v seznamu položek bude zobrazeno Nic). Toto je užiteˇ cné pˇ ri zmˇ enˇ e pravidel — není nutné odstraˇ novat postupnˇ e jednotlivé položky. Bude-li pak pˇ ridána alespoˇ n jedna nová položka, bude hodnota Nic automaticky odstranˇ ena. Ponecháme-li ve sloupci Zdroj a/nebo Cíl hodnotu Nic, pak bude pravidlo neaktivní. Hodnota Nic má své opodstatnˇ ení pˇ ri odstranˇ ení sít’ových rozhraní (viz kapitola 5) a uživatelských úˇ ct˚ u nebo skupin (viz kapitola 16). Do položek Zdroj, Cíl nebo Služba všech pravidel, ve kterých bylo použito odstranˇ ené rozhraní, (resp. uživatelský úˇ cet, skupina nebo služba) bude automaticky dosazena hodnota Nic, ˇ címž budou pˇ ríslušná pravidla deaktivována. 90
7.3 Definice vlastních komunikaˇ cních pravidel
Definice pravidla s hodnotou Nic v nˇ ekterém sloupci nemá praktický význam — pro deaktivaci pravidla je vhodnˇ ejší použít zaškrtávací pole ve sloupci Jméno. Poznámka: Odstranˇ ené rozhraní nelze nahradit položkou Libovolný — mohlo by dojít k zásadní zmˇ enˇ e smyslu komunikaˇ cních pravidel (napˇ r. povolení nežádoucí komunikace).
Služba Definice služby (resp. služeb), pro kterou má toto komunikaˇ cní pravidlo platit. Seznam m˚ uže obsahovat více služeb definovaných v sekci Konfigurace → Definice → Služby (viz kapitola 15.3) a/nebo služeb zadaných protokolem a ˇ císlem portu (pˇ rípadnˇ e rozsahem port˚ u — pro jeho specifikaci se zde používá pomlˇ cka).
Obrázek 7.13
Komunikaˇ cní pravidlo — nastavení služby
Tlaˇ cítko Libovolný nahradí všechny definované položky položkou Libovolný (toto je rovnˇ ež výchozí hodnota pˇ ri vytvᡠrení nového pravidla). Bude-li pak pˇ ridána alespoˇ n jedna nová služba, bude položka Libovolný automaticky odstranˇ ena. Tlaˇ cítko Smazat odstraní všechny definované položky (v seznamu položek bude zobrazeno Nic). Bude-li pak pˇ ridána alespoˇ n jedna nová služba, bude hodnota Nic automaticky odstranˇ ena. Ponecháme-li ve sloupci Služba hodnotu Nic, pak bude pravidlo neaktivní. Hodnota Nic má své opodstatnˇ ení pˇ ri odstraˇ nování definovaných služeb (viz kapitola 15.3). Do položky Služba všech pravidel, ve kterých byla použita odstranˇ ená služba, bude automaticky dosazena hodnota Nic, ˇ címž budou pˇ ríslušná pravidla deaktivována. Ruˇ cní dosazení hodnoty Nic nemá praktický význam — pro deaktivaci pravidla je vhodnˇ ejší použít zaškrtávací pole ve sloupci Jméno.
91
Komunikaˇ cní pravidla
Poznámka: Existuje-li v Kerio Control pro urˇ citou službu inspekˇ cní modul, pak se tento modul automaticky aplikuje na veškerou odpovídající komunikaci. Chceme-li docílit toho, aby na urˇ citou komunikaci nebyl aplikován pˇ ríslušný inspekˇ cní modul, je tˇ reba to v komunikaˇ cním pravidle explicitnˇ e uvést. Podrobné informace viz kapitola 7.7.
Akce Zp˚ usob, jak Kerio Control obslouží komunikaci, která vyhoví podmínkám tohoto pravidla (podmínka je dána položkami Zdroj, Cíl a Služba). Možnosti jsou:
Obrázek 7.14 Komunikaˇ cní pravidlo — volba akce
• Povolit — firewall komunikaci propustí • Zakázat — firewall pošle klientovi (iniciátorovi komunikace) ˇ rídicí zprávu, že pˇ rístup na danou adresu ˇ ci port je zakázán. Výhodou tohoto zp˚ usobu je okamžitá reakce, klient se však dozví o tom, že je komunikace blokována firewallem. • Zahodit — firewall bude zahazovat veškeré pakety vyhovující danému pravidlu. Klientovi nebude poslána žádná ˇ rídicí zpráva a ten tuto situaci vyhodnotí jako sít’ovou chybu. Odezva klienta není v tomto pˇ rípadˇ e okamžitá (klient urˇ citou dobu ˇ ceká na odpovˇ ed’, poté se pˇ rípadnˇ e snaží navázat spojení znovu atd.), existence firewallu mu však z˚ ustane skryta. Poznámka: Na základˇ e výše popsaných skuteˇ cností doporuˇ cujeme pˇ ri omezování lokálních uživatel˚ u v pˇ rístupu na Internet používat volbu Zakázat, pˇ ri blokování pˇ rístupu z Internetu naopak volbu Zahodit.
Pˇ reklad Zp˚ usob pˇ rekladu zdrojové nebo cílové IP adresy (pˇ rípadnˇ e obou).
92
7.3 Definice vlastních komunikaˇ cních pravidel
Pˇ reklad zdrojové IP adresy (NAT — sdílení internetového pˇ ripojení) Pˇ reklad zdrojové adresy (NAT — Network Address Translation) se též nazývá maskování IP adresy nebo sdílení internetového pˇ ripojení. V odchozích paketech z lokální sítˇ e do Internetu se zdrojová (privátní) IP adresa nahrazuje adresou rozhraní pˇ ripojeného k Internetu. Celá lokální sít’ má tak transparentní pˇ rístup do Internetu, ale navenek se jeví jako jeden poˇ cítaˇ c. Pˇ reklad zdrojové adresy se používá v komunikaˇ cních pravidlech, která se aplikují na komunikaci z lokální privátní sítˇ e do Internetu. V ostatních pravidlech (komunikace mezi lokální sítí a firewallem, mezi firewallem a Internetem apod.) nemá pˇ reklad zdrojové adresy smysl. Podrobnˇ ejší informace vˇ cetnˇ e pˇ ríklad˚ u pravidel naleznete v kapitole 7.4. Pro pˇ reklad zdrojové adresy nabízí Kerio Control tyto možnosti: Automatický výbˇ er IP adresy
Obrázek 7.15
Komunikaˇ cní pravidlo — NAT — automatický výbˇ er adresy
Ve výchozím nastavení bude v paketech odesílaných z lokální sítˇ e do Internetu nahrazena zdrojová IP adresa IP adresou internetového rozhraní firewallu, pˇ res které je paket odesílán. Tento zp˚ usob pˇ rekladu IP adres je optimální pro použití v obecném pravidle pro pˇ rístup z lokální sítˇ e do Internetu (viz kapitola 7.4), protože funguje správnˇ e pˇ ri libovolné konfiguraci internetového pˇ ripojení a stavu jednotlivých linek (podrobnosti viz kapitola 6). Pokud Kerio Control pracuje v režimu rozložení zátˇ eže internetového pˇ ripojení (viz kapitola 6.4), m˚ užeme zvolit zp˚ usob, jakým bude komunikace mezi lokální sítí a Internetem „rozdˇ elována“ mezi jednotlivé internetové linky: • Rozložení podle zdrojových poˇ cítaˇ cu ˚ — veškerá komunikace z konkrétního poˇ cítaˇ ce (klienta) v lokální síti bude smˇ erována vždy toutéž internetovou linkou. Všechna spojení z daného klienta budou navázána ze stejné zdrojové IP adresy (veˇ rejné adresy pˇ ríslušného rozhraní firewallu). Tento zp˚ usob je nastaven jako výchozí, protože zaruˇ cuje stejné chování jako v pˇ rípadˇ e klienta pˇ ripojeného 93
Komunikaˇ cní pravidla
pˇ rímo k Internetu. Rozložení zátˇ eže mezi jednotlivé linky však nemusí být optimální. e • Rozložení podle spojení — pro každé spojení navazované z lokální sítˇ do Internetu bude vybrána internetová linka tak, aby zátˇ ež byla rozložená optimálnˇ e. Tento zp˚ usob zajišt’uje maximální využití kapacity internetového pˇ ripojení, m˚ uže však docházet k problém˚ um s nˇ ekterými službami. Jednotlivá spojení jsou totiž navazována z r˚ uzných zdrojových IP adres (podle rozhraní, ze kterého byl paket z firewallu odeslán), což m˚ uže server vyhodnotit jako útok a v d˚ usledku toho ukonˇ cit relaci, blokovat komunikaci apod. Je-li použit jiný typ internetového pˇ ripojení (jedna pevná linka, vytᡠcení na žádost nebo zálohované pˇ ripojení), nemají tyto volby na ˇ cinnost Kerio Control žádný vliv. Tip: Pro maximální využití kapacity pˇ ripojení m˚ užeme použít kombinaci obou zp˚ usob˚ u rozložení zátˇ eže. V obecném pravidle pro pˇ rístup z lokání sítˇ e do Internetu použijeme rozložení podle spojení a pˇ ridáme pravidlo pro specifické služby (servery, klienty apod.), ve kterém bude použito rozložení zátˇ eže podle poˇ cítaˇ cu ˚. Viz též kapitola 7.4. Pˇ reklad na adresu vybraného rozhraní Pro NAT m˚ užeme vybrat konkrétní rozhraní, na jehož IP adresu bude zdrojová adresa v odchozích paketech pˇ rekládána. Tím je zároveˇ n dáno, že pakety budou do Internetu odesílány právˇ e pˇ res tuto linku. Takto lze definovat pravidla pro odesílání urˇ cité komunikace pˇ res vybrané rozhraní — tzv. policy routing — viz kapitola 7.5.
Obrázek 7.16
Komunikaˇ cní pravidlo — NAT — pˇ reklad na adresu vybraného rozhraní
Pokud by došlo k výpadku vybrané internetové linky, pak by pro komunikaci vyhovující tomuto pravidlu (specifické služby, klienti apod.) byl Internet nedostupný. Pro ošetˇ rení této situace je možné povolit použití jiného rozhraní (linky) pˇ ri výpadku vybrané linky. Kerio Control se pak bude po dobu trvání výpadku chovat stejnˇ e jako v pˇ rípadˇ e automatického výbˇ eru rozhraní (viz výše).
94
7.3 Definice vlastních komunikaˇ cních pravidel
Pˇ reklad na zadanou IP adresu Pro NAT m˚ uže být zadána IP adresa, která bude použita jako zdrojová adresa ve všech paketech odesílaných z lokální sítˇ e do Internetu. Tato možnost slouží pˇ redevším pro zachování kompatibility se staršími verzemi Kerio Control. Použití pevné IP adresy má však znaˇ cná omezení: • Je nutné použít IP adresu nˇ ekterého z internetových rozhraní firewallu. Pˇ ri použití jiné adresy (ˇ ci dokonce lokální privátní adresy) nebude pˇ reklad IP adres fungovat správnˇ e a pakety odeslané do Internetu budou zahazovány. • Ze zˇ rejmých d˚ uvod˚ u nelze specifickou IP adresu použít v režimech zálohování internetového pˇ ripojení a rozložení zátˇ eže.
Obrázek 7.17
Komunikaˇ cní pravidlo — NAT — pˇ reklad na zadanou IP adresu
Full cone NAT Pˇ ri všech zp˚ usobech pˇ rekladu IP adres je možné nastavit režim povolení pˇ ríchozích paket˚ u z libovolné adresy — tzv. Full cone NAT. Je-li tato volba vypnuta, pak Kerio Control provádí tzv. Port restricted cone NAT. V odchozích paketech z lokální sítˇ e do Internetu zamˇ ení zdrojovou IP adresu za veˇ rejnou IP adresu pˇ ríslušného rozhraní firewallu (viz výše). Pokud je to možné, zachová p˚ uvodní zdrojový port, v opaˇ cném pˇ rípadˇ e pˇ ridˇ elí jiný volný zdrojový port. V pˇ ríchozím smˇ eru pak propustí pouze pakety vyslané ze stejné IP adresy a portu, na který byl odeslán odchozí paket. Tento zp˚ usob pˇ rekladu zaruˇ cuje vysokou bezpeˇ cnost — firewall nepropustí do lokální sítˇ e žádný paket, který není odpovˇ edí na vyslaný požadavek. ˇ ada aplikací (zejména programy pro multimédia, internetovou telefonii — VoIP apod.) však R ˇ casto používá model komunikace, kdy se k portu „otevˇ renému“ odchozím paketem mohou pˇ ripojit další klienti pro navázání pˇ rímého spojení. Proto Kerio Control podporuje také režim Full cone NAT, kde neplatí uvedené omezení pro pˇ ríchozí pakety. Na daném portu jsou pak propouštˇ eny pˇ ríchozí pakety s libovolnou zdrojovou IP adresou a portem. Tento zp˚ usob pˇ rekladu umožˇ nuje provozovat v privátní síti aplikace, které by za normálních okolností fungovaly omezenˇ e nebo nefungovaly v˚ ubec. 95
Komunikaˇ cní pravidla
Pˇ ríklad použití Full cone NAT pro VoIP aplikace naleznete v kapitole 7.8. Upozornˇ ení: Použití Full cone NAT pˇ redstavuje znaˇ cné bezpeˇ cnostní riziko — k portu otevˇ renému odchozím spojením je povolen pˇ rístup bez omezení. Z tohoto d˚ uvodu doporuˇ cujeme povolovat Full cone NAT pouze pro konkrétní službu (pro tento úˇ cel vytvoˇ ríme speciální komunikaˇ cní pravidlo). V žádném pˇ rípadˇ e nepovolujte Full cone NAT v obecném pravidle pro komunikaci z lokální sítˇ e do Internetu 4! Takové pravidlo by znamenalo výraznou degradaci zabezpeˇ cení lokální sítˇ e.
Pˇ reklad cílové adresy (mapování port˚ u) Pˇ reklad cílové adresy (též mapování port˚ u) slouží ke zpˇ rístupnˇ ení služby bˇ ežící na poˇ cítaˇ ci v privátní lokální síti z Internetu. Pokud pˇ ríchozí paket vyhovuje daným podmínkám, je cílová adresa zamˇ enˇ ena a paket smˇ erován na pˇ ríslušný poˇ cítaˇ c. Tímto zp˚ usobem bude služba „pˇ renesena“ na internetové rozhraní poˇ cítaˇ ce s Kerio Control (resp. na IP adresu, z níž je mapována). Z pohledu klienta v Internetu služba bˇ eží na IP adrese, ze které je mapována (tzn. obvykle na veˇ rejné IP adrese firewallu). Nastavení pˇ rekladu cílové adresy (mapování port˚ u):
Obrázek 7.18
Komunikaˇ cní pravidlo — pˇ reklad cílové adresy
• Nepˇ rekládat — cílová adresa z˚ ustane nezmˇ enˇ ena. • Pˇ rekládat na — IP adresa, na níž má být cílová adresa paketu zmˇ enˇ ena. Tato adresa je zároveˇ n adresou poˇ cítaˇ ce, kde daná služba skuteˇ cnˇ e bˇ eží. Do položky Pˇ rekládat na lze rovnˇ ež uvést DNS jméno cílového poˇ cítaˇ ce. V tom pˇ rípadˇ e zjistí Kerio Control pˇ ríslušnou IP adresu DNS dotazem. Upozornˇ ení: Nedoporuˇ cujeme zadávat jména poˇ cítaˇ cu ˚, pro které neexistuje záznam v lokálním DNS. Do zjištˇ ení odpovídající IP adresy je totiž pˇ ríslušné pravidlo neaktivní, což m˚ uže mít za následek doˇ casnou nefunkˇ cnost mapované služby.
96
7.3 Definice vlastních komunikaˇ cních pravidel
• Pˇ rekládat port na — pˇ ri zámˇ enˇ e cílové adresy m˚ uže být zamˇ enˇ en i port dané služby. Služba tedy m˚ uže fyzicky bˇ ežet na jiném portu, než na kterém je dostupná z Internetu. Poznámka: Tuto volbu je možné použít jen v pˇ rípadˇ e, je-li v položce Služba komunikaˇ cního pravidla uvedena pouze jedna služba a tato služba používá pouze jeden port nebo jeden rozsah port˚ u. Pˇ ríklady nastavení komunikaˇ cních pravidel pro mapování port˚ u naleznete v kapitole 7.4.
Záznam O komunikaci, která vyhovˇ ela tomuto pravidlu, lze provést záznam následujícím zp˚ usobem:
Obrázek 7.19
Komunikaˇ cní pravidlo — záznam paket˚ u a/nebo spojení
• Zaznamenat odpovídající pakety — veškeré pakety, které vyhoví tomuto pravidlu (propuštˇ ené, odmítnuté ˇ ci zahozené — v závislosti na typu akce v pravidle) budou zaznamenány do záznamu Filter. • Zaznamenat odpovídající spojení — všechna spojení vyhovující tomuto pravidlu budou zaznamenána do záznamu Connection (pouze v pˇ rípadˇ e povolujícího pravidla). Jednotlivé pakety v rámci tˇ echto spojení se již nezaznamenávají. Poznámka: U zakazujících a zahazujících pravidel nelze zaznamenávat spojení (k vytvoˇ rení spojení nedojde). Následující dva sloupce jsou ve výchozím nastavení okna Komunikaˇ cní pravidla skryté (nastavení zobrazovaných sloupc˚ u viz kapitola 3.3):
Platí v ˇ Casový interval, ve kterém má pravidlo platit. Mimo tento ˇ casový interval se Kerio Control chová tak, jako by pravidlo neexistovalo. Speciální volba vždy vypíná ˇ casové omezení pravidla (v oknˇ e Komunikaˇ cní pravidla se nezobrazuje). V okamžiku zaˇ cátku platnosti zakazujícího pravidla a v okamžiku skonˇ cení platnosti povolujícího pravidla jsou ihned ukonˇ cena všechna aktivní sít’ová spojení vyhovující pˇ ríslušnému pravidlu. 97
Komunikaˇ cní pravidla
Inspekˇ cní modul Volba inspekˇ cního modulu, který má být aplikován na komunikaci vyhovující pravidlu. Možnosti jsou následující:
Obrázek 7.20
Komunikaˇ cní pravidlo — výbˇ er inspekˇ cního modulu
• Výchozí — na komunikaci vyhovující tomuto pravidlu budou aplikovány všechny potˇ rebné inspekˇ cní moduly, pˇ rípadnˇ e inspekˇ cní moduly služeb uvedených v položce Služba. • Žádný — nebude aplikován žádný inspekˇ cní modul (bez ohledu na to, jak jsou definovány služby použité v položce Služba). • Jiný — výbˇ er konkrétního inspekˇ cního modulu, který má být aplikován na komunikaci popsanou tímto pravidlem (k dispozici jsou všechny inspekˇ cní moduly, které Kerio Control obsahuje). Na danou komunikaci nebude aplikován žádný další inspekˇ cní modul, bez ohledu na nastavení služeb v položce Služba. Tuto volbu doporuˇ cujeme používat, pouze pokud komunikaˇ cní pravidlo popisuje protokol, pro který je inspekˇ cní modul urˇ cen. Použití nesprávného inspekˇ cního modulu m˚ uže zp˚ usobit nefunkˇ cnost dané služby. Další informace naleznete v kapitole 7.7. Poznámka: Je-li v definici pravidla použita konkrétní služba (viz položka Služba), doporuˇ cujeme v položce Inspekˇ cní modul ponechat volbu Výchozí (inspekˇ cní modul je již zahrnut v definici služby).
98
7.4 Základní typy komunikaˇ cních pravidel
7.4 Základní typy komunikaˇ cních pravidel Komunikaˇ cní pravidla v Kerio Control nabízejí pomˇ ernˇ e široké možnosti filtrování sít’ového provozu a zpˇ rístupnˇ ení služeb. V této kapitole uvedeme pˇ ríklady komunikaˇ cních pravidel ˇ rešících standardní situace. Podle tˇ echto pˇ ríklad˚ u m˚ užete snadno vytvoˇ rit sadu pravidel pro vaši konkrétní sít’ovou konfiguraci. Pˇ reklad IP adres (NAT) Pˇ reklad IP adres (též sdílení internetového pˇ ripojení) znamená zámˇ enu zdrojové (privátní) IP adresy v paketu jdoucím z lokální sítˇ e do Internetu za IP adresu vnˇ ejšího rozhraní poˇ cítaˇ ce s Kerio Control. Tato technika se používá pro pˇ ripojení lokální privátní sítˇ e k Internetu prostˇ rednictvím jedné veˇ rejné IP adresy. Pˇ ríslušné komunikaˇ cní pravidlo m˚ uže vypadat následovnˇ e:
Obrázek 7.21
Typické komunikaˇ cní pravidlo pro pˇ reklad IP adres (sdílení internetového pˇ ripojení)
Zdroj Skupina rozhraní D˚ uvˇ eryhodné / lokální. Tato skupina obsahuje všechny segmenty lokální sítˇ e pˇ ripojené pˇ rímo k firewallu. Pokud nemá být z nˇ ekterých segment˚ u povolen pˇ rístup do Internetu, je nevhodnˇ ejší zaˇ radit pˇ ríslušné rozhraní do skupiny Ostatní rozhraní. Je-li lokální sít’ tvoˇ rena kaskádními segmenty (tzn. obsahuje další smˇ erovaˇ ce), není erování (viz tˇ reba to v pravidle zohledˇ novat — pouze je nutné správnˇ e nastavit smˇ kapitola 18.1). Cíl Skupina rozhraní Internet. S použitím této skupiny je pravidlo univerzálnˇ e použitelné pro libovolný typ internetového pˇ ripojení (viz kapitola 6) a ani v pˇ rípadˇ e zmˇ eny internetového pˇ ripojení není nutné pravidlo mˇ enit. Služba Tato položka m˚ uže být použita ke globálnímu omezení pˇ rístupu do Internetu. Budou-li v pravidle pro pˇ reklad IP adres uvedeny konkrétní služby, pak bude pˇ reklad fungovat pouze pro tyto služby a ostatní služby v Internetu budou z lokální sítˇ e nepˇ rístupné. Akce Musí být nastavena na Povolit (jinak by byla komunikace blokována a pˇ reklad adres by již nemˇ el žádný smysl). Pˇ reklad V sekci Pˇ reklad zdrojové adresy staˇ cí vybrat volbu Výchozí nastavení — pro NAT se použije primární IP adresa rozhraní, pˇ res které paket odchází z poˇ cítaˇ ce s Kerio Control. Tím je rovnˇ ež zajištˇ ena univerzálnost pravidla — pˇ reklad adres bude probíhat vždy 99
Komunikaˇ cní pravidla
správnˇ e, bez ohledu na typ internetového pˇ ripojení a konkrétní linku, pˇ res kterou bude paket odeslán do Internetu. Upozornˇ ení: V sekci Pˇ reklad cílové adresy by mˇ ela být nastavena volba Nepˇ rekládat, jinak není zaruˇ cena zamýšlená funkce pravidla. Kombinace pˇ rekladu zdrojové i cílové adresy má význam pouze ve speciálních pˇ rípadech. Umístˇ ení pravidla Pravidlo pro pˇ reklad zdrojových adres musí být umístˇ eno pod všemi pravidly, která omezují pˇ rístup z lokální sítˇ e do Internetu. Poznámka: Takto definované pravidlo povoluje pˇ rístup do Internetu z poˇ cítaˇ cu ˚ v lokální síti, nikoliv však ze samotného firewallu (tj. poˇ cítaˇ ce, na nˇ emž je Kerio Control nainstalován)! Komunikace mezi firewallem a Internetem musí být explicitnˇ e povolena samostatným pravidlem. Protože poˇ cítaˇ c s Kerio Control má pˇ rímý pˇ rístup do Internetu, není nutné použít pˇ reklad IP adres.
Obrázek 7.22
Pravidlo pro komunikaci firewallu s poˇ cítaˇ ci v Internetu
Zpˇ rístupnˇ ení služby (mapování port˚ u) Mapování port˚ u zpˇ rístupˇ nuje z Internetu službu na poˇ cítaˇ ci v lokální (zpravidla privátní) síti. Z pohledu klienta tato služba bˇ eží na vnˇ ejší (veˇ rejné) IP adrese poˇ cítaˇ ce s Kerio Control. Kerio Control umožˇ nuje pˇ rístup k mapované službˇ e také z lokální sítˇ e. Odpadají tedy komplikace s r˚ uznými DNS záznamy pro Internet a lokální sít’. Komunikaˇ cní pravidlo pro mapování port˚ u m˚ uže být definováno následovnˇ e:
Obrázek 7.23
Komunikaˇ cní pravidlo pro zpˇ rístupnˇ ení lokálního WWW serveru z Internetu
Zdroj K mapované službˇ e se mohou pˇ ripojovat klienti jak z Internetu, tak z lokální sítˇ e. Z tohoto d˚ uvodu je možné v položce Zdroj ponechat hodnotu Libovolný (pˇ rípadnˇ e m˚ užeme uvést všechny relevantní skupiny rozhraní nebo jednotlivá rozhraní — napˇ r. Internet a LAN ).
100
7.4 Základní typy komunikaˇ cních pravidel
Cíl Poˇ cítaˇ c s Kerio Control, tj. speciální rozhraní Firewall. Takto bude služba pˇ rístupná na všech adresách rozhraní pˇ ripojeného k Internetu. Chceme-li službu zpˇ rístupnit na konkrétní IP adrese, použijeme volbu Poˇ cítaˇ c a zadáme požadovanou IP adresu (viz pˇ ríklad pro multihoming). Služba Služby, které mají být zpˇ rístupnˇ eny. Službu lze vybrat ze seznamu pˇ reddefinovaných služeb (viz kapitola 15.3) nebo zadat pˇ rímo protokolem a ˇ císlem portu. V tomto poli mohou být uvedeny všechny služby, které bˇ eží na jednom poˇ cítaˇ ci. Pro zpˇ rístupnˇ ení služeb z jiného poˇ cítaˇ ce je tˇ reba vytvoˇ rit nové komunikaˇ cní pravidlo. Akce Musí být nastavena na Povolit (jinak by byla komunikace blokována a mapování port˚ u by nemˇ elo žádný smysl). Pˇ reklad V sekci Pˇ reklad cílové adresy (mapování port˚ u) zvolte Pˇ rekládat na tuto IP adresu a uved’te IP adresu poˇ cítaˇ ce v lokální síti, kde služba bˇ eží. Volbou Pˇ rekládat port na je možné mapovat službu na jiný port, než na kterém je služba pˇ rístupná z Internetu. Upozornˇ ení: V sekci Pˇ reklad zdrojové adresy musí být nastavena volba Nepˇ rekládat! Kombinace pˇ rekladu zdrojové i cílové adresy má význam pouze ve speciálních pˇ rípadech. Poznámka: Pro správnou funkci mapování port˚ u je nutné, aby poˇ cítaˇ c, na nˇ emž mapovaná služba bˇ eží, mˇ el nastavenu výchozí bránu na poˇ cítaˇ c s Kerio Control. Bez splnˇ ení této podmínky nebude mapování fungovat. Umístˇ ení pravidla Jak již bylo zmínˇ eno, k mapovaným službám je možné pˇ ristupovat i z lokální sítˇ e. Pˇ ri pˇ rístupu z lokální sítˇ e se navazuje spojení z lokální (privátní) IP adresy na IP adresu v Internetu (veˇ rejnou IP adresu firewallu). Pokud by pravidlu pro mapovanou službu pˇ redcházelo pravidlo povolující pˇ rístup z lokální sítˇ e do Internetu, paket by na základˇ e tohoto pravidla byl smˇ erován do Internetu a následnˇ e zahozen. Z tohoto d˚ uvodu doporuˇ cujeme všechna pravidla pro mapované služby umist’ovat vždy na zaˇ cátek tabulky komunikaˇ cních pravidel. Poznámka: Existují-li samostatná pravidla omezující pˇ rístup k mapovaným službám, musí být tato pravidla umístˇ ena nad vlastními pravidly pro mapování. Zpravidla však lze mapování služby a omezení pˇ rístupu zkombinovat do jediného pravidla.
101
Komunikaˇ cní pravidla
Zpˇ rístupnˇ ení služeb na r˚ uzných IP adresách (multihoming) Multihoming je oznaˇ cení pro situaci, kdy má sít’ové rozhraní pˇ ripojené k Internetu pˇ riˇ razeno více veˇ rejných IP adres. Typickým požadavkem je, aby na tˇ echto adresách byly nezávisle zpˇ rístupnˇ eny r˚ uzné služby. Pˇ redpokládejme, že v lokální síti bˇ eží WWW server web1 na poˇ cítaˇ ci s IP adresou 192.168.1.100 a WWW server web2 s IP adresou 192.168.1.200. Rozhraní pˇ ripojené k Internetu má pˇ riˇ razeny veˇ rejné IP adresy 195.39.55.12 a 195.39.55.13. Server web1 má být z Internetu dostupný na IP adrese 195.39.55.12, server web2 na IP adrese 195.39.55.13. Pro splnˇ ení tˇ echto požadavk˚ u definujeme v Kerio Control dvˇ e komunikaˇ cní pravidla:
Obrázek 7.24
Multihoming — mapování WWW server˚ u
Zdroj Libovolný (viz pˇ redchozí pˇ ríklad pro mapování jedné služby). Cíl Pˇ ríslušná IP adresa rozhraní pˇ ripojeného k Internetu (pro zadání jedné IP adresy slouží volba Poˇ cítaˇ c ). Služba Služba, která má být zpˇ rístupnˇ ena (v pˇ rípadˇ e WWW serveru služba HTTP). Akce Musí být nastavena na Povolit (jinak by byla komunikace blokována a mapování port˚ u by nemˇ elo žádný smysl). Pˇ reklad V sekci Pˇ reklad cílové adresy (mapování port˚ u) zvolíme Pˇ rekládat na tuto IP adresu a zadáme IP adresu odpovídajícího WWW serveru (web1, resp. web2).
Omezení pˇ rístupu do Internetu Velmi ˇ castým požadavkem je omezit pˇ rístup uživatel˚ u z lokální sítˇ e ke službám v Internetu. Omezení lze provést nˇ ekolika zp˚ usoby. V níže uvedených pˇ ríkladech omezení zajišt’uje pˇ rímo pravidlo pro pˇ reklad IP adres, a to specifikací podmínky, kdy má být pˇ reklad provádˇ en. Není tˇ reba definovat žádné další pravidlo — implicitní pravidlo bude blokovat veškerou komunikaci, která tˇ emto podmínkám nevyhoví. Další zp˚ usoby omezování pˇ rístupu budou zmínˇ eny v sekci Výjimky (viz níže).
102
7.4 Základní typy komunikaˇ cních pravidel
Poznámka: Pravidla uvedená v tˇ echto pˇ ríkladech mohou být také použita, jestliže je Kerio Control nasazen jako tzv. neutrální smˇ erovaˇ c (tj. smˇ erovaˇ c bez pˇ rekladu IP adres) — pouze v položce Pˇ reklad nebude žádný pˇ reklad definován. 1.
Povolení pˇ rístupu pouze k vybraným službám. V pravidle pro pˇ reklad IP adres uvedeme v položce Služba pouze služby, které mají být povoleny.
Obrázek 7.25
2.
Sdílení internetového pˇ ripojení — povolení pˇ rístupu pouze k vybraným službám
Omezení dle IP adres. Pˇ rístup k urˇ citým službám (pˇ rípadnˇ e kompletní pˇ rístup do Internetu) bude povolen pouze z vybraných poˇ cítaˇ cu ˚. V položce Zdroj definovaného pravidla uvedeme skupinu IP adres, ze kterých bude pˇ rístup do Internetu povolen. Tuto skupinu je tˇ reba nejprve definovat v sekci Konfigurace → Definice → Skupiny (viz kapitola 16.5).
Obrázek 7.26
Povolení pˇ rístupu do Internetu pouze pro vybranou skupinu IP adres
Poznámka: Definice pravidel tohoto typu je vhodná pouze v pˇ rípadˇ e, že každý uživatel má sv˚ uj vlastní poˇ cítaˇ c (uživatelé se u poˇ cítaˇ cu ˚ nestˇ rídají) a tyto poˇ cítaˇ ce mají pˇ riˇ razeny statické IP adresy. 3.
Omezení dle uživatel˚ u. V tomto pˇ rípadˇ e firewall kontroluje, zda z poˇ cítaˇ ce, odkud komunikace pˇ richází, je pˇ rihlášen urˇ citý uživatel. Podle toho komunikaci povolí ˇ ci zakáže.
Obrázek 7.27
Povolení pˇ rístupu do Internetu pouze vybrané skupinˇ e uživatel˚ u
Nejjednodušší variantou tohoto omezení je pravidlo povolující pˇ rístup do Internetu pouze pˇ rihlášeným uživatel˚ um. Internet tak bude dostupný všem uživatel˚ um, kteˇ rí mají v Kerio Control uživatelský úˇ cet. Správce firewallu pak má detailní pˇ rehled o tom, kam kteˇ rí uživatelé pˇ ristupují a jaké služby využívají (anonymní pˇ rístup není možný).
103
Komunikaˇ cní pravidla
Obrázek 7.28 Povolení pˇ rístupu do Internetu pouze ovˇ eˇ reným uživatel˚ um
Podrobné informace o pˇ rihlašování uživatel˚ u k firewallu naleznete v kapitole 11.1. Poznámka: 1. Výše uvedená pravidla lze r˚ uzným zp˚ usobem kombinovat — napˇ r. povolit skupinˇ e uživatel˚ u pˇ rístup do Internetu pouze k vybraným službám. 2. Použití uživatelských úˇ ct˚ u a skupin uživatel˚ u v komunikaˇ cních pravidlech má urˇ citá specifika. Touto problematikou se podrobnˇ e zabývá kapitola 7.6.
Výjimky Pˇ ri omezování pˇ rístupu do Internetu m˚ uže vzniknout požadavek, aby k urˇ cité službˇ e byl ˇ povolen pˇ rístup pouze vybrané skupinˇ e uživatel˚ u ci IP adres. Všem ostatním uživatel˚ um (resp. ze všech ostatních IP adres) má být pˇ rístup k této službˇ e zakázán. Jako pˇ ríklad uvedeme povolení pˇ rístupu na servery v Internetu pomocí služby Telnet skupinˇ e uživatel˚ u. Pro splnˇ ení tohoto požadavku definujeme dvˇ e pravidla: • První pravidlo povolí službu Telnet vybrané skupinˇ e uživatel˚ u (resp. skupinˇ e IP adres apod.). • Druhé pravidlo zakáže pˇ rístup k této službˇ e všem ostatním uživatel˚ um.
Obrázek 7.29
Výjimka — povolení služby Telnet pouze vybrané skupinˇ e uživatel˚ u
7.5 Policy routing Pokud je lokální sít’ pˇ ripojena do Internetu více linkami s rozložením zátˇ eže (viz kapitola 6.4), m˚ uže vzniknout požadavek, aby pro urˇ citou komunikaci byla vyhrazena jedna linka a ostatní komunikace byla smˇ erována pˇ res zbývající linky. D˚ uvodem je, aby d˚ uležitá komunikace (napˇ r. e-mail nebo informaˇ cní systém) nebyla zbyteˇ cnˇ e zpomalována ménˇ e d˚ uležitou komunikací (napˇ r. „brouzdání“ uživatel˚ u po WWW stránkách ˇ ci poslech internetových rádií). Pro splnˇ ení tohoto požadavku je potˇ reba pˇ ri smˇ erování paket˚ u z lokální sítˇ e do Internetu kromˇ e cílové IP adresy pracovat také s dalšími informacemi — zdrojovou IP adresou, protokolem atd. Tato technika smˇ erování se nazývá policy routing (inteligentní smˇ erování).
104
7.5 Policy routing
V Kerio Control lze policy routing definovat pomocí podmínek v komunikaˇ cních pravidlech pro pˇ rístup do Internetu s pˇ rekladem IP adres (NAT). Tato koncepce nabízí velmi široké možnosti pro splnˇ ení všech požadavk˚ u na smˇ erování a rozložení zátˇ eže internetového pˇ ripojení. Poznámka: Komunikaˇ cní pravidla pro policy routing mají vyšší prioritu než cesty definované erovací tabulce (viz kapitola 18.1). ve smˇ
Pˇ ríklad: Vyhrazená linka pro e-mailovou komunikaci Pˇ redpokládejme, že firewall je pˇ ripojen do Internetu dvˇ ema linkami s rozložením zátˇ eže o rychlostech 4 Mbit/s a 8 Mbit/s. První z linek je pˇ ripojena k poskytovateli, u kterého je zároveˇ n hostován poštovní server. Proto je požadováno, aby veškerá e-mailová komunikace (protokoly SMTP, IMAP, POP3 a jejich zabezpeˇ cené verze) byla smˇ erována touto linkou. Pro splnˇ ení uvedených požadavk˚ u definujeme dvˇ e komunikaˇ cní pravidla: • První pravidlo urˇ cuje, že pro e-mailové služby bude provádˇ en pˇ reklad IP adres (NAT) s použitím rozhraní Internet 4 Mbit. • Druhé pravidlo je obecné pravidlo pro NAT s automatickým výbˇ erem rozhraní (viz kapitola 7.4).
Obrázek 7.30
Policy routing — vyhrazená linka pro e-mail
Nastavení pˇ rekladu IP adres v pravidle pro e-mailové služby je zˇ rejmé z obrázku 7.31. Doporuˇ cujeme povolit použití jiné linky, pokud dojde výpadku vyhrazené linky. V opaˇ cném pˇ rípadˇ e by po dobu výpadku vyhrazené linky byly e-mailové služby nedostupné. Pˇ redpokládejme, že poštovní server poskytuje také služby Webmail a CalDAV, které používají protokol HTTP(s). Pˇ ridání tˇ echto protokol˚ u do prvního pravidla by zp˚ usobilo, že by pˇ res vyhrazenou linku byla smˇ erována veškerá WWW komunikace. Pravidlo však m˚ užeme modifikovat tak, aby linka byla vyhrazena pro komunikaci s konkrétním serverem — viz obrázek 7.32.
105
Komunikaˇ cní pravidla
Obrázek 7.31
Policy routing — nastavení NAT pro vyhrazenou linku
Obrázek 7.32
Policy routing — vyhrazená linka pro konkrétní server
Poznámka: Ve druhém pravidle je použit automatický výbˇ er rozhraní. To znamená, že i linka Internet 4Mbit bude stále využita pro rozložení zátˇ eže internetového pˇ ripojení. Pˇ ritom samozˇ rejmˇ e bude zohledˇ nována e-mailová komunikace, pro kterou je linka vyhrazena podle prvního pravidla. Celková zátˇ ež tak bude stále optimálnˇ e rozložena mezi obˇ e linky. Pokud bychom z nˇ ejakého d˚ uvodu požadovali, aby urˇ citá linka byla vyhrazena pouze pro danou komunikaci a veškerá ostatní komunikace byla smˇ erována pˇ res jiné linky, pak v sekci Konfigurace → Rozhraní nastavíme této lince rychlost 0 Mbit/s. Linka pak nebude použita pro automatické rozložení zátˇ eže, ale bude pˇ res ni smˇ erována pouze specifická komunikace dle komunikaˇ cních pravidel.
Pˇ ríklad: Optimalizace rozložení zátˇ eže internetového pˇ ripojení Kerio Control nabízí dva zp˚ usoby rozložení zátˇ eže internetového pˇ ripojení: podle zdrojových poˇ cítaˇ cu ˚ (klient˚ u) nebo podle jednotlivých spojení (bližší informace viz kapitola 7.3). Vzhledem k r˚ uznorodosti aplikací na jednotlivých poˇ cítaˇ cích a r˚ uzným povahám uživatel˚ u je zˇ rejmé, že lepšího využití jednotlivých internetových linek se dosáhne pˇ ri rozložení zátˇ eže podle jednotlivých spojení. V tomto režimu však m˚ uže docházet k problém˚ um pˇ ri pˇ rístupu ke službám, kde se navazuje více spojení souˇ casnˇ e (typicky WWW stránky a další služby založené na WWW). Server m˚ uže r˚ uzné zdrojové adresy v jednotlivých spojeních vyhodnotit jako obnovení spojení po výpadku (pak dojde napˇ r. k vypršení relace) nebo jako pokus o útok (služba pak m˚ uže být zcela nedostupná).
106
7.6 Použití uživatelských úˇ ct˚ u a skupin v komunikaˇ cních pravidlech
ˇ ešením tohoto problému je použít policy routing. Pro „problematické“ služby (napˇ R r. HTTP a HTTPS) bude zátˇ ež rozložena podle klient˚ u, tzn. všechna spojení z jednoho klienta budou smˇ erována pˇ res jednu internetovou linku a budou tedy mít shodnou zdrojovou IP adresu. Na ostatní služby bude aplikováno rozložení zátˇ eže podle spojení — tím bude zajištˇ eno optimální využití kapacity jednotlivých linek. Uvedené požadavky zajistí dvˇ e komunikaˇ cní pravidla pro NAT — viz obrázek 7.33. V prvním pravidle uvedeme požadované služby a nastavíme režim NAT podle poˇ cítaˇ cu ˚ . Druhé pravidlo bude platit pro libovolnou (jinou) službu a nastavíme zde režim NAT podle spojení.
Obrázek 7.33
Policy routing — optimalizace rozložení zátˇ eže
7.6 Použití uživatelských úˇ ct˚ u a skupin v komunikaˇ cních pravidlech V komunikaˇ cních pravidlech lze jako zdroj (pˇ rípadnˇ e cíl) použít také uživatelské úˇ cty a/nebo skupiny uživatel˚ u. Uživatelský úˇ cet má v pravidle význam IP adresy poˇ cítaˇ ce, ze kterého je uživatel pˇ rihlášen. Pravidlo se tedy uplatní pouze v pˇ rípadˇ e, že je uživatel na firewallu ovˇ eˇ ren (po odhlášení uživatele je pravidlo opˇ et neplatné). V této kapitole popisujeme aspekty, které mohou vzniknout pˇ ri použití uživatelských úˇ ct˚ u v komunikaˇ cních pravidlech, a ˇ rešení tˇ echto problém˚ u. Poznámka: Podrobné informace o definici komunikaˇ cních pravidel viz kapitola 7.3.
Povolení pˇ rístupu do Internetu vybraným uživatel˚ um Požadavkem je povolit pˇ rístup do Internetu (ke všem službám) pouze vybraným uživatel˚ um. Pˇ redpokládejme, že se jedná o privátní lokální sít’ a pˇ rístup do Internetu je realizován pomocí technologie NAT. Pak staˇ cí pˇ ríslušné uživatele uvést v položce Zdroj pravidla pro pˇ reklad adres.
Obrázek 7.34
Komunikaˇ cní pravidlo povolující pˇ rístup do Internetu pouze vybraným uživatel˚ um
107
Komunikaˇ cní pravidla
Takto definované pravidlo povolí pˇ rístup do Internetu vyjmenovaným uživatel˚ um, pokud budou na firewallu ovˇ eˇ reni. Tito uživatelé však budou muset ruˇ cnˇ e otevˇ rít pˇ rihlašovací stránku WWW rozhraní Kerio Control a pˇ rihlásit se (podrobnosti viz kapitola 11.1). S takto definovaným pravidlem však budou neúˇ cinné všechny metody automatického ovˇ eˇ rování (tj. pˇ resmˇ erování na pˇ rihlašovací stránku, NTLM ovˇ eˇ rování a automatické pˇ rihlášení z definovaných poˇ cítaˇ cu ˚). Automatické ovˇ eˇ rení (resp. pˇ resmˇ erování na pˇ rihlašovací stránku) se totiž provádí až v okamžiku navazování spojení do Internetu. Toto pravidlo pro pˇ reklad adres však nepovolí navázat spojení dˇ ríve, než je pˇ ríslušný uživatel ovˇ eˇ ren.
Povolení automatického ovˇ eˇ rování Problém s automatickým ovˇ eˇ rováním uživatel˚ u m˚ užeme snadno vyˇ rešit následujícím zp˚ usobem: • Nad pravidlo pro pˇ reklad IP adres pˇ ridáme pravidlo povolující pˇ rístup ke službˇ e HTTP bez omezení.
Obrázek 7.35 Komunikaˇ cní pravidla umožˇ nující automatické pˇ resmˇ erování na pˇ rihlašovací stránku
• V pravidlech pro URL (viz kapitola 13.2) povolíme pˇ rístup ke všem WWW stránkám vybraným uživatel˚ um a zakážeme pˇ rístup všem ostatním uživatel˚ um.
Obrázek 7.36
Pravidla pro URL umožˇ nující pˇ rístup
ke všem WWW stránkám pouze vybraným uživatel˚ um
108
7.7 Vyˇ razení inspekˇ cního modulu pro urˇ citou službu
Pokud uživatel nebude dosud ovˇ eˇ ren a pokusí se pˇ ristoupit na nˇ ejakou WWW stránku, bude automaticky pˇ resmˇ erován na pˇ rihlašovací stránku (pˇ ríp. ovˇ eˇ ren pomocí NTLM nebo automaticky pˇ rihlášen z pˇ ríslušného poˇ cítaˇ ce). Po úspˇ ešném ovˇ eˇ rení bude uživatel˚ um uvedeným v pravidle NAT (viz obrázek 7.35) povolen pˇ rístup i k ostatním službám v Internetu. Neovˇ eˇ reným uživatel˚ um a ostatním uživatel˚ um, kteˇ rí nejsou v pravidlech uvedeni, bude zakázán pˇ rístup na všechny WWW stránky a všechny ostatní služby v Internetu. Poznámka: V tomto pˇ ríkladu pˇ redpokládáme, že klientské poˇ cítaˇ ce využívají modul DNS v Kerio Control, pˇ rípadnˇ e DNS server v lokální síti, jehož komunikace je povolena. Pokud by klientské stanice používaly pˇ rímo DNS server v Internetu (nedoporuˇ cená konfigurace!), musela by do pravidla povolujícího pˇ rístup bez omezení být pˇ ridána ještˇ e služba DNS.
7.7 Vyˇ razení inspekˇ cního modulu pro urˇ citou službu V nˇ ekterých pˇ rípadech nemusí být aplikování inspekˇ cního modulu na danou komunikaci žádoucí. Pro vyˇ razení urˇ citého inspekˇ cního modulu je tˇ reba definovat komunikaˇ cní pravidlo pro tuto službu a odpovídající zdrojové a cílové adresy, ve kterém explicitnˇ e nastavíme, že nemá být používán žádný inspekˇ cní modul.
Pˇ ríklad Klient elektronického bankovnictví komunikuje se serverem banky vlastním aplikaˇ cním protokolem, který využívá transportní protokol TCP na portu 2000. Pˇ redpokládejme, že tato aplikace je provozována na poˇ cítaˇ ci s IP adresou 192.168.1.15 a pˇ ripojuje se k serveru server.banka.cz. Port 2000 je standardnˇ e využíván protokolem Cisco SCCP. Za normálních okolností by byl na komunikaci bankovního klienta aplikován inspekˇ cní modul protokolu SCCP, což by mohlo zp˚ usobit nesprávnou funkci této aplikace, pˇ rípadnˇ e degradovat zabezpeˇ cení. Pro komunikaci bankovního klienta definujeme speciální komunikaˇ cní pravidlo: 1.
V sekci Konfigurace → Definice → Služby definujeme službu Banka: služba využívá transportní protokol TCP na portu 2000 a nepoužívá žádný inspekˇ cní modul.
2.
V sekci Konfigurace → Zásady komunikace → Komunikaˇ cní pravidla vytvoˇ ríme pravidlo povolující komunikaci této službˇ e z poˇ cítaˇ ce v lokální síti na server banky. V pravidle specifikujeme, že nemá být použit žádný inspekˇ cní modul.
109
Komunikaˇ cní pravidla
Obrázek 7.37
Definice služby bez inspekˇ cního modulu
Obrázek 7.38 Komunikaˇ cní pravidlo povolující pˇ rístup ke službˇ e bez inspekce protokolu
Poznámka: Ve výchozím nastavení sekce Komunikaˇ cní pravidla je sloupec Inspekˇ cní modul skryt. K jeho zobrazení využijeme funkci Nastavit sloupce (viz kapitola 3.3). Upozornˇ ení: K vyˇ razení inspekˇ cního modulu pro urˇ citou komunikaci nestaˇ cí definovat službu bez použití tohoto modulu! Inspekˇ cní moduly jsou aplikovány automaticky na veškerou komunikaci pˇ ríslušnými protokoly. Vyˇ razení urˇ citého inspekˇ cního modulu musí být specifikováno komunikaˇ cními pravidly.
7.8 Použití Full cone NAT ˇ ada aplikací (zejména programy pro multimédia, internetovou telefonii (VoIP) apod.) používá R model komunikace, kdy se k portu „otevˇ renému“ odchozím paketem mohou pˇ ripojit další klienti pro navázání pˇ rímého spojení. Pro tyto pˇ rípady Kerio Control nabízí režim pˇ rekladu adres oznaˇ covaný jako Full cone NAT. V tomto režimu je k otevˇ renému portu povolen pˇ rístup z libovolné IP adresy a komunikace je vždy pˇ resmˇ erována na pˇ ríslušného klienta v lokální síti. Použití Full cone NAT pˇ redstavuje urˇ cité bezpeˇ cnostní riziko. S každým odchozím spojením navázaným v tomto režimu se otevírá potenciální cesta z Internetu do lokální sítˇ e. Pro 110
7.8 Použití Full cone NAT
zachování dostateˇ cné úrovnˇ e zabezpeˇ cení je proto nutné povolovat Full cone NAT pouze pro konkrétní klienty a služby. Pro ilustraci uvádíme pˇ ríklad pro IP telefon s protokolem SIP. Poznámka: Podrobnosti o definici komunikaˇ cních pravidel viz kapitola 7.3.
Pˇ ríklad: SIP telefon v lokální síti Pˇ redpokládejme, že v lokální síti bude provozován IP telefon, který se registruje na SIP server v Internetu. Pro snazší popis uved’me konkrétní údaje: • IP adresa telefonu: 192.168.1.100 • Veˇ rejná IP adresa firewallu: 195.192.33.1 • SIP server: sip.server.cz Protože firewall provádí pˇ reklad IP adres, telefon se na SIP serveru registruje pod veˇ rejnou IP adresou firewallu (195.192.33.1). Pˇ ri volání z jiného telefonu na tento telefon bude navazováno spojení na IP adresu firewallu (195.192.33.1) a pˇ ríslušný port. Za normálních okolností by takové spojení bylo možné navázat pouze pˇ rímo ze SIP serveru (na nˇ ej bylo navazováno p˚ uvodní odchozí spojení pˇ ri registraci). Pˇ ri použití Full cone NAT bude moci toto spojení navázat libovolný klient, který chce volat na SIP telefon v lokální síti. Full cone NAT povolíme komunikaˇ cním pravidlem, které bude velmi restriktivní (z d˚ uvodu zachování maximální možné úrovnˇ e zabezpeˇ cení):
Obrázek 7.39
Komunikaˇ cní pravidlo pro Full cone NAT
• Zdroj — IP adresa SIP telefonu v lokální síti. • Cíl — jméno nebo IP adresa SIP serveru v Internetu. Full cone NAT bude provádˇ en pouze pro komunikaci s tímto serverem. • Služba — služba SIP (jedná se o SIP telefon). Pro ostatní služby nebude Full cone NAT provádˇ en. • Akce — komunikace musí být povolena. • Pˇ reklad — zvolíme požadovaný zp˚ usob pˇ rekladu zdrojové IP adresy (viz kapitola 7.3) a zaškrtneme volbu Povolit pˇ ríchozí pakety z libovolné IP adresy (Full cone NAT). Pravidlo pro Full cone NAT musí být umístˇ eno nad obecným pravidlem pro pˇ reklad adres povolujícím komunikaci z lokální sítˇ e do Internetu.
111
Komunikaˇ cní pravidla
Obrázek 7.40 Povolení Full cone NAT v komunikaˇ cním pravidle
7.9 Media hairpinning Kerio Control umožˇ nuje „zprostˇ redkovat“ komunikaci mezi dvˇ ema klienty v lokální síti, kteˇ rí se vzájemnˇ e „znají“ pouze pod veˇ rejnou IP adresou firewallu. Tato vlastnost firewallu se nazývá hairpinning (z angl. hairpin = serpentina, jedná se de facto o „otoˇ cení“ komunikace zpˇ et do lokální sítˇ e). Protože se využívá pˇ redevším pˇ ri pˇ renosu hlasových nebo obrazových dat, oznaˇ cuje se také jako media hairpinning.
Pˇ ríklad: Dva SIP telefony v lokální síti Pˇ redpokládejme situaci, kdy jsou v lokální síti umístˇ eny dva SIP telefony. Tyto telefony se registrují na SIP serveru v Internetu. Pro snazší popis uved’me konkrétní údaje: • IP adresy telefon˚ u: 192.168.1.100 a 192.168.1.101 • Veˇ rejná IP adresa firewallu: 195.192.33.1 • SIP server: sip.server.cz Pro telefony definujeme pˇ ríslušná komunikaˇ cní pravidla — viz kapitola 7.8 (je zˇ rejmé, že do položky Zdroj komunikaˇ cního pravidla pro Full cone NAT dle obrázku 7.39 staˇ cí pˇ ridat IP adresu druhého telefonu). Oba telefony budou zaregistrovány na SIP serveru pod veˇ rejnou IP adresou firewallu (195.192.33.1). Uskuteˇ cní-li tyto telefony hovor mezi sebou, budou datové pakety (pro vlastní pˇ renos hlasu) z každého telefonu posílány na veˇ rejnou IP adresu firewallu (a port protˇ ejšího telefonu). Za normálních okolností by takové pakety byly zahazovány. Kerio Control 112
7.9 Media hairpinning
však dokáže na základˇ e odpovídajícího záznamu v NAT tabulce rozpoznat, že paket je urˇ cen pro klienta v lokální síti, provede pˇ reklad cílové IP adresy a vyšle paket zpˇ et do lokální sítˇ e (stejnˇ e jako v pˇ rípadˇ e mapování port˚ u). Komunikace mezi obˇ ema telefony tak bude fungovat správnˇ e. Poznámka: 1. Podmínkou pro hairpinning je povolení pˇ ríslušné komunikace mezi lokální sítí a Internetem (pˇ red zpracováním firewallem mají pakety zdrojovou adresu z lokální sítˇ e a cílovou adresu z Internetu — jedná se tedy o odchozí komunikaci z lokální sítˇ e do Internetu). Ve výchozích komunikaˇ cních pravidlech vytvoˇ rených pr˚ uvodcem (viz kapitola 7.1) je tato podmínka splnˇ ena pravidlem NAT. 2. Hairpinning v principu nevyžaduje povolení Full cone NAT (viz kapitola 7.8). V uvedeném pˇ ríkladu je však Full cone NAT nutný pro správnou funkci protokolu SIP.
113
Kapitola 8
Firewall a systém prevence útok˚ u
8.1 Systém prevence sít’ových útok˚ u (IPS) Kerio Control integruje systém detekce a prevence útok˚ u (IDS/IPS) Snort, který chrání firewall a lokální sít’ pˇ red známými typy sít’ových útok˚ u. V rámci produktu Kerio Control se tento systém zjednodušenˇ e nazývá Prevence útok˚ u (název v sobˇ e skrývá obˇ e uvedené funkce — prevenci nelze provádˇ et bez detekce).
Kˇ cemu slouží a jak funguje systém prevence útok˚ u Sít’ový útok je obecnˇ e nežádoucí sít’ová komunikace, která nˇ ejakým zp˚ usobem narušuje ˇ cinnost nebo zabezpeˇ cení poˇ cítaˇ ce, proti kterému je útok veden, zpravidla za úˇ celem jeho paralýzy, získání neoprávnˇ eného pˇ rístupu a/nebo odcizení dat. Pro útoky je charakteristické, že se zdánlivˇ e jedná o legitimní sít’ovou komunikaci a nelze je jednoduše odfiltrovat komunikaˇ cními pravidly. Jako pˇ ríklad uved’me útok typu DoS (Denial of Service — zablokování služby), kdy útoˇ cník navázáním velkého poˇ ctu spojení na urˇ citý port zp˚ usobí vyˇ cerpání systémových zdroj˚ u serverové aplikace a další klienti se k ní pak již nemohou pˇ ripojit. Z pohledu firewallu se pˇ ritom jedná pouze o pˇ rístup na povolený port. Pro detekci sít’ových útok˚ u je proto potˇ reba sofistikovaná analýza sít’ové komunikace. Systémy detekce sít’ových útok˚ u obvykle pracují s databázemi známých útok˚ u (podobnˇ e jako antivirové programy používají databáze známých vir˚ u). Díky pravidelné aktualizaci databáze je zajištˇ eno, že systém bude zachytávat i nové typy útok˚ u. V souˇ casné verzi aplikace Kerio Control pracuje systém prevence útok˚ u na všech sít’ových rozhraních zaˇ razených ve skupinˇ e Internetová rozhraní (viz kapitola 5). Z toho vyplývá, že detekuje a zachytává sít’ové útoky pˇ richázející z Internetu, nikoliv z poˇ cítaˇ cu ˚ v lokálních sítích a z VPN klient˚ u (tyto poˇ cítaˇ ce jsou považovány za d˚ uvˇ eryhodné). Pro správnou ˇ cinnost systému prevence útoku je vyžadováno použití pˇ rekladu IP adres (NAT — viz kapitola 7.3). Lze jej tedy využít ve všech typických konfiguracích, kdy je Kerio Control použit pro ochranu lokální privátní sítˇ e. Je-li Kerio Control nasazen jako tzv. neutrální smˇ erovaˇ c (bez pˇ rekladu IP adres), pak nebude systém prevence útok˚ u fungovat správnˇ e. Detekce útok˚ u se provádí pˇ red aplikací komunikaˇ cních pravidel (viz kapitola 7), aby nedocházelo k ovlivˇ nování detekce nastavenými pravidly.
114
8.1 Systém prevence sít’ových útok˚ u (IPS)
Konfigurace systému prevence útok˚ u v Kerio Control Systém prevence útok˚ u lze nastavit v sekci Konfigurace → Zásady komunikace → Prevence útok˚ u.
Obrázek 8.1
Konfigurace systému prevence útok˚ u v Kerio Control
Detekce známých typ˚ u útok˚ u Kerio Control rozlišuje tˇ ri úrovnˇ e závažnosti útok˚ u: • Velmi závažné, • Stˇ rednˇ e závažné, • Ménˇ e závažné. Pro každou úroveˇ n závažnosti lze nastavit jednu z tˇ echto akcí: • Zaznamenat a zahodit — informace o detekovaném útoku bude zapsána do záznamu Security (viz kapitola 22.11) a pˇ ríslušná sít’ová komunikace bude 115
Firewall a systém prevence útok˚ u
blokována, • Zaznamenat — o detekovaném útoku bude pouze zapsána informace do záznamu Security, • Žádná akce — detekovaný útok bude ignorován. Výchozí a doporuˇ cené nastavení akcí pro jednotlivé úrovnˇ e závažnosti útok˚ u: • Velmi závažné → Zaznamenat a zahodit, • Stˇ rednˇ e závažné → Zaznamenat, • Ménˇ e závažné → Žádná akce (pˇ redpokládá se, že by mohlo docházet k velkému množství tzv. falešných poplach˚ u, viz též Upˇ resˇ nující nastavení ). Kliknutím na odkaz lze funkˇ cnost systému prevence útok˚ u otestovat prostˇ rednictvím speciální stránky na serveru spoleˇ cnosti Kerio Technologies. Po spuštˇ ení testu budou na adresu klienta (tedy veˇ rejnou IP adresu vašeho firewallu) vyslány tˇ ri fiktivní útoky vysoké, stˇ rední a nízké závažnosti (samozˇ rejmˇ e neškodné). Testovací skript pak vyhodnotí, zda firewall tyto útoky propustil nebo blokoval. V záznamu Security se zároveˇ n zobrazí tˇ ri odpovídající zprávy — zda firewall jednotlivé útoky blokoval, pouze zaznamenal nebo ignoroval (podrobnosti viz kapitola 22.11). Poznámka: Tento test je urˇ cen pouze pro systém prevence útok˚ u v produktu Kerio Control. Jiné IDS/IPS jím nelze testovat. Využití databází známých útoˇ cník˚ u (ˇ cerných listin) Kromˇ e detekce známých typ˚ u útok˚ u je možné také detekovat a blokovat sít’ovou komunikaci z IP adres, které jsou uvedeny v internetových databází známých útoˇ cník˚ u (tzv. blacklists — ˇ cerné listiny). V tomto pˇ rípadˇ e se zaznamenává, pˇ rípadnˇ e blokuje veškerá komunikace z dané zdrojové IP adresy. Detekce a blokování útoˇ cník˚ u tímto zp˚ usobem je výraznˇ e rychlejší a ménˇ e nároˇ cné než detekce jednotlivých typ˚ u útok˚ u. Je zde však také nˇ ekolik nevýhod — ˇ cerné listiny z principu nemohou obsahovat IP adresy všech potenciálních útoˇ cník˚ u, útoˇ cníci v mnoha pˇ rípadech zdrojové adresy falšují a na ˇ cerné listinˇ e se také z r˚ uzných d˚ uvod˚ u m˚ uže objevit IP adresa legitimního klienta nebo serveru. Proto lze pro jednotlivé ˇ cerné listiny nastavovat stejné akce jako pro detekované útoky: • Zaznamenat a zahodit — informace o detekované komunikaci a blokované IP adrese bude zapsána do záznamu Security a z dané IP adresy bude blokována veškerá sít’ová komunikace, • Zaznamenat — o detekované komunikaci a blokované IP adrese bude pouze zapsána informace do záznamu Security, • Žádná akce — detekovaná IP adresa z ˇ cerné listiny nebude považována za útoˇ cníka. Poznámka: Kerio Control neumožˇ nuje pˇ ridat vlastní databázi (ˇ cernou listinu). Aktualizace databází útok˚ u a známých útoˇ cník˚ u Pro správnou ˇ cinnost systému detekce útok˚ u je potˇ reba pravidelnˇ e aktualizovat databáze známých útok˚ u a IP adres útoˇ cník˚ u. Kerio Control umožˇ nuje nastavit interval automatické aktualizace (výchozí hodnota je 24 hodin), pˇ rípadnˇ e provést okamžitou aktualizaci dle potˇ reby (napˇ r. po delším výpadku internetového pˇ ripojení). Za normálních okolností 116
8.1 Systém prevence sít’ových útok˚ u (IPS)
nemá smysl automatické aktualizace vypínat — neaktuální databáze výraznˇ e zhoršují úˇ cinnost systému prevence útok˚ u. Upozornˇ ení: Pro aktualizaci databází systému prevence útok˚ u je vyžadovaná platná licence produktu Kerio Control nebo registrovaná zkušební verze. Bližší informace viz kapitola 4.
Upˇ resˇ nující nastavení Kerio Control umožˇ nuje nastavit nˇ ekteré upˇ resˇ nující parametry systému prevence útok˚ u. Tyto parametry mohou zvýšit výkon systému prevence útok˚ u a zabránit tzv. falešným poplach˚ um (false positives). D˚ uraznˇ e doporuˇ cujeme nemˇ enit tyto parametry, pokud si nejste naprosto jisti jejich významem!
Obrázek 8.2
Upˇ resˇ nující nastavení systému detekce útok˚ u
117
Firewall a systém prevence útok˚ u
Ignorované útoky V nˇ ekterých pˇ rípadech m˚ uže být legitimní komunikace detekována jako útok. Pokud se to stává pravidelnˇ e, pak je možné pro daný útok definovat výjimku. Definice výjimky spoˇ cívá v pˇ ridání ˇ císelného identifikátoru pravidla do seznamu. Identifikátor pravidla lze zjistit ze záznamu Security (viz kapitola 22.11), pˇ rípadnˇ e v dokumentaci k systému Snort (http://www.snort.org/). Poznámka: Výjimky je vhodné definovat pouze v pˇ rípadech, kdy je legitimní komunikace detekována jako útok opakovanˇ e, resp. pravidelnˇ e. Není rozumné definovat výjimku pˇ ri prvním zjištˇ ení takovéto události. Protokolovˇ e specifické útoky Nˇ ekteré útoky mohou být zamˇ eˇ reny na bezpeˇ cnostní chyby v konkrétních aplikaˇ cních protokolech. Proto je za normálních okolností zbyteˇ cné detekovat tyto útoky v komunikaci jiných aplikaˇ cních protokol˚ u. Pro jednotlivé protokoly, které systém detekce útok˚ u rozeznává, jsou pˇ reddefinovány seznamy standardních port˚ u, pˇ rípadnˇ e ˇ casto používaných port˚ u. Seznamy mohou obsahovat jednotlivá ˇ císla port˚ u oddˇ elená ˇ cárkami, pˇ rípadnˇ e rozsahy port˚ u (poˇ cáteˇ cní a koncový port oddˇ elené pomlˇ ckou bez mezer). Pokud je z Internetu zpˇ rístupnˇ ená aplikace, která používá nˇ ekterý z uvedených protokol˚ u na nestandardním portu (napˇ r. HTTP na portu 10000), pak je vhodné pˇ ridat tento port do seznamu port˚ u, na kterých budou detekovány útoky specifické pro protokol HTTP. Je-li naopak na nˇ ekterém uvedeném portu provozována aplikace používající jiný protokol (napˇ r. VPN server na portu 8000), pak je doporuˇ ceno tento port odebrat ze seznamu port˚ u pro daný protokol — na tomto portu je zbyteˇ cné detekci provádˇ et, detekce zbyteˇ cnˇ e zatˇ ežuje firewall a mohlo by také docházet k falešným poplach˚ um.
8.2 Filtrování MAC adres Kromˇ e Komunikaˇ cních pravidel, která filtrují sít’ovou komunikaci na základˇ e IP adres, protokol˚ u a port˚ u (viz kapitola 7), umožˇ nuje Kerio Control také „nízkoúrovˇ nové“ filtrování na základˇ e hardwarových adres (tzv. MAC adres) jednotlivých poˇ cítaˇ cu ˚ a sít’ových zaˇ rízení. Filtrováním fyzických adres lze napˇ r. zabránit uživatel˚ um svévolnˇ e pˇ ripojovat vlastní zaˇ rízení do sítˇ e nebo obejít pravidla firewallu zmˇ enou IP adresy svého poˇ cítaˇ ce. Poznámka: Filtr MAC adres pracuje na nižší úrovni než komunikaˇ cní pravidla firewallu (viz kapitola 7), a proto je aplikován dˇ ríve než komunikaˇ cní pravidla. Filtrování MAC adres lze nastavit v sekci Konfigurace → Zásady komunikace → Bezpeˇ cnostní volby. Sít’ová rozhraní Filtr MAC adres m˚ uže být aplikován na libovolném sít’ovém rozhraní firewallu, které je typu Ethernet nebo WiFi. Doporuˇ cujeme však d˚ ukladnˇ e zvážit, ˇ ceho chcete docílit, a vybrat pouze ta rozhraní, na kterých má být sít’ová komunikace filtrována. Chcete-li napˇ r. blokovat nežádoucí zaˇ rízení v lokální síti, nemá smysl zapínat filtrování MAC adres
118
8.2 Filtrování MAC adres
Obrázek 8.3
Filtrování MAC adres
na internetových rozhraních. Tím je pouze zbyteˇ cnˇ e zatˇ ežován firewall, a m˚ uže také dojít k blokování internetové komunikace. Režim filtrování Filtr MAC adres m˚ uže pracovat v jednom ze dvou režim˚ u: • Blokování poˇ cítaˇ cu ˚ s uvedenými MAC adresami. Filtr bude blokovat pouze komunikaci poˇ cítaˇ cu ˚ (zaˇ rízení) s MAC adresami uvedenými na seznamu. Komunikace všech ostatních poˇ cítaˇ cu ˚ bude povolena. Tento režim lze využít k rychlému zablokování urˇ citých MAC adres, nezabrání však pˇ ripojení nových, dosud neznámých zaˇ rízení. Další nevýhodou je skuteˇ cnost, že ˇ rada systém˚ u a zaˇ rízení umožˇ nuje MAC adresu sít’ového adaptéru zmˇ enit. • Povolení komunikace poˇ cítaˇ cu ˚ s uvedenými MAC adresami. Filtr povolí pouze komunikaci poˇ cítaˇ cu ˚ s MAC adresami uvedenými na seznamu, komunikace všech ostatních poˇ cítaˇ cu ˚ bude blokována. Tento režim filtrování je velmi úˇ cinný, jsou blokovány všechny neznámé MAC adresy (v jedné fyzické síti nemohou být dvˇ e zaˇ rízení se shodnou MAC adresou — zneužití povolené MAC adresy je proto velmi obtížné nebo dokonce nemožné). 119
Firewall a systém prevence útok˚ u
Pˇ ri použití tohoto režimu je však nutné vytvoˇ rit a udržovat kompletní seznam MAC adres všech zaˇ rízení, jejichž komunikace má být povolena. U vˇ etších sítí to m˚ uže být pomˇ ernˇ e nároˇ cný úkol. Seznam MAC adres Tento seznam obsahuje MAC adresy poˇ cítaˇ cu ˚, jejichž komunikace bude filtrována nebo naopak povolena — v závislosti na zvoleném režimu. MAC adresy se zadávají jako šestice byt˚ u (hexadecimálních ˇ císel) oddˇ elených dvojteˇ ckami (napˇ r.: a0:de:bf:33:ce:12) nebo pomlˇ ckami (napˇ r.: a0-de-bf-33-ce-12), pˇ rípadnˇ e ve zhuštˇ eném tvaru bez oddˇ elovaˇ cu ˚ (napˇ r.: a0debf33ce12). Každá MAC adresa m˚ uže být volitelnˇ e doplnˇ ena popisem pro snazší orientaci, jakému poˇ cítaˇ ci (zaˇ rízení) daná adresa patˇ rí. Doporuˇ cujeme tyto popisy d˚ uslednˇ e vyplˇ novat — samotná MAC adresa nemá prakticky žádnou vypovídací hodnotu. Upozornˇ ení: Je tˇ reba mít na pamˇ eti, že nevhodným nastavením filtru MAC adres je možné také zablokovat pˇ rístup ke vzdálené správˇ e firewallu. Pokud taková situace nastane, pak je potˇ reba se k firewallu pˇ ripojit z poˇ cítaˇ ce, ze kterého je komunikace povolena, pˇ rípadˇ e lokálnˇ e (edice pro systém Windows). Edice Software Appliance / VMware Virtual Appliance neumožˇ nuje lokální správu. Pokud dojde k úplnému zablokování vzdálené správy, pak je jedinou možností obnovení továrního nastavení (viz kapitola 2.11). Pak je ovšem nutné firewall znovu nakonfigurovat. Z uvedených d˚ uvod˚ u doporuˇ cujeme pˇ ri nastavování MAC filtru vždy myslet na to, aby nedošlo k zablokování vzdálené správy.
8.3 Volby pro zvýšení bezpeˇ cnosti Kerio Control nabízí nˇ ekolik doplˇ nkových možností filtrování komunikace, které nelze definovat komunikaˇ cními pravidly. Tyto volby lze aktivovat a nastavit v sekci Konfigurace → Zásady komunikace → Bezpeˇ cnostní volby, záložka R˚ uzné.
120
8.3 Volby pro zvýšení bezpeˇ cnosti
Obrázek 8.4
cnostní volby — Anti-Spoofing a omezení poˇ ctu spojení na jeden poˇ cítaˇ c Bezpeˇ
Kontrola zdrojových adres (Anti-Spoofing) Anti-Spoofing je kontrola, zda na jednotlivá rozhraní poˇ cítaˇ ce s Kerio Control pˇ richázejí pouze pakety s pˇ rípustnými zdrojovými IP adresami. Tato funkce chrání poˇ cítaˇ c s Kerio Control pˇ red útoky z vnitˇ rní sítˇ e za použití fiktivní IP adresy (tzv. spoofing — falšování IP adresy). Z pohledu každého rozhraní je korektní taková zdrojová adresa, která patˇ rí do nˇ ekteré subsítˇ e pˇ ripojené k tomuto rozhraní (bud’ pˇ rímo, nebo pˇ res další smˇ erovaˇ ce). Na rozhraní, pˇ res které vede výchozí cesta (tj. rozhraní pˇ ripojené k Internetu, též oznaˇ cováno jako externí rozhraní), je korektní libovolná IP adresa, která není povolena na žádném jiném rozhraní. Pˇ resnou informaci o tom, jaké subsítˇ e jsou (pˇ rímo ˇ ci nepˇ rímo) pˇ ripojeny k jednotlivým rozhraním, získává Kerio Control ze systémové smˇ erovací tabulky. K nastavení funkce Anti-Spoofing slouží horní ˇ cást záložky Bezpeˇ cnostní volby. Povolit kontrolu zdrojových adres Tato volba zapíná výše popsanou funkci Anti-Spoofing. Zaznamenat Po zapnutí této volby budou všechny pakety, které nevyhovˇ ely pravidl˚ um kontroly zdrojových adres, zaneseny do záznamu Security (detaily viz kapitola 22.11).
Omezování poˇ ctu spojení Tato bezpeˇ cnostní funkce umožˇ nuje definovat maximální poˇ cet sít’ových spojení, která mohou být navázána z jednoho poˇ cítaˇ ce (pracovní stanice) v lokální síti do Internetu nebo z Internetu na lokální server prostˇ rednictvím mapovaného portu. Pˇ ríchozí a odchozí spojení jsou sledována oddˇ elenˇ e. Pokud poˇ cet všech spojení navázaných z/na jeden lokální poˇ cítaˇ c v nˇ ekterém smˇ eru dosáhne nastavené hodnoty, Kerio Control nepovolí otevˇ rít další spojení v daném smˇ eru. 121
Firewall a systém prevence útok˚ u
Uvedená omezení chrání firewall (poˇ cítaˇ c s Kerio Control) proti pˇ retížení a mohou zabránit útok˚ um na cílový server, pˇ rípadnˇ e i zmírnit nežádoucí ˇ cinnost ˇ cerva ˇ ci trojského konˇ e. Omezení poˇ ctu odchozích spojení se uplatní napˇ r. v pˇ rípadˇ e, je-li klientský poˇ cítaˇ c v lokální síti je napaden ˇ cervem nebo trojským konˇ em, který se snaží navázat spojení s velkým poˇ ctem r˚ uzných server˚ u. Omezování poˇ ctu pˇ ríchozích spojení m˚ uže napˇ r. zabránit útoku SYN flood (zahlcení serveru souˇ casným navázáním velkého poˇ ctu spojení, kterými nejsou pˇ renášena žádná data).
8.4 Detekce a blokování P2P sítí Peer-to-Peer sítˇ e (zkr. P2P sítˇ e) je oznaˇ cení pro celosvˇ etové distribuované systémy, ve kterých m˚ uže každý uzel sloužit zároveˇ n jako klient i jako server. Tyto sítˇ e slouží ke sdílení velkého objemu dat mezi uživateli (vˇ etšinou soubory s nelegálním obsahem). Typickými pˇ redstaviteli tˇ echto sítí jsou napˇ r. DirectConnect nebo Kazaa. Používání P2P sítí jednak napomáhá šíˇ rení nelegálních soubor˚ u, ale zejména znaˇ cnˇ e zatˇ ežuje linku, kterou je uživatel pˇ ripojen k Internetu. Pokud se takový uživatel nachází v lokální síti, která je pˇ ripojena k Internetu jedinou linkou, pak jsou jeho aktivity na úkor ostatních uživatel˚ u, pˇ rípadnˇ e i zvýšených náklad˚ u na pˇ ripojení (napˇ r. jedná-li se o linku s limitem pˇ renesených dat). Kerio Control obsahuje modul P2P Eliminator, který umožˇ nuje detekovat pˇ rístup do P2P sítí a provádˇ et urˇ citá opatˇ rení v˚ uˇ ci pˇ ríslušným uživatel˚ um. Vzhledem k tomu, že P2P sítí existuje velké množství a uživatelé mohou na svých uzlech mˇ enit ˇ radu parametr˚ u (napˇ r. porty pro 5 server, poˇ cet spojení atd.), nelze jejich používání vždy s urˇ citostí detekovat . P2P Eliminator na základˇ e urˇ citých charakteristických znak˚ u (známé porty, otevˇ rená spojení atd.) vyhodnotí, že uživatel pravdˇ epodobnˇ e používá jednu nebo více P2P sítí. Na uživatele P2P sítí (tzn. na poˇ cítaˇ ce, na nichž jsou klienti tˇ echto sítí provozováni) je možné aplikovat tyto typy omezení: • Blokování komunikace — pˇ ríslušnému poˇ cítaˇ ci m˚ uže být zcela zablokován pˇ rístup do Internetu nebo povolen pˇ rístup pouze k nˇ ekterým službám (napˇ r. WWW a e-mail), • Omezení šíˇ rky pásma — klient˚ um P2P sítí lze omezit rychlost pˇ renosu dat tak, aby nedocházelo ke zbyteˇ cnému zatˇ ežování internetové linky na úkor ostatních uživatel˚ u a služeb.
Nastavení modulu P2P Eliminator Detekce P2P sítí probíhá automaticky (modul P2P Eliminator je stále aktivní). Parametry modulu P2P Eliminator lze nastavit v sekci Konfigurace → Další volby, záložka P2P Eliminator.
5
D˚ ukladné testy však prokázaly, že úspˇ ešnost této detekce je velmi vysoká.
122
8.4 Detekce a blokování P2P sítí
Obrázek 8.5
Nastavení detekce a blokování P2P sítí
Z výše uvedeného popisu vyplývá, že není technicky možné blokovat pˇ rístup do konkrétní P2P sítˇ e. P2P Eliminator umožˇ nuje kompletnˇ e zablokovat veškerou komunikaci (tj. pˇ rístup do Internetu z daného poˇ cítaˇ ce), povolit pouze služby, které bezpeˇ cnˇ e nepatˇ rí do P2P sítí, nebo omezit šíˇ rku pásma (pˇ renosovou rychlost), kterou mohou klienti P2P sítí využívat. Nastavené omezení bude vždy aplikováno na všechny klienty P2P sítí, které P2P Eliminator detekuje. Po zapnutí volby Informovat uživatele e-mailem bude uživateli pˇ rihlášenému z poˇ cítaˇ ce, na kterém byl detekován klient P2P sítˇ e, zaslán e-mail s varováním a informací o provedeném opatˇ rení (blokování veškeré komunikace / povolení pouze urˇ citých služeb a doba trvání tohoto omezení). E-mail je samozˇ rejmˇ e zaslán pouze v pˇ rípadˇ e, že je v pˇ ríslušném uživatelském úˇ ctu uvedena platná e-mailová adresa (viz kapitola 16.1). Na nepˇ rihlášené uživatele nemá tato volba žádný vliv. Parametr Komunikace bude blokována... urˇ cuje dobu, na po kterou bude pˇ ríslušné omezení daného poˇ cítaˇ ce platit. Modul P2P Eliminator po této dobˇ e blokování zruší — není nutný zásah správce firewallu. Doba blokování komunikace by mˇ ela být dostateˇ cnˇ e dlouhá, aby si uživatel uvˇ edomil následky své ˇ cinnosti a nepokoušel se znovu pˇ ripojovat k P2P sítím. Není-li komunikace klient˚ u P2P sítí blokována, pak je možné v dolní ˇ cásti záložky P2P Eliminator nastavit omezení šíˇ rky pásma pro P2P sítˇ e. Internetové linky bývají zpravidla asymetrické (r˚ uzná rychlost v pˇ ríchozím a v odchozím smˇ eru), a proto se toto omezení nastavuje pro každý smˇ er pˇ renosu dat oddˇ elenˇ e. Omezení šíˇ rky pásma má vliv pouze na komunikaci v rámci P2P sítí (detekovaných modulem P2P Eliminator), ostatní služby nejsou omezovány.
123
Firewall a systém prevence útok˚ u
Obrázek 8.6
Omezení šíˇ rky pásma pro P2P sítˇ e
Poznámka: 1. Je-li z urˇ citého poˇ cítaˇ ce k firewallu pˇ rihlášen uživatel, který má právo používat P2P sítˇ e (viz kapitola 16.1), pak pˇ ri detekci P2P sítˇ e nejsou na tento poˇ cítaˇ c aplikována žádná omezení. Pro nepˇ rihlášené uživatele platí vždy volby nastavené v záložce P2P Eliminator. 2. Informace o detekci P2P sítí a blokování komunikace se zobrazují v sekci Stav → Poˇ cítaˇ ce / uživatelé (podrobnosti viz kapitola 19.1). 3. Chceme-li pˇ ri detekci P2P zasílat e-mail jiné osobˇ e (napˇ r. správci firewallu), m˚ užeme definovat pˇ ríslušnou výstrahu v sekci Konfigurace → Statistiky a záznamy, záložka Nastavení výstrah. Podrobnosti viz kapitola 19.4.
Parametry pro detekci P2P sítí Tlaˇ cítko Upˇ resnˇ ení otevírá dialog pro nastavení parametr˚ u detekce P2P sítí.
Obrázek 8.7
Definice parametr˚ u detekce P2P sítí
124
8.4 Detekce a blokování P2P sítí
Porty P2P sítí Seznam port˚ u, o nichž je ovˇ eˇ reno, že jsou používány výhradnˇ e aplikacemi pro P2P sítˇ e. Jedná se zpravidla o porty pro ˇ rídicí spojení — porty (resp. rozsah port˚ u) pro sdílení soubor˚ u si vˇ etšinou m˚ uže každý uživatel nastavit témˇ eˇ r libovolnˇ e. Do seznamu port˚ u lze zadávat ˇ císla port˚ u nebo rozsahy port˚ u. Jednotlivé hodnoty se oddˇ elují ˇ cárkami, pro zápis rozsahu se používá pomlˇ cka. Poˇ cet podezˇ relých spojení Pro P2P sítˇ e je typický velký poˇ cet navázaných spojení z klientského poˇ cítaˇ ce (zpravidla jedno spojení pro každý soubor). Parametr Poˇ cet spojení urˇ cuje minimální poˇ cet sít’ových spojení klienta, pˇ ri kterém bude jeho komunikace považována za podezˇ relou. Optimální hodnota toho parametru závisí na konkrétních podmínkách (charakter ˇ cinnosti uživatel˚ u, typické sít’ové aplikace, které používají atd.) a je tˇ reba ji najít experimentálnˇ e. Pˇ ríliš nízká hodnota m˚ uže zp˚ usobit nesprávný výsledek (tj. podezˇ rení na P2P sít’ u uživatele, který ji ve skuteˇ cnosti nepoužívá), naopak pˇ ríliš vysoká hodnota zhoršuje úspˇ ešnost detekce (nižší procento detekovaných P2P sítí). „Bezpeˇ cné“ služby Urˇ cité legitimní služby mohou rovnˇ ež vykazovat charakteristiky komunikace v P2P sítích (napˇ r. velký poˇ cet souˇ casnˇ e otevˇ rených spojení). Aby tato komunikace nebyla nesprávnˇ e detekována a uživatelé tˇ echto služeb nebyli neprávem omezováni, je možné definovat seznam tzv. bezpeˇ cných služeb. Tyto služby budou vylouˇ ceny z detekce P2P komunikace. Tlaˇ cítko Definovat služby... otevírá dialog pro nastavení služeb, které nebudou považovány za komunikaci v P2P síti. K dispozici všechny služby definované v sekci Konfigurace → Definice → Služby (podrobnosti viz kapitola 15.3). Upozornˇ ení: Výchozí hodnoty parametr˚ u detekce P2P sítí byly nastaveny empiricky na základˇ e dlouhodobého testování. Jak již bylo uvedeno, v mnoha pˇ rípadech není možné s urˇ citostí ˇ ríci, zda daný uživatel skuteˇ cnˇ e používá P2P sít’ ˇ ci nikoliv, a výsledkem je pouze urˇ citá pravdˇ epodobnost. Zmˇ ena parametr˚ u detekce m˚ uže mít zásadní vliv na její výsledek. Z tohoto d˚ uvodu doporuˇ cujeme mˇ enit parametry detekce P2P sítí pouze v opodstatnˇ ených pˇ rípadech (napˇ r. zjistíme nové ˇ císlo portu, které používá pouze P2P sít’ a žádná legitimní aplikace, nebo zjistíme, že urˇ citá legitimní služba je opakovanˇ e detekována jako P2P sít’).
125
Kapitola 9
Nastavení sít’ových služeb
Tato kapitola popisuje nastavení základních služeb, které Kerio Control nabízí pro snadnou konfiguraci lokální sítˇ e a pˇ rístupu do Internetu: • Modul DNS — slouží jako jednoduchý DNS server pro lokální sít’, • DHCP server — zajišt’uje plnˇ e automatickou konfiguraci poˇ cítaˇ cu ˚ v lokální síti, • Klient služby DDNS — zajišt’uje automatickou aktualizaci záznam˚ u pro firewall ve veˇ rejném dynamickém DNS, • Proxy server — zajišt’uje pˇ rístup do Internetu klient˚ um, kteˇ rí nemohou nebo nechtˇ ejí využít pˇ rímý pˇ rístup, • HTTP cache — urychluje pˇ rístup na opakovanˇ e navštˇ evované WWW stránky (pˇ ri pˇ rímém pˇ rístupu i pˇ ri využití proxy serveru).
9.1 Modul DNS Modul DNS slouží v Kerio Control ke zjednodušení konfigurace DNS na poˇ cítaˇ cích v lokální síti a pro zrychlení odpovˇ edí na opakované DNS dotazy. DNS na lokálních poˇ cítaˇ cích lze obecnˇ e nastavit jedním z následujících zp˚ usob˚ u: • použít IP adresu primárního, pˇ ríp. i záložního DNS serveru vašeho poskytovatele Internetu. Toto ˇ rešení je regulérní, avšak odezvy na DNS dotazy budou znaˇ cnˇ e pomalé. Všechny dotazy z každého poˇ cítaˇ ce v lokální síti budou posílány do Internetu. • použít DNS server v lokální síti (je-li k dispozici). Tento DNS server musí mít pˇ rístup do Internetu, aby dokázal odpovídat i na dotazy mimo lokální doménu. • použít modul DNS v Kerio Control. Ten m˚ uže sloužit jako jednoduchý DNS server pro lokální doménu a/nebo jako forwarder pro stávající DNS server. Je-li to možné, doporuˇ cujeme použít modul DNS jako primární DNS server pro poˇ cítaˇ ce v lokální síti (poslední z uvedených možností). Tento modul zajistí rychlé zpracování DNS dotaz˚ u a jejich správné smˇ erování ve složitˇ ejších sít’ových konfiguracích. Na opakované dotazy a dotazy na lokální DNS jména dokáže modul DNS odpovˇ edˇ et pˇ rímo, aniž by musel komunikovat s DNS servery v Internetu. Pokud nedokáže modul DNS zodpovˇ edˇ et DNS dotaz sám, pˇ redá jej nˇ ekterému z DNS server˚ u nastavených na internetové lince, pˇ res kterou je dotaz odesílán. Podrobnosti o konfiguraci 126
9.1 Modul DNS
sít’ových rozhraní firewallu naleznete v kapitole 5, bližší informace o možnostech internetového pˇ ripojení v kapitole 6.
Konfigurace modulu DNS Ve výchozím nastavení Kerio Control je povolen DNS server (služba DNS forwarder), cache pro rychlejší odpovˇ edi na opakované dotazy a jednoduchý pˇ revod DNS jmen. Podrobnou konfiguraci lze provést v sekci Konfigurace → DNS.
Obrázek 9.1
Nastavení parametr˚ u modulu DNS
Povolit službu DNS forwarder Tato volba zapíná / vypíná DNS server v Kerio Control. Bez další konfigurace jsou všechny DNS dotazy pˇ redávány DNS server˚ um nastaveným na pˇ ríslušném internetovém rozhraní. Je-li služba DNS forwarder vypnuta, slouží modul DNS pouze jako DNS resolver pro potˇ reby Kerio Control. Upozornˇ ení: Pokud ve vaší sít’ové konfiguraci nepoužijete DNS forwarder, m˚ užete jej vypnout. Chcete-li na tomtéž poˇ cítaˇ ci provozovat jiný DNS server, pak jej musíte vypnout — jinak by nastala kolize na portu služby DNS (53/UDP).
127
Nastavení sít’ových služeb
Používat cache pro rychlejší odpovˇ edi Zapnutím této volby budou odpovˇ edi na všechny dotazy ukládány do lokální vyrovnávací pamˇ eti (cache) modulu DNS. Odpovˇ edi na opakované dotazy tak budou mnohonásobnˇ e rychlejší (opakovaným dotazem je i stejný dotaz vyslaný r˚ uznými klienty). Fyzicky je DNS cache udržována v operaˇ cní pamˇ eti, zároveˇ n jsou však všechny DNS záznamy ukládány také do souboru DnsCache.cfg (viz kapitola 25.2). Díky tomu z˚ ustávají záznamy v DNS cache uchovány i pˇ ri zastavení Kerio Control Engine, resp. vypnutí firewallu. Poznámka: 1. 2.
Doba uchování DNS záznam˚ u v cache je specifikována pˇ rímo v každém záznamu (zpravidla 1 den). Použití DNS cache zrychlí také ˇ cinnost netransparentního proxy serveru v Kerio Control (viz kapitola 9.4).
Vyprázdnit cache Smazání všech záznam˚ u ve vyrovnávací pamˇ eti modulu DNS (bez ohledu na jejich dobu životnosti). Tuto funkci lze využít napˇ r. pˇ ri zmˇ enˇ e konfigurace, pˇ ri testování vytᡠcení na žádost, odhalování chyb apod. Použít nastavení pro pˇ redávání DNS dotaz˚ u Tato volba aktivuje pravidla pro pˇ redávání DNS dotaz˚ u na jiné DNS servery (viz dále).
Jednoduchý pˇ revod DNS jmen Modul DNS m˚ uže urˇ cité DNS dotazy zodpovídat sám, typicky dotazy na jména poˇ cítaˇ cu ˚ v lokální síti. V lokální síti tak není potˇ reba žádný další DNS server ani není nutné ukládat informace o lokálních poˇ cítaˇ cích do veˇ rejné DNS. Pro poˇ cítaˇ ce konfigurované automaticky protokolem DHCP (viz kapitola 9.2) bude odpovˇ ed’ obsahovat vždy aktuální IP adresu. Poznámka: Modul DNS v Kerio Control nedokáže zodpovídat tzv. reverzní DNS dotazy (tzn. zjištˇ ení jména poˇ cítaˇ ce z IP adresy). Tyto dotazy jsou vždy pˇ redávány na jiný DNS server. Pˇ red pˇ redáním dotazu jinému DNS serveru... Tyto volby umožˇ nují nastavit, kde má modul DNS vyhledávat dotazované jméno (resp. IP adresu) pˇ redtím, než dotaz pˇ rípadnˇ e pˇ redá jinému DNS serveru. • Systémový soubor ’hosts’ — tento soubor se nalézá v každém operaˇ cním systému, který podporuje TCP/IP. Každý ˇ rádek tohoto souboru obsahuje IP adresu poˇ cítaˇ ce a seznam odpovídajících DNS jmen. Pˇ ri každém DNS dotazu je nejprve prohledáván tento soubor, zda se v nˇ em nachází požadované jméno (pˇ rípadnˇ e IP adresa), a teprve pak (není-li nalezeno) se dotaz pˇ redává DNS serveru. Stejným zp˚ usobem se chová modul DNS, je-li tato volba zapnuta. Tlaˇ cítko Editovat otevírá speciální editor, kterým lze soubor hosts upravovat pˇ rímo v Administration Console, a to i v pˇ rípadˇ e, kdy je ke Kerio Control pˇ ripojena vzdálenˇ e (tj. z jiného poˇ cítaˇ ce).
128
9.1 Modul DNS
Obrázek 9.2
Editor systémového souboru hosts
• Tabulka adres pˇ ridˇ elených DHCP serverem — jsou-li poˇ cítaˇ ce v lokální síti konfigurovány pomocí DHCP serveru v Kerio Control (viz kapitola 9.2), pak má DHCP server informace o tom, jaká IP adresa byla pˇ riˇ razena kterému poˇ cítaˇ ci. Poˇ cítaˇ c pˇ ri startu systému vysílá požadavek na pˇ ridˇ elení IP adresy, který obsahuje i jméno poˇ cítaˇ ce. Modul DNS má pˇ rístup do tabulek DHCP serveru a m˚ uže tedy zjistit, jaká IP adresa je v tomto okamžiku pˇ ridˇ elena danému jménu poˇ cítaˇ ce. Na dotaz na jméno poˇ cítaˇ ce v lokální síti tedy vždy odpoví správnou (aktuální) IP adresou. Tímto zp˚ usobem dochází de facto k dynamické aktualizaci DNS. Poznámka: Pokud jsou obˇ e uvedené volby vypnuty, pak modul DNS pˇ redává všechny dotazy jiným DNS server˚ um. Lokální DNS doména Do pole Pˇ ri prohledávání souboru ’hosts’ nebo tabulky pˇ ridˇ elených adres kombinovat jméno s touto DNS doménou je tˇ reba zadat jméno lokální DNS domény. Jestliže poˇ cítaˇ c nebo sít’ové zaˇ rízení vysílá požadavek na pˇ ridˇ elení IP adresy, vkládá do nˇ ej pouze své jméno (doménu v tomto okamžiku ještˇ e nezná). V tabulce adres pˇ ridˇ elených DHCP serverem jsou proto uložena pouze jména poˇ cítaˇ cu ˚ bez domény. Aby modul DNS dokázal správnˇ e zodpovídat dotazy na plnˇ e kvalifikovaná lokální DNS jména (tj. jména vˇ cetnˇ e domény), musí znát jméno lokální domény. Poznámka: Je-li v modulu DNS zadána lokální doména, pak mohou být v systémovém souboru hosts uvedena lokální jména vˇ cetnˇ e domény nebo bez ní — v obou pˇ rípadech budou dotazy zodpovídány správnˇ e.
129
Nastavení sít’ových služeb
Pro snazší pochopení uved’me jednoduchý pˇ ríklad. Pˇ ríklad: Lokální doména má jméno firma.cz. V lokální síti je poˇ cítaˇ c se jménem honza nastavený pro automatickou konfiguraci IP adresy z DHCP serveru. Po startu operaˇ cního systému vyšle tento poˇ cítaˇ c DHCP požadavek obsahující jméno stanice honza. DHCP server mu pˇ ridˇ elí IP adresu 192.168.1.56. Ve své tabulce uchová informaci o tom, že tato IP adresa byla pˇ ridˇ elena stanici se jménem honza. Jiný poˇ cítaˇ c, který bude chtít s tímto poˇ cítaˇ cem komunikovat, vyšle dotaz na jméno honza.firma.cz (jedná se o poˇ cítaˇ c honza v doménˇ e firma.cz). Kdyby modul DNS neznal jméno lokální domény, pˇ redal by tento dotaz na jiný DNS server (dle nastavení — viz výše), protože by nerozpoznal, že se jedná o lokální poˇ cítaˇ c. Takto však m˚ uže lokální doménu firma.cz oddˇ elit a jméno honza s pˇ ríslušnou IP adresou nalezne v tabulce DHCP serveru.
Nastavení pˇ redávání DNS dotaz˚ u Modul DNS umožˇ nuje pˇ redávat urˇ cité DNS dotazy na specifické DNS servery. Tuto funkci lze využít napˇ r. v pˇ rípadˇ e, chceme-li pro lokální doménu používat DNS server v lokální síti (ostatní DNS dotazy budou pˇ redávány pˇ rímo do Internetu, ˇ címž se zrychlí odezva). Nastavení pˇ redávání DNS dotaz˚ u je rovnˇ ež d˚ uležité pˇ ri konfiguraci virtuálních privátních sítí, kdy je potˇ reba zajistit správné pˇ redání dotaz˚ u na jména v doménách vzdálených subsítí (podrobnosti viz kapitola 23). Pˇ redávání dotaz˚ u se definuje pravidly pro DNS jména nebo subsítˇ e. Pravidla tvoˇ rí uspoˇ rádaný seznam, který je vždy procházen shora dol˚ u. Pokud DNS jméno nebo subsít’ v dotazu vyhovuje nˇ ekterému pravidlu, pak bude tento dotaz pˇ redán na specifický DNS server a vyhodnocování pravidel se ukonˇ cí. Dotazy, které nevyhovují žádnému pravidlu, jsou pˇ redávány na „výchozí“ DNS servery (viz výše). Poznámka: Je-li aktivní Jednoduchý pˇ revod DNS jmen (viz dále), pak se pravidla pro pˇ redávání dotaz˚ u uplatní pouze v pˇ rípadˇ e, že modul DNS nedokáže dotaz zodpovˇ edˇ et na základˇ e informací ze systémového souboru hosts a/nebo tabulky pˇ ridˇ elených adres DHCP serveru. Tlaˇ cítko Definovat v konfiguraci modulu DNS (viz obrázek 9.1) otevírá dialog pro nastavení pravidel pro pˇ redávání DNS dotaz˚ u. Pravidlo lze definovat pro: • DNS jméno — pak budou na tento DNS server pˇ redávány dotazy na odpovídající jména poˇ cítaˇ cu ˚ (dotazy typu A), • subsít’ — pak budou na tento DNS server pˇ redávány dotazy na IP adresy v pˇ ríslušné subsíti (reverzní doména — dotazy typu PTR). Poˇ radí pravidel v seznamu je možné upravit tlaˇ cítky se šipkami v pravé ˇ cásti dialogu. Takto je možné vytvᡠret složitˇ ejší kombinace pravidel — napˇ r. výjimky pro konkrétní poˇ cítaˇ ce 130
9.1 Modul DNS
Obrázek 9.3
Specifická nastavení pˇ redávání DNS dotaz˚ u
nebo subdomény. Protože je seznam pravidel procházen shora dol˚ u, mˇ ela by být pravidla seˇ razena od nejspecifiˇ ctˇ ejšího (napˇ r. jméno konkrétního poˇ cítaˇ ce) k nejobecnˇ ejšímu (napˇ r. hlavní doména firmy). Podobnˇ e pravidla pro reverzní DNS dotazy by mˇ ela být seˇ razena podle délky masky subsítˇ e (napˇ r. od 255.255.255.0 k 255.0.0.0). Pravidla pro dotazy na jména a pro reverzní dotazy jsou vzájemnˇ e nezávislá. Pro pˇ rehlednost doporuˇ cujeme nejprve uvést všechna pravidla pro dotazy na jména a pak všechna pravidla pro reverzní dotazy, pˇ rípadnˇ e naopak. Tlaˇ cítko Pˇ ridat, resp. Zmˇ enit otevírá dialog pro definici pravidla pro pˇ redávání DNS dotaz˚ u. • Volba DNS dotaz na jméno slouží ke specifikaci pravidla pro dotazy na jména. Do pole Jestliže dotazované jméno odpovídá výrazu je tˇ reba zadat pˇ ríslušné DNS jméno (poˇ cítaˇ c v dané doménˇ e). Ve vˇ etšinˇ e pˇ rípad˚ u nechceme pˇ redávat dotazy na konkrétní jména, ale pro celé domény. Proto m˚ uže zadané jméno obsahovat zástupné znaky * (hvˇ ezdiˇ cka — nahrazení libovolného poˇ ctu znak˚ u) a ? (otazník — nahrazení právˇ e jednoho znaku). Pravidlo pak bude platit pro všechna jména vyhovující zadanému ˇ retˇ ezci (poˇ cítaˇ ce, domény atd.).
131
Nastavení sít’ových služeb
Obrázek 9.4
Pˇ redávání DNS dotaz˚ u — nové pravidlo
Pˇ ríklad:: DNS jméno zadáme ve tvaru: *.?erio.c*. Pravidlo bude platit pro všechna jména v doménách kerio.cz, cerio.com, aerio.c apod., tedy napˇ r. www.kerio.cz, secure.kerio.com, www.aerio.c atd.
Upozornˇ ení: V pravidlech pro DNS dotazy na jména je nutné vždy uvést výraz, kterému bude odpovídat celé DNS jméno! Pokud bychom zadali napˇ r. kerio.c*, pak by tomuto pravidlu vyhovˇ ela pouze jména kerio.cz, kerio.com apod., nikoliv však jména poˇ cítaˇ cu ˚ v tˇ echto doménách (napˇ r. www.kerio.cz nebo secure.kerio.com)! • Volba Reverzní DNS dotaz slouží ke specifikaci pravidla pro DNS dotazy na IP adresy v dané subsíti. Subsít’ se zadává adresou sítˇ e s pˇ ríslušnou maskou (napˇ r. 192.168.1.0 / 255.255.255.0). • Do pole Pak pˇ redat dotaz tˇ emto DNS server˚ um lze zadat IP adresu jednoho nebo více DNS server˚ u, na který mají být dotazy pˇ redávány. Je-li zadáno více DNS server˚ u, považují se za primární, sekundární atd. 132
9.2 DHCP server
Volba Nepˇ redávat znamená, že dotaz nebude pˇ redáván žádnému dalšímu DNS serveru — Kerio Control bude pouze prohledávat lokální soubor hosts, pˇ ríp. tabulky DHCP serveru (viz dále). Pokud zde dotazované jméno, resp. IP adresu nenalezne, odpoví klientovi, že toto jméno/adresa neexistuje. Poznámka: Volba Nepˇ redávat nemá smysl pro reverzní DNS dotazy, protože ty nedokáže modul DNS v Kerio Control sám zodpovˇ edˇ et.
9.2 DHCP server DHCP (Dynamic Host Configuration Protocol) slouží ke snadné konfiguraci TCP/IP na poˇ cítaˇ cích v síti. Klientská stanice vyšle pˇ ri startu operaˇ cního systému požadavek na konfiguraci, který je zachycen DHCP serverem. DHCP server vybere vhodné konfiguraˇ cní parametry (tj. IP adresu s pˇ ríslušnou maskou subsítˇ e a další volitelné parametry — napˇ r. adresu výchozí brány, adresy DNS server˚ u, jméno domény apod.) a pˇ ridˇ elí je klientské stanici. Veškeré parametry pro klienty se nastavují pouze centrálnˇ e na serveru — na jednotlivých stanicích staˇ cí nastavit volbu, aby byly parametry TCP/IP konfigurovány automaticky z DHCP serveru. Toto je ve vˇ etšinˇ e operaˇ cních systém˚ u (napˇ r. Windows, Linux atd.) výchozí volba — na klientských stanicích pak není tˇ reba nic nastavovat. DHCP server pˇ ridˇ eluje klient˚ um IP adresy z definovaného rozsahu, a to zpravidla na urˇ citou dobu (tzv. dobu pronájmu, angl. lease time). Pˇ red uplynutím této doby musí klient požádat o prodloužení pronájmu, jinak bude po této dobˇ e IP adresa považována za volnou a v pˇ rípadˇ e nedostatku volných adres ji DHCP server pˇ ridˇ elí jinému klientovi. Vše probíhá automaticky a pro uživatele zcela transparentnˇ e. V DHCP serveru mohou být rovnˇ ež definovány tzv. rezervace — tj. urˇ citým klient˚ um budou vždy pˇ ridˇ elovány dané IP adresy. Adresa m˚ uže být rezervována pro hardwarovou (MAC) adresu nebo jméno poˇ cítaˇ ce. Tito klienti pak mají pevné IP adresy, které jsou konfigurovány automaticky. Mezi hlavní výhody použití DHCP serveru patˇ rí výraznˇ e nižší nároˇ cnost administrace (vše staˇ cí nastavit pouze na serveru, není tˇ reba konfigurovat jednotlivé stanice) a eliminace mnoha potenciálních chyb (napˇ r. pˇ ridˇ elení téže IP adresy dvˇ ema r˚ uzným stanicím, chybné nastavení výchozí brány na nˇ ekteré stanici apod.). Kerio Control navíc umožˇ nuje automatickou konfiguraci samotného DHCP serveru, což znamená, že se automaticky vytvᡠrejí a aktualizují rozsahy IP adres a pˇ ridˇ elované parametry podle sít’ových rozhraní zaˇ razených ve skupinˇ e D˚ uvˇ eryhodné / lokální (viz kapitola 5). DHCP server tedy staˇ cí de facto pouze zapnout. Pokud automatická konfigurace z nˇ ejakého d˚ uvodu nevyhovuje, pak se lze jednoduše pˇ repnout do režimu ruˇ cní konfigurace.
133
Nastavení sít’ových služeb
Konfigurace DHCP serveru K nastavení DHCP serveru v Kerio Control slouží sekce Konfigurace → DHCP server. Zde lze definovat rozsahy IP adres, rezervace, volitelné parametry a zobrazovat informace o pˇ ridˇ elených adresách a statistiky DHCP serveru. DHCP server se zapíná a vypíná volbou DHCP server povolen v horní ˇ cásti okna. Konfiguraci je možné provádˇ et i v pˇ rípadˇ e, že je DHCP server vypnut.
Automatická konfigurace rozsah˚ u IP adres Ve výchozím nastavení pracuje DHCP server v režimu automatické konfigurace rozsah˚ u IP adres. V tomto režimu Kerio Control naˇ cítá parametry sít’ových rozhraní zaˇ razených ve skupinˇ e D˚ uvˇ eryhodné lokální a na základˇ e tˇ echto parametr˚ u automaticky vytvᡠrí a aktualizuje rozsahy IP adres pro pˇ ríslušné subsítˇ e. Pˇ ri zmˇ enˇ e rozhraní ve skupinˇ e D˚ uvˇ eryhodné lokální tedy bude automaticky aktualizována konfigurace DHCP serveru. Pro subsít’ každého rozhraní bude vytvoˇ ren rozsah s následujícími parametry: • Rozsah adres — dle IP adresy pˇ ríslušného rozhraní a odpovídající masky subsítˇ e. Rozsah se vytvᡠrí tak, aby pokryl danou subsít’ s urˇ citou rezervou pro staticky pˇ ridˇ elené adresy (napˇ r. pˇ ri použití masky 255.255.255.0 bude vytvoˇ ren rozsah adres x.x.x.11 až x.x.x.254). Pokud adresa rozhraní patˇ rí do vytvoˇ reného rozsahu, pak je pro ni automaticky definována výjimka. • Maska subsítˇ e — dle pˇ ríslušného rozhraní. • Výchozí brána — IP adresa pˇ ríslušného rozhraní. • DNS server — IP adresa pˇ ríslušného rozhraní. Pˇ rípadnˇ e mohou být nastaveny další parametry, které lze z nastavení daného rozhraní naˇ císt (DNS doména, adresa WINS serveru). Zde již záleží na operaˇ cním systému firewallu a konkrétní konfiguraci daného rozhraní. Upozornˇ ení: Pˇ ri použití automatické konfigurace doporuˇ cujeme spravovat DHCP server výhradnˇ e prostˇ rednictvím WWW rozhraní Kerio Control Administration (viz kapitola 3.1). Program Administration Console totiž umožˇ nuje pouze ruˇ cní konfiguraci, a proto pˇ ri jakékoliv zmˇ enˇ e v definovaných rozsazích dojde k pˇ repnutí do režimu ruˇ cní konfigurace (což navíc v Administration Console nelze nijak poznat).
134
9.2 DHCP server
Ruˇ cní definice rozsah˚ u IP adres Nechceme-li využít automatickou konfiguraci rozsah˚ u IP adres, m˚ užeme se v rozhraní Kerio Control Administration pˇ repnout do režimu ruˇ cní konfigurace, pˇ rípadnˇ e provést nastavení v programu Administration Console, který umožˇ nuje pouze ruˇ cní konfiguraci a k pˇ repnutí režimu dojde automaticky pˇ ri uložení zmˇ en. Mˇ ejte však na pamˇ eti, že pˇ ri pˇ rípadné zmˇ enˇ e rozhraní ve skupinˇ e D˚ uvˇ eryhodné / lokální (napˇ r. pˇ ridání nového rozhraní, zmˇ ena IP adresy atd.) je nutné ruˇ cnˇ e aktualizovat rozsahy adres definované v DHCP serveru! Následující popis se vztahuje k programu Administration Console. Záložka Rozsahy adres je rozdˇ elena na dvˇ e ˇ cásti, z nichž první obsahuje rozsahy adres a rezervace.
Obrázek 9.5
DHCP server — rozsahy pˇ ridˇ elovaných IP adres
Ve sloupci Položka se zobrazují subsítˇ e, v nichž jsou rozsahy IP adres definovány. Zaškrtávací pole vedle adresy subsítˇ e slouží k aktivaci ˇ ci deaktivaci daného rozsahu adres (takto lze rozsah doˇ casnˇ e „vyˇ radit“, aniž by bylo nutné jej odstraˇ novat a poté znovu pˇ ridávat). Pod každou subsítí jsou pak zobrazovány rezervace IP adres, které jsou v ní definovány. První položkou v tabulce jsou Výchozí parametry, kde lze nastavit výchozí parametry pro DHCP server.
135
Nastavení sít’ových služeb
Obrázek 9.6
DHCP server — výchozí DHCP parametry
Doba pˇ ridˇ elení Doba, na kterou je IP adresa klient˚ um pˇ ridˇ elována. Pokud bˇ ehem této doby klient nepožádá o prodloužení pronájmu nebo o uvolnˇ ení adresy, pak je po jejím uplynutí tato adresa automaticky uvolnˇ ena a m˚ uže být pˇ ridˇ elena jinému klientovi. DNS server M˚ uže být uveden libovolný DNS server (pˇ rípadnˇ e více DNS server˚ u oddˇ elených stˇ redníky). Jako primární DNS server (tj. na prvním místˇ e) však doporuˇ cujeme uvádˇ et modul DNS v Kerio Control (tj. IP adresu poˇ cítaˇ ce s Kerio Control). Modul DNS totiž dokáže spolupracovat s DHCP serverem (viz kapitola 9.1) a na dotazy na jména lokálních poˇ cítaˇ cu ˚ bude vždy odpovídat správnou IP adresou. WINS server IP adresa WINS serveru. Doména Lokální internetová doména. Pokud lokální doména neexistuje, pak tento parametr nenastavujte. Upˇ resnˇ ení Tlaˇ cítko Upˇ resnˇ ení otevírá dialog s kompletním výˇ ctem volitelných parametr˚ u, které protokol DHCP podporuje (vˇ cetnˇ e výše uvedených). V tomto dialogu je možné pˇ ridat libovolný parametr, který DHCP server podporuje, a nastavit jeho hodnotu. Výchozí parametry jsou pˇ ridˇ elovány automaticky rozsah˚ um adres, pokud není zmˇ enˇ ena konfigurace konkrétního rozsahu adres (dialog Rozsah IP adres → Volby). Podobnˇ e funguje vztah mezi rozsahem adres a rezervacemi (pokud nezmˇ eníte parametry pˇ rímo u konkrétní rezervace, platí parametry nastavené v daném rozsahu adres). Platnost parametr˚ u je tedy podˇ rízena hierarchii stromové struktury, do které jsou rozsahy ˇ razeny. Volbou Pˇ ridat → Rozsah adres se zobrazí dialog pro definici rozsahu adres. V každé subsíti je možné definovat pouze jeden rozsah adres. 136
9.2 DHCP server
Poznámka: V rozhraní Kerio Control Administration je rovnˇ ež možné použít šablonu rozsahu, ve které jsou již pˇ redvyplnˇ eny parametry rozsahu na podle pˇ ríslušného rozhraní firewallu. Bližší informace viz výše (sekce Automatická konfigurace rozsah˚ u IP adres).
Obrázek 9.7
DHCP server — definice rozsahu adres
Popis Textový popis vytvᡠreného rozsahu adres (pro pˇ rehled správce Kerio Control). První adresa, Poslední adresa Poˇ cáteˇ cní a koncová adresa definovaného rozsahu. Poznámka: Doporuˇ cujeme definovat vˇ etší rozsah IP adres, než je skuteˇ cný poˇ cet poˇ cítaˇ cu ˚ v dané subsíti. Maska subsítˇ e Maska odpovídající subsíti, v níž je tento rozsah adres definován. Maska subsítˇ e je pˇ ridˇ elována klient˚ um spoleˇ cnˇ e s IP adresou. Poznámka: Program Administration Console kontroluje, zda poˇ cáteˇ cní a koncová adresa rozsahu patˇ rí do téže subsítˇ e vymezené zadanou maskou. Pokud není tato podmínka splnˇ ena, bude po stisknutí tlaˇ cítka OK hlášena chyba. Doba pˇ ridˇ elení Doba, na kterou je IP adresa klient˚ um pˇ ridˇ elována. Pokud bˇ ehem této doby klient nepožádá o prodloužení pronájmu nebo o uvolnˇ ení adresy, pak je po jejím uplynutí tato adresa automaticky uvolnˇ ena a m˚ uže být pˇ ridˇ elena jinému klientovi.
137
Nastavení sít’ových služeb
Výjimky Kerio Control umožˇ nuje definovat v každé subsíti pouze jeden rozsah IP adres. Chceme-li vytvoˇ rit nˇ ekolik nesouvislých rozsah˚ u, provedeme to následovnˇ e: • vytvoˇ ríme rozsah adres pokrývající všechny požadované rozsahy • definujeme tzv. výjimky — tj. rozsahy adres, které nemají být pˇ ridˇ elovány Pˇ ríklad: V subsíti 192.168.1.0 chceme vytvoˇ rit dva rozsahy adres: 192.168.1.10 až 192.168.1.49 a 192.168.1.61 až 192.168.1.100. Adresy 192.168.1.50 až 192.168.1.60 mají z˚ ustat vyhrazeny pro jiné úˇ cely. Vytvoˇ ríme rozsah adres 192.168.1.10 až 192.168.1.100 a stisknutím tlaˇ cítka Výjimky definujeme rozsah adres 192.168.1.50 až 192.168.1.60, které nemají být DHCP serverem pˇ ridˇ elovány.
Obrázek 9.8
DHCP server — výjimky z definovaného rozsahu adres
Parametry Dialog Rozsah IP adres umožˇ nuje zadání základních DHCP parametr˚ u, které budou klient˚ um pˇ ridˇ elovány: • Výchozí brána — musí být uvedena IP adresa smˇ erovaˇ ce, který je výchozí branou pro subsít’, z níž jsou IP adresy pˇ ridˇ elovány (tzn. IP adresa rozhraní, ke kterému je daná subsít’ pˇ ripojena)! Výchozí brána v jiné subsíti nemá žádný smysl (byla by pro klienty nedosažitelná). • DNS server — m˚ uže být uveden libovolný DNS server (pˇ rípadnˇ e více DNS server˚ u oddˇ elených stˇ redníky). Jako primární DNS server (tj. na prvním místˇ e) však doporuˇ cujeme uvádˇ et modul DNS v Kerio Control (tj. IP adresu poˇ cítaˇ ce s Kerio Control). Modul DNS totiž dokáže spolupracovat s DHCP serverem (viz kapitola 9.1) a na dotazy na jména lokálních poˇ cítaˇ cu ˚ bude vždy odpovídat správnou IP adresou. • WINS server • Doména — lokální internetová doména. Pokud lokální doména neexistuje, pak tento parametr nenastavujte. Tento parametr neslouží k zadání jména domény Windows NT ! 138
9.2 DHCP server
Upˇ resnˇ ení... Tlaˇ cítko Upˇ resnˇ ení otevírá dialog s kompletním výˇ ctem volitelných parametr˚ u, které protokol DHCP podporuje (vˇ cetnˇ e výše uvedených). V tomto dialogu je možné pˇ ridat libovolný parametr, který DHCP server podporuje, a nastavit jeho hodnotu. Dialog je zároveˇ n druhou ˇ cástí záložky Rozsah adres.
Obrázek 9.9
DHCP server — nastavení DHCP parametr˚ u
Nastavené DHCP parametry a jejich hodnoty pro vybraný rozsah IP adres se zobrazují v pravém sloupci záložky Rozsahy adres. Poznámka: V pravé horní ˇ cásti záložky Rozsahy adres jsou zobrazovány jednoduché statistiky DHCP serveru. Pro vybraný rozsah IP adres je uveden: • celkový poˇ cet IP adres v tomto rozsahu • poˇ cet a procentuální podíl pˇ ridˇ elených adres • poˇ cet a procentuální podíl volných adres
Obrázek 9.10
DHCP server — statistika (pˇ ridˇ elené a volné adresy v rozsahu)
139
Nastavení sít’ových služeb
Rezervace IP adresy DHCP server umožˇ nuje vyhradit (rezervovat) vybranou IP adresu pro konkrétní poˇ cítaˇ c. Rezervaci lze provést obou režimech konfigurace rozsah˚ u IP adres (ruˇ cním i automatickém). Samotným pˇ ridáním rezervace v automatickém režimu nedochází k pˇ repnutí do ruˇ cního režimu. Rezervaci vytvoˇ ríme v záložce Rozsahy adres volbou Pˇ ridat → Rezervaci.
Obrázek 9.11
DHCP server — rezervace IP adresy
Rezervovat je možné libovolnou IP adresu, která patˇ rí do nˇ ekteré z definovaných subsítí. Nezáleží na tom, zda je tato adresa uvnitˇ r nebo vnˇ e rozsahu dynamicky pˇ ridˇ elovaných adres, a m˚ uže být i v nˇ ekterém z rozsah˚ u, které jsou definovány jako výjimky. IP adresa m˚ uže být rezervována pro: • hardwarovou (MAC) adresu poˇ cítaˇ ce — zadává se v podobˇ e hexadecimálních (šestnáctkových) ˇ císel oddˇ elených dvojteˇ ckami — napˇ r.: 00:bc:a5:f2:1e:50 nebo pomlˇ ckami — napˇ r.: 00-bc-a5-f2-1e-50 MAC adresu sít’ového adaptéru je možné zjistit pomocí nástroj˚ u operaˇ cního systému (napˇ r. pˇ ríkaz ipconfig), pˇ rípadnˇ e speciálního programu dodávaného výrobcem sít’ového adaptéru. • jméno poˇ cítaˇ ce — vˇ etšina DHCP klient˚ u posílá v DHCP požadavku jméno poˇ cítaˇ ce (napˇ r. všechny operaˇ cní systémy Windows), pˇ ríp. je možné klienta nastavit, aby jméno poˇ cítaˇ ce posílal (napˇ r. operaˇ cní systém Linux). Tlaˇ cítko Upˇ resnˇ ení otevírá dialog pro nastavení DHCP parametr˚ u, které budou spoleˇ cnˇ e s touto adresou pˇ ridˇ elovány. Pokud je rezervovaná IP adresa uvnitˇ r již definovaného rozsahu, pak 140
9.2 DHCP server
jsou automaticky použity DHCP parametry pˇ riˇ razené tomuto rozsahu. V dialogu Rezervace adresy je možné pˇ ridat další parametry, pˇ rípadnˇ e nastavit specifické hodnoty již existujících parametr˚ u. Poznámka: IP adresu lze rezervovat také tak, že v záložce Pˇ ridˇ elené adresy nalezneme IP adresu, která byla dynamicky pˇ ridˇ elena vybranému poˇ cítaˇ ci, a tu pro nˇ ej rezervujeme (podrobnosti viz dále). IP adresu m˚ užeme i zmˇ enit. Výhodou je, že není nutné ruˇ cnˇ e zadávat MAC adresu.
Pˇ ridˇ elené IP adresy V záložce Pˇ ridˇ elené adresy se (v podobˇ e stromu) zobrazují rozsahy IP adres a v každém z nich všechny IP adresy, které jsou aktuálnˇ e pˇ ridˇ eleny poˇ cítaˇ cu ˚m v dané subsíti.
Obrázek 9.12
DHCP server — pˇ rehled pˇ ridˇ elených a rezervovaných adres
Poznámka: Barva ikony odpovídá stavu adresy (viz dále). Ikona s písmenem R oznaˇ cuje IP adresy, které jsou rezervovány. Sloupce okna Pˇ ridˇ elené IP adresy obsahují následující informace: • IP adresa — pˇ ridˇ elená IP adresa, • Skonˇ cení platnosti — datum a ˇ cas skonˇ cení doby pronájmu této IP adresy, • MAC adresa — hardwarová adresa poˇ cítaˇ ce, jemuž je IP adresa pˇ ridˇ elena se jménem výrobce sít’ové karty,
141
Nastavení sít’ových služeb
• Jméno poˇ cítaˇ ce — název poˇ cítaˇ ce, kterému je IP adresa pˇ ridˇ elena (pokud jej DHCP klient na tomto poˇ cítaˇ ci DHCP serveru posílá), • Stav — stav pˇ ridˇ elení IP adresy: Pˇ ridˇ eleno (adresa je pˇ ridˇ elena klientovi a doba pronájmu dosud neskonˇ cila), Expirováno (doba pronájmu již uplynula a klient nepožádal o obnovení), Odmítnuto (klient odmítl pˇ ridˇ elení této adresy) nebo Uvolnˇ eno (klient uvolnil pˇ ridˇ elenou adresu). Poznámka: 1. Informace o expirovaných a uvolnˇ ených IP adresách DHCP server udržuje pro pˇ rípad, kdy pˇ ríslušný klient opˇ et požádá o pˇ ridˇ elení IP adresy — DHCP server se snaží pˇ ridˇ elovat jednomu klientovi stále tutéž adresu. V pˇ rípadˇ e nedostatku volných IP adres však mohou být tyto adresy pˇ ridˇ eleny jiným klient˚ um. 2. S odmítnutými IP adresami DHCP server zachází dle nastavení v záložce Upˇ resˇ nující volby — viz dále. Následující sloupce jsou ve výchozím nastavení skryty (nastavení zobrazovaných sloupc˚ u viz kapitola 3.3): ˇ posledního požadavku — datum a ˇ • Cas cas, kdy klient vyslal poslední požadavek na pˇ ridˇ elení ˇ ci obnovení adresy, • Zbývající doba pˇ ridˇ elení — doba zbývající od aktuálního ˇ casu do Skonˇ cení platnosti. Tlaˇ cítko Uvolnit slouží k okamžitému uvolnˇ ení vybrané IP adresy (bez ohledu na její stav). Uvolnˇ ená adresa se ihned vrací do fondu volných adres a m˚ uže být nabízena dalším klient˚ um. Tlaˇ cítkem Rezervovat m˚ užete rezervovat vybranou (dynamicky pˇ ridˇ elenou) IP adresu pro poˇ cítaˇ c, jemuž je aktuálnˇ e pˇ ridˇ elena. Po stisknutí tohoto tlaˇ cítka dojde k automatickému pˇ repnutí do záložky Rozsahy adres a zobrazí se dialog pro rezervaci adresy, jehož položky jsou již vyplnˇ eny odpovídajícími údaji (s výjimkou položky Popis). Po doplnˇ ení popisu a stisknutí tlaˇ cítka OK je IP adresa trvale rezervována pro poˇ cítaˇ c, kterému byla p˚ uvodnˇ e dynamicky pˇ ridˇ elena. Poznámka: Do dialogu pro rezervaci IP adresy je automaticky dosazena MAC adresa poˇ cítaˇ ce, ˇte kterému je daná IP adresa pˇ ridˇ elena. Chcete-li IP adresu rezervovat pro jméno poˇ cítaˇ ce, zmˇ en nastavení položek Rezervovat pro a Hodnota. V dialogu lze zmˇ enit také pˇ ridˇ elenou IP adresu — na základˇ e dynamického pˇ ridˇ elení tedy m˚ užeme vytvoˇ rit rezervaci pro požadovanou IP adresu.
Speciální parametry DHCP serveru Program Administration Console dále umožˇ nuje nastavení nˇ ekterých speciálních parametr˚ u DHCP serveru. Ve WWW rozhraní Kerio Control Administration tyto volby nejsou k dispozici (v bˇ ežných sít’ových konfiguracích nejsou tato speciální nastavení potˇ reba).
142
9.2 DHCP server
Obrázek 9.13
DHCP server — upˇ resˇ nující volby
BOOTP Zapnutím této volby bude DHCP server pˇ ridˇ elovat IP adresy (vˇ cetnˇ e volitelných parametr˚ u) také klient˚ um protokolu BOOTP (pˇ redch˚ udce DHCP — pˇ ridˇ eluje konfiguraci pouze staticky na základˇ e MAC adresy). Windows RAS Tato volba umožˇ nuje povolit službu DHCP pro klienty RAS (Remote Access Service). Dále lze nastavit dobu pˇ ridˇ elení adresy pro RAS klienty, pokud nevyhovuje výchozí nastavení této hodnoty. Upozornˇ ení: 1.
2.
DHCP server nem˚ uže pˇ ridˇ elovat adresy RAS klient˚ um pˇ ripojujícím se k RAS serveru pˇ rímo na poˇ cítaˇ ci s Kerio Control (z technických d˚ uvod˚ u nelze pˇ rijímat DHCP požadavky z lokálního RAS serveru). V takovém pˇ rípadˇ e je nutné nastavit pˇ ridˇ elování IP adres pˇ rímo v konfiguraci RAS serveru. Služba RAS ve Windows pˇ ridˇ eluje pˇ ri každém pˇ ripojení novou IP adresu (i v pˇ rípadˇ e, že se jedná o téhož klienta). Proto je vhodné nastavit výraznˇ e kratší dobu pˇ ridˇ elení adresy než pro poˇ cítaˇ ce v lokální síti, aby nedošlo k vyˇ cerpání rozsahu IP adres.
143
Nastavení sít’ových služeb
Volby pro odmítnuté adresy Nastavení v této sekci urˇ cuje, jakým zp˚ usobem budou použity IP adresy, které byly klienty odmítnuty (zpráva DHCPDECLINE). Tyto IP adresy mohou být bud’ okamžitˇ e považovány za volné a v pˇ rípadˇ e potˇ reby pˇ ridˇ eleny dalším klient˚ um (volba Nabízet ihned) nebo po urˇ citou dobu blokovány pro pˇ rípad, že o nˇ e p˚ uvodní klienti znovu požádají (volba Nabízet po uplynutí doby).
9.3 Dynamický DNS pro veˇ rejnou IP adresu firewallu Kerio Control poskytuje (mimo jiné) služby pro vzdálený pˇ rístup do lokální sítˇ e z Internetu (VPN server — viz kapitola 23 a rozhraní Clientless SSL-VPN — viz kapitola 24). Z Internetu mohou být pˇ rístupné i další služby — napˇ r. rozhraní Kerio StaR (viz kapitola 21), vzdálená správa Kerio Control programem Administration Console (viz kapitola 17.2) nebo libovolná jiná služba (napˇ r. WWW server v lokální síti — viz kapitola 7.4). Tyto služby jsou dostupné na veˇ rejné IP adrese firewallu. Pokud je tato IP adresa statická a existuje pro ni odpovídající DNS záznam, m˚ užeme pˇ ri pˇ rístupu k dané službˇ e použít pˇ ríslušné jméno poˇ cítaˇ ce (napˇ r. server.firma.cz). Neexistuje-li DNS záznam, pak je nutné si zapamatovat IP adresu firewallu, a ke všem službám pˇ ristupovat pomocí IP adresy. Je-li navíc veˇ rejná IP adresa dynamická (tzn. bˇ ehem ˇ casu se mˇ ení), pak je velmi obtížné nebo témˇ eˇ r nemožné se k tˇ emto službám z Internetu pˇ ripojit. Tento problém ˇ reší podpora dynamického DNS v Kerio Control. Dynamický DNS zajistí DNS záznam pro vybrané jméno serveru, který bude vždy obsahovat aktuální IP adresu. Mapované služby tak budou vždy dostupné pod stejným jménem serveru, bez ohledu na to, zda a jak ˇ casto se mˇ ení IP adresa.
Jak funguje spolupráce s dynamickým DNS? Dynamický DNS (DDNS) je služba, která zajišt’uje automatickou aktualizaci IP adresy v DNS záznamu pro dané jméno poˇ cítaˇ ce. Služba DDNS je typicky nabízena ve dvou variantách: • zdarma — uživatel si m˚ uže vybrat z nˇ ekolika nabízených domén druhé úrovnˇ e (napˇ r. no-ip.org, ddns.info apod.) a vybrané doménˇ e zvolit jméno poˇ cítaˇ ce, které je dosud volné (napˇ r. firma.ddns.info). • placená služba — uživatel si zaregistruje vlastní doménu (napˇ r. firma.cz) a poskytovatel služby pak zajišt’uje DNS server pro tuto doménu s možností automatické aktualizace záznam˚ u. Uživateli služby DDNS je zˇ rízen úˇ cet, který slouží k ovˇ eˇ rení pˇ rístupu, aby mohla aktualizaci DNS záznam˚ u provádˇ et pouze oprávnˇ ená osoba. Aktualizace navíc probíhá zabezpeˇ ceným spojením (typicky HTTPS), aby nebylo možné komunikaci odposlouchávat. Aktualizaci dynamických DNS záznam˚ u m˚ uže provádˇ et bud’ pˇ rímo uživatel ruˇ cnˇ e nebo (ˇ castˇ eji) specializovaný software — v tomto pˇ rípadˇ e Kerio Control.
144
9.3 Dynamický DNS pro veˇ rejnou IP adresu firewallu
Je-li Kerio Control nastaven pro spolupráci s dynamickým DNS, pak pˇ ri každé zmˇ enˇ e IP adresy internetového rozhraní (vˇ cetnˇ e pˇ repnutí primárního / záložního internetového pˇ ripojení — viz kapitola 6.3) vyšle požadavek na aktualizaci IP adresy v dynamickém DNS. Díky tomu je DNS záznam pro danou IP adresu stále aktuální a k mapovaným službám lze pˇ ristupovat pomocí daného jména poˇ cítaˇ ce. Poznámka: 1. Používání služby DDNS se ˇ rídí podmínkami konkrétního poskytovatele. 2. Dynamické DNS záznamy mají nastavenou velmi krátkou dobu životnosti (TTL), a proto jsou uchovávány v cache jiných DNS server˚ u nebo forwarder˚ u po velmi krátkou dobu. Pravdˇ epodobnost, že klient dostane DNS odpovˇ ed’ s neplatnou (starou) IP adresou, je zcela minimální. 3. Nˇ ekteré DDNS servery umožˇ nují také aktualizaci více záznam˚ u souˇ casnˇ e. K tomuto úˇ celu se používají zástupné znaky (wildcards). Pˇ ríklad: V DDNS existují dvˇ e jména poˇ cítaˇ cu ˚, která obˇ e odkazují na veˇ rejnou IP adresu firewallu: fw.firma.cz a server.firma.cz. Pˇ ri zmˇ enˇ e IP adresy staˇ cí vyslat jeden požadavek na aktualizaci DNS záznam˚ u se jménem *.firma.cz. Na základˇ e tohoto požadavku budou aktualizovány DNS záznamy pro obˇ e výše uvedená jména.
Konfigurace DDNS v Kerio Control Spolupráci s dynamickým DNS serverem lze nastavit v sekci Konfigurace / Další volby, záložka Dynamický DNS.
Obrázek 9.14
Nastavení spolupráce s dynamickým DNS serverem
Jak již bylo zmínˇ eno, nejprve je potˇ reba si zˇ rídit úˇ cet (tzn. požadovaný dynamický DNS záznam s pˇ ríslušnými pˇ rístupovými právy) u nˇ ekterého poskytovatele služby DDNS. Kerio Control v souˇ casné dobˇ e podporuje tyto poskytovatele DDNS: • ChangeIP (http://www.changeip.com/), 145
Nastavení sít’ových služeb
• DynDNS (http://www.dyndns.org/), • No-IP (http://www.no-ip.com/). V záložce Dynamický DNS je tˇ reba zvolit pˇ ríslušného poskytovatele služby DDNS, zadat DNS jméno, pro které má být aktualizován dynamický záznam, a uživatelské jméno a heslo pro pˇ rístup k aktualizaci dynamického záznamu. Pokud DDNS server podporuje zástupné znaky (wildcards), m˚ užeme je ve jménˇ e poˇ cítaˇ ce použít. Po zadání všech údaj˚ u je doporuˇ ceno vyzkoušet aktualizaci dynamického DNS záznamu stisknutím tlaˇ cítka Aktualizovat nyní . Tím jednak ovˇ eˇ ríme, zda je automatická aktualizace funkˇ cní (server je dostupný, zadané údaje jsou správné atd.), a zároveˇ n zajistíme aktualizaci pˇ ríslušného DNS záznamu (IP adresa firewallu se od registrace nebo poslední ruˇ cní aktualizace již mohla zmˇ enit). Pokud pˇ ri pokusu o aktualizaci DNS záznamu dojde k chybˇ e, zobrazí se v záložce Dynamický DNS chybové hlášení s pˇ resnou specifikací chyby (napˇ r. DDNS server není dostupný, selhalo ovˇ eˇ rení uživatele apod). Toto hlášení se rovnˇ ež zapíše do záznamu error.
9.4 Proxy server Kerio Control obsahuje klasický HTTP proxy server, pˇ restože umožˇ nuje díky technologii NAT pˇ rímý pˇ rístup do Internetu ze všech poˇ cítaˇ cu ˚ v lokální síti. V nˇ ekterých pˇ rípadech totiž není použití pˇ rímého pˇ rístupu vhodné nebo jej nelze použít v˚ ubec. Jedná se zejména o tyto situace: 1.
Z poˇ cítaˇ ce s Kerio Control není možné pˇ rímé pˇ ripojení, je tˇ reba použít proxy server poskytovatele Internetu. Proxy server v Kerio Control umí využívat tzv. nadˇ razený proxy server (parent proxy server), kterému pˇ redává veškeré požadavky.
2.
Pˇ ripojení k Internetu je realizováno vytᡠcenou linkou a pˇ rístup na urˇ cité WWW stránky je blokován (viz kapitola 13.2). Pˇ ri použití pˇ rímého pˇ rístupu dojde k vytoˇ cení linky dˇ ríve, než m˚ uže být zachycen vlastní HTTP požadavek (linka je vytᡠcena na DNS dotaz nebo pˇ ri požadavku klienta na navázání spojení s WWW serverem). Pˇ ri pˇ rístupu na zakázanou WWW stránku Kerio Control vytoˇ cí linku a poté zablokuje pˇ rístup na požadovanou stránku — linka je vytoˇ cena zbyteˇ cnˇ e. Proxy server dokáže pˇ rijmout a zpracovat požadavek klienta lokálnˇ e. Jedná-li se o zakázanou stránku, k vytoˇ cení linky nedojde.
3.
Kerio Control je nasazen do sítˇ e s velkým poˇ ctem poˇ cítaˇ cu ˚, kde byl dˇ ríve používán proxy server. Zmˇ ena konfigurace všech poˇ cítaˇ cu ˚ by byla ˇ casovˇ e i technicky nároˇ cná. Pˇ ri použití proxy serveru z˚ ustává pˇ rístup do Internetu funkˇ cní — konfigurace jednotlivých poˇ cítaˇ cu ˚ m˚ uže z˚ ustat nezmˇ enˇ ena (pˇ rípadnˇ e lze zmˇ enit nastavení pouze na nˇ ekterých poˇ cítaˇ cích).
146
9.4 Proxy server
Proxy server v Kerio Control lze použít pro protokoly HTTP, HTTPS a FTP. Proxy server nepodporuje protokol SOCKS (speciální protokol pro komunikaci mezi klientem a proxy serverem). Poznámka: Podrobné informace o použití FTP pˇ res proxy server v Kerio Control naleznete v kapitole 25.4.
Konfigurace proxy serveru Parametry proxy serveru se nastavují v sekci Konfigurace → Filtrování obsahu → Pravidla pro HTTP, záložka Proxy server.
Obrázek 9.15
Nastavení parametr˚ u HTTP proxy serveru
Povolit netransparentní proxy server Tato volba zapíná HTTP proxy server v Kerio Control na portu uvedeném v položce Port (výchozí port je 3128).
147
Nastavení sít’ových služeb
Upozornˇ ení: Zadáme-li do položky Port ˇ císlo portu, který již používá jiná služba ˇ ci aplikace, pak po stisknutí tlaˇ cítka Použít Kerio Control tento port sice akceptuje, ale proxy server na nˇ em nespustí a do záznamu Error (viz kapitola 22.8) se vypíše chybové hlášení v tomto tvaru: failed to bind to port 3128: another application is using this port Pokud nemáte jistotu, že zadaný port je skuteˇ cnˇ e volný, pak bezprostˇ rednˇ e po stisknutí tlaˇ cítka Použít zkontrolujte záznam Error, zda se v nˇ em takovéto hlášení neobjevilo. Povolit spojení na libovolný TCP port Tato bezpeˇ cnostní volba umožˇ nuje povolit nebo blokovat tzv. tunelování jiných aplikaˇ cních protokol˚ u (než HTTP, HTTPS a FTP) pˇ res proxy server. Je-li tato volba vypnuta, pak proxy server povoluje navázání spojení pouze na standardní port služby HTTPS (443) — pˇ redpokládá se, že v tomto pˇ rípadˇ e se jedná o pˇ rístup na zabezpeˇ cené WWW stránky. Je-li volba zapnuta, pak proxy server m˚ uže navázat spojení na libovolný port. M˚ uže se jednat o protokol HTTPS na nestandardním portu, ale také o tunelování jiného aplikaˇ cního protokolu. Poznámka: Na nezabezpeˇ cenou komunikaci protokoly HTTP a FTP nemá tato volba žádný vliv. HTTP a FTP komunikace je v Kerio Control obsluhována inspekˇ cními moduly, které propustí pouze platné HTTP a FTP požadavky. Pˇ redávat požadavky nadˇ razenému... Zapnutím této volby bude proxy server ve Kerio Control pˇ redávat veškeré požadavky nadˇ razenému proxy serveru specifikovanému v následujících položkách: • Server — DNS jméno nebo IP adresa nadˇ razeného proxy serveru a port, na kterém bˇ eží (výchozí port je 3128). • Nadˇ razený proxy server vyžaduje ovˇ eˇ rení — tuto volbu zapnˇ ete, pokud nadˇ razený proxy server vyžaduje ovˇ eˇ rení uživatele jménem a heslem. Do položek Uživatelské jméno a Heslo vyplˇ nte pˇ ríslušné pˇ rihlašovací údaje. Poznámka: Jméno a heslo pro ovˇ eˇ rení na nadˇ razeném proxy serveru se posílá s každým HTTP požadavkem. Je podporováno pouze ovˇ eˇ rování typu Basic. Volba Pˇ redávat požadavky nadˇ razenému proxy serveru zároveˇ n automaticky nastavuje zp˚ usob pˇ rístupu Kerio Control do Internetu (pro kontrolu a stahování nových verzí, aktualizaci antiviru Sophos a pˇ rístup do online databází modulu Kerio Web Filter). Nastavit skript pro automatickou konfiguraci... Pro použití proxy serveru je nutné správnˇ e nastavit parametry WWW prohlížeˇ cu ˚ na klientských poˇ cítaˇ cích. Vˇ etšina souˇ casných prohlížeˇ cu ˚ (napˇ r. Internet Explorer, Firefox/SeaMonkey, Opera apod.) umožˇ nuje automatickou konfiguraci skriptem staženým ze zadaného URL. V pˇ rípadˇ e proxy serveru v Kerio Control je konfiguraˇ cní skript uložen na adrese: http://192.168.1.1:3128/pac/proxy.pac
148
9.5 HTTP cache
kde 192.168.1.1 je IP adresa poˇ cítaˇ ce s Kerio Control a 3128 je port proxy serveru (viz výše). Volba Nastavit skript pro automatickou konfiguraci prohlížeˇ cu ˚ umožˇ nuje pˇ rizp˚ usobit konfiguraˇ cní skript tak, aby nastavoval prohlížeˇ ce správnˇ e podle aktuální konfigurace Kerio Control a lokální sítˇ e: • Pˇ rímý pˇ rístup — v prohlížeˇ ci nebude nastaven žádný proxy server. • Proxy server v Kerio Control — v prohlížeˇ ci bude nastavena IP adresa poˇ cítaˇ ce s Kerio Control a port, na kterém je proxy server spuštˇ en (viz výše). Poznámka: Pro použití konfiguraˇ cního skriptu musí být proxy server vždy spuštˇ en (i v pˇ rípadˇ e, že prohlížeˇ ce budou nastavovány pro pˇ rímý pˇ rístup). Povolit prohlížeˇ cu ˚m použít konfiguraˇ cní skript automaticky... Prohlížeˇ c Internet Explorer se m˚ uže být konfigurován zcela automaticky použitím DHCP serveru. V nastavení prohlížeˇ ce staˇ cí zapnout volbu Automaticky zjišt’ovat nastavení (Automatically detect settings). Podmínkou použití této funkce je spuštˇ ený DHCP server v Kerio Control (viz kapitola 9.2). Parametry TCP/IP na pˇ ríslušné stanici však mohou být nastaveny staticky — Internet Explorer vyšle pˇ ri svém spuštˇ ení speciální DHCP požadavek. Tip: Tato volba umožˇ nuje jediným kliknutím nastavit všechny prohlížeˇ ce Internet Explorer na poˇ cítaˇ cích v lokální síti.
9.5 HTTP cache Cache slouží ke zrychlení pˇ rístupu na opakovanˇ e navštˇ evované WWW stránky a snížení zatížení internetového pˇ ripojení (v pˇ rípadˇ e mˇ eˇ rené linky je rovnˇ ež významné, že použití cache snižuje celkový objem pˇ renesených dat). Stahované soubory se ukládají na disk poˇ cítaˇ ce s Kerio Control a pˇ ri dalším pˇ rístupu nemusejí být znovu stahovány z WWW serveru. Objekty se do cache ukládají na omezenou dobu (Time To Live — TTL). Tato doba urˇ cuje, zda se má na WWW serveru ovˇ eˇ rovat novˇ ejší verze daného objektu. Pokud doba TTL nevypršela, objekt se vezme z cache. V opaˇ cném pˇ rípadˇ e se ovˇ eˇ rí, zda se objekt na pˇ ríslušném WWW serveru zmˇ enil, a pokud ano, stáhne se nová verze. Tento mechanismus zajišt’uje pr˚ ubˇ ežnou aktualizaci objekt˚ u v cache. Cache lze použít pˇ ri pˇ rístupu pˇ res proxy server i pˇ rímém pˇ rístupu. V pˇ rípadˇ e pˇ rímého pˇ rístupu musí být na komunikaci aplikován inspekˇ cní modul HTTP. Ve výchozí konfiguraci Kerio Control je tato podmínka splnˇ ena pro protokol HTTP na standardním portu 80 (podrobnosti viz kapitoly 7.3 a 15.3). Parametry HTTP cache se nastavují v sekci Konfigurace → Filtrování obsahu → Pravidla pro HTTP, záložka Cache.
149
Nastavení sít’ových služeb
Obrázek 9.16
Nastavení parametr˚ u HTTP cache
Povolit cache pro transparentní proxy Zapnutí cache pro HTTP komunikaci obsluhovanou inspekˇ cním modulem HTTP (tj. pˇ rímý pˇ rístup do Internetu). Povolit cache pro proxy server Zapnutí cache pro HTTP komunikaci pˇ res proxy server v Kerio Control (viz kapitola 9.4). Doba životnosti (TTL)... Výchozí doba platnosti objektu v cache. Tato doba je použita, jestliže: • pro konkrétní objekt není nastavena specifická doba životnosti (nastavuje se v dialogu, který se otevírá tlaˇ cítkem Specifická nastavení pro URL — viz dále) • není akceptována doba životnosti urˇ cená WWW serverem (viz položka Akceptovat dobu životnosti (TTL) dodanou serverem) Velikost cache Velikost souboru cache na disku. Maximální velikost cache je omezena na 2 GB (2047 MB). Praktické testy však ukazují, že pˇ ri velikosti cache vˇ etší než 1 GB (1024 MB) výraznˇ e klesá rychlost vyhledávání objekt˚ u a tím i úˇ cinnost cache jako takové. Proto nedoporuˇ cujeme vytvᡠret cache vˇ etší než 1 GB. Cache je fyzicky umístˇ ena v podadresᡠri cache „hlavního“ adresᡠre aplikace Kerio Control, tj.: 150
9.5 HTTP cache
• v edici pro systém Windows typicky: C:\Program Files\Kerio\WinRoute\Firewall\cache • v edici Software Appliance / VMware Virtual Appliance vždy: /opt/kerio/winroute/cache Na pˇ ríslušném disku musí být dostatek volného místa, v krajním pˇ rípadˇ e je potˇ reba nastavit velikost cache s ohledem na zbývající volné místo na disku. Poznámka: 1.
2.
Je-li cache zaplnˇ ena z 98%, spustí se automaticky tzv. úklid — smazání všech objekt˚ u, jejichž doba životnosti již vypršela. Nepodaˇ rí-li se odstranit žádné objekty, nebudou do cache ukládány nové objekty, dokud se místo neuvolní (pˇ ri nˇ ekterém z dalších úklid˚ u nebo ruˇ cním vymazáním). Pˇ ri nastavení velikosti cache vˇ etší než je aktuální volné místo na pˇ ríslušném disku se cache neinicializuje a do záznamu Error (viz kapitola 22.8) se zapíše odpovídající chybové hlášení.
Max. velikost HTTP objektu Maximální velikost objektu, který bude do cache uložen. Statistiky dokazují, že nejvˇ etší poˇ cet požadavk˚ u je na objekty malé velikosti (napˇ r. HTML stránky, obrázky apod.). Velké objekty, napˇ r. archivy, které se zpravidla stahují jednorázovˇ e, by v cache zbyteˇ cnˇ e zabíraly místo. Volby pro cache Upˇ resˇ nující nastavení chování cache. • Dokonˇ cit stahování objekt˚ u pˇ ri pˇ rerušení — po zaškrtnutí této volby se bude automaticky dokonˇ covat stahování objekt˚ u, jestliže byl požadavek uživatelem pˇ rerušen (tlaˇ cítkem Stop ve WWW prohlížeˇ ci). Ve velkém poˇ ctu pˇ rípad˚ u totiž uživatel pˇ rerušuje otevírání stránky z d˚ uvodu pˇ ríliš pomalého natahování. Rozhodne-li se uživatel navštívit stránku znovu (pˇ rípadnˇ e ji navštíví jiný uživatel), bude stránka k dispozici nesrovnatelnˇ e rychleji. • Ukládat do cache pˇ resmˇ erování (HTTP odpovˇ edi 302 Redirect) — tato volba obecnˇ e urychluje pˇ rístup na pˇ resmˇ erované WWW stránky. Odpovˇ edi 302 Redirect se za normálních okolností do cache neukládají. Návratový kód 302 protokolu HTTP znamená doˇ casné pˇ resmˇ erování — toto pˇ resmˇ erování m˚ uže být kdykoliv zrušeno nebo se m˚ uže mˇ enit cílové URL. Pˇ ri použití odpovˇ edi z cache m˚ uže být v nˇ ekterých pˇ rípadech klient pˇ resmˇ erován na již neaktuální nebo neplatné URL. • Akceptovat dobu životnosti (TTL) dodanou serverem — tato volba zp˚ usobí uložení objekt˚ u do cache na dobu doporuˇ cenou WWW serverem, ze kterého jsou objekty stahovány. Pokud server tuto dobu neurˇ cí, použije se výchozí doba (viz položka Doba životnosti (TTL) pro protokol HTTP).
151
Nastavení sít’ových služeb
Upozornˇ ení: Nˇ ekteré WWW servery mohou zámˇ ernˇ e dodávat pˇ ríliš krátké nebo pˇ ríliš dlouhé doby za úˇ celem potlaˇ cení cache. • Ignorovat direktivu serveru Cache-Control — po zapnutí této volby bude Kerio Control ignorovat direktivy pro ˇ rízení cache na WWW stránkách. Pokud se obsah nˇ ejaké stránky velmi ˇ casto mˇ ení, její autor na ni zpravidla umístí direktivu, aby se neukládala do cache. V nˇ ekterých pˇ rípadech je tato direktiva používána nerozumnˇ e, napˇ r. za úˇ celem vyˇ razení cache. Volba Ignorovat direktivu serveru Cache-Control zp˚ usobí, že Kerio Control bude akceptovat pouze direktivy no-store a private. Poznámka: Kerio Control pracuje pouze s direktivami z hlaviˇ cek HTTP odpovˇ edí, nikoliv ze samotných stránek. • Vždy kontrolovat platnost soubor˚ u v cache — zapnutím této volby bude Kerio Control pˇ ri každém požadavku kontrolovat, zda se na serveru nenachází novˇ ejší verze objektu uloženého v cache (bez ohledu na to, zda to klient požaduje). Poznámka: Klient si m˚ uže kdykoliv vyžádat kontrolu novˇ ejší verze objektu na WWW serveru (bez ohledu na nastavení cache). Napˇ r. v prohlížeˇ cích Internet Explorer a Firefox/SeaMonkey lze tuto kontrolu vyvolat stisknutím kombinace kláves Ctrl+F5. Prohlížeˇ ce lze také nastavit, aby kontrolovaly novˇ ejší verze stránek pˇ ri každém pˇ rístupu (pak staˇ cí stránku pouze obnovit). Specifická nastavení pro URL Výchozí doba životnosti objektu v cache nemusí být vyhovující pro všechny stránky. V nˇ ekterých pˇ rípadech m˚ uže vzniknout požadavek neukládat stránku (resp. objekt) do cache v˚ ubec ˇ ci zkrátit dobu jeho platnosti (napˇ r. pro stránky, které se mˇ ení nˇ ekolikrát dennˇ e). Tlaˇ cítko Specifická nastavení pro URL otevírá dialog, ve kterém lze nastavit dobu platnosti pro konkrétní URL.
Obrázek 9.17
HTTP cache — specifická nastavení pro URL
152
9.5 HTTP cache
Pravidla v tomto dialogu tvoˇ rí uspoˇ rádaný seznam, který je procházen shora dol˚ u (tlaˇ cítky se šipkami na pravé stranˇ e okna lze upravit poˇ radí pravidel). Popis Textový popis položky (pro snazší orientaci). URL URL, pro které má být nastavena specifická doba životnosti objekt˚ u v cache. URL m˚ uže být zadáno v jednom z tˇ echto tvar˚ u: • kompletní URL (napˇ r. www.kerio.com/cz/index.html), • podˇ retˇ ezec s použitím hvˇ ezdiˇ ckové konvence (napˇ r. *idnes.cz*). • jméno serveru (napˇ r. www.kerio.com) — libovolné URL na tomto serveru (zadaný ˇ retˇ ezec se automaticky doplní na tvar: www.kerio.com/*). TTL Doba platnosti objekt˚ u vyhovujících uvedenému URL. Volba 0 dní, 0 hodin znamená, že objekty nebudou do cache ukládány.
Sledování stavu a správa cache Kerio Control umožˇ nuje sledovat využití HTTP cache a prohlížet, pˇ rípadnˇ e mazat objekty v cache uložené. V dolní ˇ cásti záložky Cache se zobrazují základní stavové informace: aktuální využitá velikost a efektivita cache. Efektivita vyjadˇ ruje pomˇ er poˇ ctu objekt˚ u, které byly nalezeny v cache (a nemusely tedy být stahovány ze serveru) k celkovému poˇ ctu HTTP požadavk˚ u (mˇ eˇ reno od startu Kerio Control Engine). Efektivita cache závisí pˇ redevším na chování uživatel˚ u (zda pravidelnˇ e navštˇ evují urˇ cité WWW stránky, zda více uživatel˚ u pˇ ristupuje na tytéž stránky atd.), ˇ cásteˇ cnˇ e ji lze také ovlivnit výše popsanými konfiguraˇ cními parametry. Pokud cache vykazuje trvale nízkou efektivitu (ménˇ e než 5 %), doporuˇ cujeme pˇ rehodnotit konfiguraci cache.
Obrázek 9.18
Informace o stavu HTTP cache
Tlaˇ cítko Správa obsahu cache... otevírá okno pro prohlížení, vyhledávání a mazání objekt˚ u uložených v cache. Pro zobrazení objekt˚ u v cache je nutné nejprve zadat do položky URL specifikaci hledaného objektu. Objekt m˚ uže být specifikován bud’ absolutním URL (bez protokolu) — napˇ r. www.kerio.com/image/menu.gif nebo jako podˇ retˇ ezec URL s použitím zástupných znak˚ u (nahrazení libovolného poˇ c tu znak˚ u ) a ? (nahrazení právˇ e jednoho znaku). *
153
Nastavení sít’ových služeb
Obrázek 9.19
Okno pro správu obsahu HTTP cache
Pˇ ríklad: Pˇ ri zadání výrazu *ker?o* budou zobrazeny všechny objekty, jejichž URL obsahuje ˇ retˇ ezce kerio, kerbo apod. Každý ˇ rádek výpisu objekt˚ u obsahuje URL objektu, jeho velikost v bytech (B) a zbývající dobu životnosti v hodinách. Z d˚ uvodu pˇ rehlednosti a rychlosti zobrazování je výpis objekt˚ u stránkován po 100 položkách. Tlaˇ cítky Pˇ redchozí a Další lze pˇ recházet mezi jednotlivými stránkami výpisu. Tlaˇ cítkem Odebrat se oznaˇ cený objekt vymaže z cache. Tip: Kliknutím a tažením, pˇ rípadnˇ e kliknutím s pˇ ridržením klávesy Ctrl nebo Shift lze oznaˇ cit více objekt˚ u najednou.
154
Kapitola 10
Omezování šíˇ rky pásma
Velmi ˇ castým problémem sdíleného internetového pˇ ripojení je situace, kdy jeden uživatel (pˇ rípadnˇ e nˇ ekolik uživatel˚ u souˇ casnˇ e) stahuje nebo odesílá velký objem dat, ˇ címž zcela vyˇ cerpá kapacitu internetové linky (tzv. šíˇ rku pásma). Ostatní uživatelé pak zaznamenají výrazné zpomalení internetové komunikace, v krajním pˇ rípadˇ e i výpadky nˇ ekterých služeb (pokud napˇ r. dojde k pˇ rekroˇ cení maximální doby odezvy). Typicky nejvˇ etší problém nastává v pˇ rípadˇ e, kdy jsou v d˚ usledku pˇ retížení linky omezeny nebo blokovány sít’ové služby — napˇ r. poštovní server, WWW server nebo internetová telefonie (VoIP). Jeden uživatel m˚ uže stahováním nebo odesíláním svých dat ohrozit funkˇ cnost celé sítˇ e. Modul Omezování šíˇ rky pásma v Kerio Control nabízí ˇ rešení nejˇ castˇ ejších problém˚ u s pˇ retížením sdílené internetové linky. Tento modul dokáže rozpoznat spojení, kterými se pˇ renáší velké objemy dat, a vyhradit pro nˇ e urˇ citou ˇ cást kapacity linky. Zbývající kapacita z˚ ustává volná pro ostatní komunikaci (kde se nepˇ renáší velké objemy dat, ale m˚ uže zde být d˚ uležitá napˇ r. doba odezvy).
10.1 Jak funguje a jak lze využít omezování šíˇ rky pásma? Modul Omezování šíˇ rky pásma má dvˇ e základní funkce: Omezení rychlosti pˇ renos˚ u velkých objem˚ u dat Kerio Control sleduje všechna spojení navázaná mezi lokální sítí a Internetem. Pokud spojení vyhodnotí jako pˇ renos objemných dat, omezí rychlost pˇ renosu dat na nastavenou hodnotu, aby toto spojení neblokovalo ostatní komunikaci. Na lokální komunikaci se omezování šíˇ rky pásma neaplikuje. Poznámka: Omezování šíˇ rky pásma je nezávislé na komunikaˇ cních pravidlech. rekroˇ cenou kvótou Omezení rychlosti komunikace uživatel˚ u s pˇ O uživatelích, kteˇ rí pˇ rekroˇ cili nastavenou kvótu objemu dat, lze pˇ redpokládat, že pravidelnˇ e stahují nebo odesílají velké množství dat. Kerio Control umožˇ nuje omezit tˇ emto uživatel˚ um rychlost pˇ renosu dat, aby svou aktivitou neomezovali (resp. neblokovali) komunikaci ostatních uživatel˚ u a sít’ových služeb. Na konkrétního uživatele je omezení aplikováno automaticky pˇ ri pˇ rekroˇ cení nˇ ekterého z nastavených limit˚ u (viz kapitola 16.1).
155
Omezování šíˇ rky pásma
10.2 Konfigurace omezování šíˇ rky pásma Parametry modulu Omezování šíˇ rky pásma lze nastavit v sekci Konfigurace → Omezování šíˇ rky pásma.
Obrázek 10.1
Konfigurace modulu Omezování šíˇ rky pásma
Modul Omezování šíˇ rky pásma umožˇ nuje nastavit omezení rychlosti pˇ ríchozích dat (tj. z Internetu do lokální sítˇ e) a odchozích dat (tj. z lokální sítˇ e do Internetu) pro pˇ renosy velkých objem˚ u dat a pro uživatele, kteˇ rí pˇ rekroˇ cili svou kvótu objemu pˇ renesených dat. Jednotlivé limity jsou nezávislé, takže lze napˇ r. omezit pouze rychlost pˇ ríchozích dat pro pˇ renosy velkých soubor˚ u. Upozornˇ ení: V modulu Omezování šíˇ rky pásma se všechny rychlosti se nastavují v kilobytech za sekundu (KB/s). Naproti tomu poskytovatelé internetového pˇ ripojení zpravidla uvádˇ ejí kapacity linek v kilobitech za sekundu (kbps, kbit/s nebo kb/s), pˇ rípadnˇ e v megabitech za sekundu (Mbps, Mbit/s nebo Mb/s). Platí pˇ revodní vztah 1 KB/s = 8 kbit/s. Pˇ ríklad: Linka 256 kbit/s má rychlost 32 KB/s, linka 1 Mbit/s má rychlost 128 KB/s.
Nastavení omezení V horní ˇ cásti okna lze nastavit omezení pro pˇ renosy velkých objem˚ u dat. Hodnoty v tˇ echto položkách urˇ cují, jaké pásmo bude vyhrazeno pro tyto pˇ renosy. Zbývající pásmo bude stále k dispozici pro ostatní komunikaci. Testováním bylo zjištˇ eno, že optimálního využití kapacity internetové linky se dosáhne pˇ ri nastavení hodnot blízkých parametr˚ um pˇ ripojení (cca 90%). Pˇ ri nastavení vyšších hodnot je 156
10.2 Konfigurace omezování šíˇ rky pásma
omezování šíˇ rky pásma neúˇ cinné (pˇ ri pˇ renosech velkých objem˚ u dat nezbude dostatek pásma pro ostatní služby), naopak pˇ ri nastavení nižších hodnot nebude ve vˇ etšinˇ e pˇ rípad˚ u možné využít plnou kapacitu linky. Upozornˇ ení: Pro nastavení optimálních hodnot je tˇ reba uvažovat skuteˇ cnou kapacitu linky — zpravidla se nelze spoléhat na údaje, které uvádí poskytovatel internetového pˇ ripojení. Jednou z možností, jak zjistit skuteˇ cnou kapacitu linky, je sledování grafu zatížení internetového rozhraní (viz kapitola 20.2) pˇ ri velké zátˇ eži, kdy je pravdˇ epodobné, že je linka plnˇ e využita. V dolní ˇ cásti okna lze nastavit omezení rychlosti pˇ ríchozích a odchozích dat pro uživatele, kteˇ rí pˇ rekroˇ cili svou kvótu objemu pˇ renesených dat. Nastavené pásmo sdílí všichni uživatelé s pˇ rekroˇ cenou kvótou. To znamená, že celková komunikace všech tˇ echto uživatel˚ u m˚ uže zabrat nejvýše zde nastavenou šíˇ rku pásma. Pro omezení uživatel˚ u s pˇ rekroˇ cenou kvótou objemu pˇ renesených dat neexistují žádné optimální hodnoty. Záleží na uvážení správce Kerio Control, jakou ˇ cást pásma tˇ emto uživatel˚ um umožní využít. Doporuˇ cujeme nastavit takové hodnoty, aby uživatelé s pˇ rekroˇ cenou kvótou svou aktivitou neomezovali ostatní uživatele a služby. Poznámka: Konkrétnímu uživateli lze v pˇ rípadˇ e pˇ rekroˇ cení kvóty zcela zablokovat další komunikaci. Výše popsaná omezení budou aplikována pouze v pˇ rípadˇ e, pokud je v pˇ ríslušném uživatelském úˇ ctu nastaveno Neblokovat komunikaci (pouze omezit rychlost...). Podrobnosti viz kapitola 16.1. Upˇ resˇ nující nastavení Tlaˇ cítkem Upˇ resnˇ ení se otevírá dialog pro nastavení upˇ resˇ nujících parametr˚ u modulu Omezování šíˇ rky pásma. Tyto parametry se vztahují pouze na omezování pˇ renos˚ u velkých objem˚ u dat, nemají vliv na omezování uživatel˚ u s pˇ rekroˇ cenou kvótou objemu pˇ renesených dat (na tyto uživatele je omezení aplikováno vždy a na veškerou jejich komunikaci). Specifikace služeb Nˇ ekteré služby mohou vykazovat charakteristiky pˇ renos˚ u objemných dat, pˇ restože tomu tak ve skuteˇ cnosti není. Typickým pˇ ríkladem je internetová telefonie (Voice over IP — VoIP). Pro takové služby je možné definovat výjimky, aby na nˇ e nebylo aplikováno omezení šíˇ rky pásma. Naopak m˚ uže také vzniknout požadavek aplikovat omezení šíˇ rky pásma pouze na urˇ cité sít’ové služby (napˇ r. chceme omezit pˇ renos soubor˚ u protokoly FTP a HTTP). V záložce Služby m˚ užeme definovat, na které služby má být omezení šíˇ rky pásma aplikováno: • Všechny služby — omezení bude aplikováno na veškerou komunikaci mezi lokální sítí a Internetem. • Vybrané služby — omezení bude aplikováno pouze na vybrané sít’ové služby. Komunikace ostatních služeb nebude omezována. 157
Omezování šíˇ rky pásma
Obrázek 10.2
Omezování šíˇ rky pásma — sít’ové služby
• Všechny služby kromˇ e vybraných — komunikace vybraných služeb nebude omezována. Na všechny ostatní služby bude omezení aplikováno. Tlaˇ cítko Vybrat služby otevírá dialog pro výbˇ er sít’ových služeb. Pˇ ridržením klávesy Ctrl nebo Shift lze oznaˇ cit více služeb najednou. K dispozici jsou všechny sít’ové služby definované v sekci Konfigurace → Definice → Služby (viz kapitola 15.3).
Obrázek 10.3
Omezování šíˇ rky pásma — výbˇ er sít’ových služeb
158
10.2 Konfigurace omezování šíˇ rky pásma
IP adresy a ˇ casový interval ˇ Castým požadavkem je aplikovat omezení šíˇ rky pásma pouze na nˇ ekteré poˇ cítaˇ ce (napˇ r. nechceme omezovat poštovní server v lokální síti ˇ ci komunikaci s firemním WWW serverem v Internetu). Skupina IP adres pro toto omezení m˚ uže obsahovat libovolné IP adresy v lokální síti nebo v Internetu. Pokud mají pracovní stanice uživatel˚ u pevné IP adresy, m˚ užeme tímto zp˚ usobem aplikovat omezení i na jednotlivé uživatele. Omezení šíˇ rky pásma m˚ uže být rovnˇ ež aplikováno jen v urˇ citém ˇ casovém intervalu (napˇ r. v pracovní dobˇ e). Tyto podmínky lze nastavit v záložce Omezení .
Obrázek 10.4
Omezování šíˇ rky pásma — skupina IP adres a ˇ casový interval
V horní ˇ cásti záložky Omezení lze vybrat zp˚ usob, jakým bude omezení dle IP adres aplikováno, a skupinu IP adres: • Na veškerou komunikaci — skupina IP adres je irelevantní, pole pro výbˇ er skupiny je neaktivní. • Pouze na vybranou skupinu IP adres — omezení bude aplikováno pouze v pˇ rípadˇ e, pokud IP adresa nˇ ekterého konce spojení patˇ rí do vybrané skupiny. Ostatní komunikace nebude omezena. • Na veškerou komunikaci kromˇ e vybrané skupiny IP adres — omezení nebude aplikováno v pˇ rípadˇ e, pokud IP adresa nˇ ekterého konce spojení patˇ rí do vybrané skupiny. Ostatní komunikace bude omezena. V dolní ˇ cásti záložky Omezení lze nastavit ˇ casový interval, ve kterém bude šíˇ rka pásma omezována. Tlaˇ cítko Zmˇ enit umožˇ nuje upravit vybraný ˇ casový interval nebo vytvoˇ rit nový interval (podrobnosti viz kapitola 15.2).
159
Omezování šíˇ rky pásma
Nastavení parametr˚ u detekce pˇ renosu velkého objemu dat V záložce Upˇ resnˇ ení lze nastavit parametry detekce pˇ renosu velkého objemu dat — minimální objem pˇ renesených dat a mezní dobu neˇ cinnosti (délku prodlevy). Výchozí hodnoty (200 KB a 5 sec) jsou optimalizovány na základˇ e dlouhodobého testování v reálném provozu. D˚ uraznˇ e upozorˇ nujeme, že experimenty s tˇ emito hodnotami povedou ve vˇ etšinˇ e pˇ rípad˚ u k výraznému zhoršení funkˇ cnosti modulu Omezování šíˇ rky pásma. S výjimkou speciálních pˇ rípad˚ u (testování) striktnˇ e doporuˇ cujeme nemˇ enit výchozí hodnoty!
Obrázek 10.5
Omezování šíˇ rky pásma — nastavení detekce pˇ renosu velkého objemu dat
Podrobný popis principu detekce pˇ renos˚ u velkých objem˚ u dat je uveden v kapitole 10.3.
10.3 Detekce spojení pˇ renášejících velký objem dat V této kapitole uvádíme popis zp˚ usobu, jakým modul Omezování šíˇ rky pásma detekuje spojení pˇ renášející velké objemy dat. Tento popis slouží pouze jako doplˇ nující informace — pro použití modulu Omezování šíˇ rky pásma není znalost principu detekce nutná. Sít’ová komunikace každé služby má specifický pr˚ ubˇ eh. Napˇ r. WWW prohlížeˇ c typicky pˇ ri pˇ rístupu na stránku otevˇ re jedno nebo více spojení, pˇ renese jimi urˇ cité množství dat (jednotlivé objekty na stránce) a tato spojení uzavˇ re. Terminálové služby (napˇ r. Telnet, SSH apod.) mají obvykle otevˇ rené spojení, kterým se pˇ renáší malé množství dat s velkými prodlevami. Pro pˇ renos velkých soubor˚ u je typický kontinuální tok dat s minimálními prodlevami. U každého spojení se vyhodnocují dva parametry: objem pˇ renesených dat a délka nejvˇ etší prodlevy. Pokud je spojením pˇ renesen stanovený objem dat, aniž by nastala prodleva o stanovené minimální délce, je toto spojení považováno za pˇ renos velkého objemu dat a budou na nˇ ej aplikována pˇ ríslušná omezení. Je-li zaznamenána prodleva delší než stanovená hodnota, pak se vynuluje ˇ cítaˇ c objemu pˇ renesených dat a poˇ cínaje dalším blokem dat probíhá další vyhodnocování výše popsaným zp˚ usobem. Z toho vyplývá, že za pˇ renos velkého objemu dat je považováno každé takové spojení, které kdykoliv vykáže uvedené charakteristiky.
160
10.3 Detekce spojení pˇ renášejících velký objem dat
Mezní hodnota objemu pˇ renesených dat a minimální prodleva jsou konfiguraˇ cní parametry modulu Omezování šíˇ rky pásma (viz kapitola 10.2).
Pˇ ríklady Pro snazší pochopení principu detekce spojení pˇ renášejících velký objem dat uvádíme nˇ ekolik typických pˇ ríklad˚ u. Pˇ redpokládejme výchozí nastavení parametr˚ u detekce: spojením musí být pˇ reneseno alespoˇ n 200 KB dat, aniž by nastala prodleva alespoˇ n 5 sec. 1.
Spojení na obrázku 10.6 je po pˇ renesení tˇ retího bloku dat považováno za pˇ renos velkého souboru. V tomto okamžiku je spojením pˇ reneseno 200 KB dat a nejdelší zaznamenaná prodleva je pouze 3 sec.
Obrázek 10.6
2.
Spojení na obrázku 10.7 není považováno za pˇ renos velkého souboru, protože po pˇ renesení 150 KB dat nastala prodleva 5 sec a pak již tímto spojením bylo pˇ reneseno pouze 150 KB dat.
Obrázek 10.7
3.
Pˇ ríklad spojení — krátké prodlevy
Pˇ ríklad spojení — dlouhá prodleva
ˇ c Spojením na obrázku 10.8 je pˇ reneseno 100 KB dat, naˇ cež nastává prodleva 6 sec. Cítaˇ objemu pˇ renesených dat se tedy nuluje. Dále jsou pˇ reneseny tˇ ri bloky dat o velikosti 100 KB. Po pˇ renesení tˇ retího bloku dat je zaznamenáno 200 KB pˇ renesených dat (od poslední dlouhé prodlevy). Protože mezi druhým a tˇ retím blokem je prodleva pouze 3 sec, je spojení po pˇ renesení tˇ retího bloku dat vyhodnoceno jako pˇ renos velkého souboru.
Obrázek 10.8
Pˇ ríklad spojení — dlouhá prodleva na zaˇ cátku
161
Kapitola 11
Ovˇ eˇ rování uživatel˚ u
Kerio Control umožˇ nuje kontrolu pˇ rístupu (filtrování paket˚ u/spojení, WWW stránek a FTP objekt˚ u a pˇ ríkaz˚ u) také na základˇ e uživatel˚ u a/nebo skupin. Uživatelské jméno ve filtrovacím pravidle má význam IP adresy poˇ cítaˇ ce, z nˇ ehož je tento uživatel pˇ rihlášen (resp. všech poˇ cítaˇ cu ˚, z nichž je v daném okamžiku pˇ rihlášen). Analogicky skupina uživatel˚ u má význam IP adres všech poˇ cítaˇ cu ˚, ze kterých jsou právˇ e pˇ rihlášeni ˇ clenové této skupiny. Kromˇ e omezování pˇ rístupu lze pˇ rihlašování uživatel˚ u využít také pro sledování jejich aktivit v rozhraní Kerio StaR (viz kapitola 21), v záznamech (viz kapitola 22), pˇ rehledu otevˇ rených spojení (viz kapitola 19.2) a pˇ rehledu poˇ cítaˇ cu ˚ a uživatel˚ u (viz kapitola 19.1). Není-li z urˇ citého poˇ cítaˇ ce pˇ rihlášen žádný uživatel, objeví se v záznamech a pˇ rehledech pouze IP adresa tohoto poˇ cítaˇ ce. Ve statistikách bude komunikace tohoto poˇ cítaˇ ce zahrnuta do skupiny nepˇ rihlášení uživatelé.
11.1 Ovˇ eˇ rování uživatel˚ u na firewallu Ovˇ eˇ rit na firewallu se m˚ uže každý uživatel, který má v Kerio Control vytvoˇ ren uživatelský úˇ cet (bez ohledu na pˇ rístupová práva). Uživatel se m˚ uže k firewallu pˇ rihlásit tˇ emito zp˚ usoby: • Ruˇ cnˇ e — ve svém prohlížeˇ ci otevˇ re WWW rozhraní Kerio Control https://server:4081/ nebo http://server:4080/ (jméno serveru je pouze ilustrativní — viz kapitola 12). Alternativou je pˇ rihlášení k prohlížení webových statistik (viz kapitola 21) na adrese https://server:4081/star nebo http://server:4080/star Poznámka: Pˇ rihlášením do rozhraní Administration na adrese https://server:4081/admin nebo http://server:4080/admin k ovˇ eˇ rení uživatele na firewallu nedochází! • Automaticky — každému uživateli mohou být pˇ riˇ razeny IP adresy poˇ cítaˇ cu ˚, ze kterých bude automaticky ovˇ eˇ rován. V praxi to znamená, že pˇ ri detekci komunikace z pˇ ríslušného poˇ cítaˇ ce Kerio Control pˇ redpokládá, že na nˇ em pracuje odpovídající uživatel, a považuje jej za pˇ rihlášeného z této IP adresy. Uživatel se samozˇ rejmˇ e m˚ uže pˇ rihlásit i z jiných poˇ cítaˇ cu ˚ (nˇ ekterou z výše uvedených metod). IP adresy pro automatické ovˇ eˇ rování lze nastavit v definici uživatelského úˇ ctu (viz kapitola 16.1).
162
11.1 Ovˇ eˇ rování uživatel˚ u na firewallu
Tento zp˚ usob ovˇ eˇ rování není vhodný pro pˇ rípady, kdy na jednom poˇ cítaˇ ci pracují stˇ rídavˇ e r˚ uzní uživatelé (mohlo by snadno dojít ke zneužití identity automaticky pˇ rihlášeného uživatele). • Pˇ resmˇ erováním pˇ ri pˇ rístupu na WWW stránky (pokud není na konkrétní stránku explicitnˇ e povolen pˇ rístup nepˇ rihlášeným uživatel˚ um — viz kapitola 13.2). Pˇ rihlášení pˇ resmˇ erováním probíhá následovnˇ e: uživatel zadá do prohlížeˇ ce adresu stránky, kterou chce navštívit. Kerio Control zjistí, že uživatel dosud není pˇ rihlášen, a automaticky jej pˇ resmˇ eruje na pˇ rihlašovací stránku. Po úspˇ ešném pˇ rihlášení je uživatel ihned pˇ resmˇ erován na požadovanou stránku nebo se zobrazí stránka s informací, že na tuto stránku má pˇ rístup zakázán. • Prostˇ rednictvím NTLM — je-li použit prohlížeˇ c Internet Explorer nebo Firefox/SeaMonkey a uživatel se ovˇ eˇ ruje v doménˇ e Windows NT nebo Active Directory, pak m˚ uže být ovˇ eˇ ren zcela automaticky (pˇ rihlašovací stránka se v˚ ubec nezobrazí). Podrobnosti viz kapitola 25.3.
Upˇ resˇ nující parametry pro ovˇ eˇ rování uživatel˚ u V sekci Uživatelé a skupiny → Uživatelé, záložka Volby pro ovˇ eˇ rování , lze nastavit parametry pro pˇ rihlašování a odhlašování uživatel˚ u na/z firewall.
Obrázek 11.1
Volby pro ovˇ eˇ rování uživatel˚ u na firewallu
163
Ovˇ eˇ rování uživatel˚ u
Pˇ resmˇ erování na pˇ rihlašovací stránku Po zapnutí volby Pˇ ri pˇ rístupu na WWW stránky vždy vyžadovat ovˇ eˇ rení uživatele bude vyžadováno ovˇ eˇ rení uživatele pˇ ri pˇ rístupu na libovolnou WWW stránku (pokud není dosud pˇ rihlášen). Vyžádání ovˇ eˇ rení se liší podle zp˚ usobu, jakým WWW prohlížeˇ c pˇ ristupuje do Internetu: • Pˇ rímý pˇ rístup — prohlížeˇ c bude automaticky pˇ resmˇ erován na pˇ rihlašovací stránku WWW rozhraní Kerio Control (viz kapitola 12.2) a po úspˇ ešném pˇ rihlášení na požadovanou WWW stránku. • Pˇ rístup pˇ res proxy server v Kerio Control — prohlížeˇ c nejprve zobrazí pˇ rihlašovací dialog, a teprve po úspˇ ešném pˇ rihlášení požadovanou WWW stránku. Bude-li volba Pˇ ri pˇ rístupu na WWW stránky vždy vyžadovat ovˇ eˇ rení uživatele vypnuta, pak bude ovˇ eˇ rení uživatele vyžadováno pouze pˇ ri pˇ rístupu na WWW stránky, na které není pravidly pro URL povolen pˇ rístup nepˇ rihlášeným uživatel˚ um (viz kapitola 13.2). Poznámka: Ovˇ eˇ rení uživatele má význam nejen pro ˇ rízení pˇ rístupu na WWW stránky (pˇ rípadnˇ e k dalším službám), ale také pro sledování aktivit jednotlivých uživatel˚ u — využívání Internetu není anonymní. Vyžadovat ovˇ eˇ rení na netransparentním proxy serveru Za normálních okolností, pokud se uživatel k firewallu pˇ rihlásí z urˇ citého poˇ cítaˇ ce, pak je považován za ovˇ eˇ reného z IP adresy tohoto poˇ cítaˇ ce až do okamžiku, kdy se odhlásí nebo kdy je automaticky odhlášen pˇ ri neˇ cinnosti (viz níže). Pokud však klientský poˇ cítaˇ c umožˇ nuje práci více uživatel˚ u souˇ casnˇ e (napˇ r. Microsoft Terminal Services, Citrix Presentation Server nebo Rychlé pˇ repínání uživatel˚ u v systémech Windows XP, Windows Server 2003, Windows Vista a Windows Server 2008 ), pak bude firewall vyžadovat ovˇ eˇ rení pouze po uživateli, který zaˇ cal pracovat jako první. Ostatní uživatelé pak budou vystupovat pod jeho identitou. Pro služby HTTP a HTTPS lze toto technické omezení obejít. Ve WWW prohlížeˇ cích všech klient˚ u víceuživatelského systému nastavíme pˇ rístup do Internetu pˇ res proxy server ve Kerio Control (podrobnosti viz kapitola 9.4) a v Kerio Control zapneme volbu Povolit ovˇ eˇ rování na netransparentním proxy serveru. Proxy server pak bude vyžadovat ovˇ eˇ rení 6 uživatele pˇ ri zahájení každé nové relace prohlížeˇ ce . Vyžadování ovˇ eˇ rení uživatele na proxy serveru pˇ ri zahájení každé nové relace m˚ uže být však obtˇ ežující pro uživatele pracující na „jednouživatelských “ poˇ cítaˇ cích. Proto je vhodné omezit vyžadování ovˇ eˇ rení v každé relaci pouze na poˇ cítaˇ ce, o kterých víme, že na nich pracuje více uživatel˚ u. K tomuto úˇ celu slouží volba Aplikovat pouze na tyto IP adresy. Automatické ovˇ eˇ rování (NTLM) Je-li zapnuta volba Povolit WWW prohlížeˇ cu ˚ m..., pak pˇ ri použití prohlížeˇ ce Internet Explorer nebo Firefox/SeaMonkey, pak m˚ uže být uživatel ovˇ eˇ rován na firewallu automaticky (metodou NTLM). 6
Relace (angl. session, nˇ ekdy též pˇ rekládáno jako sezení ) je období bˇ ehu jedné instance prohlížeˇ ce. Napˇ r. v pˇ rípadˇ e prohlížeˇ cu ˚ Internet Explorer, Firefox nebo Opera relace zaniká po uzavˇ rení všech otevˇ rených oken prohlížeˇ ce, zatímco u prohlížeˇ ce SeaMonkey relace zaniká až po ukonˇ cení programu Rychlé spuštˇ ení (ikona v oznamovací oblasti nástrojové lišty).
164
11.1 Ovˇ eˇ rování uživatel˚ u na firewallu
V praxi to znamená, že prohlížeˇ c nepožaduje zadání uživatelského jména a hesla a použije identitu uživatele pˇ rihlášeného do systému Windows. V jiných operaˇ cních systémech metoda NTLM bohužel není k dispozici. Podrobnosti naleznete v kapitole 25.3. Automatické odhlášení uživatele pˇ ri neˇ cinnosti ˇ V položce Casový limit lze nastavit dobu (v minutách), po níž dojde k automatickému odhlášení uživatele od firewallu, jestliže z jeho poˇ cítaˇ ce není zaznamenána žádná komunikace. Výchozí hodnota je 120 minut (2 hodiny). Popsaná situace nastává zpravidla v pˇ rípadech, kdy se uživatel zapomene od firewallu odhlásit, a proto nedoporuˇ cujeme tuto volbu vypínat — mohlo by totiž dojít k tomu, že získaná pˇ rístupová práva budou zneužita jiným uživatelem (pˇ riˇ cemž bude ve všech záznamech figurovat jméno uživatele, který se zapomnˇ el odhlásit).
165
Kapitola 12
WWW rozhraní
Kerio Control obsahuje speciální WWW server, který poskytuje rozhraní pro správu firewallu prostˇ rednictvím WWW prohlížeˇ ce (Kerio Control Administration), pro prohlížení statistik (Kerio StaR) a pro nastavení nˇ ekterých parametr˚ u uživatelského úˇ ctu. Pˇ rístup k WWW rozhraní je zabezpeˇ cen protokolem SSL, aby nemohlo dojít k odposlechu sít’ové komunikace a odcizení uživatelských hesel a dalších citlivých informací. WWW rozhraní firewallu otevˇ reme zadáním následujícího URL (server má význam jména nebo IP adresy poˇ cítaˇ ce s Kerio Control a 4081 je port WWW rozhraní): https://server:4081/ Ve straších verzích produktu Kerio Control (Kerio WinRoute Firewall 6.x a 5.x) bylo k dispozici také nezabezpeˇ cené WWW rozhraní na portu 4080: http://server:4080/ Nezabezpeˇ cené WWW rozhraní je nyní k dispozici pouze na samotném firewallu na lokální zpˇ etnovazební adrese (localhost, typicky 127.0.0.1). Pˇ ri pˇ rístupu na port 4080 z jiného poˇ cítaˇ ce dojde k automatickému pˇ resmˇ erování na zabezpeˇ cené WWW rozhraní (https://server:4081/). Porty WWW rozhraní nelze zmˇ enit. Tato kapitola se zabývá konfigurací WWW rozhraní v administraˇ cním programu Kerio Control. Kerio StaR a uživatelské WWW rozhraní jsou podrobnˇ e popsány v manuálu Kerio Control — Pˇ ríruˇ cka uživatele.
12.1 Informace o WWW rozhraní a nastavení certifikátu WWW rozhraní Kerio Control lze nastavit v sekci Konfigurace → Další volby, záložka WWW rozhraní . V horní ˇ cásti záložky jsou uvedeny odkazy na zabezpeˇ cené verze uživatelského WWW rozhraní firewallu a rozhraní pro správu (Kerio Control Administration). V dolní ˇ cásti lze získat informace o SSL certifikátu zabezpeˇ ceného WWW rozhraní a pˇ rípadnˇ e tento certifikát zmˇ enit.
166
12.1 Informace o WWW rozhraní a nastavení certifikátu
Obrázek 12.1
Nastavení parametr˚ u WWW rozhraní Kerio Control
SSL certifikát pro WWW rozhraní Princip zabezpeˇ ceného WWW rozhraní Kerio Control spoˇ cívá v tom, že se celé spojení mezi klientem a serverem šifruje, aby bylo zabránˇ eno odposlechu a zneužití pˇ renášených informací. Protokol SSL, který je k tomuto úˇ celu využit, používá nejprve asymetrickou šifru pro výmˇ enu symetrického šifrovacího klíˇ ce, kterým se pak šifrují vlastní pˇ renášená data. Asymetrická šifra používá dva klíˇ ce: veˇ rejný pro šifrování a privátní pro dešifrování. Jak už jejich názvy napovídají, veˇ rejný (šifrovací) klíˇ c má k dispozici kdokoliv, kdo chce navázat se serverem spojení, zatímco privátní (dešifrovací) klíˇ c má k dispozici pouze server a musí z˚ ustat utajen. Klient ale také potˇ rebuje mít možnost, jak si ovˇ eˇ rit identitu serveru (zda je to skuteˇ cnˇ e on, zda se za nˇ ej pouze nˇ ekdo nevydává). K tomu slouží tzv. certifikát. Certifikát v sobˇ e obsahuje veˇ rejný klíˇ c serveru, jméno serveru, dobu platnosti a nˇ ekteré další údaje. Aby byla zaruˇ cena pravost certifikátu, musí být ovˇ eˇ ren a podepsán tˇ retí stranou, tzv. certifikaˇ cní autoritou. Komunikace mezi klientem a serverem pak vypadá následovnˇ e: Klient vygeneruje klíˇ c pro symetrickou šifru a zašifruje ho veˇ rejným klíˇ cem serveru (ten získá z certifikátu serveru). Server jej svým privátním klíˇ cem (který má jen on) dešifruje. Tak znají symetrický klíˇ c jen oni dva a nikdo jiný. Tento klíˇ c se pak použije pro šifrování a dešifrování veškeré další komunikace. Import nebo vytvoˇ rení SSL certifikátu Pˇ ri instalaci Kerio Control je automaticky vytvoˇ ren testovací certifikát pro zabezpeˇ cené WWW rozhraní (certifikát je uložen v podadresᡠri sslcert instalaˇ cního adresᡠre Kerio Control v souboru server.crt, odpovídající privátní klíˇ c v souboru server.key). Vytvoˇ rený certifikát je unikátní, je však vystaven na fiktivní jméno serveru a není vydán d˚ uvˇ eryhodnou certifikaˇ cní autoritou. Tento certifikát slouží pouze k zajištˇ ení funkce zabezpeˇ ceného WWW rozhraní 167
WWW rozhraní
(typicky pro zkušební úˇ cely) do chvíle, než vytvoˇ ríte nový certifikát nebo importujete certifikát vystavený veˇ rejnou certifikaˇ cní autoritou. Po stisknutí tlaˇ cítka Zmˇ enit SSL certifikát (v dialogu pro nastavení upˇ resˇ nujících parametr˚ u WWW rozhraní) se zobrazí dialog s aktuálním certifikátem serveru. Volbou Pole (položka certifikátu) lze zobrazit údaje bud’ o vydavateli certifikátu nebo o subjektu — tedy vašem serveru.
Obrázek 12.2
SSL certifikát WWW rozhraní Kerio Control
Vlastní originální certifikát, který bude skuteˇ cnˇ e prokazovat identitu vašeho serveru, m˚ užete získat dvˇ ema zp˚ usoby. M˚ užete si vytvoˇ rit vlastní, tzv. self-signed certifikát („podepsaný sám sebou“). To lze provést stisknutím tlaˇ cítka Vytvoˇ rit certifikát v dialogu, kde se zobrazuje aktuální certifikát serveru. V dialogu, který se zobrazí, je tˇ reba vyplnit údaje o serveru a vaší spoleˇ cnosti. Povinné jsou pouze položky oznaˇ cené hvˇ ezdiˇ ckou (*). Po stisknutí tlaˇ cítka OK se novˇ e vytvoˇ rený certifikát zobrazí v dialogu SSL certifikát serveru a ihned se zaˇ cne používat (není tˇ reba nic restartovat). Vytvoˇ rený certifikát bude uložen do souboru server.crt a odpovídající privátní klíˇ c do souboru server.key. Vytvoˇ rený certifikát je originální a je vystaven vaší firmou vaší firmˇ e na jméno vašeho serveru (self-signed certifikát — certifikujete sami sebe). Narozdíl od testovacího certifikátu, tento certifikát již zajišt’uje vašim klient˚ um bezpeˇ cnost, protože je unikátní a prokazuje identitu vašeho serveru. Klienti budou ve svých prohlížeˇ cích upozornˇ eni již pouze na to, že certifikát nevystavila d˚ uvˇ eryhodná certifikaˇ cní autorita. Protože však vˇ edí, kdo tento certifikát vytvoˇ ril 168
12.2 Pˇ rihlašování uživatel˚ u k WWW rozhraní
Obrázek 12.3
Vytvoˇ rení nového „self-signed“ certifikátu pro WWW rozhraní Kerio Control
a proˇ c, mohou si jej do prohlížeˇ ce nainstalovat. Tím mají zajištˇ enu bezpeˇ cnou komunikaci a žádné varování se jim již zobrazovat nebude, protože váš certifikát nyní splˇ nuje všechny potˇ rebné náležitosti. Druhou možností je zakoupit plnohodnotný certifikát od nˇ ekteré veˇ rejné certifikaˇ cní autority (napˇ r. Verisign, Thawte, SecureSign, SecureNet, Microsoft Authenticode apod.). Pˇ ri importu certifikátu je tˇ reba naˇ císt soubor s certifikátem (*.crt) a odpovídající privátní klíˇ c (*.key). Tyto soubory Kerio Control uloží do podadresᡠre sslcert ve svém instalaˇ cním adresᡠri. Pr˚ ubˇ eh certifikace je pomˇ ernˇ e složitý a vyžaduje urˇ cité odborné znalosti. Jeho popis je nad rámec tohoto manuálu.
12.2 Pˇ rihlašování uživatel˚ u k WWW rozhraní Pˇ ri pˇ rístupu k WWW rozhraní Kerio Control je vyžadováno ovˇ eˇ rení uživatele. Do WWW rozhraní se m˚ uže pˇ rihlásit každý uživatel, který má v Kerio Control vytvoˇ ren uživatelský úˇ cet. V závislosti na právu prohlížet statistiky (viz kapitola 16.2) se po pˇ rihlášení uživateli zobrazí rozhraní Kerio StaR nebo stránka se stavovými informacemi a osobními pˇ redvolbami. Pˇ ri použití úˇ ct˚ u z více než jedné Active Directory domény (viz kapitola 16.4) platí pro uživatelské jméno tato pravidla: • Lokální uživatelský úˇ cet — jméno musí být zadáno bez domény (napˇ r. admin), • Primární doména — jméno m˚ uže být zadáno bez domény (napˇ r. jnovak) nebo s doménou (napˇ r. [email protected]), • Ostatní domény — jméno musí být zadáno vˇ cetnˇ e domény (napˇ r. [email protected]). 169
WWW rozhraní
Není-li mapována žádná nebo je-li mapována pouze jedna Active Directory doména, mohou se všichni uživatelé pˇ rihlašovat uživatelským jménem bez domény. Poznámka: Pˇ rihlášení do WWW rozhraní je základní zp˚ usob ovˇ eˇ rení uživatele na firewallu. Další zp˚ usoby ovˇ eˇ rování uživatel na firewallu jsou popsány v kapitole 11.1.
170
Kapitola 13
Filtrování protokol˚ u HTTP a FTP
Kerio Control poskytuje velmi rozsáhlé možnosti filtrování komunikace protokoly HTTP a FTP. Tyto protokoly patˇ rí k nejrozšíˇ renˇ ejším a nejpoužívanˇ ejším protokol˚ um v Internetu. Mezi hlavní d˚ uvody filtrování obsahu HTTP a FTP patˇ rí: • zamezit uživatel˚ um v pˇ rístupu na nevhodné WWW stránky (napˇ r. stránky, které nesouvisejí s pracovní náplní zamˇ estnanc˚ u firmy) • zamezit pˇ renosu urˇ citých typ˚ u soubor˚ u (napˇ r. nelegální obsah) • zabránit ˇ ci omezit šíˇ rení vir˚ u, ˇ cerv˚ u a trojských koní Podívejme se podrobnˇ eji na možnosti filtrování, které Kerio Control nabízí. Jejich podrobný popis najdete v následujících kapitolách. Protokol HTTP — filtrování WWW stránek: • omezování pˇ rístupu podle URL (resp. podˇ retˇ ezce obsaženého v URL) • blokování urˇ citých prvk˚ u HTML (napˇ r. skripty, objekty ActiveX apod.) • filtrování na základˇ e ohodnocení modulem Kerio Web Filter (celosvˇ etová databáze klasifikací WWW stránek) • omezování pˇ rístupu na stránky obsahující urˇ citá slova • antivirová kontrola stahovaných objekt˚ u Protokol FTP — kontrola pˇ rístupu na FTP servery: • • • • •
úplný zákaz pˇ rístupu na zadané FTP servery omezení podle jména souboru omezení pˇ renosu soubor˚ u na jeden smˇ er (napˇ r. pouze download) blokování urˇ citých pˇ ríkaz˚ u protokolu FTP antivirová kontrola pˇ renášených soubor˚ u
Poznámka: Kerio Control nabízí pouze nástroje pro filtrování a omezování pˇ rístupu. Rozhodnutí, jaké WWW stránky a soubory mají být blokovány, musí uˇ cinit správce Kerio Control (pˇ rípadnˇ e jiná kompetentní osoba).
171
Filtrování protokol˚ u HTTP a FTP
13.1 Podmínky pro filtrování HTTP a FTP Pro ˇ cinnost filtrování obsahu protokol˚ u HTTP a FTP musí být splnˇ eny tyto základní podmínky: 1.
Komunikace musí být obsluhována pˇ ríslušným inspekˇ cním modulem. Potˇ rebný inspekˇ cní modul je aktivován automaticky, pokud není komunikaˇ cními pravidly explicitnˇ e urˇ ceno, že nemá být pro danou komunikaci použit. Podrobnosti najdete v kapitole 7.3.
2.
Spojení nesmí být šifrováno. Komunikaci zabezpeˇ cenou SSL (tj. protokoly HTTPS a FTPS) není možné sledovat. V tomto pˇ rípadˇ e lze pouze blokovat pˇ rístup na konkrétní servery komunikaˇ cními pravidly (viz kapitola 7.3).
3.
Protokol FTP nelze filtrovat pˇ ri použití zabezpeˇ ceného pˇ rihlášení (SASO).
4.
Pravidla pro HTTP i FTP se aplikují také pˇ ri použití proxy serveru v Kerio Control (pak je podmínka 1. irelevantní). Protokol FTP však nelze filtrovat, pokud je použit nadˇ razený proxy server (podrobnosti viz kapitola 9.4). V takovém pˇ rípadˇ e jsou pravidla pro FTP neaktivní.
5.
Pˇ ri použití proxy serveru (viz kapitola 9.4) je možné filtrovat také HTTPS servery (pˇ ríklad: https://secure.kerio.cz/). Jednotlivé objekty na tˇ echto serverech však již filtrovat nelze.
13.2 Pravidla pro URL Pravidla pro URL umožˇ nují ˇ rídit pˇ rístup uživatel˚ u k WWW stránkám, jejichž URL vyhovují urˇ citým kritériím. Doplˇ nkovými funkcemi je filtrování stránek dle výskytu zakázaných slov, specifické blokování prvk˚ u WWW stránek (skripty, aktivní objekty atd.) a možnost vypnutí antivirové kontroly pro urˇ cité stránky. K definici pravidel pro URL slouží stejnojmenná záložka v sekci Konfigurace → Filtrování obsahu → Pravidla pro HTTP.
Obrázek 13.1
Pravidla pro URL
172
13.2 Pravidla pro URL
Pravidla v této sekci jsou vždy procházena shora dol˚ u (poˇ radí lze upravit tlaˇ cítky se šipkami na pravé stranˇ e okna). Vyhodnocování se zastaví na prvním pravidle, kterému dané URL vyhoví. Pokud URL nevyhoví žádnému pravidlu, je pˇ rístup na stránku povolen (implicitnˇ e vše povoleno). Poznámka: Pˇ rístup k URL, pro které neexistuje odpovídající pravidlo, je povolen všem pˇ rihlášeným uživatel˚ um (implicitnˇ e vše povoleno). Chceme-li povolit pˇ rístup pouze k omezené skupinˇ e stránek a všechny ostatní stránky blokovat, je tˇ reba na konec seznamu umístit pravidlo zakazující pˇ rístup k libovolnému URL. V záložce Pravidla pro URL mohou být zobrazeny tyto sloupce: • Popis — textový popis pravidla (pro zvýšení pˇ rehlednosti). Zaškrtávací pole vlevo od popisu pravidla umožˇ nuje pravidlo „zapnout“ a „vypnout“ (napˇ r. v pˇ rípadˇ e, kdy má být pravidlo doˇ casnˇ e vyˇ razeno). • Akce — akce, která bude provedena pˇ ri splnˇ ení podmínek tohoto pravidla (Povolit — povolit pˇ rístup na stránku, Zakázat — zakázat pˇ rístup na stránku a zobrazit informaci o zákazu, Zahodit — zakázat pˇ rístup na stránku a zobrazit prázdnou stránku, Pˇ resmˇ erovat — pˇ resmˇ erovat na stránku uvedenou v pravidle). • Podmínka — podmínka, za které pravidlo platí (URL vyhovuje urˇ citým kritériím, stránka je klasifikována modulem Kerio Web Filter do urˇ cité kategorie atd.). • Vlastnosti — upˇ resˇ nující volby v pravidle (napˇ r. antivirová kontrola, filtrování zakázaných slov atd.). Následující sloupce jsou ve výchozím nastavení skryty. Zobrazit je lze pomocí funkce Nastavit sloupce v kontextovém menu — podrobnosti viz kapitola 3.3. • Skupina IP adres — skupina IP adres, pro kterou pravidlo platí. Jedná se o IP adresy klient˚ u (tj. pracovních stanic uživatel˚ u, kteˇ rí pˇ res Kerio Control pˇ ristupují k WWW stránkám). ˇ • Casová platnost — ˇ casový interval, ve kterém pravidlo platí. • Seznam uživatel˚ u — výˇ cet uživatel˚ u a skupin uživatel˚ u, na které se pravidlo vztahuje. Poznámka: Výchozí instalace Kerio Control obsahuje nˇ ekolik pˇ reddefinovaných pravidel pro URL. Tato pravidla jsou ve výchozím nastavení „vypnuta“. Správce firewallu je m˚ uže použít, pˇ rípadnˇ e upravit dle vlastního uvážení. Definice pravidel pro URL Chceme-li pˇ ridat nové pravidlo, oznaˇ címe v tabulce pravidlo, pod které má být nové pravidlo vloženo, a stiskneme tlaˇ cítko Pˇ ridat. Šipkovými tlaˇ cítky na pravé stranˇ e okna lze poˇ radí pravidel dodateˇ cnˇ e upravit. Dialog pro definici nového pravidla: 173
Filtrování protokol˚ u HTTP a FTP
Obrázek 13.2
Pravidlo pro URL — základní parametry
Záložka Obecné slouží k nastavení základních podmínek pravidla a akcí, které mají být pˇ ri splnˇ ení tˇ echto podmínek provedeny. Popis Slovní popis funkce pravidla (pro snazší orientaci správce firewallu). Jestliže k tomuto URL pˇ ristupuje Volba, pro které uživatele bude toto pravidlo platit: • libovolný uživatel — pro všechny uživatele pˇ rihlášené k firewallu. Zapnutím volby nevyžadovat ovˇ eˇ rení bude pravidlo platit také pro uživatele, kteˇ rí nejsou k firewallu pˇ rihlášeni (anonymní uživatele). Poznámka: 1.
Velmi ˇ castým požadavkem je, aby firewall vyžadoval ovˇ eˇ rení uživatel˚ u pˇ ri pˇ rístupu na libovolnou WWW stránku. Toho lze docílit globálním nastavením v sekci Uživatelé, záložka Volby pro ovˇ eˇ rování (viz kapitola 16.1). S použitím 174
13.2 Pravidla pro URL
volby nevyžadovat ovˇ eˇ rení m˚ užeme pak napˇ r. definovat pravidlo povolující pˇ rístup na urˇ cité stránky bez pˇ rihlášení. 2. Není-li ovˇ eˇ rení uživatel˚ u vyžadováno, pak nemá volba nevyžadovat ovˇ eˇ rení v pravidlech pro URL žádný úˇ cinek. • vybraní uživatelé — pro vybrané uživatele a/nebo skupiny uživatel˚ u. Tlaˇ cítko Nastavit otevírá dialog pro výbˇ er uživatel˚ u a skupin (pˇ ridržením kláves Ctrl a Shift m˚ užete vybrat více uživatel˚ u / skupin souˇ casnˇ e). Poznámka: Jméno uživatele má v pravidle význam IP adresy poˇ cítaˇ ce, ze kterého je uživatel v daném okamžiku pˇ rihlášen k firewallu (podrobnosti viz kapitola 11.1). A URL vyhovuje tˇ emto kritériím Specifikace URL (resp. množiny URL), pro které má toto pravidlo platit: • zaˇ cíná — v této položce m˚ uže být uvedeno kompletní URL bez specifikace protokolu (napˇ r. www.kerio.cz/index.html), vzor URL s použitím zástupných znak˚ u*a? (napˇ r. *.ker?o.cz*) nebo jméno serveru (napˇ r. www.kerio.cz). Jméno serveru má význam libovolného URL na daném serveru (www.kerio.com/*). Pozor: Pokud je uveden vzor URL s použitím zástupných znak˚ u, musí tento ˇ vzor specifikovat celé URL (viz pˇ ríklady výše). Castou chybou je vzor ve tvaru .kerio.com — takovému vzoru neodpovídá žádné skuteˇ cné URL. * • patˇ rí do skupiny URL — výbˇ er skupiny URL (viz kapitola 15.4), které má URL vyhovovat • je kategorizováno modulem Kerio Web Filter — pravidlo bude platit pro všechny stránky, které modul Kerio Web Filter zaˇ radí do nˇ ekteré z vybraných kategorií. Tlaˇ cítko Vybrat hodnocení... otevírá dialog pro výbˇ er kategorií modulu Kerio Web Filter. Podrobnˇ ejší informace naleznete v kapitole 13.3. • libovolné URL, ve kterém je server zadán IP adresou — takto musí být zadáno URL stránky ˇ ci souboru na WWW serveru, který nemá záznam v DNS. Toto je charakteristické napˇ r. pro servery nabízející ke stažení soubory s nelegálním obsahem. Pozor: Není-li zakázán pˇ rístup na servery zadané IP adresou, mohou takto uživatelé obcházet pravidla pro URL, ve kterých jsou servery uvádˇ eny jménem! Akce Volba akce, která bude provedena, jestliže jsou splnˇ eny podmínky pro uživatele a URL: • Povolit pˇ rístup na stránku • Zakázat pˇ rístup na stránku — požadovaná stránka bude blokována. Uživateli se zobrazí bud’ stránka s informací o zákazu, prázdná stránka nebo bude pˇ resmˇ erován na jinou stránku (dle nastavení v záložce Upˇ resnˇ ení — viz dále). Zaškrtnutím volby Zaznamenat budou všechny pˇ rístupy na stránky, které vyhovˇ ely tomuto pravidlu, zaznamenávány do záznamu Filter (viz kapitola 22.9).
175
Filtrování protokol˚ u HTTP a FTP
V záložce Upˇ resnˇ ení obsahuje další podmínky, za kterých má pravidlo platit, a volby pro zakázané stránky.
Obrázek 13.3
Pravidlo pro URL — upˇ resˇ nující parametry
Platí v ˇ casovém intervalu Výbˇ er ˇ casového intervalu platnosti pravidla (mimo tento interval je pravidlo neaktivní). Tlaˇ cítko Zmˇ enit otevírá dialog pro úpravu ˇ casových interval˚ u (podrobnosti viz kapitola 15.2). Platí pro skupinu IP adres Výbˇ er skupiny IP adres, pro kterou bude toto pravidlo platit (jedná se o zdrojové IP adresy, tedy adresy klient˚ u). Speciální volba Libovolná znamená, že pravidlo nebude závislé na IP adrese klienta. Tlaˇ cítko Zmˇ enit otevírá dialog pro úpravu skupin IP adres (podrobnosti viz kapitola 15.1).
176
13.2 Pravidla pro URL
Platí pro MIME typ Omezení platnosti pravidla pouze na objekty urˇ citého MIME typu (napˇ r.: text/html — HTML dokumenty, image/jpeg — obrázky typu JPEG apod.). V této položce m˚ užete vybrat nˇ ekterý z pˇ reddefinovaných MIME typ˚ u nebo zadat vlastní. Pˇ ri definici MIME typu lze použít hvˇ ezdiˇ cku pro specifikaci libovolného subtypu (napˇ r. image/*). Samotná hvˇ ezdiˇ cka znamená libovolný MIME typ — pravidlo bude nezávislé na MIME typu objektu. Volby pro zákaz Upˇ resˇ nující nastavení pro zakázané stránky. Jestliže se uživatel pokusí otevˇ rít stránku, na kterou je tímto pravidlem zakázán pˇ rístup, pak Kerio Control místo této stránky zobrazí: • Stránku s informací o zakázaném pˇ rístupu — uživatel se dozví, že požadovaná stránka je blokována firewallem. Tato stránka m˚ uže být doplnˇ ena vysvˇ etlením zákazu (položka Text zákazu). Bude-li zaškrtnuta volba Uživatelé mohou toto pravidlo odemknout, pak se na stránce s informací o zákazu zobrazí tlaˇ cítko Odemknout. Stisknutím tohoto tlaˇ cítka si uživatel m˚ uže vynutit povolení pˇ rístupu na požadovanou stránku, pˇ restože jej pravidlo pro URL zakazuje. Odemknutí pravidla je ˇ casovˇ e omezeno (standardnˇ e 10 minut). Každý uživatel m˚ uže odemknout jen omezený poˇ cet zakazujících pravidel (maximálnˇ e 10 pravidel souˇ casnˇ e). Všechny požadavky na odemknutí se zaznamenávají do záznamu Security (viz kapitola 22.11). Odemykat pravidla mohou pouze uživatelé, kteˇ rí mají pˇ ríslušné právo (viz rihlášení kapitola 16.1). Z toho vyplývá, že pravidla nikdy nemohou odemykat nepˇ (anonymní) uživatelé. Poznámka: 1. 2.
Pˇ ri jakékoliv zmˇ enˇ e v pravidlech pro URL se ihned ruší všechna odemknutí. Text zákazu nesmí z bezpeˇ cnostních a technických d˚ uvod˚ u obsahovat žádné HTML tagy. Pokud prostý text nevyhovuje, doporuˇ cujeme použít pˇ resmˇ erování na jinou stránku (viz níže). • Prázdnou stránku — uživatel nezíská žádné informace o tom, proˇ c se požadovaná stránka nezobrazila (nedozví se ani o existenci Kerio Control). • Jinou stránku — prohlížeˇ c uživatele bude pˇ resmˇ erován na zadané URL. Tuto volbu lze využít napˇ r. pro definici vlastní stránky s informací o zakázaném pˇ rístupu. Záložka Pravidla pro obsah umožˇ nuje nastavit filtrování urˇ citých prvk˚ u WWW stránek vyhovujících danému pravidlu pro URL. Parametry v této záložce lze nastavovat pouze v pˇ rípadˇ e, že se jedná o pravidlo povolující pˇ rístup (v záložce Obecné je vybrána volba Povolit pˇ rístup na stránku). Volby pro objekty na WWW stránkách V této sekci lze provést specifické nastavení filtrování objekt˚ u na WWW stránkách, které vyhovují tomuto pravidlu. Toto nastavení bude použito, pokud uživatel nemá právo Pˇ rejít pravidla pro obsah WWW 177
Filtrování protokol˚ u HTTP a FTP
Obrázek 13.4
Volby pro obsah WWW stránek vyhovujících pravidlu pro URL
stránek. Pokud uživatel uvedené právo má, použije se nastavení z uživatelského úˇ ctu a nastavení v pravidle pro URL bude ignorováno. Podrobnosti o uživatelských úˇ ctech, právech a filtrování objekt˚ u na WWW stránkách naleznete v kapitole 16.2. Blokování pˇ rístupu na stránky obsahující zakázaná slova Zapnutím této volby bude blokován pˇ rístup na WWW stránky, které vyhovují tomuto pravidlu a zároveˇ n obsahují zakázaná slova definovaná v sekci Konfigurace → Filtrování obsahu → Pravidla pro HTTP, záložka Zakázaná slova. Podrobné informace o zakázaných slovech viz kapitola 13.4. Antivirová kontrola obsahu stránek Tato volba zapíná nebo vypíná pro stránky vyhovují tomuto pravidlu antivirovou kontrolu objekt˚ u dle nastavení v sekci Konfigurace → Filtrování obsahu → Antivirus (viz kapitola 14.3). Antivirová kontrola protokolu HTTP se implicitnˇ e provádí pro veškerou komunikaci tímto protokolem (tedy i pro stránky, které nevyhovují žádnému pravidlu pro URL). Proto je také v novˇ e vytvᡠrených pravidlech pro URL ve výchozím stavu tato volba zapnuta. Primárním smyslem této volby je možnost vypnutí antivirové kontroly pro urˇ cité stránky, které správce firewallu považuje za bezpeˇ cné.
Upˇ resˇ nující parametry pro inspekci protokolu HTTP Tlaˇ cítkem Upˇ resnˇ ení v záložce Pravidla pro HTTP se otevírá dialog pro nastavení parametr˚ u inspekˇ cního modulu protokolu HTTP. Volby Povolit záznam HTTP a Povolit záznam Web zapínají/vypínají zápis HTTP požadavk˚ u (resp. navštívených WWW stránek) do záznam˚ u HTTP (viz kapitola 22.10) a Web (viz kapitola 22.14). 178
13.3 Hodnocení obsahu WWW stránek (Kerio Web Filter)
Obrázek 13.5
Nastavení parametr˚ u inspekˇ cního modulu protokolu HTTP
U položky Povolit záznam HTTP m˚ uže být vybrán i formát záznamu: záznam WWW serveru Apache (http://www.apache.org/) nebo záznam proxy serveru Squid (http://www.squid-cache.org/). Nastavení typu záznamu je d˚ uležité zejména v pˇ rípadˇ e, má-li být záznam zpracováván nˇ ejakým analytickým nástrojem. Ve výchozím nastavení jsou povoleny oba záznamy (HTTP i Web) a pro záznam HTTP je nastaven typ Apache, který je pro správce firewallu (ˇ clovˇ eka) ˇ citelnˇ ejší. Volba Použít filtrovací pravidla také pro lokální servery urˇ cuje, zda budou pravidla pro filtrování obsahu aplikována také na WWW servery v lokální síti, které jsou komunikaˇ cními pravidly (viz kapitola 7) zpˇ rístupnˇ eny z Internetu. Ve výchozím nastavení je tato volba vypnuta — inspekˇ cní modul kontroluje pouze syntaxi protokolu HTTP a provádí záznam požadavk˚ u (resp. WWW stránek) dle výše popsaných nastavení.
13.3 Hodnocení obsahu WWW stránek (Kerio Web Filter) Modul Kerio Web Filter, integrovaný v Kerio Control, slouží k hodnocení obsahu WWW stránek. Každá stránka je tímto systémem zaˇ razena do nˇ ekteré z pˇ reddefinovaných kategorií. Na základˇ e této klasifikace k ní m˚ uže být urˇ citým uživatel˚ um povolen ˇ ci zakázán pˇ rístup. Kerio Web Filter používá celosvˇ etovou dynamickou databázi, která obsahuje URL stránek a jejich klasifikace. Tuto databázi udržují speciální servery, které provádˇ ejí hodnocení jednotlivých stránek. Pˇ ristupuje-li uživatel k urˇ cité stránce, modul Kerio Web Filter v Kerio Control se dotáže databázového serveru na klasifikaci URL této stránky a podle klasifikace rozhodne, zda má pˇ rístup na stránku povolit ˇ ci zakázat. Pro urychlení vyhodnocování jednotlivých URL mohou být získané odpovˇ edi uloženy do lokální vyrovnávací pamˇ eti (cache), kde jsou po urˇ citou dobu uchovány.
179
Filtrování protokol˚ u HTTP a FTP
Poznámka: Používání modulu Kerio Web Filter je vázáno na speciální licenci (pˇ redplatné). Pokud licence Kerio Control neobsahuje pˇ redplatné pro tento modul, chová se modul jako zkušební verze (po 30 dnech od instalace Kerio Control se automaticky vypne a volby v záložce Kerio Web Filter budou neaktivní). Podrobné informace o licencích naleznete v kapitole 4.
Nastavení parametr˚ u modulu Kerio Web Filter K aktivaci/deaktivaci a nastavení upˇ resˇ nujících parametr˚ u modulu Kerio Web Filter slouží záložka Kerio Web Filter v sekci Konfigurace → Filtrování obsahu → Pravidla pro HTTP.
Obrázek 13.6
Nastavení parametr˚ u modulu Kerio Web Filter
Povolit Kerio Web Filter Tato volba zapíná/vypíná modul pro klasifikaci WWW stránek Kerio Web Filter. Je-li modul Kerio Web Filter vypnut, pak: • nejsou dostupné ostatní volby v záložce Kerio Web Filter, • jsou deaktivována všechna pravidla pro URL, která používají klasifikaci modulem Kerio Web Filter (podrobnosti viz kapitola 13.3).
180
13.3 Hodnocení obsahu WWW stránek (Kerio Web Filter)
Kategorizovat každou stránku bez ohledu... Po zapnutí této volby budou modulem Kerio Web Filter kategorizovány všechny WWW stránky (resp. všechny HTTP požadavky zpracované inspekˇ cním modulem protokolu HTTP). Kategorizace všech stránek je nutná pro sledování statistik kategorií navštívených stránek (viz kapitola 21). Nechceme-li tyto statistiky sledovat, doporuˇ cuje se tuto volbu vypnout (kategorizace všech stránek by zbyteˇ cnˇ e snižovala výkon Kerio Control). V poli Výjimky pro Kerio Web Filter lze specifikovat servery (pˇ rípadnˇ e konkrétní stránky), které nebudou tímto modulem kategorizovány. Tlaˇ cítko Pˇ ridat otevírá dialog pro zadání nové položky (serveru nebo stránky). Server Položka Server slouží ke specifikaci stránek, které nemají být klasifikovány modulem Kerio Web Filter. Do této položky lze zadat: • jméno serveru (napˇ r. www.kerio.cz). Jméno serveru má význam libovolné stránky na tomto serveru, • adresu konkrétní stránky bez specifikace protokolu (http://) — napˇ r. www.kerio.cz/index.html, • masku URL s použitím hvˇ ezdiˇ ckové konvence (napˇ r. *.ker?o.*). Hvˇ ezdiˇ cka nahrazuje libovolný (i nulový) poˇ cet znak˚ u, otazník právˇ e jeden znak. Popis Textový popis definované výjimky. Slouží k lepší orientaci, není nutné jej vyplˇ novat.
Použití modulu Kerio Web Filter Pro klasifikaci WWW stránek modulem Kerio Web Filter musí být tento modul zapnut a nastaveny jeho parametry. Modul Kerio Web Filter se aktivuje vždy, když Kerio Control zpracovává pravidlo pro URL, ve kterém je jako podmínka zadána klasifikace stránky do urˇ citých kategorií. Jako pˇ ríklad uvedeme pravidlo zakazující všem uživatel˚ um pˇ rístup na stránky s nabídkou pracovních míst. V sekci Konfigurace → Filtrování obsahu → Pravidla pro HTTP, záložka Pravidla pro URL, definujeme pravidlo dle obrázku 13.7. Klíˇ covým parametrem je volba je kategorizováno modulem Kerio Web Filter. URL každé navštívené stránky bude klasifikováno, a bude-li zaˇ razeno do nˇ ekteré z vybraných kategorií, pak Kerio Control zakáže pˇ rístup na tuto stránku. Tlaˇ cítkem Vybrat hodnocení otevˇ reme dialog pro výbˇ er kategorií modulu Kerio Web Filter a zvolíme kategorii Zamˇ estnání / Nabídky zamˇ estnání (stránky s nabídkami pracovních míst).
181
Filtrování protokol˚ u HTTP a FTP
Obrázek 13.7
Pravidlo pro filtrování WWW stránek dle kategorií systému Kerio Web Filter
182
13.4 Filtrování WWW stránek dle výskytu slov
Obrázek 13.8
Výbˇ er kategorií systému Kerio Web Filter
Poznámka: 1. Pravidel pro URL využívajících Kerio Web Filter m˚ uže být definováno více. V každém pravidle m˚ uže být nastaveno více kategorií. 2. V pravidlech používajících klasifikaci modulem Kerio Web Filter je vhodné povolit odemknutí (záložka Upˇ resnˇ ení , volba Uživatelé mohou toto pravidlo "odemknout") — pro pˇ rípad, že bude stránka blokována z d˚ uvodu nesprávné klasifikace. Všechny požadavky na odemknutí pravidel se zaznamenávají do záznamu Filter — zde m˚ užeme zkontrolovat, zda byl požadavek uživatele oprávnˇ ený ˇ ci nikoliv.
13.4 Filtrování WWW stránek dle výskytu slov Kerio Control m˚ uže filtrovat WWW stránky podle výskytu nežádoucích slov. Princip filtrování: Každému nežádoucímu slovu je pˇ riˇ razena urˇ citá hodnota, tzv. váha (celé kladné ˇ císlo). Váhy jednotlivých slov nalezených na stránce se sˇ cítají (váha každého slova je zapoˇ cítána pouze jednou, bez ohledu na poˇ cet jeho výskyt˚ u na stránce). Jestliže celková váha stránky pˇ rekroˇ cí nastavenou hodnotu (tzv. prahovou hodnotu), stránka je blokována.
183
Filtrování protokol˚ u HTTP a FTP
Pro úˇ cely filtrování WWW stránek dle nežádoucích slov umožˇ nuje Kerio Control definovat tzv. zakázaná slova. Pomocí pravidel pro URL (viz kapitola 13.2) lze pak definovat podmínky, za kterých bude filtrování stránek obsahujících zakázaná slova provádˇ eno. Upozornˇ ení: Bez pˇ ríslušných pravidel pro URL nemá definice zakázaných slov a prahové hodnoty žádný smysl!
Definice pravidel pro filtrování dle výskytu slov Pˇ redpokládejme, že jsou již definována nˇ ejaká zakázaná slova a je nastavena prahová hodnota váhy stránky (podrobnosti viz dále). V záložce Pravidla pro URL sekce Konfigurace → Filtrování obsahu → Pravidla pro HTTP vytvoˇ ríme pravidlo (pˇ rípadnˇ e více pravidel) povolující pˇ rístup ke skupinˇ e stránek, které mají být filtrovány dle zakázaných slov. V záložce Pravidla pro obsah aktivujeme filtrování stránek obsahujících zakázaná slova. Jako pˇ ríklad uvedeme definici pravidla pro filtrování všech WWW stránek dle výskytu zakázaných slov: • V záložce Obecné povolíme pˇ rístup všem uživatel˚ um ke všem WWW stránkám. • V záložce Pravidla pro obsah zapneme volbu Zamezit pˇ rístup na WWW stránky obsahující..., která aktivuje filtrování dle zakázaných slov.
184
13.4 Filtrování WWW stránek dle výskytu slov
Obrázek 13.9
Pravidlo pro filtrování WWW stránek dle výskytu slov (povolení pˇ rístupu)
Obrázek 13.10
Pravidlo pro filtrování WWW stránek dle výskytu slov (filtrování slov)
185
Filtrování protokol˚ u HTTP a FTP
Skupiny slov K definici skupin slov slouží záložka Skupiny slov v sekci Konfigurace → Filtrování obsahu → Pravidla pro HTTP. Jednotlivá slova se pro pˇ rehlednost ˇ radí do skupin. Zaˇ razení do skupiny nemá žádný vliv na filtrování — vždy se testují všechna slova ze všech skupin.
Obrázek 13.11
Skupiny zakázaných slov
Jednotlivé skupiny a v nich obsažená slova se zobrazují v podobˇ e stromu. Zaškrtávací pole vlevo vedle každého slova umožˇ nuje „vypnutí“ slova (doˇ casné vyˇ razení slova bez nutnosti jej odstraˇ novat a poté znovu pˇ ridávat). Poznámka: Ve výchozí instalaci Kerio Control jsou pˇ reddefinovány tyto skupiny slov: • Pornography — slova, která se typicky vyskytují na stránkách s erotickou tématikou, • Warez / Cracks — slova, která obvykle obsahují stránky nabízející ke stažení nelegální software, generátory licenˇ cních klíˇ cu ˚ apod. Všechna slova v pˇ reddefinovaných skupinách jsou ve výchozím nastavení „vypnuta“. Správce firewallu je m˚ uže použít a upravit jejich váhu dle vlastního uvážení. Prahová hodnota pro blokování WWW stránek Volba Blokovat stránky, jejichž váha je vyšší než urˇ cuje tzv. prahovou hodnotu celkové váhy stránky (tj. souˇ ctu vah všech nalezených nežádoucích slov na stránce). Je-li celková váha stránky vˇ etší než zadaná hodnota, pˇ rístup na tuto stránku bude blokován (váha každého slova je zapoˇ ctena pouze jednou, bez ohledu na poˇ cet výskyt˚ u slova na stránce).
186
13.5 Filtrování protokolu FTP
Definice zakázaných slov Tlaˇ cítko Pˇ ridat otevírá dialog pro pˇ ridání nového slova do skupiny nebo vytvoˇ rení nové skupiny.
Obrázek 13.12
Definice zakázaného slova a/nebo skupiny slov
Skupina Výbˇ er skupiny, do které má být slovo zaˇ razeno. Do této položky m˚ užete také zadat název dosud neexistující skupiny — tím dojde k vytvoˇ rení nové skupiny. Klíˇ cové slovo Nežádoucí slovo, které má být na stránce vyhledáno. Slovo m˚ uže být v jakémkoliv jazyce a mˇ elo by být zapsáno pˇ resnˇ e ve tvaru, v jakém se na WWW stránkách vyskytuje (s použitím pˇ ríslušných národních znak˚ u apod.). Má-li slovo více tvar˚ u (jednotné/množné ˇ císlo, pády podstatných jmen apod.), je potˇ reba pro každý tvar definovat samostatné slovo v dané skupinˇ e. Jednotlivé tvary slova mohou mít i r˚ uzné váhy. Váha Váha slova je míra vlivu slova na blokaci pˇ rístupu na stránku. Nastavená váha by mˇ ela zohledˇ novat ˇ cetnost výskytu daného slova v pˇ ríslušném jazyce (ˇ cím bˇ ežnˇ ejší slovo, tím nižší váha), aby nedocházelo k blokování stránek s nezávadných obsahem. Popis Libovolný textový komentᡠr (pro pˇ rehlednost).
13.5 Filtrování protokolu FTP Pravidla pro pˇ rístup na FTP servery se nastavují v sekci Konfigurace → Filtrování obsahu → Pravidla pro FTP. Pravidla v této sekci jsou vždy procházena shora dol˚ u (poˇ radí lze upravit tlaˇ cítky se šipkami na pravé stranˇ e okna). Vyhodnocování se zastaví na prvním pravidle, kterému FTP požadavek vyhoví. Pokud požadavek nevyhoví žádnému pravidlu, je pˇ rístup na FTP server povolen (implicitnˇ e vše povoleno).
187
Filtrování protokol˚ u HTTP a FTP
Obrázek 13.13
Pravidla pro FTP
Poznámka: Výchozí instalace Kerio Control obsahuje nˇ ekolik pˇ reddefinovaných pravidel pro FTP. Tato pravidla jsou ve výchozím nastavení „vypnuta“. Správce firewallu je m˚ uže použít, pˇ rípadnˇ e upravit dle vlastního uvážení: • Forbid resume due to antivirus scanning — zákaz pokraˇ cování ve stahování souboru po pˇ rerušení (tzv. resume — FTP pˇ ríkaz REST). Toto pravidlo m˚ uže zvýšit úˇ cinnost antivirové kontroly (soubor bude vždy kontrolován jako celek). Pˇ ri pˇ renosu velkých soubor˚ u však m˚ uže být kontraproduktivní — pravdˇ epodobnost, že kód viru se nachází právˇ e v místˇ e, kde došlo k pˇ rerušení, je velmi malá, a opakování pˇ renosu celého souboru zbyteˇ cnˇ e zatˇ ežuje internetové pˇ ripojení. Podrobnosti o antivirové kontrole protokolu FTP naleznete v kapitole 14.3. • Forbid upload — zákaz ukládání soubor˚ u na FTP servery. Tímto lze zablokovat jednu z cest úniku citlivých informací z lokální sítˇ e. • Dvˇ e pravidla pro zákaz stahování audio a video soubor˚ u — tyto soubory bývají objemné a jejich stahování neúmˇ ernˇ e zatˇ ežuje internetové pˇ ripojení. Navíc se zpravidla jedná o neproduktivní ˇ cinnost.
Definice pravidel pro FTP Chceme-li pˇ ridat nové pravidlo, oznaˇ címe v tabulce pravidlo, pod které má být nové pravidlo vloženo, a stiskneme tlaˇ cítko Pˇ ridat. Šipkovými tlaˇ cítky na pravé stranˇ e okna lze poˇ radí pravidel dodateˇ cnˇ e upravit. Zaškrtávací pole vedle popisu pravidla slouží k jeho „vypnutí“ — pravidlo m˚ užete doˇ casnˇ e vyˇ radit bez nutnosti jej odstraˇ novat a poté znovu pˇ ridávat. Poznámka: Pˇ rístup k FTP server˚ um, pro které neexistuje odpovídající pravidlo, je povolen (implicitnˇ e vše povoleno). Chceme-li povolit pˇ rístup pouze k omezené skupinˇ e FTP server˚ u a všechny ostatní stránky blokovat, je tˇ reba na konec seznamu umístit pravidlo zakazující pˇ rístup ke všem FTP server˚ um. Dialog pro definici pravidla pro FTP:
188
13.5 Filtrování protokolu FTP
Obrázek 13.14
Pravidlo pro FTP — základní parametry
Záložka Obecné slouží k nastavení základních podmínek a akcí, které mají být pˇ ri jejich splnˇ ení provedeny. Popis Slovní popis funkce pravidla (pro snazší orientaci správce). Jestliže na FTP server pˇ ristupuje Volba, pro které uživatele bude toto pravidlo platit: • libovolný uživatel — pro všechny uživatele (bez ohledu na to, zda jsou na firewallu ovˇ eˇ reni ˇ ci nikoliv) • libovolný uživatel ovˇ eˇ rený na firewallu — pro všechny uživatele, kteˇ rí jsou pˇ rihlášeni • vybraní uživatelé — pro vybrané uživatele a/nebo skupiny uživatel˚ u. Tlaˇ cítko Nastavit otevírá dialog pro výbˇ er uživatel˚ u a skupin (pˇ ridržením kláves Ctrl a Shift m˚ užete vybrat více uživatel˚ u / skupin souˇ casnˇ e).
189
Filtrování protokol˚ u HTTP a FTP
Poznámka: Povolení nebo omezení vztahující se na vybrané uživatele (pˇ rípadnˇ e na všechny pˇ rihlášené uživatele) má smysl pouze v kombinaci s pravidlem zakazujícím pˇ rístup nepˇ rihlášeným uživatel˚ um. A FTP server vyhovuje tˇ emto kritériím Specifikace FTP server˚ u, pro které má toto pravidlo platit: • libovolný server — libovolný FTP server • server — IP adresa nebo DNS jméno konkrétního FTP serveru. Je-li FTP server zadán DNS jménem, pak Kerio Control automaticky zjistí z DNS odpovídající IP adresu. Zjištˇ ení IP adresy se provádí bezprostˇ rednˇ e po potvrzení zmˇ en stisknutím tlaˇ cítka Použít (pro všechna pravidla, v nichž byl FTP server zadán jménem). Upozornˇ ení: Dokud se nepodaˇ rí zjistit odpovídající IP adresu, je pˇ ríslušné pravidlo neaktivní! • IP adresa ze skupiny — výbˇ er skupiny IP adres FTP server˚ u, které mají být zakázány nebo povoleny. Tlaˇ cítko Zmˇ enit otevírá dialog pro úpravu skupin IP adres (podrobnosti viz kapitola 15.1). Akce Volba akce, která bude provedena, jestliže jsou splnˇ eny podmínky pro uživatele a FTP server: • Povolit — Kerio Control povolí pˇ rístup na definované FTP servery za podmínek nastavených v záložce Upˇ resnˇ ení — viz dále). • Zakázat — Kerio Control bude blokovat urˇ cité FTP pˇ ríkazy ˇ ci celé spojení (v závislosti na nastavení v záložce Upˇ resnˇ ení ). Zaškrtnutím volby Zaznamenat budou všechny pˇ rístupy na FTP, které vyhovˇ ely tomuto pravidlu, zaznamenány do záznamu Filter (viz kapitola 22.9). V záložce Upˇ resnˇ ení jsou obsaženy další podmínky, za kterých má pravidlo platit, a upˇ resˇ nující podmínky pro FTP komunikaci. Platí v ˇ casovém intervalu Výbˇ er ˇ casového intervalu platnosti pravidla (mimo tento interval je pravidlo neaktivní). Tlaˇ cítko Zmˇ enit otevírá dialog pro úpravu ˇ casových interval˚ u (podrobnosti viz kapitola 15.2). Platí pro skupinu IP adres Výbˇ er skupiny IP adres, pro kterou bude toto pravidlo platit (jedná se o zdrojové IP adresy, tedy adresy klient˚ u). Speciální volba Libovolná znamená, že pravidlo nebude závislé na IP adrese klienta. Tlaˇ cítko Zmˇ enit otevírá dialog pro úpravu skupin IP adres (podrobnosti viz kapitola 15.1).
190
13.5 Filtrování protokolu FTP
resˇ nující nastavení Obrázek 13.15 Pravidlo pro FTP — upˇ
Obsah Upˇ resˇ nující volby pro obsah FTP komunikace. Volba Typ nastavuje zp˚ usob filtrování: • Download, Upload, Download / Upload pˇ renos soubor˚ u v nˇ ekterém smˇ eru, pˇ rípadnˇ e v obou smˇ erech. Pˇ ri výbˇ eru nˇ ekteré z tˇ echto voleb se zobrazí položka Jméno souboru — v této položce m˚ užete uvést jména soubor˚ u, pro které má pravidlo platit. Ve jménˇ e souboru lze použít hvˇ ezdiˇ ckovou konvenci (napˇ r. *.exe — spustitelné soubory). • FTP pˇ ríkaz — výbˇ er pˇ ríkaz˚ u protokolu FTP, pro které má pravidlo platit • Libovolný — zakazuje jakékoli pˇ ripojení nebo pˇ ríkaz, jakoukoli komunikaci Provádˇ et antivirovou kontrolu obsahu dle pravidel Zapnutí/vypnutí antivirové kontroly FTP komunikace vyhovující tomuto pravidlu. Tato volba je dostupná pouze v povolujících pravidlech — je-li urˇ citá komunikace zakázána, nemá nastavení antivirové kontroly smysl.
191
Kapitola 14
Antivirová kontrola
Kerio Control umožˇ nuje kontrolovat antivirovým programem objekty (soubory) pˇ renášené protokoly HTTP, FTP, SMTP a POP3. V pˇ rípadˇ e protokol˚ u HTTP a FTP m˚ uže správce firewallu specifikovat, které objekty (resp. typy objekt˚ u) mají být kontrolovány. Kerio Control je dodáván s integrovaným antivirem Sophos (jeho použití vyžaduje speciální licenci). Kromˇ e integrovaného modulu Kerio Control podporuje externí antiviry r˚ uzných dalších výrobc˚ u. Licence antivirového programu musí splˇ novat licenˇ cní podmínky dané jeho výrobcem (typicky stejný nebo vyšší poˇ cet uživatel˚ u, pro který je licencován Kerio Control, nebo speciální serverová licence). Kerio Control umožˇ nuje použít souˇ casnˇ e integrovaný antivirový modul Sophos a zvolený externí antivirus. Pˇ renášené soubory jsou pak kontrolovány obˇ ema antiviry (tzv. duální antivirová kontrola). Tím se snižuje pravdˇ epodobnost propuštˇ ení souboru s virem. Souˇ casné použití dvou antivir˚ u má však negativní dopad na výkon firewallu. Doporuˇ cujeme proto d˚ ukladnˇ e zvážit, zda duální antivirovou kontrolu použít a na jaké protokoly ji aplikovat, pˇ rípadnˇ e provést testy se zkušební verzí Kerio Control pˇ red zakoupením pˇ ríslušné licence. Poznámka: 1. Podporované externí antiviry, stejnˇ e jako verze jednotlivých program˚ u a obchodní podmínky, se mohou v pr˚ ubˇ ehu ˇ casu mˇ enit. Aktuální informace vždy naleznete na WWW stránkách firmy Kerio Technologies (http://www.kerio.cz/cz/firewall). 2. Externí antivirus Sophos není v Kerio Control podporován.
14.1 Podmínky a omezení antivirové kontroly Antivirovou kontrolu objekt˚ u pˇ renášených urˇ citým protokolem lze provádˇ et pouze v pˇ rípadˇ e, že je komunikace sledována pˇ ríslušným inspekˇ cním modulem (viz kapitola 15.3) a tento modul podporuje spolupráci s antivirem. Z toho vyplývají následující omezení: • Antivirovou kontrolu nelze provádˇ et pˇ ri použití zabezpeˇ ceného kanálu (SSL/TLS). V tomto pˇ rípadˇ e není technicky možné dešifrovat komunikaci a oddˇ elit jednotlivé pˇ renášené objekty. • Pˇ ri antivirové kontrole e-mailu (protokoly SMTP a POP3) firewall pouze odstraˇ nuje infikované pˇ rílohy — není možné zahazovat celé zprávy. V pˇ rípadˇ e protokolu SMTP se standardnˇ e kontroluje pouze pˇ ríchozí komunikace (tzn. z Internetu do lokální sítˇ e — pˇ ríchozí pošta na lokální SMTP server). Kontrola odchozí komunikace zp˚ usobuje problémy pˇ ri doˇ casných chybách doruˇ cení. Podrobnosti viz kapitola 14.4. 192
14.2 Výbˇ er a nastavení antivirových program˚ u
• Objekty pˇ renášené jinými protokoly než HTTP, FTP, SMTP a POP3 nelze kontrolovat antivirem. • Je-li pˇ ri komunikaci použit nestandardní port, pak nebude pˇ ríslušný inspekˇ cní modul aplikován automaticky. V tomto pˇ rípadˇ e staˇ cí definovat komunikaˇ cní pravidlo povolující tuto komunikaci s použitím pˇ ríslušného inspekˇ cního modulu (podrobnosti viz kapitola 7.3). Pˇ ríklad: Chceme provádˇ et antivirovou kontrolu protokolu HTTP na portu 8080. 1.
Definujeme službu HTTP 8080 (protokol TCP, port 8080).
2.
Vytvoˇ ríme komunikaˇ cní pravidlo povolující tuto službu s použitím pˇ ríslušného inspekˇ cního modulu.
Obrázek 14.1
Komunikaˇ cní pravidlo pro
inspekci protokolu HTTP na nestandardním portu
Vytvoˇ rené pravidlo umístíme nad pravidlo povolující pˇ rístup do Internetu k libovolné službˇ e (pokud je takové pravidlo definováno). V pˇ rípadˇ e, že je pro pˇ rístup do Internetu použita technologie NAT (pˇ reklad zdrojových IP adres), musíme v tomto pravidle rovnˇ ež nastavit pˇ reklad adres. Poznámka: Inspekˇ cní modul m˚ užeme rovnˇ ež uvést v definici služby, pˇ rípadnˇ e na obou místech — efekt je ve všech pˇ rípadech stejný (pˇ ri uvedení pˇ rímo v komunikaˇ cním pravidle je však pravidlo „pr˚ uhlednˇ ejší“).
14.2 Výbˇ er a nastavení antivirových program˚ u K výbˇ eru antivirových program˚ u a nastavení jejich parametr˚ u slouží sekce Konfigurace → Filtrování obsahu → Antivirus, záložka Antivirový program. V této záložce m˚ užeme zvolit integrovaný modul Sophos, externí antivirový program nebo oba souˇ casnˇ e. Budou-li použity oba antiviry, pak bude každý pˇ renášený objekt (stahovaný soubor, pˇ ríloha e-mailové zprávy atd.) zkontrolován nejprve integrovaným modulem Sophos a poté zvoleným externím antivirem.
Integrovaný antivirus Sophos Chceme-li použít integrovaný antivirus Sophos, zapneme v horní ˇ cásti záložky Antivirový program volbu Použít Integrovaný antivirový modul Sophos. Tato volba je dostupná pouze v pˇ rípadˇ e, že licenˇ cní klíˇ c Kerio Control obsahuje licenci pro antivirový modul Sophos, nebo jedná-li se o zkušební verzi Kerio Control. Podrobné informace o licencích naleznete v kapitole 4. 193
Antivirová kontrola
Obrázek 14.2
Výbˇ er antivirového programu (integrovaný antivirový modul)
V dolní ˇ cásti záložky Antivirový program je nyní aktivní sekce Integrovaný antivirový modul, ve které lze nastavit aktualizaci modulu Sophos.
Obrázek 14.3
Nastavení aktualizace integrovaného antivirového modulu Sophos
Zkusit aktualizovat každých ... hodin Tato volba zapíná/vypíná automatickou kontrolu nových verzí virové databáze a antivirového programu v nastaveném intervalu. V tˇ echto intervalech Kerio Control ovˇ eˇ rí, zda je k dispozici nˇ ejaká aktualizace, a pokud ano, automaticky ji stáhne. Je-li pokus o aktualizaci neúspˇ ešný (napˇ r. z d˚ uvodu nedostupnosti serveru), zapíše se detailní informace do záznamu Error (viz kapitola 22.8). Pˇ ri každém pokusu o aktualizaci se vynuluje položka Od poslední kontroly nové verze uplynulo. Upozornˇ ení: Pro zajištˇ ení maximální úˇ cinnosti antivirové kontroly je nutné, aby mˇ el antivirový modul vždy k dispozici nejnovˇ ejší verzi virové databáze. Z tohoto d˚ uvodu doporuˇ cujeme nevypínat automatickou aktualizaci a nenastavovat pˇ ríliš velké intervaly pokus˚ u o aktualizaci (pokus o aktualizaci by mˇ el probˇ ehnout alespoˇ n dvakrát dennˇ e).
194
14.2 Výbˇ er a nastavení antivirových program˚ u
Aktuální virová databáze je stará Stᡠrí virové databáze, která je aktuálnˇ e používána. Poznámka: Vysoká hodnota v tomto poli m˚ uže indikovat, že se opakovanˇ e nezdaˇ rilo databázi aktualizovat. V takových pˇ rípadech doporuˇ cujeme zkusit provést aktualizaci ruˇ cnˇ e (tlaˇ cítkem Aktualizovat) a prohlédnout záznam Error. Od poslední kontroly nové verze uplynulo Doba, která uplynula od posledního pokusu o aktualizaci (bez ohledu na to, zda byl úspˇ ešný ˇ ci nikoliv). Verze virové databáze ˇ Císlo verze virové databáze, která se aktuálnˇ e používá. Verze antivirového modulu ˇ Císlo verze antivirového modulu Sophos, který Kerio Control používá. Aktualizovat Toto tlaˇ cítko slouží k okamžitému provedení aktualizace (tj. kontroly a pˇ rípadného stažení nových verzí) virové databáze a antivirového programu. Po stisknutí tlaˇ cítka Aktualizovat se zobrazí okno s pr˚ ubˇ ehem pokusu o aktualizaci. Toto okno m˚ užete tlaˇ cítkem OK kdykoliv zavˇ rít — není tˇ reba ˇ cekat na dokonˇ cení aktualizace. Probˇ ehne-li aktualizace úspˇ ešnˇ e, zobrazí se ˇ císlo nové verze virové databáze a/nebo antivirového programu a stᡠrí aktuální virové databáze. Je-li pokus o aktualizaci neúspˇ ešný (napˇ r. z d˚ uvodu nedostupnosti serveru), zobrazí se chybové hlášení a zapíše se detailní informace do záznamu Error. Pˇ ri každém pokusu o aktualizaci se vynuluje položka Od poslední kontroly nové verze uplynulo. Externí antivirový program Chceme-li použít nˇ ekterý z podporovaných externích antivir˚ u, zapneme volbu Použít externí antivirový program v horní ˇ cásti záložky Antivirový program a vybereme požadovaný antivirus. Nabídka obsahuje všechny antivirové programy, které Kerio Control podporuje pomocí speciálních modul˚ u (plugins). Upozornˇ ení: Externí antivirový program musí být nainstalován dˇ ríve, než bude v Kerio Control nastaven. Pˇ red instalací antivirového programu doporuˇ cujeme zastavit službu Kerio Control Engine. Tlaˇ cítko Volby otevírá dialog pro nastavení upˇ resˇ nujících parametr˚ u vybraného antivirového programu. Tyto parametry jsou závislé na konkrétním antiviru (pro nˇ ekteré antiviry nelze, resp. není tˇ reba nastavovat žádné parametry). Podrobné informace o instalaci a konfiguraci jednotlivých antivirových program˚ u naleznete na adrese http://www.kerio.cz/cz/firewall/third-party. Po stisknutí tlaˇ cítka Použít se provede test vybraného antiviru. Je-li test úspˇ ešný, bude tento antivirus nadále používán. Je-li test neúspˇ ešný, zobrazí se chybové hlášení a z˚ ustane nastaven 195
Antivirová kontrola
Obrázek 14.4
Výbˇ er antivirového programu (externí antivirus)
pˇ redchozí antivirus. Do záznamu Error (viz kapitola 22.8) se zapíší podrobné informace o zjištˇ ené chybˇ e.
Nastavení parametr˚ u antivirové kontroly V poli Protokoly záložky Antivirový program lze zvolit aplikaˇ cní protokoly, na které bude antivirová kontrola aplikována. Ve výchozím nastavení je antivirová kontrola zapnuta pro všechny podporované protokoly. V poli Nastavení lze urˇ cit maximální velikost soubor˚ u, které budou antivirem na firewallu kontrolovány. Kontrola velkých soubor˚ u je nároˇ cná na ˇ cas, procesor i diskový prostor serveru, což m˚ uže mít zásadní negativní vliv na ˇ cinnost firewallu. V nˇ ekterých pˇ rípadech m˚ uže také dojít k pˇ rerušení spojení, kterým je soubor pˇ renášen, z d˚ uvodu vypršení ˇ casového limitu. Optimální hodnota je závislá na konkrétních podmínkách (výkon serveru, intenzita sít’ového provozu, charakter pˇ renášených dat, typ použitého antiviru atd.). D˚ uraznˇ e doporuˇ cujeme nemˇ enit výchozí nastavení omezení velikosti souboru, v žádném pˇ rípadˇ e nenastavovat vyšší hodnotu než výchozí (4 MB).
Obrázek 14.5
Výbˇ er kontrolovaných aplikaˇ cních protokol˚ u a omezení velikosti souboru
196
14.3 Antivirová kontrola protokol˚ u HTTP a FTP
Parametry kontroly protokol˚ u HTTP a FTP lze nastavit v záložce Kontrola HTTP a FTP (viz kapitola 14.3), parametry kontroly SMTP a POP3 v záložce Kontrola e-mailu (viz kapitola 14.4). Upozornˇ ení:
1.
V pˇ rípadˇ e protokolu SMTP se standardnˇ e provádí pouze kontrola pˇ ríchozí komunikace (tj. komunikace z Internetu do lokální sítˇ e — pˇ ríchozí pošta na lokální SMTP server). Kontrola odchozí SMTP komunikace (z lokální sítˇ e do Internetu) by mohla zp˚ usobovat problémy pˇ ri doˇ casných chybách doruˇ cení — typicky pokud cílový SMTP server používá tzv. greylisting. Chceme-li kontrolovat rovnˇ ež odchozí komunikaci, je tˇ reba definovat odpovídající komunikaˇ cní pravidlo s použitím inspekˇ cního modulu protokolu SMTP. Toto m˚ uže být užiteˇ cné napˇ r. v pˇ rípadˇ e, kdy klienti v lokální síti odesílají poštu pˇ res SMTP server v Internetu. Kontrola odchozí SMTP komunikace není vhodná pro lokální SMTP server, který odesílá poštu do Internetu. Pˇ ríklad komunikaˇ cního pravidla pro kontrolu odchozí SMTP komunikace je uveden na obrázku 14.6.
Obrázek 14.6
2.
Pˇ ríklad komunikaˇ cního pravidla pro kontrolu odchozí SMTP komunikace
Pˇ ri vzájemné komunikaci dvou poštovních server˚ u Microsoft Exchange mohou být použita nestandardní rozšíˇ rení protokolu SMTP. E-mailové zprávy se v nˇ ekterých pˇ rípadech pˇ renášejí v binární podobˇ e. Kerio Control pak nem˚ uže provádˇ et antivirovou kontrolu jednotlivých pˇ ríloh. V tˇ echto pˇ rípadech doporuˇ cujeme použít antivirový program, který spolupracuje pˇ rímo s Microsoft Exchange, a v Kerio Control neprovádˇ et kontrolu SMTP komunikace pˇ ríslušného serveru. Toho lze docílit bud’ vypnutím antivirové kontroly protokolu SMTP nebo definicí odpovídajícího komunikaˇ cního pravidla bez použití inspekˇ cního modulu (viz kapitola 7.7).
14.3 Antivirová kontrola protokol˚ u HTTP a FTP V pˇ rípadˇ e protokol˚ u HTTP a FTP se provádí kontrola pˇ renášených objekt˚ u (soubor˚ u) zvolených typ˚ u. Pˇ renášený soubor je zároveˇ n ukládán do doˇ casného adresᡠre na lokálním disku firewallu. Poslední ˇ cást souboru (blok pˇ renášených dat) Kerio Control pozdrží ve své vyrovnávací pamˇ eti a provede antivirovou kontrolu souboru v doˇ casném adresᡠri. Je-li v souboru nalezen virus, pak Kerio Control poslední blok dat zahodí. Klient tak dostane soubor poškozený (neúplný) —
197
Antivirová kontrola
nebude jej moci spustit a virus aktivovat. Není-li nalezen žádný virus, pak Kerio Control pošle klientovi zbývající ˇ cást souboru a pˇ renos je úspˇ ešnˇ e dokonˇ cen. Uživateli, který soubor stahoval, m˚ uže být volitelnˇ e zaslána výstraha o nalezeném viru (viz volba Upozornit klienta). Upozornˇ ení:
1.
Antivirová kontrola dokáže pouze nalézt a blokovat infikované soubory, není možné je léˇ cit!
2.
V pravidlech pro filtrování protokol˚ u HTTP a FTP m˚ uže být antivirová kontrola vypnuta — pak se nekontrolují objekty a soubory vyhovující pˇ ríslušnému pravidlu. Podrobnosti naleznete v kapitolách 13.2 a 13.5.
3.
Pˇ ri použití nestandardních rozšíˇ rení WWW prohlížeˇ cu ˚ (od jiných výrobc˚ u — typicky download managery, akcelerátory apod.) není zaruˇ cena plná funkˇ cnost antivirové kontroly protokolu HTTP!
Parametry kontroly protokol˚ u HTTP a FTP lze nastavit v sekci Konfigurace → Filtrování obsahu → Antivirus, záložka Kontrola HTTP a FTP. V poli Je-li nalezen virus lze specifikovat akce, které budou provedeny pˇ ri detekci viru v pˇ renášeném souboru: • Pˇ resunout soubor do karantény — soubor bude uložen do speciálního adresᡠre na poˇ cítaˇ ci s Kerio Control. Správce firewallu se pak m˚ uže pokusit tento soubor léˇ cit antivirovým programem a v pˇ rípadˇ e úspˇ echu pak pˇ redat uživateli, který jej stahoval. Pro karanténu se používá podadresᡠr quarantine v adresᡠri aplikace Kerio Control (typicky C:\Program Files\Kerio\WinRoute Firewall\quarantine). Infikované (resp. podezˇ relé) soubory jsou do tohoto adresᡠre ukládány pod automaticky vytvoˇ renými jmény. Jméno každého souboru obsahuje protokol, datum, ˇ cas a ˇ císlo spojení, kterým byl soubor pˇ renášen.
198
14.3 Antivirová kontrola protokol˚ u HTTP a FTP
Obrázek 14.7
Nastavení antivirové kontroly protokol˚ u HTTP a FTP
Upozornˇ ení: Pˇ ri práci se soubory v adresᡠri quarantine je tˇ reba dbát zvýšené opatrnosti, aby nedošlo k aktivaci nˇ ekterého viru a infikaci poˇ cítaˇ ce s Kerio Control! • Upozornit klienta — Kerio Control pošle uživateli, který tento soubor stahoval, e-mailovou zprávu s výstrahou, že v tomto souboru byl detekován virus a stahování bylo pˇ rerušeno. Výstrahu Kerio Control vyšle pouze za tˇ echto podmínek: uživatel je pˇ rihlášen na firewall, v pˇ ríslušném uživatelském úˇ ctu je nastavena platná e-mailová adresa (viz kapitola 16.1) a je korektnˇ e nastaven SMTP server pro odesílání pošty (viz kapitola 18.3).
199
Antivirová kontrola
Poznámka: Nezávisle na volbˇ e Upozornit klienta lze pˇ ri detekci vir˚ u zasílat výstrahy na definované adresy (napˇ r. správc˚ um sítˇ e). Podrobnosti naleznete v kapitole 19.4. Pole Nem˚ uže-li být soubor zkontrolován umožˇ nuje nastavit akci pro pˇ rípady, kdy nelze provést antivirovou kontrolu pˇ renášeného souboru (napˇ r. komprimovaný soubor chránˇ ený heslem, poškozený soubor atd.): • Zakázat pˇ renos souboru — Kerio Control bude tyto soubory považovat za infikované a nepovolí jejich pˇ renos. Tip: Tuto volbu je vhodné kombinovat s volbou Pˇ resunout soubor do karantény — správce firewall pak m˚ uže napˇ r. ve spolupráci s pˇ ríslušným uživatelem soubor dekomprimovat a provést antivirovou kontrolu ruˇ cnˇ e. • Povolit pˇ renos souboru — Kerio Control bude pˇ redpokládat, že šifrované ˇ ci poškozené soubory neobsahují viry. Tato volba obecnˇ e není bezpeˇ cná, ale lze ji využít napˇ r. v pˇ rípadˇ e, kdy uživatelé pˇ renášejí velké množství šifrovaných soubor˚ u (archiv˚ u) a na pracovních stanicích je nainstalován antivirový program.
Pravidla pro antivirovou kontrolu HTTP a FTP Tato pravidla slouží k nastavení podmínek, za kterých má být antivirová kontrola provádˇ ena. Implicitnˇ e (tj. pokud není definováno žádné pravidlo) se kontrolují všechny objekty pˇ renášené protokoly HTTP a FTP. Kerio Control obsahuje nˇ ekolik pˇ reddefinovaných pravidel pro antivirovou kontrolu protokol˚ u HTTP a FTP. Ve výchozím nastavení se kontrolují všechny spustitelné soubory a soubory aplikací sady Microsoft Office. Správce firewallu m˚ uže toto nastavení upravit dle vlastního uvážení. Pravidla antivirové kontroly tvoˇ rí uspoˇ rádaný seznam, který je procházen shora dol˚ u. Tlaˇ cítky se šipkami na pravé stranˇ e okna lze upravit poˇ radí pravidel. Vyhodnocování se zastaví na prvním pravidle, kterému kontrolovaný objekt vyhoví. Tlaˇ cítko Pˇ ridat otevírá dialog pro definici nového pravidla. Popis Textový popis pravidla (pro snazší orientaci správce firewallu). Podmínka Podmínka pravidla: • HTTP/FTP jméno souboru
200
14.3 Antivirová kontrola protokol˚ u HTTP a FTP
Obrázek 14.8
Definice pravidla pro antivirovou kontrolu protokol˚ u HTTP a FTP
Volbou lze filtrovat jména soubor˚ u (nikoli celá URL) pˇ renášených protokolem FTP nebo HTTP (napˇ r. *.exe, *.zip atd.). Zadáme-li jako jméno souboru pouze hvˇ ezdiˇ cku, bude pravidlo platit pro všechny soubory pˇ renášené protokoly HTTP a FTP. Zbývající podmínky lze aplikovat pouze na protokol HTTP: • MIME typ objektu. MIME typ m˚ uže být zadán kompletnˇ e (napˇ r. image/jpeg) nebo s použitím hvˇ ezdiˇ ckové konvence (napˇ r. application/*). • URL objektu (napˇ r. www.kerio.com/img/logo.gif), podˇ retˇ ezec s použitím hvˇ ezdiˇ ckové konvence (napˇ r. nebo jméno serveru (napˇ r. *.exe) www.kerio.com). Jméno serveru má význam libovolného URL na tomto serveru (www.kerio.com/*). Zadáme-li jako MIME typ nebo URL pouze hvˇ ezdiˇ cku, bude pravidlo platit pro všechny HTTP objekty. Akce Volba, zda objekt má ˇ ci nemá být kontrolován antivirovým programem. Volba Nekontrolovat znamená, že pˇ renos objektu bude povolen bez antivirové kontroly. Nové pravidlo bude pˇ ridáno pod pravidlo, které bylo oznaˇ cené pˇ red stisknutím tlaˇ cítka Pˇ ridat. Šipkovými tlaˇ cítky na pravé stranˇ e okna pˇ resuˇ nte vytvoˇ rené pravidlo na požadované místo. Zaškrtávací pole vedle popisu pravidla slouží k jeho „vypnutí“ — pravidlo m˚ užete doˇ casnˇ e vyˇ radit bez nutnosti jej odstraˇ novat a poté znovu pˇ ridávat. Nevyhoví-li objekt žádnému pravidlu, pak je antivirovým programem automaticky zkontrolován. Mají-li být kontrolovány pouze vybrané typy objekt˚ u, musí být na konci seznamu uvedeno pravidlo zakazující antivirovou kontrolu pro libovolné URL ˇ ci libovolný MIME typ (pˇ reddefinované pravidlo Skip all other files).
201
Antivirová kontrola
14.4 Antivirová kontrola e-mailu Záložka Kontrola e-mailu umožˇ nuje nastavit parametry antivirové kontroly protokol˚ u SMTP a POP3. Je-li antivirová kontrola pro tyto protokoly (resp. nˇ ekterý z nich) zapnuta, pak se kontrolují všechny pˇ rílohy všech pˇ renášených zpráv. Jednotlivé pˇ rílohy pˇ renášené zprávy Kerio Control postupnˇ e ukládá do doˇ casného adresᡠre na lokálním disku. Po uložení celého souboru provede antivirovou kontrolu. Není-li nalezen virus, je pˇ ríloha vložena zpˇ et do zprávy. Pˇ ri nalezení viru je pˇ ríloha nahrazena textovou informací o nalezeném viru. Poznámka: Pˇ ri detekci vir˚ u lze rovnˇ ež zasílat výstrahy na definované adresy (napˇ r. správc˚ um sítˇ e). Podrobnosti naleznete v kapitole 19.4. Upozornˇ ení:
1.
Antivirová kontrola e-mailové komunikace dokáže pouze nalézt a blokovat infikované pˇ rílohy zpráv. Pˇ rílohy není možné léˇ cit!
2.
Pˇ ri antivirové kontrole e-mailu lze pouze odstraˇ novat infikované pˇ rílohy, není možné zahazovat celé zprávy. D˚ uvodem je, že firewall nepracuje se zprávami jako poštovní server, ale jen zasahuje do sít’ové komunikace, která pˇ res nˇ ej prochází. Odstranˇ ení celé zprávy by ve vˇ etšinˇ e pˇ rípad˚ u zp˚ usobilo chybu komunikace se serverem a klient by se pravdˇ epodobnˇ e pokusil odeslat, resp. stáhnout zprávu znovu. V d˚ usledku by jedna zavirovaná zpráva zablokovala odeslání, resp. pˇ ríjem všech ostatních (legitimních) zpráv.
3.
V pˇ rípadˇ e protokolu SMTP se standardnˇ e provádí pouze kontrola pˇ ríchozí komunikace (tj. komunikace z Internetu do lokální sítˇ e — pˇ ríchozí pošta na lokální SMTP server). Kontrola odchozí SMTP komunikace (tj. z lokální sítˇ e do Internetu) by mohla zp˚ usobovat problémy pˇ ri doˇ casných chybách doruˇ cení (typicky pokud cílový SMTP server používá tzv. greylisting). Chceme-li kontrolovat rovnˇ ež odchozí komunikaci (napˇ r. pokud se lokální klienti pˇ ripojují na SMTP server mimo lokální sít’), je tˇ reba definovat odpovídající komunikaˇ cní pravidlo s použitím inspekˇ cního modulu protokolu SMTP. Viz též kapitola 14.2.
Záložka Antivirová kontrola e-mailu umožˇ nuje nastavit akce pˇ ri nalezení viru a upˇ resˇ nující parametry. V poli Obsahuje-li zpráva pˇ rílohy odmítnuté antivirovou kontrolou lze nastavit akce pro zprávu, ve které byla nalezena alespoˇ n jedna infikovaná pˇ ríloha: • Pˇ resunout zprávu do karantény — zpráva bude uložena do speciálního adresᡠre na poˇ cítaˇ ci s Kerio Control. Správce firewallu se pak m˚ uže pokusit infikované pˇ rílohy léˇ cit antivirovým programem a v pˇ rípadˇ e úspˇ echu je pˇ redat p˚ uvodnímu adresátovi. 202
14.4 Antivirová kontrola e-mailu
Obrázek 14.9
Nastavení antivirové kontroly protokol˚ u SMTP a POP3
Pro karanténu se používá podadresᡠr quarantine v adresᡠri aplikace Kerio Control (typicky C:\Program Files\Kerio\WinRoute Firewall\quarantine). Zprávy s infikovanými (resp. podezˇ relými) pˇ rílohami jsou do tohoto adresᡠre ukládány pod automaticky vytvoˇ renými jmény. Jméno každého souboru obsahuje protokol, datum, ˇ cas a ˇ císlo spojení, kterým byla zpráva s infikovanou pˇ rílohou pˇ renášena. • Pˇ red pˇ redmˇ et zprávy pˇ ridat tento text — touto volbou lze specifikovat text, který bude pˇ ripojen pˇ red pˇ redmˇ et každé e-mailové zprávy, ve které byla nalezena alespoˇ n jedna infikovaná pˇ ríloha. Tento text slouží pro upozornˇ ení pˇ ríjemce zprávy a lze jej také použít k automatickému filtrování zpráv. Poznámka: Bez ohledu na nastavenou akci, pˇ ri detekci viru v pˇ ríloze zprávy je tato pˇ ríloha vždy ze zprávy odstranˇ ena a nahrazena varováním. V poli TLS spojení lze nastavit chování firewallu pro pˇ rípady, kdy poštovní klient i server podporují zabezpeˇ cení SMTP a POP3 komunikace protokolem TLS. Pˇ ri použití protokolu TLS se nejprve naváže nešifrované spojení a poté se klient se serverem dohodnou na pˇ repnutí do zabezpeˇ ceného režimu (šifrované spojení). Pokud klient nebo server protokol TLS nepodporuje, pak k pˇ repnutí do zabezpeˇ ceného režimu nedojde a komunikace probíhá nešifrovaným spojením.
203
Antivirová kontrola
Je-li spojení šifrováno, pak jej firewall nem˚ uže analyzovat a provádˇ et antivirovou kontrolu pˇ renášených zpráv. Správce firewallu proto m˚ uže nastavit jednu z následujících možností: • Povolit zabezpeˇ cení protokolem TLS. Tato volba je vhodná v pˇ rípadech, kdy je ochrana spojení proti odposlechu d˚ uležitˇ ejší než antivirová kontrola zpráv. Tip: V tomto pˇ rípadˇ e je doporuˇ ceno nainstalovat na jednotlivé poˇ cítaˇ ce uživatel˚ u (pracovní stanice) antivirový program, který bude provádˇ et antivirovou kontrolu pošty lokálnˇ e. • Zakázat zabezpeˇ cení TLS. Firewall bude blokovat pˇ repnutí spojení do zabezpeˇ ceného režimu. Klient se bude domnívat, že server protokol TLS nepodporuje, a zprávy budou pˇ renášeny nezabezpeˇ ceným spojením. Firewall pak bude moci provádˇ et antivirovou kontrolu všech pˇ renášených zpráv. Pole Nem˚ uže-li být pˇ ríloha zkontrolována obsahuje volby pro pˇ rípad, že ve zprávˇ e bude nalezena jedna nebo více pˇ ríloh, které nelze zkontrolovat antivirovým programem (napˇ r. archiv chránˇ ený heslem, poškozený soubor apod.): • Zakázat doruˇ cení této pˇ rílohy — Kerio Control se zachová stejnˇ e jako v pˇ rípadˇ e detekce viru (vˇ cetnˇ e výše popsaných akcí). • Povolit doruˇ cení této pˇ rílohy — Kerio Control bude pˇ redpokládat, že šifrované ˇ ci poškozené pˇ rílohy neobsahují viry. Tato volba obecnˇ e není bezpeˇ cná, ale lze ji využít napˇ r. v pˇ rípadˇ e, kdy uživatelé odesílají ˇ ci pˇ rijímají velké množství šifrovaných soubor˚ u (typicky archiv˚ u chránˇ ených heslem) a na pracovních stanicích je nainstalován antivirový program.
14.5 Kontrola soubor˚ u pˇ renášených Clientless SSL-VPN (Windows) Je-li Kerio Control nainstalován na systému Windows, pak se antivirová kontrola rovnˇ ež provádí pˇ ri pˇ renosu soubor˚ u mezi lokální sítí a vzdáleným klientem prostˇ rednictvím rozhraní Clientless SSL-VPN (viz kapitola 24). Záložka Kontrola SSL-VPN umožˇ nuje nastavit upˇ resˇ nující parametry pro kontrolu soubor˚ u pˇ renášených tímto rozhraním. Pˇ ri správˇ e Kerio Control Software Appliance / VMware Virtual Appliance není záložka Kontrola SSL-VPN k dispozici. Kontrola jednotlivých smˇ er˚ u pˇ renosu V horní ˇ cásti záložky Kontrola SSL-VPN lze nastavit, pro který smˇ er pˇ renosu se má antivirová kontrola provádˇ et. Ve výchozí konfiguraci se z d˚ uvodu rychlosti kontrolují pouze soubory ukládané ze vzdáleného klienta na poˇ cítaˇ c v lokální síti (lokální sít’ je považována za d˚ uvˇ eryhodnou).
204
14.5 Kontrola soubor˚ u pˇ renášených Clientless SSL-VPN (Windows)
Obrázek 14.10
Parametry antivirové kontroly soubor˚ u pˇ renášených rozhraním Clientless SSL-VPN
Akce pˇ ri selhání antivirové kontroly Tyto volby specifikují akci, která bude provedena, pokud nem˚ uže antivirový program urˇ citý soubor z nˇ ejakého d˚ uvodu zkontrolovat (typicky šifrovaný archiv nebo poškozený soubor). Ve výchozí konfiguraci je z bezpeˇ cnostních d˚ uvod˚ u pˇ renos takových soubor˚ u zakázán.
205
Kapitola 15
Definice
15.1 Skupiny IP adres Skupiny IP adres slouží k jednoduchému nastavení pˇ rístupu k urˇ citým službám (napˇ r. vzdálená správa Kerio Control, WWW server v lokální síti zpˇ rístupnˇ ený z Internetu atd.). Pˇ ri nastavování pˇ rístupu se použije jméno skupiny, a ta pak m˚ uže obsahovat libovolné kombinace jednotlivých poˇ cítaˇ cu ˚ (IP adres), rozsah˚ u IP adres, subsítí ˇ ci jiných skupin.
Vytvoˇ rení ˇ ci úprava skupiny IP adres Definice skupin IP adres se provádí v sekci Konfigurace → Definice → Skupiny IP adres.
Obrázek 15.1
Skupiny IP adres v Kerio Control
Tlaˇ cítkem Pˇ ridat lze pˇ ridat novou skupinu (nebo položku do existující skupiny), tlaˇ cítkem Zmˇ enit upravit a tlaˇ cítkem Odebrat smazat vybranou skupinu ˇ ci položku. Po stisknutí tlaˇ cítka Pˇ ridat se zobrazí dialog pro vytvoˇ rení nové skupiny IP adres. Jméno Název skupiny. Zadáním nového (dosud neexistujícího) názvu se vytvoˇ rí nová skupina, zadáním názvu již existující skupiny se pˇ ridá nová položka do této skupiny. Typ Druh pˇ ridávané položky: • Poˇ cítaˇ c (IP adresa nebo DNS jméno konkrétního poˇ cítaˇ ce), • Sít’ / maska (subsít’ s pˇ ríslušnou maskou), • Rozsah IP adres (interval zadaný poˇ cáteˇ cní a koncovou adresou vˇ cetnˇ e),
206
ˇ 15.2 Casové intervaly
Obrázek 15.2
Definice položky skupiny IP adres a/nebo nové skupiny
• Skupina adres (jiná skupina IP adres — skupiny adres lze do sebe vnoˇ rovat), • Firewall (speciální skupina zahrnující všechny IP adresy všech rozhraní firewallu, viz též kapitola 7.3). IP adresa, Maska... Parametry pˇ ridávané položky (v závislosti na zvoleném typu) Popis Textový popis (komentᡠr) ke skupinˇ e IP adres. Slouží pouze pro potˇ reby správce. Poznámka: Každá skupina IP adres musí obsahovat alespoˇ n jednu položku. Odebráním poslední položky skupina zanikne.
ˇ 15.2 Casové intervaly ˇ Casové intervaly jsou v Kerio Control úzce propojeny s komunikaˇ cními pravidly (viz kapitola 7). Správce firewallu má tak možnost nastavit ˇ casové období, kdy bude dané pravidlo platit. Ve skuteˇ cnosti se nejedná o jeden ˇ casový úsek, ale o skupinu tvoˇ renou libovolným poˇ ctem r˚ uzných interval˚ u a/nebo jednorázovˇ e naplánovaných akcí. Druhým využitím ˇ casových interval˚ u je nastavení parametr˚ u vytᡠcených linek — viz kapitola 5. ˇ ˇ Casové intervaly se definují v sekci Konfigurace → Definice → Casové intervaly.
207
Definice
Obrázek 15.3
ˇ Casové intervaly v Kerio Control
Typy ˇ casových interval˚ u Pˇ ri definici ˇ casového intervalu lze použít tˇ ri druhy ˇ casových úsek˚ u (subinterval˚ u): Absolutní Interval je pˇ resnˇ e ohraniˇ cen poˇ cáteˇ cním a koncovým datem, neopakuje se Týdenní Opakuje se každý týden (ve stanovených dnech) Denní Opakuje se každý den (ve stanovených hodinách)
Definice ˇ casových interval˚ u ˇ ˇ Casový interval lze vytvoˇ rit, upravit nebo smazat v sekci Konfigurace → Definice → Casové intervaly. Po stisknutí tlaˇ cítka Pˇ ridat se zobrazí dialog pro definici ˇ casového intervalu: Jméno Jednoznaˇ cný název (identifikace) ˇ casového intervalu. Zadáním nového (dosud neexistujícího) názvu se vytvoˇ rí nový ˇ casový interval, zadáním názvu již existujícího intervalu se pˇ ridá nová položka do tohoto intervalu. Popis Textový popis intervalu (slouží pouze pro úˇ cely správce) Typ intervalu Typ ˇ casového intervalu: Denní , Týdenní nebo Absolutní — zaˇ cínající a konˇ cící konkrétním datem
208
15.3 Služby
Obrázek 15.4
Definice položky ˇ casového intervalu a/nebo nového intervalu
Od, Do Zaˇ cátek a konec ˇ casového úseku. Zde je možné zadat poˇ cáteˇ cní a koncový ˇ cas, pˇ rípadnˇ e také den v týdnu nebo datum (v závislosti na zvoleném typu intervalu) Platnost Dny v týdnu, kdy je interval aktivní. Lze vybrat konkrétní dny (Vybrané dny), nebo použít nˇ ekterou pˇ rednastavenou volbu (Všechny dny, Pracovní dny — pondˇ elí až pátek, Víkend — sobota a nedˇ ele).
15.3 Služby v Kerio Control usnadˇ nují definici komunikaˇ cních pravidel (povolení ˇ ci zakázání pˇ rístupu z lokální sítˇ e do Internetu nebo naopak zpˇ rístupnˇ ení lokálního serveru z Internetu). Zjednodušenˇ e lze ˇ ríci, že služba je definována komunikaˇ cním protokolem a ˇ císlem portu, na kterém je pˇ rístupná (napˇ r. služba HTTP používá protokol TCP, port 80). K vybraným službám lze rovnˇ ež pˇ riˇ radit inspekˇ cní modul (detaily viz dále). Služby se definují v sekci Konfigurace → Definice → Služby. Ve výchozí instalaci Kerio Control je zde již pˇ reddefinována ˇ rada standardních služeb (napˇ r. HTTP, FTP, DNS atd.). Stisknutím tlaˇ cítka Pˇ ridat nebo Zmˇ enit se otevírá dialog pro definici služby.
209
Definice
Obrázek 15.5
Sít’ové služby v Kerio Control
Obrázek 15.6
Definice sít’ové služby
210
15.3 Služby
Jméno Identifikace služby v rámci Kerio Control. Z d˚ uvodu pˇ rehlednosti by jméno mˇ elo být struˇ cné a výstižné. Popis Textový popis definované služby. Doporuˇ cujeme popisovat d˚ uslednˇ e význam každé definice, zejména pokud se jedná o nestandardní služby — ušetˇ ríte si mnoho ˇ casu a námahy pˇ ri pozdˇ ejším odhalování chyb ˇ ci pˇ redávání Kerio Control jinému správci. Protokol Komunikaˇ cní protokol, který služba používá. Vˇ etšina standardních služeb používá protokol TCP nebo UDP, pˇ rípadnˇ e oba (lze definovat jako jednu službu pomocí volby TCP/UDP). Další volby jsou ICMP (internetové ˇ rídicí zprávy) a jiný. Volba jiný dovoluje specifikovat protokol jeho ˇ císlem v hlaviˇ cce IP paketu. Takto lze definovat libovolný protokol nesený v IP (napˇ r. GRE — ˇ císlo protokolu 47).
Obrázek 15.7 Nastavení protokolu v definici služby
Inspekˇ cní modul Inspekˇ cní modul Kerio Control (viz dále), který bude použit pro tuto službu. Upozornˇ ení: Každý modul by mˇ el být používán pouze pro službu, pro kterou je urˇ cen. Použití nesprávného modulu pravdˇ epodobnˇ e zp˚ usobí nefunkˇ cnost dané služby. Zdrojový a cílový port Je-li použit komunikaˇ cní protokol TCP a/nebo UDP, pak je daná služba urˇ cena ˇ císlem cílového portu. Pˇ redpokládáme-li standardní model klient-server, server ˇ ceká na spojení na známém portu (ˇ císlo odpovídá dané službˇ e), zatímco klient sv˚ uj port pˇ redem nezná (bude mu pˇ ridˇ elen operaˇ cním systémem pˇ ri navazování spojení). Z toho vyplývá, že u standardních služeb je zpravidla znám cílový port, zatímco zdrojový m˚ uže být (témˇ eˇ r) libovolný. Poznámka: Specifikace zdrojového portu m˚ uže mít význam napˇ r. pˇ ri definici pravidla pro filtrování urˇ citého typu komunikace. Podrobnosti najdete v kapitole 7.3. Zdrojový a cílový port lze specifikovat jako: • • • •
Libovolný — všechny porty (1-65535) Rovná se — konkrétní port (napˇ r. 80) Vˇ etší než, Menší než — všechny porty s ˇ císlem vˇ etším, resp. menším než je zadáno R˚ uzný od — všechny porty kromˇ e uvedeného 211
Definice
Obrázek 15.8
Nastavení zdrojového a cílového portu v definici služby
• V rozsahu — porty v zadaném rozsahu (vˇ cetnˇ e poˇ cáteˇ cního a koncového) • Seznam — seznam port˚ u oddˇ elených ˇ cárkami (napˇ r.: 80,8000,8080)
Inspekˇ cní moduly Kerio Control obsahuje speciální moduly, které sledují komunikaci daným aplikaˇ cním protokolem (napˇ r. HTTP, FTP apod.). Tuto komunikaci pak mohou urˇ citým zp˚ usobem ˇ modifikovat (filtrovat) nebo pˇ rizp˚ usobit chování firewallu danému protokolu. Cinnost inspekˇ cních modul˚ u bude objasnˇ ena na dvou jednoduchých pˇ ríkladech: 1.
Inspekˇ cní modul protokolu HTTP sleduje komunikaci klient˚ u (prohlížeˇ cu ˚) s WWW servery ˇ a m˚ uže blokovat pˇ rístup na urˇ cité stránky ci stahování nˇ ekterých typ˚ u objekt˚ u (napˇ r. obrázky, reklamy ˇ ci zvukové soubory).
2.
Pˇ ri použití FTP v aktivním režimu otevírá datové spojení server zpˇ et na klienta. Za normálních okolností není možné pˇ res firewall (resp. firewall s pˇ rekladem adres) takovéto spojení navázat a FTP je možné používat pouze v pasivním režimu. Inspekˇ cní modul FTP však rozpozná, že se jedná o FTP v aktivním režimu a zajistí otevˇ rení pˇ ríslušného portu a pˇ resmˇ erování spojení na odpovídajícího klienta v lokální síti. Uživatel v lokální síti pak není firewallem omezován a m˚ uže používat FTP v obou režimech.
Inspekˇ cní modul se aktivuje, pokud je uveden v definici služby a pˇ ríslušná komunikace je povolena. Každý inspekˇ cní modul obsluhuje protokol, pro který je urˇ cen, a službu, v jejíž definici je použit. Ve výchozí konfiguraci Kerio Control jsou všechny dostupné inspekˇ cní moduly použity v definici pˇ ríslušných služeb (a budou tedy automaticky aplikovány na odpovídající komunikaci), s výjimkou inspekˇ cních modul˚ u protokol˚ u pro hlasové služby SIP a H.323 (SIP a H.323 jsou komplexní protokoly a inspekˇ cní moduly nemusí v nˇ ekterých konfiguracích fungovat správnˇ e). Chceme-li explicitnˇ e aplikovat inspekˇ cní modul na jinou komunikaci, musíme bud’ definovat novou službu s použitím tohoto modulu nebo nastavit inspekˇ cní modul pˇ rímo v pˇ ríslušném komunikaˇ cním pravidle.
212
15.4 Skupiny URL
Pˇ ríklad: Chceme provádˇ et inspekci protokolu HTTP na nestandardním portu 8080. Definujeme novou službu: protokol TCP, port 8080, inspekˇ cní modul HTTP. Tím je zajištˇ eno, že na komunikaci protokolem TCP na portu 8080 procházející pˇ res Kerio Control bude automaticky aplikován inspekˇ cní modul protokolu HTTP. Poznámka: 1. Inspekˇ cní moduly obecnˇ e nelze použít pro zabezpeˇ cenou komunikaci (SSL/TLS). V tomto pˇ rípadˇ e Kerio Control „vidí“ pouze binární data — komunikaci nelze dešifrovat. 2. V nˇ ekterých pˇ rípadech nemusí být aplikace inspekˇ cního modulu na urˇ citou komunikaci žádoucí. Nastane-li tato situace, je možné pˇ ríslušný inspekˇ cní modul „vyˇ radit“. Podrobnosti naleznete v kapitole 7.7.
15.4 Skupiny URL Skupiny URL slouží ke snadné a pˇ rehledné definici pravidel pro HTTP (viz kapitola 13.2). Chcete-li napˇ r. uživateli (ˇ ci skupinˇ e uživatel˚ u) zakázat pˇ rístup k urˇ cité skupinˇ e WWW stránek, není nutné vytvᡠret pro každou stránku pravidlo, staˇ cí definovat skupinu URL a poté vytvoˇ rit jedno pravidlo pro tuto skupinu. Pravidlo pro skupinu URL je zpracováno podstatnˇ e rychleji, než velké množství pravidel pro jednotlivá URL. Skupiny URL je rovnˇ ež možné do sebe vnoˇ rovat. Skupiny URL se definují v sekci Konfigurace → Definice → Skupiny URL. Výchozí instalace Kerio Control obsahuje tyto pˇ reddefinované skupiny URL: • Ads/Banners — typická URL stránek zobrazujících reklamy, reklamních pruh˚ u na stránkách apod. • Search engines — nejpoužívanˇ ejší internetové vyhledávaˇ ce. • Windows Updates — URL stránek, ze kterých se stahují automatické aktualizace systému Windows. Tyto skupiny URL jsou použity v pˇ reddefinovaných pravidlech pro URL (viz kapitola 13.2). Správce firewallu samozˇ rejmˇ e m˚ uže pˇ reddefinované skupiny použít ve vlastních pravidlech, pˇ rípadnˇ e je upravit dle svého uvážení. Zaškrtávací pole vedle každé položky skupiny slouží k její aktivaci a deaktivaci. Takto lze položku doˇ casnˇ e vyˇ radit ze skupiny bez nutnosti ji odebírat a poté znovu pˇ ridávat. Po stisknutí tlaˇ cítka Pˇ ridat se zobrazí dialog, v nˇ emž lze vytvoˇ rit novou skupinu nebo pˇ ridat položku do již existující skupiny.
213
Definice
Obrázek 15.9
Skupiny URL
Obrázek 15.10 Definice položky skupiny URL a/nebo nové skupiny
Jméno Jméno skupiny, do které má být pˇ ridána nová položka. V poli Jméno je možné: • vybrat nˇ ekterou z existujících skupin, • zadat jméno nové (dosud neexistující) skupiny — tím dojde k vytvoˇ rení nové skupiny, do které bude nová položka zaˇ razena.
214
15.4 Skupiny URL
Typ Typ pˇ ridávané položky — URL nebo skupina URL (skupiny lze do sebe vnoˇ rovat). URL / Skupina URL URL nebo skupina URL, která má být do skupiny pˇ ridána (v závislosti na zvoleném typu položky). URL m˚ uže být specifikováno následovnˇ e: • kompletní adresa serveru, dokumentu nebo stránky bez specifikace protokolu (http://) • podˇ retˇ ezec se speciálními znaky * a ?. Hvˇ ezdiˇ cka nahrazuje libovolný poˇ cet znak˚ u, otazník právˇ e jeden znak. Pˇ ríklady: • www.kerio.cz/index.html — konkrétní stránka • www.* — všechna URL zaˇ cínající www. • www.kerio.com — všechna URL na serveru www.kerio.com (tento zápis je ekvivalentní výrazu www.kerio.com/*) • *sex* — všechna URL obsahující ˇ retˇ ezec sex • *sex??.cz* — všechna URL obsahující ˇ retˇ ezce typu sexxx.cz, sex99.cz atd. Popis Textový popis významu pˇ ridávané položky skupiny (pro snazší orientaci).
215
Kapitola 16
Uživatelské úˇ cty a skupiny
Uživatelské úˇ cty v Kerio Control slouží pro lepší ˇ rízení pˇ rístupu uživatel˚ u z lokální sítˇ e ke službám v Internetu. Uživatelský úˇ cet m˚ uže být použit také pro pˇ rístup ke správˇ e Kerio Control pomocí programu Administration Console nebo WWW rozhraní Administration. Kerio Control podporuje nˇ ekolik r˚ uzných zp˚ usob˚ u uložení uživatelských úˇ ct˚ u a skupin v kombinaci s r˚ uznými zp˚ usoby ovˇ eˇ rování uživatel˚ u: Interní databáze uživatel˚ u Uživatelské úˇ cty a skupiny uživatel˚ u jsou uloženy pˇ rímo v Kerio Control, a to vˇ cetnˇ e hesla. Pˇ ri ovˇ eˇ rování uživatele se zadané uživatelské jméno zkontroluje s údaji v interní databázi. Tento zp˚ usob uložení úˇ ct˚ u a ovˇ eˇ rování uživatel˚ u je vhodný pˇ redevším pro sítˇ e bez domény a pro speciální administrátorské úˇ cty (i pˇ ri výpadku sítˇ e se lze pˇ rihlásit a ovˇ eˇ rit lokálnˇ e). V sítích s doménou (Windows NT nebo Active Directory) však pˇ redstavují lokální úˇ cty v Kerio Control znaˇ cné zvýšení administrativních nárok˚ u — úˇ cty a hesla je nutné udržovat na dvou místech (doménový server a Kerio Control). Interní databáze uživatel˚ u s ovˇ eˇ rováním v doménˇ e Uživatelské úˇ cty jsou uloženy v Kerio Control, ale uživatelé se ovˇ eˇ rují v doménˇ e Windows NT nebo Active Directory (tzn. v uživatelském úˇ ctu v Kerio Control není uloženo heslo). Uživatelské jméno v Kerio Control a v doménˇ e musí být totožné. Z hlediska administrativy je tento zp˚ usob uložení úˇ ct˚ u a ovˇ eˇ rování uživatel˚ u podstatnˇ e ménˇ e nároˇ cný — pokud si napˇ r. uživatel chce zmˇ enit heslo, staˇ cí jej zmˇ enit v doménˇ e a tato zmˇ ena se automaticky promítne také do úˇ ctu v Kerio Control. Uživatelské úˇ cty v Kerio Control navíc není nutné vytvᡠret ruˇ cnˇ e, lze je importovat z pˇ ríslušné domény. Automatický import úˇ ct˚ u z Active Directory Pˇ ri použití Active Directory (Windows 2000 Server nebo Windows Server 2003/2008) lze nastavit tzv. automatický import uživatelských úˇ ct˚ u. V Kerio Control není tˇ reba definovat ani importovat žádné uživatelské úˇ cty, staˇ cí vytvoˇ rit šablonu, podle které budou uživateli nastaveny specifické parametry pro Kerio Control (napˇ r. pˇ rístupová práva, pravidla pro obsah WWW stránek, kvóty objemu pˇ renesených dat apod.). Uživatelský úˇ cet bude do Kerio Control automaticky importován po prvním úspˇ ešném pˇ rihlášení uživatele. Parametry nastavené šablonou lze v pˇ rípadˇ e potˇ reby u konkrétních úˇ ct˚ u zmˇ enit. Poznámka: Tento zp˚ usob spolupráce s Active Directory je urˇ cen zejména pro zachování zpˇ etné kompatibility se staršími verzemi Kerio Control. V pˇ rípadˇ e „ˇ cisté“ instalace Kerio Control doporuˇ cujeme použít transparentní spolupráci s Active Directory (tzv. mapování domén). 216
16.1 Zobrazení a definice uživatelských úˇ ct˚ u
Transparentní spolupráce s Active Directory (mapování domény) Kerio Control m˚ uže používat pˇ rímo úˇ cty a skupiny uložené v Active Directory — neprovádí se žádný import do lokální databáze. Specifické parametry pro Kerio Control jsou dodány šablonou úˇ ctu, pˇ rípadnˇ e je lze nastavit individuálnˇ e (stejnˇ e jako v pˇ redchozím pˇ rípadˇ e). Tento zp˚ usob je administrativnˇ e nejménˇ e nároˇ cný (veškerá správa uživatelských úˇ ct˚ u a skupin probíhá pouze v Active Directory) a jako jediný umožˇ nuje použití úˇ ct˚ u z více r˚ uzných Active Directory domén. Poznámka: V pˇ rípadˇ e ovˇ eˇ rování uživatel˚ u v doménˇ e (tj. všechny popsané zp˚ usoby s výjimkou prvního) je doporuˇ ceno vytvoˇ rit v Kerio Control alespoˇ n jeden lokální úˇ cet s pˇ rístupem ke správˇ e pro ˇ ctení i zápis ovˇ eˇ rovaný v interní databázi uživatel˚ u (resp. ponechat originální úˇ cet Admin). Tento úˇ cet umožní pˇ ripojení ke správˇ e Kerio Control i pˇ ri výpadku sítˇ e nebo doménového serveru.
16.1 Zobrazení a definice uživatelských úˇ ct˚ u K definici lokálních uživatelských úˇ ct˚ u, importu úˇ ct˚ u do lokální databáze a nastavení parametr˚ u úˇ ct˚ u mapovaných z domény slouží sekce Uživatelé a skupiny → Uživatelé, záložka Uživatelské úˇ cty.
Obrázek 16.1
Uživatelské úˇ cty v Kerio Control
Doména Volba Doména umožˇ nuje vybrat doménu, pro kterou budeme definovat uživatelské úˇ cty a další parametry. V této položce lze zvolit nˇ ekterou z mapovaných Active Directory domén (viz kapitola 16.4) nebo lokální (interní) databázi uživatel˚ u. Vyhledávání Funkce Hledat umožˇ nuje zadat filtr pro zobrazení uživatelských úˇ ct˚ u. Vyhledávání je interaktivní — s každým zadaným (resp. smazaným) znakem se zobrazí všechny úˇ cty obsahující zadaný ˇ retˇ ezec znak˚ u v položce Jméno, Celé jméno nebo Popis. Kliknutím na ikonu vedle pole pro zadání hledaného ˇ retˇ ezce se filtr zruší a zobrazí se 217
Uživatelské úˇ cty a skupiny
všechny uživatelské úˇ cty ve vybrané doménˇ e (pokud je pole Hledat prázdné, ikona pro zrušení filtru je skryta). Vyhledávání je užiteˇ cné zejména pˇ ri velkém poˇ ctu uživatel˚ u, kdy by nalezení požadovaného úˇ ctu klasickou cestou bylo znaˇ cnˇ e zdlouhavé. Zobrazení / skrytí zakázaných úˇ ct˚ u Nˇ ekteré uživatelské úˇ cty mohou být v Kerio Control zakázány (zablokovány). Volba Skrýt zakázané uživatelské úˇ cty umožˇ nuje zobrazit pouze aktivní (povolené) úˇ cty, což zpˇ rehledˇ nuje seznam úˇ ct˚ u. Šablona úˇ ctu Parametry, které jsou pro všechny úˇ cty (resp. vˇ etšinu úˇ ct˚ u) shodné, lze definovat hromadnˇ e tzv. šablonou. Použití šablony výraznˇ e zjednodušuje správu uživatelských úˇ ct˚ u — spoleˇ cné parametry staˇ cí nastavit pouze jednou v definici šablony. U vybraných úˇ ct˚ u (napˇ r. administrátorských) je možné nastavit všechny parametry individuálnˇ e bez použití šablony. Šablona úˇ ctu je specifická pro vybranou doménu (resp. lokální databázi uživatel˚ u). Šablona obsahuje nastavení uživatelských práv, kvót objemu pˇ renesených dat a pravidel pro komponenty WWW stránek (podrobný popis jednotlivých parametr˚ u viz kapitola 16.2).
Lokální uživatelské úˇ cty Volbou Lokální databáze uživatel˚ u v položce Doména se zobrazí lokální uživatelské úˇ cty v Kerio Control (všechny informace o tˇ echto úˇ ctech jsou uloženy v konfiguraˇ cní databázi Kerio Control). Pro úˇ cty v lokání databázi jsou k dispozici následující volby: Pˇ ridání, zmˇ ena a odebrání úˇ ctu Pomocí tlaˇ cítek Pˇ ridat, Zmˇ enit a Odebrat lze vytvᡠret, upravovat a rušit lokální uživatelské úˇ cty dle potˇ reby (podrobnosti viz kapitola 16.2). Po oznaˇ cení dvou nebo více úˇ ct˚ u (s pomocí kláves Ctrl a Shift) lze provést tzv. hromadnou zmˇ enu úˇ ct˚ u, tj. nastavení urˇ citých parametr˚ u všem oznaˇ ceným úˇ ct˚ um. Import úˇ ct˚ u z domény Do lokální databáze uživatel˚ u lze importovat úˇ cty z domény Windows NT nebo Active Directory. Jedná se de facto o automatické vytvoˇ rení lokálních úˇ ct˚ u odpovídajících vybraným doménovým úˇ ct˚ um s ovˇ eˇ rováním v pˇ ríslušné doménˇ e. Podrobné informace o importu uživatelských úˇ ct˚ u naleznete v kapitole 16.3. Import úˇ ct˚ u je vhodné použít v pˇ rípadˇ e domény Windows NT. Pˇ ri použití Active Directory domény je výhodnˇ ejší využít transparentní spolupráci s Active Directory (mapování domény — viz kapitola 16.4).
218
16.2 Lokální uživatelské úˇ cty
Mapované úˇ cty z Active Directory domény Výbˇ erem nˇ ekteré z mapovaných Active Directory domén v položce Doména se zobrazí seznam uživatelských úˇ ct˚ u v této doménˇ e. Zmˇ ena úˇ ctu U mapovaných úˇ ct˚ u lze nastavit parametry specifické pro Kerio Control (podrobnosti viz cní databáze Kerio Control. kapitola 16.2). Tato nastavení budou uložena do konfiguraˇ Údaje uložené v Active Directory (uživatelské jméno, celé jméno, e-mailovou adresu) a zp˚ usob ovˇ eˇ rování uživatele nelze zmˇ enit. Poznámka: Po oznaˇ cení dvou nebo více úˇ ct˚ u (s pomocí kláves Ctrl a Shift) lze provést tzv. hromadnou zmˇ enu úˇ ct˚ u, tj. nastavení urˇ citých parametr˚ u všem oznaˇ ceným úˇ ct˚ um. V mapovaných Active Directory doménách nelze vytvᡠret ani rušit uživatelské úˇ cty. Tyto akce musí být provádˇ eny pˇ rímo v databázi Active Directory na pˇ ríslušném doménovém serveru. Rovnˇ ež není možný import uživatelských úˇ ct˚ u — taková akce nemá v pˇ rípadˇ e mapované domény smysl.
16.2 Lokální uživatelské úˇ cty Lokální úˇ cty jsou úˇ cty vytvoˇ rené v Kerio Control nebo importované z domény. Tyto úˇ cty jsou cty lze využít zejména uloženy v konfiguraˇ cní databázi Kerio Control (viz kapitola 25.2). Tyto úˇ v prostˇ redích bez domény a pro speciální úˇ cely (typicky pro správu firewallu). Nezávisle na tom, jak byl konkrétní úˇ cet vytvoˇ ren, m˚ uže být každý uživatel ovˇ eˇ rován v interní databázi Kerio Control, v Active Directory nebo v doménˇ e Windows NT. Základní administrátorský úˇ cet Admin se vytvᡠrí pˇ rímo bˇ ehem instalace Kerio Control. Tento úˇ cet má plná práva ke správˇ e. Upozornˇ ení:
1.
Hesla ke všem uživatelským úˇ ct˚ um by mˇ ela být d˚ uslednˇ e uchovávána v tajnosti, aby nemohlo dojít k jejich zneužití neoprávnˇ enou osobou.
2.
Odstraníte-li poslední úˇ cet s plnými právy ke správˇ e a odhlásíte se ze správy Kerio Control, nebude již možné se ke správˇ e znovu pˇ rihlásit. V takovém pˇ rípadˇ e bude pˇ ri dalším startu Kerio Control Engine automaticky vytvoˇ ren lokální uživatelský úˇ cet Admin s prázdný heslem.
3.
V pˇ rípadˇ e zapomenutí administrátorského hesla kontaktujte technickou podporu firmy Kerio Technologies (viz kapitola 26).
219
Uživatelské úˇ cty a skupiny
Vytvoˇ rení lokálního uživatelského úˇ ctu Pˇ repneme se do sekce Uživatelé a skupiny → Uživatelé, záložka Uživatelské úˇ cty. V položce Doména zvolíme Lokální databáze uživatel˚ u.
Obrázek 16.2
Lokální uživatelské úˇ cty v Kerio Control
Stisknutím tlaˇ cítka Pˇ ridat se zobrazí pr˚ uvodce vytvoˇ rením nového uživatelského úˇ ctu. Krok 1 — základní údaje
Obrázek 16.3
Vytvoˇ rení uživatelského úˇ ctu — základní parametry
220
16.2 Lokální uživatelské úˇ cty
Jméno Pˇ rihlašovací jméno uživatele. Upozornˇ ení: V uživatelském jménˇ e se nerozlišují malá a velká písmena. Nedoporuˇ cuje se používat v uživatelském jménˇ eˇ ceské znaky (tj. písmena s diakritikou) — mohlo by dojít k problém˚ um s pˇ rihlašováním do webových rozhraní firewallu. Celé jméno Plné jméno (typicky jméno a pˇ ríjmení daného uživatele). Popis Textový popis uživatele (napˇ r. funkce). Položky Celé jméno a Popis mají pouze informativní charakter. Mohou obsahovat libovolné informace nebo nemusejí být vyplnˇ eny v˚ ubec. E-mailová adresa E-mailová adresa uživatele pro zasílání výstrah (viz kapitola 19.4) a dalších zpráv (napˇ r. varování o pˇ rekroˇ cení limitu objemu pˇ renesených dat). Pro efektivní využití všech funkcí Kerio Control je tˇ reba každému uživateli nastavit platnou e-mailovou adresu. Poznámka: Pro zasílání e-mailových zpráv uživatel˚ um musí být v Kerio Control nastaven server odchozí pošty. Podrobnosti naleznete v kapitole 18.3. Ovˇ eˇ rování Zp˚ usob ovˇ eˇ rování uživatele (viz dále). Úˇ cet je zablokován Doˇ casné zrušení („vypnutí“) úˇ ctu bez nutnosti jej odstraˇ novat. Poznámka: V pr˚ uvodci pro vytvoˇ rení nového úˇ ctu lze tuto volbu využít napˇ r. pro vytvoˇ rení úˇ ctu uživateli, který jej nebude používat ihned (nový zamˇ estnanec, který dosud nenastoupil na své místo apod.). Šablona domény Volba zp˚ usobu, jakým budou nastaveny parametry tohoto uživatelského úˇ ctu (pˇ rístupová práva, kvóty objemu pˇ renesených dat a pravidla pro obsah WWW stránek). Tyto parametry mohou být definovány šablonou pˇ ríslušné domény (viz kapitola 16.1) nebo nastaveny individuálnˇ e pro konkrétní úˇ cet. Šablonu je vhodné použít pro „standardní“ úˇ cty v dané doménˇ e (napˇ r. úˇ cty bˇ ežných uživatel˚ u). Definice úˇ ct˚ u se tím výraznˇ e zjednoduší — pr˚ uvodce vytvoˇ rením úˇ ctu bude zkrácen o 3 kroky. Individuální nastavení je vhodné zejména pro úˇ cty se speciálními právy (napˇ r. úˇ cty pro správu Kerio Control). Tˇ echto úˇ ct˚ u bývá zpravidla malý poˇ cet, a proto jejich vytvoˇ rení a individuální nastavení parametr˚ u není pˇ ríliš nároˇ cné. Možné zp˚ usoby ovˇ eˇ rování: Interní databáze uživatel˚ u Uživatel je ovˇ eˇ rován pouze v rámci Kerio Control. V tomto pˇ rípadˇ e je potˇ reba zadat heslo 221
Uživatelské úˇ cty a skupiny
do položek Heslo a Potvrzení hesla (své heslo pak m˚ uže uživatel sám zmˇ enit pomocí WWW rozhraní — viz manuál Kerio Control — Pˇ ríruˇ cka uživatele). Upozornˇ ení: 1.
2.
Heslo smí obsahovat pouze tisknutelné znaky (písmena, ˇ císlice, interpunkˇ cní znaménka). V hesle se rozlišují malá a velká písmena. Nedoporuˇ cuje se používat v hesle ˇ ceské znaky (tj. písmena s diakritikou) — mohlo by dojít k problém˚ um s pˇ rihlašováním do WWW rozhraní. Pˇ ri tomto zp˚ usobu ovˇ eˇ rování uživatel˚ u nelze použít automatické ovˇ eˇ rování uživatel˚ u metodou NTLM (viz kapitola 25.3). Tyto úˇ cty rovnˇ ež nelze použít pro pˇ rístup do rozhraní Clientless SSL-VPN (viz kapitola 24).
NT doména / Kerberos 5 Uživatel bude ovˇ eˇ rován v doménˇ e Windows NT (Windows NT 4.0) nebo v Active Directory (Windows 2000/2003/2008). Parametry pro ovˇ eˇ rování uživatel˚ u v doménˇ e Windows NT a/nebo Active Directory je tˇ reba nastavit v záložce Active Directory / NT doména sekce Uživatelé. Je-li nastaveno ovˇ eˇ rování v Active Directory i v doménˇ e Windows NT, pak má Active Directory pˇ rednost. Poznámka: Nebude-li povoleno ovˇ eˇ rování ani v Active Directory ani v NT doménˇ e, pak budou uživatelské úˇ cty s tímto typem ovˇ eˇ rování neaktivní. Podrobnosti viz kapitola 16.3.
Krok 2 — skupiny
Obrázek 16.4
Vytvoˇ rení uživatelského úˇ ctu — skupiny
V tomto dialogu lze (tlaˇ cítky Pˇ ridat a Odebrat) pˇ ridat nebo odebrat skupiny, do kterých má být uživatel zaˇ razen (skupiny se definují v sekci Uživatelé a skupiny → Skupiny — viz kapitola 16.5). Pˇ ri definici skupin lze stejným zp˚ usobem do skupin pˇ ridávat uživatele — nezáleží na tom, zda budou nejprve vytvoˇ reny skupiny nebo uživatelské úˇ cty.
222
16.2 Lokální uživatelské úˇ cty
Tip: Pˇ ri pˇ ridávání skupin lze oznaˇ cit více skupin najednou pˇ ridržením klávesy Ctrl nebo Shift.
Krok 3 — pˇ rístupová práva
Obrázek 16.5
Vytvoˇ rení uživatelského úˇ ctu — uživatelská práva
Každý uživatel musí mít nastavenu jednu ze tˇ rí úrovní pˇ rístupových práv. Nemá pˇ rístup ke správˇ e Uživatel nemá práva pro pˇ rihlášení ke správˇ e Kerio Control. Toto nastavení je typické pro vˇ etšinu uživatel˚ u — konfiguraˇ cní úkony by mˇ el provádˇ et pouze jeden nebo nˇ ekolik správc˚ u. Pˇ rístup pouze pro ˇ ctení Uživatel se m˚ uže pˇ rihlásit ke správˇ e Kerio Control, m˚ uže však pouze prohlížet nastavení a záznamy, nemá právo provádˇ et žádné zmˇ eny. Pˇ rístup pro ˇ ctení i zápis Uživatel má plná práva ke správˇ e, je ekvivalentní uživateli Admin. Existuje-li alespoˇ n jeden uživatel s tˇ emito právy, m˚ uže být úˇ cet Admin odstranˇ en.
223
Uživatelské úˇ cty a skupiny
Doplˇ nková práva: Uživatel má právo pˇ rejít pravidla... Toto právo ovlivˇ nuje zp˚ usob použití voleb pro filtrování objekt˚ u na WWW stránkách (podrobnosti viz Krok 5): • Pokud pro danou stránku existuje pravidlo pro URL (viz kapitola 13.2) a uživatel nemá toto právo, pak bude použito nastavení z pˇ ríslušného pravidla pro URL a nastavení v uživatelském úˇ ctu bude ignorováno. • Pokud pro danou stránku existuje pravidlo pro URL a uživatel má toto právo, pak bude použito nastavení z uživatelského úˇ ctu a nastavení v pˇ ríslušném pravidle pro URL bude ignorováno. • Pokud pro danou stránku neexistuje pravidlo pro URL, pak bude použito nastavení z uživatelského úˇ ctu a na tomto právu nezáleží. Uživatel m˚ uže „odemykat“ pravidla pro URL Toto právo uživateli povoluje jednorázovˇ e obejít zákaz pˇ rístupu na blokované WWW stránky — na stránce s informací o zákazu se tomuto uživateli zobrazí tlaˇ cítko Odemknout. Odemknutí musí být zároveˇ n povoleno v pˇ ríslušném pravidle pro URL (podrobnosti viz kapitola 13.2). Uživatel m˚ uže vytᡠcet pˇ ripojení RAS Pokud je pˇ ripojení k Internetu realizováno vytᡠcenými linkami, uživatel bude moci tyto linky vytᡠcet a zavˇ ešovat prostˇ rednictvím WWW rozhraní firewallu (viz kapitola 12). Uživatel se m˚ uže pˇ ripojovat k VPN serveru Uživatel má právo pˇ ripojit se k VPN serveru v Kerio Control (aplikací Kerio VPN Client). Podrobné informace naleznete v kapitole 23. Uživatel m˚ uže používat rozhraní Clientless SSL-VPN Tento uživatel bude moci pˇ ristupovat ke sdíleným soubor˚ u a složkám v lokální síti prostˇ rednictvím webového rozhraní Clientless SSL-VPN. Rozhraní Clientless SSL-VPN a pˇ ríslušné uživatelské právo je k dispozici pouze v Kerio Control pro systém Windows. Podrobnosti viz kapitola 24. Uživatel m˚ uže používat P2P sítˇ e Na tohoto uživatele nebude aplikováno blokování komunikace pˇ ri detekci P2P (Peer-toPeer) sítí. Podrobnosti viz kapitola 8.4. Uživatel má právo prohlížet statistiky Tento uživatel bude mít pˇ rístup ke statistikám firewallu zobrazovaným ve WWW rozhraní (viz kapitola 12). Tip: Pˇ rístupová práva mohou být nastavena šablonou uživatelského úˇ ctu.
224
16.2 Lokální uživatelské úˇ cty
Krok 4 — kvóta objemu pˇ renesených dat
Obrázek 16.6
Vytvoˇ rení uživatelského úˇ ctu — kvóta objemu dat
V tomto kroku pr˚ uvodce lze nastavit denní a mˇ esíˇ cní limit objemu dat pˇ renesených daným uživatelem pˇ res firewall a akce, které budou provedeny. Kvóta objemu pˇ renesených dat Nastavení denního, týdenního a mˇ esíˇ cního limitu objemu pˇ renesených dat pro daného uživatele. V položce Smˇ er lze vybrat, jaký smˇ er pˇ renosu dat bude sledován (download — pˇ rijímaná data, upload — vysílaná data, download i upload — souˇ cet v obou smˇ erech). Do položky Kvóta je tˇ reba zadat požadovaný limit ve vybraných jednotkách (megabyty nebo gigabyty). Akce pˇ ri pˇ rekroˇ cení kvóty Nastavení akcí, které mají být provedeny pˇ ri pˇ rekroˇ cení nˇ ekterého limitu: • Blokovat veškerou další komunikaci — uživatel bude moci dále komunikovat v rámci již otevˇ rených spojení, nebude však moci navázat žádná nová spojení (tzn. napˇ r. pˇ ripojit se na nový server, stáhnout další soubor v FTP relaci apod.). • Neblokovat další komunikaci (pouze omezit rychlost...) — uživateli bude omezena 225
Uživatelské úˇ cty a skupiny
rychlost internetové komunikace (tzv. šíˇ rka pásma). Nic nebude blokováno, ale uživatel zaznamená výrazné zpomalení internetové komunikace (což by jej mˇ elo pˇ rimˇ et k omezení jeho aktivit). Podrobné informace viz kapitola 10. Zapnutím volby Pˇ ri pˇ rekroˇ cení kvóty upozornit uživatele e-mailem bude uživateli zasláno e-mailem varování pˇ ri pˇ rekroˇ cení nˇ ekterého z nastavených limit˚ u. Podmínkou je, aby mˇ el uživatel nastavenu platnou e-mailovou adresu (viz Krok 1 tohoto pr˚ uvodce). V Kerio Control musí být nastaven server odchozí pošty (viz kapitola 18.3). Má-li být pˇ ri pˇ rekroˇ cení kvóty nˇ ekterým uživatelem varován také správce Kerio Control, m˚ užeme nastavit pˇ ríslušnou výstrahu v sekci Konfigurace → Statistiky a záznamy. Podrobnosti naleznete v kapitole 19.4. Poznámka: 1.
2.
Je-li pˇ ri pˇ rekroˇ cení limitu zablokována komunikace, platí omezení až do konce pˇ ríslušného období (tj. dne nebo mˇ esíce). Zrušení omezení pˇ red skonˇ cením tohoto období je možné: • (doˇ casným) vypnutím pˇ ríslušného limitu, zvýšením tohoto limitu nebo zmˇ enou akce na Neblokovat další komunikaci, • smazáním ˇ cítaˇ cu ˚ objemu pˇ renesených dat pˇ ríslušného uživatele (viz kapitola 20.1). Akce pˇ ri pˇ rekroˇ cení kvóty se neprovádˇ ejí, pokud je uživatel pˇ rihlášen pˇ rímo na firewallu. V takovém pˇ rípadˇ e by totiž mohlo dojít k blokování komunikace firewallu a tím i všech uživatel˚ u v lokální síti. Pˇ renesená data se však do kvóty zapoˇ cítávají!
Tip: Kvóty objemu pˇ renesených dat a odpovídající akce mohou být nastaveny šablonou uživatelského úˇ ctu.
Krok 5 — pravidla pro obsah WWW stránek a preferovaný jazyk V tomto kroku je možné provést specifické nastavení filtrování objekt˚ u na WWW stránkách pro konkrétního uživatele. Ve výchozím nastavení jsou všechny prvky povoleny. Použití tˇ echto pravidel závisí na uživatelském právu Pˇ rejít pravidla pro obsah WWW stránek a na tom, zda pro konkrétní stránku existuje pravidlo pro URL ˇ ci nikoliv. Podrobnosti viz Krok 3 (uživatelská práva). Kerio Control umožˇ nuje filtrování tˇ echto prvk˚ u WWW stránek: Objekty ActiveX Aktivní objekty na WWW stránkách. Tato volba povoluje / blokuje HTML tagy <embed> a
