1 Kerio Control Příručka administrátora Kerio Technologies2 2013 Kerio Technologies s.r.o. Všechna práva vyhrazena. Tento manuál popisuje konfiguraci ...
2013 Kerio Technologies s.r.o. Všechna práva vyhrazena. Tento manuál popisuje konfiguraci a správu produktu Kerio Control ve verzi 7.4.0. Zmˇ eny vyhrazeny. Uživatelské webové rozhraní a rozhraní Kerio Clientless SSL-VPN jsou popsána v samostatném manuálu Kerio Control — Pˇ ríruˇ cka uživatele. Aplikace Kerio VPN Client pro platformy Windows a Mac OS X je popsána v samostatných manuálech Kerio VPN Client — Pˇ ríruˇ cka uživatele. Aktuální verzi produktu naleznete na WWW stránce http://www.kerio.cz/cz/control/download, další dokumentaci na stránce http://www.kerio.cz/cz/control/manual.
Informace o registrovaných ochranných známkách a ochranných známkách jsou uvedeny v pˇ ríloze A. Produkty Kerio Control a Kerio VPN Client obsahují software volnˇ e šiˇ ritelný ve formˇ e zdrojových kód˚ u (open source). Seznam tohoto software je uveden v pˇ ríloze B.
Tato kapitola obsahuje seznam krok˚ u, které je nutno provést, aby mohl Kerio Control okamžitˇ e sloužit pro sdílení internetového pˇ ripojení a ochranu vaší lokální sítˇ e. Podrobný postup rychlé instalace a konfigurace naleznete v samostatném manuálu Kerio Control — Konfigurace krok za krokem. Nebudete-li si jisti nˇ ekterým nastavením Kerio Control, jednoduše vyhledejte pˇ ríslušnou kapitolu v tomto manuálu. Informace týkající se internetového pˇ ripojení (IP adresa, výchozí brána, DNS server atd.) vám sdˇ elí váš poskytovatel Internetu. Poznámka: V následujícím textu je termínem firewall oznaˇ cován poˇ cítaˇ c s Kerio Control, resp. zaˇ rízení Kerio Control Box. 1.
Nainstalujte nebo spust’te vybranou edici Kerio Control.
2.
Ve WWW prohlížeˇ ci otevˇ rete rozhraní Kerio Control Administration. Pˇ rímo na serveru je toto rozhraní k dispozici na adrese http://IP_adresa_serveru:4080/ (podrobnosti viz kapitola 4).
3.
Pomocí Pr˚ uvodce aktivací (viz kapitola 5.3) aktivujte produkt s platnou licencí nebo tˇ ricetidenní zkušební verzi.
4.
Pomocí Pr˚ uvodce pˇ ripojením (viz kapitola 8.1) nastavte pˇ ripojení k Internetu a k lokální síti.
5.
Pomocí Pr˚ uvodce komunikaˇ cními pravidly (viz kapitola 9.1) vytvoˇ rte základní komunikaˇ cní pravidla (pro lokální komunikaci, pˇ rístup do Internetu a mapování služeb).
6.
Zkontrolujte nastavení modulu DNS. Chcete-li využívat tabulku jmen poˇ cítaˇ cu ˚ a/nebo tabulku DHCP serveru, nezapomeˇ nte uvést lokální DNS doménu. Podrobnosti viz kapitola 11.1.
7.
Nastavte mapování uživatel˚ u z domény Active Directory nebo Open Directory, pˇ rípadnˇ e vytvoˇ rte nebo importujte lokální uživatelské úˇ cty a skupiny. Nastavte uživatel˚ um požadovaná pˇ rístupová práva. Podrobnosti viz kapitola 18.
8.
Zapnˇ ete systém prevence útok˚ u (viz kapitola 10.1).
9.
Povolte antivirový modul a nastavte typy objekt˚ u, které mají být kontrolovány.
8
10. Definujte skupiny IP adres (kapitola 17.1), ˇ casové intervaly (kapitola 17.2) a skupiny URL ri definici pravidel (viz kapitola 17.2). (kapitola 17.4), které použijete pˇ 11. Zajistˇ ete optimální využití internetového pˇ ripojení nastavením pravidel pro ˇ rízení šíˇ rky pásma (kapitola 12). 12. Vytvoˇ rte pravidla pro URL (kapitola 15.2). Nastavte modul Kerio Control Web Filter (kapitola 15.3) a automatickou konfiguraci WWW prohlížeˇ cu ˚ (kapitola 11.4). 13. Definujte pravidla pro FTP (kapitola 15.5). 14. Nastavte parametry TCP/IP sít’ového adaptéru každé klientské stanice v lokální síti jedním z následujících zp˚ usob˚ u: • Automatická konfigurace — povolte automatické nastavení (výchozí nastavení ve vˇ etšinˇ e operaˇ cních systém˚ u). Nenastavujte žádné další parametry. • Ruˇ cní konfigurace — zadejte IP adresu, masku subsítˇ e, adresu výchozí brány, adresu DNS serveru a jméno lokální domény.
9
Kapitola 2
Instalace
2.1 Edice produktu Kerio Control je k dispozici v tˇ echto edicích: Edice pro systém Windows Softwarová aplikace urˇ cená k instalaci na systém Microsoft Windows. M˚ uže být provozována na stejném serveru s dalšími aplikacemi a službami (napˇ r. komunikaˇ cním serverem Kerio Connect). Software Appliance Kerio Control Software Appliance (tzv. softwarové zaˇ rízení) je kompletní balík produktu Kerio Control vˇ cetnˇ e speciálního operaˇ cního systému. Tato edice je distribuována ve formˇ e instalaˇ cního disku a je urˇ cena pro instalaci na poˇ cítaˇ c PC bez operaˇ cního systému. Software Appliance nelze nainstalovat na poˇ cítaˇ c spoleˇ cnˇ e s jiným operaˇ cním systémem a nelze do nˇ ej ani instalovat vlastní aplikace. Virtual Appliance Virtuální zaˇ rízení urˇ cené k provozování v tzv. hypervizorech. Jedná se o edici Software Appliance, pˇ redinstalovanou do virtuálního poˇ cítaˇ ce pro pˇ ríslušnou platformu. V souˇ casnosti jsou podporovány hypervizory VMware, Parallels a Hyper-V. Kerio Control Box Hardwarové zaˇ rízení, které staˇ cí pouze pˇ ripojit do sítˇ e. Je dostupné ve dvou variantách, které se liší výkonem a poˇ ctem sít’ových port˚ u. Edice Software Appliance, VMware Virtual Appliance, Virtual Appliance for Parallels a Virtual Appliance for Hyper-V budou pro jednoduchost dále oznaˇ covány souhrnným názvem Appliance, zaˇ rízení Kerio Control Box bude dále oznaˇ cováno zkráceným názvem Box.
2.2 Systémové požadavky Aktuální systémové požadavky softwarových edic a technickou specifikaci hardwarového zaˇ rízení Kerio Control Box naleznete na stránce: http://www.kerio.cz/cz/control/technical-specifications
2.3 Windows: Konfliktní software Kerio Control m˚ uže být provozován spoleˇ cnˇ e s vˇ etšinou bˇ ežných aplikací. Existují však urˇ cité aplikace, které mohou vykazovat kolize, a nemˇ ely by proto být na tomtéž poˇ cítaˇ ci provozovány. 10
2.3 Windows: Konfliktní software
Poˇ cítaˇ c, na nˇ emž je Kerio Control nainstalován, m˚ uže být rovnˇ ež využíván jako pracovní stanice. To ale není pˇ ríliš doporuˇ cováno — ˇ cinnost uživatele m˚ uže mít negativní vliv na chod operaˇ cního systému a tím i Kerio Control. Kolize nízkoúrovˇ nových ovladaˇ cu ˚ Kerio Control vykazuje kolize se systémovými službami a aplikacemi, jejichž nízkoúrovˇ nové ovladaˇ ce používají stejnou nebo podobnou technologii. Jedná se zejména o tyto typy služeb a aplikací: • Systémová služba Windows Firewall / Sdílení pˇ ripojení k Internetu. Tuto službu dokáže Kerio Control detekovat a automaticky vypnout. • Systémová služba Smˇ erování a vzdálený pˇ rístup (RRAS) v operaˇ cních systémech typu Windows Server. Tato služba rovnˇ ež umožˇ nuje sdílení internetového pˇ ripojení (NAT). Kerio Control dokáže detekovat, zda je NAT ve službˇ e RRAS aktivní, a pokud ano, zobrazí varování. Správce serveru pak musí NAT v konfiguraci služby RRAS vypnout. Pokud není aktivní NAT, nedochází ke kolizím a Kerio Control m˚ uže být používán spoleˇ cnˇ e se službou RRAS. • Sít’ové firewally — napˇ r. Microsoft ISA Server / Forefront TMG. • Osobní firewally — napˇ r. Zone Alarm, ESET Smart Security apod. • Software pro vytvᡠrení virtuálních privátních sítí (VPN) — napˇ r. firem CheckPoint, Cisco Systems apod. Tˇ echto aplikací existuje celá ˇ rada a vyznaˇ cují se velmi specifickými vlastnostmi, které se liší u jednotlivých výrobc˚ u. Pokud to okolnosti dovolují, doporuˇ cujeme využít VPN ˇ rešení obsažené v Kerio Control (podrobnosti viz kapitola 25). V opaˇ cném pˇ rípadˇ e doporuˇ cujeme otestovat konkrétní VPN server ˇ ci VPN klienta se zkušební verzí Kerio Control a pˇ rípadnˇ e kontaktovat technickou podporu firmy Kerio Technologies. Poznámka: Implementace VPN obsažená v operaˇ cním systému Windows (založená na protokolu PPTP) je v Kerio Control podporována. Kolize port˚ u Na poˇ cítaˇ ci, kde je Kerio Control nainstalován, nemohou být provozovány aplikace, které využívají tytéž porty (nebo je tˇ reba konfiguraci port˚ u zmˇ enit). Pokud jsou zapnuty všechny služby, které Kerio Control nabízí, pak Kerio Control využívá tyto porty: 53/UDP — modul DNS, 67/UDP — DHCP server, 1900/UDP — služba SSDP Discovery, 2869/TCP — služba UPnP Host. Služby SSDP Discovery a UPnP Host jsou souˇ cásti podpory protokolu UPnP (viz kapitola 20.2). • 4080/TCP — nezabezpeˇ cené WWW rozhraní firewallu (viz kapitola 14). Tuto službu nelze vypnout. • 4081/TCP — zabezpeˇ cená (SSL) verze WWW rozhraní firewallu (viz kapitola 14). • • • •
11
Instalace
Tuto službu nelze vypnout. Následující služby používají uvedené porty ve výchozí konfiguraci. Porty tˇ echto služeb lze zmˇ enit. • 443/TCP — server rozhraní SSL-VPN (pouze v Kerio Control na systému Windows — viz kapitola 26), • 3128/TCP — HTTP proxy server (viz kapitola 11.5), • 4090/TCP+UDP — proprietární VPN server (podrobnosti viz kapitola 25). Antivirové programy ˇ ada moderních desktopových antivir˚ R u (tj. antivir˚ u urˇ cených pro ochranu pracovních stanic) provádí také antivirovou kontrolu sít’ové komunikace — typicky HTTP, FTP a e-mailových protokol˚ u. Kerio Control rovnˇ ež poskytuje tuto funkci, a proto zde dochází ke kolizím. Z tohoto d˚ uvodu doporuˇ cujeme na poˇ cítaˇ c s Kerio Control instalovat vždy serverovou verzi zvoleného antivirového programu. Serverovou verzi antiviru lze zároveˇ n využít pro kontrolu sít’ové komunikace v Kerio Control, pˇ rípadnˇ e jako doplˇ nkovou kontrolu k integrovanému antivirovému modulu Sophos (podrobnosti viz kapitola 16). Má-li antivirový program tzv. rezidentní štít (automatická kontrola všech ˇ ctených a zapisovaných soubor˚ u), pak je tˇ reba z kontroly vylouˇ cit podadresᡠre cache (HTTP cache Kerio Control — viz kapitola 11.4) a tmp (používá se pro antivirovou kontrolu). Pokud Kerio Control prování antivirovou kontrolu objekt˚ u stahovaných protokoly HTTP a FTP (viz kapitola 16.3), pak vylouˇ cení adresᡠre cache z kontroly soubor˚ u na disku nepˇ redstavuje žádnou hrozbu — soubory uložené v tomto adresᡠri jsou již antivirovým programem zkontrolovány. Integrovaný antivirový modul Sophos nevykazuje žádnou interakci s antivirovým programem nainstalovaným na poˇ cítaˇ ci s Kerio Control (za pˇ redpokladu, že jsou splnˇ eny výše uvedené podmínky).
2.4 Windows: Instalace Instalaˇ cní balíky Kerio Control je distribuován ve dvou edicích: pro 32-bitové platformy a pro 64-bitové platformy (viz stránka pro stažení produktu: http://www.kerio.cz/cz/control/download).
Kroky pˇ red spuštˇ ením instalace Kerio Control by mˇ el být nainstalován na poˇ cítaˇ c, který tvoˇ rí bránu mezi lokální sítí a Internetem. Tento poˇ cítaˇ c musí obsahovat alespoˇ n jedno rozhraní pˇ ripojené k lokální síti (Ethernet, Wi-Fi apod.) a rozhraní pˇ ripojené k Internetu. Internetovým rozhraním m˚ uže být bud’ sít’ový adaptér (Ethernet, Wi-Fi atd.) nebo modem (analogový, ISDN apod.).
12
2.4 Windows: Instalace
Pˇ red zahájením instalace Kerio Control doporuˇ cujeme provˇ eˇ rit následující: • Správné nastavení systémového ˇ casu (nutné pro kontrolu aktualizací operaˇ cního systému, antivirového modulu atd.), • Instalaci všech nejnovˇ ejších (zejména bezpeˇ cnostních) aktualizací operaˇ cního systému, • Nastavení parametr˚ u TCP/IP na všech aktivních sít’ových adaptérech, • Funkˇ cnost všech sít’ových pˇ ripojení — jak k lokální síti, tak k Internetu (vhodným nástrojem je napˇ r. pˇ ríkaz ping). Provedení tˇ echto krok˚ u vám ušetˇ rí mnoho komplikací pˇ ri pozdˇ ejším odstraˇ nování pˇ rípadných problém˚ u. Poznámka: Všechny podporované operaˇ cní systémy obsahují ve standardní komponenty, které Kerio Control pro svoji ˇ cinnost vyžaduje.
instalaci
všechny
Postup instalace a poˇ cáteˇ cní konfigurace Po spuštˇ ení instalaˇ cního programu (napˇ r. kerio-control-1.2.3-4567-win32.exe) lze vybrat jazyk instalaˇ cního programu. Výbˇ er jazyka ovlivˇ nuje pouze samotnou instalaci, jazyk uživatelského rozhraní lze pak nastavit nezávisle pro jednotlivé komponenty Kerio Control. V instalaˇ cním programu je možné zvolit typ instalace — Úplnou nebo Vlastní . Vlastní instalace umožˇ nuje výbˇ er volitelných komponent programu: • Kerio Control Engine — vlastní výkonné jádro aplikace. • Podpora VPN — proprietární VPN ˇ rešení firmy Kerio Technologies (Kerio VPN ). Podrobný popis komponent Kerio Control naleznete v kapitole 3. Proprietární VPN ˇ rešení je detailnˇ e popsáno v kapitole 25. Poznámka: Je-li zvolen typ instalace Vlastní , pak se instalaˇ cní program chová takto: • všechny oznaˇ cené komponenty se nainstalují nebo aktualizují, • všechny neoznaˇ cené komponenty se nenainstalují nebo odstraní. Pˇ ri instalaci nové verze Kerio Control pˇ res stávající (upgrade) je tedy tˇ reba oznaˇ cit všechny komponenty, které mají z˚ ustat zachovány.
13
Instalace
Vzdálený pˇ rístup Bezprostˇ rednˇ e po prvním spuštˇ ení Kerio Control Engine dojde k blokování veškeré sít’ové komunikace (požadovaná komunikace pak musí být povolena vytvoˇ rením pravidel — viz kapitola 9). Je-li Kerio Control instalován vzdálenˇ e (napˇ r. pomocí terminálového pˇ rístupu), pak se v tomto okamžiku pˇ reruší také komunikace se vzdáleným klientem (a konfigurace Kerio Control musí být provedena lokálnˇ e). Pro umožnˇ ení vzdálené instalace a správy lze v instalaˇ cním pr˚ uvodci povolit komunikaci mezi Kerio Control a vzdáleným poˇ cítaˇ cem. Poznámka: 1. 2.
Pokud Kerio Control instalujete lokálnˇ e, pak tento krok pˇ reskoˇ cte. Povolení plného pˇ rístupu ze vzdáleného poˇ cítaˇ ce m˚ uže pˇ redstavovat bezpeˇ cnostní hrozbu. Po nastavení Kerio Control pr˚ uvodcem komunikaˇ cními pravidly (viz kapitola 9.1) se pravidlo pro povolení vzdáleného pˇ rístupu zruší.
Kolizní programy a systémové služby Instalaˇ cní program Kerio Control detekuje programy a systémové služby, které by mohly zp˚ usobovat kolize se službou Kerio Control Engine. 1.
Systémové komponenty Windows Firewall 1 a Sdílení pˇ ripojení k Internetu Tyto komponenty zajišt’ují podobné nízkoúrovˇ nové funkce jako Kerio Control. Pokud by byly spuštˇ eny spoleˇ cnˇ e s Kerio Control, nefungovala by sít’ová komunikace správnˇ e a Kerio Control by mohl být nestabilní. Obˇ e tyto komponenty jsou realizovány systémovou službou Windows Firewall / Sdílení pˇ ripojení k Internetu (Windows Firewall / Internet Connection Sharing) 2. Upozornˇ ení: Pro správnou funkci Kerio Control musí být služba Windows Firewall / Sdílení pˇ ripojení k Internetu zastavena a zakázána!
2.
Hostitel zaˇ rízení UPnP (Universal Plug and Play Device Host) a Služba rozpoznávání pomocí protokolu SSDP (SSDP Discovery Service) Uvedené služby tvoˇ rí podporu protokolu UPnP (Universal Plug and Play) v operaˇ cních systémech Windows. Tyto služby však vykazují kolize s podporou protokolu UPnP v Kerio Control (viz kapitola 20.2).
1
2
V operaˇ cním systému Windows XP Service Pack 1 a starších verzích má integrovaný firewall název Brána Firewall pˇ ripojení k Internetu (Internet Connection Firewall). V uvedených starších verzích operaˇ cního systému Windows má služba název Souˇ cást ICF (Brána Firewall pˇ ripojení k Internetu) / souˇ cást ICS (Sdílení pˇ ripojení k Internetu); v angliˇ ctinˇ e Internet Connection Firewall / Internet Connection Sharing.
14
2.4 Windows: Instalace
Instalaˇ cní program Kerio Control pˇ ri instalaci zobrazí dialog, ve kterém m˚ uže uživatel zakázat konfliktní systémové služby. Ve výchozím nastavení instalaˇ cní program Kerio Control zakáže všechny výše uvedené kolizní služby. Za normálních okolností není tˇ reba toto nastavení mˇ enit. Obecnˇ e existují následující možnosti: • Služba Windows Firewall / Internet Connection Sharing (ICS) by mˇ ela být vždy zakázána. Pokud bude tato služba spuštˇ ena, nebude Kerio Control fungovat správnˇ e. Uvedenou volbu pˇ ri instalaci lze chápat spíše jako varování, že tato služba je spuštˇ ena a musí být zastavena a zakázána. • Pokud chcete využít podporu protokolu UPnP v Kerio Control (viz kapitola 20.2), pak je nutné zakázat také služby Hostitel zaˇ rízení UPnP (UPnP Device Host) a Služba rozpoznávání pomocí protokolu SSDP (SSDP Discovery). • Nechceme-li využívat podporu UPnP v Kerio Control, není nutné uvedené služby zakazovat. Poznámka: 1.
2.
Kerio Control pˇ ri každém svém startu automaticky detekuje, zda je spuštˇ ena systémová služba Windows Firewall / Sdílení pˇ ripojení k Internetu (Windows Firewall / Internet Connection Sharing), a pokud ano, automaticky ji zastaví a zapíše informaci do záznamu Warning. Tím je ošetˇ ren pˇ rípad, že dojde k povolení/spuštˇ ení této služby v dobˇ e, kdy je již Kerio Control nainstalován. V operaˇ cních systémech Windows XP Service Pack 2, Windows Server 2003, Windows Vista, Windows Server 2008 a Windows 7 se Kerio Control také automaticky registruje v Centru zabezpeˇ cení (Security Center). To znamená, že Centrum zabezpeˇ cení bude vždy správnˇ e indikovat stav firewallu a nebude zobrazováno varování, že systém není chránˇ en.
Ochrana nainstalovaného produktu Pro zajištˇ ení plné bezpeˇ cnosti firewallu je d˚ uležité, aby neoprávnˇ ené osoby nemˇ ely žádný pˇ rístup k soubor˚ um aplikace (zejména ke konfiguraˇ cním soubor˚ um). Je-li použit souborový systém NTFS, pak Kerio Control pˇ ri každém svém startu obnovuje nastavení pˇ rístupových práv k adresᡠri, ve kterém je nainstalován (vˇ cetnˇ e všech podadresᡠru ˚): pouze ˇ clen˚ um skupiny Administrators a lokálnímu systémovému úˇ ctu (SYSTEM ) je povolen pˇ rístup pro ˇ ctení i zápis, ostatní uživatelé nemají žádný pˇ rístup. Upozornˇ ení: Pˇ ri použití souborového systému FAT32 nelze soubory Kerio Control výše popsaným zp˚ usobem zabezpeˇ cit. Z tohoto d˚ uvodu doporuˇ cujeme instalovat Kerio Control výhradnˇ e na disk se souborovým systémem NTFS.
15
Instalace
Spuštˇ ení pr˚ uvodce aktivací produktu Pˇ red dokonˇ cením instalace se automaticky spustí Kerio Control Engine, tj. vlastní výkonné jádro programu (bˇ eží jako systémová služba) a také Kerio Control Engine Monitor. Po ukonˇ cení instalaˇ cního pr˚ uvodce se automaticky otevˇ re rozhraní Kerio Control Administration ve výchozím WWW prohlížeˇ ci. V tomto rozhraní se nejprve spustí pr˚ uvodce aktivací produktu (viz kapitola 5.3).
2.5 Windows: Upgrade a deinstalace Upgrade Chceme-li provést upgrade (tj. instalovat novˇ ejší verzi získanou napˇ r. z WWW stránek Kerio Technologies), staˇ cí jednoduše spustit instalaci nové verze. Instalaˇ cní program sám ukonˇ cí komponenty Kerio Control Engine a Kerio Control Engine Monitor. Pˇ ri instalaci bude rozpoznán adresᡠr, kde je stávající verze nainstalována, a nahrazeny pˇ ríslušné soubory novými. Pˇ ritom z˚ ustane zachována licence, veškerá nastavení i soubory záznam˚ u. Poznámka: Aktualizaci na verzi 7.4.x lze provést z verze 7.1.0 a novˇ ejších. V pˇ rípadˇ e aktualizace ze starší verze je nutné nejprve nainstalovat verzi 7.1.0 (ke stažení v softwarovém archivu Kerio Technologies).
Automatická kontrola nových verzí Kerio Control umožˇ nuje automaticky zjišt’ovat, zda se na serveru firmy Kerio Technologies nachází novˇ ejší verze, než je aktuálnˇ e nainstalována. Je-li nalezena nová verze, nabídne Kerio Control její stažení a instalaci. Podrobné informace naleznete v kapitole 19.2.
Deinstalace Pro deinstalaci je vhodné ukonˇ cit všechny komponenty Kerio Control. Program lze deinstalovat pr˚ uvodcem Pˇ ridat nebo odebrat programy v Ovládacích panelech. Pˇ ri deinstalaci mohou být volitelnˇ e smazány také všechny soubory v instalaˇ cním adresᡠri Kerio Control (typicky C:\Program Files\Kerio\WinRoute Firewall) — konfiguraˇ cní soubory, SSL certifikáty, licenˇ cní klíˇ c, záznamy apod. Ponechání tˇ echto soubor˚ u m˚ uže mít význam napˇ r. pro pˇ renos konfigurace na jiný poˇ cítaˇ c nebo v pˇ rípadˇ e, kdy si nejste jisti, zda máte zálohované SSL certifikáty vystavené d˚ uvˇ eryhodnou certifikaˇ cní autoritou. 16
2.6 Appliance Edition: Instalace
Pˇ ri deinstalaci instalaˇ cní program Kerio Control automaticky obnoví p˚ uvodní stav systémových služeb Windows Firewall / Sdílení pˇ ripojení k Internetu (Windows Firewall / Internet Connection rízení UPnP (Universal Plug and Play Device Host) a Služba rozpoznávání Sharing) 1, Hostitel zaˇ pomocí protokolu SSDP (SSDP Discovery Service).
2.6 Appliance Edition: Instalace Instalace Software Appliance probíhá v nˇ ekolika jednoduchých krocích:
Spuštˇ ení instalace Software Appliance Edici Software Appliance m˚ užete nainstalovat tˇ emito zp˚ usoby: • Vypálit ISO obraz instalaˇ cního CD na fyzické CD a z tohoto CD spustit instalaci systému na zvoleném cílovém poˇ cítaˇ ci (fyzickém nebo virtuálním). • V pˇ rípadˇ e virtuálního poˇ cítaˇ ce lze ISO obraz také pˇ rímo pˇ ripojit jako virtuální CD mechaniku, bez nutnosti vypalování CD. • Vytvoˇ rit z ISO obrazu bootovatelný USB flash disk. Podrobný postup naleznete v kapitole 27.1. Poznámka: Kerio Control Software Appliance není možné nainstalovat na poˇ cítaˇ c souˇ casnˇ e s jiným operaˇ cním systémem. Existující operaˇ cní systém na cílovém disku bude pˇ ri instalaci vymazán. VMware Virtual Appliance Podle typu produktu VMware použijte odpovídající instalaˇ cní balík: • V pˇ rípadˇ e produkt˚ u VMware Server, Workstation, Player a Fusion stáhnˇ ete distribuˇ cní balík ve formátu VMX (*.zip), rozbalte jej a otevˇ rete soubor s pˇ ríponou .vmx. • Do VMware ESX/ESXi m˚ užete pˇ rímo importovat virtuální zaˇ rízení ze zadané URL adresy OVF souboru — napˇ r.: http://download.kerio.com/cz/dwn/control/ kerio-control-appliance-1.2.3-4567-linux.ovf VMware ESX/ESXi si automaticky stáhne daný konfiguraˇ cní OVF soubor a odpovídající obraz disku (soubor s pˇ ríponou .vmdk). V pˇ rípadˇ e importu virtuálního zaˇ rízení ve formátu OVF je potˇ reba mít na pamˇ eti následující specifické vlastnosti: • V importovaném virtuálním zaˇ rízení je vypnuta synchronizace ˇ casu mezi hostitelským poˇ cítaˇ cem a virtuálním zaˇ rízením. Produkt Kerio Control však disponuje vlastním mechanismem pro synchronizaci ˇ casu s ˇ casovými servery
17
Instalace
v Internetu, a proto není nutné synchronizaci s hostitelským poˇ cítaˇ cem explicitnˇ e povolovat. • Akce pro vypnutí, resp. restart virtuálního poˇ cítaˇ ce budou po importu nastaveny na výchozí hodnoty, což m˚ uže být „tvrdé“ vypnutí a „tvrdý“ reset. To však m˚ uže zp˚ usobit ztrátu dat ve virtuálním zaˇ rízení. Kerio Control VMware Virtual Appliance podporuje tzv. Soft Power Operations, které umožˇ nují regulérnˇ e vypnout nebo restartovat hostovaný operaˇ cní systém. Proto je doporuˇ ceno jako akce pro vypnutí a restart nastavit vypnutí, resp. restart hostovaného operaˇ cního systému. Virtual Appliance for Parallels Rozbalte distribuˇ cní balík do požadovaného cílového umístˇ ení a otevˇ rete konfiguraˇ cní soubor virtuálního zaˇ rízení (config.pvs) v aplikaci Parallels. Žádná speciální nastavení nejsou potˇ reba. Virtual Appliance for Hyper-V Stáhnˇ ete distribuˇ cní balík ve formátu Zip (*.zip) a rozbalte jej do požadovaného cílového umístˇ ení. Vytvoˇ rte nové virtuální zaˇ rízení. V pr˚ uvodci zvolíme možnost „použít existující virtuální disk“ a použijte virtuální disk z distribuˇ cního balíku.
Volba jazyka Zvolený jazyk bude použit nejen pro instalaci Kerio Control, ale také pro konzoli firewallu (viz kapitola 3.2).
Výbˇ er cílového pevného disku (Software Appliance) Pokud instalaˇ cní program Software Appliance detekuje v poˇ cítaˇ ci více pevných disk˚ u, pak je potˇ reba zvolit disk, na který má být Kerio Control nainstalován. Obsah vybraného disku bude pˇ red vlastní instalací Kerio Control kompletnˇ e vymazán, zatímco ostatní disky instalace nijak neovlivní. Je-li v poˇ cítaˇ ci detekován pouze jeden pevný disk, instalaˇ cní program pˇ rejde ihned k následujícímu kroku. Není-li nalezen žádný pevný disk, pak bude instalace ukonˇ cena. Pˇ ríˇ cinou této chyby bývá nejˇ castˇ eji nepodporovaný typ pevného disku nebo závada hardware. Následující kroky jsou již shodné pro Software Appliance i Virtual Appliance.
Výbˇ er sít’ového rozhraní pro lokální sít’ a pˇ rístup ke správˇ e Instalaˇ cní program zobrazí všechna detekovaná sít’ová rozhraní firewallu. Z nich je nutné vybrat rozhraní, které je pˇ ripojeno do lokální (d˚ uvˇ eryhodné) sítˇ e, ze které budete firewall vzdálenˇ e spravovat. V praxi se m˚ uže ˇ casto stát, že má poˇ cítaˇ c více rozhraní stejného typu, a tudíž nelze jednoduše rozpoznat, které rozhraní je pˇ ripojené do lokální sítˇ e a které do Internetu. Urˇ citým vodítkem mohou být hardwarové adresy adaptér˚ u, pˇ rípadnˇ e lze postupovat experimentálnˇ e — vyberte 18
2.7 Appliance Edition: Upgrade
nˇ ekteré rozhraní, dokonˇ cete instalaci a zkuste se pˇ ripojit ke správˇ e. Pokud se pˇ ripojení ˇte nastavení jednotlivých rozhraní volbou Konfigurace sítˇ nepodaˇ rí, zmˇ en e v hlavní nabídce konzole firewallu (viz kapitola 3.2). Dále m˚ uže nastat situace, že instalaˇ cní program nerozpozná nˇ ekteré nebo všechny sít’ové adaptéry. V takovém pˇ rípadˇ e je doporuˇ ceno vymˇ enit fyzický adaptér za jiný typ, pˇ rípadnˇ e zmˇ enit typ virtuálního adaptéru (pokud to daný virtuální poˇ cítaˇ c umožˇ nuje) nebo nainstalovat Kerio Control Software Appliance do jiného typu virtuálního poˇ cítaˇ ce. Tento problém doporuˇ cujeme konzultovat s technickou podporou spoleˇ cnosti Kerio Technologies. Pokud není detekován žádný sít’ový adaptér, pak není možné v instalaci Kerio Control pokraˇ covat. Poznámka: Instalaˇ cní program umožˇ nuje nastavit na rozhraních nastavit pouze parametry protokolu IPv4. Protokol IPv6 je možné nastavit pouze ve webovém rozhraní Kerio Control Administration. Nastavení IP adresy lokálního rozhraní Vybranému lokálnímu rozhraní je potˇ reba nastavit IP adresu a masku subsítˇ e. Tyto parametry mohou být pˇ ridˇ eleny automaticky DHCP serverem, anebo zadány ruˇ cnˇ e. Doporuˇ cujeme nastavit parametry lokálního rozhraní ruˇ cnˇ e, a to z následujících d˚ uvod˚ u: • Automaticky pˇ ridˇ elovaná IP adresa se m˚ uže mˇ enit, což by zp˚ usobovalo problémy s pˇ ripojením ke správˇ e firewallu (IP adresu sice lze na DHCP serveru rezervovat, to však m˚ uže pˇ rinášet další komplikace). • Kerio Control bude pravdˇ epodobnˇ e ve vˇ etšinˇ e pˇ rípad˚ u sám sloužit jako DHCP server pro poˇ cítaˇ ce (pracovní stanice) v lokální síti. Dokonˇ cení instalace Po nastavení všech uvedených parametr˚ u se spustí služba (daemon) Kerio Control Engine. Na konzoli firewallu bude po celou dobu jeho bˇ ehu zobrazena informace o možnostech vzdálené správy a zmˇ eny nˇ ekterých základních nastavení — viz kapitola 3.2.
2.7 Appliance Edition: Upgrade Upgrade (aktualizaci) Kerio Control lze provést dvˇ ema zp˚ usoby: • Spouštˇ ením systému z instalaˇ cního CD (resp. USB flash disku nebo pˇ ripojeného ISO obrazu) nové verze. Instalace probíhá stejným zp˚ usobem jako nová instalace, pouze na zaˇ cátku se instalaˇ cní program dotáže, zda má být provedena aktualizace (stávající nastavení a data z˚ ustanou zachována) nebo nová instalace (všechny konfiguraˇ cní soubory, statistiky, záznamy atd. budou vymazány). Podrobnosti viz kapitola 2.6. • Prostˇ rednictvím kontroly nových verzí v rozhraní Kerio Control Administration. Podrobnosti naleznete v kapitole 19.2. 19
Instalace
Upozornˇ ení: Aktualizaci na verzi 7.4.x lze provést z verze 7.1.0 a novˇ ejších. V pˇ rípadˇ e aktualizace ze starší verze je nutné nejprve nainstalovat verzi 7.1.0 (ke stažení v softwarovém archivu Kerio Technologies).
20
Kapitola 3
Komponenty Kerio Control
Kerio Control sestává z tˇ echto souˇ cástí: Kerio Control Engine Vlastní výkonný program, který realizuje všechny služby a funkce produktu. V systému Windows bˇ eží jako služba operaˇ cního systému (služba má název Kerio Control a ve výchozím nastavení je spouštˇ ena automaticky pod systémovým úˇ ctem). Kerio Control Engine Monitor (pouze Windows) Slouží k monitorování a zmˇ enˇ e stavu Engine (zastaven / spuštˇ en), nastavení spouštˇ ecích preferencí (tj. zda se má Engine a/nebo Monitor sám spouštˇ et automaticky pˇ ri startu systému) a snadnému spuštˇ ení administraˇ cní konzole. Podrobnosti naleznete v kapitole 3.1. Poznámka: Kerio Control Engine je zcela nezávislý na aplikaci Kerio Control Engine Monitor. Engine tedy m˚ uže být spuštˇ en, i když se na lištˇ e právˇ e nezobrazuje ikona. Konzole firewallu (pouze edice Appliance a Box) Konzole firewallu je jednoduché rozhraní, které je trvale spuštˇ ené na poˇ cítaˇ ci s Kerio Control. Umožˇ nuje nastavení základních parametr˚ u operaˇ cního systému a firewallu, pˇ rípadnˇ e obnovení pˇ rístupu ke správˇ e, pokud došlo k jejímu zablokování. Poznámka: Od verze 7.1.0 již není k dispozici samostatný program pro správu (Kerio Administration Console).
3.1 Kerio Control Engine Monitor (Windows) Kerio Control Engine Monitor je samostatný program, který slouží k ovládání a sledování stavu Kerio Control Engine. Tato komponenta se zobrazuje jako ikona na nástrojové lištˇ e.
Obrázek 3.1
Ikona programu Kerio Control Engine Monitor v oznamovací oblasti nástrojové lišty
21
Komponenty Kerio Control
Je-li Kerio Control Engine zastaven, objeví se pˇ res ikonu ˇ cervený kruh s bílým kˇ rížkem. Spouštˇ ení ˇ ci zastavování Engine m˚ uže za r˚ uzných okolností trvat až nˇ ekolik sekund. Na tuto dobu ikona zešedne a je neaktivní. Dvojitým kliknutím levým tlaˇ cítkem na tuto ikonu lze otevˇ rít rozhraní Kerio Control Administration ve výchozím WWW prohlížeˇ ci (viz dále). Po kliknutí pravým tlaˇ cítkem se zobrazí menu s následujícími funkcemi:
Obrázek 3.2
Menu programu Kerio Control Engine Monitor
Startup Preferences Volby pro automatické spouštˇ ení Kerio Control Engine a Engine Monitoru pˇ ri startu systému. Výchozí nastavení (po instalaci) je obˇ e volby zapnuty. Administration Otevˇ rení rozhraní Kerio Control Administration ve výchozím WWW prohlížeˇ ci (odpovídá dvojitému kliknutí levým tlaˇ cítkem myši na ikonu Engine Monitoru). Internet Usage Statistics Otevˇ rení Statistik využívání Internetu ve výchozím WWW prohlížeˇ ci. Podrobnosti viz kapitola 23. Start / Stop Kerio Control Spuštˇ ení nebo zastavení Kerio Control Engine (text se mˇ ení v závislosti na jeho aktuálním stavu). Exit Engine Monitor Ukonˇ cení programu Engine Monitor. Tato volba nezastavuje Kerio Control Engine, na což je uživatel upozornˇ en varovným hlášením. Poznámka: 1.
2.
Pokud má licence Kerio Control omezenou platnost (napˇ r. zkušební verze), pak se 7 dní pˇ red vypršením licence automaticky zobrazí informace o tom, že se blíží konec její platnosti. Zobrazení této informace se pak periodicky opakuje až do okamžiku, kdy licence vyprší. Kerio Control Engine Monitor je k dispozici pouze v anglickém jazyce.
22
3.2 Konzole firewallu (edice Appliance a Box)
3.2 Konzole firewallu (edice Appliance a Box) Konzole firewallu je speciální aplikace, která je spuštˇ ena na terminálu poˇ cítaˇ ce s Kerio Control v edici Appliance po celou dobu jeho bˇ ehu. V pˇ rípadˇ e zaˇ rízení Kerio Control Box je možné se ke konzoli pˇ ripojit prostˇ rednictvím sériového portu. Ve výchozím stavu zobrazuje konzole pouze informace o URL, resp. IP adrese, kam se lze pˇ ripojit ke správˇ e firewallu prostˇ rednictvím WWW prohlížeˇ ce (rozhraní Kerio Control Administration). Po zadání hesla uživatele Admin (hlavního správce firewallu) tato konzole umožˇ nuje zmˇ enit nˇ ekterá základní nastavení, obnovit výchozí nastavení po instalaci a vypnout nebo restartovat poˇ cítaˇ c. Pˇ ri delší dobˇ e neˇ cinnosti dojde z bezpeˇ cnostních d˚ uvod˚ u k automatickému odhlášení uživatele a na konzole se opˇ et zobrazí úvodní obrazovka s informacemi o vzdálené správˇ e firewallu. Konzole firewallu nabízí tyto konfiguraˇ cní volby: Konfigurace sít’ových rozhraní Tato volba umožˇ nuje zobrazit, pˇ rípadnˇ e zmˇ enit parametry jednotlivých sít’ových rozhraní firewallu. Konzole umožˇ nuje pouze konfiguraci parametr˚ u protokolu IPv4 (k nastavení parametr˚ u IPv6 je potˇ reba použít webové administraˇ cní rozhraní). Na každém rozhraní lze nastavit automatickou konfiguraci protokolem DHCP nebo ruˇ cnˇ e zadat IP adresu, masku subsítˇ e a výchozí bránu. Konzole rovnˇ ež umožˇ nuje definovat nové virtuální sítˇ e (VLAN) na vybraném rozhraní typu Ethernet. Každá VLAN se chová jako samostatné rozhraní, kterému lze nastavit parametry IPv4 dle potˇ reby. Poznámka: Na rozhraních pˇ ripojených do lokální sítˇ e nesmí být nastavena žádná výchozí brána, jinak nebude možné použít tento firewall jako bránu pro pˇ rístup do Internetu. Nastavení pravidel pro vzdálenou správu Pˇ ri zmˇ enách komunikaˇ cních pravidel firewallu (viz kapitola 9) prostˇ rednictvím WWW rozhraní Kerio Control Administration m˚ uže dojít k nechtˇ enému zablokování pˇ rístupu ke vzdálené správˇ e. Pokud jste si jisti, že sít’ová rozhraní firewallu jsou nastavena správnˇ e, ale pˇ resto se nelze pˇ ripojit ke vzdálené správˇ e, m˚ užete volbou Vzdálená správa zmˇ enit komunikaˇ cní pravidla firewallu tak, aby neblokovala pˇ rístup ke vzdálené správˇ e pˇ res žádné sít’ové rozhraní. Po zmˇ enˇ e komunikaˇ cních pravidel bude automaticky restartována služba Kerio Control Engine. „Odblokování“ vzdálené správy v praxi znamená, že na zaˇ cátek tabulky komunikaˇ cních pravidel bude pˇ ridáno pravidlo povolující pˇ rístup z libovolného poˇ cítaˇ ce ke službˇ e Kerio Control WebAdmin (zabezpeˇ cené WWW rozhraní firewallu). Vypnutí / restart firewallu V pˇ rípadˇ e, že potˇ rebujete firewall vypnout nebo restartovat, tyto volby zajistí bezpeˇ cné ukonˇ cení služby Kerio Control Engine a vypnutí operaˇ cního systému firewallu.
23
Komponenty Kerio Control
Obnovení továrního nastavení Tato volba uvede firewall do výchozího stavu jako po spuštˇ ení instalace z instalaˇ cního CD nebo po prvním spuštˇ ení virtuálního zaˇ rízení pro VMware. Všechny konfiguraˇ cní soubory a data (záznamy, statistiky atd.) budou vymazány a bude potˇ reba provést znovu poˇ cáteˇ cní konfiguraci firewallu, stejnˇ e jako pˇ ri ˇ cisté instalaci (viz kapitola 2.6). Obnovení továrního nastavení m˚ uže být užiteˇ cné v pˇ rípadˇ e, kdy je omylem nebo neodborným zásahem konfigurace firewallu poškozena natolik, že jej již nelze žádnými jinými prostˇ redky znovu zprovoznit.
24
Kapitola 4
Správa Kerio Control
Aplikace Kerio Control má webové rozhraní Kerio Control Administration (tzv. administraˇ cní rozhraní ), které umožˇ nuje vzdálenou i lokální správu firewallu prostˇ rednictvím bˇ ežného WWW prohlížeˇ ce.
4.1 Rozhraní Kerio Control Administration Rozhraní Kerio Control Administration je dostupné na adrese: https://server:4081/admin (server má význam jména nebo IP adresy firewallu a 4081 je port jeho WWW rozhraní). Pˇ ri použití protokolu HTTPS je komunikace mezi klientem a Kerio Control Engine šifrována, což zabraˇ nuje jejímu odposlechu a zneužití. Nezabezpeˇ cenou verzi rozhraní Administration (protokol HTTP, port 4080) doporuˇ cujeme používat pouze pro lokální správu Kerio Control (tj. správu z poˇ cítaˇ ce, na kterém je nainstalován). Po úspˇ ešném pˇ rihlášení do WWW rozhraní Administration se zobrazí hlavní okno, které je rozdˇ eleno na dvˇ eˇ cásti: • Levý sloupec obsahuje seznam sekcí administraˇ cního rozhraní v podobˇ e stromu. Pro ˇ vˇ etší pˇ rehlednost lze jednotlivé cásti stromu skrývat a rozbalovat (bezprostˇ rednˇ e po pˇ rihlášení je strom kompletnˇ e rozbalený). • Pravá ˇ cást okna zobrazuje obsah sekce zvolené v levém sloupci. Ve vˇ etšinˇ e pˇ rípad˚ u se zmˇ eny konfigurace v jednotlivých sekcích provádˇ ejí pouze na stranˇ e klienta (tj. ve WWW prohlížeˇ ci), a teprve po stisknutí tlaˇ cítka Použít se tyto zmˇ eny aplikují a uloží do konfiguraˇ cního souboru. Díky tomu je možné tlaˇ cítkem Storno kdykoliv obnovit p˚ uvodní stav. Jednotlivé sekce webového administraˇ cního rozhraní jsou popsány v následujících kapitolách tohoto manuálu. Poznámka: 1.
2.
WWW rozhraní Kerio Control Administration je lokalizováno celkem do 15 jazyk˚ u. V rozhraní Administration lze zvolit jazyk pomocí ikony vlajky v pravém horním rohu okna, pˇ rípadnˇ e m˚ uže být nastaven automaticky podle preferovaného jazyka ve WWW prohlížeˇ ci. Pˇ ri prvním pˇ rihlášení do rozhraní Kerio Control Administration po instalaci Kerio Control se nejprve automaticky spustí pr˚ uvodce aktivací, který umožˇ nuje zaregistrovat 25
Správa Kerio Control
zakoupenou licenci nebo spustit tˇ ricetidenní zkušební verzi a nastavit heslo pro pˇ rístup ke správˇ e. Podrobný popis tohoto pr˚ uvodce naleznete v kapitole 9.1.
4.2 Konfiguraˇ cní asistent Konfiguraˇ cní asistent slouží ke snadné a rychlé konfiguraci základních parametr˚ u Kerio Control. Ve výchozím nastavení se zobrazuje automaticky po pˇ rihlášení do administraˇ cního rozhraní. Pokud je jeho automatické zobrazování vypnuto, staˇ cí kliknout na odkaz Spustit konfiguraˇ cního asistenta. Konfiguraˇ cní asistent nabízí tyto možnosti: Nastavit internetové pˇ ripojení a lokální sít’ Pr˚ uvodce základním nastavením Kerio Control. Po dokonˇ cení tohoto pr˚ uvodce bude funkˇ cní internetové pˇ ripojení (protokol IPv4) a pˇ rístup do Internetu z poˇ cítaˇ cu ˚ v lokální síti. Pr˚ uvodce zajistí správné nastavení DHCP serveru a modulu DNS forwarder. Podrobný popis pr˚ uvodce naleznete v kapitole 8.1. Definovat komunikaˇ cní pravidla Nastavení základních komunikaˇ cních pravidel firewallu. Základními pravidly se myslí povolení pˇ rístupu z lokální sítˇ e do Internetu prostˇ rednictvím pˇ rekladu IP adres (NAT) a zpˇ rístupnˇ ení vybraných služeb na lokálních serverech z Internetu. Tento nástroj je urˇ cen pˇ redevším pro poˇ cáteˇ cní konfiguraci komunikaˇ cních pravidel. Pˇ ri pozdˇ ejším použití dojde k pˇ repsání stávajících komunikaˇ cních pravidel. Bližší informace naleznete v kapitole 9.1. Exportovat vaši konfiguraci Uložení stávající konfigurace Kerio Control do balíku ve formátu .tgz (archiv tar komprimovaný gzip). Exportovanou konfiguraci lze použít jako zálohu pro obnovení firewallu po reinstalaci, pˇ rípadnˇ e pro pˇ renos stejné konfigurace na jiný poˇ cítaˇ c. Konfigurace Kerio Control je pˇ renositelná mezi jednotlivými platformami. Import konfigurace Naˇ ctení a použití zálohované konfigurace firewallu. Pˇ ri importu konfigurace se zohledˇ nují rozdíly v sít’ových rozhraních (pˇ ridané nebo odebrané rozhraní, jiné názvy rozhraní atd.). Podrobné informace o exportu a importu konfigurace naleznete v kapitole 27.2 Instalovat licenˇ cní klíˇ c Instalace licenˇ cního klíˇ ce (license.key) exportovaného nebo zálohovaného z dˇ rívˇ ejší instalace. Registrace zakoupeného produktu, Registrace zkušební verze Viz kapitola 5 Poznámka: Použití konfiguraˇ cního asistenta a jednotlivých pr˚ uvodc˚ u není nutné. Zkušení správci mohou Kerio Control nakonfigurovat podle svých potˇ reb i bez použití tˇ echto nástroj˚ u. 26
4.3 Ochrana proti zablokování správy
4.3 Ochrana proti zablokování správy Pˇ ri zmˇ enách v konfiguraci Kerio Control (nastavení sít’ových rozhraní, komunikaˇ cních pravidel, filtru MAC adres a dalších bezpeˇ cnostních funkcí) m˚ uže pomˇ ernˇ e snadno dojít k pˇ rerušení sít’ového spojení mezi serverem Kerio Control a poˇ cítaˇ cem, ze kterého je provádˇ ena správa (edice Appliance a Box lze spravovat pouze vzdálenˇ e z jiného poˇ cítaˇ ce). Proto po zmˇ enách v konfiguraci, které mohou mít vliv na spojení mezi rozhraním Kerio Control Administration a serverem Kerio Control, bude automaticky provedena kontrola, zda je spojení stále funkˇ cní. Pokud dojde k pˇ rerušení spojení, rozhraní Kerio Control Administration se jej pokusí obnovit. V nˇ ekterých pˇ rípadech není možné spojení automaticky obnovit — typickým pˇ ríkladem je zmˇ ena IP adresy rozhraní, pˇ res které je Kerio Control spravován. Pak je potˇ reba se pˇ ripojit k administraˇ cnímu rozhraní na nové IP adrese a znovu se pˇ rihlásit (k tomu m˚ uže být potˇ reba také zmˇ ena konfigurace TCP/IP na klientském poˇ cítaˇ ci, pˇ rípadnˇ e obnovení konfigurace z DHCP serveru atd.). Pokud se nepodaˇ rí obnovit spojení bˇ ehem 10 minut (pˇ rípadnˇ e se správci nepodaˇ rí se bˇ ehem této doby znovu pˇ rihlásit), server vyhodnotí, že došlo k zablokování správy, zruší poslední konfiguraˇ cní zmˇ eny a vrátí tak konfiguraci do pˇ redchozího stavu.
27
Kapitola 5
Licence a registrace produktu
Používání produktu Kerio Control je vázáno na licenci. Technicky se produkt chová takto: • Bezprostˇ rednˇ e po instalaci produkt funguje jako zkušební verze, ˇ casovˇ e omezená na dobu 30 dn˚ u od okamžiku instalace. Produkt je plnˇ e funkˇ cní s výjimkou modulu Kerio Control Web Filter a aktualizací integrovaného antiviru a pravidel systému prevence útok˚ u. • Zkušební verzi lze bezplatnˇ e zaregistrovat. Registrací zkušební verze získává uživatel nárok na technickou podporu bˇ ehem zkušebního období. Navíc m˚ uže také testovat modul Kerio Control Web Filter a bude automaticky aktualizován integrovaný antivirus a pravidla systému prevence útok˚ u. Registrace neprodlužuje zkušební období. • Po zakoupení licence je potˇ reba produkt zaregistrovat s pˇ ríslušným licenˇ cním ˇ císlem. Po úspˇ ešné registraci bude produkt funkˇ cní po neomezenou dobu v rozsahu dle pˇ ríslušné licence (podrobnosti viz kapitola 5.1). Rozdíl mezi zkušební verzí a plnou verzí Kerio Control je pouze v tom, zda je zaregistrována s platnou licencí ˇ ci nikoliv. Každý zákazník má tak možnost si produkt nainstalovat a bˇ ehem zkušební lh˚ uty otestovat v konkrétních podmínkách. Pokud si jej zakoupí, staˇ cí pouze zaregistrovat nainstalovanou verzi se zakoupeným licenˇ cním ˇ císlem. Není tedy tˇ reba Kerio Control znovu instalovat a nastavovat. V pˇ rípadˇ e, že tˇ ricetidenní zkušební lh˚ uta již vypršela, funkˇ cnost Kerio Control bude omezena. Po registraci s platným licenˇ cním ˇ císlem (získaným pˇ ri zakoupení produktu) bude Kerio Control opˇ et plnˇ e funkˇ cní. Licence produktu zároveˇ n urˇ cuje poˇ cet uživatel˚ u, kteˇ rí jej mohou využívat. Základní produktu licence je pro 5 uživatel˚ u. Poˇ cet uživatel˚ u lze kdykoliv rozšíˇ rit zakoupením tzv. add-on licence. Podrobnosti o stanovení správného poˇ ctu uživatel˚ u viz kapitola 5.2.
5.1 Licence, volitelné komponenty a Software Maintenance Produkt Kerio Control má volitelné komponenty: antivirový modul Sophos (viz kapitola 16) a modul pro hodnocení obsahu WWW stránek Kerio Control Web Filter (viz kapitola 15.3). Tyto komponenty jsou licencovány oddˇ elenˇ e.
28
5.2 Stanovení potˇ rebného poˇ ctu uživatel˚ u
Software Maintenance Software Maintenance je nárok na aktualizaci produktu po danou dobu. Pokud Software Maintenance vyprší, produkt je možné nadále používat, ale nelze již instalovat nové verze vydané po datu vypršení. Nárok na aktualizaci produktu lze obnovit zakoupením Software Maintenance na další období.
Licenˇ cní ˇ císlo Od verze 7.4.0 se v Kerio Control používá pouze jedno licenˇ cní ˇ císlo, které obdržíte pˇ ri zakoupení produktu. Pˇ ri zakoupení volitelných komponent, zvýšení poˇ ctu uživatel˚ u nebo prodloužení Software Maintenance se licence bˇ ehem 24 hodin automaticky aktualizuje. Poznámka: 1.
2.
Registrací produktu Kerio Control dojde k vytvoˇ rení tzv. licenˇ cního klíˇ ce (soubor license.key — viz kapitola 27.2). V pˇ rípadˇ e ztráty licenˇ cního klíˇ ce (napˇ r. z d˚ uvodu havárie disku, nechtˇ eným smazáním apod.), staˇ cí produkt jednoduše znovu zaregistrovat s licenˇ cním ˇ císlem obdrženým pˇ ri jeho zakoupení. Stejným zp˚ usobem lze postupovat pˇ ri zmˇ enˇ e platformy firewallu (Windows / Appliance / Kerio Control Box) — licenˇ cní klíˇ c je nepˇ renositelný mezi platformami. Pˇ ri ztrátˇ e licenˇ cního ˇ císla je nutné kontaktovat obchodní oddˇ elení spoleˇ cnosti Kerio Technologies. Aktuální informace o licenci a Software Maintenance naleznete na WWW stránkách firmy Kerio Technologies (http://www.kerio.cz/cz/control/).
5.2 Stanovení potˇ rebného poˇ ctu uživatel˚ u Produkt Kerio Control je licencován jako server, který v základní licenci obsahuje úˇ cet Admin a 5 uživatelských úˇ ct˚ u. Uživatele lze pˇ ridávat v balíˇ ccích po 5. Uživatel je definován jako osoba, který se m˚ uže pˇ rihlásit ke Kerio Control a jeho službám. Každý uživatel se pˇ ritom m˚ uže pˇ ripojit až z pˇ eti r˚ uzných zaˇ rízení reprezentovaných IP adresami, vˇ cetnˇ e VPN klient˚ u. Pokud se jeden uživatel chce pˇ ripojit z více než pˇ eti zaˇ rízení souˇ casnˇ e, pak je potˇ reba licence pro dalšího uživatele. Produkt sice v minulost neomezoval poˇ cet pˇ rihlášení uživatel˚ u, zato však považoval každou IP adresu pˇ ristupující k serveru za jednoho uživatele, takže nˇ ekteˇ rí uživatele mohli vyˇ cerpat dostupné licence již pˇ ripojením ze dvou zaˇ rízení souˇ casnˇ e. Upozornˇ ení: Kerio Control neomezuje poˇ cet definovaných uživatelských úˇ ct˚ u (viz kapitola 18). Pˇ ri dosažení maximálního povoleného poˇ ctu souˇ casnˇ e pˇ rihlášených uživatel˚ u však firewall nepovolí pˇ rihlášení dalšího uživatele.
29
Licence a registrace produktu
5.3 Pr˚ uvodce aktivací produktu Pˇ ri prvním pˇ rihlášení do rozhraní Kerio Control Administration bezprostˇ rednˇ e po instalaci se automaticky spustí pr˚ uvodce aktivací produktu. Tento pr˚ uvodce umožˇ nuje zaregistrovat produkt se zakoupenou licencí nebo aktivovat tˇ ricetidenní zkušební verzi a nastavit nˇ ekteré základní parametry Kerio Control. Volba jazyka První krok umožˇ nuje volbu jazyka. Vybraný jazyk bude použit v pr˚ uvodci aktivací a bude také pˇ rednastaven po prvním pˇ rihlášení do administraˇ cního rozhraní. Po pˇ rihlášení lze pak jazyk mˇ enit dle potˇ reby. Internetové pˇ ripojení V dalším kroku pr˚ uvodce zkontroluje, zda je k dispozici pˇ ripojení k Internetu a je možné registrovat produkt online. V edicích Appliance a Box, pokud není detekováno internetové pˇ ripojení, pr˚ uvodce umožní zmˇ enit nastavení sít’ových rozhraní. Zvolte rozhraní pˇ ripojené k Internetu, zp˚ usob konfigurace (DHCP, statická konfigurace nebo PPPoE) a zadejte požadované parametry. Tento postup lze opakovat, dokud se nepodaˇ rí navázat funkˇ cní pˇ ripojení k Internetu. Na systému Windows je nutné nastavit parametry internetového pˇ ripojení pˇ rímo ve vlastnostech pˇ ríslušného sít’ového adaptéru. Alternativnˇ e je možné zvolit registraci offline a nastavit internetové pˇ ripojení pozdˇ eji. Nastavení ˇ casové zóny, data a ˇ casu (edice Appliance a Box) Pro registraci a celou ˇ radu dalších funkcí Kerio Control (ovˇ eˇ rování uživatel˚ u, záznamy, statistiky atd.) je nezbytné správné nastavení data, ˇ casu a ˇ casové zóny na firewallu. Zvolte vaši ˇ casovou zónu a zkontrolujte, pˇ rípadnˇ e upravte nastavení data a ˇ casu. Doporuˇ cujeme povolit synchronizaci ˇ casu s ˇ casovým serverem (používají se NTP servery spoleˇ cnosti Kerio Technologies). Aktivace online Aktivace online umožˇ nuje zaregistrovat sériové ˇ císlo zakoupeného produktu nebo tˇ ricetidenní zkušební verzi. Registrace zakoupené licence K registraci si pˇ ripravte licenˇ cní ˇ císlo zakoupeného produktu. • Zadejte licenˇ cní ˇ císlo a opište bezpeˇ cnostní kód z obrázku (ochrana proti zneužití registraˇ cního serveru). • V následujícím kroku m˚ užete upravit vaše registraˇ cní údaje. • Po úspˇ ešné registraci bude automaticky vytvoˇ ren licenˇ cní klíˇ c a produkt bude aktivován s platnou licencí. 30
5.3 Pr˚ uvodce aktivací produktu
Registrace zkušební verze Chcete-li testovat tˇ ricetidenní zkušební verzi produktu, m˚ užete si ji také zaregistrovat. Tato registrace je nepovinná a nezávazná. Registrace zkušební verze umožˇ nuje testovat také funkce, které jsou v neregistrované verzi nedostupné (modul Kerio Control Web Filter, aktualizace integrovaného antiviru a systému prevence útok˚ u). Dále získáte nárok na bezplatnou technickou podporu po dobu zkušebního období. Registrace zkušební verze neprodlužuje zkušební období. Aktivace offline Pro aktivaci offline je potˇ reba soubor s licenˇ cním klíˇ cem pro pˇ ríslušnou platformu (soubor má obvykle název license.key). Tento soubor m˚ užete mít zálohovaný z pˇ redchozí instalace Kerio Control. Nemáte-li k dispozici soubor s licenˇ cním klíˇ cem (nebo pˇ recházíte na jinou platformu), pak je možné zaregistrovat licenci na WWW stránkách spoleˇ cnosti Kerio Technologies (http://www.kerio.cz/, volba Podpora → Zaregistrovat licenci v hlavním menu). Pˇ ri vyplˇ nování registraˇ cních údaj˚ u zvolte správnˇ e operaˇ cní systém, na kterém chcete vaši licenci používat (Windows nebo Linux). Licence sama o sobˇ e je pˇ renositelná, ale licenˇ cní klíˇ c je již urˇ cen pouze pro konkrétní platformu. Po úspˇ ešné registraci licence si m˚ užete stáhnout vygenerovaný licenˇ cní klíˇ c a ten použít pro offline aktivaci produktu. Neregistrovaná zkušební verze V pˇ rípadˇ e, že z nˇ ejakého d˚ uvodu není možné registraci dokonˇ cit (napˇ r. v danou nemáte k dispozici internetové pˇ ripojení ani soubor s licenˇ cním klíˇ cem), pak lze odkazem Pˇ reskoˇ cit registraci aktivovat neregistrovanou tˇ ricetidenní zkušební verzi. Produkt je pak možné zaregistrovat pozdˇ eji pomocí odkaz˚ u na úvodní stránce administraˇ cního rozhraní. Dobrovolné odesílání statistik používání produktu Pˇ ri vývoji produktu Kerio Control jsou pro nás užiteˇ cné informace o tom, jakým zp˚ usobem je produkt využíván. Odesíláním dobrovolných statistik m˚ užete pˇ rispˇ et k vylepšení produktu. Statistiky neobsahují žádná d˚ uvˇ erná data (hesla, e-mailové adresy apod.) a jejich zasílání lze kdykoliv vypnout v sekci Konfigurace → Další volby → Aktualizace (viz kapitola 19.2). Heslo uživatele Admin V posledním kroku pr˚ uvodce aktivací je nutné zadat heslo uživatele Admin — hlavního správce firewallu. Uživatelské jméno Admin s tímto heslem pak slouží: • Pro pˇ rihlášení správˇ e firewallu prostˇ rednictvím webového administraˇ cního rozhraní (viz kapitola 4), • V pˇ rípadˇ e edic Appliance a Box také pro pˇ rihlášení konzole firewallu (viz kapitola 3.2). 31
Licence a registrace produktu
Zvolené heslo si dobˇ re zapamatujte nebo uložte na bezpeˇ cném místˇ e a uchovejte jej v tajnosti!
5.4 Vypršení licence nebo práva na aktualizaci Kerio Control automaticky upozorˇ nuje správce na blížící se datum skonˇ cení platnosti licence a/nebo skonˇ cení práva na aktualizaci (Software Maintenance) základního produktu, integrovaného antiviru Sophos nebo modulu Kerio Control Web Filter. Hlavním úˇ celem tˇ echto upozornˇ ení je vˇ cas informovat správce tom, že je tˇ reba prodloužit Software Maintenance nebo obnovit pˇ ríslušnou licenci. Tato upozornˇ ení mají následující podoby: • Upozornˇ ení bublinovou zprávou (tyto zprávy zobrazuje komponenta Kerio Control Engine Monitor — pouze v operaˇ cních systémech Windows), • Upozornˇ ení na vypršení licence a/nebo Software Maintenance informaˇ cním oknem po pˇ rihlášení do rozhraní Kerio Control Administration. • Upozornˇ ení na skonˇ cení funkˇ cnosti produktu ve WWW rozhraní firewallu pˇ ri pˇ rístupu na WWW stránku v Internetu. Poznámka: Správce Kerio Control m˚ uže rovnˇ ež nastavit zasílání výstrahy o vypršení licence nebo Software Maintenance formou e-mailu nebo krátké textové zprávy na mobilní telefon (viz kapitola 21.5).
Upozornˇ ení bublinovými zprávami (Windows) Sedm dní pˇ red inkriminovaným datem zaˇ cne Kerio Control Engine Monitor periodicky (nˇ ekolikrát dennˇ e) zobrazovat informaci o tom, kolik dní zbývá do vypršení licence nebo Software Maintenance. Tato informace se zobrazuje až do chvíle, kdy pˇ restane být Kerio Control nebo nˇ ekterá z jeho komponent funkˇ cní, pˇ rípadnˇ e kdy vyprší Software Maintenance. Informace se rovnˇ ež pˇ restane zobrazovat bezprostˇ rednˇ e po prodloužení Software Maintenance nebo licence pˇ ríslušné komponenty.
Upozornˇ ení v administraˇ cním rozhraní Poˇ cínaje 30. dnem pˇ red vypršením licence nebo Software Maintenance se po každém pˇ rihlášení ke správˇ e zobrazí varování o zbývajícím poˇ ctu dn˚ u do vypršení, pˇ rípadnˇ e že licence nebo Software Maintenance již vypršela. Souˇ cástí tohoto upozornˇ ení je odkaz na WWW stránky spoleˇ cnosti Kerio Technologies, kde lze získat bližší informace a zakoupit novou licenci nebo Software Maintenance na další období. Upozornˇ ení se pˇ restane zobrazovat po prodloužení Software Maintenance.
32
5.4 Vypršení licence nebo práva na aktualizaci
Upozornˇ ení ve WWW rozhraní Toto upozornˇ ení se zobrazuje v pˇ rípadˇ e ˇ casovˇ e omezených licencí (napˇ r. NFR licence) nebo ˇ casovˇ e omezených verzí (Beta a RC verze). Poˇ cínaje 7. dnem pˇ red datem skonˇ cení funkˇ cnosti Kerio Control pˇ ri pˇ rístupu libovolného uživatele na WWW stránku v Internetu dojde k pˇ resmˇ erování prohlížeˇ ce na speciální stránku WWW rozhraní firewallu. Tato stránka informuje uživatele o poˇ ctu dn˚ u zbývajících do skonˇ cení plné funkˇ cnosti produktu. Poznámka: Funkˇ cnost finálních verzí s platnou „standardní“ licencí není ˇ casovˇ e omezena.
33
Kapitola 6
Podpora protokolu IPv6
Kerio Control obsahuje základní podporu protokolu IP verze 6 (IPv6). Tato podpora zahrnuje: • Nastavení parametr˚ u IPv6 na sít’ových rozhraních, • Smˇ erování mezi jednotlivými rozhraními, • Automatickou bezestavovou konfiguraci poˇ cítaˇ cu ˚ a zaˇ rízení v lokální síti (SLAAC), • Základní firewall bez možnosti konfigurace (blokování komunikace smˇ erem z Internetu do lokální sítˇ e), • Omezování šíˇ rky pásma (bez možnosti definice vlastních pravidel a rezervace šíˇ rky pásma), • Pˇ rehled aktivních spojení, • Objem pˇ renesených dat na jednotlivých sít’ových rozhraních, • Sledování IP komunikace v záznamu Debug. Kerio Control tedy m˚ uže fungovat jako IPv6 smˇ erovaˇ c a umožˇ nuje pˇ rístup z poˇ cítaˇ cu ˚ v lokální síti do Internetu s použitím protokolu IPv6. Ostatní funkce a služby Kerio Control vˇ cetnˇ e administraˇ cního rozhraní jsou k dispozici pouze s použitím protokolu IPv4.
34
Kapitola 7
Sít’ová rozhraní
Kerio Control je sít’ový firewall. To znamená, že tvoˇ rí bránu mezi dvˇ ema nebo více sítˇ emi (typicky mezi lokální sítí a Internetem) a obsluhuje komunikaci procházející pˇ res sít’ová rozhraní (Ethernet, Wi-Fi, vytᡠcené linky atd.), která jsou do tˇ echto sítí pˇ ripojena. Kerio Control v principu pracuje jako IP smˇ erovaˇ c nad všemi sít’ovými rozhraními, která jsou 3 v systému instalována. Základem konfigurace firewallu je proto správné nastavení sít’ových rozhraní. Sít’ová rozhraní firewallu lze rozhraní zobrazit a konfigurovat ve WWW rozhraní Administration v sekci Konfigurace → Rozhraní . Tip Sít’ová rozhraní a nˇ ekteré další základní parametry Kerio Control lze snadno nastavit s použitím Pr˚ uvodce pˇ ripojením (viz kapitola 8.1). Tohoto pr˚ uvodce lze spustit tlaˇ cítkem Nastavit pomocí pr˚ uvodce v sekci Rozhraní nebo z Konfiguraˇ cního asistenta (viz kapitola 4.2) na úvodní stránce administraˇ cního rozhraní. Pr˚ uvodce pˇ ripojením však nepodporuje konfiguraci protokolu IPv6.
7.1 Skupiny rozhraní Pro snazší konfiguraci firewallu a lepší pˇ rehlednost se sít’ová rozhraní v Kerio Control ˇ radí do skupin. V komunikaˇ cních pravidlech firewallu lze skupiny rozhraní použít v položkách Zdroj a Cíl, stejnˇ e jako jednotlivá rozhraní (podrobnosti viz kapitola 9.3). Hlavní výhodou skupin rozhraní je fakt, že pˇ ri zmˇ enˇ e internetového pˇ ripojení, pˇ ridání nové linky, výmˇ enˇ e sít’ového adaptéru atd. není v˚ ubec nutné zasahovat do komunikaˇ cních pravidel — staˇ cí pouze zaˇ radit nové rozhraní do správné skupiny. V Kerio Control jsou definovány tyto skupiny rozhraní: • Internetová rozhraní — rozhraní, která jsou nebo mohou být použita pro pˇ ripojení k Internetu (sít’ové adaptéry, bezdrátové adaptéry, vytᡠcené linky atd.), • D˚ uvˇ eryhodná / Lokální rozhraní — rozhraní pˇ ripojená k lokálním privátním sítím, které budou firewallem chránˇ eny (typicky adaptéry Ethernet nebo Wi-Fi), 3
Chceme-li na systému Windows docílit toho, aby Kerio Control nepracoval s nˇ ekterým rozhraním, je možné ve vlastnostech tohoto rozhraní vypnout komponentu Kerio Control (nízkoúrovˇ nový ovladaˇ c Kerio Control). Z d˚ uvodu zajištˇ ení bezpeˇ cnosti a plné kontroly nad sít’ovou komunikací procházející pˇ res firewall však doporuˇ cujeme nevypínat nízkoúrovˇ nový ovladaˇ c Kerio Control na žádném sít’ovém rozhraní! Kerio Control v edicích Appliance a Box pracuje vždy se všemi sít’ovými rozhraními, která jsou ve stavu „UP“.
35
Sít’ová rozhraní
• Rozhraní pro VPN — virtuální sít’ová rozhraní využívaná proprietárním ˇ rešením Kerio VPN (VPN server a vytvoˇ rené VPN tunely — podrobnosti viz kapitola 25), • Ostatní rozhraní — rozhraní, která logicky nepatˇ rí do žádné z výše uvedených skupin (napˇ r. sít’ový adaptér pro demilitarizovanou zónu, nevyužitá vytᡠcená linka atd.). Skupiny rozhraní nelze vytvᡠret ani rušit (z hlediska konfigurace firewallu to nemá žádný smysl). Pˇ ri vytvᡠrení poˇ cáteˇ cní konfigurace firewallu prostˇ rednictvím Pr˚ uvodce pˇ ripojením (viz kapitola 8.1) budou automaticky zaˇ razena do správných skupin rozhraní vybraná pro pˇ ripojení k Internetu a pro lokální sít’. Zaˇ razení rozhraní do skupin lze kdykoliv pozdˇ eji upravit dle potˇ reby (s urˇ citými omezeními — napˇ r. VPN server a VPN tunely patˇ rí vždy do skupiny Rozhraní pro VPN ). Pˇ resun rozhraní do jiné skupiny se provádí pˇ retažením myší nebo výbˇ erem skupiny ve vlastnostech pˇ ríslušného rozhraní — viz níže. Poznámka: Pokud se neprovede poˇ cáteˇ cní konfigurace firewallu pomocí pr˚ uvodce, pak jsou všechna rozhraní (s výjimkou rozhraní pro VPN) zaˇ razena do skupiny Ostatní rozhraní. Pˇ red vytvᡠrením komunikaˇ cních pravidel doporuˇ cujeme správnˇ e definovat rozhraní pro pˇ ripojení k Internetu a pro lokální sít’ — tím se znaˇ cnˇ e zjednoduší definice vlastních pravidel.
7.2 Konfigurace port˚ u Ethernet Zaˇ rízení Kerio Control Box disponuje ˇ ctyˇ rmi, resp. osmi porty Gigabit Ethernet. Jednotlivé porty mohou být softwarovˇ e nastaveny jako samostatná rozhraní nebo zaˇ razeny do switche, pˇ rípadnˇ e vypnuty. V malých sítích tedy Kerio Control m˚ uže sloužit nejen pro zabezpeˇ cení internetové brány, ale také jako switch — není potˇ reba žádné další zaˇ rízení. Ve složitˇ ejších sít’ových konfiguracích je možné využít virtuální sítˇ e (VLAN). Možnosti konfigurace port˚ u Ethernet: • Samostatné rozhraní — port bude použit jako samostatné rozhraní typu Ethernet. Takový port se obvykle využívá pro pˇ ripojení k Internetu (zaˇ radíme jej do skupiny Internetová rozhraní ), pˇ rípadnˇ e pˇ ripojení oddˇ eleného segmentu lokální sítˇ e (skupina D˚ uvˇ eryhodná / Lokální rozhraní ) nebo demilitarizované zóny (skupina Ostatní rozhraní ). • Switch pro LAN — port bude souˇ cástí switche, který se v Kerio Control chová jako jedno rozhraní typu Ethernet. Switch je standardnˇ e zaˇ razen do skupiny D˚ uvˇ eryhodná / Lokální rozhraní a slouží pro pˇ ripojení lokálních pracovních stanic, server˚ u, switch˚ u, router˚ u a dalších zaˇ rízení, která tvoˇ rí infrastrukturu lokální sítˇ e. • Nepˇ riˇ razeno — port bude neaktivní. Toho lze využít napˇ r. pro doˇ casné odpojení poˇ cítaˇ ce nebo ˇ cásti sítˇ e, která je k tomuto portu pˇ ripojena. 36
7.2 Konfigurace port˚ u Ethernet
Rychlost a duplexní režim Ve vˇ etšinˇ e pˇ rípad˚ u se propojená zaˇ rízení „dohodnou“ na rychlosti a režimu komunikace automaticky. Pokud je to z nˇ ejakého d˚ uvodu potˇ reba, je možné ruˇ cnˇ e zvolit požadovaný režim a rychlost. Pˇ riˇ razení portu Port m˚ uže mít jednu z následujících rolí: • Samostatné rozhraní — port bude použit jako samostatné rozhraní typu Ethernet. Takový port se obvykle využívá pro pˇ ripojení k Internetu (bude zaˇ razen do skupiny Internetová rozhraní ), pˇ rípadnˇ e pˇ ripojení oddˇ eleného segmentu lokální sítˇ e (skupina D˚ uvˇ eryhodná / Lokální rozhraní ) nebo demilitarizované zóny (skupina Ostatní rozhraní ). • Switch pro LAN — port bude souˇ cástí switche, který se v Kerio Control chová jako jedno rozhraní typu Ethernet. Switch je standardnˇ e zaˇ razen do skupiny D˚ uvˇ eryhodná / Lokální rozhraní a slouží pro pˇ ripojení lokálních pracovních stanic, server˚ u, switch˚ u, router˚ u a dalších zaˇ rízení, která tvoˇ rí infrastrukturu lokální sítˇ e. • Nepˇ riˇ razeno — port bude neaktivní. Toho lze využít napˇ r. pro doˇ casné odpojení poˇ cítaˇ ce nebo ˇ cásti sítˇ e, která je k tomuto portu pˇ ripojena. Virtuální lokální sítˇ e (VLAN) Na rozhraní typu Ethernet m˚ užete vytvoˇ rit jednu nebo více tagovaných virtuálních sítí (VLAN, dle standardu IEEE 802.1Q). Pro definici VLAN staˇ cí uvést seznam jejich identifikátor˚ u (VLAN ID). VLAN ID je celé ˇ císlo z rozsahu 1-4094. Jednotlivé identifikátory se oddˇ elují stˇ redníky. Na každém rozhraní lze definovat nejvýše 1000 VLAN. Každá VLAN se v Kerio Control chová jako samostatné rozhraní typu Ethernet. Novˇ e definované VLAN jsou automaticky zaˇ razeny do skupiny Ostatní rozhraní. Role fyzického portu (samostatné rozhraní / switch / nepˇ riˇ razeno) nemá na VLAN žádný vliv.
Kerio Control Appliance Edition Edice Appliance (Software Appliance nebo virtuální zaˇ rízení) umožˇ nuje nastavení rychlosti a duplexního režimu rozhraní typu Ethernet a vytvᡠrení virtuálních sítí (VLAN) na tˇ echto rozhraních. Fyzická rozhraní (porty) nelze zaˇ radit do switche.
Edice pro systém Windows V edici pro systém Windows není možné konfigurovat porty Ethernet ani vytvᡠret virtuální sítˇ e (VLAN).
37
Sít’ová rozhraní
7.3 Speciální rozhraní V sekci Rozhraní se zobrazují také tato dvˇ e speciální rozhraní: VPN server Toto rozhraní pˇ redstavuje server pro pˇ ripojení proprietárního VPN klienta (Kerio VPN Client — zdarma ke stažení na stránce http://www.kerio.cz/cz/control/download). VPN server je vždy zaˇ razen do skupiny Rozhraní pro VPN. Rozhraní VPN server nelze odstranit. Podrobné informace o proprietárním VPN ˇ rešení Kerio VPN naleznete v kapitole 25. Dial-In (pouze na systému Windows) Toto rozhraní pˇ redstavuje server služby RAS (telefonického pˇ ripojení sítˇ e) na poˇ cítaˇ ci s Kerio Control. S použitím rozhraní Dial-In lze definovat komunikaˇ cní pravidla (viz kapitola 9) pro RAS klienty, kteˇ rí se na tento server pˇ ripojují. Rozhraní Dial-In je považováno za d˚ uvˇ eryhodné (klient pˇ ripojený pˇ res toto rozhraní má pˇ rístup do lokální sítˇ e). Toto rozhraní nelze konfigurovat ani odstranit. Pokud z nˇ ejakého d˚ uvodu RAS klienty nepovažujete za souˇ cást d˚ uvˇ eryhodné lokální sítˇ e, pˇ resuˇ nte rozhraní Dial-In pˇ resunout do skupiny Ostatní rozhraní. Poznámka: 1.
2.
Pˇ ri použití RAS serveru spoleˇ cnˇ e s Kerio Control je tˇ reba nastavit RAS server tak, aby pˇ ridˇ eloval klient˚ um IP adresy ze subsítˇ e, která není použita v žádném segmentu lokální sítˇ e. Kerio Control provádí standardní IP smˇ erování a pˇ ri nedodržení uvedené podmínky nebude toto smˇ erování fungovat správnˇ e. Pro pˇ ridˇ elování IP adres RAS klient˚ um pˇ ripojujícím se pˇ rímo k poˇ cítaˇ ci s Kerio Control nelze využít DHCP server v Kerio Control. Podrobnosti viz kapitola 11.2.
7.4 Zobrazení a zmˇ ena parametr˚ u rozhraní Kerio Control v seznamu rozhraní zobrazuje parametry, které souvisejí s konfigurací a ˇ cinností firewallu: Jméno Jednoznaˇ cný název, který identifikuje rozhraní v rámci Kerio Control. Zvolte jej tak, aby bylo zˇ rejmé, o který adaptér se jedná (napˇ r. Internet pro rozhraní pˇ ripojené k Internetu). Název rozhraní m˚ uže být kdykoliv pozdˇ eji zmˇ enˇ en (viz dále), aniž by tím došlo k ovlivnˇ ení funkce Kerio Control. Ikona vlevo od názvu zobrazuje typ rozhraní (sít’ový adaptér, vytᡠcené pˇ ripojení, VPN server, VPN tunel). Poznámka: Nebyl-li dosud název rozhraní zadán ruˇ cnˇ e, obsahuje tato položka jméno adaptéru z operaˇ cního systému (viz položka Jméno adaptéru).
38
7.4 Zobrazení a zmˇ ena parametr˚ u rozhraní
Stav Stav rozhraní (pˇ ripojeno/odpojeno). IPv4 adresa, maska, brána, DNS Parametry protokolu IPv4. IPv6 adresa, délka prefixu, brána Parametry protokolu IPv6. Pokud má zvolený adaptér nastaveno více IP adres, zobrazuje se zde vždy primární IP adresa. V systému Windows je za primární adresu považována ta, která byla danému adaptéru pˇ riˇ razena jako první. Pˇ ripojení Informace o tom, jakým zp˚ usobem je rozhraní použito pro internetové pˇ ripojení: • Zálohované pˇ ripojení — primární nebo sekundární linka, • Rozložení zátˇ eže sítˇ e — váha linky. Podrobnosti Identifikaˇ cní ˇ retˇ ezec adaptéru, který vrací pˇ ríslušný ovladaˇ c zaˇ rízení. Jméno v systému Pojmenování adaptéru v operaˇ cním systému (napˇ r. „Pˇ ripojení k místní síti 2“). Slouží pro snazší orientaci, o který adaptér se jedná. MAC Hardwarová (MAC) adresa pˇ ríslušného sít’ového adaptéru. U vytᡠcených linek, rozhraní pro VPN atd. nemá tato položka smysl a je prázdná. Tlaˇ cítka pod seznamem rozhraní umožˇ nují provádˇ et urˇ cité akce s vybraným rozhraním. Není-li vybráno žádné rozhraní, nebo vybrané rozhraní danou funkci nepodporuje, jsou pˇ ríslušná tlaˇ cítka neaktivní. Pˇ ridat VPN tunel / Pˇ ridat → VPN tunel Tímto tlaˇ cítkem lze vytvoˇ rit nový VPN tunel typu server-to-server. Podrobnosti o proprietárním VPN ˇ rešení Kerio VPN viz kapitola 25. Poznámka: V edicích Appliance a Box je možné také pˇ ridávat nová rozhraní (PPTP a PPPoE pˇ ripojení) reba — viz sekce 7.5. Je-li Kerio Control nainstalován na systému Windows, pak je potˇ definovat nová pˇ ripojení standardním zp˚ usobem pˇ rímo v operaˇ cním systému. Zmˇ enit Stisknutím tlaˇ cítka Zmˇ enit lze zobrazit podrobné informace a upravit parametry vybraného rozhraní. Každému rozhraní lze v Kerio Control pˇ riˇ radit vlastní jméno (název rozhraní pˇ revzatý z operaˇ cního systému nemusí být vždy srozumitelný, dokonce ani jednoznaˇ cný). Dále lze zmˇ enit skupinu, do které je rozhraní zaˇ razeno (Internet, chránˇ ená lokální sít’, jiná sít’ — napˇ r. DMZ), nastavení výchozí brány a DNS server˚ u. V edicích Appliance a Box je možné v tomto dialogu nastavit všechny parametry sít’ového rozhraní. Rozhraní mohou být pˇ riˇ razeny další IP adresy (v pˇ rípadˇ e protokolu IPv4 lze 39
Sít’ová rozhraní
pˇ ridat maximálnˇ e pˇ ridat 32 sekundárních IP adres; poˇ cet sekundárních IPv6 adres není omezen). Jedná-li se o vytᡠcenou linku, umožˇ nuje dialog nastavit také pˇ rihlašovací údaje a volby pro vytᡠcení (viz kapitola 8.5). V pˇ rípadˇ e rozhraní VPN server a VPN tunel˚ u se zobrazí dialog pro nastavení parametr˚ u VPN serveru (viz kapitola 25.1), resp. VPN tunelu (viz kapitola 25.3). Odebrat Odstranˇ ení vybraného rozhraní z Kerio Control. Odstranit rozhraní lze pouze za následujících podmínek: • jedná se o neaktivní (odpojený) VPN tunel, • jedná se o sít’ový adaptér, který již není v systému fyzicky pˇ rítomen nebo není aktivní, • jedná se o vytᡠcenou linku, která již v systému neexistuje. Sít’ový adaptér nebo vytᡠcenou linku definovanou v operaˇ cním systému ˇ ci navázaný VPN tunel Kerio Control nepovolí odebrat. Poznámka: 1.
2.
Záznam o již neexistujícím sít’ovém adaptéru nebo odstranˇ ené vytᡠcené lince nemá žádný vliv na ˇ cinnost Kerio Control — je považován za neaktivní, stejnˇ e jako vytᡠcená linka v zavˇ ešeném stavu. Pˇ ri odstranˇ ení rozhraní se ve všech komunikaˇ cních pravidlech, ve kterých bylo toto rozhraní použito, dosadí do pˇ ríslušné položky hodnota Nic. Všechna taková pravidla pak budou neaktivní. Tím je zajištˇ eno, že odebrání rozhraní nijak neovlivní smysl komunikaˇ cních pravidel (podrobnosti viz kapitola 9.3).
Vytoˇ cit, Zavˇ esit / Povolit, Zakázat Funkce tˇ echto tlaˇ cítek závisí na typu vybraného rozhraní: • V pˇ rípadˇ e vytᡠcené linky, PPTP nebo PPPoE pˇ ripojení jsou tlaˇ cítka oznaˇ cena Vytoˇ cit a Zavˇ esit a slouží k ruˇ cnímu ovládání vybrané linky. Poznámka: Uživatelé s pˇ ríslušným právem mohou rovnˇ ež ovládat vytᡠcené linky v uživatelském WWW rozhraní (viz kapitola 18.2 a manuál Kerio Control — Pˇ ríruˇ cka uživatele). • V pˇ rípadˇ e VPN tunelu jsou tato tlaˇ cítka oznaˇ cena Povolit a Zakázat a slouží k aktivaci / deaktivaci vybraného VPN tunelu (podrobnosti viz kapitola 25.3). V edici Software Appliance / VMware Virtual Appliance lze povolit nebo zakázat také jednotlivé sít’ové adaptéry. • Je-li vybráno rozhraní Dial-in nebo VPN server, jsou tato tlaˇ cítka neaktivní.
40
7.5 Pˇ ridání nového rozhraní (edice Appliance a Box)
7.5 Pˇ ridání nového rozhraní (edice Appliance a Box) Kerio Control v edicích Appliance a Box umožˇ nuje pˇ ridávat nová sít’ová rozhraní (PPTP a PPPoE pˇ ripojení). Stisknutím tlaˇ cítka Pˇ ridat se zobrazí nabídka, ze které vybereme požadovaný typ nového rozhraní. Novému rozhraní je potˇ reba pˇ riˇ radit dostateˇ cnˇ e popisné jméno, pod kterým bude rozhraní zobrazováno v Kerio Control, a zaˇ radit jej do nˇ ekteré skupiny rozhraní (skupinu lze samozˇ rejmˇ e kdykoliv pozdˇ eji zmˇ enit dle potˇ reby). Dále jsou vyžadovány údaje podle typu pˇ ripojení: • PPTP — PPTP server, uživatelské jméno a heslo, • PPPoE — rozhraní (typu Ethernet), uživatelské jméno a heslo. Rozhraní m˚ uže být nastaveno jako libovolné — Kerio Control pak automaticky vybere vhodné rozhraní, pˇ res které bude PPPoE pˇ ripojení navázáno. — Volitelnˇ e lze zadat IP adresu specifického DNS serveru, který bude použit jako primární DNS server pˇ ri pˇ rístupu do Internetu pˇ res toto rozhraní. Záložka Nastavení vytᡠcení umožˇ nuje nastavit ˇ casové intervaly, ve kterých má být pˇ ripojení trvale navázáno nebo trvale odpojeno. Mimo tyto intervaly bude nutné linku vytᡠcet ruˇ cnˇ e (bud’ v administraˇ cním rozhraní nebo v uživatelském WWW rozhraní — viz manuál Kerio Control — Pˇ ríruˇ cka uživatele). Linka m˚ uže být automaticky zavˇ ešována po nastavené dobˇ e neˇ cinnosti (podrobnosti viz sekce 7.6). Poznámka: Pˇ ripojení typu PPPoE lze rovnˇ ež definovat ve vlastnostech pˇ ríslušného rozhraní typu Ethernet. To je doporuˇ cený zp˚ usob, pokud budete využívat pouze jedno PPPoE pˇ ripojení pˇ res vyhrazené rozhraní.
7.6 Upˇ resˇ nující nastavení vytᡠcené linky Pro vytᡠcené linky je dialog pro nastavení parametr˚ u rozhraní (viz kapitola 7) rozšíˇ ren o záložku Nastavení vytᡠcení , která umožˇ nuje nastavit specifické parametry pro vytᡠcená pˇ ripojení: Pˇ rihlašovací údaje Dojde-li ke zmˇ enˇ e pˇ rihlašovacích údaj˚ u k pˇ ríslušnému vytᡠcenému pˇ ripojení, m˚ užeme je zde aktualizovat, pˇ rípadnˇ e použít údaje uložené v operaˇ cním systému (pokud byly mezitím v systému uloženy).
41
Sít’ová rozhraní
ˇ Casové intervaly pro trvalé pˇ ripojení a trvalé zavˇ ešení V nˇ ekterých pˇ rípadech m˚ uže být požadováno, aby vytᡠcení na žádost fungovalo jen v urˇ citém ˇ case (typicky v pracovní dobˇ e) a mimo tuto dobu z˚ ustala linka zavˇ ešená. S ohledem na tarif telefonního operátora m˚ uže být v dobˇ e s velkou intenzitou sít’ového provozu naopak výhodnˇ ejší ponechat linku trvale vytoˇ cenou. Pro tyto úˇ cely je možné nastavit ˇ casové intervaly, kdy má být linka trvale pˇ ripojena a kdy naopak trvale zavˇ ešena. Pokud se vybrané ˇ casové intervaly pˇ rekrývají, pak má vyšší prioritu interval, ve kterém je linka trvale zavˇ ešena. V ˇ casech mimo nastavené intervaly je nutné linku pˇ ripojovat ruˇ cnˇ e (bud’ v administraˇ cním rozhraní nebo v uživatelském WWW rozhraní — viz manuál Kerio Control — Pˇ ríruˇ cka uživatele). Kerio Control na systému Windows podporuje také režim automatického vytᡠcení linky na základˇ e požadavk˚ u z lokální sítˇ e (tzv. vytᡠcení na žádost — viz kapitola 8.5). Poznámka: 1.
2.
Pokud je ve smˇ erovací tabulce v Kerio Control definována statická cesta pˇ res vytᡠcenou linku, pak tato linka bude vytoˇ cena vždy, když bude touto cestou smˇ erován nˇ ejaký paket. Nastavení intervalu, kdy má být linka trvale zavˇ ešena, bude v tomto pˇ rípadˇ e ignorováno. Podrobnosti viz kapitola 20.1. Konfigurace vytᡠcení neobsahuje explicitní volbu pro obnovení pˇ ripojení po výpadku. V pˇ rípadˇ e výpadku pˇ ripojení bude nebo nebude obnoveno v závislosti na režimu linky v aktuálním okamžiku: • Pokud má být linka trvale pˇ ripojena, pak bude spojení automaticky ihned obnoveno. • Má-li být linka trvale zavˇ ešena, pak pˇ ripojení obnoveno nebude. • V režimu vytᡠcení na žádost (tj. mimo zde nastavené intervaly) bude pˇ ripojení obnoveno s prvním následujícím požadavkem (paketem z lokální sítˇ e do Internetu).
Automatické zavˇ ešení linky pˇ ri neˇ cinnosti Vytᡠcené linky jsou zpravidla úˇ ctovány podle doby pˇ ripojení. Pokud pˇ ripojením nejsou pˇ renášena žádná data, je zbyteˇ cné, aby linka z˚ ustávala pˇ ripojená. Proto je možné nastavit dobu, po které bude linka automaticky zavˇ ešena. Pro optimální nastavení doby neˇ cinnosti je tˇ reba vzít v úvahu zp˚ usob, jakým je pˇ ripojení úˇ ctováno. Pˇ ríliš krátká doba zp˚ usobí ˇ casté zavˇ ešování a vytᡠcení linky, což m˚ uže náklady naopak zvýšit (a navíc zhoršit uživatelský komfort). V ˇ casovém intervalu, kdy má být linka trvale pˇ ripojena (viz výše), je doba neˇ cinnosti ignorována.
42
7.7 Pomocné skripty pro ovládání linky (Windows)
7.7 Pomocné skripty pro ovládání linky (Windows) V nˇ ekterých pˇ rípadech vzniká potˇ reba spustit pˇ ri vytᡠcení nebo zavˇ ešování linky urˇ citý program nebo skript (dávkový pˇ ríkaz). M˚ uže se jednat napˇ r. o speciální typ modemu, který musí být ovládán programem dodaným jeho výrobcem. Kerio Control umožˇ nuje spustit libovolný program nebo pˇ ríkaz v tˇ echto okamžicích: Pˇ red vytoˇ cením linky, Po vytoˇ cení linky, Pˇ red zavˇ ešením linky a Po zavˇ ešení linky. V pˇ rípadˇ e akcí Pˇ red vytoˇ cením a Pˇ red zavˇ ešením se po spuštˇ ení programu neˇ ceká na jeho ukonˇ cení. Skripty pro ovládání vytᡠcených linek musejí být umístˇ eny v podadresᡠri scripts instalaˇ cního adresᡠre firewallu, typicky C:\Program Files\Kerio\WinRoute Firewall\scripts (pozor, tento adresᡠr ve výchozí instalaci neexistuje — je potˇ reba jej vytvoˇ rit!). Soubory skript˚ u musejí mít tyto názvy: • BeforeDial.cmd — pˇ red vytoˇ cením linky, • AfterDial.cmd — po vytoˇ cení linky, • BeforeHangup.cmd — pˇ red zavˇ ešením linky, • AfterHangup.cmd — po zavˇ ešení linky. Každému skriptu je jako první parametr pˇ redán celý název pˇ ripojení, které je právˇ e vytᡠceno nebo zavˇ ešováno — jméno rozhraní v Kerio Control. Pˇ rípadné chyby (napˇ r. pokud povolíme nˇ ekterou akci, ale pˇ ríslušný skript neexistuje) se zapisují do záznamu Error (viz kapitola 24.8). Poznámka: Pokud název vytᡠceného pˇ ripojení obsahuje mezery, bude pˇ ri volání skriptu automaticky vložen do uvozovek, ˇ címž bude správnˇ e zajištˇ eno pˇ redání celého názvu v jediném parametru skriptu. Vhodnˇ ejší je však používat pro vytᡠcená rozhraní názvy bez mezer a bez diakritiky. Rozhraní v Kerio Control lze kdykoliv bez problém˚ u pˇ rejmenovat. Upozornˇ ení: V operaˇ cním systému Windows bˇ eží Kerio Control jako služba, a proto budou zadané externí aplikace nebo pˇ ríkazy operaˇ cního systému spouštˇ eny pouze na pozadí (pod úˇ ctem SYSTEM ). Totéž platí pro všechny pˇ ríkazy a externí programy volané v zadaných skriptech. Z tohoto d˚ uvodu není vhodné pro výše popsané akce používat interaktivní aplikace (tzn. aplikace, které vyžadují zásah uživatele). Interaktivní aplikace by z˚ ustala „neviditelnˇ e“ spuštˇ ená až do restartu systému nebo ukonˇ cení pˇ ríslušného procesu. V nˇ ekterých pˇ rípadech by taková aplikace mohla zároveˇ n blokovat další vytoˇ cení nebo zavˇ ešení linky.
43
Kapitola 8
Nastavení internetového pˇ ripojení a lokální sítˇ e
Základní funkcí Kerio Control je pˇ ripojení lokální sítˇ e k Internetu. Pro sítˇ e používající protokol IPv4 je možné použít jedno nebo více internetových pˇ ripojení (internetových linek). V závislosti na poˇ ctu a typu linek nabízí Kerio Control r˚ uzné možnosti pˇ ripojení k Internetu. V pˇ rípadˇ e protokolu IPv6 je možné pˇ ripojení pouze jednou linkou. Jedna internetová linka Nejbˇ ežnˇ ejší zp˚ usob pˇ ripojení lokální sítˇ e k Internetu. K dispozici je pouze jedno internetové pˇ ripojení, které má trvalý charakter (typicky Ethernet, Wi-Fi, ADSL nebo kabelový modem). Lze použít i linky, které mají charakter vytᡠceného pˇ ripojení, ale mohou být trvale pˇ ripojeny — typicky pˇ ripojení PPPoE. Jedna linka — vytᡠcení na žádost (pouze na systému Windows) Tento zp˚ usob pˇ ripojení je vhodný pro linky, které jsou úˇ ctovány podle doby pˇ ripojení — typicky modem pro analogovou nebo ISDN linku. Linka je ve výchozím stavu zavˇ ešena a Kerio Control ji automaticky vytoˇ cí v okamžiku, kdy zaznamená požadavek na pˇ rístup z lokální sítˇ e do Internetu. Pokud nejsou po lince pˇ renášena žádná data, Kerio Control ji ˇ po nastavené dobˇ e opˇ et zavˇ esí, címž snižuje náklady na pˇ ripojení. Tento režim je k dispozici pouze v Kerio Control pro systém Windows. Kerio Control v edicích Appliance a Box nepodporuje vytᡠcené linky. Dvˇ e linky — zálohování pˇ ripojení Pokud je kladen d˚ uraz na spolehlivost internetového pˇ ripojení (dostupnost Internetu) a jsou k dispozici dvˇ e internetové linky, pak lze využít funkci zálohování internetového pˇ ripojení. V pˇ rípadˇ e výpadku primární linky zaˇ cne Kerio Control automaticky používat záložní linku (pevnou nebo vytᡠcenou). Uživatelé tak zaznamenají jen velmi krátkodobý výpadek internetového pˇ ripojení. Po obnovení funkˇ cnosti primární linky Kerio Control automaticky pˇ repne internetové pˇ ripojení zpˇ et na primární linku. Pˇ ri pˇ repnutí zpˇ et již vˇ etšina uživatel˚ u ani nezaznamená výpadek. Dvˇ e a více linek — rozložení zátˇ eže Je-li nejd˚ uležitˇ ejším kritériem propustnost (rychlost) internetového pˇ ripojení, pak m˚ uže Kerio Control použít více internetových linek zároveˇ n a rozdˇ elit data pˇ renášená mezi lokální sítí a Internetem mezi tyto linky. Pˇ ri standardním nastavení se zároveˇ n jedná o zálohované pˇ ripojení — pˇ ri výpadku nˇ ekteré z linek budou data automaticky rozložena mezi zbývající linky.
44
8.1 Pr˚ uvodce pˇ ripojením
Pˇ ri konfiguraci internetového pˇ ripojení v Kerio Control je nejprve potˇ reba v sekci Konfigurace → Rozhraní vybrat požadovaný zp˚ usob pˇ ripojení k Internetu, nastavit pˇ ríslušná rozhraní pro pˇ ripojení k Internetu a definovat odpovídající komunikaˇ cní pravidla (viz kapitola 9.3).
8.1 Pr˚ uvodce pˇ ripojením Pro snadnou konfiguraci sít’ových rozhraní, internetového pˇ ripojení a lokální sítˇ e nabízí Kerio Control tzv. Pr˚ uvodce pˇ ripojením. Tohoto pr˚ uvodce lze spustit z Konfiguraˇ cního asistenta (viz kapitola 4.2) nebo tlaˇ cítkem Nastavit pomocí pr˚ uvodce v sekci Konfigurace → Rozhraní . Typické použití pr˚ uvodce pˇ ripojením je poˇ cáteˇ cní konfigurace internetového pˇ ripojení a lokální sítˇ e. Pˇ ri pozdˇ ejším použití se pr˚ uvodce snaží do maximální možné míry respektovat stávající konfiguraci firewallu. Pokud detekuje specifická nastavení, se kterými by nemohl pracovat, zobrazí podrobné informace a ukonˇ cí se. Správce Kerio Control pak m˚ uže tato nastavení ruˇ cnˇ e upravit nebo provést potˇ rebné konfiguraˇ cní zmˇ eny bez použití pr˚ uvodce. Mezi tato „nepodporovaná“ nastavení patˇ rí napˇ r. DHCP server v režimu ruˇ cní konfigurace (viz kapitola 11.2) nebo vytᡠcení internetového pˇ ripojení na žádost (Kerio Control na systému Windows).
Režim internetového pˇ ripojení Prvním krokem pr˚ uvodce je výbˇ er režimu internetového pˇ ripojení: • Jedna internetová linka — pˇ ripojení jednou pevnou nebo vytᡠcenou linkou (viz kapitola 8.2). • Dvˇ e internetové linky s rozložením zátˇ eže — pro pˇ ripojení k Internetu budou použity ˇ dvˇ e linky, címž se zvýší rychlost (propustnost) pˇ ripojení (viz kapitola 8.3). • Dvˇ e internetové linky se zálohováním — pro pˇ ripojení k Internetu bude použita jedna (primární) linka, pˇ ri výpadku se automaticky pˇ repne na druhou (záložní) linku (viz kapitola 8.4). Jednotlivé režimy pˇ ripojení jsou podrobnˇ e popsány v následujících kapitolách. Poznámka: 1. 2. 3.
Pr˚ uvodce umožˇ nuje nastavit pouze parametry protokolu IPv4. Chcete-li používat protokol IPv6, je potˇ reba nastavit parametry jednotlivých sít’ových rozhraní ruˇ cnˇ e. Režimy rozložení zátˇ eže a zálohování pˇ ripojení lze použít pouze s protokolem IPv4. Kerio Control na systému Windows umožˇ nuje také vytᡠcení internetového pˇ ripojení na žádost. Tento režim nelze nastavit pomocí pr˚ uvodce. Podrobnosti viz kapitola 8.5.
45
Nastavení internetového pˇ ripojení a lokální sítˇ e
Výbˇ er internetových rozhraní V závislosti na zvoleném režimu pˇ ripojení je potˇ reba vybrat rozhraní pˇ ripojené (resp. pˇ ripojená) k Internetu. Pr˚ uvodce umožˇ nuje u jednotlivých rozhraní upravit nastavení výchozí brány a DNS server˚ u (standardnˇ e se používá nastavení detekované z operaˇ cního systému firewallu). Kerio Control v edicích Appliance a Box umožˇ nuje nastavit také IP adresu a masku subsítˇ e na jednotlivých rozhraní. V pr˚ uvodci není možné nastavit parametry vytᡠceného pˇ ripojení (telefonní ˇ císlo, pˇ rihlašovací údaje atd.). Výbˇ er rozhraní pro lokální sít’ a nastavení DHCP serveru Dalším krokem je výbˇ er rozhraní pˇ ripojeného k lokální síti. Rozhraní pro lokální sít’ bude sloužit jako výchozí brána (pˇ rípadnˇ e i jako DNS server) pro poˇ cítaˇ ce v lokální síti. Z tohoto d˚ uvodu musí mít rozhraní pevnou IP adresu a nelze jej tedy konfigurovat protokolem DHCP. Pr˚ uvodce pˇ redpokládá, že je k lokální síti právˇ e jedno rozhraní firewallu. Rozhraní nepoužitá pro internetové pˇ ripojení ani pro lokální sít’ budou zaˇ razena do skupiny Ostatní rozhraní. Je-li lokální sít’ tvoˇ rena více segmenty pˇ ripojenými k r˚ uzným rozhraním firewallu, pak staˇ cí po dokonˇ cení pr˚ uvodce pˇ ridat všechna zbývající rozhraní do skupiny D˚ uvˇ eryhodná / Lokální rozhraní . Souˇ casnˇ e s výbˇ erem rozhraní pro lokální sít’ je možné také povolit automatickou konfiguraci poˇ cítaˇ cu ˚ v lokální síti DHCP serverem v Kerio Control (doporuˇ ceno). Tato volba zapne DHCP server v režimu automatické konfigurace — není potˇ reba nic dalšího nastavovat. Nechcete-li DHCP server v Kerio Control použít, ponechá jej pr˚ uvodce vypnutý, aby nedocházelo ke kolizím. Shrnutí a aplikace nové konfigurace V posledním kroku pr˚ uvodce se zobrazí shrnutí nové konfigurace pˇ ripojení na základˇ e zadaných informací. Toto je poslední možnost, kdy lze pr˚ uvodce pˇ rerušit. Po potvrzení bude nová konfigurace aplikována.
8.2 Pˇ ripojení k Internetu jednou linkou Požadavky Poˇ cítaˇ c s Kerio Control musí být pˇ ripojen k Internetu pevnou linkou (typicky adaptér Ethernet nebo Wi-Fi). Parametry toho rozhraní budou nastaveny podle údaj˚ u od poskytovatele internetového pˇ ripojení nebo mohou být konfigurovány automaticky protokolem DHCP. 46
8.2 Pˇ ripojení k Internetu jednou linkou
Alternativnˇ e je možné použít linku, která má charakter vytᡠceného pˇ ripojení, ale m˚ uže být trvale pˇ ripojena — typicky pˇ ripojení PPPoE. Linku tohoto typu bude Kerio Control udržovat trvale pˇ ripojenou (pˇ ri výpadku dojde ihned k automatickému obnovení pˇ ripojení). Dále musí být pˇ rítomen jeden nebo více sít’ových adaptér˚ u pro pˇ ripojení segment˚ u lokální sítˇ e. Na žádném z tˇ echto adaptér˚ u nesmí být nastavena výchozí brána! Tip Na systému Windows doporuˇ cujeme vyzkoušet funkˇ cnost internetového pˇ ripojení ještˇ e pˇ red instalací Kerio Control.
Konfigurace pomocí pr˚ uvodce 1.
V prvním kroku Pr˚ uvodce pˇ ripojením (viz kapitola 9.1) zvolíme možnost Jedna internetová linka.
2.
V dalším kroku pr˚ uvodce pak vybereme odpovídající sít’ové rozhraní (internetovou linku). Kerio Control automaticky nabídne rozhraní, na kterém detekoval výchozí bránu. Proto je ve vˇ etšinˇ e pˇ rípad˚ u v tomto kroku již pˇ rednastaven správný adaptér. Pr˚ uvodce umožˇ nuje upravit nastavení výchozí brány a DNS server˚ u na vybraném rozhraní. V edicích Appliance a Box je možné nastavit také IP adresu a masku subsítˇ e. Pokud zvolíme pˇ ripojení PPPoE, pak je potˇ reba zadat pˇ ríslušné uživatelské jméno a heslo. Poznámka: Pokud má zvolený adaptér nastaveno více IP adres, zobrazuje se zde vždy primární IP adresa. V systému Windows je za primární adresu považována ta, která byla danému adaptéru pˇ riˇ razena jako první. Podrobné informace o sít’ových rozhraních naleznete v kapitole 7.
3.
Ve tˇ retím kroku pr˚ uvodce zvolíme rozhraní pˇ ripojené k lokální síti. Je-li k lokální síti pˇ ripojeno více rozhraní, vybereme v pr˚ uvodci rozhraní, pˇ res které jsme aktuálnˇ e pˇ ripojeni ke správˇ e Kerio Control. Zbývající adaptéry pak ruˇ cnˇ e pˇ resuneme do skupiny D˚ uvˇ eryhodná / Lokální rozhraní .
Výsledná konfigurace rozhraní Do skupiny Internetová rozhraní je zaˇ razen pouze adaptér Internet vybraný ve druhém kroku pr˚ uvodce. Do skupiny D˚ uvˇ eryhodná / Lokální rozhraní je zaˇ razen pouze adaptér LAN zvolený ve tˇ retím kroku pr˚ uvodce. Zbývající rozhraní jsou považována za nepoužitá a jsou zaˇ razena do skupiny Ostatní rozhraní. Pro tato rozhraní je pak nutné ruˇ cnˇ e definovat odpovídající komunikaˇ cní pravidla (napˇ r. pro vytvoˇ rení demilitarizované zóny — viz kapitola 9.5). Pokud nastavení rozhraní neodpovídá 47
Nastavení internetového pˇ ripojení a lokální sítˇ e
skuteˇ cné konfiguraci sítˇ e, upravte konfiguraci rozhraní (napˇ r. pokud má firewall více rozhraní pro lokální sít’, pˇ resuˇ nte pˇ ríslušná rozhraní do skupiny D˚ uvˇ eryhodná / Lokální rozhraní ). Do skupiny Internetová rozhraní je rovnˇ ež možné pˇ ridat další rozhraní. Pakety pak budou smˇ erovány do pˇ ríslušných cílových sítí dle systémové smˇ erovací tabulky (viz též kapitola 20.1) a bude provádˇ en pˇ reklad IP adres (NAT). V praxi však takováto konfigurace nemá pˇ ríliš velký význam. Upozornˇ ení: V režimu Jedna internetová linka musí být nastavena výchozí brána pouze na „hlavním“ internetovém rozhraní! Pokud Kerio Control detekuje více výchozích bran, zobrazí se chybové hlášení. Tento problém je potˇ reba ihned vyˇ rešit, jinak nebude komunikace z firewallu a lokální sítˇ e do Internetu fungovat správnˇ e.
8.3 Rozložení zátˇ eže internetového pˇ ripojení Jsou-li k dispozici alespoˇ n dvˇ e internetové linky, m˚ uže Kerio Control ˇ cást internetové komunikace posílat pˇ res jednu linku a ˇ cást pˇ res jinou linku. Výhody jsou zˇ rejmé — zvýší se propustnost internetového pˇ ripojení (rychlost pˇ renosu dat mezi lokální sítí a Internetem) a zkrátí se doba odezvy pˇ ri pˇ rístupu k server˚ um v Internetu. Pokud nejsou definována speciální komunikaˇ cní pravidla (tzv. policy routing — viz kapitola 9.6), pak jsou jednotlivé linky navíc ri výpadku nˇ ekteré linky bude komunikace vzájemnˇ e zálohovány (viz též kapitola 8.4) — pˇ smˇ erována pˇ res jinou linku. Poznámka: 1.
2.
Rozložení zátˇ eže sítˇ e je aplikováno pouze na komunikaci smˇ erovanou výchozí cestou do Internetu. Pokud je ve smˇ erovací tabulce (viz kapitola 20.1) definována cesta do urˇ cité cílové sítˇ e, pak bude komunikace do této sítˇ e vždy smˇ erována pˇ res pˇ ríslušné rozhraní. Rozložení zátˇ eže se neaplikuje na komunikaci samotného firewallu. Tato komunikace je zpracovávána pˇ rímo operaˇ cním systémem, a proto zde probíhá standardní smˇ erování (bude vždy použita výchozí cesta s nejnižší metrikou).
Požadavky Poˇ cítaˇ c s Kerio Control musí mít dvˇ e sít’ová rozhraní pro pˇ ripojení k Internetu, a to pevné linky (Ethernet, Wi-Fi) nebo trvale pˇ ripojené vytᡠcené linky (PPPoE). Klasické vytᡠcené linky (analogový modem, ISDN ) nejsou vhodné, protože v režimu rozložení zátˇ eže internetového pˇ ripojení nelze vytᡠcet linku na žádost. Dále musí být pˇ rítomen jeden nebo více sít’ových adaptér˚ u pro pˇ ripojení segment˚ u lokální sítˇ e. Na žádném z adaptér˚ u pro lokální sít’ nesmí být nastavena výchozí brána! Primární i záložní linka mohou být konfigurovány automaticky protokolem DHCP. Kerio Control pak detekuje z operaˇ cního systému všechny potˇ rebné parametry. 48
8.3 Rozložení zátˇ eže internetového pˇ ripojení
Tip Na systému Windows doporuˇ cujeme provˇ eˇ rit funkˇ cnost jednotlivých internetových linek ještˇ e pˇ red instalací Kerio Control. Možné zp˚ usoby testování (pro dvˇ e linky): • Pokud se jedná o dvˇ e linky vytᡠceného charakteru, pˇ ripojte postupnˇ e každou z nich a provˇ eˇ ríme pˇ rístup do Internetu. • Je-li jedna linka pevná a druhá linka vytᡠcená, otestujeme nejprve pˇ ripojení pevnou linkou a poté vytoˇ címe druhou linku. Po vytoˇ cení linky vznikne nová výchozí cesta pˇ res tuto linku, a tak m˚ užeme otestovat pˇ rístup do Internetu pˇ res záložní linku. • V pˇ rípadˇ e dvou pevných linek je nejjednodušší zakázat v operaˇ cním systému jedno pˇ ripojení a vyzkoušet pˇ rístup do Internetu pˇ res druhou (povolenou) linku. Tento postup pak zopakujeme pro první linku. Obdobnˇ e lze postupovat pro libovolný poˇ cet internetových linek.
Konfigurace pomocí pr˚ uvodce 1.
V prvním kroku Pr˚ uvodce pˇ ripojením (viz kapitola 9.1) zvolíme možnost Dvˇ e internetové linky s rozložením zátˇ eže.
2.
Ve druhém kroku pr˚ uvodce pak postupnˇ e vybereme dvˇ e rozhraní, které chceme použít jako internetové linky pro rozložení zátˇ eže pˇ ripojení. Pokud zvolíme pˇ ripojení PPPoE, pak je potˇ reba zadat pˇ ríslušné uživatelské jméno a heslo. Pro každou linku je tˇ reba specifikovat váhu linky, tj. její relativní propustnost. Pomˇ er vah jednotlivých linek udává, jakým zp˚ usobem bude internetová komunikace mezi tyto linky rozdˇ elována (mˇ el by tedy odpovídat pomˇ eru jejich rychlostí). Pˇ ríklad Máme k dispozici dvˇ e internetové linky o rychlostech 4 Mbit/s a 8 Mbit/s. První lince nastavíme váhu 10 a druhé váhu 20. Celková zátˇ ež internetového pˇ ripojení tedy bude rozdˇ elena v pomˇ eru 1:2. Podrobné informace o sít’ových rozhraních naleznete v kapitole 7.
3.
Ve tˇ retím kroku pr˚ uvodce zvolte rozhraní pˇ ripojené k lokální síti. Je-li k lokální síti pˇ ripojeno více rozhraní, vyberte v pr˚ uvodci rozhraní, pˇ res které jste aktuálnˇ e pˇ ripojeni ke správˇ e Kerio Control. Zbývající adaptéry pak ruˇ cnˇ e pˇ resuˇ nte do skupiny D˚ uvˇ eryhodná / Lokální rozhraní .
49
Nastavení internetového pˇ ripojení a lokální sítˇ e
Výsledná konfigurace rozhraní Do skupiny Internetová rozhraní jsou zaˇ razeny dvˇ e internetové linky vybrané ve tˇ retím kroku pr˚ uvodce. Ve sloupci Pˇ ripojení se zobrazují nastavené váhy jednotlivých linek (viz výše). Ve sloupci Stav je kromˇ e stavu linky samotné (pˇ ripojena/odpojena) zobrazována také informace, zda je linka aktivní — tzn. zda je internetové pˇ ripojení touto linkou funkˇ cní a lze pˇ res ni smˇ erovat ˇ cást internetové komunikace. Pˇ ri pˇ ridání další linky do skupiny Internetová rozhraní bude nové lince nastavena výchozí váha (1). Pak je vhodné upravit v dialogu pro zmˇ enu parametr˚ u rozhraní (viz kapitola 7) váhu linky s ohledem na její skuteˇ cnou rychlost, aby byla zátˇ ež rozložena pokud možno rovnomˇ ernˇ e. Do skupiny D˚ uvˇ eryhodná / Lokální rozhraní je zaˇ razen pouze adaptér LAN zvolený ve tˇ retím kroku pr˚ uvodce. Zbývající rozhraní jsou považována za nepoužitá a jsou zaˇ razena do skupiny Ostatní rozhraní. Pro tato rozhraní je pak nutné ruˇ cnˇ e definovat odpovídající komunikaˇ cní pravidla (napˇ r. pro vytvoˇ rení demilitarizované zóny — viz kapitola 9.5). Pokud nastavení rozhraní neodpovídá skuteˇ cné konfiguraci sítˇ e, upravte konfiguraci rozhraní (napˇ r. pokud má firewall více rozhraní pro lokální sít’, pˇ resuˇ nte pˇ ríslušná rozhraní do skupiny D˚ uvˇ eryhodná / Lokální rozhraní ).
Pokroˇ cilé nastavení (optimalizace, dedikované linky atd.) V základní konfiguraci probíhá rozložení zátˇ eže sítˇ e mezi jednotlivé linky automaticky podle jejich deklarovaných rychlostí (viz výše). Prostˇ rednictvím komunikaˇ cních pravidel lze tento algoritmus upravit (napˇ r. vyhradit jednu linku pouze pro urˇ citou komunikaci). Tato problematika je podrobnˇ e popsána v kapitole 9.6.
Upˇ resˇ nující parametry Testovací poˇ cítaˇ ce Funkˇ cnost jednotlivých internetových linek se ovˇ eˇ ruje periodickým vysíláním ICMP žádostí o odezvu (PING) na urˇ cité poˇ cítaˇ ce nebo sít’ová zaˇ rízení. Standardnˇ e se jako testovací poˇ cítaˇ c používá výchozí brána pˇ ríslušné linky. Je zˇ rejmé, že pokud není výchozí brána dostupná, není pˇ ríslušná linka (plnˇ e) funkˇ cní. Pokud z nˇ ejakého d˚ uvodu nelze použít jako testovací poˇ cítaˇ c primární výchozí bránu (tzn. výchozí bránu nastavenou na testované lince), m˚ užeme po stisknutí tlaˇ cítka Upˇ resnˇ ení specifikovat IP adresy jednoho nebo více testovacích poˇ cítaˇ cu ˚. Je-li alespoˇ n jeden z testovacích poˇ cítaˇ cu ˚ dostupný, považuje se internetové pˇ ripojení za funkˇ cní. Zadané testovací poˇ cítaˇ ce budou použity pˇ ri testování dostupnosti všech internetových linek. Proto by zde mˇ elo být uvedeno nˇ ekolik poˇ cítaˇ cu ˚ z r˚ uzných subsítí Internetu.
50
8.4 Zálohované internetové pˇ ripojení
Poznámka: 1.
2. 3.
Testovací poˇ cítaˇ c nesmí blokovat zprávy ICMP Echo Request (PING), které Kerio Control používá pro testování jeho dostupnosti — jinak by byl vždy vyhodnocen jako nedostupný. Toto je typický pˇ rípad, kdy nelze použít výchozí bránu jako testovací poˇ cítaˇ c. Jako testovací poˇ cítaˇ ce je tˇ reba použít poˇ cítaˇ ce nebo sít’ová zaˇ rízení, která jsou trvale v provozu (napˇ r. servery, smˇ erovaˇ ce apod.). ICMP zprávy odesílané na testovací poˇ cítaˇ ce nelze zablokovat komunikaˇ cními pravidly firewallu.
VPN tunely Pˇ ri obnovení pˇ ripojení pˇ res primární linku m˚ uže Kerio Control automaticky odpojit a znovu pˇ ripojit všechny VPN tunely. Je-li tato volba vypnuta, VPN tunely z˚ ustanou navázané pˇ res záložní linku a není zaruˇ cena správna funkˇ cnost smˇ erování mezi privátními sítˇ emi.
8.4 Zálohované internetové pˇ ripojení Kerio Control umožˇ nuje zálohovat internetové pˇ ripojení další linkou. Záložní pˇ ripojení se automaticky aktivuje, jestliže je detekován výpadek primárního pˇ ripojení. Jakmile Kerio Control zjistí, že je primární pˇ ripojení opˇ et funkˇ cní, automaticky deaktivuje záložní pˇ ripojení a zaˇ cne opˇ et používat primární pˇ ripojení.
Požadavky Poˇ cítaˇ c s Kerio Control musí mít dvˇ e sít’ová rozhraní pro pˇ ripojení k Internetu: pevnou linku (Ethernet, Wi-Fi) nebo trvale pˇ ripojenou vytᡠcenou linku (PPPoE) pro primární pˇ ripojení a pevnou nebo vytᡠcenou linku pro sekundární (záložní) pˇ ripojení. Dále musí být pˇ rítomen jeden nebo více sít’ových adaptér˚ u pro pˇ ripojení segment˚ u lokální sítˇ e. Na žádném z adaptér˚ u pro lokální sít’ nesmí být nastavena výchozí brána! Primární i záložní linka mohou být konfigurovány automaticky protokolem DHCP. Kerio Control pak detekuje z operaˇ cního systému všechny potˇ rebné parametry. Upozornˇ ení: Zálohování internetového pˇ ripojení je vhodné pouze pro trvalé pˇ ripojení (tzn. primární pˇ ripojení je realizováno sít’ovým adaptérem nebo trvale pˇ ripojenou vytᡠcenou linkou). V opaˇ cném pˇ rípadˇ e by docházelo k automatické aktivaci záložního pˇ ripojení pˇ ri každém zavˇ ešení primární linky.
51
Nastavení internetového pˇ ripojení a lokální sítˇ e
Tip Na systému Windows doporuˇ cujeme provˇ eˇ rit funkˇ cnost primární a sekundární linky ještˇ e pˇ red instalací Kerio Control: • Pokud se jedná o dvˇ e vytᡠcené linky, vytoˇ címe postupnˇ e každou z nich a provˇ eˇ ríme pˇ rístup do Internetu. • Je-li primární linka pevná a záložní linka vytᡠcená, otestujeme nejprve pˇ ripojení primární linkou a poté vytoˇ címe záložní linku. Po vytoˇ cení linky vznikne nová výchozí cesta pˇ res tuto linku, a tak m˚ užeme otestovat pˇ rístup do Internetu pˇ res záložní linku. • V pˇ rípadˇ e dvou pevných linek je nejjednodušší zakázat v operaˇ cním systému jedno pˇ ripojení a vyzkoušet pˇ rístup do Internetu pˇ res druhou (povolenou) linku. Tento postup pak zopakujeme pro první linku.
Konfigurace pomocí pr˚ uvodce 1.
V prvním kroku Pr˚ uvodce pˇ ripojením zvolíme možnost Dvˇ e internetové linky se zálohováním.
2.
Ve druhém kroku pr˚ uvodce pak vybereme sít’ové rozhraní pro primární pˇ ripojení (pevnou nebo trvale pˇ ripojenou linku) a pro sekundární pˇ ripojení (pevnou nebo vytᡠcenou linku). Pokud zvolíte pˇ ripojení PPPoE, pak je potˇ reba zadat pˇ ríslušné uživatelské jméno a heslo. Pr˚ uvodce umožˇ nuje upravit nastavení výchozí brány a DNS server˚ u na vybraném rozhraní. V edicích Appliance a Box je možné nastavit také IP adresu a masku subsítˇ e. Pokud zvolíme pˇ ripojení PPPoE, pak je potˇ reba zadat pˇ ríslušné uživatelské jméno a heslo. Podrobné informace o sít’ových rozhraních naleznete v kapitole 7.
3.
Ve tˇ retím kroku pr˚ uvodce zvolíme rozhraní pˇ ripojené k lokální síti. Je-li k lokální síti pˇ ripojeno více rozhraní, vybereme v pr˚ uvodci rozhraní, pˇ res které jsme aktuálnˇ e pˇ ripojeni ke správˇ e Kerio Control. Zbývající adaptéry pak ruˇ cnˇ e pˇ resuneme do skupiny D˚ uvˇ eryhodná / Lokální rozhraní .
Výsledná konfigurace rozhraní Do skupiny Internetová rozhraní jsou zaˇ razeny linky Internet a Vytᡠcené pˇ ripojení vybrané ve druhém kroku pr˚ uvodce jako primární a sekundární (záložní) internetové pˇ ripojení. Ve sloupci Internet je zobrazeno, která linka je použita jako primární a která jako sekundární pˇ ripojení. Ve sloupci Stav je kromˇ e stavu linky samotné (pˇ ripojena/odpojena) zobrazována také informace, zda je linka aktivní — tzn. zda je právˇ e použita jako internetové pˇ ripojení. Do skupiny D˚ uvˇ eryhodná / Lokální rozhraní je zaˇ razen pouze adaptér LAN zvolený ve tˇ retím kroku pr˚ uvodce. 52
8.4 Zálohované internetové pˇ ripojení
Zbývající rozhraní jsou považována za nepoužitá a jsou zaˇ razena do skupiny Ostatní rozhraní. Pro tato rozhraní je pak nutné ruˇ cnˇ e definovat odpovídající komunikaˇ cní pravidla (napˇ r. pro vytvoˇ rení demilitarizované zóny — viz kapitola 9.5). Pokud nastavení rozhraní neodpovídá skuteˇ cné konfiguraci sítˇ e, upravíme konfiguraci rozhraní (napˇ r. pokud má firewall více rozhraní pro lokální sít’, pˇ resuneme pˇ ríslušná rozhraní do skupiny D˚ uvˇ eryhodná / Lokální rozhraní ). Chceme-li zmˇ enit nastavení primárního a sekundárního pˇ ripojení, použijeme volby v dialogu pro zmˇ enu parametr˚ u rozhraní (viz kapitola 7) nebo v kontextovém menu (po kliknutí pravým tlaˇ cítkem myši na vybranou linku). Vždy však m˚ uže být pouze jedna linka nastavena jako primární pˇ ripojení a pouze jedna linka jako sekundární pˇ ripojení.
Upˇ resˇ nující parametry Testovací poˇ cítaˇ ce Funkˇ cnost jednotlivých internetových linek se ovˇ eˇ ruje periodickým vysíláním ICMP žádostí o odezvu (PING) na urˇ cité poˇ cítaˇ ce nebo sít’ová zaˇ rízení. Standardnˇ e se jako testovací poˇ cítaˇ c používá výchozí brána pˇ ríslušné linky. Je zˇ rejmé, že pokud není výchozí brána dostupná, není pˇ ríslušná linka (plnˇ e) funkˇ cní. Pokud z nˇ ejakého d˚ uvodu nelze použít jako testovací poˇ cítaˇ c primární výchozí bránu (tzn. výchozí bránu nastavenou na testované lince), m˚ užeme po stisknutí tlaˇ cítka Upˇ resnˇ ení specifikovat IP adresy jednoho nebo více testovacích poˇ cítaˇ cu ˚. Je-li alespoˇ n jeden z testovacích poˇ cítaˇ cu ˚ dostupný, považuje se internetové pˇ ripojení za funkˇ cní. Zadané testovací poˇ cítaˇ ce budou použity pˇ ri testování dostupnosti všech internetových linek. Proto by zde mˇ elo být uvedeno nˇ ekolik poˇ cítaˇ cu ˚ z r˚ uzných subsítí Internetu. Poznámka: 1.
2.
3.
Testovací poˇ cítaˇ c nesmí blokovat zprávy ICMP Echo Request (PING), které Kerio Control používá pro testování jeho dostupnosti — jinak by byl vždy vyhodnocen jako nedostupný. Toto je typický pˇ rípad, kdy nelze použít výchozí bránu jako testovací poˇ cítaˇ c. Jako testovací poˇ cítaˇ ce je tˇ reba použít poˇ cítaˇ ce nebo sít’ová zaˇ rízení, která jsou trvale v provozu (napˇ r. servery, smˇ erovaˇ ce apod.). Použít jako testovací poˇ cítaˇ c pracovní stanici, která je v provozu nˇ ekolik hodin dennˇ e, nemá pˇ ríliš velký smysl. ICMP zprávy odesílané na testovací poˇ cítaˇ ce nelze zablokovat komunikaˇ cními pravidly firewallu.
VPN tunely Pˇ ri obnovení pˇ ripojení pˇ res primární linku m˚ uže Kerio Control automaticky odpojit a znovu pˇ ripojit všechny VPN tunely. Je-li tato volba vypnuta, VPN tunely z˚ ustanou navázané pˇ res záložní linku a není zaruˇ cena správna funkˇ cnost smˇ erování mezi privátními sítˇ emi.
53
Nastavení internetového pˇ ripojení a lokální sítˇ e
8.5 Pˇ ripojení jednou vytᡠcenou linkou - vytᡠcení na žádost (Windows) Je-li poˇ cítaˇ c s Kerio Control pˇ ripojen k Internetu vytᡠcenou linkou, vzniká zpravidla požadavek, aby bylo vytᡠcení a zavˇ ešování linky urˇ citým zp˚ usobem automatizováno (ruˇ cní obsluha linky je vˇ etšinou ˇ casovˇ e nároˇ cná a nepohodlná). Kerio Control na systému Windows nabízí možnost automatického vytᡠcení linky na základˇ e požadavk˚ u z lokální sítˇ e. Tato funkce se nazývá vytᡠcení na žádost. Poznámka: V edicích Appliance a Box není vytᡠcení na žádost podporováno.
Požadavky V poˇ cítaˇ ci s Kerio Control musí být nainstalováno pˇ ríslušné zaˇ rízení (zpravidla analogový modem nebo ISDN modem) a v operaˇ cním systému vytvoˇ reno odpovídající vytᡠcené pˇ ripojení. U vytᡠceného pˇ ripojení nemusejí být uloženy pˇ rihlašovací údaje (je-li k tomu nˇ ejaký d˚ uvod), tyto údaje lze zadat pˇ rímo v Kerio Control. Dále musí být pˇ rítomen jeden nebo více sít’ových adaptér˚ u pro pˇ ripojení segment˚ u lokální sítˇ e. Na žádném z tˇ echto adaptér˚ u nesmí být nastavena výchozí brána! Doporuˇ cujeme vytvoˇ rit vytᡠcené pˇ ripojení a provˇ eˇ rit jeho funkˇ cnost ještˇ e pˇ red instalací Kerio Control. Upozornˇ ení: Pˇ red konfigurací lokální sítˇ e a firewallu s použitím internetové linky vytᡠcené na žádost doporuˇ cujeme d˚ ukladnˇ e prostudovat informace uvedené v kapitole 27.6. Vhodným návrhem konfigurace sítˇ e s ohledem na specifické vlastnosti linky vytᡠcené na žádost lze pˇ redejít mnoha pozdˇ ejším problém˚ um.
Konfigurace Režim vytᡠcení na žádost nelze nastavit pomocí pr˚ uvodce pˇ ripojením — sít’ová rozhraní nastavíme ruˇ cnˇ e v sekci Konfigurace / Rozhraní . Do skupiny Internetová rozhraní zaˇ radíme linku Vytᡠcené pˇ ripojení. Ve vlastnostech rozhraní musíme oznaˇ cit, že toto rozhraní má být použito jako linka vytᡠcená na žádost (tato informace se pak zobrazí ve sloupci Internet). Do skupiny D˚ uvˇ eryhodná / Lokální rozhraní zaˇ radíme všechna rozhraní pˇ ripojená k lokální síti. Zbývající rozhraní z˚ ustanou zaˇ razena do skupiny Ostatní rozhraní. Pro tato rozhraní je pak nutné ruˇ cnˇ e definovat odpovídající komunikaˇ cní pravidla (napˇ r. pro vytvoˇ rení demilitarizované zóny — viz kapitola 9.5). Ve skupinˇ e Internetová rozhraní m˚ uže být zaˇ razeno více vytᡠcených linek. Pro vytᡠcení na žádost však m˚ uže být nastavena vždy pouze jedna linka. Pokud dojde k ruˇ cnímu vytoˇ cení 54
8.5 Pˇ ripojení jednou vytᡠcenou linkou - vytᡠcení na žádost (Windows)
nˇ ekteré další linky, pak bude Kerio Control smˇ erovat pakety do pˇ ríslušné cílové sítˇ e dle et pˇ reklad IP adres (NAT). systémové smˇ erovací tabulky (viz též kapitola 20.1) a provádˇ Takováto konfigurace však nemá témˇ eˇ r žádný praktický význam. Do skupiny Internetová rozhraní proto doporuˇ cujeme zaˇ radit vždy pouze jednu linku, která bude vytᡠcena na žádost. Chceme-li zmˇ enit linku, která má být vytᡠcena na žádost, použijeme volbu v dialogu pro zmˇ enu parametr˚ u rozhraní (viz kapitola 7) nebo v kontextovém menu (po kliknutí pravým tlaˇ cítkem myši na vybranou linku). Upozornˇ ení: V režimu Vytᡠcení na žádost nesmí být na žádném sít’ovém rozhraní firewallu nastavena výchozí brána! Vytᡠcení na žádost funguje na základˇ e neexistence výchozí brány (pokud ve smˇ erovací tabulce neexistuje cesta, kam by mˇ el být paket smˇ erován, pak Kerio Control vytvoˇ rí výchozí cestu vytoˇ cením internetové linky). Podrobné informace o sít’ových rozhraních naleznete v kapitole 7.
Upˇ resˇ nující nastavení vytᡠcení Tlaˇ cítkem Upˇ resnˇ ení lze nastavit parametry pro vytᡠcení linky — napˇ r. intervaly, kdy má být linka trvale pˇ ripojena nebo naopak trvale zavˇ ešena, a pomocné skripty pro vytᡠcení a zavˇ ešování linky. Tato nastavení jsou podrobnˇ e popsána v kapitole 7.6.
55
Kapitola 9
Komunikaˇ cní pravidla
Komunikaˇ cní pravidla (Traffic Rules) jsou základem konfigurace Kerio Control. V jediné tabulce je integrováno nastavení: • zabezpeˇ cení (tj. ochrany lokální sítˇ e vˇ cetnˇ e poˇ cítaˇ ce, na nˇ emž je Kerio Control nainstalován, proti nežádoucímu pr˚ uniku z Internetu) • pˇ rekladu IP adres (též NAT — Network Address Translation — technologie umožˇ nující transparentní pˇ rístup z celé lokální sítˇ e do Internetu prostˇ rednictvím jediné veˇ rejné IP adresy) • zpˇ rístupnˇ ení server˚ u (služeb) bˇ ežících v lokální síti z Internetu (tzv. mapování port˚ u) • ˇ rízení pˇ rístupu lokálních uživatel˚ u do Internetu K definici komunikaˇ cních pravidel slouží sekce Konfigurace → Zásady komunikace → Komunikaˇ cní pravidla. Pravidla mohou být definována dvˇ ema zp˚ usoby: ruˇ cnˇ e (pro zkušené správce) nebo pomocí pr˚ uvodce (pro ménˇ e zkušené uživatele nebo pro pˇ rípady, kdy nejsou tˇ reba žádná speciální nastavení). Typický postup je vytvoˇ rit základní komunikaˇ cní pravidla pomocí pr˚ uvodce a tato pravidla pak „doladit“, pˇ rípadnˇ e doplnit další pravidla dle potˇ reby. Zkušení správci nemusejí pr˚ uvodce použít v˚ ubec — mohou vytvoˇ rit kompletní sadu pravidel pˇ resnˇ e podle specifických požadavk˚ u. Komunikaˇ cní pravidla pracují pouze nad protokolem IPv4. V pˇ rípadˇ e protokolu IPv6 je implicitnˇ e povolena komunikace zahájená z lokální sítˇ e a zakázána komunikace zahájená z Internetu smˇ erem do lokální sítˇ e (implicitní firewall).
9.1 Pr˚ uvodce komunikaˇ cními pravidly Pr˚ uvodce komunikaˇ cními pravidly se spustí stisknutím tlaˇ cítka Nastavit pomocí pr˚ uvodce v sekci Konfigurace → Zásady komunikace → Komunikaˇ cní pravidla. Pr˚ uvodce se uživatele dotáže pouze na nejnutnˇ ejší informace, na jejichž základˇ e vytvoˇ rí sadu komunikaˇ cních pravidel. Vytvoˇ rená pravidla zajistí pˇ rístup z lokální sítˇ e do Internetu ke zvoleným službám, pˇ rístup z Internetu k vybraným lokálním server˚ um a plnou ochranu lokální sítˇ e (vˇ cetnˇ e poˇ cítaˇ ce s Kerio Control) proti neoprávnˇ enému pˇ rístupu z Internetu.
56
9.1 Pr˚ uvodce komunikaˇ cními pravidly
Podmínky použití pr˚ uvodce Pr˚ uvodce pˇ redpokládá, že je poˇ cítaˇ c (resp. zaˇ rízení) s Kerio Control vybaven: • alespoˇ n jedním aktivním adaptérem pro lokální sít’, • alespoˇ n jedním aktivním adaptérem pˇ ripojeným k Internetu nebo je definováno alespoˇ n jedno telefonické nebo PPPoE pˇ ripojení. Toto pˇ ripojení nemusí být v okamžiku spuštˇ ení pr˚ uvodce navázáno. Krok 1 — potvrzení Aby bylo možné zaruˇ cit funkˇ cnost Kerio Control po použití pr˚ uvodce, jsou pˇ red dokonˇ cením pr˚ uvodce všechna stávající pravidla smazána a nahrazena pravidly vytvoˇ renými automaticky na základˇ e poskytnutých informací. Pokud se nejedná o poˇ cáteˇ cní konfiguraci (bezprostˇ rednˇ e po instalaci Kerio Control), pak se pr˚ uvodce v prvním kroku dotáže, zda skuteˇ cnˇ e chcete pˇ repsat stávající komunikaˇ cní pravidla. Nahrazení stávajících komunikaˇ cních pravidel pravidly vytvoˇ renými pr˚ uvodcem se provádí až po potvrzení posledního kroku. Pr˚ uvodce tedy m˚ užete v kterémkoliv kroku stornovat beze ztráty stávajících pravidel. Krok 2 — zpˇ rístupnˇ ení služeb Kerio Control z Internetu Ve druhém kroku pr˚ uvodce vyberte služby Kerio Control, které mají být dostupné z Internetu: • Kerio VPN server — pˇ ripojení k VPN serveru v Kerio Control. Povolte tuto službu, pokud chcete vytvᡠret VPN tunely a/nebo se pˇ ripojovat vzdálenˇ e do lokální sítˇ e pomocí aplikace Kerio VPN Client. Bližší informace viz kapitola 25. • Server Kerio SSL-VPN (HTTPS) — rozhraní Kerio Clientless SSL-VPN (k dispozici pouze v Kerio Control na systému Windows). Tato volba povolí komunikaci protokolem HTTPS na standardním portu (443). Bližší informace viz kapitola 26. • Kerio Control Administration — povolení vzdálené správy Kerio Control. Tato volba povolí komunikaci protokolem HTTPS na portu 4081 (port administraˇ cního rozhraní nelze zmˇ enit). Krok 3 — zpˇ rístupnˇ ení (mapování) dalších služeb Ve tˇ retím kroku pr˚ uvodce je možné zpˇ rístupnit z Internetu (mapovat) libovolné další služby na firewallu nebo na serverech v lokální síti. Každá položka (mapovací pravidlo) obsahuje: • Mapovanou službu — bud’ lze vybrat ze seznamu definovaných služeb (viz císlem portu. kapitola 17.3) nebo je možné zadat službu protokolem a ˇ • Cílový poˇ cítaˇ c — firewall nebo IP adresa lokálního serveru, na kterém služba bˇ eží. 57
Komunikaˇ cní pravidla
Pravidla vytvoˇ rená pr˚ uvodcem Podívejme se podrobnˇ eji na komunikaˇ cní pravidla, která byla vytvoˇ rena pr˚ uvodcem v pˇ redchozím pˇ ríkladu. Služby na ... Tato dvˇ e pravidla uvádíme jako pˇ ríklady mapovaných služeb na lokálních serverech. Pro každý lokální server bude vytvoˇ reno jedno pravidlo ve tvaru Služby na , resp. Služby na firewallu. Tyto služby budou pˇ rístupné na všech IP adresách všech „vnˇ ejších“ rozhraní firewallu (tj. rozhraní ve skupinˇ e Internetová rozhraní ). Kerio Control Administration, Kerio VPN Server, Clientless SSL-VPN Tato pravidla povolují pˇ rístup ke správˇ e Kerio Control, VPN serveru a rozhraní Kerio Clientless SSL-VPN. Jednotlivá pravidla jsou vytvoˇ rena pouze pokud byly pˇ ríslušné služby vybrány ve druhém kroku pr˚ uvodce. Pˇ rístup do Internetu (NAT) Toto pravidlo urˇ cuje, že ve všech paketech smˇ erovaných z lokální sítˇ e do Internetu bude zdrojová (privátní) IP adresa nahrazována adresou internetového rozhraní, pˇ res které je paket z firewallu odesílán. Položka Zdroj tohoto pravidla obsahuje skupinu D˚ uvˇ eryhodná / Lokální rozhraní a položka Cíl obsahuje skupinu Internetová rozhraní. Díky tomu je pravidlo zcela univerzální pro libovolnou konfiguraci sítˇ e. Pˇ ri pˇ ripojení nového segmentu lokální sítˇ e ˇ ci zmˇ enˇ e internetového pˇ ripojení není nutné toto pravidlo mˇ enit. Poznámka: Na systému Windows skupina D˚ uvˇ eryhodná / Lokální rozhraní standardnˇ e obsahuje také adaptér Dial-In, tzn. všichni klienti služby RAS pˇ ripojující se na tento server budou mít povolen pˇ rístup do Internetu pomocí technologie NAT. Lokální komunikace Toto pravidlo povoluje veškerou komunikaci poˇ cítaˇ cu ˚ v lokální síti firewallem (tj. s poˇ cítaˇ cem, na nˇ emž je Kerio Control nainstalován). Položky Zdroj a Cíl v tomto pravidle zahrnují skupinu D˚ uvˇ eryhodná / Lokální rozhraní (viz kapitola 7) a speciální skupinu Firewall. Pokud bylo v pr˚ uvodci požadováno vytvoˇ rení pravidel pro Kerio VPN (5. krok pr˚ uvodce), pak pravidlo Lokální komunikace obsahuje také speciální skupiny adres Všechny VPN tunely a Všichni VPN klienti. Pravidlo tedy implicitnˇ e povoluje komunikaci mezi lokální sítí (firewallem), vzdálenými sítˇ emi pˇ ripojenými pˇ res VPN tunely a VPN klienty pˇ ripojujícími se k VPN serveru v Kerio Control. Poznámka: 1.
Pr˚ uvodce pˇ redpokládá, že firewall logicky patˇ rí do lokální sítˇ e, a pˇ rístup k nˇ emu nijak neomezuje. Omezení pˇ rístupu na tento poˇ cítaˇ c lze provést úpravou pravidla nebo definicí nového. Je nutné si uvˇ edomit, že nevhodné omezení pˇ rístupu k firewallu m˚ uže mít za následek zablokování vzdálené správy ˇ ci nedostupnost 58
9.2 Jak komunikaˇ cní pravidla fungují?
2.
služeb v Internetu (prochází pˇ res nˇ ej veškerá komunikace mezi lokální sítí a Internetem). Na systému Windows skupina D˚ uvˇ eryhodná / Lokální rozhraní standardnˇ e obsahuje také adaptér Dial-In. Pravidlo Lokální komunikace tedy povoluje také komunikaci mezi poˇ cítaˇ ci v lokální síti (resp. firewallem) a klienty služby RAS pˇ ripojujícími se na tento server.
Komunikace firewallu Toto pravidlo povoluje pˇ rístup k vybraným službám z poˇ cítaˇ ce, kde je Kerio Control nainstalován. Je obdobou pravidla NAT , ale s tím rozdílem, že se zde neprovádí pˇ reklad IP adres (tento poˇ cítaˇ c má pˇ rímý pˇ rístup do Internetu). Výchozí pravidlo Toto pravidlo zahazuje veškerou komunikaci, která není povolena jinými pravidly. Implicitní pravidlo je vždy na konci seznamu komunikaˇ cních pravidel a nelze jej odstranit. Implicitní pravidlo umožˇ nuje zvolit akci pro nežádoucí komunikaci (Zakázat nebo Zahodit) a zapnout záznam paket˚ u nebo spojení. Poznámka: Podrobný popis jednotlivých ˇ cástí komunikaˇ cního pravidla naleznete v kapitole 9.3.
9.2 Jak komunikaˇ cní pravidla fungují? Komunikaˇ cní pravidla jsou uložena v uspoˇ rádaném seznamu. Pˇ ri aplikaci pravidel je seznam procházen shora dol˚ u a použije se vždy první pravidlo, kterému dané spojení ˇ ci paket vyhovuje — záleží tedy na poˇ radí pravidel v seznamu. Poˇ radí pravidel lze upravit šipkovými tlaˇ cítky v pravé ˇ cásti okna. Na konci seznamu je vždy umístˇ eno implicitní pravidlo, které zakazuje nebo zahazuje veškerou komunikaci (akce je volitelná). Toto pravidlo nelze odstranit. Komunikace, která není pravidly výslovnˇ e povolena, je zakázána. Poznámka: 1. 2.
Bez definice komunikaˇ cních pravidel (pomocí pr˚ uvodce ˇ ci vlastních) existuje v Kerio Control pouze implicitní pravidlo, které blokuje veškerou komunikaci. Pro ˇ rízení pˇ rístupu uživatel˚ u k WWW a FTP server˚ um a filtrování obsahu doporuˇ cujeme namísto komunikaˇ cních pravidel použít speciální nástroje, které Kerio Control k tomuto úˇ celu nabízí — viz kapitola 15.
9.3 Definice vlastních komunikaˇ cních pravidel Komunikaˇ cní pravidla jsou zobrazována ve formˇ e tabulky, kde každý ˇ rádek obsahuje jedno pravidlo a ve sloupcích jsou jeho jednotlivé ˇ cásti (jméno, podmínky, akce — podrobnosti viz dále). Dvojitým kliknutím levým tlaˇ cítkem myši na vybrané pole tabulky (pˇ rípadnˇ e kliknutím 59
Komunikaˇ cní pravidla
pravým tlaˇ cítkem a volbou Zmˇ enit... z kontextového menu) se zobrazí dialog pro zmˇ enu vybrané položky. Nové pravidlo pˇ ridáme stisknutím tlaˇ cítka Pˇ ridat a šipkovými tlaˇ cítky v pravé ˇ cásti okna jej pˇ resuneme na požadované místo.
Jméno Název pravidla. Mˇ el by být struˇ cný a výstižný, aby tabulka pravidel byla pˇ rehledná. Zaškrtávací pole pˇ red jménem pravidla slouží k jeho aktivaci a deaktivaci. Není-li toto pole zaškrtnuto, pak se Kerio Control chová, jako by pravidlo neexistovalo. Toho lze využít napˇ r. pro doˇ casné vyˇ razení pravidla — není tˇ reba je odstraˇ novat a pozdˇ eji znovu definovat. Kromˇ e jména lze nastavit také barvu pozadí ˇ rádku tabulky s tímto pravidlem. Volba Transparentní znamená, že ˇ rádek bude „pr˚ uhledný“ (pod textem bude barva pozadí celého seznamu, typicky bílá). Barevné oznaˇ cení umožˇ nuje zvýraznit nˇ ekterá pravidla nebo odlišit urˇ cité skupiny pravidel (napˇ r. pravidla pro odchozí a pro pˇ ríchozí komunikaci). Poznámka: Jméno a barevné oznaˇ cení pravidla slouží pouze pro zlepšení pˇ rehlednosti — nemají vliv na ˇ cinnost firewallu.
Zdroj, Cíl Volba zdroje, resp. cíle komunikace, pro niž má pravidlo platit: • Poˇ cítaˇ c — jméno nebo IP adresa konkrétního poˇ cítaˇ ce (napˇ r. www.firma.cz nebo 192.168.1.1) Je-li zdrojový nebo cílový poˇ cítaˇ c zadán DNS jménem, pak Kerio Control zjišt’uje odpovídající IP adresu v okamžiku stisknutí tlaˇ cítka Použít. Pokud není nalezen záznam v cache modulu DNS, vysílá se DNS dotaz do Internetu. Do zjištˇ ení IP adresy je pˇ ríslušné pravidlo neaktivní. • Rozsah IP adres — napˇ r. 192.168.1.10—192.168.1.20 • Subsít’ s maskou — subsít’ zadaná adresou sítˇ e a maskou (napˇ r. 192.168.1.0/255.255.255.0) • Skupina IP adres — skupina adres definovaná v Kerio Control (viz kapitola 17.1) • Rozhraní — výbˇ er rozhraní nebo skupiny rozhraní, odkud paket pˇ richází (v položce Zdroj) nebo kudy má být odeslán (v položce Cíl). Skupiny rozhraní umožˇ nují vytvᡠret obecnˇ ejší pravidla, která jsou nezávislá na konkrétní konfiguraci sítˇ e (napˇ r. pˇ ri zmˇ enˇ e internetového pˇ ripojení nebo pˇ ridání segmentu lokální sítˇ e není nutné taková pravidla mˇ enit). Je-li to možné, doporuˇ cujeme 60
9.3 Definice vlastních komunikaˇ cních pravidel
definovat komunikaˇ cní pravidla s použitím skupin rozhraní. Podrobnosti o sít’ových rozhraních a skupinách rozhraní viz kapitola 7. V komunikaˇ cních pravidlech lze použít pouze skupiny Internetová rozhraní a D˚ uvˇ eryhodná / Lokální rozhraní. Rozhraní pro Kerio VPN se pˇ ridávají jiným zp˚ usobem (viz níže). Skupina Ostatní rozhraní obsahuje rozhraní r˚ uzných typ˚ u, která nebyla zaˇ razena do jiné skupiny. Komunikaˇ cní pravidlo pro tuto skupinu jako celek by ve vˇ etšinˇ e pˇ rípad˚ u nemˇ elo žádný smysl. • VPN — virtuální privátní sít’ (vytvoˇ rená pomocí Kerio VPN ). Volbou VPN m˚ užeme pˇ ridat položky následujících typ˚ u: 1.
Pˇ ríchozí spojení (VPN klienti) — všichni VPN klienti pˇ ripojující se k VPN serveru v Kerio Control pomocí aplikace Kerio VPN Client,
2.
VPN tunel — sít’ pˇ ripojená vybraným VPN tunelem. Speciální volba Vše znamená všechny sítˇ e pˇ ripojené všemi definovanými VPN tunely (které jsou v daném okamžiku aktivní).
Podrobné informace o VPN ˇ rešení v Kerio Control naleznete v kapitole 25. • Libovolný ovˇ eˇ rený uživatel — podmínka bude platit pro všechny uživatele, kteˇ rí jsou užeme pˇ ridat na firewall již pˇ rihlášeni (viz kapitola 13.1). Volbou Uživatelé z domény m˚ požadované uživatele a/nebo skupiny z mapovaných domén adresᡠrových služeb nebo z lokální databáze uživatel˚ u (podrobnosti viz kapitola 18). • Vybraní uživatelé / skupiny — uživatelé a/nebo skupiny uživatel˚ u, které lze vybrat ve speciálním dialogu. Tip Do pravidla m˚ užete pˇ ridat uživatele/skupiny z nˇ ekolika r˚ uzných domén zároveˇ n. Vyberte doménu, pˇ ridejte uživatele a/nebo skupiny, pak zvolíme jinou doménu a postup opakujeme. V komunikaˇ cních pravidlech má uživatel význam IP adresy poˇ cítaˇ ce, z nˇ ehož je pˇ rihlášen. Podrobnosti o pˇ rihlašování uživatel˚ u k firewallu naleznete v kapitole 13.1. Poznámka: 1.
2.
Povolení / zákaz pˇ rístupu urˇ citým uživatel˚ um má smysl jen tehdy, pokud není z pˇ ríslušných IP adres povolen pˇ rístup nepˇ rihlášeným uživatel˚ um (jinak totiž nejsou uživatelé donuceni se pˇ rihlásit). Pokud uživatelé pracují stˇ rídavˇ e na r˚ uzných poˇ cítaˇ cích, je tˇ reba vzít v úvahu IP adresy všech tˇ echto poˇ cítaˇ cu ˚. Jsou-li uživatelské úˇ cty nebo skupiny použity jako zdroj v pravidle pro pˇ rístup do Internetu, pak v pˇ rípadˇ e služby HTTP nebude funkˇ cní automatické pˇ resmˇ erování
61
Komunikaˇ cní pravidla
uživatel˚ u na pˇ rihlašovací stránku ani NTLM ovˇ eˇ rování. K pˇ resmˇ erování totiž dojde až po úspˇ ešném navázání spojení na cílový server. Jsou-li komunikaˇ cní pravidla nastavena tímto zp˚ usobem, pak je tˇ reba uživatel˚ um sdˇ elit, že pˇ red pˇ rístupem do Internetu musejí otevˇ rít pˇ rihlašovací stránku (viz kapitoly 14 a 13.1) ve svém WWW prohlížeˇ ci a pˇ rihlásit se. Tato problematika je podrobnˇ e diskutována v kapitole 9.7. • Firewall — speciální skupina adres zahrnující všechna rozhraní poˇ cítaˇ ce, na nˇ emž je Kerio Control nainstalován. Tuto volbu lze s výhodou využít napˇ r. pro povolení komunikace mezi lokální sítí firewallem. Poznámka: Pˇ ri odstranˇ ení rozhraní, uživatelského úˇ ctu, skupiny nebo služby bude do odpovídající položky v pˇ ríslušných pravidlech dosazena speciální hodnota Nic a tato pravidla budou neaktivní. Tím je zajištˇ eno, že odebráním použité položky nedojde zmˇ enˇ e smyslu komunikaˇ cních pravidel (napˇ r. povolení nežádoucí komunikace).
Služba Definice služby (resp. služeb), pro kterou má toto komunikaˇ cní pravidlo platit. Seznam m˚ uže obsahovat více služeb definovaných v sekci Konfigurace → Definice → Služby (viz kapitola 17.3) a/nebo služeb zadaných protokolem a ˇ císlem portu (pˇ rípadnˇ e rozsahem port˚ u — pro jeho specifikaci se zde používá pomlˇ cka). Poznámka: Existuje-li v Kerio Control pro urˇ citou službu inspekˇ cní modul, pak se tento modul automaticky aplikuje na veškerou odpovídající komunikaci. Chceme-li docílit toho, aby na urˇ citou komunikaci nebyl aplikován pˇ ríslušný inspekˇ cní modul, je tˇ reba to v komunikaˇ cním pravidle explicitnˇ e uvést. Podrobné informace viz kapitola 9.8.
Akce, záznam a DSCP Akce urˇ cuje zp˚ usob, jak Kerio Control obslouží komunikaci, která vyhoví podmínkám tohoto pravidla (podmínka je dána položkami Zdroj, Cíl a Služba): • Povolit — firewall komunikaci propustí. • Zakázat — firewall pošle klientovi (iniciátorovi komunikace) ˇ rídicí zprávu, že pˇ rístup na danou adresu ˇ ci port je zakázán. Výhodou tohoto zp˚ usobu je okamžitá reakce, klient se však dozví o tom, že je komunikace blokována firewallem. • Zahodit — firewall bude zahazovat veškeré pakety vyhovující danému pravidlu. Klientovi nebude poslána žádná ˇ rídicí zpráva a ten tuto situaci vyhodnotí jako sít’ovou chybu. Odezva klienta není v tomto pˇ rípadˇ e okamžitá (klient urˇ citou dobu ˇ ceká na odpovˇ ed’, poté se pˇ rípadnˇ e snaží navázat spojení znovu atd.), existence firewallu mu však z˚ ustane skryta. 62
9.3 Definice vlastních komunikaˇ cních pravidel
Poznámka: Pˇ ri omezování lokálních uživatel˚ u v pˇ rístupu na Internet doporuˇ cujeme používat volbu Zakázat, pˇ ri blokování pˇ rístupu z Internetu naopak volbu Zahodit. O komunikaci, která vyhovˇ ela tomuto pravidlu, lze provést záznam následujícím zp˚ usobem: • Graf pˇ renesených dat — ˇ casový pr˚ ubˇ eh sít’ové komunikace. Tyto grafy se zobrazují v sekci Stav → Grafy (viz kapitola 22.2). • Zaznamenat pakety — pakety, které vyhoví tomuto pravidlu (propuštˇ ené, odmítnuté ˇ ci zahozené — v závislosti na typu akce v pravidle) budou zaznamenány do záznamu Filter. • Zaznamenat spojení — spojení vyhovující tomuto pravidlu budou zaznamenána do záznamu Connection (pouze v pˇ rípadˇ e povolujícího pravidla). Jednotlivé pakety v rámci tˇ echto spojení se již nezaznamenávají. Poznámka: U zakazujících a zahazujících pravidel nelze zaznamenávat spojení (k vytvoˇ rení spojení nedojde). V povolené komunikaci mohou být odpovídající pakety oznaˇ ceny urˇ citou hodnotou DSCP. Tato hodnota slouží k omezení šíˇ rky pásma (rychlosti pˇ renosu dat) nebo naopak vyhrazení pásma pro danou komunikaci (viz kapitola 12). V „neoznaˇ cených“ paketech má tato položka hodnotu 0.
Pˇ reklad Zp˚ usob pˇ rekladu zdrojové nebo cílové IP adresy (pˇ rípadnˇ e obou).
Pˇ reklad zdrojové IP adresy (NAT — sdílení internetového pˇ ripojení) Pˇ reklad zdrojové adresy (NAT — Network Address Translation) se též nazývá maskování IP adresy nebo sdílení internetového pˇ ripojení. V odchozích paketech z lokální sítˇ e do Internetu se zdrojová (privátní) IP adresa nahrazuje adresou rozhraní pˇ ripojeného k Internetu. Celá lokální sít’ má tak transparentní pˇ rístup do Internetu, ale navenek se jeví jako jeden poˇ cítaˇ c. Pˇ reklad zdrojové adresy se používá v komunikaˇ cních pravidlech, která se aplikují na komunikaci z lokální privátní sítˇ e do Internetu. V ostatních pravidlech (komunikace mezi lokální sítí a firewallem, mezi firewallem a Internetem apod.) nemá pˇ reklad zdrojové adresy smysl. Podrobnˇ ejší informace vˇ cetnˇ e pˇ ríklad˚ u pravidel naleznete v kapitole 9.4. Pro pˇ reklad zdrojové adresy nabízí Kerio Control tyto možnosti: Automatický výbˇ er IP adresy Ve výchozím nastavení bude v paketech odesílaných z lokální sítˇ e do Internetu nahrazena zdrojová IP adresa IP adresou internetového rozhraní firewallu, pˇ res které je paket odesílán. Tento zp˚ usob pˇ rekladu IP adres je optimální pro použití v obecném pravidle 63
Komunikaˇ cní pravidla
pro pˇ rístup z lokální sítˇ e do Internetu (viz kapitola 9.4), protože funguje správnˇ e pˇ ri libovolné konfiguraci internetového pˇ ripojení a stavu jednotlivých linek (podrobnosti viz kapitola 8). Pokud Kerio Control pracuje v režimu rozložení zátˇ eže internetového pˇ ripojení (viz kapitola 8.3), m˚ užeme zvolit zp˚ usob, jakým bude komunikace mezi lokální sítí a Internetem „rozdˇ elována“ mezi jednotlivé internetové linky: • Rozložení podle zdrojových poˇ cítaˇ cu ˚ — veškerá komunikace z konkrétního poˇ cítaˇ ce (klienta) v lokální síti bude smˇ erována vždy toutéž internetovou linkou. Všechna spojení z daného klienta budou navázána ze stejné zdrojové IP adresy (veˇ rejné adresy pˇ ríslušného rozhraní firewallu). Tento zp˚ usob je nastaven jako výchozí, protože zaruˇ cuje stejné chování jako v pˇ rípadˇ e klienta pˇ ripojeného pˇ rímo k Internetu. Rozložení zátˇ eže mezi jednotlivé linky však nemusí být optimální. • Rozložení podle spojení — pro každé spojení navazované z lokální sítˇ e do Internetu bude vybrána internetová linka tak, aby zátˇ ež byla rozložená optimálnˇ e. Tento zp˚ usob zajišt’uje maximální využití kapacity internetového pˇ ripojení, m˚ uže však docházet k problém˚ um s nˇ ekterými službami. Jednotlivá spojení jsou totiž navazována z r˚ uzných zdrojových IP adres (podle rozhraní, ze kterého byl paket z firewallu odeslán), což m˚ uže server vyhodnotit jako útok a v d˚ usledku toho ukonˇ cit relaci, blokovat komunikaci apod. Je-li použit jiný typ internetového pˇ ripojení (jedna pevná linka, vytᡠcení na žádost nebo zálohované pˇ ripojení), nemají tyto volby na ˇ cinnost Kerio Control žádný vliv. Tip Pro maximální využití kapacity pˇ ripojení m˚ užeme použít kombinaci obou zp˚ usob˚ u rozložení zátˇ eže. V obecném pravidle pro pˇ rístup z lokání sítˇ e do Internetu použijeme rozložení podle spojení a pˇ ridáme pravidlo pro specifické služby (servery, klienty apod.), ve kterém bude použito rozložení zátˇ eže podle poˇ cítaˇ cu ˚. Viz též kapitola 9.4. Pˇ reklad na adresu vybraného rozhraní Pro NAT m˚ užeme vybrat konkrétní rozhraní, na jehož IP adresu bude zdrojová adresa v odchozích paketech pˇ rekládána. Tím je zároveˇ n dáno, že pakety budou do Internetu odesílány právˇ e pˇ res tuto linku. Takto lze definovat pravidla pro odesílání urˇ cité komunikace pˇ res vybrané rozhraní — tzv. policy routing — viz kapitola 9.6. Pokud by došlo k výpadku vybrané internetové linky, pak by pro komunikaci vyhovující tomuto pravidlu (specifické služby, klienti apod.) byl Internet nedostupný. Pro ošetˇ rení této situace je možné povolit použití jiného rozhraní (linky) pˇ ri výpadku vybrané linky. Kerio Control se pak bude po dobu trvání výpadku chovat stejnˇ e jako v pˇ rípadˇ e automatického výbˇ eru rozhraní (viz výše).
64
9.3 Definice vlastních komunikaˇ cních pravidel
Pˇ reklad na zadanou IP adresu Pro NAT m˚ uže být zadána IP adresa, která bude použita jako zdrojová adresa ve všech paketech odesílaných z lokální sítˇ e do Internetu. Tato možnost slouží pˇ redevším pro zachování kompatibility se staršími verzemi Kerio Control. Použití pevné IP adresy má však znaˇ cná omezení: • Je nutné použít IP adresu nˇ ekterého z internetových rozhraní firewallu. Pˇ ri použití jiné adresy (ˇ ci dokonce lokální privátní adresy) nebude pˇ reklad IP adres fungovat správnˇ e a pakety odeslané do Internetu budou zahazovány. • Ze zˇ rejmých d˚ uvod˚ u nelze specifickou IP adresu použít v režimech zálohování internetového pˇ ripojení a rozložení zátˇ eže.
Full cone NAT Pˇ ri všech zp˚ usobech pˇ rekladu IP adres je možné nastavit režim povolení pˇ ríchozích paket˚ u z libovolné adresy — tzv. Full cone NAT. Je-li tato volba vypnuta, pak Kerio Control provádí tzv. Port restricted cone NAT. V odchozích paketech z lokální sítˇ e do Internetu zamˇ ení zdrojovou IP adresu za veˇ rejnou IP adresu pˇ ríslušného rozhraní firewallu (viz výše). Pokud je to možné, zachová p˚ uvodní zdrojový port, v opaˇ cném pˇ rípadˇ e pˇ ridˇ elí jiný volný zdrojový port. V pˇ ríchozím smˇ eru pak propustí pouze pakety vyslané ze stejné IP adresy a portu, na který byl odeslán odchozí paket. Tento zp˚ usob pˇ rekladu zaruˇ cuje vysokou bezpeˇ cnost — firewall nepropustí do lokální sítˇ e žádný paket, který není odpovˇ edí na vyslaný požadavek. ˇ ada aplikací (zejména programy pro multimédia, internetovou telefonii — VoIP apod.) však R ˇ casto používá model komunikace, kdy se k portu „otevˇ renému“ odchozím paketem mohou pˇ ripojit další klienti pro navázání pˇ rímého spojení. Proto Kerio Control podporuje také režim Full cone NAT, kde neplatí uvedené omezení pro pˇ ríchozí pakety. Na daném portu jsou pak propouštˇ eny pˇ ríchozí pakety s libovolnou zdrojovou IP adresou a portem. Tento zp˚ usob pˇ rekladu umožˇ nuje provozovat v privátní síti aplikace, které by za normálních okolností fungovaly omezenˇ e nebo nefungovaly v˚ ubec. Pˇ ríklad použití Full cone NAT pro VoIP aplikace naleznete v kapitole 9.9. Upozornˇ ení: Použití Full cone NAT pˇ redstavuje znaˇ cné bezpeˇ cnostní riziko — k portu otevˇ renému odchozím spojením je povolen pˇ rístup bez omezení. Z tohoto d˚ uvodu doporuˇ cujeme povolovat Full cone NAT pouze pro konkrétní službu (pro tento úˇ cel vytvoˇ ríme speciální komunikaˇ cní pravidlo). V žádném pˇ rípadˇ e nepovolujte Full cone NAT v obecném pravidle pro komunikaci z lokální sítˇ e do Internetu 4! Takové pravidlo by znamenalo výraznou degradaci zabezpeˇ cení lokální sítˇ e.
65
Komunikaˇ cní pravidla
Pˇ reklad cílové adresy (mapování port˚ u) Pˇ reklad cílové adresy (též mapování port˚ u) slouží ke zpˇ rístupnˇ ení služby bˇ ežící na poˇ cítaˇ ci v privátní lokální síti z Internetu. Pokud pˇ ríchozí paket vyhovuje daným podmínkám, je cílová adresa zamˇ enˇ ena a paket smˇ erován na pˇ ríslušný poˇ cítaˇ c. Tímto zp˚ usobem bude služba „pˇ renesena“ na internetové rozhraní poˇ cítaˇ ce s Kerio Control (resp. na IP adresu, z níž je mapována). Z pohledu klienta v Internetu služba bˇ eží na IP adrese, ze které je mapována (tzn. obvykle na veˇ rejné IP adrese firewallu). Nastavení pˇ rekladu cílové adresy (mapování port˚ u): • Nepˇ rekládat — cílová adresa z˚ ustane nezmˇ enˇ ena. • Pˇ rekládat na — IP adresa, na níž má být cílová adresa paketu zmˇ enˇ ena. Tato adresa je zároveˇ n adresou poˇ cítaˇ ce, kde daná služba skuteˇ cnˇ e bˇ eží. Do položky Pˇ rekládat na lze rovnˇ ež uvést DNS jméno cílového poˇ cítaˇ ce. V tom pˇ rípadˇ e zjistí Kerio Control pˇ ríslušnou IP adresu DNS dotazem. Upozornˇ ení: Nedoporuˇ cujeme zadávat jména poˇ cítaˇ cu ˚, pro které neexistuje záznam v lokálním DNS. Do zjištˇ ení odpovídající IP adresy je totiž pˇ ríslušné pravidlo neaktivní, což m˚ uže mít za následek doˇ casnou nefunkˇ cnost mapované služby. • Pˇ rekládat port na — pˇ ri zámˇ enˇ e cílové adresy m˚ uže být zamˇ enˇ en i port dané služby. Služba tedy m˚ uže fyzicky bˇ ežet na jiném portu, než na kterém je dostupná z Internetu. Poznámka: Tuto volbu je možné použít jen v pˇ rípadˇ e, je-li v položce Služba komunikaˇ cního pravidla uvedena pouze jedna služba a tato služba používá pouze jeden port nebo jeden rozsah port˚ u. Pˇ ríklady nastavení komunikaˇ cních pravidel pro mapování port˚ u naleznete v kapitole 9.4.
ˇ Casová platnost ˇ Casový interval, ve kterém má pravidlo platit. Mimo tento ˇ casový interval se Kerio Control chová tak, jako by pravidlo neexistovalo. Speciální volba Vždy vypíná ˇ casové omezení pravidla (v oknˇ e Komunikaˇ cní pravidla se pak nezobrazuje nic). V okamžiku zaˇ cátku platnosti zakazujícího pravidla a v okamžiku skonˇ cení platnosti povolujícího pravidla jsou ihned ukonˇ cena všechna aktivní sít’ová spojení vyhovující pˇ ríslušnému pravidlu.
66
9.4 Základní typy komunikaˇ cních pravidel
Inspekˇ cní modul Volba inspekˇ cního modulu, který má být aplikován na komunikaci vyhovující pravidlu. Možnosti jsou následující: • Výchozí — na komunikaci vyhovující tomuto pravidlu budou aplikovány všechny potˇ rebné inspekˇ cní moduly, pˇ rípadnˇ e inspekˇ cní moduly služeb uvedených v položce Služba. • Žádný — nebude aplikován žádný inspekˇ cní modul (bez ohledu na to, jak jsou definovány služby použité v položce Služba). • Jiný — výbˇ er konkrétního inspekˇ cního modulu, který má být aplikován na komunikaci popsanou tímto pravidlem (k dispozici jsou všechny inspekˇ cní moduly, které Kerio Control obsahuje). Na danou komunikaci nebude aplikován žádný další inspekˇ cní modul, bez ohledu na nastavení služeb v položce Služba. Tuto volbu doporuˇ cujeme používat, pouze pokud komunikaˇ cní pravidlo popisuje protokol, pro který je inspekˇ cní modul urˇ cen. Použití nesprávného inspekˇ cního modulu m˚ uže zp˚ usobit nefunkˇ cnost dané služby. Další informace naleznete v kapitole 9.8. Poznámka: Je-li v definici pravidla použita konkrétní služba (viz položka Služba), doporuˇ cujeme v položce Inspekˇ cní modul ponechat volbu Výchozí (inspekˇ cní modul je již zahrnut v definici služby).
9.4 Základní typy komunikaˇ cních pravidel Komunikaˇ cní pravidla v Kerio Control nabízejí pomˇ ernˇ e široké možnosti filtrování sít’ového provozu a zpˇ rístupnˇ ení služeb. V této kapitole uvedeme pˇ ríklady komunikaˇ cních pravidel ˇ rešících standardní situace. Podle tˇ echto pˇ ríklad˚ u m˚ užete snadno vytvoˇ rit sadu pravidel pro vaši konkrétní sít’ovou konfiguraci.
Pˇ reklad IP adres (NAT) Pˇ reklad IP adres (též sdílení internetového pˇ ripojení) znamená zámˇ enu zdrojové (privátní) IP adresy v paketu jdoucím z lokální sítˇ e do Internetu za IP adresu vnˇ ejšího rozhraní poˇ cítaˇ ce s Kerio Control. Tato technika se používá pro pˇ ripojení lokální privátní sítˇ e k Internetu prostˇ rednictvím jedné veˇ rejné IP adresy. Pˇ ríslušné komunikaˇ cní pravidlo m˚ uže vypadat následovnˇ e:
Obrázek 9.1
Typické komunikaˇ cní pravidlo pro pˇ reklad IP adres (sdílení internetového pˇ ripojení)
67
Komunikaˇ cní pravidla
Zdroj Skupina D˚ uvˇ eryhodná / Lokální rozhraní. Tato skupina obsahuje všechny segmenty lokální sítˇ e pˇ ripojené pˇ rímo k firewallu. Pokud nemá být z nˇ ekterých segment˚ u povolen pˇ rístup do Internetu, je nevhodnˇ ejší zaˇ radit pˇ ríslušné rozhraní do skupiny Ostatní rozhraní. Je-li lokální sít’ tvoˇ rena kaskádními segmenty (tzn. obsahuje další smˇ erovaˇ ce), není tˇ reba to v pravidle zohledˇ novat — pouze je nutné správnˇ e nastavit smˇ erování (viz kapitola 20.1). Cíl Skupina rozhraní Internet. S použitím této skupiny je pravidlo univerzálnˇ e použitelné pro libovolný typ internetového pˇ ripojení (viz kapitola 8) a ani v pˇ rípadˇ e zmˇ eny internetového pˇ ripojení není nutné pravidlo mˇ enit. Služba Tato položka m˚ uže být použita ke globálnímu omezení pˇ rístupu do Internetu. Budou-li v pravidle pro pˇ reklad IP adres uvedeny konkrétní služby, pak bude pˇ reklad fungovat pouze pro tyto služby a ostatní služby v Internetu budou z lokální sítˇ e nepˇ rístupné. Akce Musí být nastavena na Povolit (jinak by byla komunikace blokována a pˇ reklad adres by již nemˇ el žádný smysl). Pˇ reklad V sekci Pˇ reklad zdrojové adresy staˇ cí vybrat volbu Výchozí nastavení — pro NAT se použije primární IP adresa rozhraní, pˇ res které paket odchází z poˇ cítaˇ ce s Kerio Control. Tím je rovnˇ ež zajištˇ ena univerzálnost pravidla — pˇ reklad adres bude probíhat vždy správnˇ e, bez ohledu na typ internetového pˇ ripojení a konkrétní linku, pˇ res kterou bude paket odeslán do Internetu. Upozornˇ ení: V sekci Pˇ reklad cílové adresy by mˇ ela být nastavena volba Nepˇ rekládat, jinak není zaruˇ cena zamýšlená funkce pravidla. Kombinace pˇ rekladu zdrojové i cílové adresy má význam pouze ve speciálních pˇ rípadech. Umístˇ ení pravidla Pravidlo pro pˇ reklad zdrojových adres musí být umístˇ eno pod všemi pravidly, která omezují pˇ rístup z lokální sítˇ e do Internetu. Poznámka: Takto definované pravidlo povoluje pˇ rístup do Internetu z poˇ cítaˇ cu ˚ v lokální síti, nikoliv však ze samotného firewallu (tj. poˇ cítaˇ ce, na nˇ emž je Kerio Control nainstalován)! Komunikace mezi firewallem a Internetem musí být explicitnˇ e povolena samostatným pravidlem. Protože poˇ cítaˇ c s Kerio Control má pˇ rímý pˇ rístup do Internetu, není nutné použít pˇ reklad IP adres.
68
9.4 Základní typy komunikaˇ cních pravidel
Obrázek 9.2
Pravidlo pro komunikaci firewallu s poˇ cítaˇ ci v Internetu
Zpˇ rístupnˇ ení služby (mapování port˚ u) Mapování port˚ u zpˇ rístupˇ nuje z Internetu službu na poˇ cítaˇ ci v lokální (zpravidla privátní) síti. Z pohledu klienta tato služba bˇ eží na vnˇ ejší (veˇ rejné) IP adrese poˇ cítaˇ ce s Kerio Control. Kerio Control umožˇ nuje pˇ rístup k mapované službˇ e také z lokální sítˇ e. Odpadají tedy komplikace s r˚ uznými DNS záznamy pro Internet a lokální sít’. Komunikaˇ cní pravidlo pro mapování port˚ u m˚ uže být definováno následovnˇ e:
Obrázek 9.3
Komunikaˇ cní pravidlo pro zpˇ rístupnˇ ení lokálního WWW serveru z Internetu
Zdroj K mapované službˇ e se mohou pˇ ripojovat klienti jak z Internetu, tak z lokální sítˇ e. Z tohoto d˚ uvodu je možné v položce Zdroj ponechat hodnotu Libovolný (pˇ rípadnˇ e m˚ užeme uvést všechny relevantní skupiny rozhraní nebo jednotlivá rozhraní — napˇ r. Internet a LAN ). Cíl Poˇ cítaˇ c s Kerio Control, tj. speciální rozhraní Firewall. Takto bude služba pˇ rístupná na všech adresách rozhraní pˇ ripojeného k Internetu. Chceme-li službu zpˇ rístupnit na konkrétní IP adrese, použijeme volbu Poˇ cítaˇ c a zadáme požadovanou IP adresu (viz pˇ ríklad pro multihoming). Služba Služby, které mají být zpˇ rístupnˇ eny. Službu lze vybrat ze seznamu pˇ reddefinovaných služeb (viz kapitola 17.3) nebo zadat pˇ rímo protokolem a ˇ císlem portu. V tomto poli mohou být uvedeny všechny služby, které bˇ eží na jednom poˇ cítaˇ ci. Pro zpˇ rístupnˇ ení služeb z jiného poˇ cítaˇ ce je tˇ reba vytvoˇ rit nové komunikaˇ cní pravidlo. Akce Musí být nastavena na Povolit (jinak by byla komunikace blokována a mapování port˚ u by nemˇ elo žádný smysl). Pˇ reklad V sekci Pˇ reklad cílové adresy (mapování port˚ u) zvolte Pˇ rekládat na tuto IP adresu a uved’te IP adresu poˇ cítaˇ ce v lokální síti, kde služba bˇ eží. Volbou Pˇ rekládat port na je možné mapovat službu na jiný port, než na kterém je služba pˇ rístupná z Internetu. 69
Komunikaˇ cní pravidla
Upozornˇ ení: V sekci Pˇ reklad zdrojové adresy musí být nastavena volba Nepˇ rekládat! Kombinace pˇ rekladu zdrojové i cílové adresy má význam pouze ve speciálních pˇ rípadech. Poznámka: Pro správnou funkci mapování port˚ u je nutné, aby poˇ cítaˇ c, na nˇ emž mapovaná služba bˇ eží, mˇ el nastavenu výchozí bránu na poˇ cítaˇ c s Kerio Control. Bez splnˇ ení této podmínky nebude mapování fungovat. Umístˇ ení pravidla Jak již bylo zmínˇ eno, k mapovaným službám je možné pˇ ristupovat i z lokální sítˇ e. Pˇ ri pˇ rístupu z lokální sítˇ e se navazuje spojení z lokální (privátní) IP adresy na IP adresu v Internetu (veˇ rejnou IP adresu firewallu). Pokud by pravidlu pro mapovanou službu pˇ redcházelo pravidlo povolující pˇ rístup z lokální sítˇ e do Internetu, paket by na základˇ e tohoto pravidla byl smˇ erován do Internetu a následnˇ e zahozen. Z tohoto d˚ uvodu doporuˇ cujeme všechna pravidla pro mapované služby umist’ovat vždy na zaˇ cátek tabulky komunikaˇ cních pravidel. Poznámka: Existují-li samostatná pravidla omezující pˇ rístup k mapovaným službám, musí být tato pravidla umístˇ ena nad vlastními pravidly pro mapování. Zpravidla však lze mapování služby a omezení pˇ rístupu zkombinovat do jediného pravidla.
Zpˇ rístupnˇ ení služeb na r˚ uzných IP adresách (multihoming) Multihoming je oznaˇ cení pro situaci, kdy má sít’ové rozhraní pˇ ripojené k Internetu pˇ riˇ razeno více veˇ rejných IP adres. Typickým požadavkem je, aby na tˇ echto adresách byly nezávisle zpˇ rístupnˇ eny r˚ uzné služby. Pˇ redpokládejme, že v lokální síti bˇ eží WWW server web1 na poˇ cítaˇ ci s IP adresou 192.168.1.100 a WWW server web2 s IP adresou 192.168.1.200. Rozhraní pˇ ripojené k Internetu má pˇ riˇ razeny veˇ rejné IP adresy 195.39.55.12 a 195.39.55.13. Server web1 má být z Internetu dostupný na IP adrese 195.39.55.12, server web2 na IP adrese 195.39.55.13. Pro splnˇ ení tˇ echto požadavk˚ u definujeme v Kerio Control dvˇ e komunikaˇ cní pravidla:
Obrázek 9.4
Multihoming — mapování WWW server˚ u
70
9.4 Základní typy komunikaˇ cních pravidel
Zdroj Libovolný (viz pˇ redchozí pˇ ríklad pro mapování jedné služby). Cíl Pˇ ríslušná IP adresa rozhraní pˇ ripojeného k Internetu (pro zadání jedné IP adresy slouží volba Poˇ cítaˇ c ). Služba Služba, která má být zpˇ rístupnˇ ena (v pˇ rípadˇ e WWW serveru služba HTTP). Akce Musí být nastavena na Povolit (jinak by byla komunikace blokována a mapování port˚ u by nemˇ elo žádný smysl). Pˇ reklad V sekci Pˇ reklad cílové adresy (mapování port˚ u) zvolíme Pˇ rekládat na tuto IP adresu a zadáme IP adresu odpovídajícího WWW serveru (web1, resp. web2).
Omezení pˇ rístupu do Internetu Velmi ˇ castým požadavkem je omezit pˇ rístup uživatel˚ u z lokální sítˇ e ke službám v Internetu. Omezení lze provést nˇ ekolika zp˚ usoby. V níže uvedených pˇ ríkladech omezení zajišt’uje pˇ rímo pravidlo pro pˇ reklad IP adres, a to specifikací podmínky, kdy má být pˇ reklad provádˇ en. Není tˇ reba definovat žádné další pravidlo — implicitní pravidlo bude blokovat veškerou komunikaci, která tˇ emto podmínkám nevyhoví. Další zp˚ usoby omezování pˇ rístupu budou zmínˇ eny v sekci Výjimky (viz níže). Poznámka: Pravidla uvedená v tˇ echto pˇ ríkladech mohou být také použita, jestliže je Kerio Control nasazen jako tzv. neutrální smˇ erovaˇ c (tj. smˇ erovaˇ c bez pˇ rekladu IP adres) — pouze v položce Pˇ reklad nebude žádný pˇ reklad definován. 1.
Povolení pˇ rístupu pouze k vybraným službám. V pravidle pro pˇ reklad IP adres uvedeme v položce Služba pouze služby, které mají být povoleny.
Obrázek 9.5
Sdílení internetového pˇ ripojení — povolení pˇ rístupu pouze k vybraným službám
71
Komunikaˇ cní pravidla
2.
Omezení dle IP adres. Pˇ rístup k urˇ citým službám (pˇ rípadnˇ e kompletní pˇ rístup do Internetu) bude povolen pouze z vybraných poˇ cítaˇ cu ˚. V položce Zdroj definovaného pravidla uvedeme skupinu IP adres, ze kterých bude pˇ rístup do Internetu povolen. Tuto skupinu je tˇ reba nejprve definovat v sekci Konfigurace → Definice → Skupiny (viz kapitola 18.5).
Obrázek 9.6
Povolení pˇ rístupu do Internetu pouze pro vybranou skupinu IP adres
Poznámka: Definice pravidel tohoto typu je vhodná pouze v pˇ rípadˇ e, že každý uživatel má sv˚ uj vlastní poˇ cítaˇ c (uživatelé se u poˇ cítaˇ cu ˚ nestˇ rídají) a tyto poˇ cítaˇ ce mají pˇ riˇ razeny statické IP adresy. 3.
Omezení dle uživatel˚ u. V tomto pˇ rípadˇ e firewall kontroluje, zda z poˇ cítaˇ ce, odkud komunikace pˇ richází, je pˇ rihlášen urˇ citý uživatel. Podle toho komunikaci povolí ˇ ci zakáže.
Obrázek 9.7
Povolení pˇ rístupu do Internetu pouze vybrané skupinˇ e uživatel˚ u
Nejjednodušší variantou tohoto omezení je pravidlo povolující pˇ rístup do Internetu pouze pˇ rihlášeným uživatel˚ um. Internet tak bude dostupný všem uživatel˚ um, kteˇ rí mají v Kerio Control uživatelský úˇ cet. Správce firewallu pak má detailní pˇ rehled o tom, kam kteˇ rí uživatelé pˇ ristupují a jaké služby využívají (anonymní pˇ rístup není možný).
Obrázek 9.8
Povolení pˇ rístupu do Internetu pouze ovˇ eˇ reným uživatel˚ um
Podrobné informace o pˇ rihlašování uživatel˚ u k firewallu naleznete v kapitole 13.1. Poznámka: 1. 2.
Výše uvedená pravidla lze r˚ uzným zp˚ usobem kombinovat — napˇ r. povolit skupinˇ e uživatel˚ u pˇ rístup do Internetu pouze k vybraným službám. Použití uživatelských úˇ ct˚ u a skupin uživatel˚ u v komunikaˇ cních pravidlech má urˇ citá specifika. Touto problematikou se podrobnˇ e zabývá kapitola 9.7.
72
9.5 Demilitarizovaná zóna
Výjimky Pˇ ri omezování pˇ rístupu do Internetu m˚ uže vzniknout požadavek, aby k urˇ cité službˇ e byl povolen pˇ rístup pouze vybrané skupinˇ e uživatel˚ uˇ ci IP adres. Všem ostatním uživatel˚ um (resp. ze všech ostatních IP adres) má být pˇ rístup k této službˇ e zakázán. Jako pˇ ríklad uvedeme povolení pˇ rístupu na servery v Internetu pomocí služby Telnet skupinˇ e uživatel˚ u. Pro splnˇ ení tohoto požadavku definujeme dvˇ e pravidla: • První pravidlo povolí službu Telnet vybrané skupinˇ e uživatel˚ u (resp. skupinˇ e IP adres apod.). • Druhé pravidlo zakáže pˇ rístup k této službˇ e všem ostatním uživatel˚ um.
Obrázek 9.9
Výjimka — povolení služby Telnet pouze vybrané skupinˇ e uživatel˚ u
9.5 Demilitarizovaná zóna Demilitarizovaná zóna (DMZ) je speciální segment lokální sítˇ e vyhrazený pro servery, které jsou zpˇ rístupnˇ ené z Internetu. Z tohoto segmentu není povolen pˇ rístup do lokální sítˇ e — v pˇ rípadˇ e napadení serveru v demilitarizované zónˇ e nem˚ uže útoˇ cník napadnout další servery a poˇ cítaˇ ce v lokální síti. Jako pˇ ríklad uvedeme pravidla pro WWW server umístˇ ený v demilitarizované zónˇ e. Demilitarizovaná zóna je pˇ ripojená k rozhraní DMZ zaˇ razeného do skupiny Ostatní rozhraní e se používá subsít’ 192.168.2.x, WWW server má (viz kapitola 7.1). V demilitarizované zónˇ IP adresu 192.168.2.2. Pˇ ridáme následující pravidla: • Zpˇ rístupnˇ ení WWW serveru z Internetu — mapování služby HTTP na serveru v demilitarizované zónˇ e, • Povolení pˇ rístupu z demilitarizované zóny do Internetu prostˇ rednictvím pˇ rekladu IP adres (NAT) — nutné pro správnou funkˇ cnost mapované služby, • Povolení pˇ rístupu z lokální sítˇ e do demilitarizované zóny — zpˇ rístupnˇ ení WWW serveru lokálním uživatel˚ um, • Zákaz pˇ rístupu z demilitarizované zóny do lokální sítˇ e — ochrana proti napadení lokální sítˇ e z DMZ. Toto je obecnˇ e zajištˇ eno výchozím pravidlem blokujícím veškerou ostatní komunikaci (blokující pravidlo zde uvádíme pro vˇ etší názornost).
73
Komunikaˇ cní pravidla
Obrázek 9.10
Komunikaˇ cní pravidla pro demilitarizovanou zónu
Tip Pro zpˇ rístupnˇ ení více server˚ u v demilitarizované zónˇ e lze s výhodou využít více veˇ rejných IP adres na internetovém rozhraní firewallu — tzv. multihoming (viz kapitola 9.4).
9.6 Policy routing Pokud je lokální sít’ pˇ ripojena do Internetu více linkami s rozložením zátˇ eže (viz kapitola 8.3), m˚ uže vzniknout požadavek, aby pro urˇ citou komunikaci byla vyhrazena jedna linka a ostatní komunikace byla smˇ erována pˇ res zbývající linky. D˚ uvodem je, aby d˚ uležitá komunikace (napˇ r. e-mail nebo informaˇ cní systém) nebyla zbyteˇ cnˇ e zpomalována ménˇ e d˚ uležitou komunikací (napˇ r. „brouzdání“ uživatel˚ u po WWW stránkách ˇ ci poslech internetových rádií). Pro splnˇ ení tohoto požadavku je potˇ reba pˇ ri smˇ erování paket˚ u z lokální sítˇ e do Internetu kromˇ e cílové IP adresy pracovat také s dalšími informacemi — zdrojovou IP adresou, protokolem atd. Tato technika smˇ erování se nazývá policy routing (inteligentní smˇ erování). V Kerio Control lze policy routing definovat pomocí podmínek v komunikaˇ cních pravidlech pro pˇ rístup do Internetu s pˇ rekladem IP adres (NAT). Tato koncepce nabízí velmi široké možnosti pro splnˇ ení všech požadavk˚ u na smˇ erování a rozložení zátˇ eže internetového pˇ ripojení. Poznámka: Komunikaˇ cní pravidla pro policy routing mají vyšší prioritu než cesty definované ve smˇ erovací tabulce (viz kapitola 20.1). Pˇ ríklad: Vyhrazená linka pro e-mailovou komunikaci Pˇ redpokládejme, že firewall je pˇ ripojen do Internetu dvˇ ema linkami s rozložením zátˇ eže o rychlostech 4 Mbit/s a 8 Mbit/s. První z linek je pˇ ripojena k poskytovateli, u kterého je zároveˇ n hostován poštovní server. Proto je požadováno, aby veškerá e-mailová komunikace (protokoly SMTP, IMAP, POP3 a jejich zabezpeˇ cené verze) byla smˇ erována touto linkou. Pro splnˇ ení uvedených požadavk˚ u definujeme dvˇ e komunikaˇ cní pravidla: • První pravidlo urˇ cuje, že pro e-mailové služby bude provádˇ en pˇ reklad IP adres (NAT) s použitím rozhraní Internet 4 Mbit. • Druhé pravidlo je obecné pravidlo pro NAT s automatickým výbˇ erem rozhraní (viz kapitola 9.4). 74
9.6 Policy routing
Obrázek 9.11
Policy routing — vyhrazená linka pro e-mail
Nastavení pˇ rekladu IP adres v pravidle pro e-mailové služby je zˇ rejmé z obrázku 9.12. Doporuˇ cujeme povolit použití jiné linky, pokud dojde výpadku vyhrazené linky. V opaˇ cném pˇ rípadˇ e by po dobu výpadku vyhrazené linky byly e-mailové služby nedostupné.
Obrázek 9.12
Policy routing — nastavení NAT pro vyhrazenou linku
Pˇ redpokládejme, že poštovní server poskytuje také služby Webmail a CalDAV, které používají protokol HTTP(s). Pˇ ridání tˇ echto protokol˚ u do prvního pravidla by zp˚ usobilo, že by pˇ res vyhrazenou linku byla smˇ erována veškerá WWW komunikace. Pravidlo však m˚ užeme modifikovat tak, aby linka byla vyhrazena pro komunikaci s konkrétním serverem — viz obrázek 9.13.
Obrázek 9.13
Policy routing — vyhrazená linka pro konkrétní server
75
Komunikaˇ cní pravidla
Poznámka: Ve druhém pravidle je použit automatický výbˇ er rozhraní. To znamená, že i linka Internet 4 Mbit bude stále využita pro rozložení zátˇ eže internetového pˇ ripojení. Pˇ ritom samozˇ rejmˇ e bude zohledˇ nována e-mailová komunikace, pro kterou je linka vyhrazena podle prvního pravidla. Celková zátˇ ež tak bude stále optimálnˇ e rozložena mezi obˇ e linky. Pokud bychom z nˇ ejakého d˚ uvodu požadovali, aby urˇ citá linka byla vyhrazena pouze pro danou komunikaci a veškerá ostatní komunikace byla smˇ erována pˇ res jiné linky, pak v sekci Konfigurace → Rozhraní nastavíme této lince rychlost 0 Mbit/s. Linka pak nebude použita pro automatické rozložení zátˇ eže, ale bude pˇ res ni smˇ erována pouze specifická komunikace dle komunikaˇ cních pravidel.
Pˇ ríklad: Optimalizace rozložení zátˇ eže internetového pˇ ripojení Kerio Control nabízí dva zp˚ usoby rozložení zátˇ eže internetového pˇ ripojení: podle zdrojových poˇ cítaˇ cu ˚ (klient˚ u) nebo podle jednotlivých spojení (bližší informace viz kapitola 9.3). Vzhledem k r˚ uznorodosti aplikací na jednotlivých poˇ cítaˇ cích a r˚ uzným povahám uživatel˚ u je zˇ rejmé, že lepšího využití jednotlivých internetových linek se dosáhne pˇ ri rozložení zátˇ eže podle jednotlivých spojení. V tomto režimu však m˚ uže docházet k problém˚ um pˇ ri pˇ rístupu ke službám, kde se navazuje více spojení souˇ casnˇ e (typicky WWW stránky a další služby založené na WWW). Server m˚ uže r˚ uzné zdrojové adresy v jednotlivých spojeních vyhodnotit jako obnovení spojení po výpadku (pak dojde napˇ r. k vypršení relace) nebo jako pokus o útok (služba pak m˚ uže být zcela nedostupná). ˇ ešením tohoto problému je použít policy routing. Pro „problematické“ služby (napˇ R r. HTTP a HTTPS) bude zátˇ ež rozložena podle klient˚ u, tzn. všechna spojení z jednoho klienta budou smˇ erována pˇ res jednu internetovou linku a budou tedy mít shodnou zdrojovou IP adresu. Na ostatní služby bude aplikováno rozložení zátˇ eže podle spojení — tím bude zajištˇ eno optimální využití kapacity jednotlivých linek. Uvedené požadavky zajistí dvˇ e komunikaˇ cní pravidla pro NAT — viz obrázek 9.14. V prvním pravidle uvedeme požadované služby a nastavíme režim NAT podle poˇ cítaˇ cu ˚ . Druhé pravidlo bude platit pro libovolnou (jinou) službu a nastavíme zde režim NAT podle spojení.
Obrázek 9.14
Policy routing — optimalizace rozložení zátˇ eže
76
9.7 Použití uživatelských úˇ ct˚ u a skupin v komunikaˇ cních pravidlech
9.7 Použití uživatelských úˇ ct˚ u a skupin v komunikaˇ cních pravidlech V komunikaˇ cních pravidlech lze jako zdroj (pˇ rípadnˇ e cíl) použít také uživatelské úˇ cty a/nebo skupiny uživatel˚ u. Uživatelský úˇ cet má v pravidle význam IP adresy poˇ cítaˇ ce, ze kterého je uživatel pˇ rihlášen. Pravidlo se tedy uplatní pouze v pˇ rípadˇ e, že je uživatel na firewallu ovˇ eˇ ren (po odhlášení uživatele je pravidlo opˇ et neplatné). V této kapitole popisujeme aspekty, které mohou vzniknout pˇ ri použití uživatelských úˇ ct˚ u v komunikaˇ cních pravidlech, a ˇ rešení tˇ echto problém˚ u. Poznámka: Podrobné informace o definici komunikaˇ cních pravidel viz kapitola 9.3.
Povolení pˇ rístupu do Internetu vybraným uživatel˚ um Požadavkem je povolit pˇ rístup do Internetu (ke všem službám) pouze vybraným uživatel˚ um. Pˇ redpokládejme, že se jedná o privátní lokální sít’ a pˇ rístup do Internetu je realizován pomocí technologie NAT. Pak staˇ cí pˇ ríslušné uživatele uvést v položce Zdroj pravidla pro pˇ reklad adres.
Obrázek 9.15
cní pravidlo povolující pˇ rístup do Internetu pouze vybraným uživatel˚ um Komunikaˇ
Takto definované pravidlo povolí pˇ rístup do Internetu vyjmenovaným uživatel˚ um, pokud budou na firewallu ovˇ eˇ reni. Tito uživatelé však budou muset ruˇ cnˇ e otevˇ rít pˇ rihlašovací stránku WWW rozhraní Kerio Control a pˇ rihlásit se (podrobnosti viz kapitola 13.1). S takto definovaným pravidlem však budou neúˇ cinné všechny metody automatického ovˇ eˇ rování (tj. pˇ resmˇ erování na pˇ rihlašovací stránku, NTLM ovˇ eˇ rování a automatické pˇ rihlášení z definovaných poˇ cítaˇ cu ˚). Automatické ovˇ eˇ rení (resp. pˇ resmˇ erování na pˇ rihlašovací stránku) se totiž provádí až v okamžiku navazování spojení do Internetu. Toto pravidlo pro pˇ reklad adres však nepovolí navázat spojení dˇ ríve, než je pˇ ríslušný uživatel ovˇ eˇ ren.
Povolení automatického ovˇ eˇ rování Problém s automatickým ovˇ eˇ rováním uživatel˚ u m˚ užeme snadno vyˇ rešit následujícím zp˚ usobem: • Nad pravidlo pro pˇ reklad IP adres pˇ ridáme pravidlo povolující pˇ rístup ke službˇ e HTTP bez omezení.
77
Komunikaˇ cní pravidla
Obrázek 9.16
Komunikaˇ cní pravidla umožˇ nující
automatické pˇ resmˇ erování na pˇ rihlašovací stránku
• V pravidlech pro URL (viz kapitola 15.2) povolíme pˇ rístup ke všem WWW stránkám vybraným uživatel˚ um a zakážeme pˇ rístup všem ostatním uživatel˚ um.
Obrázek 9.17
Pravidla pro URL umožˇ nující pˇ rístup
ke všem WWW stránkám pouze vybraným uživatel˚ um
Pokud uživatel nebude dosud ovˇ eˇ ren a pokusí se pˇ ristoupit na nˇ ejakou WWW stránku, bude automaticky pˇ resmˇ erován na pˇ rihlašovací stránku (pˇ ríp. ovˇ eˇ ren pomocí NTLM nebo automaticky pˇ rihlášen z pˇ ríslušného poˇ cítaˇ ce). Po úspˇ ešném ovˇ eˇ rení bude uživatel˚ um uvedeným v pravidle NAT (viz obrázek 9.16) povolen pˇ rístup i k ostatním službám v Internetu. Neovˇ eˇ reným uživatel˚ um a ostatním uživatel˚ um, kteˇ rí nejsou v pravidlech uvedeni, bude zakázán pˇ rístup na všechny WWW stránky a všechny ostatní služby v Internetu. Poznámka: V tomto pˇ ríkladu pˇ redpokládáme, že klientské poˇ cítaˇ ce využívají modul DNS v Kerio Control, pˇ rípadnˇ e DNS server v lokální síti, jehož komunikace je povolena. Pokud by klientské stanice používaly pˇ rímo DNS server v Internetu (nedoporuˇ cená konfigurace!), musela by do pravidla povolujícího pˇ rístup bez omezení být pˇ ridána ještˇ e služba DNS.
9.8 Vyˇ razení inspekˇ cního modulu pro urˇ citou službu V nˇ ekterých pˇ rípadech nemusí být aplikování inspekˇ cního modulu na danou komunikaci žádoucí. Pro vyˇ razení urˇ citého inspekˇ cního modulu je tˇ reba definovat komunikaˇ cní pravidlo pro tuto službu a odpovídající zdrojové a cílové adresy, ve kterém explicitnˇ e nastavíme, že nemá být používán žádný inspekˇ cní modul.
78
9.8 Vyˇ razení inspekˇ cního modulu pro urˇ citou službu
Pˇ ríklad Klient elektronického bankovnictví komunikuje se serverem banky vlastním aplikaˇ cním protokolem, který využívá transportní protokol TCP na portu 2000. Pˇ redpokládejme, že tato aplikace je provozována na poˇ cítaˇ ci s IP adresou 192.168.1.15 a pˇ ripojuje se k serveru server.banka.cz. Port 2000 je standardnˇ e využíván protokolem Cisco SCCP. Za normálních okolností by byl na komunikaci bankovního klienta aplikován inspekˇ cní modul protokolu SCCP, což by mohlo zp˚ usobit nesprávnou funkci této aplikace, pˇ rípadnˇ e degradovat zabezpeˇ cení. Pro komunikaci bankovního klienta definujeme speciální komunikaˇ cní pravidlo: 1.
V sekci Konfigurace → Definice → Služby definujeme službu Banka: služba využívá transportní protokol TCP na portu 2000 a nepoužívá žádný inspekˇ cní modul.
Obrázek 9.18
2.
Definice služby bez inspekˇ cního modulu
V sekci Konfigurace → Zásady komunikace → Komunikaˇ cní pravidla vytvoˇ ríme pravidlo povolující komunikaci této službˇ e z poˇ cítaˇ ce v lokální síti na server banky. V pravidle specifikujeme, že nemá být použit žádný inspekˇ cní modul.
Obrázek 9.19
Komunikaˇ cní pravidlo povolující pˇ rístup ke službˇ e bez inspekce protokolu
79
Komunikaˇ cní pravidla
Upozornˇ ení: K vyˇ razení inspekˇ cního modulu pro urˇ citou komunikaci nestaˇ cí definovat službu bez použití tohoto modulu! Inspekˇ cní moduly jsou aplikovány automaticky na veškerou komunikaci pˇ ríslušnými protokoly. Vyˇ razení urˇ citého inspekˇ cního modulu musí být specifikováno komunikaˇ cními pravidly.
9.9 Použití Full cone NAT ˇ ada aplikací (zejména programy pro multimédia, internetovou telefonii (VoIP) apod.) používá R model komunikace, kdy se k portu „otevˇ renému“ odchozím paketem mohou pˇ ripojit další klienti pro navázání pˇ rímého spojení. Pro tyto pˇ rípady Kerio Control nabízí režim pˇ rekladu adres oznaˇ covaný jako Full cone NAT. V tomto režimu je k otevˇ renému portu povolen pˇ rístup z libovolné IP adresy a komunikace je vždy pˇ resmˇ erována na pˇ ríslušného klienta v lokální síti. Použití Full cone NAT pˇ redstavuje urˇ cité bezpeˇ cnostní riziko. S každým odchozím spojením navázaným v tomto režimu se otevírá potenciální cesta z Internetu do lokální sítˇ e. Pro zachování dostateˇ cné úrovnˇ e zabezpeˇ cení je proto nutné povolovat Full cone NAT pouze pro konkrétní klienty a služby. Pro ilustraci uvádíme pˇ ríklad pro IP telefon s protokolem SIP. Poznámka: Podrobnosti o definici komunikaˇ cních pravidel viz kapitola 9.3.
Pˇ ríklad: SIP telefon v lokální síti Pˇ redpokládejme, že v lokální síti bude provozován IP telefon, který se registruje na SIP server v Internetu. Pro snazší popis uved’me konkrétní údaje: • IP adresa telefonu: 192.168.1.100 • Veˇ rejná IP adresa firewallu: 195.192.33.1 • SIP server: sip.server.cz Protože firewall provádí pˇ reklad IP adres, telefon se na SIP serveru registruje pod veˇ rejnou IP adresou firewallu (195.192.33.1). Pˇ ri volání z jiného telefonu na tento telefon bude navazováno spojení na IP adresu firewallu (195.192.33.1) a pˇ ríslušný port. Za normálních okolností by takové spojení bylo možné navázat pouze pˇ rímo ze SIP serveru (na nˇ ej bylo navazováno p˚ uvodní odchozí spojení pˇ ri registraci). Pˇ ri použití Full cone NAT bude moci toto spojení navázat libovolný klient, který chce volat na SIP telefon v lokální síti. Full cone NAT povolíme komunikaˇ cním pravidlem, které bude velmi restriktivní (z d˚ uvodu zachování maximální možné úrovnˇ e zabezpeˇ cení):
80
9.10 Media hairpinning
Obrázek 9.20
Komunikaˇ cní pravidlo pro Full cone NAT
• Zdroj — IP adresa SIP telefonu v lokální síti. • Cíl — jméno nebo IP adresa SIP serveru v Internetu. Full cone NAT bude provádˇ en pouze pro komunikaci s tímto serverem. • Služba — služba SIP (jedná se o SIP telefon). Pro ostatní služby nebude Full cone NAT provádˇ en. • Akce — komunikace musí být povolena. • Pˇ reklad — zvolíme požadovaný zp˚ usob pˇ rekladu zdrojové IP adresy (viz kapitola 9.3) a zaškrtneme volbu Povolit pˇ ríchozí pakety z libovolného poˇ cítaˇ ce (Full cone NAT). Pravidlo pro Full cone NAT musí být umístˇ eno nad obecným pravidlem pro pˇ reklad adres povolujícím komunikaci z lokální sítˇ e do Internetu.
9.10 Media hairpinning Kerio Control umožˇ nuje „zprostˇ redkovat“ komunikaci mezi dvˇ ema klienty v lokální síti, kteˇ rí se vzájemnˇ e „znají“ pouze pod veˇ rejnou IP adresou firewallu. Tato vlastnost firewallu se nazývá hairpinning (z angl. hairpin = serpentina, jedná se de facto o „otoˇ cení“ komunikace zpˇ et do lokální sítˇ e). Protože se využívá pˇ redevším pˇ ri pˇ renosu hlasových nebo obrazových dat, oznaˇ cuje se také jako media hairpinning.
Pˇ ríklad: Dva SIP telefony v lokální síti Pˇ redpokládejme situaci, kdy jsou v lokální síti umístˇ eny dva SIP telefony. Tyto telefony se registrují na SIP serveru v Internetu. Pro snazší popis uved’me konkrétní údaje: • IP adresy telefon˚ u: 192.168.1.100 a 192.168.1.101 • Veˇ rejná IP adresa firewallu: 195.192.33.1 • SIP server: sip.server.cz Pro telefony definujeme pˇ ríslušná komunikaˇ cní pravidla — viz kapitola 9.9 (je zˇ rejmé, že do položky Zdroj komunikaˇ cního pravidla pro Full cone NAT dle obrázku 9.20 staˇ cí pˇ ridat IP adresu druhého telefonu). Oba telefony budou zaregistrovány na SIP serveru pod veˇ rejnou IP adresou firewallu (195.192.33.1). Uskuteˇ cní-li tyto telefony hovor mezi sebou, budou datové pakety (pro 81
Komunikaˇ cní pravidla
vlastní pˇ renos hlasu) z každého telefonu posílány na veˇ rejnou IP adresu firewallu (a port protˇ ejšího telefonu). Za normálních okolností by takové pakety byly zahazovány. Kerio Control však dokáže na základˇ e odpovídajícího záznamu v NAT tabulce rozpoznat, že paket je urˇ cen pro klienta v lokální síti, provede pˇ reklad cílové IP adresy a vyšle paket zpˇ et do lokální sítˇ e (stejnˇ e jako v pˇ rípadˇ e mapování port˚ u). Komunikace mezi obˇ ema telefony tak bude fungovat správnˇ e. Poznámka: 1.
2.
Podmínkou pro hairpinning je povolení pˇ ríslušné komunikace mezi lokální sítí a Internetem (pˇ red zpracováním firewallem mají pakety zdrojovou adresu z lokální sítˇ e a cílovou adresu z Internetu — jedná se tedy o odchozí komunikaci z lokální sítˇ e do Internetu). Ve výchozích komunikaˇ cních pravidlech vytvoˇ rených pr˚ uvodcem (viz kapitola 9.1) je tato podmínka splnˇ ena pravidlem NAT. Hairpinning v principu nevyžaduje povolení Full cone NAT (viz kapitola 9.9). V uvedeném pˇ ríkladu je však Full cone NAT nutný pro správnou funkci protokolu SIP.
82
Kapitola 10
Firewall a systém prevence útok˚ u
10.1 Systém prevence sít’ových útok˚ u (IPS) Kerio Control integruje systém detekce a prevence útok˚ u (IDS/IPS) Snort, který chrání firewall a lokální sít’ pˇ red známými typy sít’ových útok˚ u. V rámci produktu Kerio Control se tento systém zjednodušenˇ e nazývá Prevence útok˚ u (název v sobˇ e skrývá obˇ e uvedené funkce — prevenci nelze provádˇ et bez detekce).
Kˇ cemu slouží a jak funguje systém prevence útok˚ u Sít’ový útok je obecnˇ e nežádoucí sít’ová komunikace, která nˇ ejakým zp˚ usobem narušuje ˇ cinnost nebo zabezpeˇ cení poˇ cítaˇ ce, proti kterému je útok veden, zpravidla za úˇ celem jeho paralýzy, získání neoprávnˇ eného pˇ rístupu a/nebo odcizení dat. Pro útoky je charakteristické, že se zdánlivˇ e jedná o legitimní sít’ovou komunikaci a nelze je jednoduše odfiltrovat komunikaˇ cními pravidly. Jako pˇ ríklad uved’me útok typu DoS (Denial of Service — zablokování služby), kdy útoˇ cník navázáním velkého poˇ ctu spojení na urˇ citý port zp˚ usobí vyˇ cerpání systémových zdroj˚ u serverové aplikace a další klienti se k ní pak již nemohou pˇ ripojit. Z pohledu firewallu se pˇ ritom jedná pouze o pˇ rístup na povolený port. Pro detekci sít’ových útok˚ u je proto potˇ reba sofistikovaná analýza sít’ové komunikace. Systémy detekce sít’ových útok˚ u obvykle pracují s databázemi známých útok˚ u (podobnˇ e jako antivirové programy používají databáze známých vir˚ u). Díky pravidelné aktualizaci databáze je zajištˇ eno, že systém bude zachytávat i nové typy útok˚ u. V souˇ casné verzi aplikace Kerio Control pracuje systém prevence útok˚ u na všech sít’ových rozhraních zaˇ razených ve skupinˇ e Internetová rozhraní (viz kapitola 7). Z toho vyplývá, že detekuje a zachytává sít’ové útoky pˇ richázející z Internetu, nikoliv z poˇ cítaˇ cu ˚ v lokálních sítích a z VPN klient˚ u (tyto poˇ cítaˇ ce jsou považovány za d˚ uvˇ eryhodné). Pro správnou ˇ cinnost systému prevence útoku je vyžadováno použití pˇ rekladu IP adres (NAT — viz kapitola 9.3). Lze jej tedy využít ve všech typických konfiguracích, kdy je Kerio Control použit pro ochranu lokální privátní sítˇ e. Je-li Kerio Control nasazen jako tzv. neutrální smˇ erovaˇ c (bez pˇ rekladu IP adres), pak nebude systém prevence útok˚ u fungovat správnˇ e. Detekce útok˚ u se provádí pˇ red aplikací komunikaˇ cních pravidel (viz kapitola 9), aby nedocházelo k ovlivˇ nování detekce nastavenými pravidly.
83
Firewall a systém prevence útok˚ u
Konfigurace systému prevence útok˚ u v Kerio Control Systém prevence útok˚ u lze nastavit v sekci Konfigurace → Zásady komunikace → Prevence útok˚ u. Detekce známých typ˚ u útok˚ u Kerio Control rozlišuje tˇ ri úrovnˇ e závažnosti útok˚ u: • Velmi závažné — aktivity, u nichž se s nejvyšší pravdˇ epodobností jedná o skuteˇ cné sít’ové útoky (napˇ r. sít’ová aktivita trojského konˇ e). • Stˇ rednˇ e závažné — aktivity, které jsou podezˇ relé a potenciálnˇ e škodlivé, ale s urˇ citou pravdˇ epodobností se m˚ uže jednat o legitimní komunikaci (napˇ r. komunikace nestandardním protokolem na standardním portu jiného protokolu). • Ménˇ e závažné — podezˇ relé sít’ové aktivity, které však nepˇ redstavují bezprostˇ rední hrozbu (napˇ r. scannování port˚ u). Pro každou úroveˇ n závažnosti lze nastavit jednu z tˇ echto akcí: • Zaznamenat a zahodit — informace o detekované aktivitˇ e bude zapsána do záznamu Security (viz kapitola 24.11) a pˇ ríslušná sít’ová komunikace bude blokována, • Zaznamenat — o detekované aktivitˇ e bude pouze zapsána informace do záznamu Security, • Žádná akce — detekovaná aktivita bude ignorována. Výchozí a doporuˇ cené nastavení akcí pro jednotlivé úrovnˇ e závažnosti útok˚ u: • Velmi závažné → Zaznamenat a zahodit, • Stˇ rednˇ e závažné → Zaznamenat, • Ménˇ e závažné → Žádná akce (pˇ redpokládá se, že by mohlo docházet k velkému množství tzv. falešných poplach˚ u, viz též Upˇ resˇ nující nastavení ). Kliknutím na odkaz lze funkˇ cnost systému prevence útok˚ u otestovat prostˇ rednictvím speciální stránky na serveru spoleˇ cnosti Kerio Technologies. Po spuštˇ ení testu budou na adresu klienta (tedy veˇ rejnou IP adresu vašeho firewallu) vyslány tˇ ri fiktivní útoky vysoké, stˇ rední a nízké závažnosti (samozˇ rejmˇ e neškodné). Testovací skript pak vyhodnotí, zda firewall tyto útoky propustil nebo blokoval. V záznamu Security se zároveˇ n zobrazí tˇ ri odpovídající zprávy — zda firewall jednotlivé útoky blokoval, pouze zaznamenal nebo ignoroval (podrobnosti viz kapitola 24.11). Poznámka: Tento test je urˇ cen pouze pro systém prevence útok˚ u v produktu Kerio Control. Jiné IDS/IPS jím nelze testovat. Využití databází známých útoˇ cník˚ u (ˇ cerných listin) Kromˇ e detekce známých typ˚ u útok˚ u je možné také detekovat a blokovat sít’ovou komunikaci z IP adres, které jsou uvedeny v internetových databází známých útoˇ cník˚ u (tzv. blacklists — ˇ cerné listiny). V tomto pˇ rípadˇ e se zaznamenává, pˇ rípadnˇ e blokuje veškerá komunikace z dané zdrojové IP adresy. Detekce a blokování útoˇ cník˚ u tímto zp˚ usobem je výraznˇ e rychlejší a ménˇ e nároˇ cné než detekce jednotlivých typ˚ u útok˚ u. Je zde však také nˇ ekolik nevýhod — ˇ cerné listiny z principu nemohou obsahovat IP 84
10.1 Systém prevence sít’ových útok˚ u (IPS)
adresy všech potenciálních útoˇ cník˚ u, útoˇ cníci v mnoha pˇ rípadech zdrojové adresy falšují a na ˇ cerné listinˇ e se také z r˚ uzných d˚ uvod˚ u m˚ uže objevit IP adresa legitimního klienta nebo serveru. Proto lze pro jednotlivé ˇ cerné listiny nastavovat stejné akce jako pro detekované útoky: • Zaznamenat a zahodit — informace o detekované komunikaci a blokované IP adrese bude zapsána do záznamu Security a z dané IP adresy bude blokována veškerá sít’ová komunikace, • Zaznamenat — o detekované komunikaci a blokované IP adrese bude pouze zapsána informace do záznamu Security, • Žádná akce — detekovaná IP adresa z ˇ cerné listiny nebude považována za útoˇ cníka. Poznámka: Kerio Control neumožˇ nuje pˇ ridat vlastní databázi (ˇ cernou listinu). Aktualizace databází útok˚ u a známých útoˇ cník˚ u Pro správnou ˇ cinnost systému detekce útok˚ u je potˇ reba pravidelnˇ e aktualizovat databáze známých útok˚ u a IP adres útoˇ cník˚ u. Kerio Control umožˇ nuje nastavit interval automatické aktualizace (výchozí hodnota je 24 hodin), pˇ rípadnˇ e provést okamžitou aktualizaci dle potˇ reby (napˇ r. po delším výpadku internetového pˇ ripojení). Za normálních okolností nemá smysl automatické aktualizace vypínat — neaktuální databáze výraznˇ e zhoršují úˇ cinnost systému prevence útok˚ u. Upozornˇ ení: Pro aktualizaci databází systému prevence útok˚ u je vyžadovaná platná licence produktu Kerio Control nebo registrovaná zkušební verze. Bližší informace viz kapitola 5.
Upˇ resˇ nující nastavení Kerio Control umožˇ nuje nastavit nˇ ekteré upˇ resˇ nující parametry systému prevence útok˚ u. Tyto parametry mohou zvýšit výkon systému prevence útok˚ u a zabránit tzv. falešným poplach˚ um (false positives). D˚ uraznˇ e doporuˇ cujeme nemˇ enit tyto parametry, pokud si nejste naprosto jisti jejich významem! Ignorované útoky V nˇ ekterých pˇ rípadech m˚ uže být legitimní komunikace detekována jako útok. Pokud se to stává pravidelnˇ e, pak je možné pro daný útok definovat výjimku. Definice výjimky spoˇ cívá v pˇ ridání ˇ císelného identifikátoru pravidla do seznamu. Identifikátor pravidla lze zjistit ze záznamu Security (viz kapitola 24.11), pˇ rípadnˇ e v dokumentaci k systému Snort (http://www.snort.org/). Poznámka: Výjimky je vhodné definovat pouze v pˇ rípadech, kdy je legitimní komunikace detekována jako útok opakovanˇ e, resp. pravidelnˇ e. Není rozumné definovat výjimku pˇ ri prvním zjištˇ ení takovéto události. 85
Firewall a systém prevence útok˚ u
Protokolovˇ e specifické útoky Nˇ ekteré útoky mohou být zamˇ eˇ reny na bezpeˇ cnostní chyby v konkrétních aplikaˇ cních protokolech. Proto je za normálních okolností zbyteˇ cné detekovat tyto útoky v komunikaci jiných aplikaˇ cních protokol˚ u. Pro jednotlivé protokoly, které systém detekce útok˚ u rozeznává, jsou pˇ reddefinovány seznamy standardních port˚ u, pˇ rípadnˇ e ˇ casto používaných port˚ u. Seznamy mohou obsahovat jednotlivá ˇ císla port˚ u oddˇ elená ˇ cárkami, pˇ rípadnˇ e rozsahy port˚ u (poˇ cáteˇ cní a koncový port oddˇ elené pomlˇ ckou bez mezer). Pokud je z Internetu zpˇ rístupnˇ ená aplikace, která používá nˇ ekterý z uvedených protokol˚ u na nestandardním portu (napˇ r. HTTP na portu 10000), pak je vhodné pˇ ridat tento port do seznamu port˚ u, na kterých budou detekovány útoky specifické pro protokol HTTP. Je-li naopak na nˇ ekterém uvedeném portu provozována aplikace používající jiný protokol (napˇ r. VPN server na portu 8000), pak je doporuˇ ceno tento port odebrat ze seznamu port˚ u pro daný protokol — na tomto portu je zbyteˇ cné detekci provádˇ et, detekce zbyteˇ cnˇ e zatˇ ežuje firewall a mohlo by také docházet k falešným poplach˚ um.
10.2 Filtrování MAC adres Kromˇ e Komunikaˇ cních pravidel, která filtrují sít’ovou komunikaci na základˇ e IP adres, protokol˚ u a port˚ u (viz kapitola 9), umožˇ nuje Kerio Control také „nízkoúrovˇ nové“ filtrování na základˇ e hardwarových adres (tzv. MAC adres) jednotlivých poˇ cítaˇ cu ˚ a sít’ových zaˇ rízení. Filtrováním fyzických adres lze napˇ r. zabránit uživatel˚ um svévolnˇ e pˇ ripojovat vlastní zaˇ rízení do sítˇ e nebo obejít pravidla firewallu zmˇ enou IP adresy svého poˇ cítaˇ ce. Poznámka: Filtr MAC adres pracuje na nižší úrovni než komunikaˇ cní pravidla firewallu (viz kapitola 9), a proto je aplikován dˇ ríve než komunikaˇ cní pravidla. Filtrování MAC adres lze nastavit v sekci Konfigurace → Zásady komunikace → Bezpeˇ cnostní volby. Sít’ová rozhraní Filtr MAC adres m˚ uže být aplikován na libovolném sít’ovém rozhraní firewallu, které je typu Ethernet nebo Wi-Fi. Doporuˇ cujeme však d˚ ukladnˇ e zvážit, ˇ ceho chcete docílit, a vybrat pouze ta rozhraní, na kterých má být sít’ová komunikace filtrována. Chcete-li napˇ r. blokovat nežádoucí zaˇ rízení v lokální síti, nemá smysl zapínat filtrování MAC adres na internetových rozhraních. Tím je pouze zbyteˇ cnˇ e zatˇ ežován firewall, a m˚ uže také dojít k blokování internetové komunikace. Režim filtrování Filtr MAC adres m˚ uže pracovat v jednom ze dvou režim˚ u: • Blokování poˇ cítaˇ cu ˚ s uvedenými MAC adresami. Filtr bude blokovat pouze komunikaci poˇ cítaˇ cu ˚ (zaˇ rízení) s MAC adresami uvedenými na seznamu. Komunikace všech ostatních poˇ cítaˇ cu ˚ bude povolena. Tento režim lze využít k rychlému zablokování urˇ citých MAC adres, nezabrání však pˇ ripojení nových, dosud neznámých zaˇ rízení. Další nevýhodou je 86
10.3 Volby pro zvýšení bezpeˇ cnosti
skuteˇ cnost, že ˇ rada systém˚ u a zaˇ rízení umožˇ nuje MAC adresu sít’ového adaptéru zmˇ enit. • Povolení komunikace poˇ cítaˇ cu ˚ s uvedenými MAC adresami. Filtr povolí pouze komunikaci poˇ cítaˇ cu ˚ s MAC adresami uvedenými na seznamu, komunikace všech ostatních poˇ cítaˇ cu ˚ bude blokována. Tento režim filtrování je velmi úˇ cinný, jsou blokovány všechny neznámé MAC adresy (v jedné fyzické síti nemohou být dvˇ e zaˇ rízení se shodnou MAC adresou — zneužití povolené MAC adresy je proto velmi obtížné nebo dokonce nemožné). Pˇ ri použití tohoto režimu je však nutné vytvoˇ rit a udržovat kompletní seznam MAC adres všech zaˇ rízení, jejichž komunikace má být povolena. U vˇ etších sítí to m˚ uže být pomˇ ernˇ e nároˇ cný úkol. Seznam MAC adres Tento seznam obsahuje MAC adresy poˇ cítaˇ cu ˚, jejichž komunikace bude filtrována nebo naopak povolena — v závislosti na zvoleném režimu. MAC adresy se zadávají jako šestice byt˚ u (hexadecimálních ˇ císel) oddˇ elených dvojteˇ ckami (napˇ r.: a0:de:bf:33:ce:12) nebo pomlˇ ckami (napˇ r.: a0-de-bf-33-ce-12), pˇ rípadnˇ e ve zhuštˇ eném tvaru bez oddˇ elovaˇ cu ˚ (napˇ r.: a0debf33ce12). Každá MAC adresa m˚ uže být volitelnˇ e doplnˇ ena popisem pro snazší orientaci, jakému poˇ cítaˇ ci (zaˇ rízení) daná adresa patˇ rí. Doporuˇ cujeme tyto popisy d˚ uslednˇ e vyplˇ novat — samotná MAC adresa nemá prakticky žádnou vypovídací hodnotu.
10.3 Volby pro zvýšení bezpeˇ cnosti Kerio Control nabízí nˇ ekolik doplˇ nkových možností filtrování komunikace, které nelze definovat komunikaˇ cními pravidly. Tyto volby lze aktivovat a nastavit v sekci Konfigurace → Zásady komunikace → Bezpeˇ cnostní volby, záložka R˚ uzné.
Kontrola zdrojových adres (Anti-Spoofing) Anti-Spoofing je kontrola, zda na jednotlivá rozhraní poˇ cítaˇ ce s Kerio Control pˇ richázejí pouze pakety s pˇ rípustnými zdrojovými IP adresami. Tato funkce chrání poˇ cítaˇ c s Kerio Control pˇ red útoky z vnitˇ rní sítˇ e za použití fiktivní IP adresy (tzv. spoofing — falšování IP adresy). Z pohledu každého rozhraní je korektní taková zdrojová adresa, která patˇ rí do nˇ ekteré subsítˇ e pˇ ripojené k tomuto rozhraní (bud’ pˇ rímo, nebo pˇ res další smˇ erovaˇ ce). Na rozhraní, pˇ res které vede výchozí cesta (tj. rozhraní pˇ ripojené k Internetu, též oznaˇ cováno jako externí rozhraní), je korektní libovolná IP adresa, která není povolena na žádném jiném rozhraní. Pˇ resnou informaci o tom, jaké subsítˇ e jsou (pˇ rímo ˇ ci nepˇ rímo) pˇ ripojeny k jednotlivým rozhraním, získává Kerio Control ze systémové smˇ erovací tabulky. K nastavení funkce Anti-Spoofing slouží horní ˇ cást záložky Bezpeˇ cnostní volby. Povolit kontrolu zdrojových adres Tato volba zapíná výše popsanou funkci Anti-Spoofing.
87
Firewall a systém prevence útok˚ u
Zaznamenat Po zapnutí této volby budou všechny pakety, které nevyhovˇ ely pravidl˚ um kontroly zdrojových adres, zaneseny do záznamu Security (detaily viz kapitola 24.11).
Omezování poˇ ctu spojení Tato bezpeˇ cnostní funkce umožˇ nuje definovat maximální poˇ cet sít’ových spojení, která mohou být navázána z jednoho poˇ cítaˇ ce (pracovní stanice) v lokální síti do Internetu nebo z Internetu na lokální server prostˇ rednictvím mapovaného portu. Pˇ ríchozí a odchozí spojení jsou sledována oddˇ elenˇ e. Pokud poˇ cet všech spojení navázaných z/na jeden lokální poˇ cítaˇ c v nˇ ekterém smˇ eru dosáhne nastavené hodnoty, Kerio Control nepovolí otevˇ rít další spojení v daném smˇ eru. Uvedená omezení chrání firewall (poˇ cítaˇ c s Kerio Control) proti pˇ retížení a mohou zabránit útok˚ um na cílový server, pˇ rípadnˇ e i zmírnit nežádoucí ˇ cinnost ˇ cerva ˇ ci trojského konˇ e. Omezení poˇ ctu odchozích spojení se uplatní napˇ r. v pˇ rípadˇ e, je-li klientský poˇ cítaˇ c v lokální síti je napaden ˇ cervem nebo trojským konˇ em, který se snaží navázat spojení s velkým poˇ ctem r˚ uzných server˚ u. Omezování poˇ ctu pˇ ríchozích spojení m˚ uže napˇ r. zabránit útoku SYN flood (zahlcení serveru souˇ casným navázáním velkého poˇ ctu spojení, kterými nejsou pˇ renášena žádná data).
Filtrování komunikace protokolem IPv6 Kerio Control umožˇ nuje blokovat komunikaci protokolem IPv6. V novˇ ejších operaˇ cních systémech (napˇ r. Windows Vista a Windows 7) je tento protokol implicitnˇ e povolen a poˇ cítaˇ c má pˇ ridˇ elenou automaticky generovanou IPv6 adresu. To m˚ uže pˇ redstavovat znaˇ cné bezpeˇ cnostní riziko. Kerio Control umožˇ nuje blokovat: • Nativní komunikaci IPv6 — Kerio Control pˇ rímo pˇ ripojen do sítˇ e, kde je podporován protokol IPv6, ale nechcete jej používat. Tato možnost je dostupná pouze v edici pro systém Windows a ve výchozím stavu je zapnutá. V edicích Software Appliance a Box je veškerá nativní IPv6 komunikace implicitnˇ e povolena (protokol IPv6 lze povolit nebo zakázat na jednotlivých sít’ových rozhraních). • Tunelovanou komunikaci IPv6 — pro usnadnˇ ení pˇ rechodu na IPv6 bylo vyvinuto nˇ ekolik protokol˚ u, které umožˇ nují zapouzdˇ rit pakety IPv6 do IPv4 a komunikovat tak tímto protokolem pˇ res sítˇ e, které dosud podporují pouze IPv4. Z bezpeˇ cnostních d˚ uvod˚ u je ve výchozím nastavení tunelovaná komunikace IPv6 blokována. 88
10.4 Detekce a blokování P2P sítí
V pˇ rípadˇ e blokování tunelované komunikace IPv6 mohou být udˇ eleny výjimky — tunelovaná komunikace poˇ cítaˇ cu ˚ s konkrétními adresami IPv4 nebude blokována. uže Výjimky se definují výbˇ erem skupiny IPv4 adres (viz kapitola 17.1). Skupina m˚ obsahovat IPv4 adresy poˇ cítaˇ cu ˚ v lokální síti i v Internetu.
10.4 Detekce a blokování P2P sítí Peer-to-Peer sítˇ e (zkr. P2P sítˇ e) je oznaˇ cení pro celosvˇ etové distribuované systémy, ve kterých m˚ uže každý uzel sloužit zároveˇ n jako klient i jako server. Tyto sítˇ e slouží ke sdílení velkého objemu dat mezi uživateli (vˇ etšinou soubory s nelegálním obsahem). Typickými pˇ redstaviteli tˇ echto sítí jsou napˇ r. DirectConnect nebo Kazaa. Používání P2P sítí jednak napomáhá šíˇ rení nelegálních soubor˚ u, ale zejména znaˇ cnˇ e zatˇ ežuje linku, kterou je uživatel pˇ ripojen k Internetu. Pokud se takový uživatel nachází v lokální síti, která je pˇ ripojena k Internetu jedinou linkou, pak jsou jeho aktivity na úkor ostatních uživatel˚ u, pˇ rípadnˇ e i zvýšených náklad˚ u na pˇ ripojení (napˇ r. jedná-li se o linku s limitem pˇ renesených dat). Kerio Control obsahuje modul P2P Eliminator, který umožˇ nuje detekovat pˇ rístup do P2P sítí a provádˇ et urˇ citá opatˇ rení v˚ uˇ ci pˇ ríslušným uživatel˚ um. Vzhledem k tomu, že P2P sítí existuje velké množství a uživatelé mohou na svých uzlech mˇ enit ˇ radu parametr˚ u (napˇ r. porty pro server, poˇ cet spojení atd.), nelze jejich používání vždy s urˇ citostí detekovat 5. P2P Eliminator na základˇ e urˇ citých charakteristických znak˚ u (známé porty, otevˇ rená spojení atd.) vyhodnotí, že uživatel pravdˇ epodobnˇ e používá jednu nebo více P2P sítí. Na uživatele P2P sítí (tzn. na poˇ cítaˇ ce, na nichž jsou klienti tˇ echto sítí provozováni) je možné aplikovat tyto typy omezení: • Blokování veškeré komunikace — pˇ ríslušnému poˇ cítaˇ ci bude zcela zablokován pˇ rístup do Internetu, • Povolení pouze „bezpeˇ cné“ komunikace — pˇ ríslušnému poˇ cítaˇ ci bude povolena pouze komunikace, která bezpeˇ cnˇ e nepatˇ rí do P2P sítí (napˇ r. WWW, e-mail atd.).
Nastavení modulu P2P Eliminator Detekce P2P sítí probíhá automaticky (modul P2P Eliminator je stále aktivní). Parametry modulu P2P Eliminator lze nastavit v sekci Konfigurace → Další volby, záložka P2P Eliminator. Z výše uvedeného popisu vyplývá, že není technicky možné blokovat pˇ rístup do konkrétní P2P sítˇ e. P2P Eliminator umožˇ nuje kompletnˇ e zablokovat veškerou komunikaci (tj. pˇ rístup do Internetu z daného poˇ cítaˇ ce) nebo povolit pouze služby, které bezpeˇ cnˇ e nepatˇ rí do P2P sítí. Nastavené omezení bude vždy aplikováno na všechny klienty P2P sítí, které P2P Eliminator detekuje.
5
D˚ ukladné testy však prokázaly, že úspˇ ešnost této detekce je velmi vysoká.
89
Firewall a systém prevence útok˚ u
Po zapnutí volby Informovat uživatele e-mailem bude uživateli pˇ rihlášenému z poˇ cítaˇ ce, na kterém byl detekován klient P2P sítˇ e, zaslán e-mail s varováním a informací o provedeném opatˇ rení (blokování veškeré komunikace / povolení pouze urˇ citých služeb a doba trvání tohoto omezení). E-mail je samozˇ rejmˇ e zaslán pouze v pˇ rípadˇ e, že je v pˇ ríslušném uživatelském úˇ ctu uvedena platná e-mailová adresa (viz kapitola 18.1). Na nepˇ rihlášené uživatele nemá tato volba žádný vliv. Parametr Komunikace bude blokována... urˇ cuje dobu, na po kterou bude pˇ ríslušné omezení daného poˇ cítaˇ ce platit. Modul P2P Eliminator po této dobˇ e blokování zruší — není nutný zásah správce firewallu. Doba blokování komunikace by mˇ ela být dostateˇ cnˇ e dlouhá, aby si uživatel uvˇ edomil následky své ˇ cinnosti a nepokoušel se znovu pˇ ripojovat k P2P sítím. Poznámka: 1.
2. 3.
Je-li z urˇ citého poˇ cítaˇ ce k firewallu pˇ rihlášen uživatel, který má právo používat P2P sítˇ e (viz kapitola 18.1), pak pˇ ri detekci P2P sítˇ e nejsou na tento poˇ cítaˇ c aplikována žádná omezení. Pro nepˇ rihlášené uživatele platí vždy volby nastavené v záložce P2P Eliminator. Informace o detekci P2P sítí a blokování komunikace se zobrazují v sekci Stav → Poˇ cítaˇ ce / uživatelé (podrobnosti viz kapitola 21.2). Chceme-li pˇ ri detekci P2P zasílat e-mail jiné osobˇ e (napˇ r. správci firewallu), m˚ užeme definovat pˇ ríslušnou výstrahu v sekci Konfigurace → Statistiky a výstrahy, záložka Nastavení výstrah. Podrobnosti viz kapitola 21.5.
Parametry pro detekci P2P sítí Tlaˇ cítko Upˇ resnˇ ení otevírá dialog pro nastavení parametr˚ u detekce P2P sítí. Porty P2P sítí Seznam port˚ u, o nichž je ovˇ eˇ reno, že jsou používány výhradnˇ e aplikacemi pro P2P sítˇ e. Jedná se zpravidla o porty pro ˇ rídicí spojení — porty (resp. rozsah port˚ u) pro sdílení soubor˚ u si vˇ etšinou m˚ uže každý uživatel nastavit témˇ eˇ r libovolnˇ e. Do seznamu port˚ u lze zadávat ˇ císla port˚ u nebo rozsahy port˚ u. Jednotlivé hodnoty se oddˇ elují ˇ cárkami, pro zápis rozsahu se používá pomlˇ cka. Poˇ cet podezˇ relých spojení Pro P2P sítˇ e je typický velký poˇ cet navázaných spojení z klientského poˇ cítaˇ ce (zpravidla jedno spojení pro každý soubor). Parametr Poˇ cet spojení urˇ cuje minimální poˇ cet sít’ových spojení klienta, pˇ ri kterém bude jeho komunikace považována za podezˇ relou. Optimální hodnota toho parametru závisí na konkrétních podmínkách (charakter ˇ cinnosti uživatel˚ u, typické sít’ové aplikace, které používají atd.) a je tˇ reba ji najít experimentálnˇ e. Pˇ ríliš nízká hodnota m˚ uže zp˚ usobit nesprávný výsledek (tj. podezˇ rení na P2P sít’ u uživatele, který ji ve skuteˇ cnosti nepoužívá), naopak pˇ ríliš vysoká hodnota zhoršuje úspˇ ešnost detekce (nižší procento detekovaných P2P sítí).
90
10.4 Detekce a blokování P2P sítí
„Bezpeˇ cné“ služby Urˇ cité legitimní služby mohou rovnˇ ež vykazovat charakteristiky komunikace v P2P sítích (napˇ r. velký poˇ cet souˇ casnˇ e otevˇ rených spojení). Aby tato komunikace nebyla nesprávnˇ e detekována a uživatelé tˇ echto služeb nebyli neprávem omezováni, je možné definovat seznam tzv. bezpeˇ cných služeb. Tyto služby budou vylouˇ ceny z detekce P2P komunikace. Tlaˇ cítko Definovat služby... otevírá dialog pro nastavení služeb, které nebudou považovány za komunikaci v P2P síti. K dispozici všechny služby definované v sekci Konfigurace → Definice → Služby (podrobnosti viz kapitola 17.3). Upozornˇ ení: Výchozí hodnoty parametr˚ u detekce P2P sítí byly nastaveny empiricky na základˇ e dlouhodobého testování. Jak již bylo uvedeno, v mnoha pˇ rípadech není možné s urˇ citostí ˇ ríci, zda daný uživatel skuteˇ cnˇ e používá P2P sít’ ˇ ci nikoliv, a výsledkem je pouze urˇ citá pravdˇ epodobnost. Zmˇ ena parametr˚ u detekce m˚ uže mít zásadní vliv na její výsledek. Z tohoto d˚ uvodu doporuˇ cujeme mˇ enit parametry detekce P2P sítí pouze v opodstatnˇ ených pˇ rípadech (napˇ r. zjistíme nové ˇ císlo portu, které používá pouze P2P sít’ a žádná legitimní aplikace, nebo zjistíme, že urˇ citá legitimní služba je opakovanˇ e detekována jako P2P sít’).
91
Kapitola 11
Sít’ové služby a konfigurace lokální sítˇ e
Tato kapitola popisuje nastavení základních služeb, které Kerio Control nabízí pro snadnou konfiguraci lokální sítˇ e a pˇ rístupu do Internetu: • Modul DNS — slouží jako jednoduchý DNS server pro lokální sít’, • DHCP server — zajišt’uje automatickou konfiguraci protokolu IPv4 na poˇ cítaˇ cích v lokální síti, • Ohlašování smˇ erovaˇ ce IPv6 — zajišt’uje automatickou bezestavovou konfiguraci protokolu IPv6 na poˇ cítaˇ cích v lokální síti, • Proxy server — zajišt’uje pˇ rístup do Internetu klient˚ um, kteˇ rí nemohou nebo nechtˇ ejí využít pˇ rímý pˇ rístup, • HTTP cache — urychluje pˇ rístup na opakovanˇ e navštˇ evované WWW stránky (pˇ ri pˇ rímém pˇ rístupu i pˇ ri využití proxy serveru), • Klient služby DDNS — zajišt’uje automatickou aktualizaci záznam˚ u pro firewall ve veˇ rejném dynamickém DNS.
11.1 Modul DNS Modul DNS slouží v Kerio Control ke zjednodušení konfigurace DNS na poˇ cítaˇ cích v lokální síti a pro zrychlení odpovˇ edí na opakované DNS dotazy. Modul DNS pracuje pouze nad protokolem IPv4. Protokol IPv6 není podporován. Na poˇ cítaˇ cích v lokální síti lze obecnˇ e nastavit DNS jedním z následujících zp˚ usob˚ u: • použít IP adresu primárního, pˇ ríp. i záložního DNS serveru vašeho poskytovatele Internetu. Toto ˇ rešení je regulérní, avšak odezvy na DNS dotazy budou znaˇ cnˇ e pomalé. Všechny dotazy z každého poˇ cítaˇ ce v lokální síti budou posílány do Internetu. • použít DNS server v lokální síti (je-li k dispozici). Tento DNS server musí mít pˇ rístup do Internetu, aby dokázal odpovídat i na dotazy mimo lokální doménu. • použít modul DNS v Kerio Control. Ten m˚ uže sloužit jako jednoduchý DNS server pro lokální doménu a/nebo jako forwarder pro stávající DNS server. Je-li to možné, doporuˇ cujeme použít modul DNS jako primární DNS server pro poˇ cítaˇ ce v lokální síti (poslední z uvedených možností). Tento modul zajistí rychlé zpracování DNS 92
11.1 Modul DNS
dotaz˚ u a jejich správné smˇ erování ve složitˇ ejších sít’ových konfiguracích. Na opakované dotazy a dotazy na lokální DNS jména dokáže modul DNS odpovˇ edˇ et pˇ rímo, aniž by musel komunikovat s DNS servery v Internetu. Pokud nedokáže modul DNS zodpovˇ edˇ et DNS dotaz sám, pˇ redá jej nˇ ekterému z DNS server˚ u nastavených na internetové lince, pˇ res kterou je dotaz odesílán. Podrobnosti o konfiguraci sít’ových rozhraní firewallu naleznete v kapitole 7, bližší informace o možnostech internetového pˇ ripojení v kapitole 8.
Konfigurace modulu DNS Ve výchozím nastavení Kerio Control je povolen DNS server (služba DNS forwarder), cache pro rychlejší odpovˇ edi na opakované dotazy a jednoduchý pˇ revod DNS jmen. Podrobnou konfiguraci lze provést v sekci Konfigurace → DNS. Povolit službu DNS forwarder Tato volba zapíná / vypíná DNS server v Kerio Control. Bez další konfigurace jsou všechny DNS dotazy pˇ redávány DNS server˚ um nastaveným na pˇ ríslušném internetovém rozhraní. Je-li služba DNS forwarder vypnuta, slouží modul DNS pouze jako DNS resolver pro potˇ reby Kerio Control. Upozornˇ ení: Pokud ve vaší sít’ové konfiguraci nepoužijete modul DNS, m˚ užete jej vypnout. Chcete-li na tomtéž poˇ cítaˇ ci provozovat jiný DNS server, pak jej musíte vypnout — jinak by nastala kolize na portu služby DNS (53/UDP). Používat cache pro rychlejší odpovˇ edi Zapnutím této volby budou odpovˇ edi na všechny dotazy ukládány do lokální vyrovnávací pamˇ eti (cache) modulu DNS. Odpovˇ edi na opakované dotazy tak budou mnohonásobnˇ e rychlejší (opakovaným dotazem je i stejný dotaz vyslaný r˚ uznými klienty). Fyzicky je DNS cache udržována v operaˇ cní pamˇ eti, zároveˇ n jsou však všechny DNS záznamy ukládány také do souboru DnsCache.cfg (viz kapitola 27.3). Díky tomu z˚ ustávají záznamy v DNS cache uchovány i pˇ ri zastavení Kerio Control Engine, resp. vypnutí firewallu. Poznámka: 1. 2.
Doba uchování DNS záznam˚ u v cache je specifikována pˇ rímo v každém záznamu (zpravidla 1 den). Použití DNS cache zrychlí také ˇ cinnost netransparentního proxy serveru v Kerio Control (viz kapitola 11.5).
Vyprázdnit cache Smazání všech záznam˚ u ve vyrovnávací pamˇ eti modulu DNS (bez ohledu na jejich dobu životnosti). Tuto funkci lze využít napˇ r. pˇ ri zmˇ enˇ e konfigurace, pˇ ri testování vytᡠcení na žádost, odhalování chyb apod. 93
Sít’ové služby a konfigurace lokální sítˇ e
Použít nastavení pro pˇ redávání DNS dotaz˚ u Tato volba aktivuje pravidla pro pˇ redávání DNS dotaz˚ u na jiné DNS servery (viz dále).
Jednoduchý pˇ revod DNS jmen Modul DNS m˚ uže urˇ cité DNS dotazy zodpovídat sám, typicky dotazy na jména poˇ cítaˇ cu ˚ v lokální síti. V lokální síti tak není potˇ reba žádný další DNS server ani není nutné ukládat informace o lokálních poˇ cítaˇ cích do veˇ rejné DNS. Pro poˇ cítaˇ ce konfigurované automaticky protokolem DHCP (viz kapitola 11.2) bude odpovˇ ed’ obsahovat vždy aktuální IP adresu. Poznámka: Modul DNS v Kerio Control nedokáže zodpovídat tzv. reverzní DNS dotazy (tzn. zjištˇ ení jména poˇ cítaˇ ce z IP adresy). Tyto dotazy jsou vždy pˇ redávány na jiný DNS server. Pˇ red pˇ redáním dotazu jinému DNS serveru... Tyto volby umožˇ nují nastavit, kde má modul DNS vyhledávat dotazované jméno (resp. IP adresu) pˇ redtím, než dotaz pˇ rípadnˇ e pˇ redá jinému DNS serveru. • Tabulka jmen poˇ cítaˇ cu ˚ — tabulka, definovaná správcem Kerio Control. Každý ˇ rádek této tabulky obsahuje IP adresu poˇ cítaˇ ce a seznam odpovídajících DNS jmen. • Tabulka adres pˇ ridˇ elených DHCP serverem — jsou-li poˇ cítaˇ ce v lokální síti konfigurovány pomocí DHCP serveru v Kerio Control (viz kapitola 11.2), pak má DHCP server informace o tom, jaká IP adresa byla pˇ riˇ razena kterému poˇ cítaˇ ci. Poˇ cítaˇ c pˇ ri startu systému vysílá požadavek na pˇ ridˇ elení IP adresy, který obsahuje i jméno poˇ cítaˇ ce. Modul DNS m˚ uže z databáze DHCP serveru zjistit, jaká IP adresa je v tomto okamžiku pˇ ridˇ elena danému jménu poˇ cítaˇ ce. Na dotaz na dané jméno poˇ cítaˇ ce v lokální síti tedy vždy odpoví správnou (aktuální) IP adresou. Tímto zp˚ usobem dochází de facto k dynamické aktualizaci DNS. Poznámka: Pokud jsou obˇ e uvedené volby vypnuty, pak modul DNS pˇ redává všechny dotazy jiným DNS server˚ um. Lokální DNS doména Do pole Pˇ ri prohledávání tabulky jmen poˇ cítaˇ cu ˚ nebo tabulky pˇ ridˇ elených adres kombinovat jméno s touto DNS doménou je tˇ reba zadat jméno lokální DNS domény. Jestliže poˇ cítaˇ c nebo sít’ové zaˇ rízení vysílá požadavek na pˇ ridˇ elení IP adresy, vkládá do nˇ ej pouze své jméno (doménu v tomto okamžiku ještˇ e nezná). V tabulce adres pˇ ridˇ elených DHCP serverem jsou proto uložena pouze jména poˇ cítaˇ cu ˚ bez domény. Aby modul DNS dokázal správnˇ e zodpovídat dotazy na plnˇ e kvalifikovaná lokální DNS jména (tj. jména vˇ cetnˇ e domény), musí znát jméno lokální domény. Poznámka: Je-li v modulu DNS zadána lokální doména, pak mohou být v tabulce jmen poˇ cítaˇ cu ˚ uvedena lokální jména poˇ cítaˇ cu ˚ vˇ cetnˇ e domény nebo bez ní — v obou pˇ rípadech budou dotazy zodpovídány správnˇ e. 94
11.1 Modul DNS
Pro snazší pochopení uved’me jednoduchý pˇ ríklad. Pˇ ríklad Lokální doména má jméno firma.cz. V lokální síti je poˇ cítaˇ c se jménem honza nastavený pro automatickou konfiguraci IP adresy z DHCP serveru. Po startu operaˇ cního systému vyšle tento poˇ cítaˇ c DHCP požadavek obsahující jméno stanice honza. DHCP server mu pˇ ridˇ elí IP adresu 192.168.1.56. Ve své tabulce uchová informaci o tom, že tato IP adresa byla pˇ ridˇ elena stanici se jménem honza. Jiný poˇ cítaˇ c, který bude chtít s tímto poˇ cítaˇ cem komunikovat, vyšle dotaz na jméno honza.firma.cz (jedná se o poˇ cítaˇ c honza v doménˇ e firma.cz). Kdyby modul DNS neznal jméno lokální domény, pˇ redal by tento dotaz na jiný DNS server (dle nastavení — viz výše), protože by nerozpoznal, že se jedná o lokální poˇ cítaˇ c. Takto však m˚ uže lokální doménu firma.cz oddˇ elit a jméno honza s pˇ ríslušnou IP adresou nalezne v tabulce DHCP serveru.
Tabulka jmen poˇ cítaˇ cu ˚ Tabulka jmen poˇ cítaˇ cu ˚ je seznam IP adres a k nim pˇ ríslušných DNS jmen poˇ cítaˇ cu ˚. Na základˇ e této tabulky dokáže Kerio Control zjistit IP adresu lokálního poˇ cítaˇ ce zadaného jménem. Každý ˇ rádek tabulky je záznam pro jednu IP adresu. DNS jména mohou být uvedena bez domény nebo vˇ cetnˇ e domény — pˇ ri vyhledávání se provádí výše popsaná kombinace s lokální doménou. Jedné IP adrese m˚ uže být pˇ riˇ razeno více DNS jmen. Toto lze definovat dvˇ ema zp˚ usoby: • Zapsat vše do jednoho záznamu a jednotlivá jména oddˇ elit stˇ redníky. Pˇ ríklad: 192.168.1.10 server;mail Výhodou je úsporný zápis. První uvedené jméno je vždy považováno za primární (tzv. kanonické jméno), ostatní jsou jeho aliasy. • Vytvoˇ rit pro každé jméno samostatný záznam. Pˇ ríklad: 192.168.1.10 server 192.168.1.10 mail V tomto pˇ rípadˇ e je možné nastavit primární jméno dle potˇ reby. Záznamy se pˇ resouvají šipkovými tlaˇ cítky na pravé stranˇ e okna. Jméno, které je pro danou IP adresu v seznamu uvedeno jako první, bude považováno za primární (kanonické). Doporuˇ cujeme vybrat si jeden z uvedených zp˚ usob˚ u zápisu. Pˇ ri kombinaci obou zp˚ usob˚ u bude tabulka jmen poˇ cítaˇ cu ˚ nepˇ rehledná. Jednomu DNS jménu m˚ uže být pˇ riˇ razeno více IP adres (napˇ r. poˇ cítaˇ c s více sít’ovými adaptéry). V tomto pˇ rípadˇ e je potˇ reba do tabulky pˇ ridat záznam pro každou IP adresu, pˇ riˇ cemž DNS jméno bude ve všech tˇ echto záznamech stejné. 95
Sít’ové služby a konfigurace lokální sítˇ e
Upozornˇ ení: Obsah tabulky jmen poˇ cítaˇ cu ˚ se ukládá do systémového souboru hosts. Proto nedoporuˇ cujeme na serveru Kerio Control upravovat tento soubor ruˇ cnˇ e!
Nastavení pˇ redávání DNS dotaz˚ u Modul DNS umožˇ nuje pˇ redávat urˇ cité DNS dotazy na specifické DNS servery. Tuto funkci lze využít napˇ r. v pˇ rípadˇ e, chceme-li pro lokální doménu používat DNS server v lokální síti (ostatní DNS dotazy budou pˇ redávány pˇ rímo do Internetu, ˇ címž se zrychlí odezva). Nastavení pˇ redávání DNS dotaz˚ u je rovnˇ ež d˚ uležité pˇ ri konfiguraci virtuálních privátních sítí, kdy je potˇ reba zajistit správné pˇ redání dotaz˚ u na jména v doménách vzdálených subsítí (podrobnosti viz kapitola 25). Pˇ redávání dotaz˚ u se definuje pravidly pro DNS jména nebo subsítˇ e. Pravidla tvoˇ rí uspoˇ rádaný seznam, který je vždy procházen shora dol˚ u. Pokud DNS jméno nebo subsít’ v dotazu vyhovuje nˇ ekterému pravidlu, pak bude tento dotaz pˇ redán na specifický DNS server a vyhodnocování pravidel se ukonˇ cí. Dotazy, které nevyhovují žádnému pravidlu, jsou pˇ redávány na „výchozí“ DNS servery (viz výše). Poznámka: Je-li aktivní Jednoduchý pˇ revod DNS jmen (viz výše), pak se pravidla pro pˇ redávání dotaz˚ u uplatní pouze v pˇ rípadˇ e, že modul DNS nedokáže dotaz zodpovˇ edˇ et na základˇ e informací z tabulky jmen poˇ cítaˇ cu ˚ a/nebo tabulky pˇ ridˇ elených adres DHCP serveru. Tlaˇ cítko Definovat v konfiguraci modulu DNS otevírá dialog pro nastavení pravidel pro pˇ redávání DNS dotaz˚ u.
Obrázek 11.1
Specifická nastavení pˇ redávání DNS dotaz˚ u
Pravidlo lze definovat pro: • DNS jméno — pak budou na tento DNS server pˇ redávány dotazy na odpovídající jména poˇ cítaˇ cu ˚ (dotazy typu A), • subsít’ — pak budou na tento DNS server pˇ redávány dotazy na IP adresy v pˇ ríslušné subsíti (reverzní doména — dotazy typu PTR). 96
11.1 Modul DNS
Poˇ radí pravidel v seznamu je možné upravit tlaˇ cítky se šipkami v pravé ˇ cásti dialogu. Takto je možné vytvᡠret složitˇ ejší kombinace pravidel — napˇ r. výjimky pro konkrétní poˇ cítaˇ ce nebo subdomény. Protože je seznam pravidel procházen shora dol˚ u, mˇ ela by být pravidla seˇ razena od nejspecifiˇ ctˇ ejšího (napˇ r. jméno konkrétního poˇ cítaˇ ce) k nejobecnˇ ejšímu (napˇ r. hlavní doména firmy). Podobnˇ e pravidla pro reverzní DNS dotazy by mˇ ela být seˇ razena podle délky masky subsítˇ e (napˇ r. od 255.255.255.0 k 255.0.0.0). Pravidla pro dotazy na jména a pro reverzní dotazy jsou vzájemnˇ e nezávislá. Pro pˇ rehlednost doporuˇ cujeme nejprve uvést všechna pravidla pro dotazy na jména a pak všechna pravidla pro reverzní dotazy, pˇ rípadnˇ e naopak. Definice pravidla: • Pravidlo pro DNS dotaz na jméno — je tˇ reba zadat pˇ ríslušné DNS jméno (poˇ cítaˇ c v dané doménˇ e). Ve vˇ etšinˇ e pˇ rípad˚ u nechceme pˇ redávat dotazy na konkrétní jména, ale pro celé domény. Proto m˚ uže zadané jméno obsahovat zástupné znaky * (hvˇ ezdiˇ cka — nahrazení libovolného poˇ ctu znak˚ u) a ? (otazník — nahrazení právˇ e jednoho znaku). Pravidlo pak bude platit pro všechna jména vyhovující zadanému ˇ retˇ ezci (poˇ cítaˇ ce, domény atd.). Pˇ ríklad: DNS jméno zadáme ve tvaru: *.?erio.c*. Pravidlo bude platit pro všechna jména v doménách kerio.cz, cerio.com, aerio.c apod., tedy napˇ r. www.kerio.cz, secure.kerio.com, www.aerio.c atd.
Upozornˇ ení: V pravidlech pro DNS dotazy na jména je nutné vždy uvést výraz, kterému bude odpovídat celé DNS jméno! Pokud bychom zadali napˇ r. kerio.c*, pak by tomuto pravidlu vyhovˇ ela pouze jména kerio.cz, kerio.com apod., nikoliv však jména poˇ cítaˇ cu ˚ v tˇ echto doménách (napˇ r. www.kerio.cz nebo secure.kerio.com)! • Volba Reverzní DNS dotaz slouží ke specifikaci pravidla pro DNS dotazy na IP adresy v dané subsíti. Subsít’ se zadává adresou sítˇ e s pˇ ríslušnou maskou (napˇ r. 192.168.1.0 / 255.255.255.0). • Do pole Pak pˇ redat dotaz tˇ emto DNS server˚ um lze zadat IP adresu jednoho nebo více DNS server˚ u, na který mají být dotazy pˇ redávány. Je-li zadáno více DNS server˚ u, považují se za primární, sekundární atd. Volba Nepˇ redávat znamená, že dotaz nebude pˇ redáván žádnému dalšímu DNS serveru — Kerio Control bude pouze prohledávat lokální tabulku jmen poˇ cítaˇ cu ˚ a/nebo
97
Sít’ové služby a konfigurace lokální sítˇ e
tabulku DHCP serveru (viz dále). Pokud zde dotazované jméno, resp. IP adresu nenalezne, odpoví klientovi, že toto jméno/adresa neexistuje. Poznámka: Volba Nepˇ redávat nemá smysl pro reverzní DNS dotazy, protože ty nedokáže modul DNS v Kerio Control sám zodpovˇ edˇ et.
11.2 DHCP server Protokol DHCP slouží ke snadné konfiguraci TCP/IP na poˇ cítaˇ cích v síti. Klientská stanice vyšle pˇ ri startu operaˇ cního systému požadavek na konfiguraci, který je zachycen DHCP serverem. DHCP server vybere vhodné konfiguraˇ cní parametry (tj. IP adresu s pˇ ríslušnou maskou subsítˇ e a další volitelné parametry — napˇ r. adresu výchozí brány, adresy DNS server˚ u, jméno domény apod.) a pˇ ridˇ elí je klientské stanici. Veškeré parametry pro klienty se nastavují pouze centrálnˇ e na serveru — na jednotlivých stanicích staˇ cí nastavit volbu, aby byly parametry TCP/IP konfigurovány automaticky z DHCP serveru. Toto je ve vˇ etšinˇ e operaˇ cních systém˚ u (napˇ r. Windows, Linux atd.) výchozí volba — na klientských stanicích pak není tˇ reba nic nastavovat. DHCP server pˇ ridˇ eluje klient˚ um IP adresy z definovaného rozsahu, a to zpravidla na urˇ citou dobu (tzv. dobu pronájmu, angl. lease time). Pˇ red uplynutím této doby musí klient požádat o prodloužení pronájmu, jinak bude po této dobˇ e IP adresa považována za volnou a v pˇ rípadˇ e nedostatku volných adres ji DHCP server pˇ ridˇ elí jinému klientovi. Vše probíhá automaticky a pro uživatele zcela transparentnˇ e. V DHCP serveru mohou být rovnˇ ež definovány tzv. rezervace — tj. urˇ citým klient˚ um budou vždy pˇ ridˇ elovány dané IP adresy. Adresa m˚ uže být rezervována pro hardwarovou (MAC) adresu nebo jméno poˇ cítaˇ ce. Tito klienti pak mají pevné IP adresy, které jsou konfigurovány automaticky. Mezi hlavní výhody použití DHCP serveru patˇ rí výraznˇ e nižší nároˇ cnost administrace (vše staˇ cí nastavit pouze na serveru, není tˇ reba konfigurovat jednotlivé stanice) a eliminace mnoha potenciálních chyb (napˇ r. pˇ ridˇ elení téže IP adresy dvˇ ema r˚ uzným stanicím, chybné nastavení výchozí brány na nˇ ekteré stanici apod.). Kerio Control navíc umožˇ nuje automatickou konfiguraci samotného DHCP serveru, což znamená, že se automaticky vytvᡠrejí a aktualizují rozsahy IP adres a pˇ ridˇ elované parametry podle sít’ových rozhraní zaˇ razených ve skupinˇ e D˚ uvˇ eryhodná / Lokální rozhraní (viz kapitola 7). DHCP server tedy staˇ cí de facto pouze zapnout. Pokud automatická konfigurace z nˇ ejakého d˚ uvodu nevyhovuje, pak se lze jednoduše pˇ repnout do režimu ruˇ cní konfigurace.
Konfigurace DHCP serveru K nastavení DHCP serveru v Kerio Control slouží sekce Konfigurace → Konfigurace LAN → DHCP server. Zde lze definovat rozsahy IP adres, rezervace, volitelné parametry a zobrazovat informace o pˇ ridˇ elených adresách a statistiky DHCP serveru. Konfiguraci je možné provádˇ et i v pˇ rípadˇ e, že je DHCP server vypnut.
98
11.2 DHCP server
Automatická konfigurace rozsah˚ u IP adres Ve výchozím nastavení pracuje DHCP server v režimu automatické konfigurace rozsah˚ u IP adres. V tomto režimu Kerio Control naˇ cítá parametry sít’ových rozhraní zaˇ razených ve skupinˇ e D˚ uvˇ eryhodná / Lokální rozhraní a na základˇ e tˇ echto parametr˚ u automaticky vytvᡠrí a aktualizuje rozsahy IP adres pro pˇ ríslušné subsítˇ e. Pˇ ri zmˇ enˇ e rozhraní ve skupinˇ e D˚ uvˇ eryhodná / Lokální rozhraní tedy bude automaticky aktualizována konfigurace DHCP serveru. Pro subsít’ každého rozhraní bude vytvoˇ ren rozsah s následujícími parametry: • Rozsah adres — dle IP adresy pˇ ríslušného rozhraní a odpovídající masky subsítˇ e. Rozsah se vytvᡠrí tak, aby pokryl danou subsít’ s urˇ citou rezervou pro staticky pˇ ridˇ elené adresy (napˇ r. pˇ ri použití masky 255.255.255.0 bude vytvoˇ ren rozsah adres x.x.x.11 až x.x.x.254). Pokud adresa rozhraní patˇ rí do vytvoˇ reného rozsahu, pak je pro ni automaticky definována výjimka. • Maska subsítˇ e — dle pˇ ríslušného rozhraní. • Výchozí brána — IP adresa pˇ ríslušného rozhraní. • DNS server — IP adresa pˇ ríslušného rozhraní. Pˇ rípadnˇ e mohou být nastaveny další parametry, které lze z nastavení daného rozhraní naˇ císt (DNS doména, adresa WINS serveru). Zde již záleží na operaˇ cním systému firewallu a konkrétní konfiguraci daného rozhraní.
Ruˇ cní definice rozsah˚ u IP adres Nechcete-li využít automatickou konfiguraci rozsah˚ u IP adres, m˚ užete se pˇ repnout do režimu ruˇ cní konfigurace. Mˇ ejte však na pamˇ eti, že pˇ ri pˇ rípadné zmˇ enˇ e rozhraní ve skupinˇ e D˚ uvˇ eryhodná / Lokální rozhraní (napˇ r. pˇ ridání nového rozhraní, zmˇ ena IP adresy atd.) je nutné ruˇ cnˇ e aktualizovat rozsahy adres definované v DHCP serveru! V každé IP subsíti je možné definovat pouze jeden rozsah adres. Poznámka: V rozhraní Kerio Control Administration je rovnˇ ež možné použít šablonu rozsahu, ve které jsou již pˇ redvyplnˇ eny parametry rozsahu na podle pˇ ríslušného rozhraní firewallu. Bližší informace viz výše (sekce Automatická konfigurace rozsah˚ u IP adres). Definice rozsahu IP adres: Popis Textový popis vytvᡠreného rozsahu adres (pro pˇ rehled správce Kerio Control). První adresa, Poslední adresa Poˇ cáteˇ cní a koncová adresa definovaného rozsahu.
99
Sít’ové služby a konfigurace lokální sítˇ e
Poznámka: Doporuˇ cujeme definovat vˇ etší rozsah IP adres, než je skuteˇ cný poˇ cet poˇ cítaˇ cu ˚ v dané subsíti. Maska subsítˇ e Maska odpovídající subsíti, v níž je tento rozsah adres definován. Maska subsítˇ e je pˇ ridˇ elována klient˚ um spoleˇ cnˇ e s IP adresou. Poznámka: Administraˇ cní rozhraní kontroluje, zda poˇ cáteˇ cní a koncová adresa rozsahu patˇ rí do téže subsítˇ e vymezené zadanou maskou. Pokud není tato podmínka splnˇ ena, bude po stisknutí tlaˇ cítka OK hlášena chyba. Doba pˇ ridˇ elení Doba, na kterou je IP adresa klient˚ um pˇ ridˇ elována. Pokud bˇ ehem této doby klient nepožádá o prodloužení pronájmu, pak je po jejím uplynutí tato adresa automaticky uvolnˇ ena a m˚ uže být pˇ ridˇ elena jinému klientovi. Výjimky Kerio Control umožˇ nuje definovat v každé subsíti pouze jeden rozsah IP adres. Chceme-li vytvoˇ rit nˇ ekolik nesouvislých rozsah˚ u, provedeme to následovnˇ e: • vytvoˇ ríme rozsah adres pokrývající všechny požadované rozsahy • definujeme tzv. výjimky — tj. rozsahy adres, které nemají být pˇ ridˇ elovány Pˇ ríklad V subsíti 192.168.1.0 chceme vytvoˇ rit dva rozsahy adres: 192.168.1.10 až 192.168.1.49 a 192.168.1.61 až 192.168.1.100. Adresy 192.168.1.50 až 192.168.1.60 mají z˚ ustat vyhrazeny pro jiné úˇ cely. Vytvoˇ ríme rozsah adres 192.168.1.10 až 192.168.1.100 a stisknutím tlaˇ cítka Výjimky definujeme rozsah adres 192.168.1.50 až 192.168.1.60, které nemají být DHCP serverem pˇ ridˇ elovány. Parametry DHCP Dialog Rozsah IP adres umožˇ nuje zadání DHCP parametr˚ u, které budou pˇ ridˇ elovány spoleˇ cnˇ e s IP adresou. Pro správnou funkci TCP/IP na klientských stanicích je potˇ reba pˇ ridˇ elit tyto parametry: • 003: Default gateway (výchozí brána) — IP adresa smˇ erovaˇ ce, který je výchozí branou pro danou subsít’ (tzn. IP adresa rozhraní firewallu, ke kterému je tato subsít’ pˇ ripojena). Výchozí brána v jiné subsíti nemá žádný smysl — byla by pro klienty nedosažitelná. • 006: DNS server — m˚ uže být uveden libovolný DNS server, pˇ rípadnˇ e více DNS server˚ u oddˇ elených stˇ redníky. Jako primární DNS server (tj. na prvním místˇ e) však doporuˇ cujeme uvádˇ et IP adresu poˇ cítaˇ ce s Kerio Control. Modul DNS totiž dokáže spolupracovat s DHCP serverem (viz kapitola 11.1) a na dotazy na jména lokálních poˇ cítaˇ cu ˚ bude vždy odpovídat správnou IP adresou. Protokol DHCP dále umožˇ nuje pˇ ridˇ elovat ˇ radu volitelných parametr˚ u, napˇ r.: 100
11.2 DHCP server
• 015: Domain name — lokální internetová doména (neslouží k zadání jména domény Windows NT ). • 066: TFTP server name — jméno nebo IP adresa TFTP serveru. Protokol TFTP využívá napˇ r. Kerio Operator pro automatickou konfiguraci telefon˚ u.
Pˇ ridˇ elené adresy a rezervace V záložce Pˇ ridˇ elené adresy se (v podobˇ e stromu) zobrazují rozsahy IP adres a v každém z nich všechny IP adresy, které jsou aktuálnˇ e pˇ ridˇ eleny poˇ cítaˇ cu ˚m v dané subsíti. Poznámka: Ikona s písmenem R oznaˇ cuje IP adresy, které jsou rezervovány. Sloupce okna Pˇ ridˇ elené IP adresy zobrazují následující informace: • IP adresa — pˇ ridˇ elená IP adresa, • Jméno — název / popis rezervace (u dynamicky pˇ ridˇ elených adres je prázdné), • Výrobce — výrobce sít’ového adaptéru klienta (zjištˇ ený z MAC adresy), • Skonˇ cení platnosti — datum a ˇ cas skonˇ cení doby pronájmu této IP adresy, • MAC adresa — hardwarová adresa poˇ cítaˇ ce, jemuž je IP adresa pˇ ridˇ elena se jménem výrobce sít’ové karty, • Jméno poˇ cítaˇ ce — název poˇ cítaˇ ce, kterému je IP adresa pˇ ridˇ elena (pokud jej DHCP klient na tomto poˇ cítaˇ ci DHCP serveru posílá). • Stav — stav pˇ ridˇ elení IP adresy: Pˇ ridˇ eleno (adresa je pˇ ridˇ elena klientovi a doba pronájmu dosud neskonˇ cila), Expirováno (doba pronájmu již uplynula a klient nepožádal o obnovení), Odmítnuto (klient odmítl pˇ ridˇ elení této adresy) nebo Uvolnˇ eno (klient uvolnil pˇ ridˇ elenou adresu). Poznámka: Informace o expirovaných a uvolnˇ ených IP adresách DHCP server udržuje pro pˇ rípad, kdy pˇ ríslušný klient opˇ et požádá o pˇ ridˇ elení IP adresy — DHCP server se snaží pˇ ridˇ elovat jednomu klientovi stále tutéž adresu. V pˇ rípadˇ e nedostatku volných IP adres však mohou být tyto adresy pˇ ridˇ eleny jiným klient˚ um. • Uživatel — jméno uživatele, který je z daného poˇ cítaˇ ce pˇ rihlášen k firewallu. ˇ posledního požadavku — datum a ˇ • Cas cas, kdy klient vyslal poslední požadavek na pˇ ridˇ elení ˇ ci obnovení adresy. • Zbývající doba pˇ ridˇ elení — doba zbývající od aktuálního ˇ casu do Skonˇ cení platnosti.
101
Sít’ové služby a konfigurace lokální sítˇ e
Tlaˇ cítkem Odebrat lze okamžitˇ e uvolnit vybranou IP adresu a/nebo zrušit rezervaci IP adresy. Pˇ ríslušnému klientovi bude vyslána ˇ rídicí zpráva DHCPRELEASE.
Rezervace IP adresy DHCP server umožˇ nuje vyhradit (rezervovat) vybranou IP adresu pro konkrétní poˇ cítaˇ c. Rezervaci lze provést obou režimech konfigurace rozsah˚ u IP adres (ruˇ cním i automatickém). Samotným pˇ ridáním rezervace v automatickém režimu nedochází k pˇ repnutí do ruˇ cního režimu. Tlaˇ cítkem Pˇ ridat je možné: • Vytvoˇ rit novou rezervaci na základˇ e zadaných parametr˚ u. • Rezervovat dynamicky pˇ ridˇ elenou IP adresu. Rezervovat je možné libovolnou IP adresu, která patˇ rí do nˇ ekteré z definovaných subsítí. Nezáleží na tom, zda je tato adresa uvnitˇ r nebo vnˇ e rozsahu dynamicky pˇ ridˇ elovaných adres, a m˚ uže být i v nˇ ekterém z rozsah˚ u, které jsou definovány jako výjimky. IP adresa m˚ uže být rezervována pro: • hardwarovou (MAC) adresu poˇ cítaˇ ce — zadává se v podobˇ e hexadecimálních (šestnáctkových) ˇ císel oddˇ elených dvojteˇ ckami — napˇ r.: 00:bc:a5:f2:1e:50 nebo pomlˇ ckami — napˇ r.: 00-bc-a5-f2-1e-50 MAC adresu sít’ového adaptéru je možné zjistit pomocí nástroj˚ u operaˇ cního systému (napˇ r. pˇ ríkaz ipconfig), pˇ rípadnˇ e speciálního programu dodávaného výrobcem sít’ového adaptéru. • jméno poˇ cítaˇ ce — vˇ etšina DHCP klient˚ u posílá v DHCP požadavku jméno poˇ cítaˇ ce (napˇ r. všechny operaˇ cní systémy Windows), pˇ ríp. je možné klienta nastavit, aby jméno poˇ cítaˇ ce posílal (napˇ r. operaˇ cní systém Linux). Pˇ ri pˇ ridˇ elení rezervované IP adresy budou automaticky použity DHCP parametry nastavení v pˇ ríslušném rozsahu. V dialogu Rezervace adresy je možné pˇ ridat další parametry, pˇ rípadnˇ e nastavit specifické hodnoty již existujících parametr˚ u. Poznámka: Pˇ ri rezervaci dynamicky pˇ ridˇ elené adresy je možné IP adresu i zmˇ enit. De facto vytvᡠríme novou rezervaci, ale není nutné ruˇ cnˇ e zadávat MAC adresu.
102
11.3 Ohlašování smˇ erovaˇ ce IPv6
11.3 Ohlašování smˇ erovaˇ ce IPv6 Ohlašování smˇ erovaˇ ce IPv6 slouží pro automatickou bezestavovou konfiguraci IPv6 zaˇ rízení v lokální síti (SLAAC). Pˇ ridejte záznam pro každou sít’, ve které se má Kerio Control ohlašovat jako výchozí smˇ erovaˇ c. Nastavení se provádí v sekci Konfigurace → Konfigurace LAN → Ohlašování smˇ erovaˇ ce IPv6. Záznam ohlašování smˇ erovaˇ ce má tyto parametry: • Rozhraní — rozhraní pˇ ripojené k síti, do níž se má smˇ erovaˇ c ohlašovat. • Prefix — prefix IPv6 adresy (adresa podsítˇ e). Zapisuje se ve tvaru IPv6 adresy a musí odpovídat zadané délce prefixu, tzn. všechny bity vyšší než délka prefixu musí být nulové. • Délka prefixu — urˇ cuje poˇ cet bit˚ u IPv6 adresy, které se považují za prefix (adresu podsítˇ e).
11.4 HTTP cache Cache slouží ke zrychlení pˇ rístupu na opakovanˇ e navštˇ evované WWW stránky a snížení zatížení internetového pˇ ripojení (v pˇ rípadˇ e mˇ eˇ rené linky je rovnˇ ež významné, že použití cache snižuje celkový objem pˇ renesených dat). Stahované soubory se ukládají na disk poˇ cítaˇ ce s Kerio Control a pˇ ri dalším pˇ rístupu nemusejí být znovu stahovány z WWW serveru. Poznámka: Na zaˇ rízení Kerio Control Box není HTTP cache z technických d˚ uvod˚ u k dispozici. Objekty se do cache ukládají na omezenou dobu (Time To Live — TTL). Tato doba urˇ cuje, zda se má na WWW serveru ovˇ eˇ rovat novˇ ejší verze daného objektu. Pokud doba TTL nevypršela, objekt se vezme z cache. V opaˇ cném pˇ rípadˇ e se ovˇ eˇ rí, zda se objekt na pˇ ríslušném WWW serveru zmˇ enil, a pokud ano, stáhne se nová verze. Tento mechanismus zajišt’uje pr˚ ubˇ ežnou aktualizaci objekt˚ u v cache. Cache lze použít pˇ ri pˇ rístupu pˇ res proxy server i pˇ rímém pˇ rístupu. V pˇ rípadˇ e pˇ rímého pˇ rístupu musí být na komunikaci aplikován inspekˇ cní modul HTTP. Ve výchozí konfiguraci Kerio Control je tato podmínka splnˇ ena pro protokol HTTP na standardním portu 80 (podrobnosti viz kapitoly 9.3 a 17.3). Parametry HTTP cache se nastavují v sekci Konfigurace → Filtrování obsahu → Pravidla pro HTTP, záložka Cache. Povolit cache pro pˇ rímý pˇ rístup na WWW stránky Zapnutí cache pro HTTP komunikaci obsluhovanou inspekˇ cním modulem HTTP (tj. pˇ rímý pˇ rístup do Internetu).
103
Sít’ové služby a konfigurace lokální sítˇ e
Povolit cache pro netransparentní proxy server v Kerio Control Zapnutí cache pro HTTP komunikaci pˇ res proxy server v Kerio Control (viz kapitola 11.5). TTL pro protokol HTTP Výchozí doba uchování objekt˚ u v cache (standardnˇ e jeden den). Platí pro všechny objekty, pro které není nastavená specifická doba uchování v cache. Specifická nastavení pro URL Pro objekty na konkrétních serverech nebo stránkách je možné nastavit jinou (zpravidla kratší) dobu uchování v cache. Do pravidla zadejte URL nebo ˇ cást URL objekt˚ u, pro které bude pravidlo platit. Doba uchování objektu cache se zadává v hodinách. Hodnota 0 znamená, že objekt nebude uložen do cache. Velikost cache Velikost souboru cache na disku. Maximální velikost cache je omezena na 2 GB (2047 MB). Praktické testy však ukazují, že pˇ ri velikosti cache vˇ etší než 1 GB (1024 MB) výraznˇ e klesá rychlost vyhledávání objekt˚ u a tím i úˇ cinnost cache jako takové. Proto nedoporuˇ cujeme vytvᡠret cache vˇ etší než 1 GB. Cache je fyzicky umístˇ ena v podadresᡠri cache „hlavního“ adresᡠre aplikace Kerio Control, tj.: • v edici pro systém Windows typicky: C:\Program Files\Kerio\WinRoute\Firewall\cache • v edici Appliance vždy: /opt/kerio/winroute/cache Na pˇ ríslušném disku musí být dostatek volného místa, v krajním pˇ rípadˇ e je potˇ reba nastavit velikost cache s ohledem na zbývající volné místo na disku. Je-li cache zaplnˇ ena z 98%, spustí se automaticky tzv. úklid — smazání všech objekt˚ u, jejichž doba životnosti již vypršela. Nepodaˇ rí-li se odstranit žádné objekty, nebudou do cache ukládány nové objekty, dokud se místo neuvolní (pˇ ri nˇ ekterém z dalších úklid˚ u nebo ruˇ cním vymazáním). Pˇ ri nastavení velikosti cache vˇ etší než je aktuální volné místo na pˇ ríslušném disku se cache neinicializuje a do záznamu Error (viz kapitola 24.8) se zapíše odpovídající chybové hlášení. Poznámka: Klient si m˚ uže kdykoliv vyžádat kontrolu novˇ ejší verze objektu na WWW serveru (bez ohledu na nastavení cache). Napˇ r. v prohlížeˇ cích Internet Explorer a Firefox/SeaMonkey lze tuto kontrolu vyvolat stisknutím kombinace kláves Ctrl+F5. Prohlížeˇ ce lze také nastavit, aby kontrolovaly novˇ ejší verze stránek pˇ ri každém pˇ rístupu (pak staˇ cí stránku pouze obnovit).
104
11.5 Proxy server
Sledování stavu a správa cache Kerio Control umožˇ nuje sledovat využití HTTP cache a v pˇ rípadˇ e potˇ reby vymazat obsah cache. V dolní ˇ cásti záložky Cache se zobrazují základní stavové informace: aktuální využitá velikost a efektivita cache. Efektivita vyjadˇ ruje pomˇ er poˇ ctu objekt˚ u, které byly nalezeny v cache (a nemusely tedy být stahovány ze serveru) k celkovému poˇ ctu HTTP požadavk˚ u (mˇ eˇ reno od startu Kerio Control Engine). Efektivita cache závisí pˇ redevším na chování uživatel˚ u (zda pravidelnˇ e navštˇ evují urˇ cité WWW stránky, zda více uživatel˚ u pˇ ristupuje na tytéž stránky atd.), ˇ cásteˇ cnˇ e ji lze také ovlivnit výše popsanými konfiguraˇ cními parametry. Pokud cache vykazuje trvale nízkou efektivitu (ménˇ e než 5 %), doporuˇ cujeme pˇ rehodnotit konfiguraci cache. Tlaˇ cítko Vyprázdnit cache jednorázovˇ e vymaže všechny objekty uložené v cache.
11.5 Proxy server Kerio Control obsahuje klasický HTTP proxy server, pˇ restože umožˇ nuje díky technologii NAT pˇ rímý pˇ rístup do Internetu ze všech poˇ cítaˇ cu ˚ v lokální síti. V nˇ ekterých pˇ rípadech totiž není použití pˇ rímého pˇ rístupu vhodné nebo jej nelze použít v˚ ubec. Jedná se zejména o tyto situace: 1.
Z poˇ cítaˇ ce s Kerio Control není možné pˇ rímé pˇ ripojení, je tˇ reba použít proxy server poskytovatele Internetu. Proxy server v Kerio Control umí využívat tzv. nadˇ razený proxy server (parent proxy server), kterému pˇ redává veškeré požadavky.
2.
Pˇ ripojení k Internetu je realizováno vytᡠcenou linkou a pˇ rístup na urˇ cité WWW stránky je blokován (viz kapitola 15.2). Pˇ ri použití pˇ rímého pˇ rístupu dojde k vytoˇ cení linky dˇ ríve, než m˚ uže být zachycen vlastní HTTP požadavek (linka je vytᡠcena na DNS dotaz nebo pˇ ri požadavku klienta na navázání spojení s WWW serverem). Pˇ ri pˇ rístupu na zakázanou WWW stránku Kerio Control vytoˇ cí linku a poté zablokuje pˇ rístup na požadovanou stránku — linka je vytoˇ cena zbyteˇ cnˇ e. Proxy server dokáže pˇ rijmout a zpracovat požadavek klienta lokálnˇ e. Jedná-li se o zakázanou stránku, k vytoˇ cení linky nedojde.
3.
Kerio Control je nasazen do sítˇ e s velkým poˇ ctem poˇ cítaˇ cu ˚, kde byl dˇ ríve používán proxy server. Zmˇ ena konfigurace všech poˇ cítaˇ cu ˚ by byla ˇ casovˇ e i technicky nároˇ cná. Pˇ ri použití proxy serveru z˚ ustává pˇ rístup do Internetu funkˇ cní — konfigurace jednotlivých poˇ cítaˇ cu ˚ m˚ uže z˚ ustat nezmˇ enˇ ena (pˇ rípadnˇ e lze zmˇ enit nastavení pouze na nˇ ekterých poˇ cítaˇ cích).
Proxy server v Kerio Control lze použít pro protokoly HTTP, HTTPS a FTP. Proxy server nepodporuje protokol SOCKS (speciální protokol pro komunikaci mezi klientem a proxy serverem).
105
Sít’ové služby a konfigurace lokální sítˇ e
Poznámka: Podrobné informace o použití FTP pˇ res proxy server v Kerio Control naleznete v kapitole 27.5.
Konfigurace proxy serveru Parametry proxy serveru se nastavují v sekci Konfigurace → Filtrování obsahu → Pravidla pro HTTP, záložka Proxy server. Povolit netransparentní proxy server Tato volba zapíná HTTP proxy server v Kerio Control na portu uvedeném v položce Port (výchozí port je 3128). Upozornˇ ení: Zadáme-li do položky Port ˇ císlo portu, který již používá jiná služba ˇ ci aplikace, pak po stisknutí tlaˇ cítka Použít Kerio Control tento port sice akceptuje, ale proxy server na nˇ em nespustí a do záznamu Error (viz kapitola 24.8) se vypíše chybové hlášení v tomto tvaru: failed to bind to port 3128: another application is using this port Pokud nemáte jistotu, že zadaný port je skuteˇ cnˇ e volný, pak bezprostˇ rednˇ e po stisknutí tlaˇ cítka Použít zkontrolujte záznam Error, zda se v nˇ em takovéto hlášení neobjevilo. Povolit tunelovaná spojení na libovolný TCP port Tato bezpeˇ cnostní volba umožˇ nuje povolit nebo blokovat tzv. tunelování jiných aplikaˇ cních protokol˚ u (než HTTP, HTTPS a FTP) pˇ res proxy server zabezpeˇ ceným HTTPS spojením. Je-li tato volba vypnuta, pak proxy server povoluje navázání HTTPS spojení pouze na standardní port služby HTTPS (443) — pˇ redpokládá se, že v tomto pˇ rípadˇ e se jedná o pˇ rístup na zabezpeˇ cené WWW stránky. Je-li volba zapnuta, pak proxy server m˚ uže navázat spojení na libovolný port. M˚ uže se jednat o protokol HTTPS na nestandardním portu, ale také o tunelování jiného aplikaˇ cního protokolu. Poznámka: Na nezabezpeˇ cenou komunikaci protokoly HTTP a FTP nemá tato volba žádný vliv. HTTP a FTP komunikace je v Kerio Control obsluhována inspekˇ cními moduly, které propustí pouze platné HTTP a FTP požadavky. Pˇ redávat požadavky nadˇ razenému... Zapnutím této volby bude proxy server ve Kerio Control pˇ redávat veškeré požadavky nadˇ razenému proxy serveru specifikovanému v následujících položkách: • Server — DNS jméno nebo IP adresa nadˇ razeného proxy serveru a port, na kterém bˇ eží (výchozí port je 3128). • Nadˇ razený proxy server vyžaduje ovˇ eˇ rení — tuto volbu zapnˇ ete, pokud nadˇ razený proxy server vyžaduje ovˇ eˇ rení uživatele jménem a heslem. Do položek Uživatelské jméno a Heslo vyplˇ nte pˇ ríslušné pˇ rihlašovací údaje.
106
11.5 Proxy server
Poznámka: Jméno a heslo pro ovˇ eˇ rení na nadˇ razeném proxy serveru se posílá s každým HTTP požadavkem. Je podporováno pouze ovˇ eˇ rování typu Basic. Volba Pˇ redávat požadavky nadˇ razenému proxy serveru zároveˇ n automaticky nastavuje zp˚ usob pˇ rístupu Kerio Control do Internetu (pro kontrolu a stahování nových verzí, aktualizaci integrovaného antiviru Sophos a pˇ rístup do online databází modulu Kerio Control Web Filter). Nastavit skript pro automatickou konfiguraci... Pro použití proxy serveru je nutné správnˇ e nastavit parametry WWW prohlížeˇ cu ˚ na klientských poˇ cítaˇ cích. Vˇ etšina souˇ casných prohlížeˇ cu ˚ (napˇ r. Internet Explorer, Firefox/SeaMonkey, Google Chrome apod.) umožˇ nuje automatickou konfiguraci skriptem staženým ze zadaného URL. V pˇ rípadˇ e proxy serveru v Kerio Control je konfiguraˇ cní skript uložen na adrese: http://192.168.1.1:3128/pac/proxy.pac kde 192.168.1.1 je IP adresa poˇ cítaˇ ce s Kerio Control a 3128 je port proxy serveru (viz výše). Volba Nastavit skript pro automatickou konfiguraci prohlížeˇ cu ˚ umožˇ nuje pˇ rizp˚ usobit konfiguraˇ cní skript tak, aby nastavoval prohlížeˇ ce správnˇ e podle aktuální konfigurace Kerio Control a lokální sítˇ e: • Pˇ rímý pˇ rístup — v prohlížeˇ ci nebude nastaven žádný proxy server. • Netransparentní proxy server v Kerio Control — v prohlížeˇ ci bude nastavena IP adresa poˇ cítaˇ ce s Kerio Control a port, na kterém je proxy server spuštˇ en (viz výše). Poznámka: Pro použití konfiguraˇ cního skriptu musí být proxy server vždy spuštˇ en (i v pˇ rípadˇ e, že prohlížeˇ ce budou nastavovány pro pˇ rímý pˇ rístup). Povolit prohlížeˇ cu ˚m použít konfiguraˇ cní skript automaticky... Prohlížeˇ c Internet Explorer se m˚ uže být konfigurován zcela automaticky použitím DHCP serveru. V nastavení prohlížeˇ ce staˇ cí zapnout volbu Automaticky zjišt’ovat nastavení (Automatically detect settings). Podmínkou použití této funkce je spuštˇ ený DHCP server v Kerio Control (viz kapitola 11.2). Parametry TCP/IP na pˇ ríslušné stanici však mohou být nastaveny staticky — Internet Explorer vyšle pˇ ri svém spuštˇ ení speciální DHCP požadavek. Tip Tato volba umožˇ nuje jediným kliknutím nastavit všechny prohlížeˇ ce Internet Explorer na poˇ cítaˇ cích v lokální síti.
107
Sít’ové služby a konfigurace lokální sítˇ e
11.6 Dynamický DNS pro veˇ rejnou IP adresu firewallu Kerio Control poskytuje (mimo jiné) služby pro vzdálený pˇ rístup do lokální sítˇ e z Internetu (VPN server — viz kapitola 25 a rozhraní Clientless SSL-VPN — viz kapitola 26). Z Internetu mohou být pˇ rístupné i další služby — napˇ r. webové rozhraní Kerio Control (viz kapitola 14), správa Kerio Control (viz kapitola 4) nebo libovolná jiná služba (napˇ r. WWW server v lokální síti — viz kapitola 9.4). Tyto služby jsou dostupné na veˇ rejné IP adrese firewallu. Pokud je tato IP adresa statická a existuje pro ni odpovídající DNS záznam, m˚ užeme pˇ ri pˇ rístupu k dané službˇ e použít pˇ ríslušné jméno poˇ cítaˇ ce (napˇ r. server.firma.cz). Neexistuje-li DNS záznam, pak je nutné si zapamatovat IP adresu firewallu, a ke všem službám pˇ ristupovat pomocí IP adresy. Je-li navíc veˇ rejná IP adresa dynamická (tzn. bˇ ehem ˇ casu se mˇ ení), pak je velmi obtížné nebo témˇ eˇ r nemožné se k tˇ emto službám z Internetu pˇ ripojit. Tento problém ˇ reší podpora dynamického DNS v Kerio Control. Dynamický DNS zajistí DNS záznam pro vybrané jméno serveru, který bude vždy obsahovat aktuální IP adresu. Mapované služby tak budou vždy dostupné pod stejným jménem serveru, bez ohledu na to, zda a jak ˇ casto se mˇ ení IP adresa. Jak funguje spolupráce s dynamickým DNS? Dynamický DNS (DDNS) je služba, která zajišt’uje automatickou aktualizaci IP adresy v DNS záznamu pro dané jméno poˇ cítaˇ ce. Služba DDNS je typicky nabízena ve dvou variantách: • zdarma — uživatel si m˚ uže vybrat z nˇ ekolika nabízených domén druhé úrovnˇ e (napˇ r. no-ip.org, ddns.info apod.) a vybrané doménˇ e zvolit jméno poˇ cítaˇ ce, které je dosud volné (napˇ r. firma.ddns.info). • placená služba — uživatel si zaregistruje vlastní doménu (napˇ r. firma.cz) a poskytovatel služby pak zajišt’uje DNS server pro tuto doménu s možností automatické aktualizace záznam˚ u. Uživateli služby DDNS je zˇ rízen úˇ cet, který slouží k ovˇ eˇ rení pˇ rístupu, aby mohla aktualizaci DNS záznam˚ u provádˇ et pouze oprávnˇ ená osoba. Aktualizace navíc probíhá zabezpeˇ ceným spojením (typicky HTTPS), aby nebylo možné komunikaci odposlouchávat. Aktualizaci dynamických DNS záznam˚ u m˚ uže provádˇ et bud’ pˇ rímo uživatel ruˇ cnˇ e nebo (ˇ castˇ eji) specializovaný software — v tomto pˇ rípadˇ e Kerio Control. Je-li Kerio Control nastaven pro spolupráci s dynamickým DNS, pak pˇ ri každé zmˇ enˇ e IP adresy internetového rozhraní (vˇ cetnˇ e pˇ repnutí primárního / záložního internetového pˇ ripojení — viz kapitola 8.4) vyšle požadavek na aktualizaci IP adresy v dynamickém DNS. Díky tomu je DNS záznam pro danou IP adresu stále aktuální a k mapovaným službám lze pˇ ristupovat pomocí daného jména poˇ cítaˇ ce. Poznámka: 1. 2.
Používání služby DDNS se ˇ rídí podmínkami konkrétního poskytovatele. Dynamické DNS záznamy mají nastavenou velmi krátkou dobu životnosti (TTL), a proto jsou uchovávány v cache jiných DNS server˚ u nebo forwarder˚ u po velmi krátkou dobu. 108
11.6 Dynamický DNS pro veˇ rejnou IP adresu firewallu
3.
Pravdˇ epodobnost, že klient dostane DNS odpovˇ ed’ s neplatnou (starou) IP adresou, je zcela minimální. Nˇ ekteré DDNS servery umožˇ nují také aktualizaci více záznam˚ u souˇ casnˇ e. K tomuto úˇ celu se používají zástupné znaky (wildcards). Pˇ ríklad: V DDNS existují dvˇ e jména poˇ cítaˇ cu ˚, která obˇ e odkazují na veˇ rejnou IP adresu firewallu: fw.firma.cz a server.firma.cz. Pˇ ri zmˇ enˇ e IP adresy staˇ cí vyslat jeden požadavek na aktualizaci DNS záznam˚ u se jménem *.firma.cz. Na základˇ e tohoto požadavku budou aktualizovány DNS záznamy pro obˇ e výše uvedená jména.
Konfigurace DDNS v Kerio Control Spolupráci s dynamickým DNS serverem lze nastavit v sekci Konfigurace / Další volby, záložka Dynamický DNS. Jak již bylo zmínˇ eno, nejprve je potˇ reba si zˇ rídit úˇ cet (tzn. požadovaný dynamický DNS záznam s pˇ ríslušnými pˇ rístupovými právy) u nˇ ekterého poskytovatele služby DDNS. Kerio Control v souˇ casné dobˇ e podporuje tyto poskytovatele DDNS: • ChangeIP (http://www.changeip.com/), • DynDNS (http://www.dyndns.org/), • No-IP (http://www.no-ip.com/). V záložce Dynamický DNS je tˇ reba zvolit pˇ ríslušného poskytovatele služby DDNS, zadat DNS jméno, pro které má být aktualizován dynamický záznam, a uživatelské jméno a heslo pro pˇ rístup k aktualizaci dynamického záznamu. Pokud DDNS server podporuje zástupné znaky (wildcards), m˚ užeme je ve jménˇ e poˇ cítaˇ ce použít. Po zadání všech údaj˚ u je doporuˇ ceno vyzkoušet aktualizaci dynamického DNS záznamu stisknutím tlaˇ cítka Aktualizovat nyní . Tím jednak ovˇ eˇ ríme, zda je automatická aktualizace funkˇ cní (server je dostupný, zadané údaje jsou správné atd.), a zároveˇ n zajistíme aktualizaci pˇ ríslušného DNS záznamu (IP adresa firewallu se od registrace nebo poslední ruˇ cní aktualizace již mohla zmˇ enit). Pokud pˇ ri pokusu o aktualizaci DNS záznamu dojde k chybˇ e, zobrazí se v záložce Dynamický DNS chybové hlášení s pˇ resnou specifikací chyby (napˇ r. DDNS server není dostupný, selhalo ovˇ eˇ rení uživatele apod). Toto hlášení se rovnˇ ež zapíše do záznamu error.
109
Kapitola 12
ˇízení šíˇ R rky pásma a QoS
Velmi ˇ castým problémem sdíleného internetového pˇ ripojení je situace, kdy jeden uživatel (pˇ rípadnˇ e nˇ ekolik uživatel˚ u souˇ casnˇ e) stahuje nebo odesílá velký objem dat, ˇ címž zcela vyˇ cerpá kapacitu internetové linky (tzv. šíˇ rku pásma). Ostatní uživatelé pak zaznamenají výrazné zpomalení internetové komunikace, v krajním pˇ rípadˇ e i výpadky nˇ ekterých služeb (pokud napˇ r. dojde k pˇ rekroˇ cení maximální doby odezvy). Typicky nejvˇ etší problém nastává v pˇ rípadˇ e, kdy jsou v d˚ usledku pˇ retížení linky omezeny nebo blokovány sít’ové služby — napˇ r. poštovní server, WWW server nebo internetová telefonie (VoIP). Jeden uživatel m˚ uže stahováním nebo odesíláním svých dat ohrozit funkˇ cnost celé sítˇ e. Pˇ renosová rychlost (propustnost, kapacita) internetové linky se oznaˇ cuje termínem šíˇ rka ˇ pásma. Kerio Control obsahuje modul Rízení šíˇ rky pásma, který umožˇ nuje optimalizovat využití internetového pˇ ripojení, aby nedošlo k jeho zahlcení a byla zajištˇ ena funkˇ cnost d˚ uležitých sít’ových služeb.
12.1 Jak funguje ˇ rízení šíˇ rky pásma? ˇ Modul Rízení šíˇ rky pásma má dvˇ e základní funkce: Omezení rychlosti datových pˇ renos˚ u Tato funkce slouží pˇ redevším pro omezení neproduktivní komunikace, která zbyteˇ cnˇ e zatˇ ežuje linku na úkor jiných služeb (stahování velkých objem˚ u dat, prohlížení videa apod.). Vyhrazení pásma pro urˇ cité služby Služby, které jsou d˚ uležité pro chod organizace (e-mail, IP telefonie atd.), mohou mít vyhrazenou urˇ citou ˇ cást pásma internetové linky. Toto pásmo je vždy k dispozici, bez ohledu na aktuální zatížení linky. Uživatelé tak žádnou svou aktivitou nemohou ohrozit d˚ uležité sít’ové služby a chod organizace. Rezervace pásma pro urˇ citou službu se oznaˇ cuje zkratkou QoS (Quality of Service — zajištˇ ení kvality služby).
12.2 Rychlosti internetových linek Pro správnou funkci ˇ rízení šíˇ rky pásma je potˇ reba správnˇ e stanovit rychlost linky, resp. linek použitých pro internetové pˇ ripojení (v dolní ˇ cásti stránky). Rychlost linky lze nastavit v libovolných jednotkách, není tˇ reba nic pˇ repoˇ cítávat. Malé b znamená bity, velké B bajty (1B = 8b). ˇ Cím pˇ resnˇ eji bude rychlost linky nastavena, tím lépe bude ˇ rízení šíˇ rky pásma fungovat. Skuteˇ cná rychlost linky je typicky 80% rychlosti udávané poskytovatelem internetového pˇ ripojení. 110
12.3 Pravidla pro ˇ rízení šíˇ rky pásma
Pˇ ríklad: Pro ASDL linku s deklarovanými parametry 8192/512 kbit/s nastavíme rychlost v pˇ ríchozím smˇ eru (download) 6 Mbit/s a rychlost v odchozím smˇ eru (upload) 400 Kbit/s.
12.3 Pravidla pro ˇ rízení šíˇ rky pásma ˇ ízení šíˇ R rky pásma se definuje posloupností pravidel. Každé pravidlo popisuje urˇ citý typ komunikace a stanovuje omezení a/nebo rezervaci pásma internetového pˇ ripojení pro tuto komunikaci. Typ komunikace Komunikaci, pro kterou chceme omezovat nebo rezervovat pásmo, lze popsat jako: Pˇ reddefinovaný typ komunikace — WWW, e-mail, FTP, multimédia atd., Komunikace vybraných uživatel˚ u, Komunikace všech uživatel˚ u, kteˇ rí pˇ rekroˇ cili nˇ ekterou z kvót pˇ renesených dat, Pˇ renosy velkých objem˚ u dat, Pakety vyhovující vybranému komunikaˇ cnímu pravidlu (viz kapitola 9), Komunikace odpovídající pravidlu pro URL (viz kapitola 15.2) nebo pravidlu pro FTP (viz kapitola 15.5), • Komunikace vybrané sít’ové služby (viz kapitola 17.3), • Pakety s urˇ citou hodnotou DSCP. Hodnotu DSCP lze v Kerio Control nastavit pomocí komunikaˇ cních pravidel, m˚ uže však být nastavena í jinými smˇ erovaˇ ci na trase, pˇ rípadnˇ e klientem a/nebo serverem. • • • • • •
Download, Upload V každém smˇ eru komunikace m˚ užeme omezit maximální pˇ renosovou rychlost nebo naopak rezervovat urˇ citou minimální šíˇ rku pásma. Kombinací obou akcí lze zajistit, aby ani služba, pro kterou je pásmo rezervováno, neubírala pˇ ríliš vekou ˇ cást pásma ostatním službám. Rozhraní V nˇ ekterých pˇ rípadech však m˚ uže být žádoucí definovat r˚ uzná pravidla pro jednotlivá rozhraní / linky. Napˇ r. v pˇ rípadˇ e zálohovaného internetového pˇ ripojení nemusí být komunikace na rychlé primární lince nijak omezována, ale na pomalé záložní lince je potˇ reba definovat omezení, aby nedošlo k jejímu zahlcení. Pravidlo pro ˇ rízení šíˇ rky pásma m˚ uže platit pro všechna internetová rozhraní, nebo pro jedno konkrétní rozhraní. Chceme-li definovat omezení na více rozhraních (ale ne na všech), je potˇ reba pˇ ridat samostatné pravidlo pro každé rozhraní. ˇ Casová platnost Každé pravidlo pro ˇ rízení šíˇ rky pásma m˚ uže mít omezenou ˇ casovou platnost — typicky ˇ nastavení pˇ rísnˇ ejších omezení v pracovní dobˇ e. Casové intervaly (viz kapitola 17.2) umožˇ nují definovat prakticky libovolnou ˇ casovou podmínku.
111
ˇízení šíˇ R rky pásma a QoS
Graf internetové komunikace ˇ Casový pr˚ ubˇ eh komunikace odpovídající pravidlu m˚ užeme sledovat v sekci Stav → Grafy sít’ové komunikace (nejvýše za poslední den). Graf ukáže, jak daná komunikace skuteˇ cnˇ e zatˇ ežuje internetovou linku a pomáhá optimalizovat pravidla pro ˇ rízení šíˇ rky pásma (napˇ r. m˚ užeme zjistit, že jsme pro urˇ citou službu definovali zbyteˇ cnˇ e velkou ˇ cást pásma). Lokální komunikace se nezaznamenává.
12.4 Jak funguje detekce spojení pˇ renášejících velký objem dat? ˇ V této kapitole uvádíme popis zp˚ usobu, jakým modul Rízení šíˇ rky pásma detekuje spojení pˇ renášející velké objemy dat. Tento popis slouží pouze jako doplˇ nující informace — pro konfiguraci ˇ rízení šíˇ rky pásma není znalost principu detekce nutná. Sít’ová komunikace každé služby má specifický pr˚ ubˇ eh. Napˇ r. WWW prohlížeˇ c typicky pˇ ri pˇ rístupu na stránku otevˇ re jedno nebo více spojení, pˇ renese jimi urˇ cité množství dat (jednotlivé objekty na stránce) a tato spojení uzavˇ re. Terminálové služby (napˇ r. Telnet, SSH apod.) mají obvykle otevˇ rené spojení, kterým se pˇ renáší malé množství dat s velkými prodlevami. Pro pˇ renos velkých soubor˚ u je typický kontinuální tok dat s minimálními prodlevami. U každého spojení se vyhodnocují dva parametry: objem pˇ renesených dat a délka nejvˇ etší prodlevy. Pokud je spojením pˇ renesen stanovený objem dat, aniž by nastala prodleva o stanovené minimální délce, je toto spojení považováno za pˇ renos velkého objemu dat a budou na nˇ ej aplikována pˇ ríslušná omezení. Je-li zaznamenána prodleva delší než stanovená hodnota, pak se vynuluje ˇ cítaˇ c objemu pˇ renesených dat a poˇ cínaje dalším blokem dat probíhá další vyhodnocování výše popsaným zp˚ usobem. Z toho vyplývá, že za pˇ renos velkého objemu dat je považováno každé takové spojení, které kdykoliv vykáže uvedené charakteristiky. Parametry detekce jsou následující: spojením musí být pˇ reneseno alespoˇ n 200 KB dat, aniž by nastala prodleva alespoˇ n 5 sec. Tyto hodnoty byly stanoveny optimálnˇ e na základˇ e dlouhodobého testování a nelze je mˇ enit.
Pˇ ríklady Pro snazší pochopení principu detekce spojení pˇ renášejících velký objem dat uvádíme nˇ ekolik typických pˇ ríklad˚ u. 1.
Spojení na obrázku 12.1 je po pˇ renesení tˇ retího bloku dat považováno za pˇ renos velkého souboru. V tomto okamžiku je spojením pˇ reneseno 200 KB dat a nejdelší zaznamenaná prodleva je pouze 3 sec.
Obrázek 12.1
Pˇ ríklad spojení — krátké prodlevy
112
12.4 Jak funguje detekce spojení pˇ renášejících velký objem dat?
2.
Spojení na obrázku 12.2 není považováno za pˇ renos velkého souboru, protože po pˇ renesení 150 KB dat nastala prodleva 5 sec a pak již tímto spojením bylo pˇ reneseno pouze 150 KB dat.
Obrázek 12.2
3.
Pˇ ríklad spojení — dlouhá prodleva
ˇ c Spojením na obrázku 12.3 je pˇ reneseno 100 KB dat, naˇ cež nastává prodleva 6 sec. Cítaˇ objemu pˇ renesených dat se tedy nuluje. Dále jsou pˇ reneseny tˇ ri bloky dat o velikosti 100 KB. Po pˇ renesení tˇ retího bloku dat je zaznamenáno 200 KB pˇ renesených dat (od poslední dlouhé prodlevy). Protože mezi druhým a tˇ retím blokem je prodleva pouze 3 sec, je spojení po pˇ renesení tˇ retího bloku dat vyhodnoceno jako pˇ renos velkého souboru.
Obrázek 12.3
Pˇ ríklad spojení — dlouhá prodleva na zaˇ cátku
113
Kapitola 13
Ovˇ eˇ rování uživatel˚ u
Kerio Control umožˇ nuje kontrolu pˇ rístupu (filtrování paket˚ u/spojení, WWW stránek a FTP objekt˚ u a pˇ ríkaz˚ u) také na základˇ e uživatel˚ u a/nebo skupin. Uživatelské jméno ve filtrovacím pravidle má význam IP adresy poˇ cítaˇ ce, z nˇ ehož je tento uživatel pˇ rihlášen (resp. všech poˇ cítaˇ cu ˚, z nichž je v daném okamžiku pˇ rihlášen). Analogicky skupina uživatel˚ u má význam IP adres všech poˇ cítaˇ cu ˚, ze kterých jsou právˇ e pˇ rihlášeni ˇ clenové této skupiny. Kromˇ e omezování pˇ rístupu lze pˇ rihlašování uživatel˚ u využít také pro sledování jejich aktivit (viz kapitola 23), v záznamech (viz kapitola 24), pˇ rehledu otevˇ rených spojení (viz kapitola 21.3) a pˇ rehledu poˇ cítaˇ cu ˚ a uživatel˚ u (viz kapitola 21.2). Není-li z urˇ citého poˇ cítaˇ ce pˇ rihlášen žádný uživatel, objeví se v záznamech a pˇ rehledech pouze IP adresa tohoto poˇ cítaˇ ce. Ve statistikách bude komunikace tohoto poˇ cítaˇ ce zahrnuta do skupiny nepˇ rihlášení uživatelé.
13.1 Ovˇ eˇ rování uživatel˚ u na firewallu Ovˇ eˇ rit na firewallu se m˚ uže každý uživatel, který má v Kerio Control vytvoˇ ren uživatelský úˇ cet (bez ohledu na pˇ rístupová práva). Uživatel se m˚ uže k firewallu pˇ rihlásit tˇ emito zp˚ usoby: • Ruˇ cnˇ e — ve svém prohlížeˇ ci otevˇ re WWW rozhraní Kerio Control https://server:4081/ nebo http://server:4080/ (jméno serveru je pouze ilustrativní — viz kapitola 14). Alternativou je pˇ rihlášení k prohlížení webových statistik (viz kapitola 23) na adrese https://server:4081/star nebo http://server:4080/star Poznámka: Pˇ rihlášením do rozhraní Administration na adrese https://server:4081/admin nebo http://server:4080/admin k ovˇ eˇ rení uživatele na firewallu nedochází! • Automaticky — každému uživateli mohou být pˇ riˇ razeny IP adresy poˇ cítaˇ cu ˚, ze kterých bude automaticky ovˇ eˇ rován. V praxi to znamená, že pˇ ri detekci komunikace z pˇ ríslušného poˇ cítaˇ ce Kerio Control pˇ redpokládá, že na nˇ em pracuje odpovídající uživatel, a považuje jej za pˇ rihlášeného z této IP adresy. Uživatel se samozˇ rejmˇ e m˚ uže pˇ rihlásit i z jiných poˇ cítaˇ cu ˚ (nˇ ekterou z výše uvedených metod). IP adresy pro automatické ovˇ eˇ rování lze nastavit v definici uživatelského úˇ ctu (viz kapitola 18.1).
114
13.1 Ovˇ eˇ rování uživatel˚ u na firewallu
Tento zp˚ usob ovˇ eˇ rování není vhodný pro pˇ rípady, kdy na jednom poˇ cítaˇ ci pracují stˇ rídavˇ e r˚ uzní uživatelé (mohlo by snadno dojít ke zneužití identity automaticky pˇ rihlášeného uživatele). • Pˇ resmˇ erováním pˇ ri pˇ rístupu na WWW stránky (pokud není na konkrétní stránku explicitnˇ e povolen pˇ rístup nepˇ rihlášeným uživatel˚ um — viz kapitola 15.2). Pˇ rihlášení pˇ resmˇ erováním probíhá následovnˇ e: uživatel zadá do prohlížeˇ ce adresu stránky, kterou chce navštívit. Kerio Control zjistí, že uživatel dosud není pˇ rihlášen, a automaticky jej pˇ resmˇ eruje na pˇ rihlašovací stránku. Po úspˇ ešném pˇ rihlášení je uživatel ihned pˇ resmˇ erován na požadovanou stránku nebo se zobrazí stránka s informací, že na tuto stránku má pˇ rístup zakázán. • Prostˇ rednictvím NTLM — je-li použit prohlížeˇ c Internet Explorer nebo Firefox/SeaMonkey a uživatel se ovˇ eˇ ruje v doménˇ e Windows NT nebo Active Directory, pak m˚ uže být ovˇ eˇ ren zcela automaticky (pˇ rihlašovací stránka se v˚ ubec nezobrazí). Podrobnosti viz kapitola 27.4.
Upˇ resˇ nující parametry pro ovˇ eˇ rování uživatel˚ u V sekci Uživatelé a skupiny → Domény a pˇ rihlašování uživatel˚ u, záložka Volby pro ovˇ eˇ rování , lze nastavit parametry pro pˇ rihlašování a odhlašování uživatel˚ u na/z firewall. Pˇ resmˇ erování na pˇ rihlašovací stránku Po zapnutí volby Pˇ ri pˇ rístupu na WWW stránky vždy vyžadovat ovˇ eˇ rení uživatele bude vyžadováno ovˇ eˇ rení uživatele pˇ ri pˇ rístupu na libovolnou WWW stránku (pokud není dosud pˇ rihlášen). Vyžádání ovˇ eˇ rení se liší podle zp˚ usobu, jakým WWW prohlížeˇ c pˇ ristupuje do Internetu: • Pˇ rímý pˇ rístup — prohlížeˇ c bude automaticky pˇ resmˇ erován na pˇ rihlašovací stránku WWW rozhraní Kerio Control (viz kapitola 14.2) a po úspˇ ešném pˇ rihlášení na požadovanou WWW stránku. • Pˇ rístup pˇ res proxy server v Kerio Control — prohlížeˇ c nejprve zobrazí pˇ rihlašovací dialog, a teprve po úspˇ ešném pˇ rihlášení požadovanou WWW stránku. Bude-li volba Pˇ ri pˇ rístupu na WWW stránky vždy vyžadovat ovˇ eˇ rení uživatele vypnuta, pak bude ovˇ eˇ rení uživatele vyžadováno pouze pˇ ri pˇ rístupu na WWW stránky, na které není pravidly pro URL povolen pˇ rístup nepˇ rihlášeným uživatel˚ um (viz kapitola 15.2). Poznámka: Ovˇ eˇ rení uživatele má význam nejen pro ˇ rízení pˇ rístupu na WWW stránky (pˇ rípadnˇ e k dalším službám), ale také pro sledování aktivit jednotlivých uživatel˚ u — využívání Internetu není anonymní. Vyžadovat ovˇ eˇ rení na netransparentním proxy serveru Za normálních okolností, pokud se uživatel k firewallu pˇ rihlásí z urˇ citého poˇ cítaˇ ce, pak je považován za ovˇ eˇ reného z IP adresy tohoto poˇ cítaˇ ce až do okamžiku, kdy se odhlásí nebo kdy je automaticky odhlášen pˇ ri neˇ cinnosti (viz níže). Pokud však klientský poˇ cítaˇ c 115
Ovˇ eˇ rování uživatel˚ u
umožˇ nuje práci více uživatel˚ u souˇ casnˇ e (napˇ r. Microsoft Terminal Services, Citrix Presentation Server nebo Rychlé pˇ repínání uživatel˚ u v systémech Windows XP, Windows Server 2003, Windows Vista a Windows Server 2008 ), pak bude firewall vyžadovat ovˇ eˇ rení pouze po uživateli, který zaˇ cal pracovat jako první. Ostatní uživatelé pak budou vystupovat pod jeho identitou. Pro služby HTTP a HTTPS lze toto technické omezení obejít. Ve WWW prohlížeˇ cích všech klient˚ u víceuživatelského systému nastavíme pˇ rístup do Internetu pˇ res proxy server ve Kerio Control (podrobnosti viz kapitola 11.5) a v Kerio Control zapneme volbu Povolit ovˇ eˇ rování na netransparentním proxy serveru. Proxy server pak bude vyžadovat ovˇ eˇ rení 6 uživatele pˇ ri zahájení každé nové relace prohlížeˇ ce . Vyžadování ovˇ eˇ rení uživatele na proxy serveru pˇ ri zahájení každé nové relace m˚ uže být však obtˇ ežující pro uživatele pracující na „jednouživatelských “ poˇ cítaˇ cích. Proto je vhodné omezit vyžadování ovˇ eˇ rení v každé relaci pouze na poˇ cítaˇ ce, o kterých víme, že na nich pracuje více uživatel˚ u. K tomuto úˇ celu slouží volba Aplikovat pouze na tyto IP adresy. Automatické ovˇ eˇ rování (NTLM) Pˇ ri použití prohlížeˇ ce Internet Explorer nebo Firefox/SeaMonkey m˚ uže být uživatel ovˇ eˇ rován na firewallu automaticky metodou NTLM. V praxi to znamená, že prohlížeˇ c nepožaduje zadání uživatelského jména a hesla a použije identitu uživatele pˇ rihlášeného do systému Windows. V jiných operaˇ cních systémech metoda NTLM bohužel není k dispozici. Podrobnosti naleznete v kapitole 27.4. Automatické odhlášení uživatele pˇ ri neˇ cinnosti ˇ V položce Casový limit lze nastavit dobu (v minutách), po níž dojde k automatickému odhlášení uživatele od firewallu, jestliže z jeho poˇ cítaˇ ce není zaznamenána žádná komunikace. Výchozí hodnota je 120 minut (2 hodiny). Popsaná situace nastává zpravidla v pˇ rípadech, kdy se uživatel zapomene od firewallu odhlásit, a proto nedoporuˇ cujeme tuto volbu vypínat — mohlo by totiž dojít k tomu, že získaná pˇ rístupová práva budou zneužita jiným uživatelem (pˇ riˇ cemž bude ve všech záznamech figurovat jméno uživatele, který se zapomnˇ el odhlásit).
6
Relace (angl. session, nˇ ekdy též pˇ rekládáno jako sezení ) je období bˇ ehu jedné instance prohlížeˇ ce. Napˇ r. v pˇ rípadˇ e prohlížeˇ cu ˚ Internet Explorer, Firefox nebo Google Chrome relace zaniká po uzavˇ rení všech otevˇ rených oken prohlížeˇ ce, zatímco u prohlížeˇ ce SeaMonkey relace zaniká až po ukonˇ cení programu Rychlé spuštˇ ení (ikona v oznamovací oblasti nástrojové lišty).
116
Kapitola 14
WWW rozhraní
Kerio Control obsahuje speciální WWW server, který poskytuje rozhraní pro správu firewallu prostˇ rednictvím WWW prohlížeˇ ce (Kerio Control Administration), pro prohlížení statistik a pro nastavení nˇ ekterých parametr˚ u uživatelského úˇ ctu. Pˇ rístup k WWW rozhraní je zabezpeˇ cen protokolem SSL, aby nemohlo dojít k odposlechu sít’ové komunikace a odcizení uživatelských hesel a dalších citlivých informací. WWW rozhraní firewallu otevˇ reme zadáním následujícího URL (server má význam jména nebo IP adresy poˇ cítaˇ ce s Kerio Control a 4081 je port WWW rozhraní): https://server:4081/ K dispozici je také nezabezpeˇ cené WWW rozhraní na portu 4080: http://server:4080/ Ve výchozím nastavení je nezabezpeˇ cené WWW rozhraní dostupné pouze na samotném firewallu na lokální zpˇ etnovazební adrese (localhost, typicky 127.0.0.1). Pˇ ri pˇ rístupu na port 4080 z jiného poˇ cítaˇ ce dojde k automatickému pˇ resmˇ erování na zabezpeˇ cené WWW rozhraní (https://server:4081/). Toto chování lze zmˇ enit v sekci Konfigurace → Další volby, záložka WWW rozhraní (viz kapitola 14.1). Porty WWW rozhraní nelze zmˇ enit. Tato kapitola se zabývá konfigurací WWW rozhraní v administraˇ cním programu Kerio Control. Uživatelské WWW rozhraní je podrobnˇ e popsáno v manuálu Kerio Control — Pˇ ríruˇ cka uživatele.
14.1 Informace o WWW rozhraní a nastavení certifikátu WWW rozhraní Kerio Control lze nastavit v sekci Konfigurace → Další volby, záložka WWW rozhraní . V horní ˇ cásti záložky jsou uvedeny odkazy na zabezpeˇ cené verze uživatelského WWW rozhraní firewallu a rozhraní pro správu (Kerio Control Administration). V dolní ˇ cásti lze získat informace o SSL certifikátu zabezpeˇ ceného WWW rozhraní a pˇ rípadnˇ e tento certifikát zmˇ enit. Vypnutím volby Použít zabezpeˇ cené pˇ ripojení lze povolit pˇ rístup k nezabezpeˇ cenému WWW rozhraní (vˇ cetnˇ e rozhraní pro správu) z libovolného poˇ cítaˇ ce. Z bezpeˇ cnostních d˚ uvod˚ u však doporuˇ cujeme tuto volbu nevypínat a vždy používat zabezpeˇ cené WWW rozhraní.
117
WWW rozhraní
SSL certifikát pro WWW rozhraní Princip zabezpeˇ ceného WWW rozhraní Kerio Control spoˇ cívá v tom, že se celé spojení mezi klientem a serverem šifruje, aby bylo zabránˇ eno odposlechu a zneužití pˇ renášených informací. Protokol SSL, který je k tomuto úˇ celu využit, používá nejprve asymetrickou šifru pro výmˇ enu symetrického šifrovacího klíˇ ce, kterým se pak šifrují vlastní pˇ renášená data. Asymetrická šifra používá dva klíˇ ce: veˇ rejný pro šifrování a privátní pro dešifrování. Jak už jejich názvy napovídají, veˇ rejný (šifrovací) klíˇ c má k dispozici kdokoliv, kdo chce navázat se serverem spojení, zatímco privátní (dešifrovací) klíˇ c má k dispozici pouze server a musí z˚ ustat utajen. Klient ale také potˇ rebuje mít možnost, jak si ovˇ eˇ rit identitu serveru (zda je to skuteˇ cnˇ e on, zda se za nˇ ej pouze nˇ ekdo nevydává). K tomu slouží tzv. certifikát. Certifikát v sobˇ e obsahuje veˇ rejný klíˇ c serveru, jméno serveru, dobu platnosti a nˇ ekteré další údaje. Aby byla zaruˇ cena pravost certifikátu, musí být ovˇ eˇ ren a podepsán tˇ retí stranou, tzv. certifikaˇ cní autoritou. Komunikace mezi klientem a serverem pak vypadá následovnˇ e: Klient vygeneruje klíˇ c pro symetrickou šifru a zašifruje ho veˇ rejným klíˇ cem serveru (ten získá z certifikátu serveru). Server jej svým privátním klíˇ cem (který má jen on) dešifruje. Tak znají symetrický klíˇ c jen oni dva a nikdo jiný. Tento klíˇ c se pak použije pro šifrování a dešifrování veškeré další komunikace.
Import nebo vytvoˇ rení SSL certifikátu Pˇ ri instalaci Kerio Control je automaticky vytvoˇ ren testovací certifikát pro zabezpeˇ cené WWW rozhraní (certifikát je uložen v podadresᡠri sslcert instalaˇ cního adresᡠre Kerio Control v souboru server.crt, odpovídající privátní klíˇ c v souboru server.key). Vytvoˇ rený certifikát je unikátní, je však vystaven na fiktivní jméno serveru a není vydán d˚ uvˇ eryhodnou certifikaˇ cní autoritou. Tento certifikát slouží pouze k zajištˇ ení funkce zabezpeˇ ceného WWW rozhraní (typicky pro zkušební úˇ cely) do chvíle, než vytvoˇ ríte nový certifikát nebo importujete certifikát vystavený veˇ rejnou certifikaˇ cní autoritou. Po stisknutí tlaˇ cítka Zmˇ enit SSL certifikát (v dialogu pro nastavení upˇ resˇ nujících parametr˚ u WWW rozhraní) se zobrazí dialog s aktuálním certifikátem serveru. Volbou Pole (položka certifikátu) lze zobrazit údaje bud’ o vydavateli certifikátu nebo o subjektu — tedy vašem serveru. Vlastní originální certifikát, který bude skuteˇ cnˇ e prokazovat identitu vašeho serveru, m˚ užete získat dvˇ ema zp˚ usoby. M˚ užete si vytvoˇ rit vlastní, tzv. self-signed certifikát („podepsaný sám sebou“). To lze provést stisknutím tlaˇ cítka Vytvoˇ rit certifikát v dialogu, kde se zobrazuje aktuální certifikát serveru. V dialogu, který se zobrazí, je tˇ reba vyplnit údaje o serveru a vaší spoleˇ cnosti. Povinné jsou pouze položky oznaˇ cené hvˇ ezdiˇ ckou (*). Po stisknutí tlaˇ cítka OK se novˇ e vytvoˇ rený certifikát zobrazí v dialogu SSL certifikát serveru a ihned se zaˇ cne používat (není tˇ reba nic restartovat). Vytvoˇ rený certifikát bude uložen do souboru server.crt a odpovídající privátní klíˇ c do souboru server.key. 118
14.2 Pˇ rihlašování uživatel˚ u k WWW rozhraní
Vytvoˇ rený certifikát je originální a je vystaven vaší firmou vaší firmˇ e na jméno vašeho serveru (self-signed certifikát — certifikujete sami sebe). Narozdíl od testovacího certifikátu, tento certifikát již zajišt’uje vašim klient˚ um bezpeˇ cnost, protože je unikátní a prokazuje identitu vašeho serveru. Klienti budou ve svých prohlížeˇ cích upozornˇ eni již pouze na to, že certifikát nevystavila d˚ uvˇ eryhodná certifikaˇ cní autorita. Protože však vˇ edí, kdo tento certifikát vytvoˇ ril a proˇ c, mohou si jej do prohlížeˇ ce nainstalovat. Tím mají zajištˇ enu bezpeˇ cnou komunikaci a žádné varování se jim již zobrazovat nebude, protože váš certifikát nyní splˇ nuje všechny potˇ rebné náležitosti. Druhou možností je zakoupit plnohodnotný certifikát od nˇ ekteré veˇ rejné certifikaˇ cní autority (napˇ r. Verisign, Thawte, SecureSign, SecureNet, Microsoft Authenticode apod.). Pˇ ri importu certifikátu je tˇ reba naˇ císt soubor s certifikátem (*.crt) a odpovídající privátní klíˇ c (*.key). Tyto soubory Kerio Control uloží do podadresᡠre sslcert ve svém instalaˇ cním adresᡠri. Pr˚ ubˇ eh certifikace je pomˇ ernˇ e složitý a vyžaduje urˇ cité odborné znalosti. Jeho popis je nad rámec tohoto manuálu.
14.2 Pˇ rihlašování uživatel˚ u k WWW rozhraní Pˇ ri pˇ rístupu k WWW rozhraní Kerio Control je vyžadováno ovˇ eˇ rení uživatele. Do WWW rozhraní se m˚ uže pˇ rihlásit každý uživatel, který má v Kerio Control vytvoˇ ren uživatelský úˇ cet. V závislosti na nastavení statistik (viz kapitola 23.2) se po pˇ rihlášení uživateli zobrazí jeho statistiky nebo stránka se stavovými informacemi a osobními pˇ redvolbami. Pˇ ri použití úˇ ct˚ u z více než jedné domény (viz kapitola 18.4) platí pro uživatelské jméno tato pravidla: • Lokální uživatelský úˇ cet — jméno musí být zadáno bez domény (napˇ r. admin), • Primární doména — jméno m˚ uže být zadáno bez domény (napˇ r. jnovak) nebo s doménou (napˇ r. [email protected]), • Ostatní domény — jméno musí být zadáno vˇ cetnˇ e domény (napˇ r. [email protected]). Není-li mapována žádná nebo je-li mapována pouze jedna doména, mohou se všichni uživatelé pˇ rihlašovat uživatelským jménem bez domény. Poznámka: Pˇ rihlášení do WWW rozhraní je základní zp˚ usob ovˇ eˇ rení uživatele na firewallu. Další zp˚ usoby ovˇ eˇ rování uživatel na firewallu jsou popsány v kapitole 13.1.
119
Kapitola 15
Filtrování protokol˚ u HTTP a FTP
Kerio Control poskytuje velmi rozsáhlé možnosti filtrování komunikace protokoly HTTP a FTP. Tyto protokoly patˇ rí k nejrozšíˇ renˇ ejším a nejpoužívanˇ ejším protokol˚ um v Internetu. Mezi hlavní d˚ uvody filtrování obsahu HTTP a FTP patˇ rí: • zamezit uživatel˚ um v pˇ rístupu na nevhodné WWW stránky (napˇ r. stránky, které nesouvisejí s pracovní náplní zamˇ estnanc˚ u firmy) • zamezit pˇ renosu urˇ citých typ˚ u soubor˚ u (napˇ r. nelegální obsah) • zabránit ˇ ci omezit šíˇ rení vir˚ u, ˇ cerv˚ u a trojských koní Podívejme se podrobnˇ eji na možnosti filtrování, které Kerio Control nabízí. Jejich podrobný popis najdete v následujících kapitolách. Protokol HTTP — filtrování WWW stránek: • omezování pˇ rístupu podle URL (resp. podˇ retˇ ezce obsaženého v URL) • blokování urˇ citých prvk˚ u HTML (napˇ r. skripty, objekty ActiveX apod.) • filtrování na základˇ e ohodnocení modulem Kerio Control Web Filter (celosvˇ etová databáze klasifikací WWW stránek) • omezování pˇ rístupu na stránky obsahující urˇ citá slova • antivirová kontrola stahovaných objekt˚ u Protokol FTP — kontrola pˇ rístupu na FTP servery: • • • • •
úplný zákaz pˇ rístupu na zadané FTP servery omezení podle jména souboru omezení pˇ renosu soubor˚ u na jeden smˇ er (napˇ r. pouze download) blokování urˇ citých pˇ ríkaz˚ u protokolu FTP antivirová kontrola pˇ renášených soubor˚ u
Poznámka: Kerio Control nabízí pouze nástroje pro filtrování a omezování pˇ rístupu. Rozhodnutí, jaké WWW stránky a soubory mají být blokovány, musí uˇ cinit správce Kerio Control (pˇ rípadnˇ e jiná kompetentní osoba).
120
15.1 Podmínky pro filtrování HTTP a FTP
15.1 Podmínky pro filtrování HTTP a FTP Pro ˇ cinnost filtrování obsahu protokol˚ u HTTP a FTP musí být splnˇ eny tyto základní podmínky: 1.
Komunikace musí být obsluhována pˇ ríslušným inspekˇ cním modulem. Potˇ rebný inspekˇ cní modul je aktivován automaticky, pokud není komunikaˇ cními pravidly explicitnˇ e urˇ ceno, že nemá být pro danou komunikaci použit. Podrobnosti najdete v kapitole 9.3.
2.
Kerio Control umožˇ nuje filtrovat i šifrovanou komunikaci (protokol HTTPS). Lze však povolovat nebo blokovat pˇ rístup na celé servery, nikoliv již na jednotlivé stránky na nich.
3.
Zabezpeˇ cenou FTP komunikaci (protokolem FTPS) není možné filtrovat. Protokol FTP rovnˇ ež nelze filtrovat pˇ ri použití zabezpeˇ ceného pˇ rihlášení (SASO).
4.
Pravidla pro HTTP i FTP se aplikují také pˇ ri použití proxy serveru v Kerio Control (pak je podmínka 1. irelevantní). Protokol FTP však nelze filtrovat, pokud je použit nadˇ razený proxy server (podrobnosti viz kapitola 11.5). V takovém pˇ rípadˇ e jsou pravidla pro FTP neaktivní.
5.
Pˇ ri použití proxy serveru (viz kapitola 11.5) je možné filtrovat také HTTPS servery (pˇ ríklad: https://secure.kerio.cz/). Jednotlivé objekty na tˇ echto serverech však již filtrovat nelze.
15.2 Pravidla pro URL Pravidla pro URL umožˇ nují ˇ rídit pˇ rístup uživatel˚ u k WWW stránkám, jejichž URL vyhovují urˇ citým kritériím. Doplˇ nkovými funkcemi je filtrování stránek dle výskytu zakázaných slov, specifické blokování prvk˚ u WWW stránek (skripty, aktivní objekty atd.) a možnost vypnutí antivirové kontroly pro urˇ cité stránky. K definici pravidel pro URL slouží stejnojmenná záložka v sekci Konfigurace → Filtrování obsahu → Pravidla pro HTTP. Pravidla v této sekci jsou vždy procházena shora dol˚ u (poˇ radí lze upravit tlaˇ cítky se šipkami na pravé stranˇ e okna). Vyhodnocování se zastaví na prvním pravidle, kterému dané URL vyhoví. Pokud URL nevyhoví žádnému pravidlu, je pˇ rístup na stránku povolen (implicitnˇ e vše povoleno). Poznámka: Pˇ rístup k URL, pro které neexistuje odpovídající pravidlo, je povolen všem pˇ rihlášeným uživatel˚ um (implicitnˇ e vše povoleno). Chceme-li povolit pˇ rístup pouze k omezené skupinˇ e stránek a všechny ostatní stránky blokovat, je tˇ reba na konec seznamu umístit pravidlo zakazující pˇ rístup k libovolnému URL.
121
Filtrování protokol˚ u HTTP a FTP
V záložce Pravidla pro URL mohou být zobrazeny tyto sloupce: • Popis — textový popis pravidla (pro zvýšení pˇ rehlednosti). Zaškrtávací pole vlevo od popisu pravidla umožˇ nuje pravidlo „zapnout“ a „vypnout“ (napˇ r. v pˇ rípadˇ e, kdy má být pravidlo doˇ casnˇ e vyˇ razeno). • Akce — akce, která bude provedena pˇ ri splnˇ ení podmínek tohoto pravidla (Povolit — povolit pˇ rístup na stránku, Zakázat — zakázat pˇ rístup na stránku a zobrazit informaci o zákazu, Zahodit — zakázat pˇ rístup na stránku a zobrazit prázdnou stránku, Pˇ resmˇ erovat — pˇ resmˇ erovat na stránku uvedenou v pravidle). • Podmínka — podmínka, za které pravidlo platí (URL vyhovuje urˇ citým kritériím, stránka je klasifikována modulem Kerio Control Web Filter do urˇ cité kategorie atd.). • Vlastnosti — upˇ resˇ nující volby v pravidle (napˇ r. antivirová kontrola, filtrování zakázaných slov atd.). • Skupina IP adres — skupina IP adres, pro kterou pravidlo platí. Jedná se o IP adresy klient˚ u (tj. pracovních stanic uživatel˚ u, kteˇ rí pˇ res Kerio Control pˇ ristupují k WWW stránkám). ˇ • Casová platnost — ˇ casový interval, ve kterém pravidlo platí. • Seznam uživatel˚ u — výˇ cet uživatel˚ u a skupin uživatel˚ u, na které se pravidlo vztahuje. Poznámka: Výchozí instalace Kerio Control obsahuje nˇ ekolik pˇ reddefinovaných pravidel pro URL. Tato pravidla jsou ve výchozím nastavení „vypnuta“. Správce firewallu je m˚ uže použít, pˇ rípadnˇ e upravit dle vlastního uvážení.
Definice pravidel pro URL Chceme-li pˇ ridat nové pravidlo, oznaˇ címe v tabulce pravidlo, pod které má být nové pravidlo vloženo, a stiskneme tlaˇ cítko Pˇ ridat. Šipkovými tlaˇ cítky na pravé stranˇ e okna lze poˇ radí pravidel dodateˇ cnˇ e upravit. Dvojitým kliknutím na jednotlivé položky (sloupce) nastavíme požadované parametry pravidla. Jméno Název/popis pravidla (pro lepší orientaci). Akce, Vlastnosti Akce pro stránky vyhovující tomuto pravidlu a doplˇ nující nastavení pro vybranou akci: • Povolit — povolení pˇ rístupu, uživatel nic nezaznamená. Pro stránky s povoleným pˇ rístupem lze nastavit tyto doplˇ nkové kontroly / omezení: 122
15.2 Pravidla pro URL
• Filtrovat z HTML kódu Java applety (filtrování všech element˚ u