1 Příručka administrátora Kerio Technologies2 C Kerio Technologies. Všechna práva vyhrazena. Datum vydání: 11. června 2004 Tento produkt obsahuje násl...
C 2001-2004 Kerio Technologies. Všechna práva vyhrazena.
Datum vydání: 11. ˇ cervna 2004 Tento produkt obsahuje následující knihovny volnˇ e šiˇ ritelné ve formˇ e zdrojových kód˚ u (open-source): libiconv Knihovna pro konverzi kódování znak˚ u s použitím konverze z/do Unicode. Copyright (c)1999-2003 Free Software Foundation, Inc. Autor: Bruno Haible ([email protected]) OpenLDAP Volnˇ e šiˇ ritelná implementace protokolu LDAP (Lightweight Directory Access Protocol). Copyright (c)1998-2004 The OpenLDAP Foundation. OpenSSL Implementace protokol˚ u Secure Sockets Layer (SSL v2/v3) a Transport Layer Security (TLS v1). Tento produkt obsahuje software vyvinutý sdružením OpenSSL Project pro použití v OpenSSL Toolkit (http://www.openssl.org/). zlib Všestrannˇ e použitelná knihovna pro kompresi a dekompresi dat. Copyright (c)1995-2003 Jean-Loup Gailly and Mark Adler.
Tato kapitola obsahuje seznam krok˚ u, které je nutno provést, aby mohl Kerio WinRoute Firewall (dále jen WinRoute) okamžitˇ e sloužit pro sdílení internetového pˇ ripojení a ochranu vaší lokální sítˇ e. Podrobný postup rychlé instalace a konfigurace naleznete v samostatném manuálu WinRoute — Konfigurace krok za krokem. Nebudete-li si jisti nˇ ekterým nastavením WinRoute, jednoduše vyhledejte pˇ ríslušnou kapitolu v tomto manuálu. Informace týkající se internetového pˇ ripojení (IP adresa, výchozí brána, DNS server atd.) vám sdˇ elí váš poskytovatel Internetu. Poznámka: V následujícím textu je termínem firewall oznaˇ cován poˇ cítaˇ c, kde je WinRoute nainstalován (resp. kam má být nainstalován). 1.
Firewall musí mít alespoˇ n dvˇ e rozhraní — jedno pˇ ripojené do lokální sítˇ e (napˇ r. sít’ová karta Ethernet nebo Token Ring) a jedno pˇ ripojené do Internetu (napˇ r. analogový modem, ISDN adaptér, sít’ová karta nebo DirecPC adaptér). Na obou (resp. všech) rozhraních musí být správnˇ e nastaveny parametry TCP/IP. Pˇ red zahájením instalace WinRoute provˇ eˇ rte komunikaci s poˇ cítaˇ ci v lokální síti a funkˇ cnost internetového pˇ ripojení. Tímto testem si ušetˇ ríte mnoho problém˚ u pˇ ri pozdˇ ejším ladˇ ení konfigurace a hledání chyb.
2.
Spust’te instalaci WinRoute. V pr˚ uvodci poˇ cáteˇ cní konfugurací zadejte uživatelské jméno a heslo pro pˇ rístup ke správˇ e (podrobnosti viz kapitoly 2.3 a 2.7).
3.
Nastavte základní komunikaˇ cní pravidla pomocí Pr˚ uvodce komunikaˇ cními pravidly (viz kapitola 5.1).
4.
Zapnˇ ete DHCP server a nastavte požadované rozsahy IP adres vˇ cetnˇ e parametr˚ u (maska subsítˇ e, výchozí brána, adresa DNS serveru, pˇ ríp. jméno domény). Podrobnosti viz kapitola 4.4.
5.
Zkontrolujte nastavení DNS Forwarderu. Chcete-li prohledávat soubor hosts a/nebo tabulky DHCP serveru, nezapomeˇ nte uvést lokální DNS doménu. Podrobnosti viz kapitola 4.3.
6.
Vytvoˇ rte nebo importujte uživatelské úˇ cty a skupiny, nastavte požadovaná pˇ rístupová práva a zaˇ rad’te úˇ cty do skupin. Podrobnosti viz kapitoly 10.1 a 10.4.
7
Kapitola 1 Rychlé nastavení
7.
Definujte skupiny IP adres (kap. 9.1), ˇ casové intervaly (kap. 9.2) a skupiny URL (kap. 9.4), které použijete pˇ ri definici pravidel (viz kap. 9.2).
8.
Vytvoˇ rte pravidla pro URL (kap. 6.1) a nastavte systém Cobion (kap. 11.4). Nastavte HTTP cache a automatickou konfiguraci prohlížeˇ cu ˚ (kap. 4.6). Definujte pravidla pro FTP (kap. 6.5).
9.
Vyberte antivirový program a nastavte typy objekt˚ u, které mají být kontrolovány. Jedná-li se o integrovaný antivirus McAfee, zkontrolujte a pˇ rípadnˇ e upravte nastavení automatické aktualizace. Poznámka: Externí antivirový program musí být nainstalován dˇ ríve, než jej ve WinRoute zvolíte.
10. Nastavte parametry TCP/IP sít’ového adaptéru každé klientské stanice v lokální síti jedním z následujících zp˚ usob˚ u: • Automatická konfigurace — zapnˇ ete volbu Získávat IP adresu automaticky (Obtain an IP address automatically). Nenastavujte žádné další parametry. • Ruˇ cní konfigurace — zadejte IP adresu, masku subsítˇ e, adresu výchozí brány, adresu DNS serveru a jméno lokální domény. Na každé stanici nastavte WWW prohlížeˇ c jedním z tˇ echto zp˚ usob˚ u: • Automatická konfigurace — zaškrtnˇ ete volbu Automaticky zjišt’ovat nastavení (Microsoft Internet Explorer) nebo zadejte URL pro automatickou konfiguraci (jiné typy prohlížeˇ cu ˚). Podrobnosti naleznete v kapitole 4.6. • Ruˇ cní konfigurace — zvolte pˇ ripojení lokální sítí, pˇ rípadnˇ e nastavte IP adresu a port proxy serveru (viz kapitola 4.5).
8
Kapitola 2
Úvod
2.1 Kerio WinRoute Firewall 6.0 WinRoute je komplexní nástroj pro pˇ ripojení lokální sítˇ e do Internetu a její ochranu proti pr˚ uniku zvenˇ cí. Je urˇ cen pro platformy Windows NT 4.0, 2000 a XP.
Základní vlastnosti WinRoute Transparentní pˇ rístup do Internetu Díky technologii NAT (Network Address Translation — pˇ reklad IP adres) je možné pˇ ripojit lokální privátní sít’ do Internetu pˇ res jedinou veˇ rejnou IP adresu (statickou i dynamickou). Narozdíl od klasického proxy serveru budou mít všechny poˇ cítaˇ ce plný pˇ rístup do Internetu a bude na nich možné provozovat vˇ etšinu bˇ ežných sít’ových aplikací, jako by se jednalo o veˇ rejnou sít’, která je souˇ cástí Internetu. Bezpeˇ cnost Integrovaný firewall ochrání celou lokální sít’ vˇ cetnˇ e poˇ cítaˇ ce, na nˇ emž je nainstalován. Nezáleží na tom, zda je použita funkce NAT (pˇ reklad IP adres) nebo zda je WinRoute nasazen jako „neutrální“ smˇ erovaˇ c mezi dvˇ ema sítˇ emi. WinRoute poskytuje ochranu srovnatelnou s mnohonásobnˇ e dražšími hardwarovými firewally. ˇízení pˇ R rístupu Veškerá bezpeˇ cnostní nastavení jsou ve WinRoute realizována prostˇ rednictvím tzv. komunikaˇ cních pravidel. Ta umožˇ nují nejen ochránit sít’ proti pr˚ uniku zvenˇ cí, ale také zpˇ rístupnit služby bˇ ežící na serverech uvnitˇ r chránˇ ené lokální sítˇ e (napˇ r. WWW server, poštovní server, FTP server atd.) z Internetu nebo naopak omezit pˇ rístup lokálních uživatel˚ u k urˇ citým službám v Internetu. Obsluha protokol˚ u (inspekˇ cní moduly) Nˇ ekteré aplikace komunikují netriviálním zp˚ usobem — napˇ r. vyžadují otevˇ rení dalšího spojení serverem zpˇ et na klienta, používají nestandardní komunikaˇ cní protokoly apod. Aby bylo možné za firewallem provozovat i takovéto aplikace, obsahuje WinRoute tzv. inspekˇ cní moduly, které rozpoznají pˇ ríslušný aplikaˇ cní protokol a dokáží dynamicky pˇ rizp˚ usobit chování firewallu (napˇ r. doˇ casné otevˇ rení spojení, které si aplikace vyžádala). Jako pˇ ríklad uved’me FTP v aktivním režimu, RealAudio nebo PPTP. Filtrování obsahu WinRoute umožˇ nuje sledovat obsah komunikace protokoly HTTP a FTP a blokovat objekty (stránky, pˇ resmˇ erování, nˇ ekteré prvky HTML atd.), které ne-
9
Kapitola 2 Úvod
vyhovují zadaným kritériím. Tato nastavení mohou být globální nebo specifická pro konkrétní uživatele. Konfigurace sítˇ e WinRoute obsahuje vestavˇ ený DHCP server, který automaticky nastaví parametry TCP/IP na všech poˇ cítaˇ cích (pracovních stanicích) ve vaší lokální síti. Veškeré parametry staˇ cí nastavit centrálnˇ e na serveru. Tím se jednak ušetˇ rí ˇ cas potˇ rebný ke zprovoznˇ ení sítˇ e a jednak sníží riziko možných chyb. Ke snadné konfiguraci DNS a zrychlení odpovˇ edí na DNS dotazy slouží modul DNS forwarder. Jedná se o jednoduchý DNS server (caching nameserver), který pˇ redává dotazy jinému DNS serveru. Získané odpovˇ edi ukládá do své vyrovnávací pamˇ eti (cache) — odezvy na opakované dotazy jsou tak mnohonásobnˇ e rychlejší. Ve spolupráci s DHCP serverem a systémovým souborem hosts m˚ uže zároveˇ n fungovat jako dynamický DNS server pro lokální doménu. Vzdálená správa Veškerá nastavení WinRoute se provádˇ ejí v oddˇ eleném programu Kerio Administration Console (univerzální administraˇ cní konzola pro serverové produkty firmy Kerio Technologies). Tento program m˚ uže být provozován jak pˇ rímo na poˇ cítaˇ ci, kde je WinRoute nainstalován, tak na libovolném jiném poˇ cítaˇ ci ve vaší lokální síti ˇ ci v Internetu. Komunikace mezi WinRoute a administraˇ cním programem je šifrována a nem˚ uže tedy dojít k jejímu odposlechu a zneužití. R˚ uzné operaˇ cní systémy v lokální síti WinRoute pracuje s protokoly standardu TCP/IP a z pohledu poˇ cítaˇ cu ˚ v lokální síti se chová jako standardní smˇ erovaˇ c. Na tyto poˇ cítaˇ ce není tˇ reba instalovat žádný speciální software, a m˚ uže zde být provozován libovolný operaˇ cní systém podporující TCP/IP (napˇ r. Windows, Unix/Linux, Mac OS atd.). Poznámka: WinRoute pracuje pouze s protokolovou sadou TCP/IP. Na funkci jiných protokol˚ u (napˇ r. IPX/SPX, NetBEUI, AppleTalk apod.) nemá žádný vliv.
Doplˇ nkové funkce Antivirová kontrola WinRoute m˚ uže provádˇ et antivirovou kontrolu pˇ renášených soubor˚ u, a to bud’ vestavˇ eným antivirem McAfee nebo externím antivirovým programem (napˇ r. NOD32, AVG atd.). Antivirovou kontrolu lze aplikovat na protokoly HTTP, FTP, SMTP a POP3. Upozorˇ nování e-mailem WinRoute m˚ uže zasílat e-mailem upozornˇ ení na urˇ cité události. Tato funkce zjednodušuje správu firewallu — administrátor se nemusí k WinRoute pravidelnˇ e pˇ rihlašovat a kontrolovat jeho stav. Všechna odeslaná upozornˇ ení se zároveˇ n ukládají do speciálního záznamu.
10
2.2 Konfliktní software
Uživatelské kvóty Každému uživateli lze nastavit denní a mˇ esíˇ cní limit objemu pˇ renesených dat, a to pro download, upload nebo oba smˇ ery. Pˇ ri pˇ rekroˇ cení nˇ ekteré kvóty bude uživateli na urˇ citou dobu zablokován pˇ rístup do Internetu. Volitelnˇ e lze uživateli také zaslat e-mail s upozornˇ ením. Blokování P2P sítí WinRoute dokáže detekovat a blokovat používání tzv. peer-to-peer sítí (sítˇ e pro sdílení soubor˚ u mezi uživateli — napˇ r. Kazaa, DirectConnect apod.). Statistiky V administraˇ cním programu WinRoute lze sledovat podrobné statistiky rozhraní firewallu (aktuální pˇ renosové rychlosti, objem pˇ renesených dat za urˇ citá období) a jednotlivých uživatel˚ u (objem pˇ renesených dat, využívání služeb, kategorie navštívených WWW stránek atd.). Proprietární VPN server a klient WinRoute obsahuje proprietární VPN ˇ rešení, které funguje v režimech server-to-server a client-to-server. Toto VPN ˇ rešení je navrženo tak, aby fungovalo s pˇ rekladem IP adres (i vícenásobným) na kterékoliv stranˇ e. Pro vytvᡠrení VPN typu client-to-server (pˇ ripojování vzdálených klient˚ u do lokální sítˇ e) je spoleˇ cnˇ e s WinRoute dodáván také klientský software — Kerio VPN Client.
2.2 Konfliktní software Poˇ cítaˇ c, na nˇ emž je WinRoute nainstalován, m˚ uže být rovnˇ ež využíván jako pracovní stanice (to ale není pˇ ríliš doporuˇ cováno — ˇ cinnost uživatele m˚ uže mít negativní vliv na chod operaˇ cního systému a tím i WinRoute). WinRoute m˚ uže být provozován spoleˇ cnˇ e s vˇ etšinou bˇ ežných aplikací. Existují však urˇ cité aplikace, které mohou vykazovat kolize, a nemˇ ely by proto být na tomtéž poˇ cítaˇ ci provozovány. Kolize nízkoúrovˇ nových ovladaˇ cu ˚ WinRoute vykazuje kolize s aplikacemi, jejichž nízkoúrovˇ nové ovladaˇ ce používají stejnou nebo podobnou technologii, což jsou zejména: • Aplikace pro sdílení Internetového pˇ ripojení — napˇ r. Microsoft Internet Connection Sharing (ICS — Sdílení internetového pˇ ripojení) (souˇ cást novˇ ejších verzí Windows), Microsoft Proxy Server a Microsoft Proxy Client apod. • Sít’ové firewally — napˇ r. Microsoft ISA Server, CheckPoint Firewall-1, WinProxy firmy Ositis, Sygate Office Network a Sygate Home Network apod.
11
Kapitola 2 Úvod
• Osobní firewally — napˇ r. Kerio Personal Firewall, Internet Connection Firewall (souˇ cást Windows XP), Zone Alarm, Sygate Personal Firewall, Norton Personal Firewall apod. • Software pro vytvᡠrení virtuálních privátních sítí (VPN) — napˇ r. firem CheckPoint, Cisco Systems, Nortel apod. Tˇ echto aplikací existuje celá ˇ rada a vyznaˇ cují se velmi specifickými vlastnostmi, které se liší u jednotlivých výrobc˚ u. Pokud to okolnosti dovolují, doporuˇ cujeme využít VPN ˇ rešení obsažené ve WinRoute (podrobnosti viz kapitola 12). V opaˇ cném pˇ rípadˇ e doporuˇ cujeme otestovat konkrétní VPN server ˇ ci VPN klienta se zkušební verzí WinRoute a pˇ rípadnˇ e kontaktovat technickou podporu firmy Kerio Technologies (viz http://www.kerio.cz/). Poznámka: Implementace VPN obsažená v operaˇ cním systému Windows (založená na protokolu PPTP firmy Microsoft) je ve WinRoute podporována. Kolize port˚ u Na poˇ cítaˇ ci, kde je WinRoute nainstalován, nemohou být provozovány aplikace, které využívají tytéž porty (nebo je tˇ reba konfiguraci port˚ u zmˇ enit). Pokud jsou zapnuty všechny služby, využívá WinRoute tyto porty: • 53/UDP — DNS Forwarder • 67/UDP — DHCP server • 1900/UDP — služba SSDP Discovery • 2869/TCP — služba UPnP Host Výše uvedené dvˇ e služby jsou souˇ cásti podpory protokolu UPnP (viz kapitola 11.6). • 44333/TCP+UDP — komunikace mezi programem Kerio Administration Console a WinRoute Firewall Engine. Tuto službu jako jedinou nelze vypnout. Následující služby používají uvedené porty ve výchozí konfiguraci. Porty tˇ echto služeb lze zmˇ enit. • 3128/TCP — HTTP proxy server (viz kapitola 4.5) • 4080/TCP — WWW administraˇ cní rozhraní (viz kapitola 8) • 4081/TCP — zabezpeˇ cená (SSL) verze WWW administraˇ cního rozhraní (viz kapitola 8) • 4090/TCP+UDP — proprietární VPN server (podrobnosti viz kapitola 12)
12
2.3 Instalace
Antivirové programy Je-li na poˇ cítaˇ ci s WinRoute nainstalován antivirový program, který provádí pr˚ ubˇ ežnou automatickou kontrolu soubor˚ u na disku, je tˇ reba z kontroly vylouˇ cit adresᡠr HTTP cache (viz kapitola 4.6, standardnˇ e podadresᡠr cache adresᡠre, kde je WinRoute nainstalován) a podadresᡠr tmp (používá se pro antivirovou kontrolu HTTP a FTP objekt˚ u). Jestliže je antivirová kontrola spouštˇ ena pouze ruˇ cnˇ e, nemusí být tyto adresᡠre z kontroly vylouˇ ceny — pak je ale nutné pˇ red spuštˇ ením antivirové kontroly zastavit WinRoute Firewall Engine (což nemusí být vždy vhodné). Poznámka: Pokud WinRoute využívá antivirový program pro kontrolu objekt˚ u stahovaných protokoly HTTP a FTP (viz kapitola 7.2), pak vylouˇ cení adresᡠre cache z kontroly soubor˚ u na disku nepˇ redstavuje žádnou hrozbu — soubory uložené v tomto adresᡠri jsou již antivirovým programem zkontrolovány.
2.3 Instalace
Systémové požadavky Minimální hardwarová konfigurace poˇ cítaˇ ce, na který má být WinRoute nainstalován: • CPU Intel Pentium II nebo kompatibilní; 300 MHz • 128 MB operaˇ cní pamˇ eti RAM • Dvˇ e sít’ová rozhraní (vˇ cetnˇ e vytᡠcených) • 50 MB diskového prostoru pro instalaci • Diskový prostor pro logy (dle intenzity provozu a zvolené úrovnˇ e logování) Instalaci je možné provést na tyto operaˇ cní systémy: • Windows 2000 • Windows XP • Windows Server 2003 Poznámka: Ve všech podporovaných operaˇ cních systémech musí být nainstalována sít’ová komponenta Klient sítˇ e Microsoft (Client for Microsoft Networks), jinak nebude možné provozovat WinRoute jako službu a nebude fungovat NTLM ovˇ eˇ rování uživatel˚ u. Ve standardních instalacích všech výše uvedených systém˚ u je tato komponenta obsažena.
13
Kapitola 2 Úvod
Kroky pˇ red spuštˇ ením instalace WinRoute by mˇ el být nainstalován na poˇ cítaˇ c, který tvoˇ rí bránu mezi lokální sítí a Internetem. Tento poˇ cítaˇ c musí obsahovat alespoˇ n jedno rozhraní pˇ ripojené do lokální sítˇ e (Ethernet, TokenRing apod.) a rozhraní do Internetu. Internetovým rozhraním m˚ uže být bud’ sít’ový adaptér (Ethernet, WaveLAN atd.) nebo modem (analogový, ISDN apod.). Pˇ red zahájením instalace WinRoute doporuˇ cujeme provˇ eˇ rit následující: • Správné nastavení systémového ˇ casu (nutné pro kontrolu aktualizací operaˇ cního systému, antivirového programu atd.) • Instalaci všech nejnovˇ ejších (zejména bezpeˇ cnostních) aktualizací operaˇ cního systému • Nastavení parametr˚ u TCP/IP na všech aktivních sít’ových adaptérech • Funkˇ cnost všech sít’ových pˇ ripojení — jak do lokální sítˇ e, tak do Internetu (vhodným nástrojem je napˇ r. pˇ ríkaz ping, který zjišt’uje dobu odezvy poˇ cítaˇ ce zadaného jménem nebo IP adresou). Tyto testy vám ušetˇ rí mnoho komplikací pˇ ri pozdˇ ejším odstraˇ nování pˇ rípadných problém˚ u. Poznámka: Všechny podporované operaˇ cní systémy obsahují ve standardní instalaci všechny komponenty, které WinRoute pro svoji ˇ cinnost vyžaduje.
Postup instalace a poˇ cáteˇ cní konfigurace Po spuštˇ ení instalaˇ cního programu (napˇ r. kerio-kwf-mcafee-6.0.0-win.exe) se zobrazí pr˚ uvodce pro nastavení základních parametr˚ u serveru, pˇ rípadnˇ e import nˇ ekterých nastavení z programu WinRoute Pro 4.x. Poznámka: Používáte-li WinRoute Pro 4.x a budete chtít importovat nastavení, zastavte pˇ red instalací WinRoute službu WinRoute Engine (aby se zmˇ eny nastavení uložily do systémového registru). V žádném pˇ rípadˇ e však neprovádˇ ejte deinstalaci WinRoute Pro 4.x — došlo by ke ztrátˇ e všech nastavení! Prvním krokem je výbˇ er typu instalace — Typical (plná), Compact (minimální, tj. bez nápovˇ edy) nebo Custom (vlastní). Instalace typu Custom umožˇ nuje výbˇ er volitelných komponent programu:
14
2.3 Instalace
• WinRoute Firewall Engine — vlastní výkonné jádro aplikace, • WinRoute Engine Monitor — utilita pro ovládání WinRoute Firewall Engine a sledování jeho stavu (ikonka na lištˇ e), • VPN Support — proprietární VPN ˇ rešení firmy Kerio Technologies, • Kerio Administration Console — program Kerio Administration Console (univerzální konzola pro správu serverových aplikací firmy Kerio Technologies) rešení Podrobný popis komponent WinRoute naleznete v kapitole 2.4. Proprietární VPN ˇ je detailnˇ e popsáno v kapitole 12. Poznámka: Je-li typ instalace Custom, pak se instalaˇ cní program chová takto: • všechny oznaˇ cené komponenty se instalují nebo aktualizují, • všechny neoznaˇ cené komponenty se neinstalují nebo odstraní. Pˇ ri instalaci nové verze WinRoute pˇ res stávající (upgrade) je tedy tˇ reba oznaˇ cit všechny komponenty, které mají z˚ ustat zachovány. Po výbˇ eru volitelných komponent následuje vlastní instalace (tj. zkopírování soubor˚ u na pevný disk a nezbytná systémová nastavení). Poté je automaticky spuštˇ en pr˚ uvodce nastavením základních parametr˚ u WinRoute (viz kapitola 2.7).
15
Kapitola 2 Úvod
Po instalaci je tˇ reba poˇ cítaˇ c restartovat (aby mohl být zaveden nízkoúrovˇ nový ovladaˇ c WinRoute). Po novém startu systému se automaticky spustí WinRoute Firewall Engine, tj. vlastní výkonné jádro programu (bˇ eží jako systémová služba), a po pˇ rihlášení uživatele také WinRoute Engine Monitor.
Kolizní systémové služby Instalaˇ cní program WinRoute detekuje, zda nejsou spuštˇ eny systémové služby, které by mohly zp˚ usobovat kolize se službou WinRoute Firewall Engine. 1.
Internet Connection Sharing a Internet Connection Firewall Je-li na nˇ ekterém rozhraní poˇ cítaˇ ce, kam má být WinRoute nainstalován, zapnuto Sdílení internetového pˇ ripojení (Internet Connection Sharing), pˇ rípadnˇ e Internet Connection Firewall (Windows XP nebo Server 2003), zobrazí se toto varovné hlášení:
Pˇ red stisknutím tlaˇ cítka OK vypnˇ ete obˇ e tyto služby na všech rozhraních, kde jsou zapnuty. Pˇ ri nesplnˇ ení této podmínky nebude WinRoute fungovat správnˇ e! 2.
Universal Plug and Play Device Host a SSDP Discovery Service Tyto dvˇ e služby tvoˇ rí podporu protokolu UPnP (Universal Plug and Play) v operaˇ cních systémech Windows XP a Server 2003. Chcete-li používat službu UPnP ve WinRoute (viz kapitola 11.6), musejí být obˇ e tyto služby vypnuty, aby nedošlo ke kolizi port˚ u. • Je-li detekována služba Universal Plug and Play Device Host, zobrazí se tento dialog:
16
2.4 Komponenty WinRoute
Stisknutím tlaˇ cítka Ano (Yes) bude služba Universal Plug and Play Device Host zastavena a zakázáno její automatické spouštˇ ení pˇ ri startu systému. Tlaˇ cítko Ne (No) ponechá stav a parametry této služby beze zmˇ en. • Je-li detekována služba SSDP Discovery Service, zobrazí se tento dialog:
Význam obou tlaˇ cítek je stejný jako v pˇ redchozím pˇ rípadˇ e. Poznámka: Podrobnosti o UPnP naleznete v kapitole 11.6.
2.4 Komponenty WinRoute WinRoute sestává z následujících tˇ rí ˇ cástí: WinRoute Firewall Engine Vlastní výkonný program, který realizuje všechny služby a funkce. Bˇ eží jako služba operaˇ cního systému (služba má název Kerio WinRoute Firewall a ve výchozím nastavení je spouštˇ ena automaticky pod systémovým úˇ ctem). WinRoute Engine Monitor Slouží k monitorování a zmˇ enˇ e stavu Engine (zastaven / spuštˇ en), nastavení spouštˇ ecích preferencí (tj. zda se má Engine a/nebo Monitor sám spouštˇ et automaticky pˇ ri startu systému) a snadnému spuštˇ ení administraˇ cní konzole. Podrobnosti naleznete v kapitole 2.5. Poznámka: WinRoute Firewall Engine je zcela nezávislý na aplikaci WinRoute Engine Monitor. Engine tedy m˚ uže bˇ ežet, i když se na lištˇ e nezobrazuje ikona. Kerio Administration Console Univerzální program pro lokální ˇ ci vzdálenou správu serverových produkt˚ u firmy Kerio Technologies. Pro pˇ ripojení k urˇ cité aplikaci je tˇ reba modul obsahující specifické rozhraní pro tuto aplikaci. Pˇ ri instalaci WinRoute je Kerio Administration Console nainstalována s pˇ ríslušným modulem. Použití programu Kerio Administration Console je podrobnˇ e popsáno v samostaném dokumentu Kerio Administration Console — Nápovˇ eda.
2.5 WinRoute Engine Monitor WinRoute Engine Monitor je utilita, která slouží k ovládání a monitorování stavu WinRoute Firewall Engine. Tato komponenta se zobrazuje jako ikona na hlavním panelu.
17
Kapitola 2 Úvod
Je-li WinRoute Firewall Engine zastaven, objeví se pˇ res ikonu ˇ cervený kruh s bílým kˇ rížkem. Spouštˇ ení ˇ ci zastavování WinRoute Firewall Engine m˚ uže za r˚ uzných okolností trvat až nˇ ekolik sekund. Na tuto dobu ikona zešedne a je neaktivní, tzn. nereaguje na myš. Dvojitým kliknutím levým tlaˇ cítkem na tuto ikonu lze spustit program Kerio Administration Console (viz dále). Po kliknutí pravým tlaˇ cítkem se zobrazí menu, v nˇ emž je možné zvolit následující funkce:
Startup Preferences Volby pro automatické spouštˇ ení WinRoute Firewall Engine a WinRoute Engine Monitoru pˇ ri startu systému. Výchozí nastavení (po instalaci) je obˇ e volby zapnuty. Administration Tato volba spouští program Kerio Administration Console (totéž lze provést dvojitým kliknutím levým tlaˇ cítkem na ikonu WinRoute Engine Monitoru) Start / Stop WinRoute Firewall Engine Spuštˇ ení nebo zastavení WinRoute Firewall Engine (text se mˇ ení v závislosti na jeho stavu). Exit Engine Monitor Ukonˇ cení programu WinRoute Engine Monitor. Tato volba nezastavuje WinRoute Firewall Engine, na což je uživatel upozornˇ en varovným hlášením. Poznámka: Pokud má licence WinRoute omezenou platnost (napˇ r. neregistrovaná zkušební verze), pak se 7 dní pˇ red vypršením licence automaticky zobrazí informace o tom, že se blíží konec její platnosti. Zobrazení této informace se pak periodicky opakuje až do okamžiku, kdy licence vyprší.
2.6 Upgrade a deinstalace Tato kapitola popisuje upgrade WinRoute v rámci verzí 5.x a 6.x (napˇ r. z verze 5.1.10 na verzi 6.0.0). Postup pˇ rechodu z verze 4.x na verzi 6.x je popsán v kapitole 2.3. Chcete-li provést upgrade (tj. instalovat novˇ ejší verzi získanou napˇ r. z WWW stránek výrobce), staˇ cí jednoduše spustit instalaci nové verze.
18
2.7 Pr˚ uvodce poˇ cáteˇ cní konfigurací
Pˇ red instalací je tˇ reba zavˇ rít všechna okna programu Kerio Administration Console. Komponenty WinRoute Firewall Engine a WinRoute Engine Monitor dokáže instalaˇ cní program ukonˇ cit sám. Pˇ ri instalaci bude rozpoznán adresᡠr, kde je stávající verze nainstalována, a nahrazeny pˇ ríslušné soubory novými. Pˇ ritom z˚ ustanou zachována veškerá nastavení i soubory záznam˚ u. Upozornˇ ení: V pˇ rípadˇ e upgrade se nedoporuˇ cuje mˇ enit nabízený instalaˇ cní adresᡠr! Pro deinstalaci je vhodné zastavit všechny tˇ ri komponenty WinRoute. Program lze deinstalovat pr˚ uvodcem Pˇ ridat nebo odebrat programy v Ovládacích panelech. Pˇ ri deinstalaci mohou být volitelnˇ e smazány také všechny soubory v instalaˇ cním adresᡠri WinRoute (typicky C:\Program Files\Kerio\WinRoute Firewall).
Automatická kontrola nových verzí WinRoute umožˇ nuje automaticky kontrolovat, zda se na serveru firmy Kerio Technologies nachází novˇ ejší verze, než je aktuálnˇ e nainstalována. Je-li nalezena nová verze, nabídne WinRoute její stažení a instalaci. Podrobné informace naleznete v kapitole 11.7.
2.7 Pr˚ uvodce poˇ cáteˇ cní konfigurací Instalaˇ cní program automaticky spouští pr˚ uvodce, který vám pom˚ uže nastavit základní parametry WinRoute. Poznámka: Konfiguraˇ cní pr˚ uvodce je k dispozici pouze v anglickém jazyce.
Nastavení administrátorského hesla Velmi d˚ uležitým krokem pro zajištˇ ení bezpeˇ cnosti vašeho firewallu je nastavení administrátorského hesla. Ponecháte-li prázdné heslo, pak se vystavujete riziku, že se ke konfiguraci WinRoute pˇ rihlásí nepovolaná osoba. V dialogu pro nastavení úˇ ctu je tˇ reba zadat heslo (Password) a zopakovat jej pro kontrolu (Confirm Password). V položce Username m˚ užete zmˇ enit jméno administrátora (standardnˇ e Admin). Poznámka: Pokud je Kerio WinRoute Firewall nainstalován jako upgrade WinRoute Pro 4.x, pak je tento krok pˇ reskoˇ cen — administrátorský úˇ cet bude rovnˇ ež importován z WinRoute Pro 4.x (viz dále).
19
Kapitola 2 Úvod
Vzdálený pˇ rístup Bezprostˇ rednˇ e po prvním spuštˇ ení WinRoute Firewall Engine dojde k blokování veškeré sít’ové komunikace (požadovaná komunikace pak musí být povolena vytvoˇ rením pravidel — viz kapitola 5). Je-li WinRoute instalován vzdálenˇ e (napˇ r. pomocí terminálového pˇ rístupu), pak se v tomto okamžiku pˇ reruší také komunikace se vzdáleným klientem (a konfigurace WinRoute musí být provedena lokálnˇ e). Pro umožnˇ ení vzdálené instalace a správy lze ve druhém kroku pr˚ uvodce poˇ cáteˇ cní konfigurací zadat IP adresu poˇ cítaˇ ce, odkud bude po spuštˇ ení WinRoute Firewall Engine možné pracovat s firewallem vzdálenˇ e (napˇ r. pomocí terminálových služeb). WinRoute povolí veškerou komunikaci mezi firewallem a vzdáleným poˇ cítaˇ cem. Poznámka: Pokud WinRoute instalujete lokálnˇ e, pak tento krok pˇ reskoˇ cte. Povolení plného pˇ rístupu ze vzdáleného poˇ cítaˇ ce m˚ uže pˇ redstavovat bezpeˇ cnostní hrozbu. Enable remote access Tato volba povoluje plný pˇ rístup k poˇ cítaˇ ci s WinRoute z jedné vybrané IP adresy. Remote IP address IP adresa poˇ cítaˇ ce, odkud se vzdálenˇ e pˇ ripojujete (napˇ r. terminálovým klientem). Do této položky lze uvést pouze jeden poˇ cítaˇ c, který musí být zadán IP adresou (nikoliv DNS jménem).
20
2.7 Pr˚ uvodce poˇ cáteˇ cní konfigurací
Upozornˇ ení: Po nastavení WinRoute pr˚ uvodcem komunikaˇ cními pravidly (viz kapitola 5.1) se pravidlo pro povolení vzdáleného pˇ rístupu zruší.
Import nastavení z WinRoute Pro 4.x Je-li na poˇ cítaˇ ci, kde byl instalaˇ cní program spuštˇ en, detekována instalace WinRoute Pro 4.x, konfiguraˇ cní pr˚ uvodce nabídne import nastavení z tohoto programu. Upozornˇ ení: Pˇ red instalací aplikace Kerio WinRoute Firewall je tˇ reba WinRoute Pro 4.x zastavit (na to vás instalaˇ cní program rovnˇ ež upozorní). V žádném pˇ rípadˇ e však nesmí být odinstalován — tím by došlo ke ztrátˇ e všech nastavení! Volba Yes, import configuration znamená, že konfigurace má být importována; volba No, start with an empty configuration import neprovede. V každém pˇ rípadˇ e se však nastavení WinRoute Pro 4.x zálohuje, aby byl možný návrat k pˇ redchozí verzi. Záloha se ukládá do podaresᡠre OldCfg.
Restart poˇ cítaˇ ce Po dokonˇ cení instalace je tˇ reba poˇ cítaˇ c restartovat, aby mohl být zaveden nízkoúrovˇ nový ovladaˇ c WinRoute (wrdrv.sys).
21
Kapitola 2 Úvod
Po novém startu operaˇ cního systému bude automaticky spuštˇ ena služba WinRoute Firewall Engine a program WinRoute Engine Monitor. Pˇ ri prvním startu WinRoute Firewall Engine (bezprostˇ rednˇ e po instalaci) se zobrazí dotaz, zda má být spuštˇ en také program Kerio Administration Console. Po instalaci je totiž nutné provést alespoˇ n základní konfiguraci (viz kapitola 5.1), jinak bude blokována veškerá sít’ová komunikace poˇ cítaˇ ce, na kterém je WinRoute nainstalován.
22
Kapitola 3
Správa WinRoute
Ke správˇ e WinRoute slouží samostatný program Kerio Administration Console (univerzální aplikace pro správu serverových produkt˚ u firmy Kerio Technologies). Kerio Administration Console umožˇ nuje lokální správu (tj. z téhož poˇ cítaˇ ce, na kterém WinRoute Firewall Engine bˇ eží) i vzdálenou správu (z libovolného jiného poˇ cítaˇ ce). Komunikace mezi Kerio Administration Console a WinRoute Firewall Engine je šifrována, což zabraˇ nuje jejímu odposlechu a zneužití. Program Kerio Administration Console se instaluje spoleˇ cnˇ e s WinRoute (viz kapitoly 2.3 a 2.4). Jeho použití je podrobnˇ e popsáno v samostatném manuálu Kerio Administration Console — Nápovˇ eda. Další kapitoly tohoto manuálu již popisují jednotlivé sekce administraˇ cního okna WinRoute, které se zobrazí po úspˇ ešném pˇ rihlášení k WinRoute Firewall Engine. Poznámka: Pˇ ri prvním pˇ rihlášení po instalaci WinRoute se nejprve automaticky spustí pr˚ uvodce vytvoˇ rením komunikaˇ cních pravidel, který slouží k poˇ cáteˇ cní konfiguraci WinRoute. Podrobný popis tohoto pr˚ uvodce najdete v kapitole 5.1.
3.1 Administraˇ cní okno Po úspˇ ešném pˇ rihlášení programem Kerio Administration Console k WinRoute Firewall Engine se zobrazí hlavní okno modulu pro správu WinRoute (dále jen „administraˇ cní okno“). Toto okno je rozdˇ eleno na dvˇ eˇ cásti: • Levý sloupec obsahuje seznam sekcí administraˇ cního okna v podobˇ e stromu. Pro vˇ etší pˇ rehlednost lze jednotlivé ˇ cásti stromu skrývat a rozbalovat. Kerio Administration Console si pˇ ri svém ukonˇ cení zapamatuje aktuální nastavení stromu a pˇ ri dalším pˇ rihlášení jej zobrazí ve stejné podobˇ e. • Pravá ˇ cást okna zobrazuje obsah sekce zvolené v levém sloupci (pˇ rípadnˇ e seznam sekcí ve zvolené skupinˇ e).
Hlavní menu administraˇ cního okna Hlavní menu obsahuje tyto funkce:
23
Kapitola 3 Správa WinRoute
Nabídka Soubor • Obnovit pˇ ripojení — pˇ ripojení k WinRoute Firewall Engine po výpadku spojení (napˇ r. z d˚ uvodu restartu Engine ˇ ci sít’ové chyby). Pˇ ri obnovení pˇ ripojení je z bezpeˇ cnostních d˚ uvod˚ u potˇ reba znovu zadat uživatelské jméno a heslo.
Poznámka: Administration Console dokáže automaticky detekovat, že došlo k výpadku pˇ ripojení. Výpadek je zpravidla detekován pˇ ri pokusu o ˇ ctení nebo uložení dat z/na server (tj. pˇ ri stisknutí tlaˇ cítka Použít nebo pˇ repnutí do jiné sekce Admi-
24
3.1 Administraˇ cní okno
nistration Console). V takovém pˇ rípadˇ e se automaticky zobrazí dialog pro zadání uživatelského jména a hesla doplnˇ ený chybovým hlášením.
• Pˇ ripojit k novému serveru — tuto funkci lze využít, pokud chceme spravovat více serverových aplikací souˇ casnˇ e (napˇ r. WinRoute na více serverech). Volba Pˇ ripojit k novému serveru otevírá hlavní okno Kerio Administration Console, ze kterého se pak m˚ užeme pomocí záložky nebo pˇ rihlašovacího dialogu pˇ ripojit k požadovanému serveru (podrobnosti viz manuál Kerio Administration Console — Nápovˇ eda). Volba Pˇ ripojit k novému serveru má zcela identický efekt jako spuštˇ ení Kerio Administration Console z nabídky Start. • Konec — ukonˇ cení správy (odhlášení od serveru a uzavˇ rení administraˇ cního okna). Stejného efektu dosáhneme uzavˇ rením okna kliknutím na závˇ er (kˇ rížek) v pravém horním rohu nebo kombinací kláves Alt+F4. Nabídka Nápovˇ eda • Pˇ ríruˇ cka administrátora — otevˇ rení pˇ ríruˇ cky administrátora (tohoto manuálu) ve formátu HTML Help. Podrobnosti o nápovˇ edách naleznete v manuálu Kerio Administration Console — Nápovˇ eda. • O aplikaci — informace o verzi aplikace (v tomto pˇ rípadˇ e administraˇ cního modulu pro WinRoute), odkaz na WWW stránku výrobce a další informace.
25
Kapitola 3 Správa WinRoute
Stavový ˇ rádek Na dolním okraji administraˇ cního okna je umístˇ en stavový ˇ rádek, který zobrazuje tyto informace (v poˇ radí zleva doprava):
• Aktuální sekce administraˇ cního okna (vybraná v levém sloupci). Tato informace usnadˇ nuje orientaci v administraˇ cním oknˇ e zejména v pˇ rípadech, kdy není vidˇ et celý strom sekcí (napˇ r. pˇ ri nižším rozlišení obrazovky). • Jméno nebo IP adresa serveru a port serverové aplikace (WinRoute používá port 44333). • Jméno uživatele pˇ rihlášeného ke správˇ e. • Aktuální stav Kerio Administration Console: Pˇ ripraven (ˇ cekání na akci uživatele), Naˇ cítání (pˇ renos dat ze serveru) nebo Ukládání (zápis provedených zmˇ en na server).
3.2 Nastavení pohled˚ u V mnoha sekcích Kerio Administration Console má zobrazení tvar tabulky, pˇ riˇ cemž každý ˇ rádek obsahuje jeden záznam (napˇ r. údaje o jednom uživateli, jednom rozhraní apod.) a sloupce obsahují jednotlivé položky tohoto záznamu (napˇ r. jméno rozhraní, název adaptéru, hardwarovou adresu, IP adresu atd.). Správce WinRoute má možnost upravit si zp˚ usob zobrazení informací v jednotlivých sekcích dle vlastní potˇ reby ˇ ci vkusu. V každé z výše popsaných sekcí se po stisknutí pravého tlaˇ cítka myši zobrazí kontextová nabídka obsahující volbu Nastavit sloupce. Tato volba otevírá dialog, v nˇ emž je možné nastavit, které sloupce mají být zobrazeny a které mají z˚ ustat skryty.
26
3.2 Nastavení pohled˚ u
Pole Skryté sloupce obsahuje sloupce, které z˚ ustanou skryty, a pole Zobrazované sloupce ty, které mají být zobrazeny. Tlaˇ cítkem Pˇ ridat se vybraný sloupec ze skupiny skrytých pˇ resune do zobrazovaných, tlaˇ cítkem Odebrat naopak. Tlaˇ cítko Obnovit uvede nastavení sloupc˚ u do výchozího stavu. Tlaˇ cítka Posunout nahoru a Posunout dol˚ u slouží k posunu vybraného sloupce ve skupinˇ e nahoru nebo dol˚ u. Tím m˚ užete urˇ cit poˇ radí, v jakém mají být sloupce zobrazeny. Poˇ radí sloupc˚ u lze také upravit v pohledu samotném: kliknˇ ete levým tlaˇ cítkem myši na název sloupce, podržte jej a pˇ resuˇ nte na požadované místo. Šíˇ rku jednotlivých sloupc˚ u lze upravit posunutím dˇ elicí ˇ cáry mezi záhlavími sloupc˚ u.
27
Kapitola 3 Správa WinRoute
28
Kapitola 4
Nastavení rozhraní a sít’ových služeb
4.1 Rozhraní WinRoute pracuje jako smˇ erovaˇ c nad všemi sít’ovými rozhraními, která jsou v systému instalována. V administraˇ cním programu se rozhraní zobrazují v sekci Konfigurace / Rozhraní .
Rozhraní Název, který identifikuje rozhraní v rámci WinRoute. Zvolte jej tak, aby bylo zcela jednoznaˇ cné, o který adaptér se jedná (napˇ r. Internet pro rozhraní pˇ ripojené do Internetu). Doporuˇ cujeme vyhnout se duplicitním názv˚ um rozhraní (zp˚ usobily by komplikace pˇ ri definici komunikaˇ cních pravidel ˇ ci úpravách smˇ erovací tabulky). Název rozhraní m˚ uže být kdykoliv pozdˇ eji zmˇ enˇ en (viz dále), aniž by tím došlo k ovlivnˇ ení funkce WinRoute. Ikonka vlevo od názvu zobrazuje typ rozhraní (sít’ový adaptér, vytᡠcené pˇ ripojení, satelitní pˇ ripojení, VPN server, VPN tunel). Poznámka: Nebyl-li dosud název rozhraní zadán ruˇ cnˇ e, obsahuje tato položka jméno adaptéru z operaˇ cního systému (viz položka Jméno adaptéru). IP adresa, Maska IP adresa a maska subsítˇ e pˇ riˇ razené tomuto rozhraní. Jméno adaptéru Pojmenování adaptéru v operaˇ cním systému (napˇ r. „Pˇ ripojení k místní síti 2“). Slouží pro snazší orientaci, o který adaptér se jedná.
29
Kapitola 4 Nastavení rozhraní a sít’ových služeb
Informace o adaptéru Identifikaˇ cní ˇ retˇ ezec adaptéru, který vrací pˇ ríslušný ovladaˇ c zaˇ rízení. ID Jednoznaˇ cný identifikátor adaptéru v operaˇ cním systému (viz též kapitola 17.1). MAC Hardwarová (MAC) adresa pˇ ríslušného sít’ového adaptéru. Tlaˇ cítka pod seznamem rozhraní umožˇ nují provádˇ et urˇ cité akce s vybraným rozhraním. Není-li vybráno žádné rozhraní, nebo vybrané rozhraní danou funkci nepodporuje, jsou pˇ ríslušná tlaˇ cítka neaktivní. Pˇ ridat Tímto tlaˇ cítkem lze pˇ ridat novou vytᡠcenou linku nebo VPN tunel (viz níže). Pokud byl pˇ ridán nový sít’ový adaptér, je tˇ reba jej nainstalovat a nakonfigurovat v operaˇ cním systému. WinRoute jej pak detekuje automaticky. Zmˇ enit Zobrazení detailních informací a úprava parametr˚ u vybraného rozhraní. Odebrat Odstranˇ ení vybraného rozhraní z WinRoute. Odstranit rozhraní m˚ užete pouze za následujících podmínek: • jedná se o vytᡠcenou linku, která je momentálnˇ e zavˇ ešena • jedná se o sít’ový adaptér, který již není v systému fyzicky pˇ rítomen nebo není aktivní Aktivní sít’ový adaptér ˇ ci vytoˇ cenou linku WinRoute nepovolí odebrat. Poznámka: Záznam o již neexistujícím sít’ovém adaptéru nemá negativní vliv na chod WinRoute — je považován za neaktivní, stejnˇ e jako vytᡠcená linka v zavˇ ešeném stavu. Vytoˇ cit, Zavˇ esit / Povolit, Zakázat Funkce tˇ echto tlaˇ cítek závisí na typu vybraného rozhraní: • V pˇ rípadˇ e vytᡠcené linky jsou tlaˇ cítka oznaˇ cena Vytoˇ cit a Zavˇ esit a slouží k ruˇ cnímu ovládání vybrané linky. Poznámka: Vytᡠcet a zavˇ ešovat linky lze také pomocí WWW administraˇ cního rozhraní (viz kapitola 8). • V pˇ rípadˇ e VPN tunelu jsou tato tlaˇ cítka oznaˇ cena Povolit a Zakázat a slouží k aktivaci / deaktivaci vybraného VPN tunelu (podrobnosti viz kapitola 12.4). • Je-li vybrán sít’ový adaptér, rozhraní Dial-in nebo VPN server, jsou tato tlaˇ cítka neaktivní.
30
4.1 Rozhraní
Obnovit Tímto tlaˇ cítkem lze aktualizovat informace o rozhraních.
Speciální rozhraní V sekci Rozhraní se kromˇ e sít’ových adaptér˚ u a vytᡠcených linek zobrazují tato dvˇ e speciální rozhraní: Dial-In Toto rozhraní pˇ redstavuje server služby RAS (telefonického pˇ ripojení sítˇ e) na poˇ cítaˇ ci s WinRoute. S použitím rozhraní Dial-In lze definovat komunikaˇ cní pravidla (viz kapitola 5) pro RAS klienty, kteˇ rí se na tento server pˇ ripojují. Rozhraní Dial-In nelze konfigurovat ani odstranit. Poznámky: 1.
Pˇ ri použití RAS serveru spoleˇ cnˇ e s WinRoute je tˇ reba nastavit RAS server tak, aby pˇ ridˇ eloval klient˚ um IP adresy ze subsítˇ e, která není použita v žádném segmentu lokální sítˇ e. WinRoute provádí standardní IP smˇ erování a pˇ ri nedodržení uvedené podmínky nebude toto smˇ erování fungovat správnˇ e.
2.
Pro pˇ ridˇ elování IP adres RAS klient˚ um lze využít DHCP server ve WinRoute (viz kapitola 4.4).
VPN server Toto rozhraní pˇ redstavuje server pro pˇ ripojení proprietárního VPN klienta firmy Kerio Technologies. Dvojitým kliknutím na toto rozhraní (pˇ rípadnˇ e stisknutím tlaˇ cítka Zmˇ enit) se otevírá dialog pro nastavení parametr˚ u VPN serveru. Rozhraní VPN server nelze odstranit. Podrobné informace o proprietárním VPN ˇ rešení ve WinRoute naleznete v kapitole 12.
Pˇ ridání nové vytᡠcené linky Stisknutím tlaˇ cítka Pˇ ridat m˚ užeme vytvoˇ rit nové rozhraní, a to vytᡠcenou linku nebo VPN tunel (tj. VPN spojení typu server-to-server).
Následující text popisuje postup pˇ ridání nové vytᡠcené linky. Popis vytvoˇ rení VPN tunelu je uveden v kapitole 12.4.
31
Kapitola 4 Nastavení rozhraní a sít’ových služeb
Pˇ riˇ radit vytᡠcené pˇ ripojení... V tomto poli vyberte položku telefonického pˇ ripojení Windows (RAS), kterou používáte pro pˇ ripojení k vašemu poskytovateli Internetu. Poznámky: 1.
WinRoute hledá telefonická pˇ ripojení pouze v systémovém „telefonním seznamu“. Pˇ ri vytvᡠrení pˇ ripojení, které má být použito ve WinRoute je tˇ reba nastavit, aby telefonické pˇ ripojení bylo dostupné pro všechny uživatele (v opaˇ cném pˇ rípadˇ e operaˇ cní systém uloží pˇ ríslušnou položku telefonického pˇ ripojení do profilu uživatele, který pˇ ripojení vytvoˇ ril, a odtud ji WinRoute nebude moci naˇ císt).
2.
Doporuˇ cujeme vytvoˇ rit a otestovat telefonické pˇ ripojení ještˇ e pˇ red instalací WinRoute.
Jméno rozhraní Jednoznaˇ cné jméno, které bude vytvoˇ renou linku identifikovat v rámci WinRoute. Záložka Nastavení vytᡠcení slouží k podrobnému nastavení, kdy a jakým zp˚ usobem bude linka vytᡠcena. Výchozí nastavení je ruˇ cní vytᡠcení.
32
4.1 Rozhraní
RAS položka Položka Telefonického pˇ ripojení Windows, která byla vybrána v záložce Identifikátor rozhraní . Název RAS položky se zde zobrazuje pro lepší pˇ rehlednosti. Použít pˇ rihlašovací údaje z telefonického pˇ ripojení Tato volba urˇ cuje, že pro ovˇ eˇ rení na vzdáleném serveru bude použito jméno a heslo uložené v pˇ ríslušné položce Telefonického pˇ ripojení . Použít tyto pˇ rihlašovací údaje Pro ovˇ eˇ rení na vzdáleném serveru bude použito zadané Uživatelské jméno a Heslo. Tuto možnost lze využít napˇ r. v pˇ rípadˇ e, kdy nechceme z nˇ ejakého d˚ uvodu pˇ rihlašovací údaje v operaˇ cním systému ukládat, chceme-li je mˇ enit vzdálenˇ e (pomocí Administration Console) nebo pˇ ri ˇ rešení problém˚ u. Pˇ ripojení Zp˚ usob, jakým bude linka vytᡠcena: • Ruˇ cní — linku bude možné vytoˇ cit pouze ruˇ cnˇ e (v programu Kerio Administration Console nebo prostˇ rednictvím WWW administraˇ cního rozhraní — viz kapitola 8) • Na žádost — linka bude automaticky vytᡠcena na základˇ e pˇ ríchozího požadavku (paketu z lokální sítˇ e smˇ erovaného do Internetu). Konfigurace WinRoute a operaˇ cního systému pro správnou funkci vytᡠcení na žádost je podrobnˇ e popsána v kapitole 11.3.
33
Kapitola 4 Nastavení rozhraní a sít’ových služeb
• Trvalé — linka bude vytoˇ cena okamžitˇ e pˇ ri startu služby WinRoute Firewall Engine a bude v tomto stavu udržována (tzn. napˇ r. po výpadku ˇ ci ruˇ cním zavˇ ešení se linka automaticky ihned znovu vytoˇ cí) • Vlastní — tato volba umožˇ nuje detailní nastavení ˇ cas˚ u, kdy má být povoleno vytᡠcení na žádost a kdy má být linka trvale pˇ ripojena nebo trvale zavˇ ešena.
V jednotlivých sekcích dialogového okna je možné vybrat ˇ casový interval, v nˇ emž má pˇ ríslušná akce platit. Tlaˇ cítko Zmˇ enit otevírá dialog pro definici ˇ casových interval˚ u, kde m˚ užete interval upravit nebo vytvoˇ rit nový. Detailní informace o ˇ casových intervalech naleznete v kapitole 9.2. Uživatelské nastavení vytᡠcení funguje následovnˇ e: • Nejvyšší prioritu má volba Nevytᡠcet. Je-li aktuální ˇ cas v tomto intervalu, linka z˚ ustane zavˇ ešena (nebo se ihned zavˇ esí, pokud je vytoˇ cena). • Dále se testuje interval pro volbu Zachovat pˇ ripojení . Po dobu trvání tohoto intervalu bude linka udržována v pˇ ripojeném stavu. • Jako poslední se testuje volba Vytᡠcení na žádost povoleno. Je-li nastavena na vždy, bude vytᡠcení na žádost povoleno kdykoliv mimo interval uvedený u volby Nevytᡠcet.
34
4.1 Rozhraní
Volby Upˇ resˇ nující parametry vytᡠcení pro typy Ruˇ cní , Na žádost a Vlastní . V pˇ rípadˇ e trvalého pˇ ripojení tyto volby nemají význam (WinRoute se stále snaží udržovat linku ve vytoˇ ceném stavu). Zavˇ esit pˇ ri neˇ cinnosti Doba, po které dojde k automatickému zavˇ ešení, jestliže pˇ res rozhraní neprocházejí žádná data. S každým procházejícím paketem je ˇ casovaˇ c doby neˇ cinnosti nulován. Optimální dobu je nejlépe urˇ cit experimentálnˇ e. Pˇ ríliš krátké ˇ casy zp˚ usobí ˇ casté vytᡠcení linky, naopak pˇ ríliš dlouhé budou udržovat linku vytoˇ cenou po dlouhou dobu — obojí má za následek zvýšení celkových náklad˚ u na internetové pˇ ripojení. Vytoˇ cit znovu, je-li linka obsazena Je-li pˇ ri pokusu o vytoˇ cení linka obsazena, bude WinRoute opakovat vytᡠcení, dokud se pˇ ripojení nezdaˇ rí nebo do zadaného maximálního poˇ ctu pokus˚ u. Nepodaˇ rí-li se linku pˇ ripojit, bude požadavek vytoˇ cení ignorován (tzn. vytoˇ cení nem˚ uže být automaticky pˇ replánováno na pozdˇ ejší dobu). Obnovit spojení po výpadku linky Jestliže byl detekován výpadek linky, WinRoute bude automaticky zkoušet vytoˇ cit pˇ ripojení znovu. Upˇ resnˇ ení WinRoute umožˇ nuje spustit libovolnou aplikaci nebo pˇ ríkaz operaˇ cního systému v tˇ echto okamžicích: Pˇ red vytoˇ cením linky, Po vytoˇ cení linky, Pˇ red zavˇ ešením linky a Po zavˇ ešení linky.
Cesta ke spustitelnému souboru musí být vždy kompletní. Pokud cesta obsahuje mezeru, musí být vložena do uvozovek, jinak bude ˇ cást za mezerou považována za parametr(y) dávkového souboru. Je-li cesta k souboru v uvozovkách, pak je pˇ rípadný text za uzavírajícími uvozovkami rovnˇ ež považován za parametr(y) dávkového souboru. Upozornˇ ení: Pokud WinRoute bˇ eží v operaˇ cním systému jako služba, aplikace bude spuštˇ ena pouze na pozadí.
35
Kapitola 4 Nastavení rozhraní a sít’ových služeb
Poznámka: V pˇ rípadˇ e akcí Pˇ red vytoˇ cením a Pˇ red zavˇ ešením se po spuštˇ ení programu se neˇ ceká na jeho ukonˇ cení.
Zmˇ ena parametr˚ u rozhraní Stisknutím tlaˇ cítka Zmˇ enit lze upravit parametry vybraného rozhraní. Jedná-li se o vytᡠcenou linku, otevˇ re se dialog Vlastnosti rozhraní (identický s dialogem pro pˇ ridání nové linky). U sít’ového adaptéru lze nastavit jediný parametr — Jméno rozhraní . V pˇ rípadˇ e rozhraní VPN server a VPN tunel˚ u se zobrazí dialog pro nastavení parametr˚ u VPN serveru (viz kapitola 12.1), resp. VPN tunelu (podrobnosti viz kapitola 12.4).
4.2 Záložní internetové pˇ ripojení WinRoute umožˇ nuje definici sekundárního (záložního) internetového pˇ ripojení, které se automaticky aktivuje, jestliže je detekován výpadek primárního pˇ ripojení. Funkˇ cnost primárního pˇ ripojení se ovˇ eˇ ruje vysíláním zpráv ICMP Echo Request (PING) na zadané poˇ cítaˇ ce. Jakmile WinRoute zjistí, že je primární pˇ ripojení opˇ et funkˇ cní, automaticky deaktivuje záložní pˇ ripojení a nastaví zpˇ et primární. Jako záložní pˇ ripojení m˚ uže být použito libovolné sít’ové rozhraní nebo telefonické pˇ ripojení, které je ve WinRoute definováno (viz kapitola 4.1). Pro záložní pˇ ripojení musí pˇ ritom existovat komunikaˇ cní pravidla povolující, resp. zakazující pˇ ríslušnou komunikaci. Zjednodušenˇ eˇ reˇ ceno, do každého pravidla popisujícího komunikaci do Internetu pˇ res primární pˇ ripojení je tˇ reba do sloupce Cíl pˇ ridat také sít’ pˇ ripojenou k zálo Podrobné informace o komunikaˇ cních pravidlech naleznete v kapitole 5.2. Pˇ ríklad: Primární internetové pˇ ripojení je realizováno sít’ovým adaptérem (ve WinRoute oznaˇ cen jako Internet). Pro záložní pˇ ripojení má být použita vytᡠcená linkaVytᡠcené pˇ ripojení . Dále má být zakázán pˇ rístup ke službˇ e Telnet z lokální sítˇ e do Internetu. Tyto požadavky ˇ reší níže uvedená komunikaˇ cní pravidla. V každém pravidle jsou uvedeny dva cíle: sít’ pˇ ripojená k rozhraní Internet (primární pˇ ripojení) a sít’ pˇ ripojená k rozhraní Vytᡠcené pˇ ripojení (záložní pˇ ripojení). • Zakázat Telnet — zákaz pˇ rístupu ke službˇ e Telnet z lokální sítˇ e do Internetu. • NAT — provádˇ et pˇ reklad zdrojových IP adres pˇ ri pˇ rístupu z lokální sítˇ e do Internetu (sdílení internetového pˇ ripojení). • Firewall → Internet — povolení komunikace poˇ cítaˇ ce s WinRoute do Internetu (tento poˇ cítaˇ c má veˇ rejnou IP adresu, pˇ reklad adres není tˇ reba).
36
4.2 Záložní internetové pˇ ripojení
Poznámky: 1.
Komunikaˇ cní pravidla je tˇ reba tˇ reba definovat dˇ ríve, než bude aktivována funkce zálohování internetového pˇ ripojení (viz níže), jinak nebude záložní pˇ ripojení fungovat správnˇ e.
2.
Volba Výchozí výstupní rozhraní v pravidle NAT zajistí, že zdrojová IP adresa v paketech z lokální sítˇ e do Internetu bude vždy pˇ rekládána na správnou IP adresu (tj. adresu primárního nebo záložního rozhraní — podle toho, které pˇ ripojení je v daném okamžiku aktivní). Chceme-li zadat konkrétní IP adresu pro pˇ reklad, musíme definovat dvˇ e samostatná pravidla — pro primární a pro záložní pˇ ripojení.
Nastavení záložního internetového pˇ ripojení K nastavení záložního pˇ ripojení slouží záložka Záložní pˇ ripojení v sekci Konfigurace / Rozhraní . Povolit automatickou aktivaci záložního pˇ ripojení Tato volba zapíná/vypíná výše popsanou funkci zálohování internetového pˇ ripojení. Aktuální pˇ ripojení Informace, které pˇ ripojení je v daném okamžiku aktivní: • Primární pˇ ripojení (zelené podbarvení) • Záložní (sekundární) pˇ ripojení (fialové podbarvení) Poznámka: Aktivní internetové pˇ ripojení se m˚ uže kdykoliv zmˇ enit. Pro zobrazení aktuálního stavu je tˇ reba stisknout tlaˇ cítko Obnovit (v pravém dolním rohu záložky Záložní pˇ ripojení ). Testovací poˇ cítaˇ ce Do tohoto pole je tˇ reba zadat IP adresu alespoˇ n jednoho poˇ cítaˇ ce (pˇ rípadnˇ e smˇ erovaˇ ce apod.), jehož dostupnost bude WinRoute v pravidelných intervalech testovat. Je-li alespoˇ n jeden z testovacích poˇ cítaˇ cu ˚ dostupný, považuje se primární internetové pˇ ripojení za funkˇ cní.
37
Kapitola 4 Nastavení rozhraní a sít’ových služeb
Poznámky: 1.
Zálohování internetového pˇ ripojení funguje pouze v pˇ rípadˇ e, je-li zadán alespoˇ n jeden testovací poˇ cítaˇ c (bez testovacích poˇ cítaˇ cu ˚ WinRoute nedokáže detekovat výpadek primárního pˇ ripojení).
2.
Jako testovací poˇ cítaˇ ce je tˇ reba uvádˇ et poˇ cítaˇ ce nebo sít’ová zaˇ rízení, která jsou trvale v provozu (napˇ r. servery, smˇ erovaˇ ce apod.). Použít jako testovací poˇ cítaˇ c pracovní stanici, která je v provozu nˇ ekolik hodin dennˇ e, nemá pˇ ríliš velký smysl.
3.
Testovací poˇ cítaˇ c nesmí blokovat zprávy ICMP Echo Request (PING), které WinRoute používá pro testování jeho dostupnosti — jinak by byl vždy vyhodnocen jako nedostupný.
Primární pˇ ripojení Nastavení primárního internetového pˇ ripojení. Internetové pˇ ripojení m˚ uže být definováno jako: • sít’ové rozhraní s výchozí bránou • vytᡠcené pˇ ripojení
38
4.2 Záložní internetové pˇ ripojení
V položce Rozhraní jsou nabízena pouze rozhraní a vytᡠcená pˇ ripojení definovaná v záložce Rozhraní (viz kapitola 4.1). Standardní nastavení (tj. po instalaci WinRoute, resp. pˇ ri prvním zapnutí funkce Povolit automatickou aktivaci záložního pˇ ripojení ) je naˇ cteno z operaˇ cního systému — výchozí brána a odpovídající rozhraní v systémové smˇ erovací tabulce. Toto nastavení lze rovnˇ ež získat stisknutím tlaˇ cítka Detekovat. Není-li v operaˇ cním systému definována výchozí brána (napˇ r. v pˇ rípadˇ e, kdy je primární pˇ ripojení realizováno vytᡠcenou linkou, která je právˇ e zavˇ ešena), pak automatická detekce pˇ ripojení nefunguje — primární pˇ ripojení je tˇ reba nastavit ruˇ cnˇ e. Záložní pˇ ripojení Nastavení záložního internetového pˇ ripojení, které bude aktivováno pˇ ri detekci výpadku primárního pˇ ripojení. Záložní pˇ ripojení m˚ uže být definováno jako sít’ové rozhraní s výchozí bránou nebo jako vytᡠcené pˇ ripojení (obdobnˇ e jako primární pˇ ripojení). Poznámka: Pro záložní pˇ ripojení m˚ uže být použit stejný adaptér jako pro primární s jinou výchozí bránou. Tím zajistíme, že pˇ ri výpadku spojení bude automaticky použit jiný smˇ erovaˇ c ve stejné subsíti.
Použití vytᡠcených linek Je-li jako primární a/nebo záložní internetové pˇ ripojení použita vytᡠcená linka, je tˇ reba vzít v úvahu tyto skuteˇ cnosti: 1.
Zálohování internetového pˇ ripojení je vhodné pouze pro trvalé pˇ ripojení (tzn. pˇ ripojení sít’ovým adaptérem nebo trvale pˇ ripojenou vytᡠcenou linkou). Pokud by jako primární pˇ ripojení byla použita linka vytᡠcená na žádost (nebo ruˇ cnˇ e), docházelo by k automatické aktivaci záložního pˇ ripojení pˇ ri každém zavˇ ešení primární linky.
2.
Je-li jako záloha použito vytᡠcené pˇ ripojení, nezáleží na tom, zda je povoleno jeho vytᡠcení na žádost — WinRoute bude vždy linku vytᡠcet a zavˇ ešovat dle potˇ reby. Problém však m˚ uže zp˚ usobit volba Zavˇ esit pˇ ri neˇ cinnosti — dojde-li k automatickému zavˇ ešení záložní linky, WinRoute ji již znovu nevytoˇ cí (až po obnovení a následném dalším výpadku primárního pˇ ripojení).
Z výše uvedených d˚ uvod˚ u doporuˇ cujeme nastavit parametry vytᡠcených linek následovnˇ e: • pro primární pˇ ripojení — trvalé pˇ ripojení • pro záložní pˇ ripojení — ruˇ cní vytᡠcení
39
Kapitola 4 Nastavení rozhraní a sít’ových služeb
4.3 DNS forwarder Modul DNS Forwarder slouží ve WinRoute ke zjednodušení konfigurace DNS na poˇ cítaˇ cích v lokální síti a pro zrychlení odpovˇ edí na opakované DNS dotazy. DNS na lokálních poˇ cítaˇ cích m˚ užete obecnˇ e nastavit jedním z následujících zp˚ usob˚ u: • použít IP adresu primárního, pˇ ríp. i záložního DNS serveru Vašeho poskytovatele Internetu. Toto ˇ rešení je regulérní, avšak odezvy na DNS dotazy budou znaˇ cnˇ e pomalé. • použít DNS server v lokální síti (je-li k dispozici). Tento DNS server musí mít pˇ rístup do Internetu, aby dokázal odpovídat i na dotazy mimo lokální doménu. • použít DNS Forwarder ve WinRoute. Ten m˚ uže rovnˇ ež sloužit jako jednoduchý DNS server pro lokální doménu (viz dále) ˇ ci jako forwarder pro váš stávající DNS server. Ve výchozím nastavení WinRoute je DNS Forwarder zapnut a nastaven pro pˇ redávání DNS dotaz˚ u na jeden z DNS server˚ u konfigurovaných v operaˇ cním systému (typicky DNS server pˇ ridˇ elený poskytovatelem internetového pˇ ripojení). Podrobnou konfiguraci lze provést v sekci Konfigurace / DNS Forwarder.
Povolit pˇ redávání DNS dotaz˚ u Tato volba zapíná / vypíná modul DNS Forwarder (služba používá protokol UDP a bˇ eží na portu 53). Pokud ve vaší sít’ové konfiguraci
40
4.3 DNS forwarder
DNS Forwarder nepoužijete, m˚ užete jej vypnout. Chcete-li na tomtéž poˇ cítaˇ ci provozovat jiný DNS server, pak jej musíte vypnout — jinak by nastala kolize na uvedeném portu. Pˇ redávání DNS dotaz˚ u DNS Forwarder musí znát alespoˇ n jeden DNS server, na který bude dotazy pˇ redávat. Tato volba urˇ cuje, jakým zp˚ usobem získá IP adresu tohoto serveru: • Pˇ redávat DNS dotazy serveru automaticky vybranému... — pˇ redpokládá se, že poˇ cítaˇ c s WinRoute má funkˇ cní pˇ ripojení do Internetu. Souˇ cástí nutné konfigurace TCP/IP je také nastavení jednoho nebo více DNS server˚ u (ve Windows se DNS servery nastavují na konkrétním adaptéru, mají však globální platnost v rámci celého operaˇ cního systému). DNS Forwarder m˚ uže pˇ reˇ císt toto nastavení a používat stejné DNS servery. Jednoznaˇ cnou výhodou této volby je, že poˇ cítaˇ ce v lokální síti budou vždy používat tentýž DNS server jako poˇ cítaˇ c s WinRoute — tím lze pˇ redejít mnoha problém˚ um. • Pˇ redávat dotazy tˇ emto DNS server˚ um — DNS dotazy budou pˇ redávány na zadané DNS servery (je-li zadáno více server˚ u, považují se za primární, sekundární atd.). Tuto volbu použijte, chcete-li mít kontrolu nad tím, kam jsou DNS dotazy pˇ redávány, nebo pokud potˇ rebujete vytvoˇ rit složitˇ ejší konfiguraci. Používat cache pro rychlejší odpovˇ edi Zapnutím této volby budou odpovˇ edi na všechny dotazy ukládány do lokální vyrovnávací pamˇ eti (cache) DNS Forwarderu. Odpovˇ edi na opakované dotazy tak budou mnohonásobnˇ e rychlejší (opakovaným dotazem je i stejný dotaz vyslaný r˚ uznými klienty). Fyzicky je DNS cache udržována v operaˇ cní pamˇ eti, zároveˇ n jsou však všechny DNS záznamy ukládány také do souboru DnsCache.cfg (viz kapitola 17.1). Díky tomu z˚ ustávají záznamy v DNS cache uchovány i pˇ ri zastavení WinRoute Firewall Engine, resp. vypnutí poˇ cítaˇ ce s WinRoute. Poznámky: 1.
Doba uchování DNS záznam˚ u v cache je specifikována pˇ rímo v každém záznamu (zpravidla 1 den).
2.
Použití DNS cache zrychlí také ˇ cinnost vestavˇ eného proxy serveru (viz kapitola 4.5).
Vyprázdnit cache Stisknutím tohoto tlaˇ cítka dojde ke smazání všech záznam˚ u ve vyrovnávací pamˇ eti DNS Forwarderu (bez ohledu na jejich dobu životnosti). Tuto funkci lze využít napˇ r. pˇ ri zmˇ enˇ e konfigurace, pˇ ri testování vytᡠcení na žádost, odhalování chyb apod.
41
Kapitola 4 Nastavení rozhraní a sít’ových služeb
Použít nastavení pro pˇ redávání DNS dotaz˚ u Tato volba umožˇ nuje nastavit pravidla pro pˇ redávání urˇ citých DNS dotaz˚ u na jiné DNS servery. Toho lze využít napˇ r. v pˇ rípadˇ e, chceme-li pro lokální doménu používat DNS server v lokální síti (ostatní DNS dotazy budou pˇ redávány pˇ rímo do Internetu, ˇ címž se zrychlí odezva). Tlaˇ cítko Definovat otevírá dialog pro nastavení tˇ echto pravidel.
DNS server m˚ uže být specifikován pro: • doménu — pak budou na tento DNS server pˇ redávány dotazy na jména poˇ cítaˇ cu ˚ v dané doménˇ e (dotazy typu A) • subsít’ — pak budou na tento DNS server pˇ redávány dotazy na IP adresy v pˇ ríslušné subsíti (reverzní doména — dotazy typu PTR) Tlaˇ cítko Pˇ ridat, resp. Zmˇ enit otevírá dialog pro definici pravidla pro pˇ redávání DNS dotaz˚ u. • Volba DNS dotaz na jméno slouží ke specifikaci pravidla pro DNS dotazy na jména poˇ cítaˇ cu ˚ v dané doménˇ e (resp. doménách). Do pole Obsahuje-li dotaz doménu je tˇ reba zadat jméno pˇ ríslušné domény. Jméno domény m˚ uže obsahovat znaky * (hvˇ ezdiˇ cka — nahrazení libovolného poˇ ctu znak˚ u) a ? (otazník — nahrazení právˇ e jednoho znaku). Pravidlo pak bude platit pro všechny domény vyhovující zadanému ˇ retˇ ezci. Pˇ ríklad: Doménu zadáme ve tvaru: ?erio.c*. Pravidlo bude platit pro napˇ r. pro domény kerio.cz, cerio.com, aerio.c apod. • Volba Reverzní DNS dotaz slouží ke specifikaci pravidla pro DNS dotazy na IP adresy v dané subsíti. Subsít’ se zadává adresou sítˇ e s pˇ ríslušnou maskou (napˇ r. 192.168.1.0 / 255.255.255.0).
42
4.3 DNS forwarder
• Do pole Pak pˇ redat dotaz na tyto DNS server(y) lze zadat IP adresu jednoho nebo více DNS server˚ u, na který mají být dotazy pˇ redávány. Je-li zadáno více DNS server˚ u, považují se za primární, sekundární atd. Není-li zadán žádný server, znamená to, že DNS dotaz nebude pˇ redáván žádnému serveru — WinRoute bude pouze prohledávat lokální soubor hosts, pˇ ríp. tabulky DHCP serveru (viz dále). Jednoduchý pˇ revod jmen na IP adresy DNS Forwarder m˚ uže zároveˇ n fungovat jako jednoduchý DNS server pro jednu vaši lokální doménu. K tomuto úˇ celu využívá: • systémový soubor ’hosts’ — tento soubor se nalézá v každém operaˇ cním systému, který podporuje TCP/IP. Každý ˇ rádek tohoto souboru obsahuje IP adresu poˇ cítaˇ ce a seznam odpovídajících DNS jmen. Pˇ ri každém DNS dotazu je nejprve prohledáván tento soubor, zda se v nˇ em nachází požadované jméno (pˇ rípadnˇ e IP adresa), a teprve pak (není-li nalezeno) se dotaz pˇ redává DNS serveru. Stejným zp˚ usobem se chová DNS Forwarder, je-li tato volba zapnuta. Tlaˇ cítko Editovat otevírá speciální editor, kterým lze soubor hosts upravovat pˇ rímo v Kerio Administration Console, a to i v pˇ rípadˇ e, kdy je k WinRoute pˇ ripojena vzdálenˇ e (tj. z jiného poˇ cítaˇ ce).
43
Kapitola 4 Nastavení rozhraní a sít’ových služeb
• tabulku adres pˇ ridˇ elených DHCP serverem — jsou-li poˇ cítaˇ ce v lokální síti konfigurovány pomocí DHCP serveru ve WinRoute (viz kapitola 4.4), pak má DHCP server informace o tom, jaká IP adresa byla pˇ riˇ razena kterému poˇ cítaˇ ci. Poˇ cítaˇ c pˇ ri startu systému vysílá požadavek na pˇ ridˇ elení IP adresy, který obsahuje i jméno poˇ cítaˇ ce. DNS Forwarder má pˇ rístup do tabulek DHCP serveru a m˚ uže tedy zjistit, jaká IP adresa je v tomto okamžiku pˇ ridˇ elena danému jménu poˇ cítaˇ ce. Na dotaz na jméno poˇ cítaˇ ce v lokální síti tedy vždy odpoví správnou (aktuální) IP adresou. Kombinovat jméno ... s touto doménou domény.
Do tohoto pole zadejte jméno lokální DNS
Jestliže poˇ cítaˇ c vysílá požadavek na pˇ ridˇ elení IP adresy, vkládá do nˇ ej pouze své jméno (doménu v tomto okamžiku ještˇ e nezná). Aby DNS Forwarder dokázal správnˇ e zodpovídat dotazy na plnˇ e kvalifikovaná lokální DNS jména (tj. jména vˇ cetnˇ e domény), musí znát jméno lokální domény. Pro snazší pochopení uved’me jednoduchý pˇ ríklad: Lokální doména má jméno firma.cz. V lokální síti je poˇ cítaˇ c se jménem honza nastavený pro automatickou konfiguraci IP adresy z DHCP serveru. Po startu operaˇ cního systému vyšle tento poˇ cítaˇ c DHCP požadavek obsahující jméno stanice honza. DHCP server mu pˇ ridˇ elí IP adresu 192.168.1.56. Ve své tabulce uchová informaci o tom, že tato IP adresa byla pˇ ridˇ elena stanici se jménem honza. Jiný poˇ cítaˇ c, který bude chtít s tímto poˇ cítaˇ cem komunikovat, vyšle dotaz na jméno honza.firma.cz (jedná se o poˇ cítaˇ c honza v doménˇ e firma.cz). Kdyby DNS Forwarder neznal jméno lokální domény, pˇ reposlal by tento dotaz na konfigurovaný DNS server, protože by nerozpoznal, že se jedná o jméno v lokální doménˇ e. Takto
44
4.4 DHCP server
však m˚ uže lokální doménu firma.cz oddˇ elit a jméno honza s pˇ ríslušnou IP adresou nalezne v tabulce DHCP serveru. Poznámka: Je-li v DNS Forwarderu zadána lokální doména, pak mohou být v souboru HOSTS uvedena lokální jména vˇ cetnˇ e domény nebo bez ní — v obou pˇ rípadech budou dotazy zodpovídány správnˇ e.
4.4 DHCP server DHCP server (Dynamic Host Configuration Protocol) slouží ke snadné konfiguraci TCP/IP na poˇ cítaˇ cích v síti. Klientská stanice vyšle pˇ ri startu operaˇ cního systému požadavek na konfiguraci, který je zachycen DHCP serverem. DHCP server vybere vhodné konfiguraˇ cní parametry (tj. IP adresu s pˇ ríslušnou maskou subsítˇ e a další volitelné parametry — napˇ r. adresu výchozí brány, adresy DNS server˚ u, jméno domény apod.) a pˇ ridˇ elí je klientské stanici. Veškeré parametry pro klienty se nastavují pouze centrálnˇ e na serveru — na jednotlivých stanicích staˇ cí nastavit volbu, aby byly parametry TCP/IP konfigurovány automaticky z DHCP serveru. Toto je ve vˇ etšinˇ e operaˇ cních systém˚ u (napˇ r. Windows, Linux atd.) výchozí volba — na klientských stanicích pak není tˇ reba nic nastavovat. DHCP server pˇ ridˇ eluje klient˚ um IP adresy z definovaného rozsahu, a to zpravidla na urˇ citou dobu (tzv. dobu pronájmu, angl. lease time). Pˇ red uplynutím této doby musí klient požádat o prodloužení pronájmu, jinak bude po této dobˇ e IP adresa považována za volnou a v pˇ rípadˇ e nedostatku volných adres ji DHCP server pˇ ridˇ elí jinému klientovi. Vše probíhá automaticky a pro uživatele zcela transparentnˇ e. V DHCP serveru mohou být rovnˇ ež definovány tzv. rezervace — tj. urˇ citým klient˚ um budou vždy pˇ ridˇ elovány dané IP adresy. Adresa m˚ uže být rezervována pro hardwarovou (MAC) adresu nebo jméno poˇ cítaˇ ce. Tito klienti pak mají pevné IP adresy, které jsou konfigurovány automaticky. Mezi hlavní výhody použití DHCP serveru patˇ rí výraznˇ e nižší nároˇ cnost administrace (vše staˇ cí nastavit pouze na serveru, není tˇ reba konfigurovat jednotlivé stanice) a eliminace mnoha potenciálních chyb (napˇ r. pˇ ridˇ elení téže IP adresy dvˇ ema r˚ uzným stanicím, chybné nastavení výchozí brány na nˇ ekteré stanici apod.).
Konfigurace DHCP serveru K nastavení DHCP serveru ve WinRoute slouží sekce Konfigurace / DHCP server. Zde lze definovat rozsahy IP adres, rezervace, volitelné parametry a zobrazovat informace o pˇ ridˇ elených adresách a statistiky DHCP serveru. DHCP server se zapíná a vypíná volbou DHCP server povolen v horní ˇ cásti okna. Konfiguraci je možné provádˇ et i v pˇ rípadˇ e, že je DHCP server vypnut.
45
Kapitola 4 Nastavení rozhraní a sít’ových služeb
Definice rozsah˚ u IP adres K definici rozsah˚ u IP adres vˇ cetnˇ e volitelných parametr˚ u slouží záložka Rozsahy adres. Záložka je rozdˇ elena na dvˇ eˇ cásti, z nichž první obsahuje rozsahy adres a rezervace:
Ve sloupci Položka se zobrazují subsítˇ e, v nichž jsou rozsahy IP adres definovány. Zaškrtávací pole vedle adresy subsítˇ e slouží k aktivaci ˇ ci deaktivaci daného rozsahu adres (takto lze rozsah doˇ casnˇ e „vyˇ radit“, aniž by bylo nutné jej odstraˇ novat a poté znovu pˇ ridávat). Pod každou subsítí jsou pak zobrazovány rezervace IP adres, které jsou v ní definovány. První položkou v tabulce jsou Výchozí parametry, kde lze nastavit výchozí parametry pro DHCP server. Doba pˇ ridˇ elení Doba, na kterou je IP adresa klient˚ um pˇ ridˇ elována. Pokud bˇ ehem této doby klient nepožádá o prodloužení pronájmu nebo o uvolnˇ ení adresy, pak je po jejím uplynutí tato adresa automaticky uvolnˇ ena a m˚ uže být pˇ ridˇ elena jinému klientovi. DNS server M˚ uže být uveden libovolný DNS server (pˇ rípadnˇ e více DNS server˚ u oddˇ elených stˇ redníky). Jako primární DNS server (tj. na prvním místˇ e) však doporuˇ cujeme
46
4.4 DHCP server
uvádˇ et DNS Forwarder ve WinRoute (tj. IP adresu poˇ cítaˇ ce s WinRoute). DNS Forwarder totiž dokáže spolupracovat s DHCP serverem (viz kapitola 4.3) a na dotazy na jména lokálních poˇ cítaˇ cu ˚ bude vždy odpovídat správnou IP adresou. WINS server IP adresa WINS serveru. Doména Lokální internetová doména. Pokud lokální doména neexistuje, pak tento parametr nenastavujte. Upˇ resnˇ ení Tlaˇ cítko Upˇ resnˇ ení otevírá dialog s kompletním výˇ ctem volitelných parametr˚ u, které protokol DHCP podporuje (vˇ cetnˇ e výše uvedených). V tomto dialogu je možné pˇ ridat libovolný parametr, který DHCP server podporuje, a nastavit jeho hodnotu. Výchozí parametry jsou pˇ ridˇ elovány automaticky rozsah˚ um adres, pokud není zmˇ enˇ ena konfigurace konkrétního rozsahu adres (dialog Rozsah IP adres / Volby). Podobnˇ e funguje vztah mezi rozsahem adres a rezervacemi (pokud nezmˇ eníte parametry pˇ rímo u konkrétní rezervace, platí parametry nastavené v daném rozsahu adres). Platnost parametr˚ u je tedy podˇ rízena hierarchii stromové struktury, do které jsou rozsahy ˇ razeny. Volbou Pˇ ridat / Rozsah adres se zobrazí dialog pro definici rozsahu adres. Poznámka: V každé subsíti je možné definovat pouze jeden rozsah adres. Popis Textový popis vytvᡠreného rozsahu adres (pro pˇ rehled správce WinRoute). První adresa, Poslední adresa Poˇ cáteˇ cní a koncová adresa definovaného rozsahu. Poznámka: Doporuˇ cujeme definovat vˇ etší rozsah IP adres, než je skuteˇ cný poˇ cet poˇ cítaˇ cu ˚ v dané subsíti.
47
Kapitola 4 Nastavení rozhraní a sít’ových služeb
Maska subsítˇ e Maska odpovídající subsíti, v níž je tento rozsah adres definován. Maska subsítˇ e je pˇ ridˇ elována klient˚ um spoleˇ cnˇ e s IP adresou. Poznámka: Program Kerio Administration Console kontroluje, zda poˇ cáteˇ cní a koncová adresa rozsahu patˇ rí do téže subsítˇ e vymezené zadanou maskou. Pokud není tato podmínka splnˇ ena, bude po stisknutí tlaˇ cítka OK hlášena chyba. Doba pˇ ridˇ elení Doba, na kterou je IP adresa klient˚ um pˇ ridˇ elována. Pokud bˇ ehem této doby klient nepožádá o prodloužení pronájmu nebo o uvolnˇ ení adresy, pak je po jejím uplynutí tato adresa automaticky uvolnˇ ena a m˚ uže být pˇ ridˇ elena jinému klientovi. Výjimky WinRoute umožˇ nuje definovat v každé subsíti pouze jeden rozsah IP adres. Chceme-li vytvoˇ rit nˇ ekolik nesouvislých rozsah˚ u, provedeme to následovnˇ e: • vytvoˇ ríme rozsah adres pokrývající všechny požadované rozsahy • definujeme tzv. výjimky — tj. rozsahy adres, které nemají být pˇ ridˇ elovány Pˇ ríklad: V subsíti 192.168.1.0 chceme vytvoˇ rit dva rozsahy adres: 192.168.1.10 až 192.168.1.49 a 192.168.1.61 až 192.168.1.100. Adresy 192.168.1.50 až 192.168.1.60 mají z˚ ustat vyhrazeny pro jiné úˇ cely.
48
4.4 DHCP server
Vytvoˇ ríme rozsah adres 192.168.1.10 až 192.168.1.100 a stisknutím tlaˇ cítka Výjimky definujeme rozsah adres 192.168.1.50 až 192.168.1.60, které nemají být DHCP serverem pˇ ridˇ elovány.
Parametry Dialog Rozsah IP adres umožˇ nuje zadání základních DHCP parametr˚ u, které budou klient˚ um pˇ ridˇ elovány: • Výchozí brána — musí být uvedena IP adresa smˇ erovaˇ ce, který je výchozí branou pro subsít’, z níž jsou IP adresy pˇ ridˇ elovány (tzn. IP adresa rozhraní, ke kterému je daná subsít’ pˇ ripojena)! Výchozí brána v jiné subsíti nemá žádný smysl (byla by pro klienty nedosažitelná). • DNS server — m˚ uže být uveden libovolný DNS server (pˇ rípadnˇ e více DNS server˚ u oddˇ elených stˇ redníky). Jako primární DNS server (tj. na prvním místˇ e) však doporuˇ cujeme uvádˇ et DNS Forwarder ve WinRoute (tj. IP adresu poˇ cítaˇ ce s WinRoute). DNS Forwarder totiž dokáže spolupracovat s DHCP serverem (viz kapitola 4.3) a na dotazy na jména lokálních poˇ cítaˇ cu ˚ bude vždy odpovídat správnou IP adresou. • WINS server • Doména — lokální internetová doména. Pokud lokální doména neexistuje, pak tento parametr nenastavujte. Upozornˇ ení: Tento parametr neslouží k zadání jména Windows NT domény! Upˇ resnˇ ení... Tlaˇ cítko Upˇ resnˇ ení otevírá dialog s kompletním výˇ ctem volitelných parametr˚ u, které protokol DHCP podporuje (vˇ cetnˇ e výše uvedených). V tomto dialogu je možné pˇ ridat libovolný parametr, který DHCP server podporuje, a nastavit jeho hodnotu. Dialog je zároveˇ n druhou ˇ cástí záložky Rozsah adres.
49
Kapitola 4 Nastavení rozhraní a sít’ových služeb
Nastavené DHCP parametry a jejich hodnoty pro vybraný rozsah IP adres se zobrazují v pravém sloupci záložky Rozsahy adres. Poznámka: V pravé horní ˇ cásti záložky Rozsahy adres jsou zobrazovány jednoduché statistiky DHCP serveru. Pro vybraný rozsah IP adres je uveden: • celkový poˇ cet IP adres v tomto rozsahu • poˇ cet a procentuální podíl pˇ ridˇ elených adres • poˇ cet a procentuální podíl volných adres
Rezervace IP adresy DHCP server umožˇ nuje vyhradit (rezervovat) vybranou IP adresu pro konkrétní poˇ cítaˇ c. Rezervaci vytvoˇ ríme v záložce Rozsahy adres volbou Pˇ ridat / Rezervaci.
50
4.4 DHCP server
Rezervovat je možné libovolnou IP adresu, která patˇ rí do nˇ ekteré z definovaných subsítí. Nezáleží na tom, zda je tato adresa uvnitˇ r nebo vnˇ e rozsahu dynamicky pˇ ridˇ elovaných adres, a m˚ uže být i v nˇ ekterém z rozsah˚ u, které jsou definovány jako výjimky. IP adresa m˚ uže být rezervována pro: • hardwarovou (MAC) adresu poˇ cítaˇ ce — zadává se v podobˇ e hexadecimálních (šestnáctkových) ˇ císel oddˇ elených dvojteˇ ckami — napˇ r.: 00:bc:a5:f2:1e:50 nebo pomlˇ ckami — napˇ r.: 00-bc-a5-f2-1e-50 MAC adresu sít’ového adaptéru je možné zjistit pomocí nástroj˚ u operaˇ cního systému (napˇ r. pˇ ríkaz ipconfig), pˇ rípadnˇ e speciálního programu dodávaného výrobcem sít’ového adaptéru. • jméno poˇ cítaˇ ce — vˇ etšina DHCP klient˚ u posílá v DHCP požadavku jméno poˇ cítaˇ ce (napˇ r. všechny operaˇ cní systémy Windows), pˇ ríp. je možné klienta nastavit, aby jméno poˇ cítaˇ ce posílal (napˇ r. operaˇ cní systém Linux). Tlaˇ cítko Upˇ resnˇ ení otevírá dialog pro nastavení DHCP parametr˚ u, které budou spoleˇ cnˇ e s touto adresou pˇ ridˇ elovány. Pokud je rezervovaná IP adresa uvnitˇ r již definovaného rozsahu, pak jsou automaticky použity DHCP parametry pˇ riˇ razené tomuto rozsahu. V dialogu Rezervace adresy je možné pˇ ridat další parametry, pˇ rípadnˇ e nastavit specifické hodnoty již existujících parametr˚ u. Poznámka: IP adresu lze rezervovat také tak, že v záložce Pˇ ridˇ elené adresy nalezneme IP adresu, která byla dynamicky pˇ ridˇ elena vybranému poˇ cítaˇ ci, a tu pro nˇ ej rezervujeme (podrobnosti viz dále).
51
Kapitola 4 Nastavení rozhraní a sít’ových služeb
Pˇ ridˇ elené IP adresy V záložce Pˇ ridˇ elené adresy se (v podobˇ e stromu) zobrazují rozsahy IP adres a v každém z nich všechny IP adresy, které jsou aktuálnˇ e pˇ ridˇ eleny poˇ cítaˇ cu ˚m v dané subsíti.
Poznámka: Barva ikony odpovídá stavu adresy (viz dále). Ikona s písmenem R oznaˇ cuje IP adresy, které jsou rezervovány. Sloupce okna Pˇ ridˇ elené IP adresy obsahují následující informace: • IP adresa — pˇ ridˇ elená IP adresa • Skonˇ cení platnosti — datum a ˇ cas skonˇ cení doby pronájmu této IP adresy • MAC adresa — hardwarová adresa poˇ cítaˇ ce, jemuž je IP adresa pˇ ridˇ elena se jménem výrobce sít’ové karty. • Jméno poˇ cítaˇ ce — název poˇ cítaˇ ce, kterému je IP adresa pˇ ridˇ elena (pokud jej DHCP klient na tomto poˇ cítaˇ ci DHCP serveru posílá) • Stav — stav pˇ ridˇ elení IP adresy: Pˇ ridˇ eleno (adresa je pˇ ridˇ elena klientovi a doba pronájmu dosud neskonˇ cila), Expirováno (doba pronájmu již uplynula a klient nepožádal o obnovení), Odmítnuto (klient odmítl pˇ ridˇ elení této adresy) nebo Uvolnˇ eno (klient uvolnil pˇ ridˇ elenou adresu). Poznámky: 1.
Informace o expirovaných a uvolnˇ ených IP adresách DHCP server udržuje pro pˇ rípad, kdy pˇ ríslušný klient opˇ et požádá o pˇ ridˇ elení IP adresy — DHCP server
52
4.4 DHCP server
se snaží pˇ ridˇ elovat jednomu klientovi stále tutéž adresu. V pˇ rípadˇ e nedostatku volných IP adres však mohou být tyto adresy pˇ ridˇ eleny jiným klient˚ um. 2.
S odmítnutými IP adresami DHCP server zachází dle nastavení v záložce Upˇ resˇ ující volby — viz dále. n
Následující sloupce jsou ve výchozím nastavení skryty: ˇ posledního požadavku — datum a ˇ • Cas cas, kdy klient vyslal poslední požadavek na pˇ ridˇ elení ˇ ci obnovení adresy • Zbývající doba pˇ ridˇ elení — doba zbývající od aktuálního ˇ casu do Skonˇ cení platnosti Tlaˇ cítko Uvolnit slouží k okamžitému uvolnˇ ení vybrané IP adresy (bez ohledu na její stav). Uvolnˇ ená adresa se ihned vrací do fondu volných adres a m˚ uže být nabízena dalším klient˚ um. Tlaˇ cítkem Rezervovat m˚ užete rezervovat vybranou (dynamicky pˇ ridˇ elenou) IP adresu pro poˇ cítaˇ c, jemuž je aktuálnˇ e pˇ ridˇ elena. Po stisknutí tohoto tlaˇ cítka dojde k automatickému pˇ repnutí do záložky Rozsahy adres a zobrazí se dialog pro rezervaci adresy, jehož položky jsou již vyplnˇ eny odpovídajícími údaji (s výjimkou položky Popis). Po doplnˇ ení popisu a stisknutí tlaˇ cítka OK je IP adresa trvale rezervována pro poˇ cítaˇ c, kterému byla p˚ uvodnˇ e dynamicky pˇ ridˇ elena. Poznámka: Do dialogu pro rezervaci IP adresy je automaticky dosazena MAC adresa poˇ cítaˇ ce, kterému je daná IP adresa pˇ ridˇ elena. Chcete-li IP adresu rezervovat pro jméno ˇte nastavení položek Rezervovat pro a Hodnota. poˇ cítaˇ ce, zmˇ en
Upˇ resˇ nující volby Záložka Upˇ resˇ nující volby slouží k nastavení nˇ ekterých dalších parametr˚ u DHCP serveru. BOOTP Zapnutím této volby bude DHCP server pˇ ridˇ elovat IP adresy (vˇ cetnˇ e volitelných parametr˚ u) také klient˚ um protokolu BOOTP (pˇ redch˚ udce DHCP — pˇ ridˇ eluje konfiguraci pouze staticky na základˇ e MAC adresy). Windows RAS Volba umožˇ nuje povolit službu DHCP pro klienty RAS (Remote Access Service). Dále lze nastavit dobu pˇ ridˇ elení adresy pro RAS klienty, pokud nevyhovuje výchozí nastavení této hodnoty. Upozornˇ ení: Služba RAS ve Windows pˇ ridˇ eluje pˇ ri každém pˇ ripojení novou IP adresu (i v pˇ rípadˇ e, že se jedná o téhož klienta). WinRoute zahrnuje klienty služby RAS do celkového poˇ ctu klient˚ u pˇ ri kontrole, zda nedošlo k pˇ rekroˇ cení poˇ ctu uživatel˚ u
53
Kapitola 4 Nastavení rozhraní a sít’ových služeb
povoleného licencí (viz kapitola 13.4). Z toho vyplývá, že za urˇ citých podmínek (pˇ ríliš velký rozsah IP adres pro službu RAS a/nebo pˇ ríliš dlouhá doba pˇ ridˇ elení adresy klient˚ um RAS) m˚ uže opakovaným pˇ ripojováním RAS klient˚ u dojít k pˇ rekroˇ cení povoleného poˇ ctu uživatel˚ u. Vzdálený klient se pak bude moci pˇ ripojit a komunikovat s poˇ cítaˇ ci v lokální síti, nebude však moci pˇ ristupovat pˇ res WinRoute do Internetu. Volby pro odmítnuté adresy Nastavení v této sekci urˇ cuje, jakým zp˚ usobem budou použity IP adresy, které byly klienty odmítnuty (zpráva DHCPDECLINE). Tyto IP adresy mohou být bud’ okamžitˇ e považovány za volné a v pˇ rípadˇ e potˇ reby pˇ ridˇ eleny dalším klient˚ um (volba Nabízet ihned) nebo po urˇ citou dobu blokovány pro pˇ rípad, že o nˇ e p˚ uvodní klienti znovu požádají (volba Nabízet po uplynutí doby).
4.5 Proxy server WinRoute obsahuje klasický HTTP proxy server, pˇ restože umožˇ nuje díky technologii NAT pˇ rímý pˇ rístup do Internetu ze všech poˇ cítaˇ cu ˚ v lokální síti. Avšak v nˇ ekterých pˇ rí-
54
4.5 Proxy server
padech není použití pˇ rímého pˇ rístupu vhodné nebo jej nelze použít v˚ ubec. Jedná se zejména o tyto situace: 1.
Z poˇ cítaˇ ce s WinRoute není možné pˇ rímé pˇ ripojení, je tˇ reba použít proxy server poskytovatele Internetu. Proxy server ve WinRoute umí využívat tzv. nadˇ razený proxy server (parent proxy server), kterému pˇ redává veškeré požadavky.
2.
Pˇ ripojení do Internetu je realizováno vytᡠcenou linkou a pˇ rístup na urˇ cité WWW stránky je blokován (viz kapitola 6.1). Pˇ ri použití pˇ rímého pˇ rístupu dojde k vytoˇ cení linky dˇ ríve, než m˚ uže být zachycen vlastní HTTP požadavek (linka je vytᡠcena na DNS dotaz nebo pˇ ri požadavku klienta na navázání spojení s WWW serverem). Pˇ ri pˇ rístupu na zakázanou WWW stránku WinRoute vytoˇ cí linku a poté zablokuje pˇ rístup na požadovanou stránku — linka je vytoˇ cena zbyteˇ cnˇ e. Proxy server dokáže pˇ rijmout a zpracovat požadavek klienta lokálnˇ e. Jedná-li se o zakázanou stránku, k vytoˇ cení linky nedojde.
3.
WinRoute je nasazen do sítˇ e s velkým poˇ ctem poˇ cítaˇ cu ˚, kde byl dˇ ríve používán proxy server. Zmˇ ena konfigurace všech poˇ cítaˇ cu ˚ by byla ˇ casovˇ e i technicky nároˇ cná. Pˇ ri použití proxy serveru z˚ ustává pˇ rístup do Internetu funkˇ cní — konfigurace jednotlivých poˇ cítaˇ cu ˚ m˚ uže z˚ ustat nezmˇ enˇ ena (pˇ rípadnˇ e lze zmˇ enit nastavení pouze na nˇ ekterých poˇ cítaˇ cích).
Upozornˇ ení: Proxy server ve WinRoute podporuje pouze protokoly HTTP a HTTPS. Pro komunikaci protokolem FTP je tˇ reba použít pˇ rímý pˇ rístup (tzn. nepoužívat proxy server)! Jedinou výjimkou je situace, kdy je použit nadˇ razený proxy server, který protokol FTP podporuje — proxy server ve WinRoute pak dokáže „tunelovat“ FTP na nadˇ razený proxy server.
Konfigurace proxy serveru Parametry proxy serveru se nastavují v sekci Konfigurace / Filtrování obsahu / Pravidla pro HTTP, záložka Proxy server. Povolit netransparentní proxy server Tato volba zapíná HTTP proxy server ve WinRoute na portu uvedeném v položce Port (výchozí port je 3128). Upozornˇ ení: Zadáme-li do položky Port ˇ císlo portu, který již používá jiná služba ˇ ci aplikace, pak po stisknutí tlaˇ cítka Použít WinRoute tento port sice akceptuje, ale proxy server na nˇ em nespustí a do záznamu Error (viz kapitola 16.8) se vypíše následující chybové hlášení:
55
Kapitola 4 Nastavení rozhraní a sít’ových služeb
failed to bind to port 3128: another application is using this port Pokud nemáte jistotu, že zadaný port je skuteˇ cnˇ e volný, pak bezprostˇ rednˇ e po stisknutí tlaˇ cítka Použít zkontrolujte záznam Error, zda se v nˇ em takovéto hlášení neobjevilo. Pˇ redávat požadavky nadˇ razenému ... Zapnutím této volby bude proxy server ve WinRoute pˇ redávat veškeré požadavky nadˇ razenému proxy serveru specifikovanému v následujících položkách: • Server — DNS jméno nebo IP adresa nadˇ razeného proxy serveru a port, na kterém bˇ eží (výchozí port je 3128). • Nadˇ razený proxy server vyžaduje ovˇ eˇ rení — tuto volbu zapnˇ ete, pokud nadˇ razený proxy server vyžaduje ovˇ eˇ rení uživatele jménem a heslem. Do položek Uživatelské jméno a Heslo vyplˇ nte pˇ ríslušné pˇ rihlašovací údaje. Poznámka: Jméno a heslo pro ovˇ eˇ rení na nadˇ razeném proxy serveru se posílá s každým HTTP požadavkem. Je podporováno pouze ovˇ eˇ rování typu Basic.
56
4.6 HTTP cache
Volba Pˇ redávat požadavky nadˇ razenému proxy serveru zároveˇ n automaticky nastavuje zp˚ usob pˇ rístupu WinRoute do Internetu (pro kontrolu a stahování nových verzí, aktualizaci antiviru McAfee a pˇ rístup do online databází systému Cobion). Nastavit skript pro automatickou konfiguraci ... Pro použití proxy serveru je nutné správnˇ e nastavit parametry WWW prohlížeˇ cu ˚ na klientských poˇ cítaˇ cích. Vˇ etšina souˇ casných prohlížeˇ cu ˚ (napˇ r. Microsoft Internet Explorer, Netscape/Mozilla, Opera apod.) umožˇ nuje automatickou konfiguraci skriptem staženým ze zadaného URL. V pˇ rípadˇ e proxy serveru ve WinRoute je konfiguraˇ cní skript uložen na adrese: http://192.168.1.1:3128/pac/proxy.pac kde 192.168.1.1 je IP adresa poˇ cítaˇ ce s WinRoute a 3128 je port proxy serveru (viz výše). Volba Nastavit skript pro automatickou konfiguraci prohlížeˇ cu ˚ umožˇ nuje pˇ rizp˚ usobit konfiguraˇ cní skript tak, aby nastavoval prohlížeˇ ce správnˇ e podle aktuální konfigurace WinRoute a lokální sítˇ e: • Pˇ rímý pˇ rístup — v prohlížeˇ ci nebude nastaven žádný proxy server. • Proxy server ve WinRoute — v prohlížeˇ ci bude nastavena IP adresa poˇ cítaˇ ce s WinRoute a port, na kterém je proxy server spuštˇ en (viz výše). Poznámka: Pro použití konfiguraˇ cního skriptu musí být proxy server vždy spuštˇ en (i v pˇ rípadˇ e, že prohlížeˇ ce budou nastavovány pro pˇ rímý pˇ rístup). Povolit prohlížeˇ cu ˚m použít konfiguraˇ cní skript automaticky ... Prohlížeˇ c Microsoft Internet Explorer se m˚ uže být konfigurován zcela automaticky použitím DHCP serveru. V nastavení prohlížeˇ ce staˇ cí zapnout volbu Automaticky zjišt’ovat nastavení (Automatically detect settings). Podmínkou použití této funkce je spuštˇ ený DHCP server ve WinRoute (viz kapitoríslušné stanici však mohou být nastaveny staticky — la 4.4). Parametry TCP/IP na pˇ Microsoft Internet Explorer vyšle pˇ ri svém spuštˇ ení speciální DHCP požadavek. TIP: Takto lze jediným kliknutím nastavit všechny prohlížeˇ ce Microsoft Internet Explorer na poˇ cítaˇ cích v lokální síti.
4.6 HTTP cache Cache slouží ke zrychlení pˇ rístupu na opakovanˇ e navštˇ evované WWW stránky a snížení zatížení internetového pˇ ripojení (v pˇ rípadˇ e mˇ eˇ rené linky se také sníží objem pˇ renesených dat). Stahované soubory se ukládají na disk poˇ cítaˇ ce s WinRoute a pˇ ri dalším pˇ rístupu nemusejí být znovu stahovány z WWW serveru.
57
Kapitola 4 Nastavení rozhraní a sít’ových služeb
Objekty se do cache ukládají na omezenou dobu (Time To Live — TTL). Tato doba urˇ cuje, zda se má na WWW serveru ovˇ eˇ rovat novˇ ejší verze daného objektu. Pokud doba TTL nevypršela, objekt se vezme z cache. V opaˇ cném pˇ rípadˇ e se ovˇ eˇ rí, zda se objekt na pˇ ríslušném WWW serveru zmˇ enil, a pokud ano, stáhne se nová verze. Tento mechanismus zajišt’uje pr˚ ubˇ ežnou aktualizaci objekt˚ u v cache. Cache lze použít pˇ ri pˇ rístupu pˇ res proxy server i pˇ rímém pˇ rístupu. V pˇ rípadˇ e pˇ rímého pˇ rístupu musí být na komunikaci aplikován inspekˇ cní modul HTTP (viz kapitoly 5.2 a 9.3). Parametry HTTP cache se nastavují v sekci Konfigurace / Filtrování obsahu / Pravidla pro HTTP, záložka Cache.
Povolit cache pro transparentní proxy Zapnutí cache pro HTTP komunikaci obsluhovanou inspekˇ cním modulem HTTP (tj. pˇ rímý pˇ rístup do Internetu) Povolit cache pro proxy server Zapnutí cache pro objekty stahované pˇ res proxy server ve WinRoute (viz kapitola 4.5)
58
4.6 HTTP cache
Doba životnosti (TTL)... Výchozí doba platnosti objektu v cache. Tato doba je použita, jestliže: • pro konkrétní objekt není nastavena specifická doba životnosti (nastavuje se v dialogu, který se otevírá tlaˇ cítkem Specifická nastavení pro URL — viz dále) • není akceptována doba životnosti urˇ cená WWW serverem (viz položka Akceptovat dobu životnosti (TTL) dodanou serverem) Adresᡠr pro cache Adresᡠr pro ukládání objekt˚ u. Ve výchozím nastavení se používá podadresᡠr cache v adresᡠri, kde je WinRoute nainstalován. Upozornˇ ení: Zmˇ ena adresᡠre pro cache se projeví až po pˇ rístím startu WinRoute Firewall Engine. Velikost cache Velikost souboru cache na disku. Maximální velikost tohoto souboru je dána použitým souborovým systémem: FAT16 — 2GB, ostatní souborové systémy — 4GB. Poznámka: Je-li cache zaplnˇ ena z 98%, spustí se automaticky tzv. úklid — smazání všech objekt˚ u, jejichž doba životnosti již vypršela. Nepodaˇ rí-li se odstranit žádné objekty, nebudou do cache ukládány nové objekty, dokud se místo neuvolní (pˇ ri nˇ ekterém z dalších úklid˚ u nebo ruˇ cním vymazáním). Velikost cache v pamˇ eti Maximální velikost cache v operaˇ cní pamˇ eti. Tato cache slouží zejména pro urychlení zápisu do cache na disku. Pˇ ríliš vysoká hodnota m˚ uže mít negativní vliv na výkon poˇ cítaˇ ce (velikost cache by nemˇ ela pˇ resáhnout cca 10% velikosti operaˇ cní pamˇ eti). Max. velikost HTTP objektu Maximální velikost objektu, který bude do cache uložen. Statistiky dokazují, že nejvˇ etší poˇ cet požadavk˚ u je na objekty malé velikosti (napˇ r. HTML stránky, obrázky apod.). Velké objekty, napˇ r. archivy, které se zpravidla stahují jednorázovˇ e, by v cache zbyteˇ cnˇ e zabíraly místo. Volby pro cache Upˇ resˇ nující nastavení chování cache. • Dokonˇ cit stahování objekt˚ u pˇ ri pˇ rerušení — po zaškrtnutí této volby se bude automaticky dokonˇ covat stahování objekt˚ u, jestliže byl požadavek uživatelem pˇ rerušen (tlaˇ cítkem Stop ve WWW prohlížeˇ ci). Ve velkém poˇ ctu pˇ rípad˚ u totiž uživatel pˇ rerušuje otevírání stránky z d˚ uvodu pˇ ríliš pomalého natahování. Rozhodne-li se uživatel navštívit stránku znovu (pˇ rípadnˇ e ji navštíví jiný uživatel), bude stránka k dispozici nesrovnatelnˇ e rychleji. • Uchovávat v cache neúplné soubory — zapnutím této volby bude server do cache ukládat i nekompletní objekty (jejichž stahování bylo pˇ rerušeno). Natahování stránky pˇ ri opakované návštˇ evˇ e pak bude o nˇ eco rychlejší.
59
Kapitola 4 Nastavení rozhraní a sít’ových služeb
Je-li zapnuta volba Dokonˇ cit stahování objekt˚ u pˇ ri pˇ rerušení , pak bude volba Uchovávat v cache neúplné soubory ignorována. • Ukládat odpovˇ edi na pˇ resmˇ erování (redirect) — po zapnutí této volby budou do cache ukládány HTTP odpovˇ edi obsahující pˇ resmˇ erování. • Akceptovat dobu životnosti (TTL) dodanou serverem — tato volba zp˚ usobí uložení objekt˚ u do cache na dobu doporuˇ cenou WWW serverem, ze kterého jsou objekty stahovány. Pokud server tuto dobu neurˇ cí, použije se výchozí doba (viz položka Doba životnosti (TTL) pro protokol HTTP). Upozornˇ ení: Nˇ ekteré WWW servery mohou zámˇ ernˇ e dodávat pˇ ríliš krátké nebo pˇ ríliš dlouhé doby za úˇ celem potlaˇ cení cache. • Ignorovat direktivu serveru Cache-Control — po zapnutí této volby bude WinRoute ignorovat direktivy pro ˇ rízení cache na WWW stránkách. Pokud se obsah nˇ ejaké stránky velmi ˇ casto mˇ ení, její autor na ni zpravidla umístí direktivu, aby se neukládala do cache. V nˇ ekterých pˇ rípadech je tato direktiva používána nerozumnˇ e, napˇ r. za úˇ celem vyˇ razení cache. Volba Ignorovat direktivu serveru Cache-Control zp˚ usobí, že WinRoute bude akceptovat pouze direktivy nostore a private. Poznámka: WinRoute pracuje pouze s direktivami z hlaviˇ cek HTTP odpovˇ edí, nikoliv ze samotných stránek. • Vždy kontroluj platnost soubor˚ u v cache — zapnutím této volby bude WinRoute pˇ ri každém požadavku kontrolovat, zda se na serveru nenachází novˇ ejší verze objektu uloženého v cache (bez ohledu na to, zda to klient požaduje). Poznámka: Klient si m˚ uže kdykoliv vyžádat kontrolu novˇ ejší verze objektu na WWW serveru (bez ohledu na nastavení cache). V prohlížeˇ cích Microsoft Internet Explorer a Netscape/Mozilla lze tuto kontrolu vyvolat stisknutím kombinace kláves Ctrl-F5. Prohlížeˇ ce lze také nastavit, aby kontrolovaly novˇ ejší verze stránek pˇ ri každém pˇ rístupu (pak staˇ cí stránku pouze obnovit).
Specifická nastavení pro URL Výchozí doba životnosti objektu v cache nemusí být vyhovující pro všechny stránky. V nˇ ekterých pˇ rípadech m˚ uže vzniknout požadavek neukládat stránku (resp. objekt) do cache v˚ ubec ˇ ci zkrátit dobu jeho platnosti (napˇ r. pro stránky, které se mˇ ení nˇ ekolikrát dennˇ e). Tlaˇ cítko Specifická nastavení pro URL otevírá dialog, ve kterém lze nastavit dobu platnosti pro konkrétní URL.
60
4.6 HTTP cache
Pravidla v tomto dialogu tvoˇ rí uspoˇ rádaný seznam, který je procházen shora dol˚ u (tlaˇ cítky se šipkami na pravé stranˇ e okna lze upravit poˇ radí pravidel). Popis Textový popis položky (pro snazší orientaci) URL URL, pro které má být nastavena specifická doba životnosti objekt˚ u v cache. URL m˚ uže být zadáno v jednom z tˇ echto tvar˚ u • kompletní URL (napˇ r. www.kerio.com/cz/index.html) • podˇ retˇ ezec s použitím hvˇ ezdiˇ ckové konvence (napˇ r. *idnes.cz*) • jméno serveru (napˇ r. www.kerio.com) — libovolné URL na tomto serveru (zadaný ˇ retˇ ezec se automaticky doplní na tvar: www.kerio.com/*) TTL Doba platnosti objekt˚ u vyhovujících uvedenému URL. Volba 0 dní, 0 hodin znamená, že objekty nebudou do cache ukládány.
61
Kapitola 4 Nastavení rozhraní a sít’ových služeb
62
Kapitola 5
Komunikaˇ cní pravidla
Komunikaˇ cní pravidla (Traffic Policy) jsou základem konfigurace WinRoute. V jediné tabulce je integrováno nastavení: • zabezpeˇ cení (tj. ochrany lokální sítˇ e vˇ cetnˇ e poˇ cítaˇ ce, na nˇ emž je WinRoute nainstalován, proti nežádoucímu pr˚ uniku z Internetu) • pˇ rekladu IP adres (též NAT, Network Address Translation — technologie umožˇ nující transparentní pˇ rístup z celé lokální sítˇ e do Internetu prostˇ rednictvím jediné veˇ rejné IP adresy) • zpˇ rístupnˇ ení server˚ u (služeb) bˇ ežících v lokální síti z Internetu (tzv. mapování port˚ u) • ˇ rízení pˇ rístupu lokálních uživatel˚ u do Internetu K definici komunikaˇ cních pravidel slouží sekce Konfigurace / Komunikaˇ cní pravidla. Pravidla mohou být definována dvˇ ema zp˚ usoby: ruˇ cnˇ e (pro zkušené správce) nebo pomocí pr˚ uvodce (pro ménˇ e zkušené uživatele nebo pˇ rípady, kdy nejsou tˇ reba žádná speciální nastavení).
5.1 Pr˚ uvodce komunikaˇ cními pravidly Pr˚ uvodce (wizard) se uživatele dotáže pouze na nejnutnˇ ejší informace, na jejichž základˇ e vytvoˇ rí sadu komunikaˇ cních pravidel. Vytvoˇ rená pravidla zajistí pˇ rístup z lokální sítˇ e do Internetu ke zvoleným službám, pˇ rístup z Internetu k vybraným lokálním server˚ um a plnou ochranu lokální sítˇ e (vˇ cetnˇ e poˇ cítaˇ ce s WinRoute) proti neoprávnˇ enému pˇ rístupu z Internetu. Aby bylo možné zaruˇ cit funkˇ cnost WinRoute po použití pr˚ uvodce, jsou pˇ red dokonˇ cením pr˚ uvodce všechna stávající pravidla smazána a nahrazena pravidly vytvoˇ renými automaticky na základˇ e poskytnutých informací. Pr˚ uvodce komunikaˇ cními pravidly se spustí stisknutím tlaˇ cítka Pr˚ uvodce. Poznámka: Nahrazení stávajících komunikaˇ cních pravidel pravidly vytvoˇ renými pr˚ uvodcem se provádí až po potvrzení posledního kroku. Pr˚ uvodce tedy m˚ užete v kterémkoliv kroku stornovat beze ztráty stávajících pravidel. Krok 1 — informace
63
Kapitola 5 Komunikaˇ cní pravidla
Pr˚ uvodce pˇ redpokládá, že poˇ cítaˇ c, kde je WinRoute nainstalován, je vybaven: • alespoˇ n jedním aktivním adaptérem pro lokální sít’ • alespoˇ n jedním aktivním adaptérem pˇ ripojeným do Internetu nebo je definováno alespoˇ n jedno vytᡠcené pˇ ripojení. Vytᡠcená linka nemusí být v okamžiku spuštˇ ení pr˚ uvodce pˇ ripojena. Krok 2 — výbˇ er typu internetového rozhraní Vyberte zp˚ usob, jakým je poˇ cítaˇ c s WinRoute pˇ ripojen do Internetu: sít’ovým adaptérem (Ethernet, WaveLAN, DSL apod.), vytᡠcenou linkou (analogový modem, ISDN atd.) nebo satelitním systémem DirecWay. Satelitní pˇ ripojení DirecWay je nabízeno pouze v pˇ rípadˇ e, že je v operaˇ cním systému detekován pˇ ríslušný ovladaˇ c zaˇ rízení.
Krok 3 - výbˇ er internetového adaptéru nebo vytᡠcené linky
64
5.1 Pr˚ uvodce komunikaˇ cními pravidly
Je-li poˇ cítaˇ c pˇ ripojen do Internetu sít’ovým adaptérem, staˇ cí jej vybrat ze seznamu. V pr˚ uvodci se pro snazší orientaci zobrazuje také IP adresa, maska subsítˇ e a MAC adresa zvoleného adaptéru. Poznámka: Na prvním místˇ e seznamu je nabízeno internetové rozhraní s výchozí bránou. Proto je ve vˇ etšinˇ e pˇ rípad˚ u v tomto kroku již pˇ rednastaven správný adaptér.
Pro vytᡠcenou linku, je tˇ reba vybrat pˇ ríslušné telefonické pˇ ripojení (definované v operaˇ cním systému) a specifikovat, jaké pˇ rihlašovací údaje mají být použity:
• Použít pˇ rihlašovací údaje z telefonického pˇ ripojení (RAS položky) — uživatelské jméno a heslo pro ovˇ eˇ rení na vzdáleném serveru bude naˇ cteno z pˇ ríslušné položky telefonického pˇ ripojení ve Windows. Podmínkou je, že telefonické pˇ ripojení musí být
65
Kapitola 5 Komunikaˇ cní pravidla
uloženo v systémovém „telefonním seznamu“ (pˇ ri jeho vytvᡠrení je tˇ reba nastavit, že pˇ ripojení bude dostupné pro všechny uživatele). • Použít tyto pˇ rihlašovací údaje — pro ovˇ eˇ rení na vzdáleném serveru bude použito zadané Uživatelské jméno a Heslo. Tuto možnost lze využít napˇ r. v pˇ rípadˇ e, kdy nechceme z nˇ ejakého d˚ uvodu pˇ rihlašovací údaje v operaˇ cním systému ukládat nebo je budeme chtít pozdˇ eji vzdálenˇ e mˇ enit. Krok 4 — omezení pˇ rístupu na Internet Zvolte, k jakým službám v Internetu budou uživatelé z lokální sítˇ e smˇ et pˇ ristupovat:
Povolit pˇ rístup ke všem službám Pˇ rístup z lokální sítˇ e do Internetu nebude nijak omezen. Uživatelé budou smˇ et využívat jakoukoliv službu bˇ ežící na serveru v Internetu. Povolit pˇ rístup pouze k následujícím službám Z lokální sítˇ e bude povolen pˇ rístup pouze ke službám, které zde vyberete. Poznámka: V tomto dialogu je uveden výˇ cet pouze základních služeb (nezávisle na tom, jaké služby jsou ve WinRoute definovány — viz kapitola 9.3). Další služby m˚ užete povolit pˇ ridáním vlastních komunikaˇ cních pravidel — viz kapitola 5.2. Krok 5 — povolení komunikace Kerio VPN
66
5.1 Pr˚ uvodce komunikaˇ cními pravidly
Chcete-li použít proprietární VPN ˇ rešení ve WinRoute pro pˇ ripojování vzdálených klient˚ u nebo vytvᡠrení tunel˚ u mezi vzdálenými sítˇ emi, zvolte v tomto kroku Ano. Pr˚ uvodce pˇ ridá do komunikaˇ cních pravidel specifické služby a skupiny adres pro VPN. Podrobné informace o proprietárním VPN ˇ rešení ve WinRoute naleznete v kapitole 12. Používáte-li (nebo plánujete-li použít) VPN ˇ rešení jiného výrobce (napˇ r. Microsoft PPTP, Nortel IPSec apod.), zvolte v tomto kroku pr˚ uvodce Ne, nevytvᡠret pravidla pro Kerio VPN .
Krok 6 — zpˇ rístupnˇ ení služeb v lokální síti Bˇ eží-li na poˇ cítaˇ ci s WinRoute ˇ ci na nˇ ekterém poˇ cítaˇ ci v lokální síti služba (napˇ r. WWW server, FTP server apod.), kterou chcete zpˇ rístupnit z Internetu, definujte ji v tomto dialogu.
Tlaˇ cítko Pˇ ridat otevírá dialog pro zpˇ rístupnˇ ení nové služby.
67
Kapitola 5 Komunikaˇ cní pravidla
Služba bˇ eží na Volba poˇ cítaˇ ce, na nˇ emž služba bˇ eží: • Firewall — poˇ cítaˇ c, na nˇ emž je WinRoute nainstalován • IP adresa — adresa serveru v lokákní síti (poˇ cítaˇ c, na kterém služba bˇ eží) Poznámka: Výchozí brána na tomto poˇ cítaˇ ci musí být nastavena tak, aby pˇ ristupoval do Internetu pˇ res WinRoute — jinak nebude zpˇ rístupnˇ ení služby fungovat! Služba Výbˇ er služby, která má být zpˇ rístupnˇ ena. Tato služba musí být nejprve definována v sekci Konfigurace / Definice / Služby (viz kapitola 9.3). Poznámka: Vˇ etšina bˇ ežných služeb je ve WinRoute již pˇ reddefinována. Krok 7— NAT Pokud se jedná o privátní lokální sít’, která má být pˇ ripojena do Internetu pˇ res jedinou veˇ rejnou IP adresu, zapnˇ ete funkci NAT (pˇ reklad IP adres). Je-li WinRoute použit pro smˇ erování mezi dvˇ ema veˇ rejnými sítˇ emi ˇ ci mezi dvˇ ema lokálními segmenty (tzv. neutrální smˇ erovaˇ c), pak pˇ reklad adres nezapínejte.
Krok 8— vytvoˇ rení pravidel V posledním kroku vás pr˚ uvodce informuje o tom, že vytvoˇ rí komunikaˇ cní pravidla na základˇ e shromáždˇ ených informací. Všechna stávající pravidla budou smazána a nahrazena novˇ e vytvoˇ renými pravidly.
68
5.1 Pr˚ uvodce komunikaˇ cními pravidly
Upozornˇ ení: Toto je poslední možnost pr˚ uvodce stornovat a zachovat stávající komunikaˇ cní pravidla! Po stisknutí tlaˇ cítka Dokonˇ cit budou smazána a nahrazena novými.
Pravidla vytvoˇ rená pr˚ uvodcem Podívejme se podrobnˇ eji na komunikaˇ cní pravidla, která byla vytvoˇ rena pr˚ uvodcem v pˇ redchozím pˇ ríkladu. ICMP komunikace Toto pravidlo je pr˚ uvodcem pˇ ridáno vždy, bez ohledu na nastavení v jednotlivých krocích. Umožˇ nuje PING (tj. vyslání žádosti o odezvu) z poˇ cítaˇ ce, kde je WinRoute nainstalován. PING je velmi d˚ uležitý napˇ r. pro ovˇ eˇ rení funkˇ cnosti internetového pˇ ripojení. Poznámka: Pravidlo ICMP komunikace nepovoluje PING z poˇ cítaˇ cu ˚ v lokální síti do Internetu. Je-li to požadováno, je tˇ reba pˇ ridat službu Ping do pravidla NAT (detaily viz kapitola 5.2). Komunikace systému Cobion Je-li použit systém Cobion (modul Cobion OrangeFilter pro klasifikaci obsahu WWW stránek), pak toto pravidlo povoluje komunikaci s pˇ ríslušnými databázemi. Bude-li tato komunikace blokována, nebude systém Cobion fungovat správnˇ e. NAT Toto pravidlo urˇ cuje, že ve všech paketech jdoucích z lokální sítˇ e do Internetu bude zdrojová (privátní) IP adresa nahrazována adresou rozhraní pˇ ripojeného do Internetu (v pr˚ uvodci krok 3 a krok 6). Pˇ rístup bude povolen pouze k vybraným službám (krok 4). Do položky Zdroj je v tomto pravidle zahrnuto také rozhraní Dial-In, tzn. všichni klienti služby RAS pˇ ripojující se na tento server budou mít povolen pˇ rístup do Internetu pomocí technologie NAT . Lokální komunikace Toto pravidlo povoluje veškerou komunikaci poˇ cítaˇ cu ˚ v lokální síti s poˇ cítaˇ cem, na nˇ emž WinRoute bˇ eží. Položky Zdroj a Cíl v tomto pravidle zahrnují všechna rozhraní poˇ cítaˇ ce s WinRoute kromˇ e rozhraní pˇ ripojeného do Internetu (vybraného v kroku 3).
69
Kapitola 5 Komunikaˇ cní pravidla
Do položek Zdroj a Cíl jsou v tomto pravidle zahrnuta také rozhraní Dial-In a . Pravidlo Lokální komunikace tedy povoluje také komunikaci mezi poˇ cítaˇ ci v lokální síti (resp. firewallem) a klienty služby RAS pˇ ripojujícími se na tento server. Pokud bylo v pr˚ uvodci požadováno vytvoˇ rení pravidel pro Kerio VPN (Krok 5), pak pravidlo Lokální komunikace obsahuje také speciální skupinu adres VPN klienti — pravidlo povoluje komunikaci mezi lokální sítí (firewallem) a VPN klienty pˇ ripojujícími se k VPN serveru ve WinRoute. Poznámka: Pr˚ uvodce pˇ redpokládá, že poˇ cítaˇ c s WinRoute logicky patˇ rí do lokální sítˇ e, a pˇ rístup k nˇ emu nijak neomezuje. Omezení pˇ rístupu na tento poˇ cítaˇ c lze provést úpravou pravidla nebo definicí nového. Je nutné si uvˇ edomit, že nevhodné omezení pˇ rístupu k poˇ cítaˇ ci s WinRoute m˚ uže mít za následek zablokování vzdálené správy
70
5.2 Definice vlastních komunikaˇ cních pravidel
ˇ ci nedostupnost služeb v Internetu (veškerá komunikace do Internetu prochází pˇ res tento poˇ cítaˇ c). Komunikace firewallu Toto pravidlo povoluje pˇ rístup k vybraným službám z poˇ cítaˇ ce, kde je WinRoute nainstalován. Je obdobou pravidla NAT , ale s tím rozdílem, že se zde neprovádí pˇ reklad IP adres (tento poˇ cítaˇ c má pˇ rímý pˇ rístup do Internetu). Služba HTTP a Služba HTTPS Tato dvˇ e pravidla zpˇ rístupˇ nují (mapují) služby HTTP a HTTPS bˇ ežící na poˇ cítaˇ ci s IP adresou 192.168.1.10 (krok 6). Tyto služby budou z Internetu pˇ rístupné na IP adresách vnˇ ejšího rozhraní (krok 3). Služba Kerio VPN Pravidlo Služba Kerio VPN povoluje pˇ ripojení k VPN serveru ve WinRoute z Internetu (navázání ˇ rídicího spojení mezi VPN klientem a serverem, resp. vytvoˇ rení VPN tunelu — podrobnosti viz kapitola 12). Toto pravidlo je vytvoˇ reno pouze v pˇ rípadˇ e, kdy bylo v pr˚ uvodci komunikaˇ cními pravidly požadováno vytvoˇ rení pravidel pro Kerio VPN (Krok 5). Implicitní pravidlo Toto pravidlo zakazuje veškerou komunikaci, která není povolena jinými pravidly. Implicitní pravidlo je vždy na konci seznamu komunikaˇ cních pravidel a nelze jej odstranit. Implicitní pravidlo umožˇ nuje zvolit akci pro nežádoucí komunikaci (Zakázat nebo Zahodit) a zapnout záznam paket˚ u nebo spojení. Poznámka: Detailní popis jednotlivých ˇ cástí komunikaˇ cního pravidla najdete v kapitole 5.2.
5.2 Definice vlastních komunikaˇ cních pravidel Chcete-li dále doladit nastavení WinRoute, m˚ užete definovat vlastní pravidla, pˇ rípadnˇ e upravit pravidla vytvoˇ rená pr˚ uvodcem. Zkušení správci nemusejí pr˚ uvodce použít v˚ ubec — mohou vytvoˇ rit kompletní sadu pravidel pˇ resnˇ e podle specifických požadavk˚ u. Poznámka: Chcete-li ˇ rídit pˇ rístup uživatel˚ u k WWW a FTP server˚ um, doporuˇ cujeme namísto komunikaˇ cních pravidel použít speciální nástroje, které WinRoute k tomuto úˇ celu nabízí — viz kapitola 6.
Jak komunikaˇ cní pravidla fungují? Komunikaˇ cní pravidla jsou uložena v uspoˇ rádaném seznamu. Pˇ ri aplikaci pravidel je seznam procházen shora dol˚ u a použije se vždy první pravidlo, kterému dané spojení ˇ ci paket vyhovuje — záleží tedy na poˇ radí pravidel v seznamu. Poˇ radí pravidel lze upravit šipkovými tlaˇ cítky v pravé ˇ cásti okna.
71
Kapitola 5 Komunikaˇ cní pravidla
Na konci seznamu je vždy umístˇ eno implicitní pravidlo, které zakazuje nebo zahazuje veškerou komunikaci (akce je volitelná). Toto pravidlo nelze odstranit. Komunikace, která není pravidly výslovnˇ e povolena, je zakázána. Poznámka: Bez definice komunikaˇ cních pravidel (pomocí pr˚ uvodce ˇ ci vlastních) existuje ve WinRoute pouze implicitní pravidlo, které blokuje veškerou komunikaci.
Definice pravidel Komunikaˇ cní pravidla jsou zobrazována ve formˇ e tabulky, kde každý ˇ rádek obsahuje jedno pravidlo a ve sloupcích jsou jeho jednotlivé ˇ cásti (jméno, podmínky, akce — detaily viz dále). Dvojitým kliknutím levým tlaˇ cítkem myši na vybrané pole tabulky (pˇ rípadnˇ e kliknutím pravým tlaˇ cítkem a volbou Zmˇ enit... z kontextového menu) se zobrazí dialog pro zmˇ enu vybrané položky. Nové pravidlo pˇ ridáme stisknutím tlaˇ cítka Pˇ ridat a šipkovými tlaˇ cítky v pravé ˇ cásti okna jej pˇ resuneme na požadované místo. Jméno Název pravidla. Mˇ el by být struˇ cný a výstižný, aby tabulka pravidel byla pˇ rehledná. Detailnˇ ejší informace by mˇ ely být zapsány do položky Popis. Zaškrtávací pole pˇ red jménem pravidla slouží k jeho aktivaci a deaktivaci. Není-li toto pole zaškrtnuto, pak se WinRoute chová, jako by pravidlo neexistovalo. Toho lze využít napˇ r. pro doˇ casné vyˇ razení pravidla — není tˇ reba je odstraˇ novat a pozdˇ eji znovu definovat.
Kromˇ e výše uvedeného jména m˚ užete nastavit také barvu pozadí ˇ rádku tabulky s tímto pravidlem. Volba Transparentní znamená, že ˇ rádek bude „pr˚ uhledný“ (pod textem bude barva pozadí celého seznamu, typicky bílá). Položka
72
5.2 Definice vlastních komunikaˇ cních pravidel
Popis m˚ uže obsahovat libovolný text popisující význam a úˇ cel daného pravidla (maximálnˇ e 1024 znak˚ u). Je-li popis uveden, pak se v seznamu pravidel ve sloupci Jméno vedle názvu pravidla zobrazí symbol „bubliny“ s textem. Umístˇ ením kurzoru myši na tento symbol bude zobrazen text popisu pravidla. Doporuˇ cujeme d˚ uslednˇ e popisovat všechna vytvoˇ rená pravidla (v pravidlech vytvoˇ rených pr˚ uvodcem je popis již vyplnˇ en). Ne vždy je totiž na první pohled zˇ rejmé, k jakému úˇ celu konkrétní pravidlo slouží. Dobré popisy pravidel ušetˇ rí správci WinRoute mnoho ˇ casu pˇ ri pozdˇ ejším ladˇ ení ˇ ci hledání problém˚ u. Poznámka: Popis a barevné oznaˇ cení pravidla slouží pouze pro zlepšení pˇ rehlednosti — nesouvisejí s jeho významem. Zdroj, Cíl Volba zdroje, resp. cíle komunikace, pro niž má pravidlo platit.
Tlaˇ cítkem Pˇ ridat lze definovat novou položku zdroje, resp. cíle komunikace: • Poˇ cítaˇ c — jméno nebo IP adresa konkrétního poˇ cítaˇ ce (napˇ r. www.firma.cz nebo 192.168.1.1) Upozornˇ ení: Je-li zdrojový nebo cílový poˇ cítaˇ c zadán DNS jménem, pak WinRoute zjišt’uje odpovídající IP adresu v okamžiku stisknutí tlaˇ cítka Použít. Pokud není nalezen odpovídající záznam v DNS cache, vysílá se DNS dotaz do Internetu. Je-li internetové pˇ ripojení realizováno vytᡠcenou linkou, která je momentálnˇ e zavˇ ešena, vyšle se tento dotaz až po vytoˇ cení linky. Do zjištˇ ení IP adresy z DNS jména je však pˇ ríslušné pravidlo neaktivní. V krajním pˇ rípadˇ e m˚ uže dojít
73
Kapitola 5 Komunikaˇ cní pravidla
k tomu, že po definici pravidla bude linka vytoˇ cena na základˇ e komunikace, která má být pravidlem zakázána. Z výše uvedených d˚ uvod˚ u doporuˇ cujeme v pˇ rípadˇ e vytᡠcené linky do Internetu zadávat zdrojový a cílový poˇ cítaˇ c výhradnˇ e IP adresami! • Rozsah IP adres — napˇ r. 192.168.1.10—192.168.1.20 • Skupinu IP adres — skupina adres definovaná ve WinRoute (viz kapitola 9.1) • Subsít’ s maskou — subsít’ zadaná adresou sítˇ e a maskou (napˇ r. 192.168.1.0/255.255.255.0) • Sít’ pˇ ripojenou k rozhraní — výbˇ er rozhraní, kterým paket pˇ richází (v položce Zdroj) nebo kudy má být odeslán (v položce Cíl) • VPN — virtuální privátní sít’ (vytvoˇ rená pomocí VPN ˇ rešení ve WinRoute). Volbou VPN m˚ užeme pˇ ridat položky následujících typ˚ u:
• Pˇ ríchozí spojení (VPN klienti) — všichni VPN klienti pˇ ripojující se k VPN serveru ve WinRoute pomocí aplikace Kerio VPN Client, • Odchozí VPN tunel — sít’ pˇ ripojená vybraným VPN tunelem. Podrobné informace o VPN ˇ rešení ve WinRoute naleznete v kapitole 12. • Uživatele — uživatelé nebo skupiny uživatel˚ u, které lze vybrat ve speciálním dialogu. Volba Ovˇ eˇ rení uživatelé znamená, že podmínka bude platit pro všechny uživatele, kteˇ rí jsou na firewall již pˇ rihlášeni (viz kapitola 8.2). V komunikaˇ cních pravidlech má uživatel (resp. skupina) význam IP adresy poˇ cítaˇ ce, z nˇ ehož je pˇ rihlášen (podrobnosti o ovˇ eˇ rování uživatel˚ u na firewallu naleznete v kapitole 8.2).
74
5.2 Definice vlastních komunikaˇ cních pravidel
Poznámky: 1.
Povolení / zákaz pˇ rístupu urˇ citým uživatel˚ um má smysl jen tehdy, pokud je zavedeno globální omezení pro nepˇ rihlášené uživatele (jinak totiž není uživatel donucen se pˇ rihlásit).
2.
V pˇ rípadˇ e služby HTTP umožˇ nuje WinRoute vyžádat ovˇ eˇ rení uživatele automatickým pˇ resmˇ erováním na pˇ rihlašovací stránku (podrobnosti viz kapitola 6.1). U ostatních služeb toto možné není — je-li pˇ rístup ke službˇ e omezen dle uživatel˚ u a z daného poˇ cítaˇ ce není pˇ rihlášen žádný uživatel, pak je služba blokována. Uživatelé by mˇ eli být informováni o tom, že pˇ red pˇ rístupem k takové službˇ e musejí otevˇ rít pˇ rihlašovací stránku (viz kapitoly 8 a 8.2) ve svém WWW prohlížeˇ ci a pˇ rihlásit se.
• Firewall — speciální skupina adres zahrnující všechna rozhraní poˇ cítaˇ ce, na nˇ emž WinRoute bˇ eží. Tuto volbu lze s výhodou využít napˇ r. pro povolení komunikace mezi lokální sítí a poˇ cítaˇ cem s WinRoute. Poznámka: Tlaˇ cítko Libovolný nahradí všechny definované položky položkou Libovolný (toto je rovnˇ ež výchozí hodnota pˇ ri vytvᡠrení nového pravidla). Bude-li pak pˇ ridána alespoˇ n jedna nová položka, bude položka Libovolný automaticky odstranˇ ena. Služba Definice služby (resp. služeb), pro kterou má toto komunikaˇ cní pravidlo platit. Seznam m˚ uže obsahovat více služeb definovaných v sekci Konfigurace / Definice / Služby a/nebo služeb zadaných protokolem a ˇ císlem portu (pˇ rípadnˇ e rozsahem port˚ u — pro jeho specifikaci se zde používá pomlˇ cka).
75
Kapitola 5 Komunikaˇ cní pravidla
Poznámky: 1.
Je-li v definici služby použit inspekˇ cní modul daného protokolu, pak se na komunikaci vyhovující tomuto pravidlu inspekˇ cní modul aplikuje. Pokud pravidlo platí pro všechny služby (tlaˇ cítko Libovolný), pak jsou automaticky aplikovány všechny potˇ rebné inspekˇ cní moduly. Chceme-li docílit toho, aby na urˇ citou komunikaci nebyl aplikován pˇ ríslušný inspekˇ cní modul, je tˇ reba definovat vlastní službu bez použití inspekˇ cního modulu (detaily viz kapitola 9.3).
2.
Tlaˇ cítko Libovolný nahradí všechny definované položky položkou Libovolný (toto je rovnˇ ež výchozí hodnota pˇ ri vytvᡠrení nového pravidla). Bude-li pak pˇ ridána alespoˇ n jedna nová služba, bude položka Libovolný automaticky odstranˇ ena.
Akce Zp˚ usob, jak WinRoute obslouží komunikaci, která vyhoví podmínkám tohoto pravidla (podmínka je dána položkami Zdroj, Cíl a Služba). Možnosti jsou:
76
5.2 Definice vlastních komunikaˇ cních pravidel
• Povolit — firewall komunikaci propustí • Zakázat — firewall pošle klientovi (iniciátorovi komunikace) ˇ rídicí zprávu, že pˇ rístup na danou adresu ˇ ci port je zakázán. Výhodou tohoto zp˚ usobu je okamžitá reakce, klient se však dozví o tom, že je komunikace blokována firewallem. • Zahodit — firewall bude zahazovat veškeré pakety vyhovující danému pravidlu. Klientovi nebude poslána žádná ˇ rídicí zpráva a tuto situaci vyhodnotí jako sít’ovou chybu. Odezva klienta není v tomto pˇ rípadˇ e okamžitá (urˇ citou dobu ˇ ceká na odpovˇ ed’, poté se pˇ rípadnˇ e snaží navázat spojení znovu atd.), existence firewallu mu však z˚ ustane skryta. Poznámka: Na základˇ e výše popsaných skuteˇ cností doporuˇ cujeme pˇ ri omezování lokálních uživatel˚ u v pˇ rístupu na Internet používat volbu Zakázat, pˇ ri blokování pˇ rístupu z Internetu naopak volbu Zahodit. Zaznamenat O komunikaci, která vyhovˇ ela tomuto pravidlu, lze provést záznam následujícím zp˚ usobem:
• Zaznamenat odpovídající pakety — veškeré pakety, které vyhoví tomuto pravidlu (propuštˇ ené, odmítnuté ˇ ci zahozené — v závislosti na typu akce v pravidle) budou zaznamenány do záznamu Filter. • Zaznamenat odpovídající spojení — všechna spojení vyhovující tomuto pravidlu budou zaznamenána do záznamu Connection (pouze v pˇ rípadˇ e povolujícího pravidla). Jednotlivé pakety v rámci tˇ echto spojení se již nezaznamenávají. Poznámka: U zakazujících a zahazujících pravidel nelze zaznamenávat spojení. Pˇ reklad
Zp˚ usob pˇ rekladu zdrojové nebo cílové IP adresy (pˇ rípadnˇ e obou).
Pˇ reklad zdrojové adresy (NAT — Network Address Translation) se též nazývá maskování IP adresy nebo sdílení internetového pˇ ripojení. V paketech jdoucích z lokální sítˇ e do Internetu se zdrojová (privátní) IP adresa nahrazuje adresou rozhraní pˇ ripojeného do Internetu. Celá lokální sít’ má tak transparentní pˇ rístup do Internetu, ale navenek se jeví jako jeden poˇ cítaˇ c. Pˇ reklad zdrojové adresy se definuje následujícím zp˚ usobem:
77
Kapitola 5 Komunikaˇ cní pravidla
• Nepˇ rekládat — zdrojová adresa z˚ ustává nezmˇ enˇ ena. Toto je výchozí volba a v komunikaˇ cních pravidlech se nezobrazuje (pro pˇ rehlednost). • Pˇ rekládat na adresu výstupního rozhraní — v tomto pˇ rípadˇ e WinRoute automaticky detekuje výstupní rozhraní podle cílové IP adresy v paketu. • Pˇ rekládat na adresu rozhraní — výbˇ er rozhraní, na jehož primární adresu bude zdrojová IP adresa paketu pˇ rekládána. Tato volba je vhodná všude tam, kde se m˚ uže výstupní rozhraní mˇ enit (napˇ r. více vytᡠcených linek). • Pˇ rekládat na tuto IP adresu — zde lze zadat konkrétní IP adresu, na niž má být zdrojová adresa pˇ rekládána (napˇ r. sekundární adresu rozhraní pˇ ripojeného do Internetu). Pokud znáte pouze DNS jméno poˇ cítaˇ ce, lze použít tlaˇ cítko Pˇ revést, které pˇ revede DNS jméno na IP adresu. Upozornˇ ení: Je tˇ reba uvést IP adresu, která je pˇ riˇ razena nˇ ekterému rozhraní poˇ cítaˇ ce s WinRoute! Pˇ reklad cílové adresy (též mapování port˚ u) slouží ke zpˇ rístupnˇ ení služby bˇ ežící na poˇ cítaˇ ci v privátní lokální síti zvenˇ cí. Pokud pˇ ríchozí paket vyhovuje daným podmínkám, je cílová adresa zamˇ enˇ ena a paket smˇ erován na pˇ ríslušný poˇ cítaˇ c. Tímto zp˚ usobem bude služba „pˇ renesena“ na vnˇ ejší rozhraní poˇ cítaˇ ce s WinRoute (resp. na IP adresu, z níž je mapována). Z pohledu klienta v Internetu služba bˇ eží na IP adrese, ze které je mapována (tzn. obvykle na vnˇ ejší adrese firewallu). Nastavení pˇ rekladu cílové adresy (mapování port˚ u):
78
5.2 Definice vlastních komunikaˇ cních pravidel
• Nepˇ rekládat — cílová adresa z˚ ustane nezmˇ enˇ ena. • Pˇ rekládat na — IP adresa, na níž má být cílová adresa paketu zmˇ enˇ ena. Tato adresa je zároveˇ n adresou poˇ cítaˇ ce, kde daná služba skuteˇ cnˇ e bˇ eží. Do položky Pˇ rekládat na lze rovnˇ ež uvést DNS jméno cílového poˇ cítaˇ ce. V tom pˇ rípadˇ e zjistí WinRoute pˇ ríslušnou IP adresu DNS dotazem. Upozornˇ ení: Nedoporuˇ cujeme zadávat jména poˇ cítaˇ cu ˚, pro které neexistuje záznam v lokální DNS. Do zjištˇ ení odpovídající IP adresy je totiž pˇ ríslušné pravidlo neaktivní, což m˚ uže mít za následek doˇ casnou nefunkˇ cnost mapované služby. • Pˇ rekládat port na — pˇ ri zámˇ enˇ e cílové adresy m˚ uže být zamˇ enˇ en i port dané služby. Služba tedy m˚ uže fyzicky bˇ ežet na jiném portu, než ze kterého je mapována. Poznámka: Tuto volbu je možné použít jen v pˇ rípadˇ e, je-li v položce Služba komunikaˇ cního pravidla uvedena pouze jedna služba a tato služba používá pouze jeden port nebo jeden rozsah port˚ u. Následující dva sloupce jsou ve výchozím nastavení okna Komunikaˇ cní pravidla skryté: ˇ Platí v Casový interval, ve kterém má pravidlo platit. Mimo tento ˇ casový interval se WinRoute chová tak, jako by pravidlo neexistovalo. Speciální volba vždy vypíná ˇ casové omezení pravidla (v oknˇ e Komunikaˇ cní pravidla se nezobrazuje). Inspekˇ cní modul Volba inspekˇ cního modulu, který má být aplikován na komunikaci vyhovující pravidlu. Možnosti jsou následující:
79
Kapitola 5 Komunikaˇ cní pravidla
• Výchozí — na komunikaci vyhovující tomuto pravidlu budou aplikovány všechny potˇ rebné inspekˇ cní moduly, pˇ rípadnˇ e inspekˇ cní moduly služeb uvedených v položce Služba. • Žádný — nebude aplikován žádný inspekˇ cní modul (bez ohledu na to, jak jsou definovány služby použité v položce Služba). • Jiný — výbˇ er konkrétního inspekˇ cního modulu, který má být pro komunikaci popsanou tímto pravidlem použit (k dispozici jsou všechny inspekˇ cní moduly, které WinRoute obsahuje). Upozornˇ ení: Tuto volbu doporuˇ cujeme používat, pouze pokud komunikaˇ cní pravidlo popisuje protokol, pro který je inspekˇ cní modul urˇ cen. Použití nesprávného inspekˇ cního modulu m˚ uže zp˚ usobit nefunkˇ cnost dané služby. Poznámka: Je-li v definici pravidla použita konkrétní služba (viz položka Služba), doporuˇ cujeme v položce Inspekˇ cní modul ponechat volbu Výchozí (inspekˇ cní modul je již zahrnut v definici služby).
5.3 Základní typy komunikaˇ cních pravidel Komunikaˇ cní pravidla ve WinRoute nabízejí pomˇ ernˇ e široké možnosti filtrování sít’ového provozu a zpˇ rístupnˇ ení služeb. V této kapitole uvedeme pˇ ríklady komunikaˇ cních pravidel ˇ rešících standardní situace. Podle tˇ echto pˇ ríklad˚ u m˚ užete snadno vytvoˇ rit sadu pravidel pro vaši konkrétní sít’ovou konfiguraci.
Pˇ reklad IP adres Pˇ reklad IP adres (NAT) znamená zámˇ enu zdrojové (privátní) IP adresy v paketu jdoucím z lokální sítˇ e do Internetu za IP adresu vnˇ ejšího rozhraní poˇ cítaˇ ce s WinRoute. Pˇ ríslušné komunikaˇ cní pravidlo m˚ uže tedy vypadat následovnˇ e:
Zdroj Rozhraní, k nˇ emuž je pˇ ripojena lokální privátní sít’. Jestliže je lokální sít’ tvoˇ rena více segmenty, z nichž každý je pˇ ripojen k samostatnému rozhraní, uved’te do položky Zdroj všechna tato rozhraní. Je-li lokální sít’ tvoˇ rena kaskádními segmenty (tzn. obsahuje další routery), staˇ cí uvést pouze rozhraní, pˇ res které je sít’ pˇ ripojena k poˇ cítaˇ ci s WinRoute (není tˇ reba vyjmenovávat všechny subsítˇ e, které lokální sít’ obsahuje).
80
5.3 Základní typy komunikaˇ cních pravidel
Cíl Rozhraní pˇ ripojené do Internetu. Služba Tato položka m˚ uže být použita ke globálnímu omezení pˇ rístupu do Internetu. Budou-li v pravidle pro pˇ reklad IP adres uvedeny konkrétní služby, pak bude pˇ reklad fungovat pouze pro tyto služby a ostatní služby v Internetu budou z lokální sítˇ e nepˇ rístupné. Akce Musí být nastavena na Povolit (jinak by byla komunikace blokována a pˇ reklad adres by již nemˇ el žádný smysl). Pˇ reklad V sekci Pˇ reklad zdrojové adresy staˇ cí vybrat volbu Pˇ rekládat na adresu výstupního rozhraní (pro NAT se použije primární IP adresa rozhraní, pˇ res které paket odchází z poˇ cítaˇ ce s WinRoute). Má-li být pro pˇ reklad použita jiná IP adresa, použijte volbu Pˇ rekládat na tuto IP adresu, v níž uvedete požadovanou adresu. Zadaná IP adresa musí být jednou z adres pˇ riˇ razených výstupnímu rozhraní, jinak nebude pˇ reklad IP adres fungovat správnˇ e. Upozornˇ ení: V sekci Pˇ reklad cílové adresy by mˇ ela být nastavena volba Nepˇ rekládat, jinak není zaruˇ cena zamýšlená funkce pravidla. Kombinace pˇ rekladu zdrojové i cílové adresy má význam pouze ve speciálních pˇ rípadech. Umístˇ ení pravidla Pravidlo pro pˇ reklad zdrojových adres musí být umístˇ eno pod všemi pravidly, která omezují pˇ rístup z lokální sítˇ e do Internetu. Poznámka: Takto definované pravidlo povoluje pˇ rístup do Internetu z poˇ cítaˇ cu ˚ v lokální síti, nikoliv však ze samotného firewallu (tj. poˇ cítaˇ ce, na nˇ emž je WinRoute nainstalován)! Komunikace mezi firewallem a Internetem musí být explixitnˇ e povolena samostatným pravidlem. Protože má poˇ cítaˇ c s WinRoute pˇ rímý pˇ rístup do Internetu, není tˇ reba použít funkci pˇ rekladu adres.
Zpˇ rístupnˇ ení služby (mapování port˚ u) Mapování port˚ u zpˇ rístupˇ nuje z Internetu službu bˇ ežící na poˇ cítaˇ ci v lokální (zpravidla privátní) síti. Z pohledu klienta v Internetu tato služba bˇ eží na vnˇ ejší IP adrese poˇ cítaˇ ce s WinRoute. Komunikaˇ cní pravidlo tedy musí být definováno následovnˇ e:
81
Kapitola 5 Komunikaˇ cní pravidla
Zdroj Rozhraní pˇ ripojené do Internetu (pˇ res toto rozhraní budou pˇ richázet požadavky klient˚ u z Internetu). Cíl Poˇ cítaˇ c s WinRoute, tj. speciální rozhraní Firewall. Takto bude služba pˇ rístupná na všech adresách rozhraní pˇ ripojeného do Internetu. Chcete-li službu zpˇ rístupnit z konkrétní IP adresy, použijte volbu Poˇ cítaˇ c a zadejte požadovanou IP adresu. Služba Služby, které mají být zpˇ rístupnˇ eny. Službu lze vybrat ze seznamu pˇ reddefinovaných služeb (viz kapitola 9.3) nebo zadat pˇ rímo protokolem a ˇ císlem portu. V tomto poli mohou být uvedeny všechny služby, které bˇ eží na jednom poˇ cítaˇ ci. Pro zpˇ rístupnˇ ení služeb z jiného poˇ cítaˇ ce je tˇ reba vytvoˇ rit nové komunikaˇ cní pravidlo. Akce Musí být nastavena na Povolit (jinak by byla komunikace blokována a mapování port˚ u by nemˇ elo žádný smysl). Pˇ reklad V sekci Pˇ reklad cílové adresy (mapování port˚ u) zvolte Pˇ rekládat na tuto IP adresu a uved’te IP adresu poˇ cítaˇ ce v lokální síti, kde služba bˇ eží. Volbou Pˇ rekládat port na je možné mapovat službu na jiný port, než na kterém je služba pˇ rístupná zvenˇ cí. Upozornˇ ení: V sekci Pˇ reklad zdrojové adresy musí být nastavena volba Nepˇ rekládat! Kombinace pˇ rekladu zdrojové i cílové adresy má význam pouze ve speciálních pˇ rípadech. Poznámka: Pro správnou funkci mapování port˚ u je nutné, aby poˇ cítaˇ c, na nˇ emž mapovaná služba bˇ eží, mˇ el nastavenu výchozí bránu na poˇ cítaˇ c s WinRoute. Bez splnˇ ení této podmínky nebude mapování fungovat. Umístˇ ení pravidla Pravidla pro mapování služeb jsou ve vˇ etšinˇ e pˇ rípad˚ u nezávislá na pravidlech pro pˇ reklad adres ˇ ci omezení pˇ rístupu do Internetu i na sobˇ e navzájem. Pro vˇ etší pˇ rehlednost doporuˇ cujeme umist’ovat všechna tato pravidla bud’ na zaˇ cátek, nebo na konec seznamu. Existují-li pravidla omezující pˇ rístup k mapovaným službám, musí být vlastní pravidla pro mapování umístˇ ena pod tˇ emito pravidly.
82
5.3 Základní typy komunikaˇ cních pravidel
Zpˇ rístupnˇ ení služeb na r˚ uzných IP adresách (multihoming) Multihoming je oznaˇ cení pro situaci, kdy má sít’ové rozhraní pˇ ripojené do Internetu pˇ riˇ razeno více veˇ rejných IP adres. Typickým požadavkem je, aby na tˇ echto adresách byly nezávisle zpˇ rístupnˇ eny r˚ uzné služby. Pˇ ríklad: V lokální síti bˇ eží WWW server web1 na poˇ cítaˇ ci s IP adresou 192.168.1.100 a WWW server web2 s IP adresou 192.168.1.200. Rozhraní pˇ ripojené do Internetu má pˇ riˇ razeny veˇ rejné IP adresy 63.157.211.10 a 63.157.211.11. Server web1 má být z Internetu dostupný na IP adrese 63.157.211.10, server web2 na IP adrese 63.157.211.11. Pro splnˇ ení tˇ echto požadavk˚ u definujeme ve WinRoute dvˇ e komunikaˇ cní pravidla:
Zdroj Rozhraní pˇ ripojené do Internetu (pˇ res toto rozhraní budou pˇ richázet požadavky klient˚ u z Internetu). Cíl Pˇ ríslušná IP adresa rozhraní pˇ ripojeného do Internetu (pro zadání jedné IP adresy slouží volba Poˇ cítaˇ c ). Služba Služba, která má být zpˇ rístupnˇ ena (v pˇ rípadˇ e WWW serveru služba HTTP). Akce Musí být nastavena na Povolit (jinak by byla komunikace blokována a mapování port˚ u by nemˇ elo žádný smysl). Pˇ reklad V sekci Pˇ reklad cílové adresy (mapování port˚ u) zvolíme Pˇ rekládat na tuto IP adresu a zadáme IP adresu odpovídajího WWW serveru (web1, resp. web2).
Omezení pˇ rístupu do Internetu Velmi ˇ castým požadavkem je omezit pˇ rístup uživatel˚ u z lokální sítˇ e ke službám v Internetu. Omezení lze provést nˇ ekolika zp˚ usoby. V níže uvedených pˇ ríkladech omezení zajišt’uje pˇ rímo pravidlo pro pˇ reklad IP adres, a to specifikací podmínky, kdy má být pˇ reklad provádˇ en. Není tˇ reba definovat žádné další pravidlo — implicitní pravidlo bude blokovat veškerou komunikaci, která tˇ emto podmínkám nevyhoví. Další zp˚ usoby omezování pˇ rístupu budou zmínˇ eny v sekci Výjimky (viz níže).
83
Kapitola 5 Komunikaˇ cní pravidla
Poznámka: Pravidla uvedená v tˇ echto pˇ ríkladech mohou být také použita, jestliže je WinRoute nasazen jako tzv. neutrální smˇ erovaˇ c (tj. smˇ erovaˇ c bez pˇ rekladu IP adres) — pouze v položce Pˇ reklad nebude žádný pˇ reklad definován. 1.
Povolení pˇ rístupu pouze k vybraným službám. V pravidle pro pˇ reklad IP adres uvedeme v položce Služba pouze služby, které mají být povoleny.
2.
Omezení dle IP adres. Pˇ rístup k urˇ citým službám (pˇ rípadnˇ e kompletní pˇ rístup do Internetu) bude povolen pouze z vybraných poˇ cítaˇ cu ˚. V položce Zdroj definovaného pravidla uvedeme skupinu IP adres, ze kterých bude pˇ rístup do Internetu povolen. Tuto skupinu je tˇ reba nejprve definovat v sekci Konfigurace / Definice / Skupiny (viz kapitola 10.4).
Poznámka: Definice pravidel tohoto typu je vhodná pouze v pˇ rípadˇ e, že každý uživatel má sv˚ uj vlastní poˇ cítaˇ c (uživatelé se u poˇ cítaˇ cu ˚ nestˇ rídají) a poˇ cítaˇ ce mají pˇ riˇ razeny statické IP adresy. 3.
Omezení dle uživatel˚ u. V tomto pˇ rípadˇ e firewall kontroluje, zda z poˇ cítaˇ ce, odkud komunikace pˇ richází, je pˇ rihlášen urˇ citý uživatel. Podle toho komunikaci povolí ˇ ci zakáže.
Nejjednodušší variantou tohoto omezení je pravidlo povolující pˇ rístup do Internetu pouze pˇ rihlášeným uživatel˚ um. Internet tak bude dostupný všem uživatel˚ um, kteˇ rí mají ve WinRoute uživatelský úˇ cet. Správce firewallu tak má detailní pˇ rehled o tom, kam kteˇ rí uživatelé pˇ ristupují a jaké služby využívají (anonymní pˇ rístup není možný).
84
5.3 Základní typy komunikaˇ cních pravidel
Poznámka: Detailní informace o pˇ rihlašování uživatel˚ u k firewallu naleznete v kapitole 8.2. Výše uvedená pravidla lze také r˚ uzným zp˚ usobem kombinovat — napˇ r. povolit skupinˇ e uživatel˚ u pˇ rístup do Internetu pouze k vybraným službám.
Výjimky Pˇ ri omezování pˇ rístupu do Internetu m˚ uže vzniknout požadavek, aby k urˇ cité službˇ e byl povolen pˇ rístup pouze vybrané skupinˇ e uživatel˚ uˇ ci IP adres. Všem ostatním uživatel˚ um (resp. ze všech ostatních IP adres) má být pˇ rístup k této službˇ e zakázán. Jako pˇ ríklad uvedeme povolení pˇ rístupu na servery v Internetu pomocí služby Telnet skupinˇ e uživatel˚ u. Pro splnˇ ení tohoto požadavku definujeme dvˇ e pravidla: • První pravidlo povolí službu Telnet vybrané skupinˇ e uživatel˚ u (resp. skupinˇ e IP adres apod.). • Druhé pravidlo zakáže pˇ rístup k této službˇ e všem ostatním uživatel˚ um.
85
Kapitola 5 Komunikaˇ cní pravidla
86
Kapitola 6
Filtrování obsahu
WinRoute poskytuje velmi rozsáhlé možnosti filtrování komunikace protokoly HTTP a FTP. Tyto protokoly patˇ rí k nejrozšíˇ renˇ ejším a nejpoužívanˇ ejším protokol˚ um v Internetu. Mezi hlavní d˚ uvody filtrování obsahu HTTP a FTP patˇ rí: • zamezit uživatel˚ um v pˇ rístupu na nevhodné WWW stránky (napˇ r. stránky, které nesouvisejí s pracovní náplní zamˇ estnanc˚ u firmy) • zamezit pˇ renosu urˇ citých typ˚ u soubor˚ u (napˇ r. nelegální obsah) • zabránit ˇ ci omezit šíˇ rení vir˚ u, ˇ cerv˚ u a trojských koní Podívejme se podrobnˇ eji na možnosti filtrování, které WinRoute nabízí. Jejich podrobný popis najdete v následujících kapitolách. Protokol HTTP — filtrování WWW stránek: • omezování pˇ rístupu podle URL (resp. podˇ retˇ ezce obsaženého v URL) • blokování urˇ citých prvk˚ u HTML (napˇ r. skripty, objekty ActiveX apod.) • filtrování na základˇ e ohodnocení modulem Cobion OrangeFilter (celosvˇ etová databáze klasifikací WWW stránek) • omezování pˇ rístupu na stránky obsahující urˇ citá slova • antivirová kontrola stahovaných objekt˚ u Protokol FTP — kontrola pˇ rístupu na FTP servery: • úplný zákaz pˇ rístupu na zadané FTP servery • omezení podle jména souboru • omezení pˇ renosu soubor˚ u na jeden smˇ er (napˇ r. pouze download)
87
Kapitola 6 Filtrování obsahu
• blokování urˇ citých pˇ ríkaz˚ u protokolu FTP • antivirová kontrola pˇ renášených soubor˚ u Kdy filtrování obsahu funguje? Pro ˇ cinnost výše popsaného filtrování obsahu musí být splnˇ eny dvˇ e základní podmínky: 1.
Komunikace musí být obsluhována pˇ ríslušným inspekˇ cním modulem. Poznámka: Potˇ rebný inspekˇ cní modul je aktivován automaticky, pokud není komunikaˇ cními pravidly explicitnˇ e urˇ ceno, že nemá být pro danou komunikaci použit. Podrobnosti najdete v kapitole 5.2.
2.
Spojení nesmí být šifrováno. Komunikaci zabezpeˇ cenou SSL (tj. protokoly HTTPS a FTPS) není možné sledovat. V tomto pˇ rípadˇ e lze pouze blokovat pˇ rístup na konkrétní servery komunikaˇ cními pravidly (viz kapitola 5.2). Poznámka: Pˇ ri použití proxy serveru (viz kapitola 4.5) je možné filtrovat také HTTPS servery (pˇ ríklad: https://www.kerio.cz/). Jednotlivé objekty na tˇ echto serverech však již filtrovat nelze.
3.
Protokol FTP nelze filtrovat pˇ ri použití zabezpeˇ ceného pˇ rihlášení (SASO).
Poznámka: WinRoute nabízí pouze nástroje pro filtrování a omezování pˇ rístupu. Rozhodnutí, jaké WWW stránky a typy soubor˚ u mají být blokovány, musí uˇ cinit správce WinRoute (pˇ rípadnˇ e jiná kompetentní osoba).
6.1 Pravidla pro URL Tato pravidla umožˇ nují omezit pˇ rístup vybraných uživatel˚ u k WWW stránkám, jejichž URL vyhovují urˇ citým kritériím. Další d˚ uležitou funkcí pravidel pro URL je možnost vyžádat ovˇ eˇ rení uživatele na firewallu automatickým pˇ resmˇ erováním prohlížeˇ ce na pˇ rihlašovací stránku (viz kapitola 8.2). Pˇ ri pˇ rístupu na stránku, která vyžaduje ovˇ eˇ rení, pak uživatel nemusí „ruˇ cnˇ e“ otevírat pˇ rihlašovací stránku a poté zadávat znovu URL požadované stránky. Pravidla pro URL se definují v sekci Konfigurace / Filtrování obsahu / Pravidla pro HTTP, záložka Pravidla pro URL. Pravidla v této sekci jsou vždy procházena shora dol˚ u (poˇ radí lze upravit tlaˇ cítky se šipkami na pravé stranˇ e okna). Vyhodnocování se zastaví na prvním pravidle, kterému dané URL vyhoví. Pokud URL nevyhoví žádnému pravidlu, je pˇ rístup na stránku povolen (implicitnˇ e vše povoleno).
88
6.1 Pravidla pro URL
V záložce Pravidla pro URL mohou být zobrazeny tyto sloupce: • Popis — textový popis pravidla (pro zvýšení pˇ rehlednosti). Zaškrtávací pole vlevo od popisu pravidla umožˇ nuje pravidlo „zapnout“ a „vypnout“ (napˇ r. v pˇ rípadˇ e, kdy má být pravidlo doˇ casnˇ e vyˇ razeno). • Akce — akce, která bude provedena pˇ ri splnˇ ení podmínek tohoto pravidla (Povolit — povolit pˇ rístup na stránku, Zakázat — zakázat pˇ rístup na stránku a zobrazit informaci o zákazu, Zahodit — zakázat pˇ rístup na stránku a zobrazit prázdnou stránku, Pˇ resmˇ erovat — pˇ resmˇ erovat na stránku uvedenou v pravidle). • Podmínka — podmínka, za které pravidlo platí (URL vyhovuje urˇ citým kritériím, stránka je klasifikována systémem Cobion do urˇ cité kategorie atd.). • Vlastnosti — upˇ resˇ nující volby v pravidle (napˇ r. antivirová kontrola, filtrování zakázaných slov atd.). Následující sloupce jsou ve výchozím nastavení skryty. Zobrazit je lze pomocí funkce Nastavit sloupce v kontextovém menu — podrobnosti viz kapitola 3.2. • Skupina IP adres — skupina IP adres, pro kterou pravidlo platí. Jedná se o IP adresy klient˚ u (tj. pracovních stanic uživatel˚ u, kteˇ rí pˇ res WinRoute pˇ ristupují k WWW stránkám). ˇ • Casová platnost — ˇ casový interval, ve kterém pravidlo platí. • Seznam uživatel˚ u — výˇ cet uživatel˚ u a skupin uživatel˚ u, na které se pravidlo vztahuje. Poznámka: Výchozí instalace WinRoute obsahuje nˇ ekolik pˇ reddefinovaných pravidel pro URL. Tato pravidla jsou ve výchozím nastavení „vypnuta“. Správce WinRoute je m˚ uže použít, pˇ rípadnˇ e upravit dle vlastního uvážení.
89
Kapitola 6 Filtrování obsahu
Definice pravidel pro URL Chceme-li pˇ ridat nové pravidlo, oznaˇ címe v tabulce pravidlo, pod které má být nové pravidlo vloženo, a stiskneme tlaˇ cítko Pˇ ridat. Šipkovými tlaˇ cítky na pravé stranˇ e okna lze poˇ radí pravidel dodateˇ cnˇ e upravit. Poznámka: Pˇ rístup k URL, pro které neexistuje odpovídající pravidlo, je povolen všem pˇ rihlášeným uživatel˚ um (implicitnˇ e vše povoleno). Chceme-li povolit pˇ rístup pouze k omezené skupinˇ e stránek a všechny ostatní stránky blokovat, je tˇ reba na konec seznamu umístit pravidlo zakazující pˇ rístup k libovolnému URL. Dialog pro definici nového pravidla:
Záložka Obecné slouží k nastavení základních podmínek pravidla a akcí, které mají být pˇ ri splnˇ ení tˇ echto podmínek provedeny.
90
6.1 Pravidla pro URL
Popis Slovní popis funkce pravidla (pro snazší orientaci správce WinRoute). Jestliže k tomuto URL pˇ ristupuje Volba, pro které uživatele bude toto pravidlo platit: • libovolný uživatel — pro všechny uživatele pˇ rihlášené k firewallu. Zapnutím volby nevyžadovat ovˇ eˇ rení bude pravidlo platit také pro uživatele, kteˇ rí nejsou k firewallu pˇ rihlášeni (anonymní uživatele). Poznámky: 1.
Velmi ˇ castým požadavkem je, aby firewall vyžadoval ovˇ eˇ rení uživatel˚ u pˇ ri pˇ rístupu na libovolnou WWW stránku. Toho lze docílit globálním nastavením v sekci Uživatelé, záložka Volby pro ovˇ eˇ rování (viz kapitola 10.1). S použitím volby nevyžadovat ovˇ eˇ rení m˚ užeme pak napˇ r. definovat pravidlo povolující pˇ rístup na urˇ cité stránky bez pˇ rihlášení.
2.
Není-li ovˇ eˇ rení uživatel˚ u vyžadováno, pak nemá volba nevyžadovat ovˇ eˇ rení v pravidlech pro URL žádný úˇ cinek.
• vybraní uživatelé — pro vybrané uživatele a/nebo skupiny uživatel˚ u. Tlaˇ cítko Nastavit otevírá dialog pro výbˇ er uživatel˚ u a skupin (pˇ ridržením kláves Ctrl a Shift m˚ užete vybrat více uživatel˚ u / skupin souˇ casnˇ e). A URL vyhovuje tˇ emto kritériím Specifikace URL (resp. množiny URL), pro které má toto pravidlo platit: • zaˇ cíná — v této položce m˚ uže být uvedeno kompletní URL (napˇ r. www.kerio.cz/index.html), podˇ retˇ ezec URL s použitím hvˇ ezdiˇ ckové konvence (napˇ r. *.ker?o.cz*) nebo jméno serveru (napˇ r. www.kerio.cz). Jméno serveru má význam libovolného URL na daném serveru (www.kerio.com/*). • patˇ rí do skupiny URL — výbˇ er skupiny URL (viz kapitola 9.4), které má URL vyhovovat • je ohodnoceno hodnotícím systémem Cobion — pravidlo bude platit pro všechny stránky, které modul Cobion OrangeFilter zaˇ radí do nˇ ekteré z vybraných kategorií. Tlaˇ cítko Vybrat hodnocení... otevírá dialog pro výbˇ er kategorií modulu Cobion OrangeFilter. Podrobnˇ ejší informace naleznete v kapitole 6.3. • libovolné URL, ve kterém je server zadán IP adresou — takto musí být zadáno URL stránky ˇ ci souboru na WWW serveru, který nemá záznam v DNS. Toto je charakteristické napˇ r. pro servery nabízející ke stažení soubory s nelegálním obsahem.
91
Kapitola 6 Filtrování obsahu
Upozornˇ ení: Není-li zakázán pˇ rístup na servery zadané IP adresou, mohou takto uživatelé obcházet pravidla pro URL, ve kterých jsou servery uvádˇ eny jménem! Akce Volba akce, která bude provedena, jestliže jsou splnˇ eny podmínky pro uživatele a URL: • Povolit pˇ rístup na stránku • Zakázat pˇ rístup na stránku — požadovaná stránka bude blokována. Uživateli se zobrazí bud’ stránka s informací o zákazu, prázdná stránka nebo bude pˇ resmˇ erován na jinou stránku (dle nastavení v záložce Upˇ resnˇ ení — viz dále). Zaškrtnutím volby Zaznamenat budou všechny pˇ rístupy na stránky, které vyhovˇ ely tomuto pravidlu, zaznamenávány do záznamu Filter (viz kapitola 16.9). V záložce Upˇ resnˇ ení obsahuje další podmínky, za kterých má pravidlo platit, a volby pro zakázané stránky. Platí v ˇ casovém intervalu Výbˇ er ˇ casového intervalu platnosti pravidla (mimo tento interval je pravidlo neaktivní). Tlaˇ cítko Zmˇ enit otevírá dialog pro úpravu ˇ casových interval˚ u (podrobnosti viz kapitola 9.2). Platí pro skupinu IP adres Výbˇ er skupiny IP adres, pro kterou bude toto pravidlo platit (jedná se o zdrojové IP adresy, tedy adresy klient˚ u). Speciální volba Libovolná znamená, že pravidlo nebude závislé na IP adrese klienta. Tlaˇ cítko Zmˇ enit otevírá dialog pro úpravu skupin IP adres (podrobnosti viz kapitola 9.1). Platí pro MIME typ Omezení platnosti pravidla pouze na objekty urˇ citého MIME typu (napˇ r.: text/html — HTML dokumenty, image/jpeg — obrázky typu JPEG apod.). V této položce m˚ užete vybrat nˇ ekterý z pˇ reddefinovaných MIME typ˚ u nebo zadat vlastní. Pˇ ri definici MIME typu lze použít hvˇ ezdiˇ cku pro specifikaci libovolného subtypu (napˇ r. image/*). Samotná hvˇ ezdiˇ cka znamená libovolný MIME typ — pravidlo bude nezávislé na MIME typu objektu. Volby pro zákaz Upˇ resˇ nující nastavení pro zakázané stránky. Jestliže se uživatel pokusí otevˇ rít stránku, na kterou je tímto pravidlem zakázán pˇ rístup, pak WinRoute místo této stránky zobrazí: • stránku s informací o zakázaném pˇ rístupu — uživatel se dozví, že požadovaná stránka je blokována firewallem. Tato stránka m˚ uže být doplnˇ ena vysvˇ etlením zákazu (položka Text zákazu).
92
6.1 Pravidla pro URL
Bude-li zaškrtnuta volba Uživatelé mohou toto pravidlo odemknout, pak se pˇ rihlášeným uživatel˚ um na stránce s informací o zákazu zobrazí tlaˇ cítko Odemknout. Stisknutím tohoto tlaˇ cítka si uživatel m˚ uže vynutit povolení pˇ rístupu na požadovanou stránku, pˇ restože jej pravidlo pro URL zakazuje. Odemknutí stránky je ˇ casovˇ e omezeno (standardnˇ e 10 minut). Každý uživatel m˚ uže odemknout jen omezený poˇ cet zakazujících pravidel (maximálnˇ e 10 pravidel souˇ casnˇ e). Všechny požadavky na odemknutí se zaznamenávají do záznamu Filter (viz kapitola 16.9). Poznámky: 1.
Odemykat pravidla smˇ ejí pouze uživatelé, kteˇ rí jsou na firewallu pˇ rihlášeni.
2.
Pˇ ri jakékoliv zmˇ enˇ e v pravidlech pro URL se všechna odemknutí ihned ruší.
93
Kapitola 6 Filtrování obsahu
• prázdnou stránku — uživatel nezíská žádné informace o tom, proˇ c se požadovaná stránka nezobrazila (nedozví se ani o existenci WinRoute) • jinou stránku — prohlížeˇ c uživatele bude pˇ resmˇ erován na zadané URL. Tuto volbu lze využít napˇ r. pro definici vlastní stránky s informací o zakázaném pˇ rístupu. Záložka Pravidla pro obsah umožˇ nuje upˇ resnit globální pravidla pro WWW stránky. Parametry v této záložce lze nastavovat pouze v pˇ rípadˇ e, že se jedná o pravidlo povolující pˇ rístup (v záložce obecné je vybrána volba Povolit pˇ rístup na stránku).
Volby pro kontrolu obsahu WWW V této sekci lze provést specifiké nastavení filtrování objekt˚ u na WWW stránkách, které vyhovují tomuto pravidlu (podrobnosti viz kapitola 6.2). Specifické nastavení v pravidle pro URL má vyšší prioritu než nastavení v uživatelském úˇ ctu (viz kapitola 10.1), resp. globální pravidla pro nepˇ rihlášené uživatele (viz kapitola 6.2). Pro každý typ objektu m˚ uže být nastavena jedna z následujících voleb: • Povolit — pˇ ríslušný objekt bude na stránce ponechán, • Zakázat — pˇ ríslušný objekt bude filtrován (odstranˇ en ze stránky), • Výchozí — pro pˇ ríslušný objekt budou platit globální pravidla nebo pravidla pro daného uživatele (tzn. toto pravidlo pro URL nebude ovlivˇ novat filtrování pˇ ríslušného objektu). Zamezit pˇ rístup na WWW stránky... Zapnutím této volby bude blokován pˇ rístup na WWW stránky, které vyhovují tomuto pravidlu a obsahují zakázaná slova definovaná v sekci Konfigurace / Pravidla pro HTTP (viz kapitola 6.4).
94
6.1 Pravidla pro URL
Provádˇ et antivirovou kontrolu obsahu dle pravidel Po zaškrtnutí této volby bude provádˇ ena antivirová kontrola dle nastavení v sekci Konfigurace / Filtrování obsahu / Antivirus (viz kapitola 7.2).
Upˇ resˇ nující parametry pro inspekci protokolu HTTP Tlaˇ cítkem Upˇ resnˇ ení v záložce Pravidla pro HTTP se otevírá dialog pro nastavení parametr˚ u inspekˇ cního modulu protokolu HTTP.
Volby Povolit záznam HTTP a Povolit záznam Web zapínají/vypínají zápis HTTP požadavk˚ u (resp. navštívených WWW stránek) do záznam˚ u HTTP (viz kapitola 16.10) a Web (viz kapitola 16.13). U položky Povolit záznam HTTP m˚ uže být vybrán i formát záznamu: záznam WWW serveru Apache (http://www.apache.org/) nebo záznam proxy serveru Squid (http://www.squid-cache.org/). Nastavení typu záznamu je d˚ uležité zejména v pˇ rípadˇ e, má-li být záznam zpracováván nˇ ejakým analytickým nástrojem. Ve výchozím nastavení jsou povoleny oba záznamy (HTTP i Web) a pro záznam HTTP je nastaven typ Apache, který je pro správce firewallu (ˇ clovˇ eka) ˇ citelnˇ ejší. Volba Použít filtrovací pravidla také pro lokální servery urˇ cuje, zda budou pravidla pro filtrování obsahu aplikována také na WWW servery v lokální síti, které jsou komunikaˇ crístupnˇ eny z Internetu. Ve výchozím nastavení je tato ními pravidly (viz kapitola 5) zpˇ volba vypnuta — inspekˇ cní modul kontroluje pouze syntaxi protokolu HTTP a provádí záznam požadavk˚ u (resp. WWW stránek) dle výše popsaných nastavení.
95
Kapitola 6 Filtrování obsahu
6.2 Pravidla pro obsah WWW stránek WinRoute umožˇ nuje blokovat urˇ cité prvky v HTML stránkách. K nastavení globálního filtrování obsahu WWW stránek slouží sekce Konfigurace / Filtrování obsahu / Pravidla pro HTTP, záložka Pravidla pro obsah WWW stránek. Specifická nastavení pro konkrétní stránky lze definovat v pravidlech pro URL (viz kapitola 6.1). Tato nastavení se vztahují na HTTP komunikaci poˇ cítaˇ cu ˚, ze kterých není pˇ rihlášen žádný uživatel. Pro uživatele pˇ rihlášené k firewallu platí specifická nastavení (viz kapitola 10.1).
Povolit HTML ActiveX objekty Prvky Microsoft ActiveX (bezpeˇ cnostní problémy v implementaci této technologie umožˇ nují napˇ r. spouštˇ ení aplikací na klientském poˇ cítaˇ ci). Povolit HTML tagy <Script> HTML tagy <script> — pˇ ríkazy jazyk˚ u JavaScript, VBScript atd. Povolit skript˚ um otevírání nových oken Automatické otevírání nových oken prohlížeˇ ce — typicky reklamy. Je-li tato volba vypnuta, pak WinRoute blokuje ve skriptech metodu window.open(). Povolit HTML tagy <Applet> HTML tagy
