1 Příručka administrátora Kerio Technologies2 C Kerio Technologies. Všechna práva vyhrazena. Datum vydání: 25. srpna 2005 Tento manuál popisuje produk...
C 1997-2005 Kerio Technologies. Všechna práva vyhrazena.
Datum vydání: 25. srpna 2005 Tento manuál popisuje produkt Kerio WinRoute Firewall ve verzi 6.1.2. Zmˇ eny vyhrazeny. Aktuální verzi produktu a manuálu naleznete na WWW stránkách http://www.kerio.cz/kwf.
ISS OrangeWeb Filter je ochranná známka spoleˇ cnosti Internet Security Systems, Inc. (http://www.iss.net/).
Tato kapitola obsahuje seznam krok˚ u, které je nutno provést, aby mohl Kerio WinRoute Firewall (dále jen WinRoute) okamžitˇ e sloužit pro sdílení internetového pˇ ripojení a ochranu vaší lokální sítˇ e. Podrobný postup rychlé instalace a konfigurace naleznete v samostatném manuálu WinRoute — Konfigurace krok za krokem. Nebudete-li si jisti nˇ ekterým nastavením WinRoute, jednoduše vyhledejte pˇ ríslušnou kapitolu v tomto manuálu. Informace týkající se internetového pˇ ripojení (IP adresa, výchozí brána, DNS server atd.) vám sdˇ elí váš poskytovatel Internetu. Poznámka: V následujícím textu je termínem firewall oznaˇ cován poˇ cítaˇ c, kde je WinRoute nainstalován (resp. kam má být nainstalován). 1.
Firewall musí mít alespoˇ n dvˇ e rozhraní — jedno pˇ ripojené do lokální sítˇ e (napˇ r. sít’ová karta Ethernet nebo Token Ring) a jedno pˇ ripojené do Internetu (napˇ r. analogový modem, ISDN adaptér, sít’ová karta nebo satelitní adaptér DirecWay). Na obou (resp. všech) rozhraních musí být správnˇ e nastaveny parametry TCP/IP. Pˇ red zahájením instalace WinRoute provˇ eˇ rte komunikaci s poˇ cítaˇ ci v lokální síti a funkˇ cnost internetového pˇ ripojení. Tímto testem si ušetˇ ríte mnoho problém˚ u pˇ ri pozdˇ ejším ladˇ ení konfigurace a hledání chyb.
2.
Spust’te instalaci WinRoute. V pr˚ uvodci poˇ cáteˇ cní konfigurací zadejte uživatelské jméno a heslo pro pˇ rístup ke správˇ e (podrobnosti viz kapitoly 2.3 a 2.7).
3.
Nastavte základní komunikaˇ cní pravidla pomocí Pr˚ uvodce komunikaˇ cními pravidly (viz kapitola 6.1).
4.
Zapnˇ ete DHCP server a nastavte požadované rozsahy IP adres vˇ cetnˇ e parametr˚ u (maska subsítˇ e, výchozí brána, adresa DNS serveru, pˇ ríp. jméno domény). Podrobnosti viz kapitola 5.4.
5.
Zkontrolujte nastavení DNS Forwarderu. Chcete-li prohledávat soubor hosts a/nebo tabulky DHCP serveru, nezapomeˇ nte uvést lokální DNS doménu. Podrobnosti viz kapitola 5.3.
7
Kapitola 1 Rychlé nastavení
6.
Nastavte mapování uživatel˚ u z Active Directory domény, pˇ rípadnˇ e vytvoˇ rte nebo importujte lokální uživatelské úˇ cty a skupiny. Nastavte uživatel˚ um požadovaná pˇ rístupová práva. Podrobnosti viz kapitola 12.
7.
Definujte skupiny IP adres (kap. 11.1), ˇ casové intervaly (kap. 11.2) a skupiny URL (kap. 11.4), které použijete pˇ ri definici pravidel (viz kap. 11.2).
8.
Vytvoˇ rte pravidla pro URL (kap. 8.1) a nastavte modul ISS OrangeWeb Filter (kap. 8.3). Nastavte HTTP cache a automatickou konfiguraci prohlížeˇ cu ˚ (kap. 5.6). Definujte pravidla pro FTP (kap. 8.5).
9.
Vyberte antivirový program a nastavte typy objekt˚ u, které mají být kontrolovány. Jedná-li se o integrovaný antivirus McAfee, zkontrolujte a pˇ rípadnˇ e upravte nastavení automatické aktualizace. Poznámka: Externí antivirový program musí být nainstalován dˇ ríve, než jej ve WinRoute zvolíte.
10. Nastavte parametry TCP/IP sít’ového adaptéru každé klientské stanice v lokální síti jedním z následujících zp˚ usob˚ u: • Automatická konfigurace — zapnˇ ete volbu Získávat IP adresu automaticky (Obtain an IP address automatically). Nenastavujte žádné další parametry. • Ruˇ cní konfigurace — zadejte IP adresu, masku subsítˇ e, adresu výchozí brány, adresu DNS serveru a jméno lokální domény. Na každé stanici nastavte WWW prohlížeˇ c jedním z tˇ echto zp˚ usob˚ u: • Automatická konfigurace — zaškrtnˇ ete volbu Automaticky zjišt’ovat nastavení (Microsoft Internet Explorer) nebo zadejte URL pro automatickou konfiguraci (jiné typy prohlížeˇ cu ˚). Podrobnosti naleznete v kapitole 5.6. • Ruˇ cní konfigurace — zvolte pˇ ripojení lokální sítí, pˇ rípadnˇ e nastavte IP adresu a port proxy serveru (viz kapitola 5.5).
8
Kapitola 2
Úvod
2.1 Kerio WinRoute Firewall 6.1 WinRoute je komplexní nástroj pro pˇ ripojení lokální sítˇ e do Internetu a její ochranu proti pr˚ uniku zvenˇ cí. Je urˇ cen pro platformy Windows NT 4.0, 2000 a XP.
Základní vlastnosti WinRoute Transparentní pˇ rístup do Internetu Díky technologii NAT (Network Address Translation — pˇ reklad IP adres) je možné pˇ ripojit lokální privátní sít’ do Internetu pˇ res jedinou veˇ rejnou IP adresu (statickou i dynamickou). Narozdíl od klasického proxy serveru budou mít všechny poˇ cítaˇ ce plný pˇ rístup do Internetu a bude na nich možné provozovat vˇ etšinu bˇ ežných sít’ových aplikací, jako by se jednalo o veˇ rejnou sít’, která je souˇ cástí Internetu. Bezpeˇ cnost Integrovaný firewall ochrání celou lokální sít’ vˇ cetnˇ e poˇ cítaˇ ce, na nˇ emž je nainstalován. Nezáleží na tom, zda je použita funkce NAT (pˇ reklad IP adres) nebo zda je WinRoute nasazen jako „neutrální“ smˇ erovaˇ c mezi dvˇ ema sítˇ emi. WinRoute poskytuje ochranu srovnatelnou s mnohonásobnˇ e dražšími hardwarovými firewally. ˇízení pˇ R rístupu Veškerá bezpeˇ cnostní nastavení jsou ve WinRoute realizována prostˇ rednictvím tzv. komunikaˇ cních pravidel. Ta umožˇ nují nejen ochránit sít’ proti pr˚ uniku zvenˇ cí, ale také zpˇ rístupnit služby bˇ ežící na serverech uvnitˇ r chránˇ ené lokální sítˇ e (napˇ r. WWW server, poštovní server, FTP server atd.) z Internetu nebo naopak omezit pˇ rístup lokálních uživatel˚ u k urˇ citým službám v Internetu. Obsluha protokol˚ u (inspekˇ cní moduly) Nˇ ekteré aplikace komunikují netriviálním zp˚ usobem — napˇ r. vyžadují otevˇ rení dalšího spojení serverem zpˇ et na klienta, používají nestandardní komunikaˇ cní protokoly apod. Aby bylo možné za firewallem provozovat i takovéto aplikace, obsahuje WinRoute tzv. inspekˇ cní moduly, které rozpoznají pˇ ríslušný aplikaˇ cní protokol a dokáží dynamicky pˇ rizp˚ usobit chování firewallu (napˇ r. doˇ casné otevˇ rení spojení, které si aplikace vyžádala). Jako pˇ ríklad uved’me FTP v aktivním režimu, RealAudio nebo PPTP.
9
Kapitola 2 Úvod
Konfigurace sítˇ e WinRoute obsahuje vestavˇ ený DHCP server, který automaticky nastaví parametry TCP/IP na všech poˇ cítaˇ cích (pracovních stanicích) ve vaší lokální síti. Veškeré parametry staˇ cí nastavit centrálnˇ e na serveru. Tím se jednak ušetˇ rí ˇ cas potˇ rebný ke zprovoznˇ ení sítˇ e a jednak sníží riziko možných chyb. Ke snadné konfiguraci DNS a zrychlení odpovˇ edí na DNS dotazy slouží modul DNS Forwarder. Jedná se o jednoduchý DNS server (caching nameserver), který pˇ redává dotazy jinému DNS serveru. Získané odpovˇ edi ukládá do své vyrovnávací pamˇ eti (cache) — odezvy na opakované dotazy jsou tak mnohonásobnˇ e rychlejší. Ve spolupráci s DHCP serverem a systémovým souborem hosts m˚ uže zároveˇ n fungovat jako dynamický DNS server pro lokální doménu. Vzdálená správa Veškerá nastavení WinRoute se provádˇ ejí v oddˇ eleném programu Kerio Administration Console (univerzální administraˇ cní konzola pro serverové produkty firmy Kerio Technologies). Tento program m˚ uže být provozován jak pˇ rímo na poˇ cítaˇ ci, kde je WinRoute nainstalován, tak na libovolném jiném poˇ cítaˇ ci ve vaší lokální síti ˇ ci v Internetu. Komunikace mezi WinRoute a administraˇ cním programem je šifrována a nem˚ uže tedy dojít k jejímu odposlechu a zneužití. R˚ uzné operaˇ cní systémy v lokální síti WinRoute pracuje s protokoly standardu TCP/IP a z pohledu poˇ cítaˇ cu ˚ v lokální síti se chová jako standardní smˇ erovaˇ c. Na tyto poˇ cítaˇ ce není tˇ reba instalovat žádný speciální software, a m˚ uže zde být provozován libovolný operaˇ cní systém podporující TCP/IP (napˇ r. Windows, Unix/Linux, MacOS atd.). Poznámka: WinRoute pracuje pouze s protokolovou sadou TCP/IP. Na funkci jiných protokol˚ u (napˇ r. IPX/SPX, NetBEUI, AppleTalk apod.) nemá žádný vliv.
Doplˇ nkové funkce Filtrování protokol˚ u HTTP a FTP WinRoute umožˇ nuje sledovat obsah komunikace protokoly HTTP a FTP a blokovat objekty (stránky, pˇ resmˇ erování, nˇ ekteré prvky HTML atd.), které nevyhovují zadaným kritériím. Tato nastavení mohou být globální nebo specifická pro konkrétní uživatele. Antivirová kontrola WinRoute m˚ uže provádˇ et antivirovou kontrolu pˇ renášených soubor˚ u, a to bud’ vestavˇ eným antivirem McAfee nebo externím antivirovým programem (napˇ r. NOD32, AVG atd.). Antivirovou kontrolu lze aplikovat na protokoly HTTP, FTP, SMTP a POP3.
10
2.1. Kerio WinRoute Firewall 6.1
Transparentní podpora Active Directory Pˇ ri nasazení v síti s doménou Active Directory lze ve WinRoute použít pˇ rímo uživatelské úˇ cty z Active Directory, není nutné vytvᡠret lokální úˇ cty ani importovat úˇ cty z domény. Tato možnost znaˇ cnˇ e zjednodušuje správu úˇ ct˚ u zejména pˇ ri velkém poˇ ctu uživatel˚ u. Zasílání výstrah e-mailem WinRoute m˚ uže zasílat e-mailem výstrahy na urˇ cité události. Tato funkce zjednodušuje správu firewallu — administrátor se nemusí k WinRoute pravidelnˇ e pˇ rihlašovat a kontrolovat jeho stav. Všechny odeslané výstrahy se zároveˇ n ukládají do speciálního záznamu. Uživatelské kvóty Každému uživateli lze nastavit denní a mˇ esíˇ cní limit objemu pˇ renesených dat, a to pro download, upload nebo oba smˇ ery. Pˇ ri pˇ rekroˇ cení nˇ ekteré kvóty bude uživateli na urˇ citou dobu zablokován pˇ rístup do Internetu. Volitelnˇ e lze uživateli také zaslat e-mail s výstrahou. Blokování P2P sítí WinRoute dokáže detekovat a blokovat používání tzv. Peer-to-Peer sítí (sítˇ e pro sdílení soubor˚ u mezi uživateli — napˇ r. Kazaa, DirectConnect apod.). Statistiky V administraˇ cním programu WinRoute lze sledovat podrobné statistiky rozhraní firewallu (aktuální pˇ renosové rychlosti, objem pˇ renesených dat za urˇ citá období) a jednotlivých uživatel˚ u (objem pˇ renesených dat, využívání služeb, kategorie navštívených WWW stránek atd.). Proprietární VPN server a klient WinRoute obsahuje proprietární VPN ˇ rešení, které funguje v režimech serverto-server a client-to-server. Toto VPN ˇ rešení je navrženo tak, aby fungovalo s pˇ rekladem IP adres (i vícenásobným) na kterékoliv stranˇ e. Pro vytvᡠrení VPN typu client-to-server (pˇ ripojování vzdálených klient˚ u do lokální sítˇ e) je spoleˇ cnˇ e s WinRoute dodáván také klientský software — Kerio VPN Client. Clientless SSL-VPN („VPN bez klienta“) Alternativou k VPN ˇ rešení vyžadujícímu speciální aplikaci na klientské stranˇ e je pˇ rístup do vzdálené privátní sítˇ e prostˇ rednictvím bˇ ežného WWW prohlížeˇ ce. Clientless SSL-VPN umožˇ nuje procházet poˇ cítaˇ ce a sdílené prostˇ redky ve vzdálené síti a stahovat nebo ukládat soubory. Komunikace je zabezpeˇ cena standardním protokolem SSL (HTTPS).
11
Kapitola 2 Úvod
2.2 Konfliktní software Poˇ cítaˇ c, na nˇ emž je WinRoute nainstalován, m˚ uže být rovnˇ ež využíván jako pracovní stanice (to ale není pˇ ríliš doporuˇ cováno — ˇ cinnost uživatele m˚ uže mít negativní vliv na chod operaˇ cního systému a tím i WinRoute). WinRoute m˚ uže být provozován spoleˇ cnˇ e s vˇ etšinou bˇ ežných aplikací. Existují však urˇ cité aplikace, které mohou vykazovat kolize, a nemˇ ely by proto být na tomtéž poˇ cítaˇ ci provozovány. Kolize nízkoúrovˇ nových ovladaˇ cu ˚ WinRoute vykazuje kolize s aplikacemi, jejichž nízkoúrovˇ nové ovladaˇ ce používají stejnou nebo podobnou technologii, což jsou zejména: • Aplikace pro sdílení internetového pˇ ripojení — napˇ r. Microsoft Proxy Server a Microsoft Proxy Client apod. • Sít’ové firewally — napˇ r. Microsoft ISA Server, CheckPoint Firewall-1, WinProxy firmy Ositis, Sygate Office Network a Sygate Home Network apod. • Osobní firewally — napˇ r. Kerio Personal Firewall, Zone Alarm, Sygate Personal Firewall, Norton Personal Firewall apod. • Software pro vytvᡠrení virtuálních privátních sítí (VPN) — napˇ r. firem CheckPoint, Cisco Systems, Nortel apod. Tˇ echto aplikací existuje celá ˇ rada a vyznaˇ cují se velmi specifickými vlastnostmi, které se liší u jednotlivých výrobc˚ u. Pokud to okolnosti dovolují, doporuˇ cujeme využít VPN ˇ rešení obsažené ve WinRoute (podrobnosti viz kapitola 19). V opaˇ cném pˇ rípadˇ e doporuˇ cujeme otestovat konkrétní VPN server ˇ ci VPN klienta se zkušební verzí WinRoute a pˇ rípadnˇ e kontaktovat technickou podporu firmy Kerio Technologies (viz kapitola 23). Poznámka: Implementace VPN obsažená v operaˇ cním systému Windows (založená na protokolu PPTP) je ve WinRoute podporována. Kolize port˚ u Na poˇ cítaˇ ci, kde je WinRoute nainstalován, nemohou být provozovány aplikace, které využívají tytéž porty (nebo je tˇ reba konfiguraci port˚ u zmˇ enit). Pokud jsou zapnuty všechny služby, které WinRoute nabízí, pak WinRoute využívá tyto porty: • 53/UDP — DNS Forwarder • 67/UDP — DHCP server • 1900/UDP — služba SSDP Discovery
12
2.3. Instalace
• 2869/TCP — služba UPnP Host Služby SSDP Discovery a UPnP Host jsou souˇ cásti podpory protokolu UPnP (viz kapitola 15.3). • 44333/TCP+UDP — komunikace mezi programem Kerio Administration Console a WinRoute Firewall Engine. Tuto službu jako jedinou nelze vypnout. Následující služby používají uvedené porty ve výchozí konfiguraci. Porty tˇ echto služeb lze zmˇ enit. • 443/TCP — server rozhraní SSL-VPN (viz kapitola 20) • 3128/TCP — HTTP proxy server (viz kapitola 5.5) • 4080/TCP — WWW administraˇ cní rozhraní (viz kapitola 10) • 4081/TCP — zabezpeˇ cená (SSL) verze WWW administraˇ cního rozhraní (viz kapitola 10) • 4090/TCP+UDP — proprietární VPN server (podrobnosti viz kapitola 19) Antivirové programy Je-li na poˇ cítaˇ ci s WinRoute nainstalován antivirový program, který provádí pr˚ ubˇ ežnou automatickou kontrolu soubor˚ u na disku, je tˇ reba z kontroly vylouˇ cit adresᡠr HTTP cache (viz kapitola 5.6, standardnˇ e podadresᡠr cache adresᡠre, kde je WinRoute nainstalován) a podadresᡠr tmp (používá se pro antivirovou kontrolu HTTP a FTP objekt˚ u). Jestliže je antivirová kontrola spouštˇ ena pouze ruˇ cnˇ e, nemusí být tyto adresᡠre z kontroly vylouˇ ceny — pak je ale nutné pˇ red spuštˇ ením antivirové kontroly zastavit WinRoute Firewall Engine (což nemusí být vždy vhodné). Poznámka: Pokud WinRoute využívá antivirový program pro kontrolu objekt˚ u stahovaných protokoly HTTP a FTP (viz kapitola 9.3), pak vylouˇ cení adresᡠre cache z kontroly soubor˚ u na disku nepˇ redstavuje žádnou hrozbu — soubory uložené v tomto adresᡠri jsou již antivirovým programem zkontrolovány. Poznámka: WinRoute dokáže automaticky zastavit systémovou službu Windows Firewall / Sdílení pˇ ripojení k Internetu, proto ji zde neuvádíme jako kolizní. Podrobnosti viz kapitola 2.3.
2.3 Instalace Systémové požadavky Minimální hardwarová konfigurace poˇ cítaˇ ce, na který má být WinRoute nainstalován: • CPU Intel Pentium II nebo kompatibilní; 300 MHz
13
Kapitola 2 Úvod
• 128 MB operaˇ cní pamˇ eti RAM • Dvˇ e sít’ová rozhraní (vˇ cetnˇ e vytᡠcených) • 50 MB diskového prostoru pro instalaci • Diskový prostor pro logy (dle intenzity provozu a zvolené úrovnˇ e logování) • Z d˚ uvodu bezpeˇ cnosti nainstalovaného produktu (zejména jeho konfiguraˇ cních soubor˚ u) doporuˇ cujeme použít souborový systém NTFS Instalaci je možné provést na tyto operaˇ cní systémy: • Windows 2000 • Windows XP • Windows Server 2003 Poznámka: Ve všech podporovaných operaˇ cních systémech musí být nainstalována sít’ová komponenta Klient sítˇ e Microsoft (Client for Microsoft Networks), jinak nebude možné provozovat WinRoute jako službu a nebude fungovat NTLM ovˇ eˇ rování uživatel˚ u. Ve standardních instalacích všech výše uvedených systém˚ u je tato komponenta obsažena.
Kroky pˇ red spuštˇ ením instalace WinRoute by mˇ el být nainstalován na poˇ cítaˇ c, který tvoˇ rí bránu mezi lokální sítí a Internetem. Tento poˇ cítaˇ c musí obsahovat alespoˇ n jedno rozhraní pˇ ripojené do lokální sítˇ e (Ethernet, TokenRing apod.) a rozhraní do Internetu. Internetovým rozhraním m˚ uže být bud’ sít’ový adaptér (Ethernet, WaveLAN atd.) nebo modem (analogový, ISDN apod.). Pˇ red zahájením instalace WinRoute doporuˇ cujeme provˇ eˇ rit následující: • Správné nastavení systémového ˇ casu (nutné pro kontrolu aktualizací operaˇ cního systému, antivirového programu atd.) • Instalaci všech nejnovˇ ejších (zejména bezpeˇ cnostních) aktualizací operaˇ cního systému
14
2.3. Instalace
• Nastavení parametr˚ u TCP/IP na všech aktivních sít’ových adaptérech • Funkˇ cnost všech sít’ových pˇ ripojení — jak do lokální sítˇ e, tak do Internetu (vhodným nástrojem je napˇ r. pˇ ríkaz ping, který zjišt’uje dobu odezvy poˇ cítaˇ ce zadaného jménem nebo IP adresou). Provedení tˇ echto krok˚ u vám ušetˇ rí mnoho komplikací pˇ ri pozdˇ ejším odstraˇ nování pˇ rípadných problém˚ u. Poznámka: Všechny podporované operaˇ cní systémy obsahují ve standardní instalaci všechny komponenty, které WinRoute pro svoji ˇ cinnost vyžaduje.
Postup instalace a poˇ cáteˇ cní konfigurace Po spuštˇ ení instalaˇ cního programu (napˇ r. kerio-kwf-6.1.0-win.exe) se zobrazí pr˚ uvodce pro nastavení základních parametr˚ u firewallu. Prvním krokem je výbˇ er typu instalace — Typical (plná), Compact (minimální, tj. bez nápovˇ edy) nebo Custom (vlastní). Instalace typu Custom umožˇ nuje výbˇ er volitelných komponent programu:
Obrázek 2.1
Instalace typu Custom — výbˇ er volitelných komponent
15
Kapitola 2 Úvod
• WinRoute Firewall Engine — vlastní výkonné jádro aplikace, • WinRoute Engine Monitor — utilita pro ovládání WinRoute Firewall Engine a sledování jeho stavu (ikonka na lištˇ e), • VPN Support — proprietární VPN ˇ rešení firmy Kerio Technologies, • Kerio Administration Console — program Kerio Administration Console (univerzální konzola pro správu serverových aplikací firmy Kerio Technologies) Podrobný popis komponent WinRoute naleznete v kapitole 2.4. Proprietární VPN ˇ rešení je detailnˇ e popsáno v kapitole 19. Poznámka: Je-li typ instalace Custom, pak se instalaˇ cní program chová takto: • všechny oznaˇ cené komponenty se instalují nebo aktualizují, • všechny neoznaˇ cené komponenty se neinstalují nebo odstraní. Pˇ ri instalaci nové verze WinRoute pˇ res stávající (upgrade) je tedy tˇ reba oznaˇ cit všechny komponenty, které mají z˚ ustat zachovány. Po výbˇ eru volitelných komponent následuje vlastní instalace (tj. zkopírování soubor˚ u na pevný disk a nezbytná systémová nastavení). Poté je automaticky spuštˇ en pr˚ uvodce nastavením základních parametr˚ u WinRoute (viz kapitola 2.7). Po instalaci je tˇ reba poˇ cítaˇ c restartovat (aby mohl být zaveden nízkoúrovˇ nový ovladaˇ c WinRoute). Po novém startu systému se automaticky spustí WinRoute Firewall Engine, tj. vlastní výkonné jádro programu (bˇ eží jako systémová služba), a po pˇ rihlášení uživatele také WinRoute Engine Monitor.
Ochrana nainstalovaného produktu Pro zajištˇ ení plné bezpeˇ cnosti firewallu je d˚ uležité, aby neoprávnˇ ené osoby nemˇ ely žádný pˇ rístup k soubor˚ um aplikace (zejména ke konfiguraˇ cním soubor˚ um). Je-li použit souborový systém NTFS, pak WinRoute pˇ ri každém svém startu obnovuje nastavení pˇ rístupových práv k adresᡠri, ve kterém je nainstalován (vˇ cetnˇ e všech podadresᡠru ˚): pouze ˇ clen˚ um skupiny Administrators a lokálnímu systémovému úˇ ctu (SYSTEM ) je povolen pˇ rístup pro ˇ ctení i zápis, ostatní uživatelé nemají žádný pˇ rístup. Upozornˇ ení: Pˇ ri použití souborového systému FAT32 nelze soubory WinRoute výše popsaným zp˚ usobem zabezpeˇ cit. Z tohoto d˚ uvodu doporuˇ cujeme instalovat WinRoute výhradnˇ e na disk se souborovým systémem NTFS.
16
2.3. Instalace
Kolizní programy a systémové služby Instalaˇ cní program WinRoute detekuje programy a systémové služby, které by mohly zp˚ usobovat kolize se službou WinRoute Firewall Engine. 1.
Kerio WinRoute Pro a Kerio WinRoute Lite WinRoute již není kompatibilní s verzemi ˇ rady 4.x. Je-li pˇ ri instalaci detekována WinRoute Pro 4.x nebo WinRoute Lite 4.x, zobrazí se následující chybové hlášení.
Obrázek 2.2
Detekce WinRoute Pro 4.x pˇ ri instalaci
Po stisknutí tlaˇ cítka OK se instalaˇ cní program ukonˇ cí. Pak je tˇ reba WinRoute Pro/Lite odinstalovat (volbou Pˇ ridat nebo odebrat programy v Ovládacích panelech), restartovat poˇ cítaˇ c a spustit instalaˇ cní program znovu. Poznámka: Má-li být pˇ revzata konfigurace WinRoute Pro (napˇ r. pˇ ri velkém poˇ ctu interních uživatelských úˇ ct˚ u), pak je tˇ reba namísto odinstalování WinRoute Pro provést nejprve upgrade na Kerio WinRoute Firewall 5.x a následnˇ e na Kerio WinRoute Firewall 6.x (podrobnosti viz kapitola 2.6). 2.
Hostitel zaˇ rízení UPnP (Universal Plug and Play Device Host) a Služba rozpoznávání pomocí protokolu SSDP (SSDP Discovery Service). Tyto dvˇ e služby tvoˇ rí podporu protokolu UPnP (Universal Plug and Play) v operaˇ cních systémech Windows XP a Server 2003. Chcete-li používat službu UPnP ve WinRoute (viz kapitola 15.3), musejí být obˇ e tyto služby vypnuty, aby nedošlo ke kolizi port˚ u. • Je-li detekována služba Universal Plug and Play Device Host, zobrazí se tento dialog:
Obrázek 2.3
Detekce služby Hostitel zaˇ rízení UPnP
17
Kapitola 2 Úvod
Stisknutím tlaˇ cítka Ano (Yes) bude služba Hostitel zaˇ rízení UPnP zastavena a zakázáno její automatické spouštˇ ení pˇ ri startu systému. Tlaˇ cítko Ne (No) ponechá stav a parametry této služby beze zmˇ en. • Je-li detekována služba Služba rozpoznávání pomocí protokolu SSDP, zobrazí se tento dialog:
Obrázek 2.4
Detekce Služby rozpoznávání pomocí protokolu SSDP
Význam obou tlaˇ cítek je stejný jako v pˇ redchozím pˇ rípadˇ e. Poznámky: 1.
WinRoute pˇ ri každém svém startu automaticky detekuje, zda je spuštˇ ena systémová služba Windows Firewall / Sdílení pˇ ripojení k Internetu (Windows Firewall / Internet Connection Sharing), a pokud ano, automaticky ji zastaví. Tím je vylouˇ cena kolize 1 se systémovými komponentami Windows Firewall a Sdílení pˇ ripojení k Internetu.
2.
V operaˇ cním systému Windows XP Service Pack 2 se WinRoute také automaticky registruje v Centru zabezpeˇ cení (Security Center). To znamená, že Centrum zabezpeˇ cení bude vždy správnˇ e indikovat stav firewallu a nebude zobrazováno varování, že systém není chránˇ en.
2.4 Komponenty WinRoute WinRoute sestává z následujících tˇ rí ˇ cástí: WinRoute Firewall Engine Vlastní výkonný program, který realizuje všechny služby a funkce. Bˇ eží jako služba operaˇ cního systému (služba má název Kerio WinRoute Firewall a ve výchozím nastavení je spouštˇ ena automaticky pod systémovým úˇ ctem).
1
V operaˇ cním systému Windows XP Service Pack 1 a starších verzích má integrovaný firewall název Brána ripojení k Internetu (Internet Connection Firewall). Firewall pˇ
18
2.5. WinRoute Engine Monitor
WinRoute Engine Monitor Slouží k monitorování a zmˇ enˇ e stavu Engine (zastaven / spuštˇ en), nastavení spouštˇ ecích preferencí (tj. zda se má Engine a/nebo Monitor sám spouštˇ et automaticky pˇ ri startu systému) a snadnému spuštˇ ení administraˇ cní konzole. Podrobnosti naleznete v kapitole 2.5. Poznámka: WinRoute Firewall Engine je zcela nezávislý na aplikaci WinRoute Engine Monitor. Engine tedy m˚ uže bˇ ežet, i když se na lištˇ e nezobrazuje ikona. Kerio Administration Console Univerzální program pro lokální ˇ ci vzdálenou správu serverových produkt˚ u firmy Kerio Technologies. Pro pˇ ripojení k urˇ cité aplikaci je tˇ reba modul obsahující specifické rozhraní pro tuto aplikaci. Pˇ ri instalaci WinRoute je Kerio Administration Console nainstalována s pˇ ríslušným modulem. Použití programu Kerio Administration Console je podrobnˇ e popsáno v samostaném dokumentu Kerio Administration Console — Nápovˇ eda.
2.5 WinRoute Engine Monitor WinRoute Engine Monitor je utilita, která slouží k ovládání a monitorování stavu WinRoute Firewall Engine. Tato komponenta se zobrazuje jako ikona na hlavním panelu.
Obrázek 2.5
Ikona utility WinRoute Engine Monitor v oznamovací oblasti (System Tray) nástrojové lišty
Je-li WinRoute Firewall Engine zastaven, objeví se pˇ res ikonu ˇ cervený kruh s bílým kˇ rížkem. Spouštˇ ení ˇ ci zastavování WinRoute Firewall Engine m˚ uže za r˚ uzných okolností trvat až nˇ ekolik sekund. Na tuto dobu ikona zešedne a je neaktivní, tzn. nereaguje na myš. Dvojitým kliknutím levým tlaˇ cítkem na tuto ikonu lze spustit program Kerio Administration Console (viz dále). Po kliknutí pravým tlaˇ cítkem se zobrazí menu s následujícími funkcemi:
Obrázek 2.6
Menu utility WinRoute Engine Monitor
19
Kapitola 2 Úvod
Startup Preferences Volby pro automatické spouštˇ ení WinRoute Firewall Engine a WinRoute Engine Monitoru pˇ ri startu systému. Výchozí nastavení (po instalaci) je obˇ e volby zapnuty. Administration Spuštˇ ení programu Kerio Administration Console (odpovídá dvojitému kliknutí levým tlaˇ cítkem myši na ikonu WinRoute Engine Monitoru) Start / Stop WinRoute Firewall Engine Spuštˇ ení nebo zastavení WinRoute Firewall Engine (text se mˇ ení v závislosti na jeho stavu). Exit Engine Monitor Ukonˇ cení programu WinRoute Engine Monitor. Tato volba nezastavuje WinRoute Firewall Engine, na což je uživatel upozornˇ en varovným hlášením. Poznámka: Pokud má licence WinRoute omezenou platnost (napˇ r. neregistrovaná zkušební verze), pak se 7 dní pˇ red vypršením licence automaticky zobrazí informace o tom, že se blíží konec její platnosti. Zobrazení této informace se pak periodicky opakuje až do okamžiku, kdy licence vyprší.
2.6 Upgrade a deinstalace Tato kapitola popisuje upgrade WinRoute v rámci verzí 5.x a 6.x (napˇ r. z verze 5.1.10 na verzi 6.1.0 nebo z verze 6.1.0 na verzi 6.1.1). Pˇ rímý upgrade ze starších verzí (Kerio WinRoute Pro) již není možný. Chceme-li provést upgrade (tj. instalovat novˇ ejší verzi získanou napˇ r. z WWW stránek výrobce), staˇ cí jednoduše spustit instalaci nové verze. Pˇ red instalací je tˇ reba zavˇ rít všechna okna programu Kerio Administration Console. Komponenty WinRoute Firewall Engine a WinRoute Engine Monitor dokáže instalaˇ cní program ukonˇ cit sám. Pˇ ri instalaci bude rozpoznán adresᡠr, kde je stávající verze nainstalována, a nahrazeny pˇ ríslušné soubory novými. Pˇ ritom z˚ ustanou zachována veškerá nastavení i soubory záznam˚ u. Upozornˇ ení: V pˇ rípadˇ e upgrade se nedoporuˇ cuje mˇ enit nabízený instalaˇ cní adresᡠr!
Deinstalace Pro deinstalaci je vhodné zastavit všechny tˇ ri komponenty WinRoute. Program lze deinstalovat pr˚ uvodcem Pˇ ridat nebo odebrat programy v Ovládacích panelech. Pˇ ri deinstalaci mohou být volitelnˇ e smazány také všechny soubory v instalaˇ cním adresᡠri WinRoute
Pˇ rechod z WinRoute Pro 4.x Chceme-li pˇ rejít z WinRoute Pro 4.x na Kerio WinRoute Firewall 6.x a pˇ revzít pˇ ritom stávající nastavení, pak lze provést upgrade ve dvou krocích: 1.
Upgrade z WinRoute Pro 4.x na Kerio WinRoute Firewall 5.x. Verze 5.x obsahuje nástroj pro poˇ cáteˇ cní konfiguraci, který dokáže naˇ císt a pˇ revést konfiguraci WinRoute Pro 4.x.
2.
Upgrade verze 5.x na verzi 6.x (viz výše).
Poznámka: Pokud to nevyžadují zvláštní okolnosti (napˇ r. velký poˇ cet interních uživatelských úˇ ct˚ u), nedoporuˇ cujeme provádˇ et upgrade WinRoute tímto zp˚ usobem. Konfiguraˇ cní parametry WinRoute Pro 4.x jsou znaˇ cnˇ e odlišné a lze pˇ revzít jen nˇ ekteré z nich. Následná revize nastavení a odstraˇ nování pˇ rípadných chyb je zpravidla nároˇ cnˇ ejší než konfigurace WinRoute v pˇ rípadˇ e nové instalace.
Automatická kontrola nových verzí WinRoute umožˇ nuje automaticky kontrolovat, zda se na serveru firmy Kerio Technologies nachází novˇ ejší verze, než je aktuálnˇ e nainstalována. Je-li nalezena nová verze, nabídne WinRoute její stažení a instalaci. Podrobné informace naleznete v kapitole 13.2.
2.7 Pr˚ uvodce poˇ cáteˇ cní konfigurací Instalaˇ cní program automaticky spouští pr˚ uvodce, který vám pom˚ uže nastavit základní parametry WinRoute. Poznámka: Konfiguraˇ cní pr˚ uvodce je k dispozici pouze v anglickém jazyce.
Nastavení administrátorského jména a hesla Velmi d˚ uležitým krokem pro zajištˇ ení bezpeˇ cnosti vašeho firewallu je nastavení administrátorského jména a hesla. Ponecháte-li prázdné heslo, pak se vystavujete riziku, že se ke konfiguraci WinRoute pˇ rihlásí nepovolaná osoba.
21
Kapitola 2 Úvod
Obrázek 2.7
Poˇ cáteˇ cní konfigurace — nastavení uživatelského jména a hesla pro administraci
V dialogu pro nastavení úˇ ctu je tˇ reba zadat heslo (Password) a zopakovat jej pro kontrolu (Confirm Password). V položce Username m˚ užete zmˇ enit jméno administrátora (standardnˇ e Admin). Poznámka: Pokud je Kerio WinRoute Firewall nainstalován jako upgrade WinRoute Pro 4.x, pak je tento krok pˇ reskoˇ cen — administrátorský úˇ cet bude rovnˇ ež importován z WinRoute Pro 4.x (viz dále).
Vzdálený pˇ rístup Bezprostˇ rednˇ e po prvním spuštˇ ení WinRoute Firewall Engine dojde k blokování veškeré sít’ové komunikace (požadovaná komunikace pak musí být povolena vytvoˇ rením e (napˇ r. pomocí pravidel — viz kapitola 6). Je-li WinRoute instalován vzdálenˇ terminálového pˇ rístupu), pak se v tomto okamžiku pˇ reruší také komunikace se vzdáleným klientem (a konfigurace WinRoute musí být provedena lokálnˇ e). Pro umožnˇ ení vzdálené instalace a správy lze ve druhém kroku pr˚ uvodce poˇ cáteˇ cní konfigurací zadat IP adresu poˇ cítaˇ ce, odkud bude po spuštˇ ení WinRoute Firewall Engine možné pracovat s firewallem vzdálenˇ e (napˇ r. pomocí terminálových služeb). WinRoute povolí veškerou komunikaci mezi firewallem a vzdáleným poˇ cítaˇ cem. Poznámka: Pokud WinRoute instalujete lokálnˇ e, pak tento krok pˇ reskoˇ cte. Povolení
22
2.7. Pr˚ uvodce poˇ cáteˇ cní konfigurací
plného pˇ rístupu ze vzdáleného poˇ cítaˇ ce m˚ uže pˇ redstavovat bezpeˇ cnostní hrozbu.
Obrázek 2.8
Poˇ cáteˇ cní konfigurace — povolení vzdálené správy
Enable remote access Tato volba povoluje plný pˇ rístup k poˇ cítaˇ ci s WinRoute z jedné vybrané IP adresy. Remote IP address IP adresa poˇ cítaˇ ce, odkud se vzdálenˇ e pˇ ripojujete (napˇ r. terminálovým klientem). Do této položky lze uvést pouze jeden poˇ cítaˇ c, který musí být zadán IP adresou (nikoliv DNS jménem). Upozornˇ ení: Po nastavení WinRoute pr˚ uvodcem komunikaˇ cními kapitola 6.1) se pravidlo pro povolení vzdáleného pˇ rístupu zruší.
pravidly
(viz
Restart poˇ cítaˇ ce Po dokonˇ cení instalace je tˇ reba poˇ cítaˇ c restartovat, aby mohl být zaveden nízkoúrovˇ nový ovladaˇ c WinRoute (wrdrv.sys). Po novém startu operaˇ cního systému bude automaticky spuštˇ ena služba WinRoute Firewall Engine a program WinRoute Engine Monitor. Pˇ ri prvním startu WinRoute Firewall Engine (bezprostˇ rednˇ e po instalaci) se zobrazí dotaz, zda má být spuštˇ en také program Kerio Administration Console. Po instalaci je totiž
23
Kapitola 2 Úvod
nutné provést alespoˇ n základní konfiguraci (viz kapitola 6.1), jinak bude blokována veškerá sít’ová komunikace poˇ cítaˇ ce, na kterém je WinRoute nainstalován.
Obrázek 2.9
Dotaz na spuštˇ ení Administration Console po restartu poˇ cítaˇ ce
24
Kapitola 3
Správa WinRoute
Ke správˇ e WinRoute slouží samostatný program Kerio Administration Console (univerzální aplikace pro správu serverových produkt˚ u firmy Kerio Technologies). Kerio Administration Console umožˇ nuje lokální správu (tj. z téhož poˇ cítaˇ ce, na kterém WinRoute Firewall Engine bˇ eží) i vzdálenou správu (z libovolného jiného poˇ cítaˇ ce). Komunikace mezi Kerio Administration Console a WinRoute Firewall Engine je šifrována, což zabraˇ nuje jejímu odposlechu a zneužití. Program Kerio Administration Console se instaluje spoleˇ cnˇ e s WinRoute (viz kapitoly 2.3 a 2.4). Jeho použití je podrobnˇ e popsáno v samostatném manuálu Kerio Administration Console — Nápovˇ eda. Další kapitoly tohoto manuálu již popisují jednotlivé sekce administraˇ cního okna WinRoute, které se zobrazí po úspˇ ešném pˇ rihlášení k WinRoute Firewall Engine. Poznámka: Pˇ ri prvním pˇ rihlášení po instalaci WinRoute se nejprve automaticky spustí pr˚ uvodce vytvoˇ rením komunikaˇ cních pravidel, který slouží k poˇ cáteˇ cní konfiguraci WinRoute. Podrobný popis tohoto pr˚ uvodce najdete v kapitole 6.1.
3.1 Administraˇ cní okno Po úspˇ ešném pˇ rihlášení programem Kerio Administration Console k WinRoute Firewall Engine se zobrazí hlavní okno modulu pro správu WinRoute (dále jen „administraˇ cní okno“). Toto okno je rozdˇ eleno na dvˇ eˇ cásti: • Levý sloupec obsahuje seznam sekcí administraˇ cního okna v podobˇ e stromu. Pro vˇ etší pˇ rehlednost lze jednotlivé ˇ cásti stromu skrývat a rozbalovat. Kerio Administration Console si pˇ ri svém ukonˇ cení zapamatuje aktuální nastavení stromu a pˇ ri dalším pˇ rihlášení jej zobrazí ve stejné podobˇ e.
25
Kapitola 3 Správa WinRoute
Obrázek 3.1
Hlavní okno Kerio Administration Console pro WinRoute
• Pravá ˇ cást okna zobrazuje obsah sekce zvolené v levém sloupci (pˇ rípadnˇ e seznam sekcí ve zvolené skupinˇ e).
Hlavní menu administraˇ cního okna Hlavní menu obsahuje tyto funkce: Nabídka Soubor • Obnovit pˇ ripojení — pˇ ripojení k WinRoute Firewall Engine po výpadku spojení (napˇ r. z d˚ uvodu restartu Engine ˇ ci sít’ové chyby). • Nové pˇ ripojení — otevˇ rení (resp. pˇ repnutí do) hlavního okna Kerio Administration Console. V tomto oknˇ e se pak m˚ užeme pomocí záložky nebo pˇ rihlašovacího dialogu pˇ ripojit k požadovanému serveru. Tuto funkci lze využít, pokud chceme spravovat více serverových aplikací souˇ casnˇ e (napˇ r. WinRoute na více serverech). Podrobnosti viz manuál Kerio Administration Console — Nápovˇ eda. Poznámka: Volba Pˇ ripojit k novému serveru má zcela identický efekt jako spuštˇ ení Kerio Administration Console z nabídky Start. • Konec — ukonˇ cení správy (odhlášení od serveru a uzavˇ rení administraˇ cního okna). Stejného efektu dosáhneme uzavˇ rením okna kliknutím na závˇ er (kˇ rížek) v pravém horním rohu nebo kombinací kláves Alt+F4.
26
3.1. Administraˇ cní okno
Nabídka Nápovˇ eda • Pˇ ríruˇ cka administrátora — otevˇ rení pˇ ríruˇ cky administrátora (tohoto manuálu) ve formátu HTML Help. Podrobnosti o nápovˇ edách naleznete v manuálu Kerio Administration Console — Nápovˇ eda. • O aplikaci — informace o verzi aplikace (v tomto pˇ rípadˇ e administraˇ cního modulu pro WinRoute), odkaz na WWW stránku výrobce a další informace.
Stavový ˇ rádek Na dolním okraji administraˇ cního okna je umístˇ en stavový ˇ rádek, který zobrazuje tyto informace (v poˇ radí zleva doprava):
Obrázek 3.2
Stavový ˇ rádek okna Kerio Administration Console
• Aktuální sekce administraˇ cního okna (vybraná v levém sloupci). Tato informace usnadˇ nuje orientaci v administraˇ cním oknˇ e zejména v pˇ rípadech, kdy není vidˇ et celý strom sekcí (napˇ r. pˇ ri nižším rozlišení obrazovky). • Jméno nebo IP adresa serveru a port serverové aplikace (WinRoute používá port 44333). • Jméno uživatele pˇ rihlášeného ke správˇ e. • Aktuální stav Kerio Administration Console: Pˇ ripraven (ˇ cekání na akci uživatele), Naˇ cítání (pˇ renos dat ze serveru) nebo Ukládání (zápis provedených zmˇ en na server).
Detekce výpadku pˇ ripojení k WinRoute Firewall Engine Administration Console dokáže automaticky detekovat, že došlo k výpadku pˇ ripojení. Výpadek je zpravidla detekován pˇ ri pokusu o ˇ ctení nebo uložení dat z/na server (tj. pˇ ri stisknutí tlaˇ cítka Použít nebo pˇ repnutí do jiné sekce Administration Console). V takovém pˇ rípadˇ e se automaticky zobrazí dialog pro obnovení pˇ ripojení s pˇ ríslušným chybovým hlášením. Po odstranˇ ení pˇ ríˇ ciny výpadku m˚ užeme zkusit pˇ ripojení obnovit. Pokud se pˇ ripojení nepodaˇ rí obnovit, zobrazí se již pouze chybové hlášení. Pak m˚ užeme zkusit pˇ ripojení obnovit volbou Soubor / Obnovit pˇ ripojení z hlavního menu, pˇ rípadnˇ e okno uzavˇ rít a pˇ ripojit se znovu standardním zp˚ usobem.
27
Kapitola 3 Správa WinRoute
Obrázek 3.3
Detekce výpadku spojení s WinRoute Firewall Engine
3.2 Nastavení pohled˚ u V mnoha sekcích Kerio Administration Console má zobrazení tvar tabulky, pˇ riˇ cemž každý ˇ rádek obsahuje jeden záznam (napˇ r. údaje o jednom uživateli, jednom rozhraní apod.) a sloupce obsahují jednotlivé položky tohoto záznamu (napˇ r. jméno rozhraní, název adaptéru, hardwarovou adresu, IP adresu atd.). Správce WinRoute má možnost upravit si zp˚ usob zobrazení informací v jednotlivých sekcích dle vlastní potˇ reby ˇ ci vkusu. V každé z výše popsaných sekcí se po stisknutí pravého tlaˇ cítka myši zobrazí kontextová nabídka obsahující volbu Nastavit sloupce. Tato volba otevírá dialog, v nˇ emž je možné nastavit, které sloupce mají být zobrazeny a které mají z˚ ustat skryty.
Obrázek 3.4
Výbˇ er zobrazovaných sloupc˚ u v sekci Rozhraní
28
3.2. Nastavení pohled˚ u
Dialog obsahuje seznam všech sloupc˚ u dostupných v pˇ ríslušném pohledu. Zaškrtávací pole (vlevo od názvu sloupce) zapíná/vypíná zobrazování tohoto sloupce. Tlaˇ cítko Zobrazit vše nastavuje zobrazování všech dostupných sloupc˚ u. Tlaˇ cítko Výchozí uvede nastavení sloupc˚ u do výchozího stavu (ve výchozím nastavení jsou zpravidla z d˚ uvodu pˇ rehlednosti zobrazeny pouze sloupce s nejd˚ uležitˇ ejšími informacemi, zatímco sloupce s doplˇ nujícími informacemi jsou skryty). Tlaˇ cítka se šipkami slouží k posunu vybraného sloupce v seznamu nahoru nebo dol˚ u. Tím lze urˇ cit poˇ radí, v jakém mají být sloupce zobrazeny. Poˇ radí sloupc˚ u lze také upravit v pohledu samotném: klikneme levým tlaˇ cítkem myši na název sloupce, podržíme jej a pˇ resuneme na požadované místo. Poznámka: Šíˇ rku jednotlivých sloupc˚ u lze upravit posunutím dˇ elicích ˇ cár mezi záhlavími sloupc˚ u.
29
Kapitola 4
Registrace produktu a licence
Zakoupený produkt Kerio WinRoute Firewall je tˇ reba zaregistrovatna WWW stránkách firmy Kerio Technologies (http://www.kerio.cz/). Po úspˇ ešné registraci bude vygenerován tzv. licenˇ cní klíˇ c(soubor license.key), který je tˇ reba importovat do WinRoute (viz kapitola 4.2). Pokud tak neuˇ ciníte, bude se WinRoute chovat jako plnˇ e funkˇ cní, ale ˇ casovˇ e omezená verze. Z výše uvedeného zároveˇ n vyplývá, že rozdíl mezi zkušební verzí a plnou verzí WinRoute je pouze v tom, zda se do nˇ ej importuje licenˇ cní klíˇ cˇ ci nikoliv. Každý zákazník má tak možnost si produkt ve tˇ ricetidenní lh˚ utˇ e vyzkoušet v konkrétních podmínkách. Pokud si jej zakoupí a registruje, staˇ cí pouze importovat získaný licenˇ cní klíˇ c do nainstalované zkušební verze. Není tedy tˇ reba WinRoute znovu instalovat a nastavovat. V pˇ rípadˇ e, že tˇ ricetidenní lh˚ uta již vypršela, WinRoute zablokuje veškerou sít’ovou komunikaci poˇ cítaˇ ce, na kterém je nainstalován. Povoleno je pouze pˇ rihlášení programem Kerio Administration Console, v nˇ emž pak lze importovat licenˇ cní klíˇ c. Po importu platného licenˇ cního klíˇ ce je WinRoute opˇ et funkˇ cní v plném rozsahu. Poznámka: Dojde-li ke ztrátˇ e licenˇ cního klíˇ ce (napˇ r. z d˚ uvodu havárie disku, nechtˇ eným smazáním apod.), je možné znovu provést registraci na WWW stránkách firmy Kerio Technologies a znovu si jej stáhnout (pˇ ri opakované registraci staˇ cí zadat pouze prodejní ˇ císlo základního produktu).
4.1 Typy licencí a poˇ cet uživatel˚ u Typy licencí (volitelné komponenty) WinRoute m˚ uže obsahovat volitelné komponenty: antivirový program McAfee (viz kapitola 9) a modul pro hodnocení obsahu WWW stránek ISS OrangeWeb Filter (viz kapitola 8.3). Tyto komponenty jsou licencovány oddˇ elenˇ e. Licenˇ cní klíˇ c tedy obsahuje následující informace: Licence WinRoute Základní licence WinRoute. Její platnost urˇ cují dvˇ e data: • skonˇ cení práva na aktualizaci — datum, do kdy je možné WinRoute bezplatnˇ e upgradovat na nejnovˇ ejší verzi. Po tomto datu je WinRoute nadále funkˇ cní, ale
30
4.1. Typy licencí a poˇ cet uživatel˚ u
nelze jej aktualizovat. Právo na aktualizaci m˚ užete prodloužit zakoupením tzv. pˇ redplatného. • skonˇ cení funkˇ cnosti produktu — k tomuto datu pˇ restává být WinRoute funkˇ cní a zablokuje veškerou TCP/IP komunikaci na poˇ cítaˇ ci, kde je nainstalován. Pokud tato situace nastane, musíte importovat nový (platný) licenˇ cní klíˇ c nebo WinRoute odinstalovat. Licence antivirového programu McAfee Tato licence je urˇ cena dvˇ ema daty: • skonˇ cení práva na aktualizaci (nezávislé na WinRoute) — po tomto datu z˚ ustává antivirus funkˇ cní, ale nelze aktualizovat virovou databázi ani antivirový program. Upozornˇ ení: Vzhledem ke stálému výskytu nových vir˚ u doporuˇ cujeme používat vždy nejnovˇ ejší verzi virové databáze. • skonˇ cení funkˇ cnosti antivirového modulu — po tomto datu se antivirový modul McAfee zablokuje a nelze jej nadále používat. Licence modulu ISS OrangeWeb Filter Modul ISS OrangeWeb Filter je dodáván jako služba. Licence je urˇ cena pouze datem skonˇ cení platnosti, po kterém pˇ restane tento modul fungovat. Poznámka: Aktuální informace o jednotlivých licencích, možnostech prodloužení jejich platnosti atd. naleznete na WWW stránkách firmy Kerio Technologies (http://www.kerio.cz/).
Stanovení potˇ rebného poˇ ctu uživatel˚ u Souˇ cástí licenˇ cního klíˇ ce pro WinRoute je informace o maximálním povoleném poˇ ctu uživatel˚ u. Dle licenˇ cních podmínek poˇ cet uživatel˚ u znamená poˇ cet poˇ cítaˇ cu ˚, které WinRoute chrání, tj. souˇ cet: • všech poˇ cítaˇ cu ˚ v lokální síti (pracovních stanic i server˚ u), • všech (potenciálních) VPN klient˚ u pˇ ripojujících se z Internetu do lokální sítˇ e. Do celkového poˇ ctu uživatel˚ u se nezahrnuje poˇ cítaˇ c, na kterém je WinRoute nainstalován. Upozornˇ ení: Pˇ ri pˇ rekroˇ cení maximálního povoleného poˇ ctu uživatel˚ u bude WinRoute blokovat komunikaci nˇ ekterých poˇ cítaˇ cu ˚!
31
Kapitola 4 Registrace produktu a licence
4.2 Informace o licenci a import licenˇ cního klíˇ ce Informace o licenci lze zobrazit volbou Kerio WinRoute Firewall (první položka ve stromu v levé ˇ cásti okna Kerio Administration Console — tato sekce se zobrazuje bezprostˇ rednˇ e po pˇ rihlášení ke správˇ e WinRoute).
Obrázek 4.1
Úvodní stránka Administration Console s informacemi o licenci
Produkt Název produktu (Kerio WinRoute Firewall). Copyright Informace o držiteli autorských práv. Domovská stránka Odkaz na domovskou stránku produktu Kerio WinRoute Firewall (informace o cenách, nových verzích atd.). Kliknutím na odkaz se domovská stránka otevˇ re ve WWW prohlížeˇ ci, který je v operaˇ cním systému nastaven jako výchozí. Operaˇ cní systém Název operaˇ cního systému, na kterém bˇ eží služba WinRoute Firewall Engine.
32
4.2. Informace o licenci a import licenˇ cního klíˇ ce
ID licence Licenˇ cní ˇ císlo nebo oznaˇ cení speciální licence. Právo na aktualizaci konˇ cí Datum skonˇ cení nároku na bezplatný upgrade produktu. Funkˇ cnost produktu konˇ cí Datum skonˇ cení funkˇ cnosti produktu (pouze u zkušební verze nebo speciálních licencí). Poˇ cet uživatel˚ u Maximální poˇ cet poˇ cítaˇ cu ˚ (unikátních IP adres), které m˚ uže WinRoute chránit (podrobnosti viz kapitola 4.4). Spoleˇ cnost Název spoleˇ cnosti (pˇ ríp. osoby), na niž je produkt registrován. Instalovat licenci... Tento odkaz otevírá dialog pro naˇ ctení souboru s licenˇ cním klíˇ cem (viz níže). rípadˇ e Je-li aktivní automatická kontrola nových verzí (viz kapitola 13.2), pak se v pˇ zveˇ rejnˇ ení nové verze zobrazí v informaˇ cním oknˇ e odkaz K dispozici je nová verze programu. Kliknˇ ete zde pro podrobnosti.... Po kliknutí na tento odkaz se zobrazí dialog umožˇ nující stažení nové verze a následné spuštˇ ení instalace. Poznámka: Po kliknutí pravým tlaˇ cítkem myši na úvodní stránce Kerio Administration Console se zobrazí kontextové menu s tˇ emito volbami: •
Instalovat licenci — import licenˇ cního klíˇ ce.
• Zkopírovat licenˇ cní ˇ císlo do schránky — zkopírování ˇ císla aktuální licence (položka ID licence) do schránky. Toto m˚ uže být užiteˇ cné napˇ r. pˇ ri objednávce upgrade nebo pˇ redplatného, kdy je tˇ reba zadat ˇ císlo základní licence, nebo pˇ ri zadávání požadavku na technickou podporu Kerio Technologies.
Instalace licence Licenˇ cní klíˇ c lze nainstalovat dvˇ ema zp˚ usoby: • Kliknutím na odkaz Instalovat licenci... na úvodní stránce Kerio Administration Console (viz obrázek 4.1), pˇ rípadnˇ e volbou Instalovat licenci z kontextového menu úvodní stránky. Tento odkaz otevírá standardní systémový dialog pro otevˇ rení souboru. Je-li import licenˇ cního klíˇ ce úspˇ ešný, licence je ihned aktivní. Na úvodní stránce Kerio Administration Console se obrazí se informace o nové licenci.
33
Kapitola 4 Registrace produktu a licence
Tímto zp˚ usobem lze instalovat licenci i vzdálenˇ e (soubor s licenˇ cním klíˇ cem musí být uložen na disku poˇ cítaˇ ce, ze kterého je vzdálená správa provádˇ ena). • Zkopírováním souboru s licenˇ cním klíˇ cem do pˇ ríslušného adresᡠre. Soubor s licenˇ cním klíˇ cem musí mít název license.key a je tˇ reba jej nahrát do podadresᡠre license instalaˇ cního adresᡠre WinRoute (typicky C:\Program Files\Kerio\WinRoute Firewall\license). Pro aktivaci licence je nutné restartovat (zastavit a znovu spustit) WinRoute Firewall Engine. Poznámka: Je-li to možné, doporuˇ cujeme importovat licenˇ cní klíˇ c prostˇ rednictvím Kerio Administration Console (není nutný restart WinRoute Firewall Engine).
4.3 Vypršení licence nebo práva na aktualizaci Blíží-li se datum skonˇ cení platnosti licence WinRoute, antiviru McAfee nebo modulu ISS OrangeWeb Filter a/nebo skonˇ cení práva na aktualizaci WinRoute nebo antiviru McAfee, zaˇ cne utilita WinRoute Engine Monitor periodicky zobrazovat informaci o tom, kolik dní zbývá do vypršení licence nebo skonˇ cení práva na aktualizaci.
Obrázek 4.2
Upozornˇ ení o vypršení licence a/nebo práva na aktualizaci
Tato informace se poprvé zobrazí 7 dní pˇ red inkriminovaným datem a poté se zobrazuje periodicky nˇ ekolikrát dennˇ e až do chvíle, kdy pˇ restane být WinRoute nebo nˇ ekterá z jeho komponent funkˇ cní, pˇ rípadˇ e kdy skonˇ cí právo na aktualizaci WinRoute nebo antiviru McAfee. Poznámka: Není-li spuštˇ en WinRoute Engine Monitor, nebude se informace o vypršení licence nebo pˇ redplatného zobrazovat. Správce WinRoute však m˚ uže nastavit zasílání výstrahy formou e-mailu nebo krátké textové zprávy na mobilní telefon (viz kapitola 16.3).
34
4.4. Kontrola poˇ ctu uživatel˚ u
4.4 Kontrola poˇ ctu uživatel˚ u Tato kapitola podrobnˇ e popisuje zp˚ usob, jakým WinRoute kontroluje, zda nedošlo k pˇ rekroˇ cení poˇ ctu uživatel˚ u povoleného licencí. Licence WinRoute neomezuje poˇ cet uživatelských úˇ ct˚ u. Skuteˇ cný poˇ cet vytvoˇ rených úˇ ct˚ u neovlivˇ nuje poˇ cet využitých licencí. Kontrola využití licence probíhá takto:
Start WinRoute Pˇ ri startu WinRoute obsahuje tabulka klient˚ u pouze firewall. Poˇ cet využitých licencí je roven nule. Poznámka: Tabulka klient˚ u se zobrazuje Poˇ cítaˇ ce/Uživatelé — viz kapitola 16.1.
v
Administration
Console
v
sekci
ˇ Cerpání licencí Pˇ ri zachycení komunikace jakéhokoliv klienta WinRoute zkontroluje, zda pro jeho IP adresu již existuje záznam v tabulce klient˚ u. Pokud ne, pˇ ridá do tabulky nový záznam a zvýší poˇ cet využitých licencí o 1. Za klienty jsou považovány: 1.
Všechny poˇ cítaˇ ce, ze kterých jsou uživatelé pˇ rihlášeni k firewallu
2.
Všichni klienti proxy serveru ve WinRoute (viz kapitola 5.5)
3.
Všechny poˇ cítaˇ ce v lokální síti, jejichž komunikace je smˇ erována mezi internetovými a lokálními rozhraními WinRoute. Do této skupiny patˇ rí: • Každý poˇ cítaˇ c, který pˇ ristupuje do Internetu, ale není z nˇ ej pˇ rihlášen žádný uživatel, • Všechny lokální servery zpˇ rístupnˇ ené (mapované) z Internetu, • Všichni VPN klienti pˇ ripojení z Internetu do lokální sítˇ e.
35
Kapitola 4 Registrace produktu a licence
ˇ Cerpání licencí neovlivˇ nují: • DNS dotazy obsluhované modulem DNS Forwarder (pozor: používají-li klienti DNS server umístˇ ený mimo lokální sít’, pak se jedná o komunikaci do Internetu), • DHCP komunikace (m˚ uže být použit modul DHCP server ve WinRoute nebo jiný DHCP server na poˇ cítaˇ ci s WinRoute), • Lokální komunikace s firewallem (napˇ r. pˇ rístup ke sdíleným disk˚ um) poˇ cítaˇ cu ˚, ze kterých není k firewallu pˇ rihlášen žádný uživatel.
Uvolˇ nování licencí Pro každý záznam v tabulce klient˚ u je sledována doba neˇ cinnosti (tj. doba, po kterou není zachycen žádný paket s odpovídající IP adresou vyhovující výše uvedeným podmínkám). Dosáhne-li doba neˇ cinnosti nˇ ekterého klienta 15 minut, pˇ ríslušný záznam je z tabulky odstranˇ en a poˇ cet využitých licencí snížen o 1. Uvolnˇ enou licenci m˚ uže pˇ rípadnˇ e využít jiný poˇ cítaˇ c.
Upozornˇ ení Následující popis slouží pouze jako technická informace, kterou lze použít napˇ r. pˇ ri ˇ rešení problém˚ u. Pˇ ri urˇ cování potˇ rebného poˇ ctu uživatel˚ u (pro nákup licence) je nutné respektovat licenˇ cní podmínky — viz kapitola 4.1!
36
Kapitola 5
Nastavení rozhraní a sít’ových služeb
5.1 Rozhraní WinRoute pracuje jako smˇ erovaˇ c nad všemi sít’ovými rozhraními, která jsou v systému instalována. V administraˇ cním programu se rozhraní zobrazují v sekci Konfigurace / Rozhraní .
Obrázek 5.1
Sít’ová rozhraní
Rozhraní Název, který identifikuje rozhraní v rámci WinRoute. Zvolte jej tak, aby bylo zcela jednoznaˇ cné, o který adaptér se jedná (napˇ r. Internet pro rozhraní pˇ ripojené do Internetu). Doporuˇ cujeme vyhnout se duplicitním názv˚ um rozhraní (zp˚ usobily by komplikace pˇ ri definici komunikaˇ cních pravidel ˇ ci úpravách smˇ erovací tabulky). Název rozhraní m˚ uže být kdykoliv pozdˇ eji zmˇ enˇ en (viz dále), aniž by tím došlo k ovlivnˇ ení funkce WinRoute. Ikona vlevo od názvu zobrazuje typ rozhraní (sít’ový adaptér, vytᡠcené pˇ ripojení, satelitní pˇ ripojení, VPN server, VPN tunel). Poznámka: Nebyl-li dosud název rozhraní zadán ruˇ cnˇ e, obsahuje tato položka jméno adaptéru z operaˇ cního systému (viz položka Jméno adaptéru).
37
Kapitola 5 Nastavení rozhraní a sít’ových služeb
IP adresa, Maska IP adresa a maska subsítˇ e pˇ riˇ razené tomuto rozhraní. Jméno adaptéru Pojmenování adaptéru v operaˇ cním systému (napˇ r. „Pˇ ripojení k místní síti 2“). Slouží pro snazší orientaci, o který adaptér se jedná. Informace o adaptéru Identifikaˇ cní ˇ retˇ ezec adaptéru, který vrací pˇ ríslušný ovladaˇ c zaˇ rízení. ID Jednoznaˇ cný identifikátor adaptéru v operaˇ cním systému (viz též kapitola 21.1). MAC Hardwarová (MAC) adresa pˇ ríslušného sít’ového adaptéru. Tlaˇ cítka pod seznamem rozhraní umožˇ nují provádˇ et urˇ cité akce s vybraným rozhraním. Není-li vybráno žádné rozhraní, nebo vybrané rozhraní danou funkci nepodporuje, jsou pˇ ríslušná tlaˇ cítka neaktivní. Pˇ ridat Tímto tlaˇ cítkem lze pˇ ridat novou vytᡠcenou linku nebo VPN tunel (viz níže). Pokud byl pˇ ridán nový sít’ový adaptér, je tˇ reba jej nainstalovat a nakonfigurovat v operaˇ cním systému. WinRoute jej pak detekuje automaticky. Zmˇ enit Zobrazení detailních informací a úprava parametr˚ u vybraného rozhraní. Odebrat Odstranˇ ení vybraného rozhraní z WinRoute. Odstranit rozhraní m˚ užete pouze za následujících podmínek: • jedná se o vytᡠcenou linku, která je momentálnˇ e zavˇ ešena • jedná se o sít’ový adaptér, který již není v systému fyzicky pˇ rítomen nebo není aktivní Aktivní sít’ový adaptér ˇ ci vytoˇ cenou linku WinRoute nepovolí odebrat. Poznámky: 1. Záznam o již neexistujícím sít’ovém adaptéru nemá negativní vliv na chod WinRoute — je považován za neaktivní, stejnˇ e jako vytᡠcená linka v zavˇ ešeném stavu. 2. Pˇ ri odstranˇ ení rozhraní se ve všech komunikaˇ cních pravidlech, ve kterých bylo toto rozhraní použito, dosadí do pˇ ríslušné položky hodnota Nic. Všechna taková pravidla pak budou neaktivní. Tím je zajištˇ eno, že odebrání rozhraní nijak neovlivní smysl komunikaˇ cních pravidel (podrobnosti viz kapitola 6.2).
38
5.1. Rozhraní
Vytoˇ cit, Zavˇ esit / Povolit, Zakázat Funkce tˇ echto tlaˇ cítek závisí na typu vybraného rozhraní: • V pˇ rípadˇ e vytᡠcené linky jsou tlaˇ cítka oznaˇ cena Vytoˇ cit a Zavˇ esit a slouží k ruˇ cnímu ovládání vybrané linky. Poznámka: Vytᡠcet a zavˇ ešovat linky lze také pomocí WWW administraˇ cního rozhraní (viz kapitola 10). • V pˇ rípadˇ e VPN tunelu jsou tato tlaˇ cítka oznaˇ cena Povolit a Zakázat a slouží k aktivaci / deaktivaci vybraného VPN tunelu (podrobnosti viz kapitola 19.3). • Je-li vybrán sít’ový adaptér, rozhraní Dial-in nebo VPN server, jsou tato tlaˇ cítka neaktivní. Obnovit Tímto tlaˇ cítkem lze aktualizovat informace o rozhraních. Poznámka: Každému sít’ovému rozhraní lze pˇ riˇ radit nejvýše 128 IP adres.
Speciální rozhraní V sekci Rozhraní se kromˇ e sít’ových adaptér˚ u a vytᡠcených linek zobrazují tato dvˇ e speciální rozhraní: Dial-In Toto rozhraní pˇ redstavuje server služby RAS (telefonického pˇ ripojení sítˇ e) na poˇ cítaˇ ci s WinRoute. S použitím rozhraní Dial-In lze definovat komunikaˇ cní pravidla (viz kapitola 6) pro RAS klienty, kteˇ rí se na tento server pˇ ripojují. Rozhraní Dial-In nelze konfigurovat ani odstranit. Poznámky: 1. Pˇ ri použití RAS serveru spoleˇ cnˇ e s WinRoute je tˇ reba nastavit RAS server tak, aby pˇ ridˇ eloval klient˚ um IP adresy ze subsítˇ e, která není použita v žádném segmentu lokální sítˇ e. WinRoute provádí standardní IP smˇ erování a pˇ ri nedodržení uvedené podmínky nebude toto smˇ erování fungovat správnˇ e. 2. Pro pˇ ridˇ elování IP adres RAS klient˚ um lze využít DHCP server ve WinRoute (viz kapitola 5.4). VPN server Toto rozhraní pˇ redstavuje server pro pˇ ripojení proprietárního VPN klienta firmy Kerio Technologies. Dvojitým kliknutím na toto rozhraní (pˇ rípadnˇ e stisknutím tlaˇ cítka Zmˇ enit) se otevírá dialog pro nastavení parametr˚ u VPN serveru. Rozhraní VPN server nelze odstranit. Podrobné informace o proprietárním VPN ˇ rešení ve WinRoute naleznete v kapitole 19.
39
Kapitola 5 Nastavení rozhraní a sít’ových služeb
Pˇ ridání nové vytᡠcené linky Stisknutím tlaˇ cítka Pˇ ridat m˚ užeme vytvoˇ rit nové rozhraní, a to vytᡠcenou linku nebo VPN tunel (tj. VPN spojení typu server-to-server).
Obrázek 5.2
Výbˇ er typu pˇ ridávaného rozhraní
Následující text popisuje postup pˇ ridání nové vytᡠcené linky. Popis vytvoˇ rení VPN tunelu je uveden v kapitole 19.3.
Obrázek 5.3
Vytᡠcená linka — základní parametry
40
5.1. Rozhraní
Pˇ riˇ radit vytᡠcené pˇ ripojení... V tomto poli vyberte položku telefonického pˇ ripojení Windows (RAS), kterou používáte pro pˇ ripojení k vašemu poskytovateli Internetu. Poznámky: 1. WinRoute hledá telefonická pˇ ripojení pouze v systémovém „telefonním seznamu“. Pˇ ri vytvᡠrení pˇ ripojení, které má být použito ve WinRoute je tˇ reba nastavit, aby telefonické pˇ ripojení bylo dostupné pro všechny uživatele (v opaˇ cném pˇ rípadˇ e operaˇ cní systém uloží pˇ ríslušnou položku telefonického pˇ ripojení do profilu uživatele, který pˇ ripojení vytvoˇ ril, a odtud ji WinRoute nebude moci naˇ císt). 2. Doporuˇ cujeme vytvoˇ rit a otestovat telefonické pˇ ripojení ještˇ e pˇ red instalací WinRoute. Jméno rozhraní Jednoznaˇ cné jméno, které bude vytvoˇ renou linku identifikovat v rámci WinRoute. Záložka Nastavení vytᡠcení slouží k podrobnému nastavení, kdy a jakým zp˚ usobem bude linka vytᡠcena. Výchozí nastavení je ruˇ cní vytᡠcení.
Obrázek 5.4
Vytᡠcená linka — parametry pro vytᡠcení
41
Kapitola 5 Nastavení rozhraní a sít’ových služeb
RAS položka Položka Telefonického pˇ ripojení Windows, která byla vybrána v záložce Identifikátor rozhraní . Název RAS položky se zde zobrazuje pro lepší pˇ rehlednosti. Použít pˇ rihlašovací údaje z telefonického pˇ ripojení Tato volba urˇ cuje, že pro ovˇ eˇ rení na vzdáleném serveru bude použito jméno a heslo uložené v pˇ ríslušné položce Telefonického pˇ ripojení . Použít tyto pˇ rihlašovací údaje Pro ovˇ eˇ rení na vzdáleném serveru bude použito zadané Uživatelské jméno a Heslo. Tuto možnost lze využít napˇ r. v pˇ rípadˇ e, kdy nechceme z nˇ ejakého d˚ uvodu pˇ rihlašovací údaje v operaˇ cním systému ukládat, chceme-li je mˇ enit vzdálenˇ e (pomocí Administration Console) nebo pˇ ri ˇ rešení problém˚ u. Pˇ ripojení Zp˚ usob, jakým bude linka vytᡠcena: • Ruˇ cní — linku bude možné vytoˇ cit pouze ruˇ cnˇ e (v programu Kerio Administration Console nebo prostˇ rednictvím WWW administraˇ cního rozhraní — viz kapitola 10) • Na žádost — linka bude automaticky vytᡠcena na základˇ e pˇ ríchozího požadavku (paketu z lokální sítˇ e smˇ erovaného do Internetu). Konfigurace WinRoute a operaˇ cního systému pro správnou funkci vytᡠcení na žádost je podrobnˇ e popsána v kapitole 15.2. • Trvalé — linka bude vytoˇ cena okamžitˇ e pˇ ri startu služby WinRoute Firewall Engine a bude v tomto stavu udržována (tzn. napˇ r. po výpadku ˇ ci ruˇ cním zavˇ ešení se linka automaticky ihned znovu vytoˇ cí) • Vlastní — tato volba umožˇ nuje detailní nastavení ˇ cas˚ u, kdy má být povoleno vytᡠcení na žádost a kdy má být linka trvale pˇ ripojena nebo trvale zavˇ ešena. V jednotlivých sekcích dialogového okna je možné vybrat ˇ casový interval, v nˇ emž má pˇ ríslušná akce platit. Tlaˇ cítko Zmˇ enit otevírá dialog pro definici ˇ casových interval˚ u, kde m˚ užete interval upravit nebo vytvoˇ rit nový. Detailní informace o ˇ casových intervalech naleznete v kapitole 11.2. Uživatelské nastavení vytᡠcení funguje následovnˇ e: • Nejvyšší prioritu má volba Nevytᡠcet. Je-li aktuální ˇ cas v tomto intervalu, linka z˚ ustane zavˇ ešena (nebo se ihned zavˇ esí, pokud je vytoˇ cena).
42
5.1. Rozhraní
Obrázek 5.5
Vytᡠcená linka — nastavení vytᡠcení na žádost
• Dále se testuje interval pro volbu Zachovat pˇ ripojení . Po dobu trvání tohoto intervalu bude linka udržována v pˇ ripojeném stavu. • Jako poslední se testuje volba Vytᡠcení na žádost povoleno. Je-li nastavena na vždy, bude vytᡠcení na žádost povoleno kdykoliv mimo interval uvedený u volby Nevytᡠcet. Volby Upˇ resˇ nující parametry vytᡠcení pro typy Ruˇ cní , Na žádost a Vlastní . V pˇ rípadˇ e trvalého pˇ ripojení tyto volby nemají význam (WinRoute se stále snaží udržovat linku ve vytoˇ ceném stavu). Zavˇ esit pˇ ri neˇ cinnosti Doba, po které dojde k automatickému zavˇ ešení, jestliže pˇ res rozhraní neprocházejí žádná data. S každým procházejícím paketem je ˇ casovaˇ c doby neˇ cinnosti nulován. Optimální dobu je nejlépe urˇ cit experimentálnˇ e. Pˇ ríliš krátké ˇ casy zp˚ usobí ˇ casté vytᡠcení linky, naopak pˇ ríliš dlouhé budou udržovat linku vytoˇ cenou po dlouhou dobu — obojí má za následek zvýšení celkových náklad˚ u na internetové pˇ ripojení.
43
Kapitola 5 Nastavení rozhraní a sít’ových služeb
Vytoˇ cit znovu, je-li linka obsazena Je-li pˇ ri pokusu o vytoˇ cení linka obsazena, bude WinRoute opakovat vytᡠcení, dokud se pˇ ripojení nezdaˇ rí nebo do zadaného maximálního poˇ ctu pokus˚ u. Nepodaˇ rí-li se linku pˇ ripojit, bude požadavek vytoˇ cení ignorován (tzn. vytoˇ cení nem˚ uže být automaticky pˇ replánováno na pozdˇ ejší dobu). Obnovit spojení po výpadku linky Jestliže byl detekován výpadek linky, WinRoute bude automaticky zkoušet vytoˇ cit pˇ ripojení znovu. Upˇ resnˇ ení WinRoute umožˇ nuje spustit libovolnou aplikaci nebo pˇ ríkaz operaˇ cního systému v tˇ echto okamžicích: Pˇ red vytoˇ cením linky, Po vytoˇ cení linky, Pˇ red zavˇ ešením linky a Po zavˇ ešení linky.
Obrázek 5.6
Vytᡠcená linka — externí pˇ ríkazy
Cesta ke spustitelnému souboru musí být vždy kompletní. Pokud cesta obsahuje mezeru, musí být vložena do uvozovek, jinak bude ˇ cást za mezerou považována za parametr(y) dávkového souboru. Je-li cesta k souboru v uvozovkách, pak je pˇ rípadný text za uzavírajícími uvozovkami rovnˇ ež považován za parametr(y) dávkového souboru. Upozornˇ ení: Pokud WinRoute bˇ eží v operaˇ cním systému jako služba, aplikace bude spuštˇ ena pouze na pozadí. Poznámka: V pˇ rípadˇ e akcí Pˇ red vytoˇ cením a Pˇ red zavˇ ešením se po spuštˇ ení programu se neˇ ceká na jeho ukonˇ cení.
Zmˇ ena parametr˚ u rozhraní Stisknutím tlaˇ cítka Zmˇ enit lze upravit parametry vybraného rozhraní. Jedná-li se o vytᡠcenou linku, otevˇ re se dialog Vlastnosti rozhraní (identický s dialogem pro pˇ ridání nové linky). U sít’ového adaptéru lze nastavit jediný parametr — Jméno rozhraní .
44
5.2. Záložní internetové pˇ ripojení
V pˇ rípadˇ e rozhraní VPN server a VPN tunel˚ u se zobrazí dialog pro nastavení parametr˚ u VPN serveru (viz kapitola 19.1), resp. VPN tunelu (viz kapitola 19.3).
5.2 Záložní internetové pˇ ripojení WinRoute umožˇ nuje definici sekundárního (záložního) internetového pˇ ripojení, které se automaticky aktivuje, jestliže je detekován výpadek primárního pˇ ripojení. Funkˇ cnost primárního pˇ ripojení se ovˇ eˇ ruje vysíláním zpráv ICMP Echo Request (PING) na zadané poˇ cítaˇ ce. Jakmile WinRoute zjistí, že je primární pˇ ripojení opˇ et funkˇ cní, automaticky deaktivuje záložní pˇ ripojení a nastaví zpˇ et primární. Jako záložní pˇ ripojení m˚ uže být použito libovolné sít’ové rozhraní nebo telefonické pˇ ripojení, které je ve WinRoute definováno (viz kapitola 5.1). Pro záložní pˇ ripojení musí pˇ ritom existovat komunikaˇ cní pravidla povolující, resp. zakazující pˇ ríslušnou komunikaci. Zjednodušenˇ eˇ reˇ ceno, do každého pravidla, kde je ve sloupci Zdroj nebo Cíl použito rozhraní pro primární pˇ ripojení, je tˇ reba pˇ ridat také rozhraní pro záložní pˇ ripojení. Podrobné informace o komunikaˇ cních pravidlech naleznete v kapitole 6.2. Pˇ ríklad: Primární internetové pˇ ripojení je realizováno sít’ovým adaptérem (ve WinRoute oznaˇ cen jako Internet). Pro záložní pˇ ripojení má být použita vytᡠcená linkaVytᡠcené pˇ ripojení . Dále má být zakázán pˇ rístup ke službˇ e Telnet z lokální sítˇ e do Internetu. Tyto požadavky ˇ reší níže uvedená komunikaˇ cní pravidla. V každém pravidle jsou uvedeny dva cíle: sít’ pˇ ripojená k rozhraní Internet (primární pˇ ripojení) a sít’ pˇ ripojená k rozhraní Vytᡠcené pˇ ripojení (záložní pˇ ripojení). • NAT — provádˇ et pˇ reklad zdrojových IP adres pˇ ri pˇ rístupu z lokální sítˇ e do Internetu (sdílení internetového pˇ ripojení). • Komunikace firewallu — povolení komunikace poˇ cítaˇ ce s WinRoute do Internetu (tento poˇ cítaˇ c má veˇ rejnou IP adresu, pˇ reklad adres není tˇ reba).
Obrázek 5.7
cní pravidla pro primární a záložní internetové pˇ ripojení Komunikaˇ
45
Kapitola 5 Nastavení rozhraní a sít’ových služeb
Poznámky: 1.
Komunikaˇ cní pravidla je tˇ reba tˇ reba definovat dˇ ríve, než bude aktivována funkce zálohování internetového pˇ ripojení (viz níže), jinak nebude záložní pˇ ripojení fungovat správnˇ e.
2.
Volba Výchozí výstupní rozhraní v pravidle NAT zajistí, že zdrojová IP adresa v paketech z lokální sítˇ e do Internetu bude vždy pˇ rekládána na správnou IP adresu (tj. adresu primárního nebo záložního rozhraní — podle toho, které pˇ ripojení je v daném okamžiku aktivní). Chceme-li zadat konkrétní IP adresu pro pˇ reklad, musíme definovat dvˇ e samostatná pravidla — pro primární a pro záložní pˇ ripojení.
Nastavení záložního internetového pˇ ripojení Záložní internetové pˇ ripojení lze nastavit v sekci Konfigurace / Rozhraní , záložka Záložní pˇ ripojení .
Obrázek 5.8
Nastavení primárního a záložního internetového pˇ ripojení
46
5.2. Záložní internetové pˇ ripojení
Povolit automatickou aktivaci záložního pˇ ripojení Tato volba zapíná/vypíná výše popsanou funkci zálohování internetového pˇ ripojení. Aktuální pˇ ripojení Informace, které pˇ ripojení je v daném okamžiku aktivní: • Primární pˇ ripojení (zelené podbarvení) • Záložní (sekundární) pˇ ripojení (fialové podbarvení) Poznámka: Aktivní internetové pˇ ripojení se m˚ uže kdykoliv zmˇ enit. Pro zobrazení aktuálního stavu je tˇ reba stisknout tlaˇ cítko Obnovit (v pravém dolním rohu záložky Záložní pˇ ripojení ). Testovací poˇ cítaˇ ce Do tohoto pole je tˇ reba zadat IP adresu alespoˇ n jednoho poˇ cítaˇ ce (pˇ rípadnˇ e smˇ erovaˇ ce apod.), jehož dostupnost bude WinRoute v pravidelných intervalech testovat. Je-li alespoˇ n jeden z testovacích poˇ cítaˇ cu ˚ dostupný, považuje se primární internetové pˇ ripojení za funkˇ cní. Poznámky: 1. Zálohování internetového pˇ ripojení funguje pouze v pˇ rípadˇ e, je-li zadán alespoˇ n jeden testovací poˇ cítaˇ c (bez testovacích poˇ cítaˇ cu ˚ WinRoute nedokáže detekovat výpadek primárního pˇ ripojení). 2. Jako testovací poˇ cítaˇ ce je tˇ reba uvádˇ et poˇ cítaˇ ce nebo sít’ová zaˇ rízení, která jsou trvale v provozu (napˇ r. servery, smˇ erovaˇ ce apod.). Použít jako testovací poˇ cítaˇ c pracovní stanici, která je v provozu nˇ ekolik hodin dennˇ e, nemá pˇ ríliš velký smysl. 3. Testovací poˇ cítaˇ c nesmí blokovat zprávy ICMP Echo Request (PING), které WinRoute používá pro testování jeho dostupnosti — jinak by byl vždy vyhodnocen jako nedostupný. Primární pˇ ripojení Nastavení primárního internetového pˇ ripojení. Internetové pˇ ripojení m˚ uže být definováno jako: • sít’ové rozhraní s výchozí bránou • vytᡠcené pˇ ripojení V položce Rozhraní jsou nabízena pouze rozhraní a vytᡠcená pˇ ripojení definovaná v záložce Rozhraní (viz kapitola 5.1). Standardní nastavení (tj. po instalaci WinRoute, resp. pˇ ri prvním zapnutí funkce Povolit automatickou aktivaci záložního pˇ ripojení ) je naˇ cteno z operaˇ cního systému — výchozí brána a odpovídající rozhraní v systémové smˇ erovací tabulce. Toto nastavení lze rovnˇ ež získat stisknutím tlaˇ cítka Detekovat. Není-li v operaˇ cním systému definována výchozí brána (napˇ r. v pˇ rípadˇ e, kdy je primární pˇ ripojení realizováno vytᡠcenou linkou, která je právˇ e zavˇ ešena), pak
47
Kapitola 5 Nastavení rozhraní a sít’ových služeb
automatická detekce pˇ ripojení nefunguje — primární pˇ ripojení je tˇ reba nastavit ruˇ cnˇ e. Záložní pˇ ripojení Nastavení záložního internetového pˇ ripojení, které bude aktivováno pˇ ri detekci výpadku primárního pˇ ripojení. Záložní pˇ ripojení m˚ uže být definováno jako sít’ové rozhraní s výchozí bránou nebo jako vytᡠcené pˇ ripojení (obdobnˇ e jako primární pˇ ripojení). Poznámka: Pro záložní pˇ ripojení m˚ uže být použit stejný adaptér jako pro primární s jinou výchozí bránou. Tím zajistíme, že pˇ ri výpadku spojení bude automaticky použit jiný smˇ erovaˇ c ve stejné subsíti.
Použití vytᡠcených linek Je-li jako primární a/nebo záložní internetové pˇ ripojení použita vytᡠcená linka, je tˇ reba vzít v úvahu tyto skuteˇ cnosti: 1.
Zálohování internetového pˇ ripojení je vhodné pouze pro trvalé pˇ ripojení (tzn. pˇ ripojení sít’ovým adaptérem nebo trvale pˇ ripojenou vytᡠcenou linkou). Pokud by jako primární pˇ ripojení byla použita linka vytᡠcená na žádost (nebo ruˇ cnˇ e), docházelo by k automatické aktivaci záložního pˇ ripojení pˇ ri každém zavˇ ešení primární linky.
2.
Je-li jako záloha použito vytᡠcené pˇ ripojení, nezáleží na tom, zda je povoleno jeho vytᡠcení na žádost — WinRoute bude vždy linku vytᡠcet a zavˇ ešovat dle potˇ reby. Problém však m˚ uže zp˚ usobit volba Zavˇ esit pˇ ri neˇ cinnosti — dojde-li k automatickému zavˇ ešení záložní linky, WinRoute ji již znovu nevytoˇ cí (až po obnovení a následném dalším výpadku primárního pˇ ripojení).
Z výše uvedených d˚ uvod˚ u doporuˇ cujeme nastavit parametry vytᡠcených linek následovnˇ e: • pro primární pˇ ripojení — trvalé pˇ ripojení • pro záložní pˇ ripojení — ruˇ cní vytᡠcení
48
5.3. DNS forwarder
5.3 DNS forwarder Modul DNS Forwarder slouží ve WinRoute ke zjednodušení konfigurace DNS na poˇ cítaˇ cích v lokální síti a pro zrychlení odpovˇ edí na opakované DNS dotazy. DNS na lokálních poˇ cítaˇ cích m˚ užete obecnˇ e nastavit jedním z následujících zp˚ usob˚ u: • použít IP adresu primárního, pˇ ríp. i záložního DNS serveru Vašeho poskytovatele Internetu. Toto ˇ rešení je regulérní, avšak odezvy na DNS dotazy budou znaˇ cnˇ e pomalé. • použít DNS server v lokální síti (je-li k dispozici). Tento DNS server musí mít pˇ rístup do Internetu, aby dokázal odpovídat i na dotazy mimo lokální doménu. • použít DNS Forwarder ve WinRoute. Ten m˚ uže rovnˇ ež sloužit jako jednoduchý DNS server pro lokální doménu (viz dále) ˇ ci jako forwarder pro váš stávající DNS server. Ve výchozím nastavení WinRoute je DNS Forwarder zapnut a nastaven pro pˇ redávání DNS dotaz˚ u na jeden z DNS server˚ u konfigurovaných v operaˇ cním systému (typicky DNS server pˇ ridˇ elený poskytovatelem internetového pˇ ripojení). Podrobnou konfiguraci lze provést v sekci Konfigurace / DNS Forwarder.
Obrázek 5.9
Nastavení parametr˚ u modulu DNS forwarder
49
Kapitola 5 Nastavení rozhraní a sít’ových služeb
Povolit pˇ redávání DNS dotaz˚ u Tato volba zapíná / vypíná modul DNS Forwarder (služba používá protokol UDP a bˇ eží na portu 53). Pokud ve vaší sít’ové konfiguraci DNS Forwarder nepoužijete, m˚ užete jej vypnout. Chcete-li na tomtéž poˇ cítaˇ ci provozovat jiný DNS server, pak jej musíte vypnout — jinak by nastala kolize na uvedeném portu. Pˇ redávání DNS dotaz˚ u DNS Forwarder musí znát alespoˇ n jeden DNS server, na který bude dotazy pˇ redávat. Tato volba urˇ cuje, jakým zp˚ usobem získá IP adresu tohoto serveru: • Pˇ redávat DNS dotazy serveru automaticky vybranému... — pˇ redpokládá se, že poˇ cítaˇ c s WinRoute má funkˇ cní pˇ ripojení do Internetu. Souˇ cástí nutné konfigurace TCP/IP je také nastavení jednoho nebo více DNS server˚ u (ve Windows se DNS servery nastavují na konkrétním adaptéru, mají však globální platnost v rámci celého operaˇ cního systému). DNS Forwarder m˚ uže pˇ reˇ císt toto nastavení a používat stejné DNS servery. Jednoznaˇ cnou výhodou této volby je, že poˇ cítaˇ ce v lokální síti budou vždy používat tentýž DNS server jako poˇ cítaˇ c s WinRoute — tím lze pˇ redejít mnoha problém˚ um. • Pˇ redávat dotazy tˇ emto DNS server˚ um — DNS dotazy budou pˇ redávány na zadané DNS servery (je-li zadáno více server˚ u, považují se za primární, sekundární atd.). Tuto volbu použijte, chcete-li mít kontrolu nad tím, kam jsou DNS dotazy pˇ redávány, nebo pokud potˇ rebujete vytvoˇ rit složitˇ ejší konfiguraci. Používat cache pro rychlejší odpovˇ edi Zapnutím této volby budou odpovˇ edi na všechny dotazy ukládány do lokální vyrovnávací pamˇ eti (cache) DNS Forwarderu. Odpovˇ edi na opakované dotazy tak budou mnohonásobnˇ e rychlejší (opakovaným dotazem je i stejný dotaz vyslaný r˚ uznými klienty). Fyzicky je DNS cache udržována v operaˇ cní pamˇ eti, zároveˇ n jsou však všechny DNS záznamy ukládány také do souboru DnsCache.cfg (viz kapitola 21.1). Díky tomu z˚ ustávají záznamy v DNS cache uchovány i pˇ ri zastavení WinRoute Firewall Engine, resp. vypnutí poˇ cítaˇ ce s WinRoute. Poznámky: 1. Doba uchování DNS záznam˚ u v cache je specifikována pˇ rímo v každém záznamu (zpravidla 1 den). 2. Použití DNS cache zrychlí také ˇ cinnost vestavˇ eného proxy serveru (viz kapitola 5.5).
50
5.3. DNS forwarder
Vyprázdnit cache Stisknutím tohoto tlaˇ cítka dojde ke smazání všech záznam˚ u ve vyrovnávací pamˇ eti DNS Forwarderu (bez ohledu na jejich dobu životnosti). Tuto funkci lze využít napˇ r. pˇ ri zmˇ enˇ e konfigurace, pˇ ri testování vytᡠcení na žádost, odhalování chyb apod. Použít nastavení pro pˇ redávání DNS dotaz˚ u Tato volba umožˇ nuje nastavit pravidla pro pˇ redávání urˇ citých DNS dotaz˚ u na jiné DNS servery. Toho lze využít napˇ r. v pˇ rípadˇ e, chceme-li pro lokální doménu používat DNS server v lokální síti (ostatní DNS dotazy budou pˇ redávány pˇ rímo do Internetu, ˇ címž se zrychlí odezva). Tlaˇ cítko Definovat otevírá dialog pro nastavení tˇ echto pravidel.
Obrázek 5.10
Specifická nastavení pˇ redávání DNS dotaz˚ u
DNS server m˚ uže být specifikován pro: • doménu — pak budou na tento DNS server pˇ redávány dotazy na jména poˇ cítaˇ cu ˚ v dané doménˇ e (dotazy typu A) • subsít’ — pak budou na tento DNS server pˇ redávány dotazy na IP adresy v pˇ ríslušné subsíti (reverzní doména — dotazy typu PTR) Tlaˇ cítko Pˇ ridat, resp. Zmˇ enit otevírá dialog pro definici pravidla pro pˇ redávání DNS dotaz˚ u. • Volba DNS dotaz na jméno slouží ke specifikaci pravidla pro DNS dotazy na jména poˇ cítaˇ cu ˚ v dané doménˇ e (resp. doménách). Do pole Obsahuje-li dotaz doménu je tˇ reba zadat jméno pˇ ríslušné domény. Jméno domény m˚ uže obsahovat znaky * (hvˇ ezdiˇ cka — nahrazení libovolného poˇ ctu znak˚ u) a ? (otazník — nahrazení právˇ e jednoho znaku). Pravidlo pak bude platit pro všechny domény vyhovující zadanému ˇ retˇ ezci. Pˇ ríklad: Doménu zadáme ve tvaru: ?erio.c*. Pravidlo bude platit pro napˇ r. pro domény kerio.cz, cerio.com, aerio.c apod.
51
Kapitola 5 Nastavení rozhraní a sít’ových služeb
Obrázek 5.11
Pˇ redávání DNS dotaz˚ u — nové pravidlo
• Volba Reverzní DNS dotaz slouží ke specifikaci pravidla pro DNS dotazy na IP adresy v dané subsíti. Subsít’ se zadává adresou sítˇ e s pˇ ríslušnou maskou (napˇ r. 192.168.1.0 / 255.255.255.0). • Do pole Pak pˇ redat dotaz na tyto DNS server(y) lze zadat IP adresu jednoho nebo více DNS server˚ u, na který mají být dotazy pˇ redávány. Je-li zadáno více DNS server˚ u, považují se za primární, sekundární atd. Není-li zadán žádný server, znamená to, že DNS dotaz nebude pˇ redáván žádnému serveru — WinRoute bude pouze prohledávat lokální soubor hosts, pˇ ríp. tabulky DHCP serveru (viz dále). Jednoduchý pˇ revod jmen na IP adresy DNS Forwarder m˚ uže zároveˇ n fungovat jako jednoduchý DNS server pro jednu vaši lokální doménu. K tomuto úˇ celu využívá: • systémový soubor ’hosts’ — tento soubor se nalézá v každém operaˇ cním systému, který podporuje TCP/IP. Každý ˇ rádek tohoto souboru obsahuje IP adresu poˇ cítaˇ ce a seznam odpovídajících DNS jmen. Pˇ ri každém DNS dotazu je nejprve prohledáván tento soubor, zda se v nˇ em nachází požadované jméno (pˇ rípadnˇ e IP adresa), a teprve pak (není-li nalezeno) se dotaz pˇ redává DNS serveru. Stejným zp˚ usobem se chová DNS Forwarder, je-li tato volba zapnuta. Tlaˇ cítko Editovat otevírá speciální editor, kterým lze soubor hosts upravovat pˇ rímo
52
5.3. DNS forwarder
v Kerio Administration Console, a to i v pˇ rípadˇ e, kdy je k WinRoute pˇ ripojena vzdálenˇ e (tj. z jiného poˇ cítaˇ ce).
Obrázek 5.12
Editor systémového souboru hosts
• tabulku adres pˇ ridˇ elených DHCP serverem — jsou-li poˇ cítaˇ ce v lokální síti konfigurovány pomocí DHCP serveru ve WinRoute (viz kapitola 5.4), pak má DHCP server informace o tom, jaká IP adresa byla pˇ riˇ razena kterému poˇ cítaˇ ci. Poˇ cítaˇ c pˇ ri startu systému vysílá požadavek na pˇ ridˇ elení IP adresy, který obsahuje i jméno poˇ cítaˇ ce. DNS Forwarder má pˇ rístup do tabulek DHCP serveru a m˚ uže tedy zjistit, jaká IP adresa je v tomto okamžiku pˇ ridˇ elena danému jménu poˇ cítaˇ ce. Na dotaz na jméno poˇ cítaˇ ce v lokální síti tedy vždy odpoví správnou (aktuální) IP adresou. Kombinovat jméno ... s touto doménou Do tohoto pole zadejte jméno lokální DNS domény. Jestliže poˇ cítaˇ c vysílá požadavek na pˇ ridˇ elení IP adresy, vkládá do nˇ ej pouze své jméno (doménu v tomto okamžiku ještˇ e nezná). Aby DNS Forwarder dokázal správnˇ e zodpovídat dotazy na plnˇ e kvalifikovaná lokální DNS jména (tj. jména vˇ cetnˇ e domény), musí znát jméno lokální domény. Pro snazší pochopení uved’me jednoduchý pˇ ríklad: Lokální doména má jméno firma.cz. V lokální síti je poˇ cítaˇ c se jménem honza nastavený pro automatickou konfiguraci IP adresy z DHCP serveru. Po startu operaˇ cního systému vyšle tento poˇ cítaˇ c DHCP požadavek obsahující jméno stanice honza. DHCP server mu pˇ ridˇ elí IP adresu 192.168.1.56. Ve své tabulce uchová informaci o tom, že tato IP adresa byla pˇ ridˇ elena stanici se jménem honza. Jiný poˇ cítaˇ c, který bude chtít s tímto poˇ cítaˇ cem komunikovat, vyšle dotaz na jméno honza.firma.cz (jedná se o poˇ cítaˇ c honza v doménˇ e firma.cz). Kdyby DNS Forwarder neznal jméno lokální domény, pˇ redal by tento dotaz na jiný DNS server (dle nastavení — viz výše), protože by nerozpoznal, že se jedná o jméno
53
Kapitola 5 Nastavení rozhraní a sít’ových služeb
v lokální doménˇ e. Takto však m˚ uže lokální doménu firma.cz oddˇ elit a jméno honza s pˇ ríslušnou IP adresou nalezne v tabulce DHCP serveru. Poznámka: Je-li v DNS Forwarderu zadána lokální doména, pak mohou být v systémovém souboru hosts uvedena lokální jména vˇ cetnˇ e domény nebo bez ní — v obou pˇ rípadech budou dotazy zodpovídány správnˇ e.
5.4 DHCP server DHCP (Dynamic Host Configuration Protocol) slouží ke snadné konfiguraci TCP/IP na poˇ cítaˇ cích v síti. Klientská stanice vyšle pˇ ri startu operaˇ cního systému požadavek na konfiguraci, který je zachycen DHCP serverem. DHCP server vybere vhodné konfiguraˇ cní parametry (tj. IP adresu s pˇ ríslušnou maskou subsítˇ e a další volitelné parametry — napˇ r. adresu výchozí brány, adresy DNS server˚ u, jméno domény apod.) a pˇ ridˇ elí je klientské stanici. Veškeré parametry pro klienty se nastavují pouze centrálnˇ e na serveru — na jednotlivých stanicích staˇ cí nastavit volbu, aby byly parametry TCP/IP konfigurovány automaticky z DHCP serveru. Toto je ve vˇ etšinˇ e operaˇ cních systém˚ u (napˇ r. Windows, Linux atd.) výchozí volba — na klientských stanicích pak není tˇ reba nic nastavovat. DHCP server pˇ ridˇ eluje klient˚ um IP adresy z definovaného rozsahu, a to zpravidla na urˇ citou dobu (tzv. dobu pronájmu, angl. lease time). Pˇ red uplynutím této doby musí klient požádat o prodloužení pronájmu, jinak bude po této dobˇ e IP adresa považována za volnou a v pˇ rípadˇ e nedostatku volných adres ji DHCP server pˇ ridˇ elí jinému klientovi. Vše probíhá automaticky a pro uživatele zcela transparentnˇ e. V DHCP serveru mohou být rovnˇ ež definovány tzv. rezervace — tj. urˇ citým klient˚ um budou vždy pˇ ridˇ elovány dané IP adresy. Adresa m˚ uže být rezervována pro hardwarovou (MAC) adresu nebo jméno poˇ cítaˇ ce. Tito klienti pak mají pevné IP adresy, které jsou konfigurovány automaticky. Mezi hlavní výhody použití DHCP serveru patˇ rí výraznˇ e nižší nároˇ cnost administrace (vše staˇ cí nastavit pouze na serveru, není tˇ reba konfigurovat jednotlivé stanice) a eliminace mnoha potenciálních chyb (napˇ r. pˇ ridˇ elení téže IP adresy dvˇ ema r˚ uzným stanicím, chybné nastavení výchozí brány na nˇ ekteré stanici apod.).
Konfigurace DHCP serveru K nastavení DHCP serveru ve WinRoute slouží sekce Konfigurace / DHCP server. Zde lze definovat rozsahy IP adres, rezervace, volitelné parametry a zobrazovat informace o pˇ ridˇ elených adresách a statistiky DHCP serveru. DHCP server se zapíná a vypíná volbou DHCP server povolen v horní ˇ cásti okna. Konfiguraci je možné provádˇ et i v pˇ rípadˇ e, že je DHCP server vypnut.
54
5.4. DHCP server
Definice rozsah˚ u IP adres K definici rozsah˚ u IP adres vˇ cetnˇ e volitelných parametr˚ u slouží záložka Rozsahy adres. Záložka je rozdˇ elena na dvˇ eˇ cásti, z nichž první obsahuje rozsahy adres a rezervace:
Obrázek 5.13
DHCP server — rozsahy pˇ ridˇ elovaných IP adres
Ve sloupci Položka se zobrazují subsítˇ e, v nichž jsou rozsahy IP adres definovány. Zaškrtávací pole vedle adresy subsítˇ e slouží k aktivaci ˇ ci deaktivaci daného rozsahu adres (takto lze rozsah doˇ casnˇ e „vyˇ radit“, aniž by bylo nutné jej odstraˇ novat a poté znovu pˇ ridávat). Pod každou subsítí jsou pak zobrazovány rezervace IP adres, které jsou v ní definovány. První položkou v tabulce jsou Výchozí parametry, kde lze nastavit výchozí parametry pro DHCP server. Doba pˇ ridˇ elení Doba, na kterou je IP adresa klient˚ um pˇ ridˇ elována. Pokud bˇ ehem této doby klient nepožádá o prodloužení pronájmu nebo o uvolnˇ ení adresy, pak je po jejím uplynutí tato adresa automaticky uvolnˇ ena a m˚ uže být pˇ ridˇ elena jinému klientovi.
55
Kapitola 5 Nastavení rozhraní a sít’ových služeb
Obrázek 5.14
DHCP server — výchozí DHCP parametry
DNS server M˚ uže být uveden libovolný DNS server (pˇ rípadnˇ e více DNS server˚ u oddˇ elených stˇ redníky). Jako primární DNS server (tj. na prvním místˇ e) však doporuˇ cujeme uvádˇ et DNS Forwarder ve WinRoute (tj. IP adresu poˇ cítaˇ ce s WinRoute). DNS Forwarder totiž dokáže spolupracovat s DHCP serverem (viz kapitola 5.3) a na dotazy na jména lokálních poˇ cítaˇ cu ˚ bude vždy odpovídat správnou IP adresou. WINS server IP adresa WINS serveru. Doména Lokální internetová doména. Pokud lokální doména neexistuje, pak tento parametr nenastavujte. Upˇ resnˇ ení Tlaˇ cítko Upˇ resnˇ ení otevírá dialog s kompletním výˇ ctem volitelných parametr˚ u, které protokol DHCP podporuje (vˇ cetnˇ e výše uvedených). V tomto dialogu je možné pˇ ridat libovolný parametr, který DHCP server podporuje, a nastavit jeho hodnotu. Výchozí parametry jsou pˇ ridˇ elovány automaticky rozsah˚ um adres, pokud není zmˇ enˇ ena konfigurace konkrétního rozsahu adres (dialog Rozsah IP adres / Volby). Podobnˇ e funguje vztah mezi rozsahem adres a rezervacemi (pokud nezmˇ eníte parametry pˇ rímo u konkrétní rezervace, platí parametry nastavené v daném rozsahu adres). Platnost parametr˚ u je tedy podˇ rízena hierarchii stromové struktury, do které jsou rozsahy ˇ razeny. Volbou Pˇ ridat / Rozsah adres se zobrazí dialog pro definici rozsahu adres.
56
5.4. DHCP server
Poznámka: V každé subsíti je možné definovat pouze jeden rozsah adres.
Obrázek 5.15
DHCP server — definice rozsahu adres
Popis Textový popis vytvᡠreného rozsahu adres (pro pˇ rehled správce WinRoute). První adresa, Poslední adresa Poˇ cáteˇ cní a koncová adresa definovaného rozsahu. Poznámka: Doporuˇ cujeme definovat vˇ etší rozsah IP adres, než je skuteˇ cný poˇ cet poˇ cítaˇ cu ˚ v dané subsíti. Maska subsítˇ e Maska odpovídající subsíti, v níž je tento rozsah adres definován. Maska subsítˇ e je pˇ ridˇ elována klient˚ um spoleˇ cnˇ e s IP adresou. Poznámka: Program Kerio Administration Console kontroluje, zda poˇ cáteˇ cní a koncová adresa rozsahu patˇ rí do téže subsítˇ e vymezené zadanou maskou. Pokud není tato podmínka splnˇ ena, bude po stisknutí tlaˇ cítka OK hlášena chyba.
57
Kapitola 5 Nastavení rozhraní a sít’ových služeb
Doba pˇ ridˇ elení Doba, na kterou je IP adresa klient˚ um pˇ ridˇ elována. Pokud bˇ ehem této doby klient nepožádá o prodloužení pronájmu nebo o uvolnˇ ení adresy, pak je po jejím uplynutí tato adresa automaticky uvolnˇ ena a m˚ uže být pˇ ridˇ elena jinému klientovi. Výjimky WinRoute umožˇ nuje definovat v každé subsíti pouze jeden rozsah IP adres. Chcemeli vytvoˇ rit nˇ ekolik nesouvislých rozsah˚ u, provedeme to následovnˇ e: • vytvoˇ ríme rozsah adres pokrývající všechny požadované rozsahy • definujeme tzv. výjimky — tj. rozsahy adres, které nemají být pˇ ridˇ elovány Pˇ ríklad: V subsíti 192.168.1.0 chceme vytvoˇ rit dva rozsahy adres: 192.168.1.10 až 192.168.1.49 a 192.168.1.61 až 192.168.1.100. Adresy 192.168.1.50 až 192.168.1.60 mají z˚ ustat vyhrazeny pro jiné úˇ cely. Vytvoˇ ríme rozsah adres 192.168.1.10 až 192.168.1.100 a stisknutím tlaˇ cítka Výjimky definujeme rozsah adres 192.168.1.50 až 192.168.1.60, které nemají být DHCP serverem pˇ ridˇ elovány.
Obrázek 5.16
DHCP server — výjimky z definovaného rozsahu adres
Parametry Dialog Rozsah IP adres umožˇ nuje zadání základních DHCP parametr˚ u, které budou klient˚ um pˇ ridˇ elovány: • Výchozí brána — musí být uvedena IP adresa smˇ erovaˇ ce, který je výchozí branou pro subsít’, z níž jsou IP adresy pˇ ridˇ elovány (tzn. IP adresa rozhraní, ke kterému je daná subsít’ pˇ ripojena)! Výchozí brána v jiné subsíti nemá žádný smysl (byla by pro klienty nedosažitelná). • DNS server — m˚ uže být uveden libovolný DNS server (pˇ rípadnˇ e více DNS server˚ u oddˇ elených stˇ redníky). Jako primární DNS server (tj. na prvním místˇ e) však doporuˇ cujeme uvádˇ et DNS Forwarder ve WinRoute (tj. IP adresu poˇ cítaˇ ce s WinRoute). DNS Forwarder totiž dokáže spolupracovat s DHCP serverem (viz kapitola 5.3) a na dotazy na jména lokálních poˇ cítaˇ cu ˚ bude vždy odpovídat správnou IP adresou.
58
5.4. DHCP server
• WINS server • Doména — lokální internetová doména. Pokud lokální doména neexistuje, pak tento parametr nenastavujte. Upozornˇ ení: Tento parametr neslouží k zadání jména Windows NT domény! Upˇ resnˇ ení... Tlaˇ cítko Upˇ resnˇ ení otevírá dialog s kompletním výˇ ctem volitelných parametr˚ u, které protokol DHCP podporuje (vˇ cetnˇ e výše uvedených). V tomto dialogu je možné pˇ ridat libovolný parametr, který DHCP server podporuje, a nastavit jeho hodnotu. Dialog je zároveˇ n druhou ˇ cástí záložky Rozsah adres.
Obrázek 5.17
DHCP server — nastavení DHCP parametr˚ u
Nastavené DHCP parametry a jejich hodnoty pro vybraný rozsah IP adres se zobrazují v pravém sloupci záložky Rozsahy adres. Poznámka: V pravé horní ˇ cásti záložky Rozsahy adres jsou zobrazovány jednoduché statistiky DHCP serveru. Pro vybraný rozsah IP adres je uveden: • celkový poˇ cet IP adres v tomto rozsahu
59
Kapitola 5 Nastavení rozhraní a sít’ových služeb
• poˇ cet a procentuální podíl pˇ ridˇ elených adres • poˇ cet a procentuální podíl volných adres
Obrázek 5.18
DHCP server — statistika (pˇ ridˇ elené a volné adresy v rozsahu)
Rezervace IP adresy DHCP server umožˇ nuje vyhradit (rezervovat) vybranou IP adresu pro konkrétní poˇ cítaˇ c. Rezervaci vytvoˇ ríme v záložce Rozsahy adres volbou Pˇ ridat / Rezervaci.
Obrázek 5.19
DHCP server — rezervace IP adresy
Rezervovat je možné libovolnou IP adresu, která patˇ rí do nˇ ekteré z definovaných subsítí. Nezáleží na tom, zda je tato adresa uvnitˇ r nebo vnˇ e rozsahu dynamicky pˇ ridˇ elovaných adres, a m˚ uže být i v nˇ ekterém z rozsah˚ u, které jsou definovány jako výjimky. IP adresa m˚ uže být rezervována pro: • hardwarovou (MAC) adresu poˇ cítaˇ ce — zadává se v podobˇ e hexadecimálních (šestnáctkových) ˇ císel oddˇ elených dvojteˇ ckami — napˇ r.: 00:bc:a5:f2:1e:50 nebo pomlˇ ckami — napˇ r.: 00-bc-a5-f2-1e-50
60
5.4. DHCP server
MAC adresu sít’ového adaptéru je možné zjistit pomocí nástroj˚ u operaˇ cního systému (napˇ r. pˇ ríkaz ipconfig), pˇ rípadnˇ e speciálního programu dodávaného výrobcem sít’ového adaptéru. • jméno poˇ cítaˇ ce — vˇ etšina DHCP klient˚ u posílá v DHCP požadavku jméno poˇ cítaˇ ce (napˇ r. všechny operaˇ cní systémy Windows), pˇ ríp. je možné klienta nastavit, aby jméno poˇ cítaˇ ce posílal (napˇ r. operaˇ cní systém Linux). Tlaˇ cítko Upˇ resnˇ ení otevírá dialog pro nastavení DHCP parametr˚ u, které budou spoleˇ cnˇ e s touto adresou pˇ ridˇ elovány. Pokud je rezervovaná IP adresa uvnitˇ r již definovaného rozsahu, pak jsou automaticky použity DHCP parametry pˇ riˇ razené tomuto rozsahu. V dialogu Rezervace adresy je možné pˇ ridat další parametry, pˇ rípadnˇ e nastavit specifické hodnoty již existujících parametr˚ u. Poznámka: IP adresu lze rezervovat také tak, že v záložce Pˇ ridˇ elené adresy nalezneme IP adresu, která byla dynamicky pˇ ridˇ elena vybranému poˇ cítaˇ ci, a tu pro nˇ ej rezervujeme (podrobnosti viz dále).
Pˇ ridˇ elené IP adresy V záložce Pˇ ridˇ elené adresy se (v podobˇ e stromu) zobrazují rozsahy IP adres a v každém z nich všechny IP adresy, které jsou aktuálnˇ e pˇ ridˇ eleny poˇ cítaˇ cu ˚m v dané subsíti.
Obrázek 5.20
DHCP server — pˇ rehled pˇ ridˇ elených a rezervovaných adres
61
Kapitola 5 Nastavení rozhraní a sít’ových služeb
Poznámka: Barva ikony odpovídá stavu adresy (viz dále). Ikona s písmenem R oznaˇ cuje IP adresy, které jsou rezervovány. Sloupce okna Pˇ ridˇ elené IP adresy obsahují následující informace: • IP adresa — pˇ ridˇ elená IP adresa, • Skonˇ cení platnosti — datum a ˇ cas skonˇ cení doby pronájmu této IP adresy, • MAC adresa — hardwarová adresa poˇ cítaˇ ce, jemuž je IP adresa pˇ ridˇ elena se jménem výrobce sít’ové karty, • Jméno poˇ cítaˇ ce — název poˇ cítaˇ ce, kterému je IP adresa pˇ ridˇ elena (pokud jej DHCP klient na tomto poˇ cítaˇ ci DHCP serveru posílá), • Stav — stav pˇ ridˇ elení IP adresy: Pˇ ridˇ eleno (adresa je pˇ ridˇ elena klientovi a doba pronájmu dosud neskonˇ cila), Expirováno (doba pronájmu již uplynula a klient nepožádal o obnovení), Odmítnuto (klient odmítl pˇ ridˇ elení této adresy) nebo Uvolnˇ eno (klient uvolnil pˇ ridˇ elenou adresu). Poznámky: 1.
Informace o expirovaných a uvolnˇ ených IP adresách DHCP server udržuje pro pˇ rípad, kdy pˇ ríslušný klient opˇ et požádá o pˇ ridˇ elení IP adresy — DHCP server se snaží pˇ ridˇ elovat jednomu klientovi stále tutéž adresu. V pˇ rípadˇ e nedostatku volných IP adres však mohou být tyto adresy pˇ ridˇ eleny jiným klient˚ um.
2.
S odmítnutými IP adresami DHCP server zachází dle nastavení v záložce Upˇ resˇ nující volby — viz dále.
Následující sloupce jsou ve výchozím nastavení skryty: ˇ posledního požadavku — datum a ˇ • Cas cas, kdy klient vyslal poslední požadavek na pˇ ridˇ elení ˇ ci obnovení adresy, • Zbývající doba pˇ ridˇ elení — doba zbývající od aktuálního ˇ casu do Skonˇ cení platnosti.
62
5.4. DHCP server
Tlaˇ cítko Uvolnit slouží k okamžitému uvolnˇ ení vybrané IP adresy (bez ohledu na její stav). Uvolnˇ ená adresa se ihned vrací do fondu volných adres a m˚ uže být nabízena dalším klient˚ um. Tlaˇ cítkem Rezervovat m˚ užete rezervovat vybranou (dynamicky pˇ ridˇ elenou) IP adresu pro poˇ cítaˇ c, jemuž je aktuálnˇ e pˇ ridˇ elena. Po stisknutí tohoto tlaˇ cítka dojde k automatickému pˇ repnutí do záložky Rozsahy adres a zobrazí se dialog pro rezervaci adresy, jehož položky jsou již vyplnˇ eny odpovídajícími údaji (s výjimkou položky Popis). Po doplnˇ ení popisu a stisknutí tlaˇ cítka OK je IP adresa trvale rezervována pro poˇ cítaˇ c, kterému byla p˚ uvodnˇ e dynamicky pˇ ridˇ elena. Poznámka: Do dialogu pro rezervaci IP adresy je automaticky dosazena MAC adresa poˇ cítaˇ ce, kterému je daná IP adresa pˇ ridˇ elena. Chcete-li IP adresu rezervovat pro jméno ˇte nastavení položek Rezervovat pro a Hodnota. poˇ cítaˇ ce, zmˇ en
Upˇ resˇ nující volby Záložka Upˇ resˇ nující volby slouží k nastavení nˇ ekterých dalších parametr˚ u DHCP serveru.
Obrázek 5.21
DHCP server — upˇ resˇ nující volby
63
Kapitola 5 Nastavení rozhraní a sít’ových služeb
BOOTP Zapnutím této volby bude DHCP server pˇ ridˇ elovat IP adresy (vˇ cetnˇ e volitelných parametr˚ u) také klient˚ um protokolu BOOTP (pˇ redch˚ udce DHCP — pˇ ridˇ eluje konfiguraci pouze staticky na základˇ e MAC adresy). Windows RAS Tato volba umožˇ nuje povolit službu DHCP pro klienty RAS (Remote Access Service). Dále lze nastavit dobu pˇ ridˇ elení adresy pro RAS klienty, pokud nevyhovuje výchozí nastavení této hodnoty. Upozornˇ ení: Služba RAS ve Windows pˇ ridˇ eluje pˇ ri každém pˇ ripojení novou IP adresu (i v pˇ rípadˇ e, že se jedná o téhož klienta). WinRoute zahrnuje klienty služby RAS do celkového poˇ ctu klient˚ u pˇ ri kontrole, zda nedošlo k pˇ rekroˇ cení poˇ ctu uživatel˚ u povoleného licencí (viz kapitola 4.4). Z toho vyplývá, že za urˇ citých podmínek (pˇ ríliš velký rozsah IP adres pro službu RAS a/nebo pˇ ríliš dlouhá doba pˇ ridˇ elení adresy klient˚ um RAS) m˚ uže opakovaným pˇ ripojováním RAS klient˚ u dojít k pˇ rekroˇ cení povoleného poˇ ctu uživatel˚ u. Vzdálený klient se pak bude moci pˇ ripojit a komunikovat s poˇ cítaˇ ci v lokální síti, nebude však moci pˇ ristupovat pˇ res WinRoute do Internetu. Volby pro odmítnuté adresy Nastavení v této sekci urˇ cuje, jakým zp˚ usobem budou použity IP adresy, které byly klienty odmítnuty (zpráva DHCPDECLINE). Tyto IP adresy mohou být bud’ okamžitˇ e považovány za volné a v pˇ rípadˇ e potˇ reby pˇ ridˇ eleny dalším klient˚ um (volba Nabízet ihned) nebo po urˇ citou dobu blokovány pro pˇ rípad, že o nˇ e p˚ uvodní klienti znovu požádají (volba Nabízet po uplynutí doby).
5.5 Proxy server WinRoute obsahuje klasický HTTP proxy server, pˇ restože umožˇ nuje díky technologii NAT pˇ rímý pˇ rístup do Internetu ze všech poˇ cítaˇ cu ˚ v lokální síti. V nˇ ekterých pˇ rípadech totiž není použití pˇ rímého pˇ rístupu vhodné nebo jej nelze použít v˚ ubec. Jedná se zejména o tyto situace: 1.
Z poˇ cítaˇ ce s WinRoute není možné pˇ rímé pˇ ripojení, je tˇ reba použít proxy server poskytovatele Internetu. Proxy server ve WinRoute umí využívat tzv. nadˇ razený proxy server (parent proxy server), kterému pˇ redává veškeré požadavky.
64
5.5. Proxy server
2.
Pˇ ripojení do Internetu je realizováno vytᡠcenou linkou a pˇ rístup na urˇ cité WWW stránky je blokován (viz kapitola 8.1). Pˇ ri použití pˇ rímého pˇ rístupu dojde k vytoˇ cení linky dˇ ríve, než m˚ uže být zachycen vlastní HTTP požadavek (linka je vytᡠcena na DNS dotaz nebo pˇ ri požadavku klienta na navázání spojení s WWW serverem). Pˇ ri pˇ rístupu na zakázanou WWW stránku WinRoute vytoˇ cí linku a poté zablokuje pˇ rístup na požadovanou stránku — linka je vytoˇ cena zbyteˇ cnˇ e. Proxy server dokáže pˇ rijmout a zpracovat požadavek klienta lokálnˇ e. Jedná-li se o zakázanou stránku, k vytoˇ cení linky nedojde.
3.
WinRoute je nasazen do sítˇ e s velkým poˇ ctem poˇ cítaˇ cu ˚, kde byl dˇ ríve používán proxy server. Zmˇ ena konfigurace všech poˇ cítaˇ cu ˚ by byla ˇ casovˇ e i technicky nároˇ cná. Pˇ ri použití proxy serveru z˚ ustává pˇ rístup do Internetu funkˇ cní — konfigurace jednotlivých poˇ cítaˇ cu ˚ m˚ uže z˚ ustat nezmˇ enˇ ena (pˇ rípadnˇ e lze zmˇ enit nastavení pouze na nˇ ekterých poˇ cítaˇ cích).
Upozornˇ ení: Proxy server ve WinRoute podporuje pouze protokoly HTTP a HTTPS. Pro komunikaci protokolem FTP je tˇ reba použít pˇ rímý pˇ rístup (tzn. nepoužívat proxy server)! Jedinou výjimkou je situace, kdy je použit nadˇ razený proxy server, který protokol FTP podporuje — proxy server ve WinRoute pak dokáže „tunelovat“ FTP na nadˇ razený proxy server.
Konfigurace proxy serveru Parametry proxy serveru se nastavují v sekci Konfigurace / Filtrování obsahu / Pravidla pro HTTP, záložka Proxy server. Povolit netransparentní proxy server Tato volba zapíná HTTP proxy server ve WinRoute na portu uvedeném v položce Port (výchozí port je 3128). Upozornˇ ení: Zadáme-li do položky Port ˇ císlo portu, který již používá jiná služba ˇ ci aplikace, pak po stisknutí tlaˇ cítka Použít WinRoute tento port sice akceptuje, ale proxy server na nˇ em nespustí a do záznamu Error (viz kapitola 18.8) se vypíše následující chybové hlášení: failed to bind to port 3128: another application is using this port Pokud nemáte jistotu, že zadaný port je skuteˇ cnˇ e volný, pak bezprostˇ rednˇ e po stisknutí tlaˇ cítka Použít zkontrolujte záznam Error, zda se v nˇ em takovéto hlášení neobjevilo.
65
Kapitola 5 Nastavení rozhraní a sít’ových služeb
Obrázek 5.22
Nastavení parametr˚ u HTTP proxy serveru
Povolit spojení na libovolný TCP port Tato bezpeˇ cnostní volba umožˇ nuje povolit nebo blokovat tzv. tunelování jiných aplikaˇ cních protokol˚ u (než HTTP a HTTPS) pˇ res proxy server. Je-li tato volba vypnuta, pak proxy server povoluje navázání spojení pouze na standardní port služby HTTPS (443) — pˇ redpokládá se, že v tomto pˇ rípadˇ e se jedná o pˇ rístup na zabezpeˇ cené WWW stránky. Je-li volba zapnuta, pak proxy server m˚ uže navázat spojení na libovolný port. M˚ uže se jednat o protokol HTTPS na nestandardním portu, ale také o tunelování jiného aplikaˇ cního protokolu. Poznámka: Na nezabezpeˇ cenou komunikaci protokolem HTTP nemá tato volba žádný vliv. HTTP komunikace je ve WinRoute obsluhována inspekˇ cním modulem, který propustí pouze platné HTTP požadavky. Pˇ redávat požadavky nadˇ razenému... Zapnutím této volby bude proxy server ve WinRoute pˇ redávat veškeré požadavky nadˇ razenému proxy serveru specifikovanému v následujících položkách: • Server — DNS jméno nebo IP adresa nadˇ razeného proxy serveru a port, na kterém bˇ eží (výchozí port je 3128).
66
5.5. Proxy server
• Nadˇ razený proxy server vyžaduje ovˇ eˇ rení — tuto volbu zapnˇ ete, pokud nadˇ razený proxy server vyžaduje ovˇ eˇ rení uživatele jménem a heslem. Do položek Uživatelské jméno a Heslo vyplˇ nte pˇ ríslušné pˇ rihlašovací údaje. Poznámka: Jméno a heslo pro ovˇ eˇ rení na nadˇ razeném proxy serveru se posílá s každým HTTP požadavkem. Je podporováno pouze ovˇ eˇ rování typu Basic. Volba Pˇ redávat požadavky nadˇ razenému proxy serveru zároveˇ n automaticky nastavuje zp˚ usob pˇ rístupu WinRoute do Internetu (pro kontrolu a stahování nových verzí, aktualizaci antiviru McAfee a pˇ rístup do online databází modulu ISS OrangeWeb Filter). Nastavit skript pro automatickou konfiguraci ... Pro použití proxy serveru je nutné správnˇ e nastavit parametry WWW prohlížeˇ cu ˚ na klientských poˇ cítaˇ cích. Vˇ etšina souˇ casných prohlížeˇ cu ˚ (napˇ r. Microsoft Internet Explorer, Netscape/Mozilla/Firefox, Opera apod.) umožˇ nuje automatickou konfiguraci skriptem staženým ze zadaného URL. V pˇ rípadˇ e proxy serveru ve WinRoute je konfiguraˇ cní skript uložen na adrese: http://192.168.1.1:3128/pac/proxy.pac kde 192.168.1.1 je IP adresa poˇ cítaˇ ce s WinRoute a 3128 je port proxy serveru (viz výše). Volba Nastavit skript pro automatickou konfiguraci prohlížeˇ cu ˚ umožˇ nuje pˇ rizp˚ usobit konfiguraˇ cní skript tak, aby nastavoval prohlížeˇ ce správnˇ e podle aktuální konfigurace WinRoute a lokální sítˇ e: • Pˇ rímý pˇ rístup — v prohlížeˇ ci nebude nastaven žádný proxy server. • Proxy server ve WinRoute — v prohlížeˇ ci bude nastavena IP adresa poˇ cítaˇ ce s WinRoute a port, na kterém je proxy server spuštˇ en (viz výše). Poznámka: Pro použití konfiguraˇ cního skriptu musí být proxy server vždy spuštˇ en (i v pˇ rípadˇ e, že prohlížeˇ ce budou nastavovány pro pˇ rímý pˇ rístup). Povolit prohlížeˇ cu ˚m použít konfiguraˇ cní skript automaticky ... Prohlížeˇ c Microsoft Internet Explorer se m˚ uže být konfigurován zcela automaticky použitím DHCP serveru. V nastavení prohlížeˇ ce staˇ cí zapnout volbu Automaticky zjišt’ovat nastavení (Automatically detect settings). Podmínkou použití této funkce je spuštˇ ený DHCP server ve WinRoute (viz kapitola 5.4). Parametry TCP/IP na pˇ ríslušné stanici však mohou být nastaveny staticky — Microsoft Internet Explorer vyšle pˇ ri svém spuštˇ ení speciální DHCP požadavek. TIP: Takto lze jediným kliknutím nastavit všechny prohlížeˇ ce Microsoft Internet Explorer na poˇ cítaˇ cích v lokální síti.
67
Kapitola 5 Nastavení rozhraní a sít’ových služeb
5.6 HTTP cache Cache slouží ke zrychlení pˇ rístupu na opakovanˇ e navštˇ evované WWW stránky a snížení zatížení internetového pˇ ripojení (v pˇ rípadˇ e mˇ eˇ rené linky se také sníží objem pˇ renesených dat). Stahované soubory se ukládají na disk poˇ cítaˇ ce s WinRoute a pˇ ri dalším pˇ rístupu nemusejí být znovu stahovány z WWW serveru. Objekty se do cache ukládají na omezenou dobu (Time To Live — TTL). Tato doba urˇ cuje, zda se má na WWW serveru ovˇ eˇ rovat novˇ ejší verze daného objektu. Pokud doba TTL nevypršela, objekt se vezme z cache. V opaˇ cném pˇ rípadˇ e se ovˇ eˇ rí, zda se objekt na pˇ ríslušném WWW serveru zmˇ enil, a pokud ano, stáhne se nová verze. Tento mechanismus zajišt’uje pr˚ ubˇ ežnou aktualizaci objekt˚ u v cache. Cache lze použít pˇ ri pˇ rístupu pˇ res proxy server i pˇ rímém pˇ rístupu. V pˇ rípadˇ e pˇ rímého pˇ rístupu musí být na komunikaci aplikován inspekˇ cní modul HTTP (viz kapitoly 6.2 a 11.3). Parametry HTTP cache se nastavují v sekci Konfigurace / Filtrování obsahu / Pravidla pro HTTP, záložka Cache.
Obrázek 5.23
Nastavení parametr˚ u HTTP cache
68
5.6. HTTP cache
Povolit cache pro transparentní proxy Zapnutí cache pro HTTP komunikaci obsluhovanou inspekˇ cním modulem HTTP (tj. pˇ rímý pˇ rístup do Internetu) Povolit cache pro proxy server Zapnutí cache pro objekty stahované pˇ res proxy server ve WinRoute (viz kapitola 5.5) Doba životnosti (TTL)... Výchozí doba platnosti objektu v cache. Tato doba je použita, jestliže: • pro konkrétní objekt není nastavena specifická doba životnosti (nastavuje se v dialogu, který se otevírá tlaˇ cítkem Specifická nastavení pro URL — viz dále) • není akceptována doba životnosti urˇ cená WWW serverem (viz položka Akceptovat dobu životnosti (TTL) dodanou serverem) Adresᡠr pro cache Adresᡠr pro ukládání objekt˚ u. Ve výchozím nastavení se používá podadresᡠr cache v adresᡠri, kde je WinRoute nainstalován. Upozornˇ ení: Zmˇ ena adresᡠre pro cache se projeví až po pˇ rístím startu WinRoute Firewall Engine. Velikost cache Velikost souboru cache na disku. Maximální velikost tohoto souboru je dána použitým souborovým systémem: FAT16 — 2GB, ostatní souborové systémy — 4GB. Poznámka: Je-li cache zaplnˇ ena z 98%, spustí se automaticky tzv. úklid — smazání všech objekt˚ u, jejichž doba životnosti již vypršela. Nepodaˇ rí-li se odstranit žádné objekty, nebudou do cache ukládány nové objekty, dokud se místo neuvolní (pˇ ri nˇ ekterém z dalších úklid˚ u nebo ruˇ cním vymazáním). Velikost cache v pamˇ eti Maximální velikost cache v operaˇ cní pamˇ eti. Tato cache slouží zejména pro urychlení zápisu do cache na disku. Pˇ ríliš vysoká hodnota m˚ uže mít negativní vliv na výkon poˇ cítaˇ ce (velikost cache by nemˇ ela pˇ resáhnout cca 10% velikosti operaˇ cní pamˇ eti). Max. velikost HTTP objektu Maximální velikost objektu, který bude do cache uložen. Statistiky dokazují, že nejvˇ etší poˇ cet požadavk˚ u je na objekty malé velikosti (napˇ r. HTML stránky, obrázky apod.). Velké objekty, napˇ r. archivy, které se zpravidla stahují jednorázovˇ e, by v cache zbyteˇ cnˇ e zabíraly místo.
69
Kapitola 5 Nastavení rozhraní a sít’ových služeb
Volby pro cache Upˇ resˇ nující nastavení chování cache. • Dokonˇ cit stahování objekt˚ u pˇ ri pˇ rerušení — po zaškrtnutí této volby se bude automaticky dokonˇ covat stahování objekt˚ u, jestliže byl požadavek uživatelem pˇ rerušen (tlaˇ cítkem Stop ve WWW prohlížeˇ ci). Ve velkém poˇ ctu pˇ rípad˚ u totiž uživatel pˇ rerušuje otevírání stránky z d˚ uvodu pˇ ríliš pomalého natahování. Rozhodne-li se uživatel navštívit stránku znovu (pˇ rípadnˇ e ji navštíví jiný uživatel), bude stránka k dispozici nesrovnatelnˇ e rychleji. • Ukládat odpovˇ edi na pˇ resmˇ erování (redirect) — po zapnutí této volby budou do cache ukládány HTTP odpovˇ edi obsahující pˇ resmˇ erování. • Akceptovat dobu životnosti (TTL) dodanou serverem — tato volba zp˚ usobí uložení objekt˚ u do cache na dobu doporuˇ cenou WWW serverem, ze kterého jsou objekty stahovány. Pokud server tuto dobu neurˇ cí, použije se výchozí doba (viz položka Doba životnosti (TTL) pro protokol HTTP). Upozornˇ ení: Nˇ ekteré WWW servery mohou zámˇ ernˇ e dodávat pˇ ríliš krátké nebo pˇ ríliš dlouhé doby za úˇ celem potlaˇ cení cache. • Ignorovat direktivu serveru Cache-Control — po zapnutí této volby bude WinRoute ignorovat direktivy pro ˇ rízení cache na WWW stránkách. Pokud se obsah nˇ ejaké stránky velmi ˇ casto mˇ ení, její autor na ni zpravidla umístí direktivu, aby se neukládala do cache. V nˇ ekterých pˇ rípadech je tato direktiva používána nerozumnˇ e, napˇ r. za úˇ celem vyˇ razení cache. Volba Ignorovat direktivu serveru Cache-Control zp˚ usobí, že WinRoute bude akceptovat pouze direktivy no-store a private. Poznámka: WinRoute pracuje pouze s direktivami z hlaviˇ cek HTTP odpovˇ edí, nikoliv ze samotných stránek. • Vždy kontrolovat platnost soubor˚ u v cache — zapnutím této volby bude WinRoute pˇ ri každém požadavku kontrolovat, zda se na serveru nenachází novˇ ejší verze objektu uloženého v cache (bez ohledu na to, zda to klient požaduje). Poznámka: Klient si m˚ uže kdykoliv vyžádat kontrolu novˇ ejší verze objektu na WWW serveru (bez ohledu na nastavení cache). Napˇ r. v prohlížeˇ cích Microsoft Internet Explorer a Netscape/Mozilla/Firefox lze tuto kontrolu vyvolat stisknutím kombinace kláves Ctrl+F5. Prohlížeˇ ce lze také nastavit, aby kontrolovaly novˇ ejší verze stránek pˇ ri každém pˇ rístupu (pak staˇ cí stránku pouze obnovit).
Specifická nastavení pro URL Výchozí doba životnosti objektu v cache nemusí být vyhovující pro všechny stránky. V nˇ ekterých pˇ rípadech m˚ uže vzniknout požadavek neukládat stránku (resp. objekt) do cache v˚ ubec ˇ ci zkrátit dobu jeho platnosti (napˇ r. pro stránky, které se mˇ ení nˇ ekolikrát dennˇ e).
70
5.6. HTTP cache
Tlaˇ cítko Specifická nastavení pro URL otevírá dialog, ve kterém lze nastavit dobu platnosti pro konkrétní URL.
Obrázek 5.24
HTTP cache — specifická nastavení pro URL
Pravidla v tomto dialogu tvoˇ rí uspoˇ rádaný seznam, který je procházen shora dol˚ u (tlaˇ cítky se šipkami na pravé stranˇ e okna lze upravit poˇ radí pravidel). Popis Textový popis položky (pro snazší orientaci) URL URL, pro které má být nastavena specifická doba životnosti objekt˚ u v cache. URL m˚ uže být zadáno v jednom z tˇ echto tvar˚ u • kompletní URL (napˇ r. www.kerio.com/cz/index.html) • podˇ retˇ ezec s použitím hvˇ ezdiˇ ckové konvence (napˇ r. *idnes.cz*) • jméno serveru (napˇ r. www.kerio.com) — libovolné URL na tomto serveru (zadaný ˇ retˇ ezec se automaticky doplní na tvar: www.kerio.com/*) TTL Doba platnosti objekt˚ u vyhovujících uvedenému URL. Volba 0 dní, 0 hodin znamená, že objekty nebudou do cache ukládány.
71
Kapitola 6
Komunikaˇ cní pravidla
Komunikaˇ cní pravidla (Traffic Policy) jsou základem konfigurace WinRoute. V jediné tabulce je integrováno nastavení: • zabezpeˇ cení (tj. ochrany lokální sítˇ e vˇ cetnˇ e poˇ cítaˇ ce, na nˇ emž je WinRoute nainstalován, proti nežádoucímu pr˚ uniku z Internetu) • pˇ rekladu IP adres (též NAT, Network Address Translation — technologie umožˇ nující transparentní pˇ rístup z celé lokální sítˇ e do Internetu prostˇ rednictvím jediné veˇ rejné IP adresy) • zpˇ rístupnˇ ení server˚ u (služeb) bˇ ežících v lokální síti z Internetu (tzv. mapování port˚ u) • ˇ rízení pˇ rístupu lokálních uživatel˚ u do Internetu K definici komunikaˇ cních pravidel slouží sekce Konfigurace / Komunikaˇ cní pravidla. Pravidla mohou být definována dvˇ ema zp˚ usoby: ruˇ cnˇ e (pro zkušené správce) nebo pomocí pr˚ uvodce (pro ménˇ e zkušené uživatele nebo pˇ rípady, kdy nejsou tˇ reba žádná speciální nastavení).
6.1 Pr˚ uvodce komunikaˇ cními pravidly Pr˚ uvodce (wizard) se uživatele dotáže pouze na nejnutnˇ ejší informace, na jejichž základˇ e vytvoˇ rí sadu komunikaˇ cních pravidel. Vytvoˇ rená pravidla zajistí pˇ rístup z lokální sítˇ e do Internetu ke zvoleným službám, pˇ rístup z Internetu k vybraným lokálním server˚ um a plnou ochranu lokální sítˇ e (vˇ cetnˇ e poˇ cítaˇ ce s WinRoute) proti neoprávnˇ enému pˇ rístupu z Internetu. Aby bylo možné zaruˇ cit funkˇ cnost WinRoute po použití pr˚ uvodce, jsou pˇ red dokonˇ cením pr˚ uvodce všechna stávající pravidla smazána a nahrazena pravidly vytvoˇ renými automaticky na základˇ e poskytnutých informací. Pr˚ uvodce komunikaˇ cními pravidly se spustí stisknutím tlaˇ cítka Pr˚ uvodce. Poznámka: Nahrazení stávajících komunikaˇ cních pravidel pravidly vytvoˇ renými pr˚ uvodcem se provádí až po potvrzení posledního kroku. Pr˚ uvodce tedy m˚ užete v kterémkoliv kroku stornovat beze ztráty stávajících pravidel.
72
6.1. Pr˚ uvodce komunikaˇ cními pravidly
Krok 1 — informace
Obrázek 6.1
Pr˚ uvodce komunikaˇ cními pravidly — úvodní informace
Pr˚ uvodce pˇ redpokládá, že poˇ cítaˇ c, kde je WinRoute nainstalován, je vybaven: • alespoˇ n jedním aktivním adaptérem pro lokální sít’ • alespoˇ n jedním aktivním adaptérem pˇ ripojeným do Internetu nebo je definováno alespoˇ n jedno vytᡠcené pˇ ripojení. Vytᡠcená linka nemusí být v okamžiku spuštˇ ení pr˚ uvodce pˇ ripojena.
Krok 2 — výbˇ er typu internetového rozhraní Vyberte zp˚ usob, jakým je poˇ cítaˇ c s WinRoute pˇ ripojen do Internetu: sít’ovým adaptérem (Ethernet, WaveLAN, DSL apod.), vytᡠcenou linkou (analogový modem, ISDN atd.) nebo satelitním systémem DirecWay. Satelitní pˇ ripojení DirecWay je nabízeno pouze v pˇ rípadˇ e, že je v operaˇ cním systému detekován pˇ ríslušný ovladaˇ c zaˇ rízení.
73
Kapitola 6 Komunikaˇ cní pravidla
Obrázek 6.2
Pr˚ uvodce komunikaˇ cními pravidly — výbˇ er typu internetového pˇ ripojení
Krok 3 — výbˇ er internetového adaptéru nebo vytᡠcené linky Je-li poˇ cítaˇ c pˇ ripojen do Internetu sít’ovým adaptérem, staˇ cí jej vybrat ze seznamu. V pr˚ uvodci se pro snazší orientaci zobrazuje také IP adresa, maska subsítˇ e a MAC adresa zvoleného adaptéru.
Obrázek 6.3
cními pravidly — výbˇ er adaptéru pˇ ripojeného do Internetu Pr˚ uvodce komunikaˇ
Poznámka: Na prvním místˇ e seznamu je nabízeno internetové rozhraní s výchozí bránou. Proto je ve vˇ etšinˇ e pˇ rípad˚ u v tomto kroku již pˇ rednastaven správný adaptér. V pˇ rípadˇ e vytᡠcené linky je tˇ reba vybrat pˇ ríslušné telefonické pˇ ripojení (definované v operaˇ cním systému) a specifikovat, jaké pˇ rihlašovací údaje mají být použity: • Použít pˇ rihlašovací údaje z telefonického pˇ ripojení (RAS položky) — uživatelské jméno a heslo pro ovˇ eˇ rení na vzdáleném serveru bude naˇ cteno z pˇ ríslušné položky telefonického pˇ ripojení ve Windows. Podmínkou je, že telefonické pˇ ripojení musí být uloženo v systémovém „telefonním seznamu“ (pˇ ri jeho vytvᡠrení je tˇ reba nastavit, že pˇ ripojení bude dostupné pro všechny uživatele).
• Použít tyto pˇ rihlašovací údaje — pro ovˇ eˇ rení na vzdáleném serveru bude použito zadané Uživatelské jméno a Heslo. Tuto možnost lze využít napˇ r. v pˇ rípadˇ e, kdy nechceme z nˇ ejakého d˚ uvodu pˇ rihlašovací údaje v operaˇ cním systému ukládat nebo je budeme chtít pozdˇ eji vzdálenˇ e mˇ enit.
Krok 4 — omezení pˇ rístupu na Internet Zvolte, k jakým službám v Internetu budou uživatelé z lokální sítˇ e smˇ et pˇ ristupovat: Povolit pˇ rístup ke všem službám Pˇ rístup z lokální sítˇ e do Internetu nebude nijak omezen. Uživatelé budou smˇ et využívat jakoukoliv službu bˇ ežící na serveru v Internetu.
75
Kapitola 6 Komunikaˇ cní pravidla
Obrázek 6.5
Pr˚ uvodce komunikaˇ cními pravidly — povolení pˇ rístupu ke službám v Internetu
Povolit pˇ rístup pouze k následujícím službám Z lokální sítˇ e bude povolen pˇ rístup pouze ke službám, které zde vyberete. Poznámka: V tomto dialogu je uveden výˇ cet pouze základních služeb (nezávisle na tom, jaké služby jsou ve WinRoute definovány — viz kapitola 11.3). Další služby m˚ užete povolit pˇ ridáním vlastních komunikaˇ cních pravidel — viz kapitola 6.2.
Krok 5 — povolení komunikace Kerio VPN Chcete-li použít proprietární VPN ˇ rešení ve WinRoute pro pˇ ripojování vzdálených klient˚ u nebo vytvᡠrení tunel˚ u mezi vzdálenými sítˇ emi, ponechte zapnutou volbu Vytvoˇ rit pravidla pro Kerio VPN server. Pr˚ uvodce pˇ ridá do komunikaˇ cních pravidel specifické služby a skupiny adres pro Kerio VPN . Podrobné informace o proprietárním VPN ˇ rešení naleznete v kapitole 19. Používáte-li (nebo plánujete-li použít) VPN ˇ rešení jiného výrobce (napˇ r. Microsoft PPTP, Nortel IPSec apod.), vypnˇ ete volbu Vytvoˇ rit pravidla pro Kerio VPN server. Chcete-li vzdálenˇ e pˇ ristupovat ke sdíleným prostˇ redk˚ um v lokální síti pomocí WWW prohlížeˇ ce, ponechte zapnutou volbu Vytvoˇ rit pravidla pro Kerio Clientless SSL-VPN . Toto rozhraní je nezávislé na Kerio VPN a m˚ uže být použito i spoleˇ cnˇ e s VPN ˇ rešením jiného výrobce. Podrobné informace naleznete v kapitole 20.
76
6.1. Pr˚ uvodce komunikaˇ cními pravidly
Obrázek 6.6
Pr˚ uvodce komunikaˇ cními pravidly — Kerio VPN
Krok 6 — zpˇ rístupnˇ ení služeb v lokální síti Je-li na poˇ cítaˇ ci s WinRoute ˇ ci na nˇ ekterém poˇ cítaˇ ci v lokální síti provozována služba (napˇ r. WWW server, FTP server apod.), kterou chcete zpˇ rístupnit z Internetu, definujte ji v tomto dialogu.
Poznámka: Pokud bylo v pˇ redchozím kroku požadováno vytvoˇ rení pravidel pro VPN, budou do seznamu lokálních server˚ u automaticky pˇ ridány služby Kerio VPN a HTTPS na firewallu. Odstranˇ ení nebo zmˇ ena nastavení tˇ echto služeb zp˚ usobí nedostupnost VPN služeb z Internetu! Tlaˇ cítko Pˇ ridat otevírá dialog pro zpˇ rístupnˇ ení nové služby.
77
Kapitola 6 Komunikaˇ cní pravidla
Obrázek 6.8
Pr˚ uvodce komunikaˇ cními pravidly — mapování lokální služby
Služba bˇ eží na Volba poˇ cítaˇ ce, na nˇ emž služba bˇ eží: • Firewall — poˇ cítaˇ c, na nˇ emž je WinRoute nainstalován • IP adresa — jiný poˇ cítaˇ c v lokální síti (lokální server) Poznámka: Výchozí brána lokálním serveru musí být nastavena tak, aby pˇ ristupoval do Internetu pˇ res WinRoute — jinak nebude zpˇ rístupnˇ ení služby fungovat! Služba Výbˇ er služby, která má být zpˇ rístupnˇ ena. Tato služba musí být nejprve definována v sekci Konfigurace / Definice / Služby (viz kapitola 11.3). Poznámka: Vˇ etšina bˇ ežných služeb je ve WinRoute již pˇ reddefinována.
Krok 7— NAT Pokud se jedná o privátní lokální sít’, která má být pˇ ripojena do Internetu pˇ res jedinou veˇ rejnou IP adresu, zapnˇ ete funkci NAT (pˇ reklad IP adres). Je-li WinRoute použit pro smˇ erování mezi dvˇ ema veˇ rejnými sítˇ emi ˇ ci mezi dvˇ ema lokálními segmenty (tzv. neutrální smˇ erovaˇ c), pak pˇ reklad adres nezapínejte.
Krok 8— vytvoˇ rení pravidel V posledním kroku vás pr˚ uvodce informuje o tom, že vytvoˇ rí komunikaˇ cní pravidla na základˇ e shromáždˇ ených informací. Všechna stávající pravidla budou smazána a nahrazena novˇ e vytvoˇ renými pravidly.
Obrázek 6.10
cními pravidly — dokonˇ cení Pr˚ uvodce komunikaˇ
Upozornˇ ení: Toto je poslední možnost pr˚ uvodce stornovat a zachovat stávající komunikaˇ cní pravidla! Po stisknutí tlaˇ cítka Dokonˇ cit budou smazána a nahrazena novými.
Pravidla vytvoˇ rená pr˚ uvodcem Podívejme se podrobnˇ eji na komunikaˇ cní pravidla, která byla vytvoˇ rena pr˚ uvodcem v pˇ redchozím pˇ ríkladu. ICMP komunikace Toto pravidlo je pr˚ uvodcem pˇ ridáno vždy, bez ohledu na nastavení v jednotlivých krocích. Umožˇ nuje PING (tj. vyslání žádosti o odezvu) z poˇ cítaˇ ce, kde je WinRoute nainstalován. PING je velmi d˚ uležitý napˇ r. pro ovˇ eˇ rení funkˇ cnosti internetového pˇ ripojení. Poznámka: Pravidlo ICMP komunikace nepovoluje PING z poˇ cítaˇ cu ˚ v lokální síti do Internetu. Je-li to požadováno, je tˇ reba pˇ ridat službu Ping do pravidla NAT (detaily viz kapitola 6.2).
79
Kapitola 6 Komunikaˇ cní pravidla
Obrázek 6.11
Komunikaˇ cní pravidla vytvoˇ rená pr˚ uvodcem
Komunikace modulu ISS OrangeWeb Filter Je-li použit modul ISS OrangeWeb Filter (systém pro klasifikaci obsahu WWW stránek), pak toto pravidlo povoluje komunikaci s pˇ ríslušnými databázemi. Bude-li tato komunikace blokována, nebude modul ISS OrangeWeb Filter fungovat správnˇ e. NAT Toto pravidlo urˇ cuje, že ve všech paketech jdoucích z lokální sítˇ e do Internetu bude zdrojová (privátní) IP adresa nahrazována adresou rozhraní pˇ ripojeného do Internetu (v pr˚ uvodci krok 3 a krok 6). Pˇ rístup bude povolen pouze k vybraným službám (krok 4). Do položky Zdroj je v tomto pravidle zahrnuto také rozhraní Dial-In, tzn. všichni
80
6.1. Pr˚ uvodce komunikaˇ cními pravidly
klienti služby RAS pˇ ripojující se na tento server budou mít povolen pˇ rístup do Internetu pomocí technologie NAT . Lokální komunikace Toto pravidlo povoluje veškerou komunikaci poˇ cítaˇ cu ˚ v lokální síti s poˇ cítaˇ cem, na nˇ emž je WinRoute nainstalován. Položky Zdroj a Cíl v tomto pravidle zahrnují všechna rozhraní poˇ cítaˇ ce s WinRoute kromˇ e rozhraní pˇ ripojeného do Internetu (vybraného v kroku 3). Do položek Zdroj a Cíl je v tomto pravidle zahrnuto také rozhraní Dial-In a speciální skupina Firewall. Pravidlo Lokální komunikace tedy povoluje také komunikaci mezi poˇ cítaˇ ci v lokální síti (resp. firewallem) a klienty služby RAS pˇ ripojujícími se na tento server. Pokud bylo v pr˚ uvodci požadováno vytvoˇ rení pravidel pro Kerio VPN (krok 5), pak pravidlo Lokální komunikace obsahuje také speciální skupinu adres VPN klienti — pravidlo povoluje komunikaci mezi lokální sítí (firewallem) a VPN klienty pˇ ripojujícími se k VPN serveru ve WinRoute. Poznámka: Pr˚ uvodce pˇ redpokládá, že poˇ cítaˇ c s WinRoute logicky patˇ rí do lokální sítˇ e, a pˇ rístup k nˇ emu nijak neomezuje. Omezení pˇ rístupu na tento poˇ cítaˇ c lze provést úpravou pravidla nebo definicí nového. Je nutné si uvˇ edomit, že nevhodné omezení pˇ rístupu k poˇ cítaˇ ci s WinRoute m˚ uže mít za následek zablokování vzdálené správy ˇ ci nedostupnost služeb v Internetu (veškerá komunikace do Internetu prochází pˇ res tento poˇ cítaˇ c). Komunikace firewallu Toto pravidlo povoluje pˇ rístup k vybraným službám z poˇ cítaˇ ce, kde je WinRoute nainstalován. Je obdobou pravidla NAT , ale s tím rozdílem, že se zde neprovádí pˇ reklad IP adres (tento poˇ cítaˇ c má pˇ rímý pˇ rístup do Internetu). Služba FTP a Služba HTTP Tato dvˇ e pravidla zpˇ rístupˇ nují (mapují) služby HTTP a HTTPS bˇ ežící na poˇ cítaˇ ci s IP adresou 192.168.1.10 (krok 6). Tyto služby budou z Internetu pˇ rístupné na IP adresách vnˇ ejšího rozhraní (krok 3). Služba Kerio VPN a Služba HTTPS Pravidlo Služba Kerio VPN povoluje pˇ ripojení k VPN serveru ve WinRoute z Internetu (navázání ˇ rídicího spojení mezi VPN klientem a serverem, resp. vytvoˇ rení VPN tunelu — podrobnosti viz kapitola 19). Pravidlo Služba HTTPS povoluje pˇ ripojení z Internetu k rozhraní Clientless SSL-VPN (pˇ rístup ke sdíleným prostˇ redk˚ um v síti pomocí WWW prohlížeˇ ce — podrobnosti viz kapitola 20). Každé z tˇ echto pravidel je vytvoˇ reno pouze v pˇ rípadˇ e, pokud bylo v kroku 5 pr˚ uvodce komunikaˇ cními pravidly požadováno povolení pˇ rístupu k pˇ ríslušné službˇ e.
81
Kapitola 6 Komunikaˇ cní pravidla
Implicitní pravidlo Toto pravidlo zakazuje veškerou komunikaci, která není povolena jinými pravidly. Implicitní pravidlo je vždy na konci seznamu komunikaˇ cních pravidel a nelze jej odstranit. Implicitní pravidlo umožˇ nuje zvolit akci pro nežádoucí komunikaci (Zakázat nebo Zahodit) a zapnout záznam paket˚ u nebo spojení. Poznámka: Detailní v kapitole 6.2.
popis
jednotlivých
ˇ cástí
komunikaˇ cního
pravidla
najdete
6.2 Definice vlastních komunikaˇ cních pravidel Chcete-li dále doladit nastavení WinRoute, m˚ užete definovat vlastní pravidla, pˇ rípadnˇ e upravit pravidla vytvoˇ rená pr˚ uvodcem. Zkušení správci nemusejí pr˚ uvodce použít v˚ ubec — mohou vytvoˇ rit kompletní sadu pravidel pˇ resnˇ e podle specifických požadavk˚ u. Poznámka: Chcete-li ˇ rídit pˇ rístup uživatel˚ u k WWW a FTP server˚ um, doporuˇ cujeme namísto komunikaˇ cních pravidel použít speciální nástroje, které WinRoute k tomuto úˇ celu nabízí — viz kapitola 8.
Jak komunikaˇ cní pravidla fungují? Komunikaˇ cní pravidla jsou uložena v uspoˇ rádaném seznamu. Pˇ ri aplikaci pravidel je seznam procházen shora dol˚ u a použije se vždy první pravidlo, kterému dané spojení ˇ ci paket vyhovuje — záleží tedy na poˇ radí pravidel v seznamu. Poˇ radí pravidel lze upravit šipkovými tlaˇ cítky v pravé ˇ cásti okna. Na konci seznamu je vždy umístˇ eno implicitní pravidlo, které zakazuje nebo zahazuje veškerou komunikaci (akce je volitelná). Toto pravidlo nelze odstranit. Komunikace, která není pravidly výslovnˇ e povolena, je zakázána. Poznámka: Bez definice komunikaˇ cních pravidel (pomocí pr˚ uvodce ˇ ci vlastních) existuje ve WinRoute pouze implicitní pravidlo, které blokuje veškerou komunikaci.
Definice pravidel Komunikaˇ cní pravidla jsou zobrazována ve formˇ e tabulky, kde každý ˇ rádek obsahuje jedno pravidlo a ve sloupcích jsou jeho jednotlivé ˇ cásti (jméno, podmínky, akce — detaily viz dále). Dvojitým kliknutím levým tlaˇ cítkem myši na vybrané pole tabulky (pˇ rípadnˇ e kliknutím pravým tlaˇ cítkem a volbou Zmˇ enit... z kontextového menu) se zobrazí dialog pro zmˇ enu vybrané položky. Nové pravidlo pˇ ridáme stisknutím tlaˇ cítka Pˇ ridat a šipkovými tlaˇ cítky v pravé ˇ cásti okna jej pˇ resuneme na požadované místo.
82
6.2. Definice vlastních komunikaˇ cních pravidel
Jméno Název pravidla. Mˇ el by být struˇ cný a výstižný, aby tabulka pravidel byla pˇ rehledná. Detailnˇ ejší informace by mˇ ely být zapsány do položky Popis. Zaškrtávací pole pˇ red jménem pravidla slouží k jeho aktivaci a deaktivaci. Neníli toto pole zaškrtnuto, pak se WinRoute chová, jako by pravidlo neexistovalo. Toho lze využít napˇ r. pro doˇ casné vyˇ razení pravidla — není tˇ reba je odstraˇ novat a pozdˇ eji znovu definovat.
Obrázek 6.12
Komunikaˇ cní pravidlo — jméno, barva a popis pravidla
Kromˇ e výše uvedeného jména m˚ užete nastavit také barvu pozadí ˇ rádku tabulky s tímto pravidlem. Volba Transparentní znamená, že ˇ rádek bude „pr˚ uhledný“ (pod textem bude barva pozadí celého seznamu, typicky bílá). Položka Popis m˚ uže obsahovat libovolný text popisující význam a úˇ cel daného pravidla (maximálnˇ e 1024 znak˚ u). Je-li popis uveden, pak se v seznamu pravidel ve sloupci Jméno vedle názvu pravidla zobrazí symbol „bubliny“ s textem. Umístˇ ením kurzoru myši na tento symbol bude zobrazen text popisu pravidla. Doporuˇ cujeme d˚ uslednˇ e popisovat všechna vytvoˇ rená pravidla (v pravidlech vytvoˇ rených pr˚ uvodcem je popis již vyplnˇ en). Ne vždy je totiž na první pohled zˇ rejmé, k jakému úˇ celu konkrétní pravidlo slouží. Dobré popisy pravidel ušetˇ rí správci WinRoute mnoho ˇ casu pˇ ri pozdˇ ejším ladˇ ení ˇ ci hledání problém˚ u. Poznámka: Popis a barevné oznaˇ cení pravidla slouží pouze pro zlepšení pˇ rehlednosti — nesouvisejí s jeho významem. Zdroj, Cíl Volba zdroje, resp. cíle komunikace, pro niž má pravidlo platit. Tlaˇ cítkem Pˇ ridat lze definovat novou položku zdroje, resp. cíle komunikace: • Poˇ cítaˇ c — jméno nebo IP adresa konkrétního poˇ cítaˇ ce (napˇ r. www.firma.cz nebo 192.168.1.1) Upozornˇ ení: Je-li zdrojový nebo cílový poˇ cítaˇ c zadán DNS jménem, pak WinRoute zjišt’uje odpovídající IP adresu v okamžiku stisknutí tlaˇ cítka Použít.
Pokud není nalezen odpovídající záznam v DNS cache, vysílá se DNS dotaz do Internetu. Je-li internetové pˇ ripojení realizováno vytᡠcenou linkou, která je momentálnˇ e zavˇ ešena, vyšle se tento dotaz až po vytoˇ cení linky. Do zjištˇ ení IP adresy z DNS jména je však pˇ ríslušné pravidlo neaktivní. V krajním pˇ rípadˇ e m˚ uže dojít k tomu, že po definici pravidla bude linka vytoˇ cena na základˇ e komunikace, která má být pravidlem zakázána. Z výše uvedených d˚ uvod˚ u doporuˇ cujeme v pˇ rípadˇ e vytᡠcené linky do Internetu zadávat zdrojový a cílový poˇ cítaˇ c výhradnˇ e IP adresami! Rozsah IP adres — napˇ r. 192.168.1.10—192.168.1.20 Skupinu IP adres — skupina adres definovaná ve WinRoute (viz kapitola 11.1) Subsít’ s maskou — subsít’ zadaná adresou sítˇ e a maskou (napˇ r. 192.168.1.0/255.255.255.0) Sít’ pˇ ripojenou k rozhraní — výbˇ er rozhraní, kterým paket pˇ richází (v položce Zdroj) nebo kudy má být odeslán (v položce Cíl) VPN — virtuální privátní sít’ (vytvoˇ rená pomocí VPN ˇ rešení ve WinRoute). Volbou VPN m˚ užeme pˇ ridat položky následujících typ˚ u: 1. Pˇ ríchozí spojení (VPN klienti) — všichni VPN klienti pˇ ripojující se k VPN serveru ve WinRoute pomocí aplikace Kerio VPN Client,
84
6.2. Definice vlastních komunikaˇ cních pravidel
Obrázek 6.14
Komunikaˇ cní pravidlo — VPN klienti / VPN tunel v definici zdrojových nebo cílových adres
2. Odchozí VPN tunel — sít’ pˇ ripojená vybraným VPN tunelem. Podrobné informace o VPN ˇ rešení ve WinRoute naleznete v kapitole 19. • Uživatele — uživatelé nebo skupiny uživatel˚ u, které lze vybrat ve speciálním dialogu.
Obrázek 6.15
Komunikaˇ cní pravidlo — uživatelé a skupiny v definici zdrojových nebo cílových adres
Volba Ovˇ eˇ rení uživatelé znamená, že podmínka bude platit pro všechny uživatele, kteˇ rí jsou na firewall již pˇ rihlášeni (viz kapitola 7.1). Volbou Uživatelé z domény m˚ užeme pˇ ridat požadované uživatele a/nebo skupiny z mapovaných Active Directory domén nebo z lokální databáze uživatel˚ u (podrobnosti viz kapitola 12). TIP: Do pravidla m˚ užeme pˇ ridat uživatele/skupiny z nˇ ekolika r˚ uzných domén zároveˇ n. Vybereme doménu, pˇ ridáme uživatele a/nebo skupiny, pak zvolíme
85
Kapitola 6 Komunikaˇ cní pravidla
jinou doménu a postup opakujeme. V komunikaˇ cních pravidlech má uživatel význam IP adresy poˇ cítaˇ ce, z nˇ ehož je pˇ rihlášen. Podrobnosti o pˇ rihlašování uživatel˚ u k firewallu naleznete v kapitole 7.1. Poznámky: 1. Povolení / zákaz pˇ rístupu urˇ citým uživatel˚ um má smysl jen tehdy, pokud není z pˇ ríslušných IP adres povolen pˇ rístup nepˇ rihlášeným uživatel˚ um (jinak totiž nejsou uživatelé donuceni se pˇ rihlásit). Pokud uživatelé pracují stˇ rídavˇ e na r˚ uzných poˇ cítaˇ cích, je tˇ reba vzít v úvahu IP adresy všech tˇ echto poˇ cítaˇ cu ˚. 2. Jsou-li uživatelské úˇ cty nebo skupiny použity jako zdroj v pravidle pro pˇ rístup do Internetu, pak v pˇ rípadˇ e služby HTTP nebude funkˇ cní automatické pˇ resmˇ erování uživatel˚ u na pˇ rihlašovací stránku ani NTLM ovˇ eˇ rování. K pˇ resmˇ erování totiž dojde až po úspˇ ešném navázání spojení na cílový server. Jsou-li komunikaˇ cní pravidla nastavena tímto zp˚ usobem, pak je tˇ reba uživatel˚ um sdˇ elit, že pˇ red pˇ rístupem do Internetu musejí otevˇ rít pˇ rihlašovací stránku (viz kapitoly 10 a 7.1) ve svém WWW prohlížeˇ ci a pˇ rihlásit se. Tato problematika je podrobnˇ e diskutována v kapitole 21.4. • Firewall — speciální skupina adres zahrnující všechna rozhraní poˇ cítaˇ ce, na nˇ emž WinRoute bˇ eží. Tuto volbu lze s výhodou využít napˇ r. pro povolení komunikace mezi lokální sítí a poˇ cítaˇ cem s WinRoute. Tlaˇ cítko Libovolný nahradí všechny definované položky položkou Libovolný (toto je rovnˇ ež výchozí hodnota pˇ ri vytvᡠrení nového pravidla). Bude-li pak pˇ ridána alespoˇ n jedna nová položka, bude položka Libovolný automaticky odstranˇ ena. Tlaˇ cítko Smazat odstraní všechny definované položky (v seznamu položek bude zobrazeno Nic). Bude-li pak pˇ ridána alespoˇ n jedna nová položka, bude hodnota Nic automaticky odstranˇ ena. Ponecháme-li ve sloupci Zdroj a/nebo Cíl hodnotu Nic, pak bude pravidlo neaktivní. Hodnota Nic má své opodstatnˇ ení pˇ ri odstraˇ nování sít’ových rozhraní (viz kapitola 5.1) a uživatelských úˇ ct˚ u nebo skupin (viz kapitola 12). Do položek Zdroj nebo Cíl všech pravidel, ve kterých bylo použito odstranˇ ené rozhraní, (resp. uživatelský úˇ cet nebo skupina) bude automaticky dosazena hodnota Nic, ˇ címž budou pˇ ríslušná pravidla deaktivována. Ruˇ cní dosazení hodnoty Nic nemá praktický význam — pro deaktivaci pravidla je vhodnˇ ejší použít zaškrtávací pole ve sloupci Jméno. Poznámka: Odstranˇ ené rozhraní nelze nahradit položkou Libovolný — mohlo by dojít k zásadní zmˇ enˇ e smyslu komunikaˇ cních pravidel (napˇ r. povolení nežádoucí komunikace).
86
6.2. Definice vlastních komunikaˇ cních pravidel
Služba Definice služby (resp. služeb), pro kterou má toto komunikaˇ cní pravidlo platit. Seznam m˚ uže obsahovat více služeb definovaných v sekci Konfigurace / Definice / Služby a/nebo služeb zadaných protokolem a ˇ císlem portu (pˇ rípadnˇ e rozsahem port˚ u — pro jeho specifikaci se zde používá pomlˇ cka).
Obrázek 6.16
Komunikaˇ cní pravidlo — nastavení služby
Tlaˇ cítko Libovolný nahradí všechny definované položky položkou Libovolný (toto je rovnˇ ež výchozí hodnota pˇ ri vytvᡠrení nového pravidla). Bude-li pak pˇ ridána alespoˇ n jedna nová služba, bude položka Libovolný automaticky odstranˇ ena. Tlaˇ cítko Smazat odstraní všechny definované položky (v seznamu položek bude zobrazeno Nic). Bude-li pak pˇ ridána alespoˇ n jedna nová služba, bude hodnota Nic automaticky odstranˇ ena. Ponecháme-li ve sloupci Služba hodnotu Nic, pak bude pravidlo neaktivní. Hodnota Nic má své opodstatnˇ ení pˇ ri odstraˇ nování definovaných služeb (viz kapitola 11.3). Do položky Služba všech pravidel, ve kterých byla použita odstranˇ ená služba, bude automaticky dosazena hodnota Nic, ˇ címž budou pˇ ríslušná pravidla deaktivována. Ruˇ cní dosazení hodnoty Nic nemá praktický význam — pro deaktivaci pravidla je vhodnˇ ejší použít zaškrtávací pole ve sloupci Jméno. Poznámky: 1. Odstranˇ enou službu nelze nahradit položkou Libovolný — mohlo by dojít k zásadní zmˇ enˇ e smyslu komunikaˇ cních pravidel (napˇ r. povolení nežádoucí komunikace).
87
Kapitola 6 Komunikaˇ cní pravidla
2.
Je-li v definici služby použit inspekˇ cní modul pˇ ríslušného protokolu, pak se na komunikaci vyhovující tomuto pravidlu tento modul aplikuje. Pokud pravidlo platí pro všechny služby (tlaˇ cítko Libovolný), pak jsou automaticky aplikovány všechny odpovídající inspekˇ cní moduly. Chceme-li docílit toho, aby na urˇ citou komunikaci nebyl aplikován pˇ ríslušný inspekˇ cní modul, je tˇ reba definovat speciální pravidlo. Podrobné informace naleznete v kapitole 21.3. Poznámka: Akce Zp˚ usob, jak WinRoute obslouží komunikaci, která vyhoví podmínkám tohoto pravidla (podmínka je dána položkami Zdroj, Cíl a Služba). Možnosti jsou:
Obrázek 6.17
Komunikaˇ cní pravidlo — volba akce
• Povolit — firewall komunikaci propustí • Zakázat — firewall pošle klientovi (iniciátorovi komunikace) ˇ rídicí zprávu, že pˇ rístup na danou adresu ˇ ci port je zakázán. Výhodou tohoto zp˚ usobu je okamžitá reakce, klient se však dozví o tom, že je komunikace blokována firewallem. • Zahodit — firewall bude zahazovat veškeré pakety vyhovující danému pravidlu. Klientovi nebude poslána žádná ˇ rídicí zpráva a tuto situaci vyhodnotí jako sít’ovou chybu. Odezva klienta není v tomto pˇ rípadˇ e okamžitá (urˇ citou dobu ˇ ceká na odpovˇ ed’, poté se pˇ rípadnˇ e snaží navázat spojení znovu atd.), existence firewallu mu však z˚ ustane skryta. Poznámka: Na základˇ e výše popsaných skuteˇ cností doporuˇ cujeme pˇ ri omezování lokálních uživatel˚ u v pˇ rístupu na Internet používat volbu Zakázat, pˇ ri blokování pˇ rístupu z Internetu naopak volbu Zahodit. Zaznamenat O komunikaci, která vyhovˇ ela tomuto pravidlu, lze provést záznam následujícím zp˚ usobem:
88
6.2. Definice vlastních komunikaˇ cních pravidel
Obrázek 6.18
Komunikaˇ cní pravidlo — záznam paket˚ u a/nebo spojení
• Zaznamenat odpovídající pakety — veškeré pakety, které vyhoví tomuto pravidlu (propuštˇ ené, odmítnuté ˇ ci zahozené — v závislosti na typu akce v pravidle) budou zaznamenány do záznamu Filter. • Zaznamenat odpovídající spojení — všechna spojení vyhovující tomuto pravidlu budou zaznamenána do záznamu Connection (pouze v pˇ rípadˇ e povolujícího pravidla). Jednotlivé pakety v rámci tˇ echto spojení se již nezaznamenávají. Poznámka: U zakazujících a zahazujících pravidel nelze zaznamenávat spojení. Pˇ reklad Zp˚ usob pˇ rekladu zdrojové nebo cílové IP adresy (pˇ rípadnˇ e obou). Pˇ reklad zdrojové adresy (NAT — Network Address Translation) se též nazývá maskování IP adresy nebo sdílení internetového pˇ ripojení. V paketech jdoucích z lokální sítˇ e do Internetu se zdrojová (privátní) IP adresa nahrazuje adresou rozhraní pˇ ripojeného do Internetu. Celá lokální sít’ má tak transparentní pˇ rístup do Internetu, ale navenek se jeví jako jeden poˇ cítaˇ c. Pˇ reklad zdrojové adresy se definuje následujícím zp˚ usobem:
• Nepˇ rekládat — zdrojová adresa z˚ ustává nezmˇ enˇ ena. Toto je výchozí volba a v komunikaˇ cních pravidlech se nezobrazuje (pro pˇ rehlednost). • Pˇ rekládat na adresu výstupního rozhraní — v tomto pˇ rípadˇ e WinRoute automaticky detekuje výstupní rozhraní podle cílové IP adresy v paketu.
89
Kapitola 6 Komunikaˇ cní pravidla
• Pˇ rekládat na adresu rozhraní — výbˇ er rozhraní, na jehož primární adresu bude zdrojová IP adresa paketu pˇ rekládána. Tato volba je vhodná všude tam, kde se m˚ uže výstupní rozhraní mˇ enit (napˇ r. více vytᡠcených linek). • Pˇ rekládat na tuto IP adresu — zde lze zadat konkrétní IP adresu, na niž má být zdrojová adresa pˇ rekládána (napˇ r. sekundární adresu rozhraní pˇ ripojeného do Internetu). Pokud znáte pouze DNS jméno poˇ cítaˇ ce, lze použít tlaˇ cítko Pˇ revést, které pˇ revede DNS jméno na IP adresu. Upozornˇ ení: Je tˇ reba uvést IP adresu, která je pˇ riˇ razena nˇ ekterému rozhraní poˇ cítaˇ ce s WinRoute! Pˇ reklad cílové adresy (též mapování port˚ u) slouží ke zpˇ rístupnˇ ení služby bˇ ežící na poˇ cítaˇ ci v privátní lokální síti zvenˇ cí. Pokud pˇ ríchozí paket vyhovuje daným podmínkám, je cílová adresa zamˇ enˇ ena a paket smˇ erován na pˇ ríslušný poˇ cítaˇ c. Tímto zp˚ usobem bude služba „pˇ renesena“ na vnˇ ejší rozhraní poˇ cítaˇ ce s WinRoute (resp. na IP adresu, z níž je mapována). Z pohledu klienta v Internetu služba bˇ eží na IP adrese, ze které je mapována (tzn. obvykle na vnˇ ejší adrese firewallu). Nastavení pˇ rekladu cílové adresy (mapování port˚ u):
Obrázek 6.20
Komunikaˇ cní pravidlo — pˇ reklad cílové adresy
• Nepˇ rekládat — cílová adresa z˚ ustane nezmˇ enˇ ena. • Pˇ rekládat na — IP adresa, na níž má být cílová adresa paketu zmˇ enˇ ena. Tato adresa je zároveˇ n adresou poˇ cítaˇ ce, kde daná služba skuteˇ cnˇ e bˇ eží. Do položky Pˇ rekládat na lze rovnˇ ež uvést DNS jméno cílového poˇ cítaˇ ce. V tom pˇ rípadˇ e zjistí WinRoute pˇ ríslušnou IP adresu DNS dotazem. Upozornˇ ení: Nedoporuˇ cujeme zadávat jména poˇ cítaˇ cu ˚, pro které neexistuje záznam v lokální DNS. Do zjištˇ ení odpovídající IP adresy je totiž pˇ ríslušné pravidlo neaktivní, což m˚ uže mít za následek doˇ casnou nefunkˇ cnost mapované služby. • Pˇ rekládat port na — pˇ ri zámˇ enˇ e cílové adresy m˚ uže být zamˇ enˇ en i port dané služby. Služba tedy m˚ uže fyzicky bˇ ežet na jiném portu, než ze kterého je mapována. Poznámka: Tuto volbu je možné použít jen v pˇ rípadˇ e, je-li v položce Služba komunikaˇ cního pravidla uvedena pouze jedna služba a tato služba používá pouze jeden port nebo jeden rozsah port˚ u.
90
6.2. Definice vlastních komunikaˇ cních pravidel
Následující dva sloupce jsou ve výchozím nastavení okna Komunikaˇ cní pravidla skryté: Platí v ˇ Casový interval, ve kterém má pravidlo platit. Mimo tento ˇ casový interval se WinRoute chová tak, jako by pravidlo neexistovalo. Speciální volba vždy vypíná ˇ casové omezení pravidla (v oknˇ e Komunikaˇ cní pravidla se nezobrazuje). Inspekˇ cní modul Volba inspekˇ cního modulu, který má být aplikován na komunikaci vyhovující pravidlu. Možnosti jsou následující:
Obrázek 6.21
Komunikaˇ cní pravidlo — výbˇ er inspekˇ cního modulu
• Výchozí — na komunikaci vyhovující tomuto pravidlu budou aplikovány všechny potˇ rebné inspekˇ cní moduly, pˇ rípadnˇ e inspekˇ cní moduly služeb uvedených v položce Služba. • Žádný — nebude aplikován žádný inspekˇ cní modul (bez ohledu na to, jak jsou definovány služby použité v položce Služba). • Jiný — výbˇ er konkrétního inspekˇ cního modulu, který má být pro komunikaci popsanou tímto pravidlem použit (k dispozici jsou všechny inspekˇ cní moduly, které WinRoute obsahuje). Upozornˇ ení: Tuto volbu doporuˇ cujeme používat, pouze pokud komunikaˇ cní pravidlo popisuje protokol, pro který je inspekˇ cní modul urˇ cen. Použití nesprávného inspekˇ cního modulu m˚ uže zp˚ usobit nefunkˇ cnost dané služby.
91
Kapitola 6 Komunikaˇ cní pravidla
Poznámka: Je-li v definici pravidla použita konkrétní služba (viz položka Služba), doporuˇ cujeme v položce Inspekˇ cní modul ponechat volbu Výchozí (inspekˇ cní modul je již zahrnut v definici služby).
6.3 Základní typy komunikaˇ cních pravidel Komunikaˇ cní pravidla ve WinRoute nabízejí pomˇ ernˇ e široké možnosti filtrování sít’ového provozu a zpˇ rístupnˇ ení služeb. V této kapitole uvedeme pˇ ríklady komunikaˇ cních pravidel ˇ rešících standardní situace. Podle tˇ echto pˇ ríklad˚ u m˚ užete snadno vytvoˇ rit sadu pravidel pro vaši konkrétní sít’ovou konfiguraci.
Pˇ reklad IP adres Pˇ reklad IP adres (NAT) znamená zámˇ enu zdrojové (privátní) IP adresy v paketu jdoucím z lokální sítˇ e do Internetu za IP adresu vnˇ ejšího rozhraní poˇ cítaˇ ce s WinRoute. Pˇ ríslušné komunikaˇ cní pravidlo m˚ uže tedy vypadat následovnˇ e:
Obrázek 6.22
Typické komunikaˇ cní pravidlo pro pˇ reklad IP adres (sdílení internetového pˇ ripojení)
Zdroj Rozhraní, k nˇ emuž je pˇ ripojena lokální privátní sít’. Jestliže je lokální sít’ tvoˇ rena více segmenty, z nichž každý je pˇ ripojen k samostatnému rozhraní, uved’te do položky Zdroj všechna tato rozhraní. Je-li lokální sít’ tvoˇ rena kaskádními segmenty (tzn. obsahuje další routery), staˇ cí uvést pouze rozhraní, pˇ res které je sít’ pˇ ripojena k poˇ cítaˇ ci s WinRoute (není tˇ reba vyjmenovávat všechny subsítˇ e, které lokální sít’ obsahuje). Cíl Rozhraní pˇ ripojené do Internetu. Služba Tato položka m˚ uže být použita ke globálnímu omezení pˇ rístupu do Internetu. Budou-li v pravidle pro pˇ reklad IP adres uvedeny konkrétní služby, pak bude pˇ reklad fungovat pouze pro tyto služby a ostatní služby v Internetu budou z lokální sítˇ e nepˇ rístupné.
92
6.3. Základní typy komunikaˇ cních pravidel
Akce Musí být nastavena na Povolit (jinak by byla komunikace blokována a pˇ reklad adres by již nemˇ el žádný smysl). Pˇ reklad V sekci Pˇ reklad zdrojové adresy staˇ cí vybrat volbu Pˇ rekládat na adresu výstupního rozhraní (pro NAT se použije primární IP adresa rozhraní, pˇ res které paket odchází z poˇ cítaˇ ce s WinRoute). Má-li být pro pˇ reklad použita jiná IP adresa, použijte volbu Pˇ rekládat na tuto IP adresu, v níž uvedete požadovanou adresu. Zadaná IP adresa musí být jednou z adres pˇ riˇ razených výstupnímu rozhraní, jinak nebude pˇ reklad IP adres fungovat správnˇ e. Upozornˇ ení: V sekci Pˇ reklad cílové adresy by mˇ ela být nastavena volba Nepˇ rekládat, jinak není zaruˇ cena zamýšlená funkce pravidla. Kombinace pˇ rekladu zdrojové i cílové adresy má význam pouze ve speciálních pˇ rípadech. Umístˇ ení pravidla Pravidlo pro pˇ reklad zdrojových adres musí být umístˇ eno pod všemi pravidly, která omezují pˇ rístup z lokální sítˇ e do Internetu. Poznámka: Takto definované pravidlo povoluje pˇ rístup do Internetu z poˇ cítaˇ cu ˚ v lokální síti, nikoliv však ze samotného firewallu (tj. poˇ cítaˇ ce, na nˇ emž je WinRoute nainstalován)! Komunikace mezi firewallem a Internetem musí být explixitnˇ e povolena samostatným pravidlem. Protože má poˇ cítaˇ c s WinRoute pˇ rímý pˇ rístup do Internetu, není tˇ reba použít funkci pˇ rekladu adres.
Obrázek 6.23
Pravidlo pro komunikaci firewallu s poˇ cítaˇ ci v Internetu
Zpˇ rístupnˇ ení služby (mapování port˚ u) Mapování port˚ u zpˇ rístupˇ nuje z Internetu službu bˇ ežící na poˇ cítaˇ ci v lokální (zpravidla privátní) síti. Z pohledu klienta v Internetu tato služba bˇ eží na vnˇ ejší (veˇ rejné) IP adrese poˇ cítaˇ ce s WinRoute. Komunikaˇ cní pravidlo tedy musí být definováno následovnˇ e:
Obrázek 6.24
Komunikaˇ cní pravidlo pro zpˇ rístupnˇ ení lokálního WWW serveru z Internetu
93
Kapitola 6 Komunikaˇ cní pravidla
Zdroj Rozhraní pˇ ripojené do Internetu (pˇ res toto rozhraní budou pˇ richázet požadavky klient˚ u z Internetu). Cíl Poˇ cítaˇ c s WinRoute, tj. speciální rozhraní Firewall. Takto bude služba pˇ rístupná na všech adresách rozhraní pˇ ripojeného do Internetu. Chcete-li službu zpˇ rístupnit na konkrétní IP adrese, použijte volbu Poˇ cítaˇ c a zadejte požadovanou IP adresu. Služba Služby, které mají být zpˇ rístupnˇ eny. Službu lze vybrat ze seznamu pˇ reddefinovaných služeb (viz kapitola 11.3) nebo zadat pˇ rímo protokolem a ˇ císlem portu. V tomto poli mohou být uvedeny všechny služby, které bˇ eží na jednom poˇ cítaˇ ci. Pro zpˇ rístupnˇ ení služeb z jiného poˇ cítaˇ ce je tˇ reba vytvoˇ rit nové komunikaˇ cní pravidlo. Akce Musí být nastavena na Povolit (jinak by byla komunikace blokována a mapování port˚ u by nemˇ elo žádný smysl). Pˇ reklad V sekci Pˇ reklad cílové adresy (mapování port˚ u) zvolte Pˇ rekládat na tuto IP adresu a uved’te IP adresu poˇ cítaˇ ce v lokální síti, kde služba bˇ eží. Volbou Pˇ rekládat port na je možné mapovat službu na jiný port, než na kterém je služba pˇ rístupná zvenˇ cí. Upozornˇ ení: V sekci Pˇ reklad zdrojové adresy musí být nastavena volba Nepˇ rekládat! Kombinace pˇ rekladu zdrojové i cílové adresy má význam pouze ve speciálních pˇ rípadech. Poznámka: Pro správnou funkci mapování port˚ u je nutné, aby poˇ cítaˇ c, na nˇ emž mapovaná služba bˇ eží, mˇ el nastavenu výchozí bránu na poˇ cítaˇ c s WinRoute. Bez splnˇ ení této podmínky nebude mapování fungovat. Umístˇ ení pravidla Pravidla pro mapování služeb jsou ve vˇ etšinˇ e pˇ rípad˚ u nezávislá na pravidlech pro pˇ reklad adres ˇ ci omezení pˇ rístupu do Internetu i na sobˇ e navzájem. Pro vˇ etší pˇ rehlednost doporuˇ cujeme umist’ovat všechna tato pravidla bud’ na zaˇ cátek, nebo na konec seznamu. Existují-li pravidla omezující pˇ rístup k mapovaným službám, musí být vlastní pravidla pro mapování umístˇ ena pod tˇ emito pravidly.
94
6.3. Základní typy komunikaˇ cních pravidel
Zpˇ rístupnˇ ení služeb na r˚ uzných IP adresách (multihoming) Multihoming je oznaˇ cení pro situaci, kdy má sít’ové rozhraní pˇ ripojené do Internetu pˇ riˇ razeno více veˇ rejných IP adres. Typickým požadavkem je, aby na tˇ echto adresách byly nezávisle zpˇ rístupnˇ eny r˚ uzné služby. Pˇ ríklad: V lokální síti bˇ eží WWW server web1 na poˇ cítaˇ ci s IP adresou 192.168.1.100 a WWW server web2 s IP adresou 192.168.1.200. Rozhraní pˇ ripojené do Internetu má pˇ riˇ razeny veˇ rejné IP adresy 63.157.211.10 a 63.157.211.11. Server web1 má být z Internetu dostupný na IP adrese 63.157.211.10, server web2 na IP adrese 63.157.211.11. Pro splnˇ ení tˇ echto požadavk˚ u definujeme ve WinRoute dvˇ e komunikaˇ cní pravidla:
Obrázek 6.25
Multihoming — mapování WWW server˚ u
Zdroj Rozhraní pˇ ripojené do Internetu (pˇ res toto rozhraní budou pˇ richázet požadavky klient˚ u z Internetu). Cíl Pˇ ríslušná IP adresa rozhraní pˇ ripojeného do Internetu (pro zadání jedné IP adresy slouží volba Poˇ cítaˇ c ). Služba Služba, která má být zpˇ rístupnˇ ena (v pˇ rípadˇ e WWW serveru služba HTTP). Akce Musí být nastavena na Povolit (jinak by byla komunikace blokována a mapování port˚ u by nemˇ elo žádný smysl). Pˇ reklad V sekci Pˇ reklad cílové adresy (mapování port˚ u) zvolíme Pˇ rekládat na tuto IP adresu a zadáme IP adresu odpovídajícího WWW serveru (web1, resp. web2).
Omezení pˇ rístupu do Internetu Velmi ˇ castým požadavkem je omezit pˇ rístup uživatel˚ u z lokální sítˇ e ke službám v Internetu. Omezení lze provést nˇ ekolika zp˚ usoby. V níže uvedených pˇ ríkladech omezení zajišt’uje pˇ rímo pravidlo pro pˇ reklad IP adres, a to specifikací podmínky, kdy má být pˇ reklad provádˇ en. Není tˇ reba definovat žádné další pravidlo — implicitní pravidlo bude blokovat veškerou komunikaci, která tˇ emto podmínkám nevyhoví.
95
Kapitola 6 Komunikaˇ cní pravidla
Další zp˚ usoby omezování pˇ rístupu budou zmínˇ eny v sekci Výjimky (viz níže). Poznámka: Pravidla uvedená v tˇ echto pˇ ríkladech mohou být také použita, jestliže je WinRoute nasazen jako tzv. neutrální smˇ erovaˇ c (tj. smˇ erovaˇ c bez pˇ rekladu IP adres) — pouze v položce Pˇ reklad nebude žádný pˇ reklad definován. 1.
Povolení pˇ rístupu pouze k vybraným službám. V pravidle pro pˇ reklad IP adres uvedeme v položce Služba pouze služby, které mají být povoleny.
Obrázek 6.26
2.
Sdílení internetového pˇ ripojení — povolení pˇ rístupu pouze k vybraným službám
Omezení dle IP adres. Pˇ rístup k urˇ citým službám (pˇ rípadnˇ e kompletní pˇ rístup do Internetu) bude povolen pouze z vybraných poˇ cítaˇ cu ˚. V položce Zdroj definovaného pravidla uvedeme skupinu IP adres, ze kterých bude pˇ rístup do Internetu povolen. Tuto skupinu je tˇ reba nejprve definovat v sekci Konfigurace / Definice / Skupiny (viz kapitola 12.5).
Obrázek 6.27
Povolení pˇ rístupu do Internetu pouze pro vybranou skupinu IP adres
Poznámka: Definice pravidel tohoto typu je vhodná pouze v pˇ rípadˇ e, že každý uživatel má sv˚ uj vlastní poˇ cítaˇ c (uživatelé se u poˇ cítaˇ cu ˚ nestˇ rídají) a poˇ cítaˇ ce mají pˇ riˇ razeny statické IP adresy. 3.
Omezení dle uživatel˚ u. V tomto pˇ rípadˇ e firewall kontroluje, zda z poˇ cítaˇ ce, odkud komunikace pˇ richází, je pˇ rihlášen urˇ citý uživatel. Podle toho komunikaci povolí ˇ ci zakáže.
Obrázek 6.28
rístupu do Internetu pouze vybrané skupinˇ e uživatel˚ u Povolení pˇ
96
6.3. Základní typy komunikaˇ cních pravidel
Nejjednodušší variantou tohoto omezení je pravidlo povolující pˇ rístup do Internetu pouze pˇ rihlášeným uživatel˚ um. Internet tak bude dostupný všem uživatel˚ um, kteˇ rí mají ve WinRoute uživatelský úˇ cet. Správce firewallu tak má detailní pˇ rehled o tom, kam kteˇ rí uživatelé pˇ ristupují a jaké služby využívají (anonymní pˇ rístup není možný).
Obrázek 6.29
Povolení pˇ rístupu do Internetu pouze ovˇ eˇ reným uživatel˚ um
Poznámka: Detailní informace o pˇ rihlašování uživatel˚ u k firewallu naleznete v kapitole 7.1. Výše uvedená pravidla lze také r˚ uzným zp˚ usobem kombinovat — napˇ r. povolit skupinˇ e uživatel˚ u pˇ rístup do Internetu pouze k vybraným službám.
Výjimky Pˇ ri omezování pˇ rístupu do Internetu m˚ uže vzniknout požadavek, aby k urˇ cité službˇ e byl povolen pˇ rístup pouze vybrané skupinˇ e uživatel˚ uˇ ci IP adres. Všem ostatním uživatel˚ um (resp. ze všech ostatních IP adres) má být pˇ rístup k této službˇ e zakázán. Jako pˇ ríklad uvedeme povolení pˇ rístupu na servery v Internetu pomocí služby Telnet skupinˇ e uživatel˚ u. Pro splnˇ ení tohoto požadavku definujeme dvˇ e pravidla: • První pravidlo povolí službu Telnet vybrané skupinˇ e uživatel˚ u (resp. skupinˇ e IP adres apod.). • Druhé pravidlo zakáže pˇ rístup k této službˇ e všem ostatním uživatel˚ um.
Obrázek 6.30
Výjimka — povolení služby Telnet pouze vybrané skupinˇ e uživatel˚ u
97
Kapitola 7
Ovˇ eˇ rování uživatel˚ u
WinRoute umožˇ nuje kontrolu pˇ rístupu (filtrování paket˚ u/spojení, WWW stránek a FTP objekt˚ u a pˇ ríkaz˚ u) také na základˇ e uživatel˚ u a/nebo skupin. Uživatelské jméno ve filtrovacím pravidle má význam IP adresy poˇ cítaˇ ce, z nˇ ehož je tento uživatel pˇ rihlášen (resp. všech poˇ cítaˇ cu ˚, z nichž je v daném okamžiku pˇ rihlášen). Analogicky skupina uživatel˚ u má význam IP adres všech poˇ cítaˇ cu ˚, ze kterých jsou právˇ e pˇ rihlášeni ˇ clenové této skupiny. Kromˇ e omezování pˇ rístupu lze pˇ rihlašování uživatel˚ u využít také pro sledování jejich aktivit v záznamech (viz kapitola 18), pˇ rehledu otevˇ rených spojení (viz kapitola 16.2) a pˇ rehledu poˇ cítaˇ cu ˚ a uživatel˚ u (viz kapitola 16.1). Není-li z urˇ citého poˇ cítaˇ ce pˇ rihlášen žádný uživatel, objeví se v záznamech a pˇ rehledech pouze IP adresa tohoto poˇ cítaˇ ce.
7.1 Ovˇ eˇ rování uživatel˚ u na firewallu Ovˇ eˇ rit na firewallu se m˚ uže každý uživatel, který má ve WinRoute vytvoˇ ren uživatelský úˇ cet (bez ohledu na pˇ rístupová práva). Uživatel se m˚ uže k firewallu pˇ rihlásit tˇ emito zp˚ usoby: • ruˇ cnˇ e — ve svém prohlížeˇ ci otevˇ re pˇ rihlašovací stránku WWW rozhraní http://server:4080/fw/login (jméno serveru a ˇ císlo portu jsou pouze ilustrativní — viz kapitola 10). • pˇ resmˇ erováním — pˇ rístupem na WWW stránku (pokud není na tuto stránku explicitnˇ e povolen pˇ rístup nepˇ rihlášeným uživatel˚ um — viz kapitola 8.1). • prostˇ rednictvím NTLM — je-li použit prohlížeˇ c Microsoft Internet Explorer nebo Netscape/Mozilla/Firefox a uživatel se ovˇ eˇ ruje ve Windows NT nebo Active Directory doménˇ e, pak m˚ uže být ovˇ eˇ ren zcela automaticky (pˇ rihlašovací stránka se v˚ ubec nezobrazí). Podrobnosti viz kapitola 21.2.
98
7.1. Ovˇ eˇ rování uživatel˚ u na firewallu
• automaticky — každému uživateli mohou být pˇ riˇ razeny IP adresy poˇ cítaˇ cu ˚, ze kterých bude automaticky ovˇ eˇ rován. V praxi to znamená, že pˇ ri zachycení komunikace z pˇ ríslušného poˇ cítaˇ ce WinRoute pˇ redpokládá, že na nˇ em pracuje odpovídající uživatel, a považuje jej za pˇ rihlášeného z této IP adresy. Uživatel se samozˇ rejmˇ e m˚ uže pˇ rihlásit i z jiných poˇ cítaˇ cu ˚ (nˇ ekterou z výše uvedených metod). IP adresy pro automatické ovˇ eˇ rování lze nastavit v definici uživatelského úˇ ctu (viz kapitola 12.1). Poznámka: Tento zp˚ usob ovˇ eˇ rování není vhodný pro pˇ rípady, kdy na jednom poˇ cítaˇ ci pracují stˇ rídavˇ e r˚ uzní uživatelé (mohlo by snadno dojít ke zneužití identity automaticky pˇ rihlášeného uživatele). Pˇ rihlášení pˇ resmˇ erováním probíhá následovnˇ e: uživatel zadá do prohlížeˇ ce adresu stránky, kterou chce navštívit. WinRoute zjistí, že uživatel dosud není pˇ rihlášen, a automaticky jej pˇ resmˇ eruje na pˇ rihlašovací stránku. Po úspˇ ešném pˇ rihlášení je uživatel ihned pˇ resmˇ erován na požadovanou stránku nebo se zobrazí stránka s informací, že na tuto stránku má pˇ rístup zakázán. Poznámka: Pokud je v parametrech WWW rozhraní nastavena volba Nepoužívat WWW rozhraní zabezpeˇ cené SSL (viz kapitola ), pak jsou uživatelé automaticky pˇ resmˇ erováváni na nezabezpeˇ cenou pˇ rihlašovací stránku, v ostatních pˇ rípadech na zabezpeˇ cenou.
Upˇ resˇ nující parametry pro ovˇ eˇ rování uživatel˚ u V sekci Uživatelé a skupiny / Uživatelé, záložka Volby pro ovˇ eˇ rování , lze nastavit parametry pro pˇ rihlašování a odhlašování uživatel˚ u na/z firewall.
Obrázek 7.1
Volby pro ovˇ eˇ rování oživatel˚ u na firewallu
99
Kapitola 7 Ovˇ eˇ rování uživatel˚ u
Pˇ resmˇ erování na pˇ rihlašovací stránku Po zapnutí volby Pˇ ri pˇ rístupu na WWW stránky vždy vyžadovat... bude vyžadováno ovˇ eˇ rení uživatele pˇ ri pˇ rístupu na libovolnou WWW stránku, tzn. není-li uživatel dosud pˇ rihlášen, bude automaticky pˇ resmˇ erován na pˇ rihlašovací stránku (viz kapitola 10.2) a po úspˇ ešném pˇ rihlášení na požadovanou stránku. Bude-li tato volba vypnuta, pak bude ovˇ eˇ rení uživatele vyžadováno pouze pˇ ri pˇ rístupu na WWW stránky, na které není pravidly pro URL povolen pˇ rístup nepˇ rihlášeným uživatel˚ um (viz kapitola 8.1). Poznámka: Ovˇ eˇ rení uživatele má význam nejen pro ˇ rízení pˇ rístupu na WWW stránky (pˇ rípadnˇ e k dalším službám), ale také pro sledování aktivit jednotlivých uživatel˚ u — využívání Internetu není anonymní. Automatické ovˇ eˇ rování (NTLM) Je-li zapnuta volba Povolit WWW prohlížeˇ cu ˚ m..., pak pˇ ri použití prohlížeˇ ce Microsoft Internet Explorer (verze 5.01 a vyšší) nebo Netscape/Mozilla/Firefox (verze jádra 1.3 a vyšší), pak m˚ uže být uživatel ovˇ eˇ rován na firewallu automaticky (metodou NTLM). Podrobnosti naleznete v kapitole 21.2. Automatické odhlášení uživatele pˇ ri neˇ cinnosti ˇ V položce Casový limit lze nastavit dobu (v minutách), po níž dojde k automatickému odhlášení uživatele od firewallu, jestliže z jeho poˇ cítaˇ ce není zaznamenána žádná komunikace. Výchozí hodnota je 120 minut (2 hodiny). Tato situace nastává zpravidla v pˇ rípadech, kdy se uživatel zapomene od firewallu odhlásit, a proto nedoporuˇ cujeme tuto volbu vypínat — mohlo by totiž dojít k tomu, že získaná pˇ rístupová práva budou zneužita jiným uživatelem (pˇ riˇ cemž bude ve všech záznamech figurovat jméno uživatele, který se zapomnˇ el odhlásit).
100
Kapitola 8
Filtrování protokol˚ u HTTP a FTP
WinRoute poskytuje velmi rozsáhlé možnosti filtrování komunikace protokoly HTTP a FTP. Tyto protokoly patˇ rí k nejrozšíˇ renˇ ejším a nejpoužívanˇ ejším protokol˚ um v Internetu. Mezi hlavní d˚ uvody filtrování obsahu HTTP a FTP patˇ rí: • zamezit uživatel˚ um v pˇ rístupu na nevhodné WWW stránky (napˇ r. stránky, které nesouvisejí s pracovní náplní zamˇ estnanc˚ u firmy) • zamezit pˇ renosu urˇ citých typ˚ u soubor˚ u (napˇ r. nelegální obsah) • zabránit ˇ ci omezit šíˇ rení vir˚ u, ˇ cerv˚ u a trojských koní Podívejme se podrobnˇ eji na možnosti filtrování, které WinRoute nabízí. Jejich podrobný popis najdete v následujících kapitolách. Protokol HTTP — filtrování WWW stránek: • omezování pˇ rístupu podle URL (resp. podˇ retˇ ezce obsaženého v URL) • blokování urˇ citých prvk˚ u HTML (napˇ r. skripty, objekty ActiveX apod.) • filtrování na základˇ e ohodnocení modulem ISS OrangeWeb Filter (celosvˇ etová databáze klasifikací WWW stránek) • omezování pˇ rístupu na stránky obsahující urˇ citá slova • antivirová kontrola stahovaných objekt˚ u Protokol FTP — kontrola pˇ rístupu na FTP servery: • úplný zákaz pˇ rístupu na zadané FTP servery • omezení podle jména souboru • omezení pˇ renosu soubor˚ u na jeden smˇ er (napˇ r. pouze download) • blokování urˇ citých pˇ ríkaz˚ u protokolu FTP • antivirová kontrola pˇ renášených soubor˚ u
101
Kapitola 8 Filtrování protokol˚ u HTTP a FTP
Kdy filtrování obsahu funguje? Pro ˇ cinnost výše popsaného filtrování obsahu musí být splnˇ eny tyto základní podmínky: 1.
Komunikace musí být obsluhována pˇ ríslušným inspekˇ cním modulem. Potˇ rebný inspekˇ cní modul je aktivován automaticky, pokud není komunikaˇ cními pravidly explicitnˇ e urˇ ceno, že nemá být pro danou komunikaci použit. Podrobnosti najdete v kapitole 6.2.
2.
Spojení nesmí být šifrováno. Komunikaci zabezpeˇ cenou SSL (tj. protokoly HTTPS a FTPS) není možné sledovat. V tomto pˇ rípadˇ e lze pouze blokovat pˇ rístup na konkrétní servery komunikaˇ cními pravidly (viz kapitola 6.2). Pˇ ri použití proxy serveru (viz kapitola 5.5) je možné filtrovat také HTTPS servery (pˇ ríklad: https://www.kerio.cz/). Jednotlivé objekty na tˇ echto serverech však již filtrovat nelze.
3.
Protokol FTP nelze filtrovat pˇ ri použití zabezpeˇ ceného pˇ rihlášení (SASO).
Poznámka: WinRoute nabízí pouze nástroje pro filtrování a omezování pˇ rístupu. Rozhodnutí, jaké WWW stránky a typy soubor˚ u mají být blokovány, musí uˇ cinit správce WinRoute (pˇ rípadnˇ e jiná kompetentní osoba).
8.1 Pravidla pro URL Pravidla pro URL umožˇ nují ˇ rídit pˇ rístup uživatel˚ u k WWW stránkám, jejichž URL vyhovují urˇ citým kritériím. Doplˇ nkovými funkcemi je filtrování stránek dle výskytu zakázaných slov, specifické blokování prvk˚ u WWW stránek (skripty, aktivní objekty atd.) a možnost vypnutí antivirové kontroly pro urˇ cité stránky. K definici pravidel pro URL slouží stejnojmenná záložka v sekci Konfigurace / Filtrování obsahu / Pravidla pro HTTP.
Obrázek 8.1
Pravidla pro URL
102
8.1. Pravidla pro URL
Pravidla v této sekci jsou vždy procházena shora dol˚ u (poˇ radí lze upravit tlaˇ cítky se šipkami na pravé stranˇ e okna). Vyhodnocování se zastaví na prvním pravidle, kterému dané URL vyhoví. Pokud URL nevyhoví žádnému pravidlu, je pˇ rístup na stránku povolen (implicitnˇ e vše povoleno). Poznámka: Pˇ rístup k URL, pro které neexistuje odpovídající pravidlo, je povolen všem pˇ rihlášeným uživatel˚ um (implicitnˇ e vše povoleno). Chceme-li povolit pˇ rístup pouze k omezené skupinˇ e stránek a všechny ostatní stránky blokovat, je tˇ reba na konec seznamu umístit pravidlo zakazující pˇ rístup k libovolnému URL. V záložce Pravidla pro URL mohou být zobrazeny tyto sloupce: • Popis — textový popis pravidla (pro zvýšení pˇ rehlednosti). Zaškrtávací pole vlevo od popisu pravidla umožˇ nuje pravidlo „zapnout“ a „vypnout“ (napˇ r. v pˇ rípadˇ e, kdy má být pravidlo doˇ casnˇ e vyˇ razeno). • Akce — akce, která bude provedena pˇ ri splnˇ ení podmínek tohoto pravidla (Povolit — povolit pˇ rístup na stránku, Zakázat — zakázat pˇ rístup na stránku a zobrazit informaci o zákazu, Zahodit — zakázat pˇ rístup na stránku a zobrazit prázdnou stránku, Pˇ resmˇ erovat — pˇ resmˇ erovat na stránku uvedenou v pravidle). • Podmínka — podmínka, za které pravidlo platí (URL vyhovuje urˇ citým kritériím, stránka je klasifikována modulem ISS OrangeWeb Filter do urˇ cité kategorie atd.). • Vlastnosti — upˇ resˇ nující volby v pravidle (napˇ r. antivirová kontrola, filtrování zakázaných slov atd.). Následující sloupce jsou ve výchozím nastavení skryty. Zobrazit je lze pomocí funkce Nastavit sloupce v kontextovém menu — podrobnosti viz kapitola 3.2. • Skupina IP adres — skupina IP adres, pro kterou pravidlo platí. Jedná se o IP adresy klient˚ u (tj. pracovních stanic uživatel˚ u, kteˇ rí pˇ res WinRoute pˇ ristupují k WWW stránkám). ˇ • Casová platnost — ˇ casový interval, ve kterém pravidlo platí. • Seznam uživatel˚ u — výˇ cet uživatel˚ u a skupin uživatel˚ u, na které se pravidlo vztahuje. Poznámka: Výchozí instalace WinRoute obsahuje nˇ ekolik pˇ reddefinovaných pravidel pro URL. Tato pravidla jsou ve výchozím nastavení „vypnuta“. Správce WinRoute je m˚ uže použít, pˇ rípadnˇ e upravit dle vlastního uvážení.
103
Kapitola 8 Filtrování protokol˚ u HTTP a FTP
Definice pravidel pro URL Chceme-li pˇ ridat nové pravidlo, oznaˇ címe v tabulce pravidlo, pod které má být nové pravidlo vloženo, a stiskneme tlaˇ cítko Pˇ ridat. Šipkovými tlaˇ cítky na pravé stranˇ e okna lze poˇ radí pravidel dodateˇ cnˇ e upravit. Dialog pro definici nového pravidla:
Obrázek 8.2
Pravidlo pro URL — základní parametry
104
8.1. Pravidla pro URL
Záložka Obecné slouží k nastavení základních podmínek pravidla a akcí, které mají být pˇ ri splnˇ ení tˇ echto podmínek provedeny. Popis Slovní popis funkce pravidla (pro snazší orientaci správce WinRoute). Jestliže k tomuto URL pˇ ristupuje Volba, pro které uživatele bude toto pravidlo platit: • libovolný uživatel — pro všechny uživatele pˇ rihlášené k firewallu. Zapnutím volby nevyžadovat ovˇ eˇ rení bude pravidlo platit také pro uživatele, kteˇ rí nejsou k firewallu pˇ rihlášeni (anonymní uživatele). Poznámky: 1. Velmi ˇ castým požadavkem je, aby firewall vyžadoval ovˇ eˇ rení uživatel˚ u pˇ ri pˇ rístupu na libovolnou WWW stránku. Toho lze docílit globálním nastavením v sekci Uživatelé, záložka Volby pro ovˇ eˇ rování (viz kapitola 12.1). S použitím volby nevyžadovat ovˇ eˇ rení m˚ užeme pak napˇ r. definovat pravidlo povolující pˇ rístup na urˇ cité stránky bez pˇ rihlášení. 2. Není-li ovˇ eˇ rení uživatel˚ u vyžadováno, pak nemá volba nevyžadovat ovˇ eˇ rení v pravidlech pro URL žádný úˇ cinek. • vybraní uživatelé — pro vybrané uživatele a/nebo skupiny uživatel˚ u. Tlaˇ cítko Nastavit otevírá dialog pro výbˇ er uživatel˚ u a skupin (pˇ ridržením kláves Ctrl a Shift m˚ užete vybrat více uživatel˚ u / skupin souˇ casnˇ e). Poznámka: Jméno uživatele má v pravidle význam IP adresy poˇ cítaˇ ce, ze kterého je uživatel v daném okamžiku pˇ rihlášen k firewallu (podrobnosti viz kapitola 7.1). A URL vyhovuje tˇ emto kritériím Specifikace URL (resp. množiny URL), pro které má toto pravidlo platit: • zaˇ cíná — v této položce m˚ uže být uvedeno kompletní URL (napˇ r. www.kerio.cz/index.html), podˇ retˇ ezec URL s použitím hvˇ ezdiˇ ckové konvence (napˇ r. *.ker?o.cz*) nebo jméno serveru (napˇ r. www.kerio.cz). Jméno serveru má význam libovolného URL na daném serveru (www.kerio.com/*). • patˇ rí do skupiny URL — výbˇ er skupiny URL (viz kapitola 11.4), které má URL vyhovovat • je kategorizováno modulem ISS OrangeWeb Filter — pravidlo bude platit pro všechny stránky, které modul ISS OrangeWeb Filter zaˇ radí do nˇ ekteré z vybraných kategorií. Tlaˇ cítko Vybrat hodnocení... otevírá dialog pro výbˇ er kategorií modulu ISS OrangeWeb Filter. Podrobnˇ ejší informace naleznete v kapitole 8.3.
105
Kapitola 8 Filtrování protokol˚ u HTTP a FTP
• libovolné URL, ve kterém je server zadán IP adresou — takto musí být zadáno URL stránky ˇ ci souboru na WWW serveru, který nemá záznam v DNS. Toto je charakteristické napˇ r. pro servery nabízející ke stažení soubory s nelegálním obsahem. Upozornˇ ení: Není-li zakázán pˇ rístup na servery zadané IP adresou, mohou takto uživatelé obcházet pravidla pro URL, ve kterých jsou servery uvádˇ eny jménem! Akce Volba akce, která bude provedena, jestliže jsou splnˇ eny podmínky pro uživatele a URL: • Povolit pˇ rístup na stránku • Zakázat pˇ rístup na stránku — požadovaná stránka bude blokována. Uživateli se zobrazí bud’ stránka s informací o zákazu, prázdná stránka nebo bude pˇ resmˇ erován na jinou stránku (dle nastavení v záložce Upˇ resnˇ ení — viz dále). Zaškrtnutím volby Zaznamenat budou všechny pˇ rístupy na stránky, které vyhovˇ ely tomuto pravidlu, zaznamenávány do záznamu Filter (viz kapitola 18.9). V záložce Upˇ resnˇ ení obsahuje další podmínky, za kterých má pravidlo platit, a volby pro zakázané stránky. Platí v ˇ casovém intervalu Výbˇ er ˇ casového intervalu platnosti pravidla (mimo tento interval je pravidlo neaktivní). Tlaˇ cítko Zmˇ enit otevírá dialog pro úpravu ˇ casových interval˚ u (podrobnosti viz kapitola 11.2).
106
8.1. Pravidla pro URL
Obrázek 8.3
Pravidlo pro URL — upˇ resˇ nující parametry
Platí pro skupinu IP adres Výbˇ er skupiny IP adres, pro kterou bude toto pravidlo platit (jedná se o zdrojové IP adresy, tedy adresy klient˚ u). Speciální volba Libovolná znamená, že pravidlo nebude závislé na IP adrese klienta. Tlaˇ cítko Zmˇ enit otevírá dialog pro úpravu skupin IP adres (podrobnosti viz kapitola 11.1).
107
Kapitola 8 Filtrování protokol˚ u HTTP a FTP
Platí pro MIME typ Omezení platnosti pravidla pouze na objekty urˇ citého MIME typu (napˇ r.: text/html — HTML dokumenty, image/jpeg — obrázky typu JPEG apod.). V této položce m˚ užete vybrat nˇ ekterý z pˇ reddefinovaných MIME typ˚ u nebo zadat vlastní. Pˇ ri definici MIME typu lze použít hvˇ ezdiˇ cku pro specifikaci libovolného subtypu (napˇ r. image/*). Samotná hvˇ ezdiˇ cka znamená libovolný MIME typ — pravidlo bude nezávislé na MIME typu objektu. Volby pro zákaz Upˇ resˇ nující nastavení pro zakázané stránky. Jestliže se uživatel pokusí otevˇ rít stránku, na kterou je tímto pravidlem zakázán pˇ rístup, pak WinRoute místo této stránky zobrazí: • stránku s informací o zakázaném pˇ rístupu — uživatel se dozví, že požadovaná stránka je blokována firewallem. Tato stránka m˚ uže být doplnˇ ena vysvˇ etlením zákazu (položka Text zákazu). Bude-li zaškrtnuta volba Uživatelé mohou toto pravidlo odemknout, pak se pˇ rihlášeným uživatel˚ um na stránce s informací o zákazu zobrazí tlaˇ cítko Odemknout. Stisknutím tohoto tlaˇ cítka si uživatel m˚ uže vynutit povolení pˇ rístupu na požadovanou stránku, pˇ restože jej pravidlo pro URL zakazuje. Odemknutí stránky je ˇ casovˇ e omezeno (standardnˇ e 10 minut). Každý uživatel m˚ uže odemknout jen omezený poˇ cet zakazujících pravidel (maximálnˇ e 10 pravidel souˇ casnˇ e). Všechny požadavky na odemknutí se zaznamenávají do záznamu Filter (viz kapitola 18.9). Poznámky: 1. Odemykat pravidla smˇ ejí pouze uživatelé, kteˇ rí jsou na firewallu pˇ rihlášeni. 2. Pˇ ri jakékoliv zmˇ enˇ e v pravidlech pro URL se všechna odemknutí ihned ruší. • prázdnou stránku — uživatel nezíská žádné informace o tom, proˇ c se požadovaná stránka nezobrazila (nedozví se ani o existenci WinRoute) • jinou stránku — prohlížeˇ c uživatele bude pˇ resmˇ erován na zadané URL. Tuto volbu lze využít napˇ r. pro definici vlastní stránky s informací o zakázaném pˇ rístupu. Záložka Pravidla pro obsah umožˇ nuje upˇ resnit globální pravidla pro WWW stránky. Parametry v této záložce lze nastavovat pouze v pˇ rípadˇ e, že se jedná o pravidlo povolující pˇ rístup (v záložce obecné je vybrána volba Povolit pˇ rístup na stránku). Volby pro kontrolu obsahu WWW V této sekci lze provést specifické nastavení filtrování objekt˚ u na WWW stránkách, které vyhovují tomuto pravidlu (podrobnosti viz kapitola 8.2). Specifické nastavení v pravidle pro URL má vyšší prioritu než nastavení v uživatelském úˇ ctu (viz rihlášené uživatele (viz kapitola 8.2). kapitola 12.1), resp. globální pravidla pro nepˇ
108
8.1. Pravidla pro URL
Obrázek 8.4
Volby pro obsah WWW stránek vyhovujících pravidlu pro URL
Pro každý typ objektu m˚ uže být nastavena jedna z následujících voleb: • Povolit — pˇ ríslušný objekt bude na stránce ponechán,
109
Kapitola 8 Filtrování protokol˚ u HTTP a FTP
• Zakázat — pˇ ríslušný objekt bude filtrován (odstranˇ en ze stránky), • Výchozí — pro pˇ ríslušný objekt budou platit globální pravidla nebo pravidla pro daného uživatele (tzn. toto pravidlo pro URL nebude ovlivˇ novat filtrování pˇ ríslušného objektu). Zamezit pˇ rístup na WWW stránky... Zapnutím této volby bude blokován pˇ rístup na WWW stránky, které vyhovují tomuto pravidlu a obsahují zakázaná slova definovaná v sekci Konfigurace / Filtrování obsahu / Pravidla pro HTTP, záložka Zakázaná slova. Podrobné informace o zakázaných slovech viz kapitola 8.4. Provádˇ et antivirovou kontrolu obsahu dle pravidel Po zaškrtnutí této volby bude provádˇ ena antivirová kontrola dle nastavení v sekci Konfigurace / Filtrování obsahu / Antivirus (viz kapitola 9.3).
Upˇ resˇ nující parametry pro inspekci protokolu HTTP Tlaˇ cítkem Upˇ resnˇ ení v záložce Pravidla pro HTTP se otevírá dialog pro nastavení parametr˚ u inspekˇ cního modulu protokolu HTTP.
Obrázek 8.5
Nastavení parametr˚ u inspekˇ cního modulu protokolu HTTP
110
8.2. Globální pravidla pro prvky WWW stránek
Volby Povolit záznam HTTP a Povolit záznam Web zapínají/vypínají zápis HTTP požadavk˚ u (resp. navštívených WWW stránek) do záznam˚ u HTTP (viz kapitola 18.10) a Web (viz kapitola 18.14). U položky Povolit záznam HTTP m˚ uže být vybrán i formát záznamu: záznam WWW serveru Apache (http://www.apache.org/) nebo záznam proxy serveru Squid (http://www.squid-cache.org/). Nastavení typu záznamu je d˚ uležité zejména v pˇ rípadˇ e, má-li být záznam zpracováván nˇ ejakým analytickým nástrojem. Ve výchozím nastavení jsou povoleny oba záznamy (HTTP i Web) a pro záznam HTTP je nastaven typ Apache, který je pro správce firewallu (ˇ clovˇ eka) ˇ citelnˇ ejší. Volba Použít filtrovací pravidla také pro lokální servery urˇ cuje, zda budou pravidla pro filtrování obsahu aplikována také na WWW servery v lokální síti, které jsou komunikaˇ cními pravidly (viz kapitola 6) zpˇ rístupnˇ eny z Internetu. Ve výchozím nastavení je tato volba vypnuta — inspekˇ cní modul kontroluje pouze syntaxi protokolu HTTP a provádí záznam požadavk˚ u (resp. WWW stránek) dle výše popsaných nastavení.
8.2 Globální pravidla pro prvky WWW stránek WinRoute umožˇ nuje blokovat urˇ cité nežádoucí prvky v HTML stránkách. Typickým pˇ ríkladem nežádoucích prvk˚ u jsou ActiveX objekty (bezpeˇ cnostní problémy v implementaci této technologie umožˇ nují napˇ r. spouštˇ ení aplikací na klientském poˇ cítaˇ ci) nebo tzv. pop-up okna (automatické otevírání nových oken prohlížeˇ ce, zpravidla pro zobrazování reklam). K nastavení globálního filtrování obsahu WWW stránek slouží sekce Konfigurace / Filtrování obsahu / Pravidla pro HTTP, záložka Pravidla pro obsah WWW stránek. Specifická nastavení pro konkrétní stránky lze definovat v pravidlech pro URL (viz kapitola 8.1). Nastavení v záložce Pravidla pro obsah WWW stránek platí pro HTTP komunikaci poˇ cítaˇ cu ˚, ze kterých není pˇ rihlášen žádný uživatel. Pro uživatele pˇ rihlášené k firewallu platí specifická nastavení. Každý pˇ rihlášený uživatel si m˚ uže nastavení filtrování upravit na stránce osobních preferencí WWW rozhraní WinRoute (viz kapitola 10.3). Nemá-li uživatel právo pˇ rejít pravidla pro obsah WWW stránek (viz kapitola 12.1), smí nastavení pouze zpˇ rísnit — nem˚ uže povolit HTML prvek, který je globálnˇ e zakázán. Povolit HTML ActiveX objekty Aktivní objekty na WWW stránkách. Tato volba povoluje/blokuje HTML tagy <embed> a
