Uživatelský manuál. Kerio Technologies

Uživatelský manuál

Kerio Technologies

C 1997-2004 Kerio Technologies. Všechna práva vyhrazena.

Datum vydání: 25. srpna 2004 Tento manuál popisuje produkt Kerio Personal Firewall ve verzi 4.1.0. Zmˇ eny vyhrazeny. Aktuální verzi produktu a manuálu naleznete na WWW stránkách http://www.kerio.cz/kpf. Tento produkt obsahuje následující knihovny volnˇ e šiˇ ritelné ve formˇ e zdrojových kód˚ u (open-source): libiconv Knihovna pro konverzi kódování znak˚ u s použitím konverze z/do Unicode. Copyright (c)1999-2003 Free Software Foundation, Inc. Autor: Bruno Haible ([email protected]) OpenSSL Implementace protokol˚ u Secure Sockets Layer (SSL v2/v3) a Transport Layer Security (TLS v1). Tento produkt obsahuje software vyvinutý sdružením OpenSSL Project pro použití v OpenSSL Toolkit (http://www.openssl.org/). zlib Všestrannˇ e použitelná knihovna pro kompresi a dekompresi dat. Copyright (c)1995-2003 Jean-Loup Gailly and Mark Adler.

Obsah

1

Úvod . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1 Kerio Personal Firewall 4.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2 Plná a volnˇ e šiˇ ritelná verze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3 Systémové požadavky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4 Konfliktní software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2

Instalace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 2.1 Instalace, upgrade a odinstalování . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 2.2 Poˇ cáteˇ cní konfigurace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 2.3 Kontrola nových verzí . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

3

Komponenty firewallu a základní ovládání . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.1 Komponenty aplikace Kerio Personal Firewall . . . . . . . . . . . . . . . . . . . . . . . . 3.2 Ikona na nástrojové lištˇ e ............................................ 3.3 Registrace produktu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.4 Pr˚ uvodce registrací produktu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

15 15 17 20 23

4

Chování firewallu a interakce s uživatelem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.1 Chování firewallu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.2 Dialog Upozornˇ ení na spojení (zachycení neznámé komunikace) . . . . . . 4.3 Dialog Spouštˇ ení/Zámˇ ena/Spouštˇ ení jiné aplikace . . . . . . . . . . . . . . . . . . . . 4.4 Upozornˇ ení na událost . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

27 27 27 31 34

5

Konfigurace firewallu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.1 Konfiguraˇ cní okno . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.2 Vzdálená správa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.3 Pˇ redvolby . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

37 37 40 43

6

Pravidla pro sít’ovou komunikaci . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1 Aplikace pravidel pro sít’ovou komunikaci . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.2 Pravidla pro aplikace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.3 Pˇ reddefinovaná pravidla pro sít’ovou komunikaci . . . . . . . . . . . . . . . . . . . . . 6.4 D˚ uvˇ eryhodná zóna . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.5 Pokroˇ cilá nastavení sít’ové bezpeˇ cnosti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.6 Nízkoúrovˇ nová ochrana poˇ cítaˇ ce . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.7 Detekce nových sít’ových rozhraní . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

47 47 48 53 55 57 58 59

3

5 5 7 8 8

Kontrola vytáˇ cených telefonních ˇ císel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

60

7

Rozšíˇ rený paketový filtr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.1 Pravidla paketového filtru . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.2 Skupiny IP adres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

63 63 71

8

Kontrola spouštˇ ených aplikací (bezpeˇ cnost systému) . . . . . . . . . . . . . . . . . . . . . 8.1 Pravidla pro aplikace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.2 Obecná pravidla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

75 75 77

9

Interní pravidla firewallu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.1 Interní pravidla pro sít’ovou komunikaci . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.2 Interní pravidla systémové bezpeˇ cnosti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.3 Pravidla pro komponenty antivirového systému AVG . . . . . . . . . . . . . . . . .

79 79 81 83

10

Detekce útok˚ u ........................................................... 10.1 Nastavení systému detekce útok˚ u ....................................

85 85

11

Filtrování obsahu WWW stránek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.1 Blokování reklam, skript˚ u a pop-up oken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2 Ochrana soukromí uživatele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.3 Výjimky pro jednotlivé WWW servery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

89 89 93 96

12

Stavové informace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 12.1 Pˇ rehled spojení a otevˇ rených port˚ u . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 12.2 Statistiky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101

13

Záznamy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.1 Prohlížení záznam˚ u ................................................ 13.2 Kontextové menu pro záznamy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.3 Volby pro záznamy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.4 Záznam Sít’ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.5 Záznam Systém . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.6 Záznam Útoky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.7 Záznam WWW . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.8 Záznamy Debug, Error a Warning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

14

Slovníˇ cek pojm˚ u . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

6.8

4

103 103 104 105 106 107 108 109 111

Kapitola 1

Úvod

1.1 Kerio Personal Firewall 4.1 Kerio Personal Firewall je aplikace urˇ cená k ochranˇ e osobního poˇ cítaˇ ce s operaˇ cním systémem Windows pˇ red útoky ze sítˇ e (typicky z Internetu), viry a únikem dat. Tyto bezpeˇ cnostní funkce zajišt’ují ˇ ctyˇ ri hlavní moduly: Sít’ová bezpeˇ cnost Tento modul sleduje veškerou sít’ovou (resp. TCP/IP) komunikaci poˇ cítaˇ ce, na kterém je Kerio Personal Firewall nainstalován. Pro sít’ovou komunikaci m˚ uže uživatel definovat dva typy pravidel: • pravidla pro aplikace — pro každou aplikaci lze povolit nebo zakázat sít’ovou komunikaci, pˇ rípadnˇ e nastavit, aby se Kerio Personal Firewall dotázal uživatele. • pravidla paketového filtru — zkušenˇ ejší uživatelé mohou definovat detailní pravidla pro sít’ovou komunikaci (specifikace IP adres, protokol˚ u, port˚ u atd.). Tato pravidla mohou platit pro konkrétní aplikaci nebo obecnˇ e (pro libovolnou aplikaci). Kerio Personal Firewall obsahuje také sadu pˇ reddefinovaných pravidel pro sít’ovou komunikaci (napˇ r. pro DNS, DHCP apod.). Tato pravidla jsou oddˇ elená od uživatelsky definovaných pravidel a lze je jednoduše aktivovat ˇ ci vyˇ radit. Jestliže Kerio Personal Firewall zachytí komunikaci, pro kterou neexistuje odpovídající pravidlo, dotáže se uživatele, zda tuto komunikaci povolí ˇ ci zakáže. Na základˇ e odpovˇ edi uživatele m˚ uže být automaticky vytvoˇ reno pravidlo pro aplikaci nebo pravidlo paketového filtru. Bezpeˇ cnost systému Modul Bezpeˇ cnost systému kontroluje spouštˇ ení aplikací v operaˇ cním systému. Sledovány jsou tˇ ri typy událostí: • spuštˇ ení aplikace • zmˇ ena ve spustitelném souboru aplikace od posledního spuštˇ ení (zámˇ ena aplikace) • spuštˇ ení jiné aplikace bˇ ežící aplikací

5

Kapitola 1 Úvod

Podobnˇ e jako v pˇ rípadˇ e sít’ové komunikace lze definovat pravidla pro jednotlivé aplikace, která pˇ ríslušnou akci povolují nebo zakazují, pˇ rípadnˇ e vyžadují reakci uživatele. Pokud neexistuje odpovídající pravidlo, Kerio Personal Firewall se dotáže uživatele, zda spuštˇ ení aplikace povolí ˇ ci zakáže. Poznámka: Kerio Personal Firewall 4.x (narozdíl od starších verzí) kontroluje spouštˇ ení všech aplikací, bez ohledu na to, zda se úˇ castní sít’ové komunikace. V pˇ rípadˇ e virové nákazy reaguje spolehlivˇ eji než antivirový program (jedná-li se o nový virus, který dosud není ve virové databázi, antivirus jej nezachytí — Kerio Personal Firewall však vždy pozná, že došlo ke zmˇ enˇ e spustitelného souboru a upozorní uživatele). Detekce útok˚ u Systém detekce útok˚ u (IDS — Intrusion Detection System) dokáže rozpoznat, blokovat a zaznamenat známé typy útok˚ u. K tomuto úˇ celu má Kerio Personal Firewall databázi známých útok˚ u, která je pravidelnˇ e aktualizována (aktualizace je vždy zaˇ clenˇ ena do nové verze produktu). Filtrování obsahu WWW stránek Modul pro filtrování obsahu umožˇ nuje: • blokování reklam (dle pravidel pro URL), skript˚ u a dalších prvk˚ u WWW stránek • blokování pop-up oken • blokování skript˚ u (JavaScript, VB Script) • ochranu pˇ red ukládáním nežádoucích cookies a odesíláním privátních dat Pro d˚ uvˇ eryhodné servery ˇ ci pˇ rípady, kdy filtrování zp˚ usobí nefunkˇ cnost urˇ citých stránek, je možno definovat výjimky (specifická nastavení). Nízkoúrovˇ nová ochrana Nízkoúrovˇ nový ovladaˇ c Kerio Personal Firewallu chrání poˇ cítaˇ c i v dobˇ e, kdy není firewall spuštˇ en (typicky pˇ ri startu a vypínání operaˇ cního systému a pˇ ri instalaci nové verze firewallu). Poˇ cítaˇ c je tak chránˇ en po celou dobu, kdy je dostupný po síti. Mezi další významné funkce a vlastnosti Kerio Personal Firewallu patˇ rí: Blokování veškeré komunikace Kerio Personal Firewall umožˇ nuje jedním tlaˇ cítkem (resp. volbou z menu) zablokovat sít’ovou komunikaci poˇ cítaˇ ce, na kterém je nainstalován (tzv. sít’ový zámek). Tuto funkci lze použít pˇ ri zjištˇ ení podezˇ relé ˇ ci nežádoucí sít’ové aktivity — po provedení pˇ ríslušných opatˇ rení m˚ uže být komunikace opˇ et povolena. Logování Každý z modul˚ u firewallu vytváˇ rí vlastní záznam (log), který se ukládá jako soubor v textovém formátu. Záznamy lze prohlížet pˇ rímo v konfiguraˇ cním oknˇ e Kerio Personal Firewallu. Volitelnˇ e je možno záznamy také odesílat na Syslog server.

6

1.2 Plná a volnˇ e šiˇ ritelná verze

Pˇ rehled spojení a statistiky Pˇ rehled spojení dává uživateli informaci o navázaných spojeních a portech otevˇ rených jednotlivými aplikacemi. U spojení se rovnˇ ež zobrazuje aktuální pˇ renosová rychlost a celkový objem pˇ renesených dat v každém smˇ eru. Seznam je automaticky obnovován v pravidelných intervalech. Statistiky informují uživatele o poˇ ctu objekt˚ u blokovaných WWW filtrem, poˇ ctu zachycených privátních informací a poˇ ctu detekovaných útok˚ u za zvolené ˇ casové období. Automatická aktualizace Kerio Personal Firewall pravidelnˇ e kontroluje, zda není k dispozici novˇ ejší verze, a pokud ano, nabídne uživateli její stažení a instalaci. Kontrolu nové verze lze také kdykoliv provést ruˇ cnˇ e. Upozornˇ ení: Žádná z verzí tohoto produktu nem˚ uže být provozována na operaˇ cních systémech typu Windows Server (tj. Windows NT Server, Windows 2000 Server a Windows Server 2003).

1.2 Plná a volnˇ e šiˇ ritelná verze Kerio Personal Firewall je k dispozici ve dvou verzích: plné (placené) a volnˇ e šiˇ ritelné. Instalaˇ cní balík je pro obˇ e verze spoleˇ cný. Po instalaci se produkt chová jako demoverze (tj. plná verze s ˇ casovým omezením na 30 dn˚ u). Pokud nebude produkt bˇ ehem této doby zaregistrován, stává se z nˇ ej volnˇ e šiˇ ritelná verze. Zakoupením licence a registrací produktu se z instalované demoverze nebo volnˇ e šiˇ ritelné verze stává plná verze (podrobnosti viz kapitola 3.3). Volnˇ e šiˇ ritelná verze má oproti plné verzi tato omezení: • M˚ uže být použita pouze pro osobní a/nebo nekomerˇ cní úˇ cely. • Není funkˇ cní filtrování obsahu WWW stránek, vˇ cetnˇ e pˇ ríslušných záznam˚ u a statistik (viz kapitola 11). • Nem˚ uže být použita na internetové bránˇ e (viz kapitola 5.3). • Záznamy nelze odesílat na Syslog server (viz kapitola 13.3). • Konfiguraci nelze ochránit heslem a není možná vzdálená správa.

Technická podpora Na produkt Kerio Personal Firewall je standardnˇ e poskytována pouze e-mailová technická podpora. Majitelé licence pro více než 1 poˇ cítaˇ c (multilicence) mají rovnˇ ež

7

Kapitola 1 Úvod

nárok na telefonickou technickou podporu. Kontakt naleznete na WWW stránkách http://www.kerio.cz/.

1.3 Systémové požadavky Pro instalaci aplikace Kerio Personal Firewall je požadováno: • operaˇ cní systém Windows 98 / Me / NT 4.0 Workstation / 2000 Professional / XP Home / XP Professional • CPU Intel Pentium nebo 100% kompatibilní • 64 MB RAM • 8 MB místa na disku (pouze pro instalaci; doporuˇ cujeme nejménˇ e dalších 10 MB pro soubory záznam˚ u) • rozlišení obrazovky (displeje) alespoˇ n 800x600 bod˚ u

1.4 Konfliktní software Kerio Personal Firewall vykazuje konflikty s urˇ citými druhy aplikací, které používají stejné nebo podobné technologie. Pˇ ri kombinaci s níže uvedenými aplikacemi nezaruˇ cujeme správnou funkci Kerio Personal Firewallu ani operaˇ cního systému. Neinstalujte Kerio Personal Firewall na tentýž operaˇ cní systém spoleˇ cnˇ e s tˇ emito aplikacemi: Personální firewally Osobní firewally (napˇ r. Internet Connection Firewall — souˇ cást Windows XP, Zone Alarm, Sygate Personal Firewall, Norton Personal Firewall apod.) poskytují obdobnou funkˇ cnost jako Kerio Personal Firewall. Rozhodnete-li se používat Kerio Personal Firewall, nekombinujte jej s dalšími firewally. Sít’ové firewally Sít’ový firewall (napˇ r. Kerio WinRoute Firewall, Kerio WinRoute Pro, Kerio WinRoute Lite, Microsoft ISA Server, CheckPoint Firewall-1, WinProxy firmy Ositis, Sygate Office Network a Sygate Home Network atd.) sám chrání také poˇ cítaˇ c, na kterém je nainstalován, a proto není tˇ reba jej doplˇ novat personálním firewallem. Poznámka: Kerio Personal Firewall m˚ uže být kombinován se smˇ erovaˇ cem, se smˇ erovaˇ cem provádˇ ejícím pˇ reklad IP adres (NAT) nebo proxy serverem — napˇ r. Internet Connection Sharing (Sdílení internetového pˇ ripojení — souˇ cást novˇ ejších verzí operaˇ cního systému Windows) za úˇ celem vytvoˇ rení jednoduchého sít’ového firewallu. Podrobné informace naleznete v kapitole 5.3.

8

Kapitola 2

Instalace

2.1 Instalace, upgrade a odinstalování Instalace Instalaci provedete jednoduše spuštˇ ením instalaˇ cního programu (napˇ r. kerio-pf4.1.0-en-win.exe). Instalaˇ cní program se nejprve dotáže na jazyk, ve kterém má být instalace provedena (k dispozici je angliˇ ctina a nˇ emˇ cina). Volba jazyka se týká pouze instalace; uživatelské rozhraní aplikace Kerio Personal Firewall lze pˇ repnout do nˇ ekolika dalších jazyk˚ u vˇ cetnˇ e ˇ ceštiny (podrobnosti viz kapitola 5.3). V dalším kroku lze zvolit adresáˇ r (složku), do kterého bude aplikace Kerio Personal Firewall nainstalována (standardnˇ e C:\Program Files\Kerio\Personal Firewall 4). Dalším d˚ uležitým krokem pˇ ri instalaci je volba výchozího režimu ˇ cinnosti firewallu. Zaˇ cínajícím uživatel˚ um doporuˇ cujeme ponechat pˇ rednastavený režim Simple, zkušenˇ ejší uživatelé mohou zvolit režim Advanced (chování v tomto režimu odpovídá chování pˇ redchozích verzí Kerio Personal Firewallu). Režim ˇ cinnosti firewallu lze pozdˇ eji libovolnˇ e zmˇ enit. Podrobnosti o výchozích režimech firewallu naleznete v kapitole 2.2. Po instalaci je tˇ reba poˇ cítaˇ c restartovat, aby mohl být zaveden nízkoúrovˇ nový ovladaˇ c firewallu. Po restartu poˇ cítaˇ ce bude automaticky spuštˇ ena komponenta Personal Firewall Engine (viz kapitola 3.1) Upozornˇ ení: Chcete-li používat Kerio Personal Firewall spoleˇ cnˇ e s antivirovým systémem AVG, je tˇ reba AVG nainstalovat pˇ red zahájením instalace Kerio Personal Firewallu. Jestliže Kerio Personal Firewall pˇ ri svém prvním spuštˇ ení detekuje antivirus AVG, nastaví pro nˇ ej odpovídající pravidla (viz kapitola 9.3). Poznámky: 1.

Pˇ ri instalaci se v operaˇ cních systémech typu Windows NT zapíná vytváˇ rení výpisu pamˇ eti v pˇ rípadˇ e havárie systému. Výpis pamˇ eti m˚ uže uživatel odeslat do firmy Kerio Technologies — jeho analýza m˚ uže pomoci k nalezení a odstranˇ ení chyby, která havárii operaˇ cního systému zp˚ usobila.

9

Kapitola 2 Instalace

Po zaškrtnutí pˇ ríslušné volby (viz kapitola 5.3) se v operaˇ cním systému nastaví generování výpisu pamˇ eti. 2.

V operaˇ cních systémech Windows XP Service Pack 2 a novˇ ejších instalaˇ cní program zaregistruje Kerio Personal Firewall do Windows Security Center. Pˇ ri instalaci je firewall zaregistrován jako neaktivní. Kerio Personal Firewall pˇ ri svém startu také vypíná integrovaný Windows Firewall, pokud je spuštˇ en.

3.

V operaˇ cních systémech Windows 98, Me, NT 4.0 a 2000 m˚ uže být vyžadována aktualizace systémového instalátoru (Windows Installer), pokud již nebyl aktualizován dˇ ríve (napˇ r. pˇ ri instalaci jiné aplikace). Velikost této aktualizace je cca 1.8 MB. Aktualizaci instalátoru je tˇ reba stáhnout a nainstalovat, jinak nelze v instalaci aplikace Kerio Personal Firewall pokraˇ covat!

Upgrade Instalace nové verze, resp. oprava stávající instalace se provádí stejným zp˚ usobem jako nová instalace (viz výše). Spuštˇ ené komponenty aplikace není tˇ reba ukonˇ covat — instalaˇ cní program je zastaví sám. Poznámka: Kerio Personal Firewall má vestavˇ ený mechanismus pro automatickou kontrolu a stahování nových verzí (podrobnosti viz kapitola 2.3).

Odinstalování Kerio Personal Firewall lze odinstalovat pomocí nástroje Pˇ ridat nebo odebrat programy (Add / Remove programs) v Ovládacích panelech (Control Panel). Pˇ ri odinstalování nebudou smazány soubory, které vznikly až za bˇ ehu aplikace (tj. konfiguraˇ cní soubory, záznamy atd.). Ty je tˇ reba smazat ruˇ cnˇ e, pˇ rípadnˇ e mohou z˚ ustat uchovány pro další instalaci. Poznámka: V operaˇ cních systémech Windows XP Service Pack 2 a novˇ ejších bude pˇ ri odinstalování Kerio Personal Firewallu zrušena jeho registrace ve Windows Security Center a automaticky aktivován vestavˇ ený Windows Firewall.

2.2 Poˇ cáteˇ cní konfigurace Bˇ ehem instalace aplikace Kerio Personal Firewall lze zvolit tzv. výchozí režim ˇ cinnosti firewallu. Uživatel m˚ uže vybrat jeden z tˇ echto režim˚ u:

10

2.2 Poˇ cáteˇ cní konfigurace

• Simple — v tomto režimu firewall automaticky povoluje veškerou odchozí komunikaci a blokuje veškerou pˇ ríchozí komunikaci. Všechna sít’ová rozhraní poˇ cítaˇ ce, na kterém je Kerio Personal Firewall nainstalován, jsou automaticky zaˇ razena do zóny Internet (viz kapitoly 6.2 a 6.4). Dále je vypnut modul bezpeˇ cnosti systému (viz kapitola 8). V d˚ usledku tˇ echto nastavení se firewall uživatele nikdy nedotazuje a pracuje výhradnˇ e podle výchozích pravidel (ve výchozích pravidlech se nikde nevyskytuje akce Ptát se). Toto chování firewallu lze zmˇ enit úpravou nastavení modul˚ u systémové a sít’ové bezpeˇ cnosti. Poznámka: Výjimkou je kontrola telefonních ˇ císel vytáˇ cených linek (viz kapitola 6.8). Dialogy s dotazy na nové telefonní ˇ císlo nebo zmˇ enu telefonního ˇ císla se zobrazují vždy bez ohledu na nastavený režim firewallu. Režim Simple je pˇ ri instalaci pˇ rednastaven. Doporuˇ cujeme jej zejména zaˇ cáteˇ cník˚ um, pˇ rípadnˇ e uživatel˚ um, kteˇ rí z nˇ ejakého d˚ uvodu nemohou provést poˇ cáteˇ cní konfiguraci firewallu bezprostˇ rednˇ e po instalaci. • Advanced (tzv. samouˇ cící režim) — v tomto režimu se firewall pˇ ri zachycení neznámé komunikace nebo pˇ ri spuštˇ ení neznámé aplikace dotazuje uživatele, jaká akce má být provedena a zda se má pro tuto akci vytvoˇ rit pravidlo. Takto postupnˇ e vzniká specifická konfigurace firewallu pro konkrétní poˇ cítaˇ c a uživatele. Je-li zvolen režim Advanced, pak Kerio Personal Firewall pˇ ri svém prvním spuštˇ ení detekuje aktivní sít’ová rozhraní poˇ cítaˇ ce, na kterém je nainstalován. Pro každé rozhraní zobrazí dotaz, zda je toto rozhraní pˇ ripojeno do d˚ uvˇ eryhodné sítˇ eˇ ci nikoliv. Podrobnosti naleznete v kapitole 6.7.

11


Režim Advanced nastavuje stejné výchozí chování Kerio Personal Firewallu jako všechny pˇ redchozí verze této aplikace. Tento režim doporuˇ cujeme zkušenˇ ejším uživatel˚ um a všem uživatel˚ um, kteˇ rí si chtˇ ejí firewall sami podrobnˇ e nastavit.

2.3 Kontrola nových verzí Kerio Personal Firewall automaticky kontroluje, zda je k dispozici novˇ ejší verze, a pokud ano, nabídne ji uživateli ke stažení. Kontrola nové verze se provádí pˇ ri každém spuštˇ ení Personal Firewall Engine a pak pravidelnˇ e v intervalu 24 hodin. Kontrolu nové verze lze také kdykoliv spustit ruˇ cnˇ e tlaˇ cítkem Zjistit ted’ v sekci Pˇ rehled / Pˇ redvolby konfiguraˇ cního okna Kerio Personal Firewallu (podrobnosti viz kapitola 5.3). Je-li verze Kerio Personal Firewallu na vašem poˇ cítaˇ ci aktuální, spojení se serverem se ukonˇ cí a naplánuje se pˇ ríští kontrola nové verze. V opaˇ cném pˇ rípadˇ e je zobrazen dialog s informacemi o nové verzi.

Stisknutím tlaˇ cítka Další se zahájí stahování nové verze. Kerio Personal Firewall vždy kontroluje signaturu staženého souboru — tím je zajištˇ eno, že stažený soubor je skuteˇ cnˇ e originální (nejedná se o podvrh, není napaden virem, poškozen atd.).

12

2.3 Kontrola nových verzí

Po stažení nové verze se spustí instalaˇ cní program. Po instalaci je tˇ reba poˇ cítaˇ c restartovat. Tlaˇ cítkem Storno lze stahování, resp. instalaci nové verze zrušit. V takovém pˇ rípadˇ e nebude tato aktualizace znovu automaticky nabízena — lze ji však kdykoliv spustit ruˇ cnˇ e. Pˇ ri nalezení další nové verze Kerio Personal Firewall opˇ et nabídne aktualizaci automaticky. Podrobnosti o instalaci aplikace Kerio Personal Firewall naleznete v kapitole 2.1. Poznámka: Kerio Personal Firewall má speciální interní pravidla, která vždy povolují pˇ rístup na server pro aktualizaci a registraci produktu. Uživatel tedy nem˚ uže nevhodným nastavením firewallu automatickou aktualizaci zablokovat.

13


14

Kapitola 3

Komponenty firewallu a základní ovládání

3.1 Komponenty aplikace Kerio Personal Firewall Personal Firewall Engine Vlastní výkonné jádro Kerio Personal Firewallu. Bˇ eží jako služba (Windows NT 4.0 a vyšší) nebo jako skrytá aplikace (Windows 98 a Me). Služba Personal Firewall Engine je uložena v souboru kpf4ss.exe v instalaˇ cním adresáˇ ri aplikace Kerio Personal Firewall. Nízkoúrovˇ nový ovladaˇ c Zavádí se do jádra operaˇ cního systému pˇ ri jeho startu. Je umístˇ en mezi ovladaˇ ci sít’ových rozhraní a TCP/IP subsystémem a zachytává a zpracovává veškerou pˇ rijatou ˇ ci vysílanou IP komunikaci. Je-li spuštˇ ena služba Personal Firewall Engine, pak nízkoúrovˇ nový ovladaˇ c propouští a blokuje sít’ovou komunikaci dle nastavených pravidel firewallu. Pokud služba není spuštˇ ena, pak ovladaˇ c povoluje pouze odchozí komunikaci a pˇ ríchozí komunikace je blokována. Na odchozí komunikaci je aplikována stavová inspekce (viz kapitola 4.1) — pˇ ríchozí odpovˇ edi na vyslané pakety jsou automaticky propouštˇ eny. Tímto zp˚ usobem je zajištˇ ena ochrana poˇ cítaˇ ce i v pˇ rípadˇ e, kdy je služba Personal Firewall Engine zastavena (typicky pˇ ri instalaci nové verze firewallu). Pˇ ri zastavení služby Personal Firewall Engine pˇ rejde nízkoúrovˇ nový ovladaˇ c do výchozího režimu (tj. blokování pˇ ríchozí komunikace). Aktivní odchozí i pˇ ríchozí spojení z˚ ustanou zachována; nebude však již možné navázat žádná nová pˇ ríchozí spojení. Nízkoúrovˇ nový ovladaˇ c je uložen v systémovém adresáˇ ri Windows: • v operaˇ cních systémech Windows NT a Windows 2000 typicky v adresáˇ ri C:\WINNT\system32\drivers (soubor fwdrv.sys) • v operaˇ cním systému Windows XP typicky v adresáˇ ri C:\WINDOWS\system32\drivers (soubor fwdrv.sys) • v operaˇ cních systémech Windows 98 a Windows Me typicky v adresáˇ ri C:\WINDOWS\system (soubor fwdrv.vxd) Personal Firewall GUI Uživatelské rozhraní aplikace Kerio Personal Firewall (GUI — Graphical User Interface).

15

Kapitola 3 Komponenty firewallu a základní ovládání

Komponentu Personal Firewall GUI spouští automaticky služba Personal Firewall Engine (pˇ ri svém startu a dále v každém okamžiku, kdy detekuje, že uživatelské rozhraní nebˇ eží). Po spuštˇ ení se Personal Firewall GUI zobrazuje jako ikona tvaru štítu v pravé ˇ cásti nástrojové lišty (System Tray). Pomocí ikony v System Tray lze otevˇ rít konfiguraˇ cní okno aplikace Kerio Personal Firewall, pˇ rípadnˇ e vyvolat nˇ ekteré další funkce (zablokování sít’ové komunikace, deaktivace firewallu atd.). Podrobnosti naleznete v kapitole 3.2.

Komponenta Personal Firewall GUI je reprezentována souborem kpf4gui.exe v instalaˇ cním adresáˇ ri aplikace Kerio Personal Firewall. Nástroj pro odesílání výpis˚ u pamˇ eti Asistenˇ cní nástroj, který zajišt’uje odeslání výpisu pamˇ eti pˇ ri pádu aplikace Kerio Personal Firewall do firmy Kerio Technologies. Nachází se v souboru assist.exe. Knihovní moduly Výše popsané komponenty aplikace Kerio Personal Firewall využívají pro svou ˇ cinnost následující dynamické knihovny (DLL): • kfe.dll — rozhraní nízkoúrovˇ nového ovladaˇ ce. Toto rozhraní zajišt’uje komunikaci mezi ovladaˇ cem a Personal Firewall Engine. • gkh.dll — modul pro obsluhu horkých kláves. Tento modul je zodpovˇ edný za doˇ casné vypínání filtru pop-up oken. • kwsapi.dll — rozhraní pro Windows Security Center (registrace Kerio Personal Firewallu a zobrazování jeho stavu). • KTssleay32_0.9.7.dll, libeay32_0.9.7.dll — knihovna OpenSSL. Tato knihovna zajišt’uje šifrování konfiguraˇ cních soubor˚ u a komunikace mezi Personal Firewall GUI a Personal Firewall Engine. • KTiconv.dll — knihovna iconv. Tato knihovna provádí pˇ revod kódování znak˚ u napˇ r. pˇ ri filtrování WWW stránek, zápisu informací do záznam˚ u atd. • KTzlib.dll — knihovna zlib. Tato knihovna se používá pro komprimaci výpis˚ u pamˇ eti.

Podpora rychlého pˇ repínání uživatel˚ u Kerio Personal Firewall má vestavˇ enou podporu pro tzv. rychlé pˇ repínání uživatel˚ u ve Windows XP (Fast User Switching).

16

3.2 Ikona na nástrojové lištˇ e

Personal Firewall GUI m˚ uže bˇ ežet ve více instancích. Personal Firewall Engine vždy komunikuje s tou instancí, která náleží aktivnímu uživateli.. Po startu operaˇ cního systému a služby Personal Firewall Engine se spustí první instance, která bˇ eží pod systémovým úˇ ctem (resp. pod úˇ ctem, pod kterým se spouští služba Personal Firewall Engine). Pˇ ri pˇ rihlášení uživatele se spustí nová instance Personal Firewall GUI , která bˇ eží s právy tohoto uživatele. Tato instance je aktivní až do odhlášení uživatele (v tom pˇ rípadˇ e je ukonˇ cena), pˇ rípadnˇ e do pˇ repnutí uživatel˚ u (pak je pouze deaktivována).

3.2 Ikona na nástrojové lištˇ e Ikona aplikace Kerio Personal Firewall v pravé ˇ cásti nástrojové lišty (System Tray) je zobrazena vždy, když bˇ eží komponenta Personal Firewall GUI . Tuto komponentu spouští automaticky služba Personal Firewall Engine. Ikona Kerio Personal Firewallu zobrazuje také sít’ovou aktivitu poˇ cítaˇ ce, na kterém je firewall nainstalován. Sít’ová aktivita je zobrazována barevnými sloupci v dolní ˇ cásti ikony:

• zelený sloupec — odchozí (vysílaná) komunikace • ˇ cervený sloupec — pˇ ríchozí (pˇ rijímaná) komunikace Dvojitým kliknutím na ikonu levým tlaˇ cítkem myši se otevˇ re konfiguraˇ cní okno aplikace Kerio Personal Firewall (nastavení firewallu bude podrobnˇ e popsáno v kapitole 5). Po kliknutí na ikonu pravým tlaˇ cítkem myši se zobrazí menu s tˇ emito funkcemi:

Zakázat firewall Deaktivace firewallu. Tato funkce vypíná všechny moduly Kerio Personal Firewallu — tj. filtrování sít’ové komunikace, sledování spouštˇ ených aplikací, detekci útok˚ u a filtrování obsahu WWW stránek.

17


Volba Zakázat firewall je urˇ cena pro krátkodobé vyˇ razení firewallu, typicky pro úˇ cely testování ˇ ci odstraˇ nování problém˚ u (napˇ r. nefunkˇ cnost sít’ového pˇ ripojení). Nedoporuˇ cujeme ponechávat volbu Disable Firewall trvale zapnutou — firewall je pak neúˇ cinný a váš poˇ cítaˇ c není chránˇ en. Je-li Kerio Personal Firewall deaktivován, ikona na nástrojové lištˇ e je ˇ cervenˇ e pˇ reškrtnutá.

Výbˇ erem funkce Zakázat firewall se volba v menu se zmˇ ení na Povolit firewall — výbˇ erem této volby dojde k opˇ etovné aktivaci firewallu. Poznámka: V operaˇ cních systémech Windows XP Service Pack 2 je pˇ ri zakázání nebo povolení Kerio Personal Firewallu nahlášen jeho aktuální stav do Windows Security Center. Odpojit sít’ Zablokování veškeré sít’ové komunikace (tzv. sít’ový zámek). Blokování sít’ové komunikace je signalizováno symbolem „jednosmˇ erná ulice“ na ikonˇ e Kerio Personal Firewallu.

Po aktivaci funkce Odpojit sít’ se volba v menu zmˇ ení na Zapojit sít’ — výbˇ erem této volby dojde k opˇ etovnému povolení komunikace dle aktuálního nastavení firewallu. TIP: Funkce Odpojit sít’ m˚ uže být užiteˇ cná napˇ r. v pˇ rípadˇ e, kdy omylem došlo k povolení sít’ové komunikace, která mˇ ela být zakázána. Volba Odpojit sít’ pozastaví aktuální spojení a zabrání navázání dalších spojení. Bylo-li vytvoˇ reno komunikaˇ cní pravidlo (tj. zaškrtnuta volba Vytvoˇ rit pravidlo pro tuto komunikaci), m˚ užete jej smazat (viz kapitola 6.2, resp. 7) a poté komunikaci opˇ et povolit. Poznámka: Pˇ ri startu služby Personal Firewall Engine se volby Zakázat firewall a Odpojit sít’ vždy nastaví do výchozího stavu. Z bezpeˇ cnostních d˚ uvod˚ u není žádoucí, aby byl firewall po startu neaktivní. Blokování veškeré komunikace by mohlo zp˚ usobit problémy napˇ r. s pˇ rihlašováním uživatel˚ u. Konfigurace Tato volba otevírá konfiguraˇ cní okno aplikace Kerio Personal Firewall. Konfigurace firewallu je detailnˇ e popsána v kapitole 5. Registrovat Spuštˇ ení pr˚ uvodce registrací produktu (podrobnosti viz kapitola 3.3). Je-li Kerio Personal Firewall již registrován, tato položka se v menu nezobrazuje.

18

3.2 Ikona na nástrojové lištˇ e

O aplikaci Okno s informacemi o verzích jednotlivých komponent Kerio Personal Firewallu a odkazy na WWW stránky výrobce aplikace.

Ukonˇ cit Ukonˇ cení aplikace. Tato volba zastaví službu Personal Firewall Engine a ukonˇ cí všechny instance Personal Firewall GUI (tzn. uzavˇ rou se všechna otevˇ rená okna aplikace a skryje se ikona na nástrojové lištˇ e). Kerio Personal Firewall lze znovu aktivovat volbou Firewall Engine z nabídky Start → Programy → Kerio → Personal Firewall 4, pˇ rípadnˇ e spuštˇ ením služby v ovládacím panelu Nástroje pro správu / Služby (Administrative Tools / Services). Upozornˇ ení: Po ukonˇ cení aplikace Kerio Personal Firewall zaˇ cne nízkoúrovˇ nový ovladaˇ c automaticky povolovat veškerou odchozí i pˇ ríchozí komunikaci — poˇ cítaˇ c pˇ restává být chránˇ en! Podrobnosti viz kapitola 6.6. Je-li pˇ rístup ke správˇ e firewallu chránˇ en heslem a uživatel je pˇ rihlášen, pak je kontextové menu rozšíˇ reno o položku Odhlásit. Bližší informace naleznete v kapitole 5.2.

19


3.3 Registrace produktu Zakoupenou licenci produktu Kerio Personal Firewall je tˇ reba registrovat. Registrací se aktivují funkce, které nejsou ve volnˇ e šiˇ ritelné verzi dostupné (viz kapitola 1.2). Registraci Kerio Personal Firewallu lze provést pˇ rímo v uživatelském rozhraní firewallu, pˇ rípadnˇ e na WWW stránkách firmy Kerio Technologies. Poznámky: 1.

Produkt Kerio Personal Firewall je poskytován zdarma pro osobní a nekomerˇ cní použití. V takovém pˇ rípadˇ e není nutné registraci provádˇ et. Po uplynutí 30 dn˚ u od instalace se však Kerio Personal Firewall zaˇ cne chovat jako omezená verze — viz kapitola 1.2.

2.

Podrobné informace o licenˇ cní politice naleznete na WWW stránkách firmy Kerio Technologies (http://www.kerio.cz/).

Registrace v uživatelském rozhraní Má-li poˇ cítaˇ c s Kerio Personal Firewallem pˇ rímý pˇ rístup do Internetu, pak lze registraci provést pˇ rímo v uživatelském rozhraní firewallu. K zobrazení informací o licenci a registraci licence a pˇ redplatného slouží záložka Licence v sekci Pˇ rehled. Podoba této záložky závisí na aktuální licenci a/nebo stavu produktu. Neregistrovaná verze ve zkušební lh˚ utˇ e V tomto stavu se produkt nachází po dobu 30 dn˚ u od první instalace na konkrétní poˇ cítaˇ c. V tomto období je produkt plnˇ e funkˇ cní i bez licence. Sekce Produkt obsahuje základní informace o produktu. Tlaˇ cítko Registrovat spouští pr˚ uvodce registrací (viz kapitola 3.4). Sekce Licence zobrazuje poˇ cet dní zbývajících do konce zkušební doby. Neregistrovaná verze po uplynutí zkušební doby Tento stav nastává po uplynutí tˇ ricetidenní zkušební doby, pokud nebyl produkt dosud zaregistrován. Produkt pˇ rechází do režimu tzv. omezené verze, kdy jsou zablokovány nˇ ekteré funkce (podrobnosti viz kapitola 1.2). Sekce Produkt umožˇ nuje registraci produktu, stejnˇ e jako v pˇ redchozím pˇ rípadˇ e. Sekce Licence informuje o tom, že produkt bˇ eží v režimu omezené neregistrované verze. Platná licence Je-li Kerio Personal Firewall již zaregistrován, pak jsou dostupné všechny jeho funkce bez ˇ casového omezení. Záložka Licence pak zobrazuje podrobné informace o aktuální licenci.

20

3.3 Registrace produktu

Tlaˇ cítko Registrovat v sekci Produkt je neaktivní. Sekce Licence zobrazuje aktuální licenˇ cní ˇ císlo a data skonˇ cení funkˇ cnosti produktu a skonˇ cení nároku na bezplatné aktualizace (pˇ redplatného). Tlaˇ cítko Vložit pˇ redplatné umožˇ nuje zaregistrovat prodejní ˇ císlo zakoupeného pˇ redplatného na další období. Po stisknutí tohoto tlaˇ cítka se otevˇ re pr˚ uvodce registrací produktu od 3. kroku (viz kapitola 3.4). V sekci Registrováno na lze zmˇ enit kontaktní údaje firmy nebo osoby, na kterou je produkt registrován. V jednotlivých položkách dialogu budou pˇ redvyplnˇ eny aktuální

21


údaje získané z registraˇ cního serveru. Položky Firma / Jméno a stát nelze zmˇ enit (licenci nelze pˇ reregistrovat na jiný subjekt).

Registrace na WWW stránkách Produkt Kerio Personal Firewall lze zaregistrovat také na WWW stránkách firmy Kerio Technologies (http://www.kerio.cz/, sekce Obchod / Registrace licencí ). Tento zp˚ usob registrace lze využít v pˇ rípadˇ e, pokud není možné z poˇ cítaˇ ce s aplikací Kerio Personal Firewall navázat spojení se serverem firmy Kerio Technologies (napˇ r. je-li komunikace blokována sít’ovým firewallem). Do pˇ ríslušného formuláˇ re je tˇ reba zadat registraˇ cní ˇ císlo získané pˇ ri zakoupení produktu a následnˇ eˇ císla zakoupeného pˇ redplatného. Jsou-li všechna zadaná ˇ císla platná, bude vytvoˇ ren odpovídající licenˇ cní klíˇ c (soubor license.key). Tento soubor je tˇ reba stáhnout a uložit do podadresáˇ re license v adresáˇ ri, kde je Kerio Personal Firewall nainstalován (typicky C:\Program Files\Kerio\Personal Firewall 4\license). Po dalším spuštˇ ení služby Personal Firewall Engine se již bude produkt chovat jako plná verze.

22

3.4 Pr˚ uvodce registrací produktu

3.4 Pr˚ uvodce registrací produktu Registrace produktu Kerio Personal Firewall probíhá ve ˇ ctyˇ rech krocích: Krok 1 — zadání registraˇ cního ˇ císla V prvním kroku pr˚ uvodce je tˇ reba vyplnit registraˇ cní ˇ císlo získané pˇ ri zakoupení produktu (Registraˇ cní klíˇ c ).

Po stisknutí tlaˇ cítka Další naváže Kerio Personal Firewall spojení s registraˇ cním serverem a zkontroluje platnost zadaného ˇ císla. Je-li ˇ císlo neplatné, v registraci nelze pokraˇ covat. Nepodaˇ rí-li se navázat spojení s registraˇ cním serverem (poˇ cítaˇ c nemá pˇ rímý pˇ rístup na Internet, komunikace je blokována jiným firewallem apod.), pak je uživateli nabídnut odkaz pro registraci produktu na WWW stránkách firmy Kerio Technologies. Krok 2 — kontaktní údaje Ve druhém kroku jsou požadovány informace o spoleˇ cnosti nebo osobˇ e, na kterou je produkt registrován.

23


Položky Firma / jméno (název spoleˇ cnosti nebo jméno osoby), Stát a E-mail (kontaktní e-mailová adresa) jsou povinné, tzn. musejí být vyplnˇ eny. Ostatní položky jsou volitelné. Krok 3 — pˇ redplatné Tˇ retí krok pr˚ uvodce umožˇ nuje zadat prodejní ˇ císla zakoupeného pˇ redplatného na další období.

24

3.4 Pr˚ uvodce registrací produktu

ˇ pˇ redplatného lze pˇ ridat jedno nebo více prodejních ˇ císel získaných pˇ ri Do pole Císla koupi pˇ redplatného. Pˇ ridaná ˇ císla lze dle potˇ reby opravit nebo odstranit. Všechna ˇ císla budou zaregistrována najednou po stisknutí tlaˇ cítka Další . Po stisknutí tlaˇ cítka Další naváže Kerio Personal Firewall spojení s registraˇ cním serverem, ovˇ eˇ rí správnost zadaných údaj˚ u a automaticky stáhne licenˇ cní klíˇ c (digitální certifikát). Krok 4 — dokonˇ cení registrace Ve ˇ ctvrtém kroku pr˚ uvodce se zobrazí informace o výsledku registrace.

Uživatel je informován o datu a ˇ case vypršení pˇ redplatného (tj. nároku na bezplatné aktualizace produktu), a v pˇ rípadˇ eˇ casovˇ e omezené licence také o datu a ˇ case skonˇ cení funkˇ cnosti produktu (Vypršení licence). Stisknutím tlaˇ cítka Dokonˇ cit se pr˚ uvodce uzavˇ re. Poznámka: Po dokonˇ cení registrace se automaticky restartuje komponenta Personal Firewall GUI . Tím dojde k povolení všech funkcí, které nejsou v neregistrované verzi dostupné.

25


26

Kapitola 4

Chování firewallu a interakce s uživatelem

4.1 Chování firewallu Pˇ ri komunikaci v síti Internet se používají protokoly sady TCP/IP. Tyto protokoly jsou pˇ revážnˇ e používány i pro komunikaci v lokálních sítích. Základním (nosným) protokokolem je IP (Internet Protocol), jehož pakety nesou veškeré další informace (zapouzdˇ rují v sobˇ e ostatní protokoly). Kerio Personal Firewall má úplnou kontrolu nad všemi IP pakety — tzn. je schopen je zachytit, zjistit z nich potˇ rebné informace a poté je propustit nebo filtrovat. Samozˇ rejmostí je také vytváˇ rení záznam˚ u o provádˇ ených akcích, detekovaných útocích apod. Základním principem ˇ cinnosti Kerio Personal Firewallu je tzv. stavová inspekce. Firewall pˇ ri svém rozhodování nepracuje pouze s informacemi ze zachyceného paketu, ale také s informací o stavu pˇ redchozí komunikace. O každém povoleném spojení (resp. pseudospojení v pˇ rípadˇ e protokol˚ u UDP a ICMP) je vytvoˇ ren záznam. Firewall tak dokáže pˇ resnˇ e urˇ cit, zda zachycený paket patˇ rí do povoleného spojení, a podle toho jej propustí nebo blokuje. Stavová inspekce sít’ové komunikace je nˇ ekolikanásobnˇ e úˇ cinnˇ ejší a bezpeˇ cnˇ ejší než samotné filtrování paket˚ u. Je-li pˇ ri instalaci Kerio Personal Firewallu zvolen režim Advanced (viz kapitola 2.2), pak firewall pracuje v tzv. samouˇ cícím módu. Pˇ ri zachycení dosud neznámé sít’ové komunikace se zobrazí dialogové okno, ve kterém m˚ uže uživatel pˇ ríslušnou komunikaci povolit ˇ ci zakázat, a to jednorázovˇ e nebo trvale. Pro trvale povolenou ˇ ci zakázanou komunikaci se automaticky vytvoˇ rí odpovídající pravidlo a pˇ ri pˇ ríštím zachycení této komunikace se již Kerio Personal Firewall uživatele nedotazuje. Detaily naleznete v kapitolách 4.2 a 7. Poznámka: Obdobným zp˚ usobem Kerio Personal Firewall postupuje také pˇ ri kontrole spouštˇ ených aplikací (podrobnosti viz kapitola 8.1). Úpravou pravidel pro aplikace nebo pravidly rozšíˇ reného paketového filtru m˚ uže uživatel (resp. administrátor) specifikovat další podmínky pro filtrování komunikace. Vždy jsou ale propuštˇ eny jen takové pakety, které jsou povoleny pˇ ríslušnými pravidly nebo patˇ rí do povolených spojení (viz stavová inspekce).

4.2 Dialog Upozornˇ ení na spojení (zachycení neznámé komunikace) Dialog Upozornˇ ení na spojení (dotaz na povolení ˇ ci zákaz komunikace) informuje uživatele o tom, že Kerio Personal Firewall zachytil dosud neznámou komunikaci a oˇ cekává

27

Kapitola 4 Chování firewallu a interakce s uživatelem

jeho rozhodnutí, zda tuto komunikaci povolit ˇ ci zakázat, pˇ rípadnˇ e vytvoˇ rit odpovídající komunikaˇ cní pravidlo. Poznámka: Chování Kerio Personal Firewallu pˇ ri zachycení sít’ové komunikace urˇ cují volby a pravidla v sekci Sít’ová bezpeˇ cnost (viz kapitoly 6.2 a 6.3). Dialog Upozornˇ ení na spojení se zobrazuje v pˇ rípadech, kdy neexistuje odpovídající pravidlo nebo pravidlo explicitnˇ e vyžaduje dotázat se uživatele. Tento dialog je zobrazen vždy nad okny ostatních aplikací („Always on Top“). Je-li zachyceno více událostí (tj. více pokus˚ u o navázání spojení nebo spuštˇ ení aplikací — viz kapitola 4.3) souˇ casnˇ e, pak se tyto události ˇ radí do fronty — teprve po potvrzení jednoho dialogu se zobrazí další; nikdy se nezobrazuje více dialog˚ u Upozornˇ ení na spojení souˇ casnˇ e.

Dialog Upozornˇ ení na spojení obsahuje následující informace a volby: Smˇ er komunikace a zóna Barevný pruh v horní ˇ cásti dialogu informuje uživatele o smˇ eru komunikace (pˇ ríchozí nebo odchozí) a zónˇ e, do které patˇ rí vzdálený poˇ cítaˇ c (d˚ uvˇ eryhodné IP adresy nebo Internet).

28

4.2 Dialog Upozornˇ ení na spojení (zachycení neznámé komunikace)

Barva pruhu a text pˇ red závorkou urˇ cuje smˇ er navazovaného spojení: • Upozornˇ ení na odchozí spojení — odchozí spojení (tzn. navazované z lokálního poˇ cítaˇ ce na vzdálený). Odchozí spojení je signalizováno zelenou barvou. • Upozornˇ ení na pˇ ríchozí spojení — pˇ ríchozí spojení (tzn. navazované ze vzdáleného poˇ cítaˇ ce na lokální). Pˇ ríchozí spojení je signalizováno ˇ cervenou barvou. V závorce je uvedena zóna, do které patˇ rí IP adresa vzdáleného poˇ cítaˇ ce: • D˚ uvˇ eryhodná zóna — skupina d˚ uvˇ eryhodných IP adres (podrobnosti viz kapitola 6.4) • Internet — „zbytek svˇ eta“ (tj. libovolná IP adresa, která nepatˇ rí do skupiny D˚ uvˇ eryhodná zóna) Lokální aplikace a vzdálený konec spojení Pod barevným pruhem s informací o smˇ eru komunikace jsou uvedeny struˇ cné informace o navazovaném spojení:

• ikona a popis aplikace na lokálním poˇ cítaˇ ci. Není-li popis k dispozici, zobrazí se jméno spustitelného souboru aplikace. Nemá-li aplikace svoji ikonu, použije se standardní systémová ikona pro spustitelné soubory. • DNS jméno vzdáleného poˇ cítaˇ ce a jeho IP adresa (v hranatých závorkách). Poznámka: DNS jména poˇ cítaˇ cu ˚ se zjišt’ují dotazováním DNS. V závislosti na rychlosti odezvy m˚ uže být po nˇ ejakou dobu zobrazena pouze IP adresa daného poˇ cítaˇ ce. Pokud neexistuje odpovídající DNS záznam, z˚ ustane trvale zobrazena pouze IP adresa. Pˇ revod IP adres na DNS jména lze globálnˇ e vypnout/zapnout napˇ r. v kontextovém menu okna Overview / Connections (viz kapitola 12.1) • vzdálený port (jedná-li se o standardní službu, zobrazí se její jméno a ˇ císlo portu v hranatých závorkách; jinak ˇ císlo portu bez závorek) Pˇ ri umístˇ ení kurzoru myši na popis aplikace se jako nápovˇ edný text (tooltip) zobrazí úplná cesta k spustitelnému souboru aplikace.

29


Volba akce Nejd˚ uležitˇ ejší ˇ cástí dialogu je volba akce, tedy povolení ˇ ci zakázání pˇ ríslušné komunikace.

• Tlaˇ cítko Povolit povolí danou komunikaci. • Tlaˇ cítko Zakázat zakáže danou komunikaci. • Volba Vytvoˇ rit pravidlo pro tuto komunikaci a pˇ ríštˇ e se již nedotazovat zp˚ usobí vytvoˇ rení komunikaˇ cního pravidla na základˇ e zachycené komunikace. Akce v pravidle bude nastavena podle toho, které tlaˇ cítko bylo stisknuto (Povolit nebo Zakázat). Pˇ ri pˇ ríštím zachycení stejné komunikace se již Kerio Personal Firewall nebude dotazovat uživatele, ale provede akci dle vytvoˇ reného komunikaˇ cního pravidla. Poznámka: Vytvoˇ rené komunikaˇ cní pravidlo lze kdykoliv pozdˇ eji upravit nebo odstranit v konfiguraˇ cním oknˇ e Kerio Personal Firewallu v sekci Sít’ová bezpeˇ cnost, záložka Aplikace. Podrobnosti naleznete v kapitole 6.2. • Tlaˇ cítko Podrobnosti zobrazí pole s podrobnými informacemi o navazovaném spojení a lokální aplikaci. Opˇ etovným stisknutím tohoto tlaˇ cítka se podrobné informace skryjí. Následující ˇ cásti dialogu se zobrazí po stisknutí tlaˇ cítka Podrobnosti. Detailní informace o spojení a lokální aplikaci V poli Podrobnosti jsou uvedeny podrobné informace o spojení (smˇ er, protokol, lokální a vzdálená IP adresa, lokální a vzdálený port) a lokální aplikaci, která se komunikace úˇ castní (jméno spustitelného souboru aplikace vˇ cetnˇ e plné cesty, popis aplikace, datum vytvoˇ rení, poslední zmˇ eny a posledního ˇ ctení spustitelného souboru). Vytvoˇ rení rozšíˇ reného pravidla Zaškrtnutím volby Vytvoˇ rit pravidlo rozšíˇ reného paketového filtru bude namísto stanreno pravidlo paketového filtru, dardního pravidla pro aplikaci (viz kapitola 6.2) vytvoˇ umožˇ nující detailnˇ e nastavit parametry komunikace (IP adresy, porty atd.), lokální aplikaci, ˇ casovou platnost atd.

30

4.3 Dialog Spouštˇ ení/Zámˇ ena/Spouštˇ ení jiné aplikace

Tlaˇ cítko Rozšíˇ rené pravidlo... otevírá dialog pro definici pravidla paketového filtru, ve kterém lze pravidlo upravit (upˇ resnit) dle požadavk˚ u uživatele. Rozšíˇ rené pravidlo lze kdykoliv zmˇ enit nebo odstranit v konfiguraˇ cním oknˇ e Kerio Personal Firewallu (sekce Sít’ová bezpeˇ cnost, záložka Aplikace, tlaˇ cítko Paketový filtr). Podrobnosti o rozšíˇ rených komunikaˇ cních pravidlech naleznete v kapitole 7. Poznámka: Po dobu, kdy je zobrazen dialog Upozornˇ ení na spojení , je pˇ ríslušná komunikace „pozastavena“ (již pˇ rijatá ˇ ci vyslaná data uchovává Kerio Personal Firewall ve své vyrovnávací pamˇ eti). Není-li reakce uživatele dostateˇ cnˇ e rychlá, m˚ uže vysílající aplikace po urˇ cité dobˇ e (zpravidla nˇ ekolik desítek sekund) tento stav vyhodnotit jako sít’ovou chybu (cílový poˇ cítaˇ c nedostupný).

4.3 Dialog Spouštˇ ení/Zámˇ ena/Spouštˇ ení jiné aplikace Dialog Spouštˇ ení/Zámˇ ena/Spouštˇ ení jiné aplikace informuje uživatele o tom, že Kerio Personal Firewall detekoval pokus o spuštˇ ení aplikace a oˇ cekává jeho rozhodnutí, zda tuto akci povolit ˇ ci zakázat, pˇ rípadnˇ e vytvoˇ rit odpovídající pravidlo. Aplikace bude spuštˇ ena až v okamžiku, kdy to uživatel povolí. Poznámka: Chování Kerio Personal Firewallu pˇ ri spouštˇ ení aplikací urˇ cují volby a pravidla v sekci Bezpeˇ cnost systému (viz kapitola 8). Dialog Spouštˇ ení/Zámˇ ena/Spouštˇ ení jiné aplikace se zobrazuje v pˇ rípadech, kdy neexistuje odpovídající pravidlo nebo pravidlo explicitnˇ e vyžaduje dotázat se uživatele. Tento dialog je zobrazen vždy nad okny ostatních aplikací („Always on Top“). Je-li zachyceno více událostí (tj. více pokus˚ u o spuštˇ ení aplikací nebo o sít’ovou komunikaci — viz kapitola 4.2) souˇ casnˇ e, pak se tyto události ˇ radí do fronty — teprve po potvrzení jednoho dialogu se zobrazí další. Nikdy se tedy nezobrazuje více dialog˚ u Spouštˇ ení/Zámˇ ena/Spouštˇ ení jiné aplikace a/nebo Upozornˇ ení na spojení souˇ casnˇ e.

31


Dialog obsahuje tyto informace: Popis události V záhlaví dialogového okna je uveden slovní popis zachycené události a obecné doporuˇ cení, jakou akci by mˇ el uživatel zvolit.

Poznámka: Je-li popis aplikace (pˇ rípadnˇ e jméno souboru, pokud není popis k dispozici) pˇ ríliš dlouhý, zkrátí se na 32 znak˚ u a ukonˇ cí tˇ remi teˇ ckami. Název události Barevný pruh obsahuje informaci o tom, jaká událost byla zachycena:

• Spouštˇ ení aplikace

32

4.3 Dialog Spouštˇ ení/Zámˇ ena/Spouštˇ ení jiné aplikace

• Zámˇ ena aplikace — zmˇ ena ve spustitelném souboru aplikace • Aplikace spouští jinou aplikaci — bˇ ežící aplikace se pokouší spustit jinou aplikaci Ikona a popis aplikace Pod informací o typu události je zobrazen popis a ikona spouštˇ ené aplikace. Není-li popis k dispozici, zobrazí se jméno spustitelného souboru aplikace. Nemá-li aplikace svoji ikonu, použije se standardní systémová ikona pro spustitelné soubory. Pokud byla aplikace spuštˇ ena jinou aplikací, zobrazí se ve druhém ˇ rádku (Kým spuštˇ eno) popis této aplikace.

Pˇ ri umístˇ ení kurzoru myši na popis aplikace (v prvním ˇ rádku) nebo na popis aplikace, která ji spouští (ve druhém ˇ rádku) se jako nápovˇ edný text (tooltip) zobrazí úplná cesta k spustitelnému souboru aplikace.

Volba akce Nejd˚ uležitˇ ejší ˇ cástí dialogu je volba akce — tedy povolení ˇ ci zakázání spuštˇ ení pˇ ríslušné aplikace.

• Tlaˇ cítko Povolit povolí spuštˇ ení aplikace. • Tlaˇ cítko Zakázat zakáže spuštˇ ení aplikace. • Volba Vytvoˇ rit pravidlo pro tuto akci a pˇ ríštˇ e se již nedotazovat zp˚ usobí vytvoˇ rení pravidla pro tuto událost (v sekci Bezpeˇ cnost systému / Aplikace). Pˇ ri pˇ ríštím zachycení události stejného typu se již firewall uživatele nedotazuje a provede akci definovanou uživatelem. • Tlaˇ cítko Podrobnosti zapíná/vypíná zobrazení podrobnosti o spouštˇ ené aplikaci (pˇ rípadnˇ e také o aplikaci, která ji spouští)

33


Podrobnosti o aplikacích Sekce Podrobnosti obsahuje podrobné informace o spouštˇ ené aplikaci, pˇ rípadnˇ e o aplikaci, která se ji pokouší spustit (úplná cesta k spustitelnému souboru, popis aplikace, ˇ císlo verze, datum vytvoˇ rení, poslední zmˇ eny a posledního pˇ rístupu k souboru atd.).

4.4 Upozornˇ ení na událost V pravidlech Kerio Personal Firewallu m˚ uže být nastaveno zobrazení upozornˇ ení pˇ ri zachycení komunikace vyhovující tomuto pravidlu, resp. pˇ ri spuštˇ ení odpovídající aplikace. Jestliže Kerio Personal Firewall zaznamená takovou událost, zobrazí v pravém dolním rohu obrazovky okno s detailními informacemi. Nastanou-li další události tohoto typu dˇ ríve, než uživatel informaˇ cní okno zavˇ re, ˇ radí se informace do fronty, kterou lze procházet obˇ ema smˇ ery (použitím tlaˇ cítek se šipkami v pravém dolním rohu okna). Poznámka: Uzavˇ rením okna s upozornˇ ením (kliknutím na kˇ rížek v pravém horním rohu nebo kombinací kláves Alt+F4) dojde k vymazání všech zpráv z fronty, bez ohledu na to, zda byly zobrazeny ˇ ci nikoliv!

Pˇ ríklad upozornˇ ení na sít’ovou komunikaci

34

4.4 Upozornˇ ení na událost

Upozornˇ ení uživateli obsahuje tyto položky: ˇ — datum a ˇ • Cas cas, kdy událost nastala • Popis pravidla — popis (název) pravidla rozšíˇ reného paketového filtru, které bylo uplatnˇ eno (pokud bylo použito pravidlo pro aplikaci, zobrazuje se zde Nelze urˇ cit) • Aplikace — ikona a název lokální aplikace, která se komunikace úˇ castní (nemá-li aplikace ikonu, použije se standardní systémová ikona; není-li k dispozici název aplikace, zobrazí se jméno spustitelného souboru bez pˇ rípony) • Vzdálená strana — IP adresa a port vzdáleného poˇ cítaˇ ce (pokud lze z DNS zjistit jeho jméno, zobrazuje se namísto IP adresy; jedná-li se o standardní službu, zobrazí se pˇ red ˇ císlem portu její název) • Podrobnosti — podrobnosti o spojení: smˇ er (Odchozí nebo Pˇ ríchozí ), protokol a lokální port • Akce — akce, která byla provedena (Povoleno — komunikace povolena, Zakázáno — komunikace zakázána) • poˇ radí zprávy ve frontˇ e a celkový poˇ cet zpráv ve frontˇ e (celkový poˇ cet zpráv m˚ uže nar˚ ustat, jestliže v dobˇ e zobrazení okna s upozornˇ ením generuje Kerio Personal Firewall další zprávy) Podrobné informace o pravidlech pro sít’ovou komunikaci aplikací naleznete v kapitole 6.2.

Pˇ ríklad upozornˇ ení na spouštˇ ení aplikace

Upozornˇ ení uživateli obsahuje tyto položky: ˇ — datum a ˇ • Cas cas, kdy událost nastala • Popis pravidla — popis události, která byla zachycena: Spouštˇ ení aplikace,

35


Zámˇ ena aplikace (zmˇ ena spustitelného souboru aplikace) nebo Aplikace spouští jinou aplikaci • Aplikace — ikona a název spouštˇ ené aplikace (nemá-li aplikace ikonu, použije se standardní systémová ikona; není-li k dispozici název aplikace, zobrazí se jméno spustitelného souboru bez pˇ rípony) • Kým spuštˇ eno — název (popis) aplikace, která danou aplikaci spouští • Akce — akce, která byla provedena na základˇ e odpovídajícího pravidla (Povoleno — spuštˇ ení aplikace povoleno, Zakázáno — spuštˇ ení aplikace zamítnuto). Podrobné informace o pravidlech pro spouštˇ ení aplikací naleznete v kapitole 8.1.

36

Kapitola 5

Konfigurace firewallu

5.1 Konfiguraˇ cní okno K nastavení Kerio Personal Firewallu a sledování stavových informací a záznam˚ u slouží tzv. konfiguraˇ cní okno. Toto okno lze otevˇ rít následujícími zp˚ usoby: • dvojitým kliknutím levým tlaˇ cítkem na ikonu Kerio Personal Firewallu na nástrojové lištˇ e • kliknutím pravým tlaˇ cítkem na tuto ikonu a volbou Konfigurace z kontextového menu

37

Kapitola 5 Konfigurace firewallu

Záložky v levé ˇ cásti okna slouží k pˇ repínání jednotlivých sekcí: • Pˇ rehled — pˇ rehled aktivních spojení a otevˇ rených port˚ u (viz kapitola 12.1), statistiky (viz kapitola 12.2) a uživatelské preference (viz kapitola 5.3). • Sít’ová bezpeˇ cnost — pravidla pro sít’ovou komunikaci aplikací, paketový filtr, definice d˚ uvˇ eryhodné zóny (viz kapitola 6) • Bezpeˇ cnost systému — pravidla pro spouštˇ ení aplikací (viz kapitola 8) • Útoky — nastavení detekce známých typ˚ u útok˚ u (viz kapitola 10) • WWW — pravidla pro WWW stránky — blokování pop-up oken, URL filtr, blokování objekt˚ u, kontrola nad odesílanými daty (viz kapitola 11) • Záznamy — prohlížení a nastavení záznam˚ u (viz kapitola 13) Graf v levé dolní ˇ cásti okna zobrazuje ˇ casový pr˚ ubˇ eh zatížení sít’ového rozhraní. Zelený sloupec vedle grafu zobrazuje aktuální (okamžitou) rychlost odchozí komunikace, ˇ cervený sloupec rychlost pˇ ríchozí komunikace. Kliknutím levým tlaˇ cítkem myši na graf se pˇ repíná zobrazení — ˇ cárový graf nebo sloupcový graf. Pˇ ri umístˇ ení kurzoru myši nad graf se zobrazí nápovˇ edný text (tooltip) se statistikou sít’ové komunikace:

• rychlost odchozí (zelený sloupec) — aktuální rychlost odchozí komunikace • rychlost pˇ ríchozí (ˇ cervený sloupec) — aktuální rychlost pˇ ríchozí komunikace • maximum (pˇ ríchozí + odchozí) — nejvyšší zaznamenaná rychlost (souˇ cet odchozí a pˇ ríchozí komunikace za posledních 80 sekund) • minimum (pˇ ríchozí + odchozí) — nejnižší zaznamenaná rychlost (souˇ cet odchozí a pˇ ríchozí komunikace za posledních 80 sekund)

38

5.1 Konfiguraˇ cní okno

Tlaˇ cítko Odpojit sít’ pod grafem slouží k zablokování veškeré sít’ové komunikace (všechna otevˇ rená spojení budou pozastavena). Tato funkce m˚ uže být užiteˇ cná napˇ r. v pˇ rípadˇ e, kdy omylem povolíme komunikaci, která mˇ ela být zakázána. Po stisknutí zmˇ ení toto tlaˇ cítko popis na Zapojit sít’. Je-li komunikace zastavena, je tento stav signalizován ikonou a textem pod tlaˇ cítkem Zapojit sít’.

Poznámka: Volba Odpojit sít’ / Zapojit sít’ je dostupná také z kontextového menu ikony Kerio Personal Firewallu na nástrojové lištˇ e (viz kapitola 3.2). Tlaˇ cítka na spodním okraji okna mají standardní funkce: • OK — uložení provedených zmˇ en a zavˇ rení konfiguraˇ cního okna • Storno — zavˇ rení okna bez uložení zmˇ en • Použít — uložení (akceptování) provedených zmˇ en, okno z˚ ustává otevˇ rené • Nápovˇ eda — otevˇ rení nápovˇ edy pro aktuální sekci/záložku Poznámka: Zmˇ eny konfigurace lze provádˇ et souˇ casnˇ e pouze v jedné záložce jedné sekce. Pˇ ri pˇ rechodu do jiné záložky, resp. jiné sekce, se kontroluje, zda v aktuálním zobrazení nebyly provedeny dosud neuložené zmˇ eny. Pokud ano, Kerio Personal Firewall se dotáže, zda má tyto zmˇ eny akceptovat nebo stornovat.

Ochrana konfigurace heslem Pˇ rístup ke konfiguraci Kerio Personal Firewallu m˚ uže být chránˇ en heslem (zmˇ eny v konfiguraci pak m˚ uže provádˇ et pouze oprávnˇ ený uživatel). Heslo lze nastavit v sekci Pˇ rehled / Pˇ redvolby (viz kapitola 5.3). Je-li konfigurace chránˇ ena heslem, m˚ uže neovˇ eˇ rený uživatel nastavení v konfiguraˇ cním oknˇ e pouze prohlížet. Pˇ ri prvním pokusu o provedení zmˇ eny bude vyžadováno zadání hesla.

39


Po zadání platného hesla dojde k pˇ rihlášení uživatele — uživatel bude mít právo provádˇ et zmˇ eny v konfiguraci. Po provedení všech konfiguraˇ cních zmˇ en by se uživatel mˇ el odhlásit, aby nemohlo dojít k zásahu do konfigurace neoprávnˇ enou osobou. Odhlášení lze provést volbou Odhlásit z kontextového menu ikony na nástrojové lištˇ e (viz kapitola 3.2), pˇ rípadnˇ e tlaˇ cítkem Odhlásit v sekci Pˇ rehled / Pˇ redvolby. Pokud se uživatel neodhlásí, je pˇ rihlášení platné až do ukonˇ cení bˇ ehu služby Personal Firewall Engine.

5.2 Vzdálená správa Kerio Personal Firewall m˚ uže být spravován i vzdálenˇ e, tj. z jiného poˇ cítaˇ ce, než na kterém bˇ eží služba Personal Firewall Engine. Vzdálený pˇ rístup je možný na dvou úrovních: • pˇ rístup ke konfiguraci — ze vzdáleného poˇ cítaˇ ce lze provádˇ et všechna nastavení a akce, které jsou dostupné v konfiguraˇ cním oknˇ e. Dialogy pˇ ri událostech (spouštˇ ení aplikací, sít’ová komunikace) a upozornˇ ení na události budou zobrazovány na poˇ cítaˇ ci, kde bˇ eží Personal Firewall Engine. • pˇ resmˇ erování relace — na vzdálený poˇ cítaˇ c budou pˇ resmˇ erovány také všechny dialogy a upozornˇ ení uživateli.

Pˇ ripojení ze vzdáleného poˇ cítaˇ ce Pro pˇ ripojení k Personal Firewall Engine z jiného poˇ cítaˇ ce je tˇ reba provést tyto kroky: 1.

Povolení vzdálené správy a nastavení hesla Vzdálené pˇ ripojení k Personal Firewall Engine je možné pouze na základˇ e ovˇ eˇ rení uživatele heslem. V sekci Pˇ rehled / Pˇ redvolby zapnˇ ete volby Povolit ochranu heslem a Povolit vzdálenou správu tohoto poˇ cítaˇ ce. Pokud nebylo dosud definováno heslo, nastavte jej. Podrobnosti naleznete v kapitole 5.3.

2.

Spuštˇ ení Personal Firewall GUI na vzdáleném poˇ cítaˇ ci

40

5.2 Vzdálená správa

• Je-li na vzdáleném poˇ cítaˇ ci nainstalován Kerio Personal Firewall 4.x, spust’te komponentu Remote Firewall Administration z programové skupiny Kerio. • Není-li na vzdáleném poˇ cítaˇ ci Kerio Personal Firewall nainstalován, zkopírujte z lokálního poˇ cítaˇ ce (typicky adresáˇ r C:\Program Files\Kerio\Personal Firewall 4) na vzdálený poˇ cítaˇ c soubory kpf4gui.exe, KTlibeay32_0.9.7.dll, KTssleay32_0.9.7.dll, KTzlib.dll a podadresáˇ r trans. Na vzdáleném poˇ cítaˇ ci spust’te aplikaci kpf4gui.exe. 3.

Pˇ rihlášení k Personal Firewall Engine Pˇ ri spuštˇ ení Personal Firewall GUI jedním z výše popsaných zp˚ usob˚ u se zobrazí dialog pro pˇ rihlášení k Personal Firewall Engine.

Adresa DNS jméno nebo IP adresa poˇ cítaˇ ce, na kterém bˇ eží služba Personal Firewall Engine. Po pˇ rihlášení bude toto jméno nebo IP adresa zobrazena: • v záhlaví konfiguraˇ cního okna

• v nápovˇ edném textu (tooltip) ikony na nástrojové lištˇ e

Heslo Heslo pro pˇ rístup ke správˇ e (viz bod 1.) Pˇ resmˇ erovat události do této relace Tato volba zapíná/vypíná všech dialog˚ u a upozornˇ ení na vzdálený poˇ cítaˇ c.

41

pˇ resmˇ erování


Zapnˇ ete tuto volbu, chcete-li Kerio Personal Firewall kompletnˇ e sledovat a ovládat ze vzdáleného poˇ cítaˇ ce. Pokud chcete provést pouze jednorázovou úpravu konfigurace, doporuˇ cujeme tuto volbu nezapínat. Po stisknutí tlaˇ cítka Pˇ ripojit se naváže spojení se vzdáleným poˇ cítaˇ cem. Poznámka: Pˇ ripojení vzdálené správy je povoleno interními pravidly Kerio Personal Firewallu. Pro vzdálenou správu tedy není tˇ reba definovat speciální pravidla sít’ové bezpeˇ cnosti. Po úspˇ ešném navázání spojení s Personal Firewall Engine se na nástrojové lištˇ e zobrazí (v poli System Tray) ikona Kerio Personal Firewallu se symbolem vzdáleného pˇ ripojení (R = remote = vzdálený). Kontextové menu této ikony obsahuje následující funkce:

Zakázat firewall Deaktivace firewallu (vypnutí všech bezpeˇ cnostních funkcí). Konfigurace Tato volba otevírá konfiguraˇ cní okno, ve kterém lze provádˇ et všechny konfiguraˇ cní úkony stejnˇ e jako na lokálním poˇ cítaˇ ci (s výjimkou zastavení sít’ové komunikace). Podrobnosti viz kapitola 5.1. O aplikaci Okno s informacemi o verzích jednotlivých komponent Kerio Personal Firewallu a licenci, pˇ rípadnˇ e datu omezení funkˇ cnosti zkušební verze. Informace v tomto oknˇ e jsou stejné jako v pˇ rípadˇ e lokálního pˇ ripojení). Odpojit Odpojení od vzdálené služby Personal Firewall Engine a ukonˇ cení Personal Firewall GUI na poˇ cítaˇ ci, ze kterého byla vzdálená správa provádˇ ena. Poznámka: Narozdíl od lokální správy nejsou pˇ ri vzdáleném pˇ ripojení v kontextovém menu dostupné tyto funkce: • Odpojit sít’ (zablokování sít’ové komunikace by pˇ rerušilo také spojení mezi Personal Firewall Engine a Personal Firewall GUI na vzdáleném poˇ cítaˇ ci) • Odhlásit (pˇ ri vzdálené správˇ e musí být uživatel ovˇ eˇ ren, odhlášení se de facto provede pˇ ri odpojení od Personal Firewall Engine) • Ukonˇ cit (službu Personal Firewall Engine nelze vzdálenˇ e ukonˇ cit; Personal Firewall GUI na vzdáleném poˇ cítaˇ ci se ukonˇ cí volbou Odpojit)

42

5.3 Pˇ redvolby

5.3 Pˇ redvolby Sekce Pˇ rehled / Pˇ redvolby slouží k nastavení uživatelských preferencí a upˇ resˇ nujících parametr˚ u firewallu.

Automatické zjišt’ování nových verzí Zapnutí/vypnutí automatické kontroly nových verzí programu. Pro zajištˇ ení maximální bezpeˇ cnosti doporuˇ cujeme ponechat tuto volbu zapnutou (nové verze obsahují aktualizace databáze známých útok˚ u, opravy pˇ rípadných chyb atd.). Podrobnosti o automatické kontrole a instalaci nové verze naleznete v kapitole 2.3. Zjistit ted’ Toto tlaˇ cítko spouští okamžitou kontrolu existence nové verze Kerio Personal Firewallu. Je-li na aktualizaˇ cním serveru nalezena novˇ ejší verze, pak je uživateli nabídnuto její stažení a instalace (podrobnosti viz kapitola 2.3). V opaˇ cném pˇ rípadˇ e se zobrazí informace o tom, že novˇ ejší verze není k dispozici (instalovaná verze je aktuální).

43


Nabízet ke stažení betaverze Zapnutím této volby budou pˇ ri kontrole nových verzí uživateli nabízeny také zveˇ rejnˇ ené betaverze. Betaverze jsou nové verze ve stádiu vývoje — není zaruˇ cena jejich plná funkˇ cnost a mohou obsahovat chyby. Volbu Nabízet ke stažení betaverze použijte v pˇ rípadˇ e, jestliže se chcete úˇ castnit testování betaverzí (podrobnosti viz http://www.kerio.cz/, Beta Sekce). Nemáte-li zájem o testování a chcete-li mít na svém poˇ cítaˇ ci vždy plnˇ e funkˇ cní (finální) verzi, pak tuto volbu nezapínejte. Vytváˇ ret výpis pamˇ eti pˇ ri pádu Zapnutí/vypnutí vytváˇ rení ladicích informací pro pˇ rípad havárie Kerio Personal Firewallu. Dojde-li po zapnutí této volby k pádu Personal Firewall Engine nebo Personal Firewall GUI , vytvoˇ rí se soubor s výpisem pamˇ eti a následnˇ e automaticky spustí nástroj Assist, který nabídne odeslání informací o pádu (komprimovaného výpisu pamˇ eti a vybraných záznam˚ u) k analýze do firmy Kerio Technologies. V pˇ rípadˇ e, že došlo k havárii operaˇ cního systému, m˚ uže Kerio Personal Firewall po opˇ etovném startu odeslat k analýze výpis pamˇ eti jádra (resp. úplný výpis pamˇ eti v pˇ rípadˇ e Windows NT 4.0). 1 minutu po startu služby Personal Firewall Engine se provede kontrola, zda se na disku nenalézá nový výpis pamˇ eti. Je-li nalezen, spustí se nástroj Assist, který provede analýzu, zda tento výpis souvisí s pádem aplikace Kerio Personal Firewall. Pokud ano, nabídne se jeho odeslání do firmy Kerio Technologies k analýze. Výpis pamˇ eti je odesílán v komprimované podobˇ e. Do balíku je pˇ ripojen také obsah vˇ etve systémového registru HKEY_CURRENT_USER\Software\Kerio\Personal Firewall 4. Poznámka: Odeslané informace budou použity výhradnˇ e pro úˇ cely ladˇ ení aplikace Kerio Personal Firewall. Nebudou použity k žádnému jinému úˇ celu ani poskytnuty žádné tˇ retí stranˇ e. Konfigurace Tato sekce obsahuje tlaˇ cítka pro zálohování konfigurace Kerio Personal Firewall a její obnovení, pˇ rípadnˇ e naˇ ctení konfigurace aplikace Kerio Personal Firewall 2.1.x. Po stisku tlaˇ cítka Importovat se zobrazí systémový dialog pro otevˇ rení souboru. Kerio Personal Firewall dokáže otevˇ rít a naˇ císt konfiguraˇ cní soubor ve formátu: • Kerio Personal Firewall 4.x v nešifrované podobˇ e (formát XML, pˇ rípona .cfg) • Kerio Personal Firewall 2.1.x (pˇ rípona .conf) — import konfigurace ze starší verze

44

5.3 Pˇ redvolby

Tlaˇ cítko Exportovat otevírá systémový dialog pro uložení souboru. Takto je možné uložit konfiguraˇ cní soubor (v nešifrované podobˇ e) pro pozdˇ ejší použití ˇ ci pro pˇ renos na jiný poˇ cítaˇ c. Poznámka: Konfiguraˇ cní soubor verze 4.x nelze v šifrované podobˇ e importovat. Povolit ochranu heslem Nastavení hesla pro pˇ rístup ke konfiguraci Kerio Personal Firewallu. Je-li konfigurace chránˇ ena heslem, pak je možné si ji pouze prohlížet. Pˇ ri prvním pokusu o zmˇ enu je vyžadováno ovˇ eˇ rení uživatele zadáním hesla. Po úspˇ ešném ovˇ eˇ rení je uživatel pˇ rihlášen a má právo konfiguraci mˇ enit. Podrobné informace naleznete v kapitole 5.1. Tlaˇ cítko Odhlásit slouží k odhlášení uživatele — pˇ ri dalším pokusu o zmˇ enu konfigurace bude opˇ et vyžadováno zadání hesla. Odhlášení je možné také volbou z kontextového menu ikony na nástrojové lištˇ e (viz kapitola 3.2) Tlaˇ cítko Nastavit heslo... otevírá dialog pro zadání nebo zmˇ enu hesla.

Do položky Staré heslo je tˇ reba zadat aktuální heslo (zmˇ enu hesla smí provést pouze oprávnˇ ený uživatel). Pokud nebylo dosud žádné heslo definováno (bezprostˇ rednˇ e po instalaci Kerio Personal Firewallu, po smazání konfigurace apod.), je tato položka neaktivní. Do položky Nové heslo zadejte požadované heslo a v položce Potvrzení hesla jej pro kontrolu zopakujte. Poznámka: Vzdálená správa Kerio Personal Firewallu je možná pouze po ovˇ eˇ rení uživatele heslem. Je-li volba Povolit ochranu heslem vypnuta, pak nelze ani povolit vzdálenou správu (následující volba je neaktivní). Povolit vzdálenou správu tohoto poˇ cítaˇ ce Tato volba povoluje interní pravidlo firewallu pˇ ripojení ke správˇ e Kerio Personal Firewallu z jiného poˇ cítaˇ ce (viz kapitola 9.1). Ve výchozím nastavení je vzdálená správa zakázána. Podrobné informace o vzdálené správˇ e naleznete v kapitole 5.2. Preferovaný jazyk Volba jazyka uživatelského rozhraní Kerio Personal Firewallu. Po stisknutí tlaˇ cítka OK nebo Použít dojde k restartu uživatelského rozhraní. Pˇ ri dalším

45


otevˇ rení konfiguraˇ cního okna, resp. kontextového menu na nástrojové lištˇ e, se již uživatelské rozhraní zobrazí v požadovaném jazyce. Jednotlivé jazykové verze (lokalizace) jsou uloženy v podadresáˇ ri trans adresáˇ re, kde je Kerio Personal Firewall nainstalován. Podle zvoleného jazyka se také vybírá nejvhodnˇ ejší soubor s nápovˇ edou. Není-li nalezena žádná preferovaná nápovˇ eda pro zvolený jazyk, pak Kerio Personal Firewall zkusí otevˇ rít nápovˇ edu v angliˇ ctinˇ e. Pokud není k dispozici ani anglická verze, nápovˇ eda se nezobrazí. Poznámky: 1.

Soubory s nápovˇ edou jsou uloženy pˇ rímo v adresáˇ ri, kde je Kerio Personal Firewall nainstalován. Soubory s kontextovou nápovˇ edou mají formát Microsoft HTML Help a mají název kpf4-.chm, kde zkratka_jazyka je dvoupísmenné oznaˇ cení jazyka.

2.

Pokud Kerio Personal Firewall zjistí, že lokalizaˇ cní soubor pro vybraný jazyk neodpovídá aktuální verzi uživatelského rozhraní, zobrazí se varovné hlášení. Tento stav nemá žádný vliv na funkci programu, pouze nˇ ekteré texty v uživatelském rozhraní budou neaktuální nebo budou zobrazeny v anglickém originále.

46

Kapitola 6

Pravidla pro sít’ovou komunikaci

Klíˇ covým bodem konfigurace Kerio Personal Firewallu jsou pravidla pro sít’ovou komunikaci. K dispozici jsou tˇ ri typy pravidel: • Pravidla pro aplikace — jednoduchá pravidla definující chování firewallu pˇ ri sít’ové komunikaci s poˇ cítaˇ ci v d˚ uvˇ eryhodné zónˇ e a v Internetu. Tato pravidla jsou vytváˇ rena automaticky na základˇ e reakce uživatele pˇ ri zachycení dosud neznámé sít’ové komunikace. Podrobnosti viz kapitola 6.2. • Rozšíˇ rený paketový filtr — detailní pravidla pro sít’ovou komunikaci (možnost nastavení IP adres, protokolu, port˚ u, aplikace atd.). Pravidla paketového filtru mohou být definována bud’ ruˇ cnˇ e (v konfiguraˇ cním oknˇ e Kerio Personal Firewallu) nebo automaticky na základˇ e reakce uživatele (viz kapitola 4.2) Nastavení rozšíˇ reného paketového filtru je popsáno v kapitole 7. • Pˇ reddefinovaná pravidla pro sít’ovou komunikaci — Kerio Personal Firewall obsahuje sadu pˇ reddefinovaných pravidel, která jsou nezávislá na aplikacích. U pˇ reddefinovaných pravidel m˚ uže uživatel nastavovat pouze akci (tj. povolit nebo zakázat pˇ ríslušnou komunikaci). Pˇ reddefinovaná pravidla lze jednoduše zapnout nebo vypnout (jedna volba pro všechna pravidla). Podrobnosti viz kapitola 6.3. Modul firewallu pro kontrolu sít’ové komunikace lze zapnout/vypnout volbou Povolit modul sít’ové bezpeˇ cnosti v sekci Sít’ová bezpeˇ cnost, záložka Aplikace. Je-li tato volba vypnuta, pak jsou všechny uvedené typy pravidel neaktivní.

6.1 Aplikace pravidel pro sít’ovou komunikaci Pˇ ri zachycení sít’ové komunikace aplikují jednotlivé moduly firewallu definovaná pravidla v urˇ ceném poˇ radí. Jestliže komunikace vyhovuje urˇ citému pravidlu, provede se odpovídající akce a vyhodnocování se ukonˇ cí. Pravidla jednotlivých modul˚ u Kerio Personal Firewallu se aplikují v tomto poˇ radí: 1.

Systém detekce útok˚ u (IDS — viz kapitola 10),

2.

Stavová inspekce sít’ové komunikace (automatické propuštˇ ení paket˚ u patˇ rících do povolených spojení — viz kapitola 4.1),

47

Kapitola 6 Pravidla pro sít’ovou komunikaci

3.

Interní pravidla pro komponenty Kerio Personal Firewallu — napˇ r. povolení pˇ rístupu na WWW server firmy Kerio Technologies pro kontrolu a stahování nových verzí programu,

4.

Pravidla rozšíˇ reného paketového filtru (viz kapitola 7),

5.

Pˇ reddefinovaná pravidla pro sít’ovou komunikaci (viz kapitola 6.3),

6.

Pravidla pro sít’ovou komunikaci aplikací (viz kapitola 6.2).

Poznámka: Je-li vypnut modul sít’ové bezpeˇ cnosti a/nebo detekce útok˚ u (viz kapitola 10), pak se pˇ ríslušná pravidla na zachycenou komunikaci neaplikují. Interní pravidla firewallu vypnout nelze.

6.2 Pravidla pro aplikace K zobrazení a úpravˇ e pravidel pro aplikace slouží sekce Sít’ová bezpeˇ cnost, záložka Aplikace. Poznámka: Následující informace platí pro pˇ rípad, kdy Kerio Personal Firewall pracuje v režimu Advanced (viz kapitola 2.2). V režimu Simple je pro d˚ uvˇ eryhodnou zónu i pro Internet všem aplikacím povolena odchozí komunikace a zakázána pˇ ríchozí komunikace a žádná nová pravidla se automaticky nevytváˇ rejí.

Pro každou aplikaci m˚ uže být definováno nejvýše jedno pravidlo. Na poˇ radí pravidel nezáleží. Každé pravidlo sestává z následujících ˇ cástí:

48

6.2 Pravidla pro aplikace

Popis Ikona a popis aplikace. Nemá-li aplikace ikonu, bude použita systémová ikona pro spustitelné soubory. Není-li k dispozici popis aplikace, zobrazí se jméno souboru bez pˇ rípony. Poznámka: Ikonu a popis aplikace nelze v Kerio Personal Firewallu zmˇ enit (tyto informace jsou dány tv˚ urcem konkrétní aplikace). D˚ uvˇ eryhodné, Internet Nastavení chování firewallu pˇ ri komunikaci dané aplikace s poˇ cítaˇ cem v d˚ uvˇ eryhodné zónˇ e a v Internetu v každém smˇ eru (Pˇ ríchozí , Odchozí ). Pro každou zónu a každý smˇ er komunikace lze zvolit jednu z tˇ echto akcí: • povolit — povolení komunikace • zakázat — zákaz komunikace • ptát se — Kerio Personal Firewall se dotáže uživatele, zda chce komunikaci povolit ˇ ci zakázat. Pˇ ri zachycení odpovídající komunikace se zobrazí dialog Upozornˇ ení na spojení (tento dialog je podrobnˇ e popsán v kapitole 4.2) a uživatel musí rozhodnout, jak se má firewall zachovat. Poznámka: V dialogu Upozornˇ ení na spojení m˚ uže uživatel pravidlo zmˇ enit (zaškrtne-li volbu Vytvoˇ rit pravidlo pro tuto komunikaci..., pak se akce Ptát se v pravidle zmˇ ení na akci, kterou uživatel zvolil). Pˇ ríklad: Pravidlo pro WWW prohlížeˇ c Mozilla

WWW prohlížeˇ c je typická klientská aplikace — navazuje spojení s WWW servery. Odchozí komunikaci tedy m˚ užeme povolit. WWW server ale nikdy nenavazuje spojení zpˇ et na klienta: taková komunikace je podezˇ relá (m˚ uže to být pokus o útok). Pˇ ríchozí komunikaci s aplikací Mozilla tedy zakážeme, pˇ rípadnˇ e nastavíme akci ptát se, aby byl uživatel na takovou komunikaci upozorˇ nován. Zaznamenat Po zapnutí této volby bude veškerá komunikace vyhovující danému pravidlu zaznamenána do záznamu Network (viz kapitola 13.4), a to bez ohledu na nastavenou akci (zaznamenána bude tedy povolená i zakázaná komunikace).

49


Upozornit Zapnutím této volby bude pˇ ri detekci komunikace vyhovující tomuto pravidlu zobrazeno upozornˇ ení — okno Alert (viz kapitola 4.4). Nezáleží na tom, zda je komunikace povolena ˇ ci zakázána. Tuto funkci lze využít napˇ r. v pˇ rípadˇ e, kdy zakážeme nežádoucí komunikaci a chceme být informováni o tom, zda a kdy vzdálený poˇ cítaˇ c pokus o navázání spojení zopakuje. Tlaˇ cítko Zmˇ enit otevírá dialog pro úpravu vybraného pravidla (viz dále). Tlaˇ cítko Odebrat odstraní vybrané pravidlo. Tlaˇ cítko Obnovit slouží k obnovení seznamu pravidel (po dobu otevˇ rení záložky Aplikace m˚ uže dojít k interakci firewallu s uživatelem a v d˚ usledku toho k pˇ ridání ˇ ci zmˇ enˇ e pravidel).

Implicitní pravidlo Na posledním místˇ e seznamu pravidel pro sít’ovou komunikaci aplikací se vždy nachází pravidlo Libovolná jiná aplikace (tzv. implicitní pravidlo). Toto pravidlo se uplatˇ nuje pro sít’ovou komunikaci aplikací, pro které neexistuje jiné pravidlo. Implicitní pravidlo je v seznamu pravidel barevnˇ e zvýraznˇ eno. Toto pravidlo nelze odstranit. Poznámky: 1.

Nastavením akcí v pravidle Libovolná jiná aplikace lze zmˇ enit režim ˇ cinnosti firewallu (viz kapitola 2.2): • Je-li v tomto pravidle alespoˇ n jedna akce ptát se, pak firewall pracuje v režimu Advanced — pˇ ri zachycení dosud neznámé sít’ové komunikace se dotáže uživatele; na základˇ e jeho reakce komunikaci povolí nebo zakáže, pˇ rípadnˇ e vytvoˇ rí pravidlo pro pˇ ríslušnou aplikaci. • Jsou-li v pravidle Libovolná jiná aplikace pro obˇ e zóny a oba smˇ ery komunikace nastaveny akce povolit nebo zakázat, pak firewall pracuje v režimu Simple — pˇ ri zachycení neznámé komunikace je jednoznaˇ cnˇ e urˇ ceno, jaká akce má být provedena. V tomto pˇ rípadˇ e se firewall uživatele nedotazuje.

2.

Výchozí pravidlo je zároveˇ n „šablonou“ pro nová pravidla vytváˇ rená automaticky na základˇ e interakce s uživatelem. Akce zvolená uživatelem se z bezpeˇ cnostních d˚ uvod˚ u nastaví vždy pouze pro zónu a smˇ er odpovídající zachycené komunikaci. Zbývající akce jsou pˇ revzaty z implicitního pravidla. Pˇ ríklad: V implicitním pravidle je pro všechny zóny a smˇ ery komunikace nastavena akce ptát se. Uživatel spustí WWW prohlížeˇ c a pˇ ristupuje na server v lokální síti,

50

6.2 Pravidla pro aplikace

která patˇ rí do d˚ uvˇ eryhodné zóny. Firewall zobrazí dotaz na neznámou komunikaci (viz kapitola 4.2). Uživatel komunikaci povolí a požaduje vytvoˇ rení pravidla. Ve vytvoˇ reném pravidle bude pro odchozí komunikaci v d˚ uvˇ eryhodné zónˇ e nastavena akce povolit, pro pˇ ríchozí komunikaci v d˚ uvˇ eryhodné zónˇ e a pro oba smˇ ery v zónˇ e Internet bude nastavena akce ptát se (pˇ revzatá z implicitního pravidla).

Výše popsané chování je tˇ reba mít na pamˇ eti pˇ ri nastavování akcí v implicitním pravidle. Obecnˇ e se doporuˇ cuje nastavit pro všechny zóny a smˇ ery komunikace akci ptát se (samouˇ cící režim) nebo zakázat (blokování neznámé komunikace bez dotazování uživatele).

Volby pro pravidla V poli se seznamem pravidel jsou dostupné následující volby: 1.

Kliknutím pravým tlaˇ cítkem myši ve sloupci Popis se zobrazí kontextové menu s tˇ emito funkcemi:

• Zmˇ enit — otevˇ rení dialogu pro úpravu pravidla (viz níže) • Odebrat — odstranˇ ení vybraného pravidla • Zobrazované jméno aplikace — volba, jakým zp˚ usobem bude zobrazován název aplikace: • úplná cesta k souboru • jméno souboru bez cesty • popis aplikace

51


Volba Zobrazovat ikony zapíná/vypíná zobrazování ikon aplikací pˇ red jménem souboru nebo popisem aplikace. 2.

Kliknutím myší na akci (ve sloupci D˚ uvˇ eryhodné nebo Internet): • levým tlaˇ cítkem se akce cyklicky pˇ repíná: Povolit — Zakázat — Ptát se • pravým tlaˇ cítkem se zobrazí kontextové menu, z nˇ ehož lze vybrat požadovanou akci.

3.

Kliknutím levým tlaˇ cítkem myši ve sloupci Zaznamenat nebo Upozornit lze zapnout, resp. vypnout záznam komunikace vyhovující tomuto pravidlu do záznamu Sít’ nebo zobrazování upozornˇ ení uživateli pˇ ri zachycení takové komunikace.

Dialog pro úpravu pravidla Stisknutím tlaˇ cítka Zmˇ enit nebo volbou Zmˇ enit z kontextového menu se otevˇ re dialog pro úpravu vybraného pravidla. V tomto dialogu lze nastavit akci pro každou zónu a smˇ er komunikace, záznam komunikace odpovídající tomuto pravidlu a zobrazování upozornˇ ení uživateli.

V horním poli dialogu se zobrazuje popis aplikace a v dalším ˇ rádku ikona aplikace a plná cesta k spustitelnému souboru aplikace. Tyto informace nelze mˇ enit.

52

6.3 Pˇ reddefinovaná pravidla pro sít’ovou komunikaci

Stˇ rední ˇ cást dialogu umožˇ nuje nastavení požadovaných akcí pro každou zónu a každý smˇ er komunikace. Volba Zaznamenat komunikaci do záznamu Sít’ zapíná záznam komunikace vyhovující tomuto pravidlu do záznamu Sít’ (viz kapitola 13.4). Volba Upozornit uživatele zapíná zobrazování upozornˇ ení uživateli (viz kapitola 4.4) pˇ ri zachycení komunikace vyhovující tomuto pravidlu.

6.3 Pˇ reddefinovaná pravidla pro sít’ovou komunikaci Pro zjednodušení konfigurace obsahuje Kerio Personal Firewall sadu pˇ reddefinovaných pravidel pro sít’ovou komunikaci. Tato pravidla nejsou závislá na aplikacích (platí globálnˇ e). Uživatel se m˚ uže rozhodnout, zda pˇ reddefinovaná pravidla použije ˇ ci nikoliv, pˇ rípadnˇ e m˚ uže upravit jejich nastavení. Pˇ reddefinovaná pravidla pro sít’ovou komunikaci se nacházejí v sekci Sít’ová bezpeˇ cnost, záložka Pˇ reddefinované.

Pravidla v této záložce nelze pˇ ridávat ani odebírat. U každého pravidla lze pouze nastavit akci pro d˚ uvˇ eryhodnou zónu a Internet. Nastavení akce se provádí kliknutím levým tlaˇ cítkem myši na pˇ ríslušné místo (tj. v ˇ rádce vybraného pravidla ve sloupci D˚ uvˇ eryhodné nebo Internet). Opakovaným klikáním se stˇ rídavˇ e pˇ repínají akce Povolit a Zakázat. Poznámka: U pˇ reddefinovaných pravidel nelze nastavit akci Ptát se (tj. dotázání se uživatele pˇ ri zachycení odpovídající komunikace — viz kapitoly 6.2 a 4.2). Volba Povolit pˇ reddefinovaná pravidla pro sít’ovou bezpeˇ cnost povoluje/zakazuje pˇ reddefinovaná pravidla pro sít’ovou komunikaci. Je-li tato volba vypnuta, pak jsou pˇ reddefinovaná pravidla ignorována a Kerio Personal Firewall pracuje pouze s pravidly pro aplikace (viz kapitola 6.2) a s rozšíˇ reným paketovým filtrem (viz kapitola 7).

53


Tlaˇ cítko Výchozí obnovuje výchozí nastavení akcí v pˇ reddefinovaných pravidlech.

Popis pˇ reddefinovaných pravidel Kerio Personal Firewall obsahuje tato pˇ reddefinovaná pravidla pro sít’ovou komunikaci: Internet Group Management Protocol Protokol IGMP se používá k pˇ rihlašování a odhlašování do/ze skupiny pˇ ríjemc˚ u multicastových zpráv. Tento protokol lze pomˇ ernˇ e snadno zneužít, a proto je ve výchozím nastavení zakázán. Povolte jej pouze v pˇ rípadˇ e, provozujete-li aplikace, které využívají technologie multicast zpráv (typicky pˇ renos zvuku ˇ ci videa po Internetu). Ping and Tracert in, Ping and Tracert out Programy Ping a Tracert (Traceroute) slouží ke zjištˇ ení odezvy vzdáleného poˇ cítaˇ ce, resp. trasování cesty v síti. K tomuto úˇ celu používají zprávy ˇ rídicího protokolu ICMP (Internet Control Message Protocol). Pˇ rípadný útoˇ cník zpravidla nejprve zkouší, zda vybraná IP adresa „žije“ — tj. zda odpovídá na uvedené ˇ rídicí zprávy. Blokováním tˇ echto zpráv se poˇ cítaˇ c stává „neviditelným“, což m˚ uže snížit pravdˇ epodobnost útoku. Ve výchozím nastavení jsou blokovány pˇ ríchozí Ping a Tracert zprávy z Internetu. Z d˚ uvˇ eryhodné zóny jsou tyto zprávy povoleny (pˇ redpokládá se, že napˇ r. správce sítˇ e bude programem Ping testovat dostupnost dané pracovní stanice). Odchozí Ping a Tracert zprávy jsou povoleny pro obˇ e zóny. Tyto nástroje jsou totiž velmi ˇ casto používány pro ovˇ eˇ rení funkˇ cnosti sít’ového pˇ ripojení ˇ ci dostupnosti vzdáleného poˇ cítaˇ ce. Other ICMP packets Pravidlo pro ostatní zprávy ˇ rídicího protokolu ICMP (napˇ r. pˇ resmˇ erování, cíl nedostupný apod.). Dynamic Host Configuration Protocol DHCP slouží k automatickému nastavování parametr˚ u TCP/IP (IP adresa, maska subsítˇ e, výchozí brána atd.). Upozornˇ ení: Zakázání DHCP m˚ uže zp˚ usobit nefunkˇ cnost sít’ového pˇ ripojení vašeho poˇ cítaˇ ce, pokud jsou parametry TCP/IP konfigurovány tímto protokolem! Domain Name System DNS slouží k pˇ revodu jmen poˇ cítaˇ cu ˚ na IP adresy. Aby bylo možné zadávat cílové poˇ cítaˇ ce jmény, musí být povolena komunikace alespoˇ n s jedním DNS serverem. Virtual Private Network Virtuální privátní sít’ (VPN) je bezpeˇ cné propojení dvou lokálních sítí (resp. pˇ ripojení vzdáleného klienta do lokální sítˇ e) pˇ res Internet šifrovaným kanálem (tzv. tunelem). Pravidlo Virtual Private Network povoluje/zakazuje vytváˇ rení VPN protokolem PPTP (proprietární protokol firmy Microsoft).

54

6.4 D˚ uvˇ eryhodná zóna

Broadcasts Pravidlo pro pakety se všeobecnou adresou. V zónˇ e Internet platí toto pravidlo také pro pakety se skupinovou adresou (multicasts).

6.4 D˚ uvˇ eryhodná zóna Pˇ ri definici pravidel pro aplikace Kerio Personal Firewall rozlišuje dvˇ e skupiny IP adres: d˚ uvˇ eryhodnou zónu a Internet. Akce pro pˇ ríchozí a odchozí komunikaci lze nastavit oddˇ elenˇ e pro každou zónu. D˚ uvˇ eryhodná zóna je uživatelsky definovaná skupina IP adres — jaké adresy budou považovány za d˚ uvˇ eryhodné, záleží ˇ cistˇ e na rozhodnutí uživatele. Všechny IP adresy, které nepatˇ rí do d˚ uvˇ eryhodné zóny, jsou automaticky zaˇ razeny do zóny Internet. K definici d˚ uvˇ eryhodné zóny slouží záložka D˚ uvˇ eryhodná zóna v sekci Sít’ová bezpeˇ cnost.

D˚ uvˇ eryhodná zóna m˚ uže obsahovat libovolný poˇ cet položek typu IP adresa, rozsah IP adres, subsít’ nebo sít’ pˇ ripojená k danému rozhraní (podrobnosti viz dále). U každé položky lze volitelnˇ e specifikovat rozhraní, na kterém jsou zadané IP adresy povoleny (toto je mj. ochrana proti falšování IP adres). D˚ uvˇ eryhodná zóna vždy obsahuje jednu pˇ reddefinovanou položku Loopback, kterou nelze zmˇ enit ani odstranit. Jedná se o lokální zpˇ etnovazební adresu (loopback) — tato adresa je vždy považována za d˚ uvˇ eryhodnou. Zaškrtávací pole ve sloupci D˚ uvˇ eryhodná znamená, že tato položka (sít’, rozsah adres atd.) patˇ rí do d˚ uvˇ eryhodné zóny. Položky, u nichž není toto pole zaškrtnuto, explicitnˇ e specifikují IP adresy, které nejsou považovány za d˚ uvˇ eryhodné. Takto lze mj. specifikovat výjimky (napˇ r. ned˚ uvˇ eryhodný poˇ cítaˇ c v d˚ uvˇ eryhodné síti). Položky v záložce D˚ uvˇ eryhodná zóna zároveˇ n urˇ cují sít’ová rozhraní (tj. sít’ové adaptéry, vytáˇ cená pˇ ripojení, VPN pˇ ripojení atd.), které Kerio Personal Firewall zná. Pokud firewall detekuje sít’ové rozhraní, které se nevyskytuje v žádné položce d˚ uvˇ eryhodné zóny, pak se dotáže uživatele, zda je toto rozhraní pˇ ripojené do d˚ uvˇ eryhodné sítˇ e ˇ ci nikoliv, a automaticky vytvoˇ rí odpovídající položku (podrobnosti viz kapitola 2.2).

55


Definice položek d˚ uvˇ eryhodné zóny Tlaˇ cítko Pˇ ridat, resp. Zmˇ enit otevírá dialog pro pˇ ridání, resp. zmˇ enu položky d˚ uvˇ eryhodné zóny (stejný úˇ cinek jako tlaˇ cítko Zmˇ enit má také dvojité kliknutí na vybrané položce).

Popis Slouží pro zvýšení pˇ rehlednosti — doporuˇ cujeme uvést struˇ cnou charakteristiku pˇ ridávaného rozsahu adres, subsítˇ e atd., pˇ rípadnˇ e d˚ uvod, proˇ c byly tyto IP adresy do d˚ uvˇ eryhodné zóny zaˇ razeny. Adaptér Výbˇ er adaptéru (rozhraní), na kterém jsou zadané IP adresy platné. Tato volba je také ochranou proti falšování IP adres — je-li paket s d˚ uvˇ eryhodnou IP adresou pˇ rijat z jiného rozhraní, než ke kterému je daná sít’ pˇ ripojena, pak je považován za ned˚ uvˇ eryhodný. Speciální volba — Libovolný — (libovolný adaptér) znamená, že Kerio Personal Firewall nebude kontrolovat, z jakého rozhraní byl paket s danou IP adresou pˇ rijat. Typ adresy Typ položky d˚ uvˇ eryhodné zóny: • Poˇ cítaˇ c — konkrétní IP adresa jednoho poˇ cítaˇ ce (resp. sít’ového zaˇ rízení) • IP adresa / mask — subsít’ zadaná IP adresou sítˇ e s odpovídající maskou • IP adresa / rozsah — rozsah IP adres zadaný poˇ cáteˇ cní a koncovou IP adresou (vˇ cetnˇ e) • Všechny adresy — libovolná IP adresa Poznámky: 1.

Volbu Všechny adresy lze použít pouze ve spojení s konkrétním adaptérem („sít’ pˇ ripojená k tomuto rozhraní“). V kombinaci s volbou — Libovolný — v položce Adaptér

56

6.5 Pokroˇ cilá nastavení sít’ové bezpeˇ cnosti

bychom totiž nastavili, že všechny IP adresy v Internetu patˇ rí do d˚ uvˇ eryhodné zóny. Toto nastavení nemá smysl a Kerio Personal Firewall jej nepovoluje (tlaˇ cítko OK je v tomto pˇ rípadˇ e neaktivní). 2.

Je-li v položce Adaptér vybrána vytáˇ cená linka, pak dialog Definice zóny umožˇ nuje nastavit chování firewallu pˇ ri zmˇ enˇ e telefonního ˇ císla. Podrobnosti naleznete v kapitole 6.8.

6.5 Pokroˇ cilá nastavení sít’ové bezpeˇ cnosti Záložka Pokroˇ cilé v sekci Sít’ová bezpeˇ cnost obsahuje volby pro upˇ resˇ nující nastavení zabezpeˇ cení a pro sledování nežádoucí komunikace.

Ochrana bˇ ehem startu systému Volba Blokovat všechny pokusy o pˇ ríchozí spojení... zapíná/vypíná nízkoúrovˇ novou ochranu poˇ cítaˇ ce (podrobnosti viz kapitola 6.6). Ve výchozí konfiguraci Kerio Personal Firewallu je nízkoúrovˇ nová ochrana zapnuta. Její vypnutí m˚ uže být užiteˇ cné pˇ ri testování a ˇ rešení problém˚ u (napˇ r. pˇ ri potížích se vzdálenou správou poˇ cítaˇ ce, který Kerio Personal Firewall chrání). Z bezpeˇ cnostních d˚ uvod˚ u doporuˇ cujeme nevypínat nízkoúrovˇ novou ochranu, pokud to není nezbytnˇ e nutné. Režim internetové brány Volba Povolit režim internetové brány pˇ repíná firewall do speciálního režimu pro ochranu internetové brány (tj. smˇ erovaˇ ce nebo smˇ erovaˇ ce s pˇ rekladem IP adres). Po zapnutí volby Povolit režim internetové brány bude Kerio Personal Firewall propouštˇ et pakety s cílovými porty, na kterých nebˇ eží žádná lokální aplikace, pˇ rípadnˇ e pakety s cílovými IP adresami, které nejsou lokální.

57


Není-li Kerio Personal Firewall skuteˇ cnˇ e nasazen na internetové bránˇ e, pak by tato volba mˇ ela být vypnuta, jinak degraduje ochranu lokálního poˇ cítaˇ ce! Upozornˇ ení: Kerio Personal Firewall v režimu internetové brány povoluje komunikaci mezi lokální sítí a Internetem, stále však chrání pouze poˇ cítaˇ c, na kterém je nainstalován! Nasazením produktu Kerio Personal Firewall na internetovou bránu nevznikne plnohodnotný sít’ový firewall! Poznámky: 1.

Volbu Povolit režim internetové brány lze také využít pro povolení sít’ové komunikace operaˇ cního systému, který je provozován v rámci programu VMWare (http://www.vmware.com/), jestliže Kerio Personal Firewall chrání hostitelský systém. Bude-li tato volba vypnuta, bude Kerio Personal Firewall blokovat pakety urˇ cené operaˇ cnímu systému uvnitˇ r VMWare.

2.

Je-li Kerio Personal Firewall použit k ochranˇ e proxy serveru, není tˇ reba tuto volbu zapínat (proxy server se chová jako klient na lokálním poˇ cítaˇ ci).

Rozšíˇ rené záznamy Volba Zaznamenávat pakety pˇ richázející na neotevˇ rené porty aktivuje záznam zachycených paket˚ u s cílovými porty, které nepatˇ rí žádnému procesu v lokálním operaˇ cním systému. Tyto pakety jsou automaticky zahazovány, mohou však signalizovat pokus o útok (scannování port˚ u). Poznámka: Režim internetové brány a záznam paket˚ u na neotevˇ rené porty nelze vzájemnˇ e kombinovat. V režimu internetové brány musí firewall všechny takové pakety propouštˇ et (jsou urˇ ceny jiným poˇ cítaˇ cu ˚m).

6.6 Nízkoúrovˇ nová ochrana poˇ cítaˇ ce Nízkoúrovˇ nový ovladaˇ c Kerio Personal Firewallu chrání poˇ cítaˇ c i v dobˇ e, kdy je firewall vypnutý. Tato situace nastává typicky pˇ ri startu systému (doba od aktivace sít’ových pˇ ripojení do chvíle, kdy se služba automaticky spustí) a pˇ ri aktualizaci produktu (pˇ ri instalaci nové verze Kerio Personal Firewallu je služba automaticky zastavena a znovu spuštˇ ena až po restartu serveru), pˇ rípadnˇ e pokud se služba Personal Firewall Engine (viz kapitola 3.1) po startu systému z nˇ ejakého d˚ uvodu nespustí. Ve výchozí instalaci Kerio Personal Firewall je nízkoúrovˇ nová ochrana zapnuta. V pˇ rípadˇ e potˇ reby je možno ji kdykoliv vypnout a opˇ et zapnout v uživatelském rozhraní firewallu (sekce Sít’ová bezpeˇ cnost, záložka Pokroˇ cilé — viz kapitola 6.5).

58

6.7 Detekce nových sít’ových rozhraní

Je-li nízkoúrovˇ nová ochrana zapnuta, pak se nízkoúrovˇ nový ovladaˇ c Kerio Personal Firewallu chová následovnˇ e: • Po startu operaˇ cního systému povoluje pouze odchozí komunikaci a blokuje veškerou pˇ ríchozí komunikaci. Server je tak stále chránˇ en, jeho služby jsou však nedostupné. Pokud se do 5 minut od startu systému nespustí Personal Firewall Engine, pˇ rejde ovladaˇ c do stavu, kdy povoluje veškerou komunikaci. Tím je zajištˇ eno, že komunikace se serverem nebude blokována v pˇ rípadech, kdy se z nˇ ejakého d˚ uvodu nepodaˇ rí Personal Firewall Engine spustit. • Po spuštˇ ení Personal Firewall Engine firewall povoluje a blokuje komunikaci podle nastavených pravidel sít’ové bezpeˇ cnosti. • Pˇ ri vypínání (restartu) operaˇ cního systému ovladaˇ c firewallu zablokuje veškerou pˇ ríchozí i odchozí komunikaci. Tak je server chránˇ en po dobu, kdy je služba Personal Firewall Engine již zastavena, ale sít’ový subsystém je dosud aktivní. • Pˇ ri ukonˇ cení služby Kerio Personal Firewall pˇ rejde ovladaˇ c do režimu, kdy povoluje veškerou sít’ovou komunikaci. Tento stav nastává pouze pˇ ri ruˇ cním ukonˇ cení firewallu nebo po pádu Personal Firewall Engine.

6.7 Detekce nových sít’ových rozhraní Je-li pˇ ri instalaci zvolen výchozí režim Advanced (viz kapitola 2.2), pak Kerio Personal Firewall automaticky detekuje aktivní sít’ová rozhraní poˇ cítaˇ ce, na kterém je nainstalován. Pro každé novˇ e detekované rozhraní zobrazí dotaz, zda je toto rozhraní pˇ ripojeno do d˚ uvˇ eryhodné sítˇ eˇ ci nikoliv. Poznámka: D˚ uvˇ eryhodná sít’ je taková sít’, o které uživatel pˇ redpokládá, že komunikace s poˇ cítaˇ ci v ní je bezpeˇ cná. Typicky se jedná o lokální sít’, která je proti pr˚ uniku z Internetu chránˇ ena sít’ovým firewallem. Kerio Personal Firewall umožˇ nuje definovat r˚ uzné akce pro d˚ uvˇ eryhodnou sít’ a pro zbytek Internetu (podrobnosti viz kapitola 6.4). V poli Jméno je uveden název pˇ ríslušného sít’ového adaptéru, v položce Adresa jeho IP adresa a maska subsítˇ e, do které je pˇ ripojen. Jméno rozhraní lze v tomto dialogu upravit (pro lepší pˇ rehlednost jej doporuˇ cujeme nahradit srozumitelným popisem, napˇ r. Sít’ová karta, Linka do Internetu apod.). Standardnˇ e je jako jméno rozhraní použit identifikaˇ cní ˇ retˇ ezec adaptéru naˇ ctený z pˇ ríslušného ovladaˇ ce zaˇ rízení. Stisknutím tlaˇ cítka Ano, je se subsít’, do níž je rozhraní pˇ ripojeno, zaˇ radí do skupiny d˚ uvˇ eryhodných IP adres (D˚ uvˇ eryhodná zóna). Tlaˇ cítko Ne, není zp˚ usobí, že tato subsít’ bude považována za souˇ cást Internetu.

59


Poznámky: 1.

Nastavení skupiny d˚ uvˇ eryhodných IP adres lze kdykoliv zmˇ enit (detailní informace naleznete v kapitole 6.4).

2.

Je-li kdykoliv pozdˇ eji pˇ ridáno ˇ ci aktivováno další rozhraní nebo je rozhraní pˇ repojeno do jiné subsítˇ e, Kerio Personal Firewall jej rovnˇ ež automaticky detekuje a zobrazí výše popsaný dialog.

3.

V pˇ rípadˇ e vytáˇ cené linky se navíc zobrazí informace o telefonním ˇ císle, které je ˇ vytáˇ ceno. Uživatel m˚ uže pˇ ripojení na toto telefonní císlo povolit nebo zakázat. Kerio Personal Firewall dokáže detekovat, zda nedošlo ke zmˇ enˇ e telefonního ˇ císla od posledního vytoˇ cení linky (ochrana proti nežádoucí zmˇ enˇ e nastavení telefonického pˇ ripojení). Podrobnosti naleznete v kapitole 6.8.

6.8 Kontrola vytáˇ cených telefonních ˇ císel Kerio Personal Firewall dokáže detekovat a blokovat zmˇ eny telefonních ˇ císel vytáˇ cených linek. Toto je ochrana proti nežádoucímu pˇ resmˇ erování telefonického pˇ ripojení ke službˇ e s vysokým tarifem. Takové pˇ resmˇ erování m˚ uže provést napˇ r. ActiveX objekt na WWW stránce, a to zcela bez vˇ edomí uživatele. V pˇ rípadˇ e zmˇ eny telefonního ˇ císla se Kerio Personal Firewall nejprve dotáže uživatele, zda se zmˇ enou telefonního ˇ císla souhlasí. Pokud ne, ihned linku zavˇ esí. Uživatel je tak chránˇ en pˇ red placením vysokých ˇ cástek za pˇ ripojení k nežádoucím službám.

60

6.8 Kontrola vytáˇ cených telefonních ˇ císel

Jak kontrola vytáˇ cených ˇ císel funguje? Pˇ ri prvním vytoˇ cení telefonického pˇ ripojení, které firewall dosud nezná, se zobrazí dotaz, zda je toto rozhraní pˇ ripojeno do d˚ uvˇ eryhodné sítˇ e (stejnˇ e jako pˇ ri detekci nového sít’ového adaptéru — viz kapitola 6.4). Vytáˇ cené pˇ ripojení bude zobrazováno jako rozhraní v sekci Sít’ová bezpeˇ cnost / D˚ uvˇ eryhodná zóna. Po dotazu na zaˇ razení adaptéru do d˚ uvˇ eryhodné zóny je zobrazen dialog s informací o novém telefonním ˇ císle.

V dialogu pro nastavení parametr˚ u tohoto rozhraní lze nastavit chování firewallu pˇ ri zmˇ enˇ e telefonního ˇ císla vytáˇ ceného pˇ ripojení.

61


Volba Telefonní ˇ císlo nabízí následující možnosti: • Ptát se — Kerio Personal Firewall se pˇ ri vytoˇ cení linky dotáže uživatele, zda akceptuje pˇ ríslušné telefonní ˇ císlo. V pˇ rípadˇ e, že ano, pak si toto ˇ císlo zapamatuje. V opaˇ cném pˇ rípadˇ e linku ihned zavˇ esí. Akceptuje-li uživatel nové telefonní ˇ císlo, pak dojde k automatickému pˇ repnutí na volbu Vždy používat toto ˇ císlo a pˇ ríslušné ˇ císlo se uloží. • Vždy používat toto ˇ císlo — firewall pˇ redpokládá, že telefonní ˇ císlo linky se nebude mˇ enit. Pˇ ri detekci jakékoliv zmˇ eny telefonního ˇ císla ze zobrazí dialog s informací o novém ˇ císle a dotazem, zda uživatel zmˇ enu ˇ císla akceptuje.

V poli Telefonní ˇ císlo je uvedeno nové telefonní ˇ císlo (tzn. telefonní ˇ císlo, které je nyní v pˇ ríslušném telefonickém pˇ ripojení nastaveno). Pole Adaptér zobrazuje název telefonického pˇ ripojení. Po stisknutí tlaˇ cítka Ano, pokraˇ covat Kerio Personal Firewall zmˇ enu ˇ císla akceptuje, povolí vytoˇ cení linky a zapamatuje si nové ˇ císlo. Tlaˇ cítko Ne, zavˇ esit znamená zamítnutí zmˇ eny — linka bude zavˇ ešena. • Nesledovat zmˇ eny ˇ císla na tomto rozhraní — firewall bude ignorovat zmˇ eny telefonního ˇ císla a vždy povolí vytoˇ cení linky. Tuto volbu lze využít napˇ r. pro testovací úˇ cely, kdy se bude telefonní ˇ císlo ˇ casto mˇ enit. Upozornˇ ení: Tato volba pˇ redstavuje bezpeˇ cnostní riziko (firewall nedetekuje pˇ rípadnou nežádoucí zmˇ enu telefonního ˇ císla) a nedoporuˇ cujeme ji proto nastavovat na výchozím internetovém pˇ ripojení!

62

Kapitola 7

Rozšíˇ rený paketový filtr

Paketový filtr umožˇ nuje definovat detailní pravidlo pro urˇ citou sít’ovou komunikaci. Kromˇ e lokální aplikace a smˇ eru komunikace lze urˇ cit také protokol, vzdálené IP adresy, vzdálené a lokální porty a další parametry. Pravidla paketového filtru lze definovat dvˇ ema zp˚ usoby: • Ruˇ cnˇ e — stisknutím tlaˇ cítka Paketový filtr... v sekci Sít’ová bezpeˇ cnost, záložka Aplikace se otevˇ re okno Rozšíˇ rený paketový filtr, ve kterém lze prohlížet, upravovat a rušit pravidla paketového filtru (podrobnosti viz dále). • Automaticky, resp. poloautomaticky — pˇ ri zachycení komunikace, pro kterou nebylo nalezeno odpovídající pravidlo, je zobrazen dialog Upozornˇ ení na spojení (viz kapitola 4.2); zaškrtnutím volby Vytvoˇ rit pravidlo rozšíˇ reného paketového filtru se namísto standardního pravidla pro aplikace vytvoˇ rí pravidlo paketového filtru. Poznámka: Rozšíˇ rený paketový filtr nerozlišuje mezi d˚ uvˇ eryhodnou zónou a Internetem (v pravidle je vždy uvedena konkrétní IP adresa, subsít’, skupina IP adres atd.).

7.1 Pravidla paketového filtru Pravidla rozšíˇ reného paketového filtru se zobrazují v záložce Pravidla okna Rozšíˇ rený paketový filtr. Pravidla tvoˇ rí uspoˇ rádaný seznam. Pˇ ri zachycení sít’ové komunikace se seznam prochází shora dol˚ u a použije se první pravidlo, kterému daná komunikace vyhoví. Tlaˇ cítky se šipkami nahoru a dol˚ u v pravé ˇ cásti okna nebo klávesami Ctrl + šipka nahoru, Ctrl + šipka dol˚ u lze poˇ radí pravidel v seznamu upravit dle potˇ reby. Díky tˇ emto vlastnostem je možno vytváˇ ret složitˇ ejší kombinace filtrovacích pravidel.

63

Kapitola 7 Rozšíˇ rený paketový filtr

ˇ Pro zvýšení pˇ rehlednosti lze pravidla paketového filtru ˇ radit do skupin. Clenství ve skupinˇ e nemá žádný vliv na vyhodnocování pravidel — vždy jsou procházena pravidla ve všech skupinách. Skupiny pravidel se zobrazují v levé ˇ cásti záložky Pravidla.

Po kliknutí na jméno skupiny se ve stˇ rední ˇ cásti okna zobrazí seznam pravidel patˇ rících do této skupiny. Následující dvˇ e skupiny jsou pˇ reddefinované a nelze je zrušit: • Všechna pravidla („nadˇ razená skupina“) — obsahuje všechna pravidla paketového filtru • Výchozí (výchozí skupina) — do této skupiny je automaticky zaˇ razeno každé novˇ e vytvoˇ rené pravidlo, pokud uživatel nezvolí jinou skupinu. Poznámka: Skupiny pravidel nelze explicitnˇ e vytváˇ ret a rušit. Skupinu lze vytvoˇ rit zadáním názvu nové (dosud neexistující) skupiny pˇ ri definici pravidla. Zaniká automaticky pˇ ri odstranˇ ení posledního pravidla. K manipulaci s pravidly paketového filtru slouží tlaˇ cítka pod seznamem skupin: • Zmˇ enit — úprava vybraného pravidla (dialog pro úpravu pravidla lze také otevˇ rít dvojitým kliknutím myší na vybrané pravidlo) • Pˇ ridat — pˇ ridání nového pravidla na konec seznamu • Vložit — pˇ ridání (vložení) nového pravidla na aktuální pozici (nad oznaˇ cené pravidlo) • Odebrat — smazání oznaˇ ceného pravidla Poznámky: 1.

Není-li oznaˇ ceno žádné pravidlo, je aktivní pouze tlaˇ cítko Pˇ ridat.

2.

Pˇ ridržením klávesy Ctrl nebo Shift lze oznaˇ cit více pravidel souˇ casnˇ e. Takto oznaˇ cenou skupinu pravidel lze pouze pˇ resunout nebo smazat. Tlaˇ cítko Zmˇ enit v tomto pˇ rípadˇ e otevˇ re dialog pro zmˇ enu prvního (horního) oznaˇ ceného pravidla. Funkce Vložit vloží nové pravidlo nad první pravidlo skupiny.

64

7.1 Pravidla paketového filtru

Vytvoˇ rení nebo zmˇ ena pravidla Po stisknutí tlaˇ cítka Pˇ ridat, Vložit nebo Zmˇ enit se otevˇ re dialog pro definici pravidla paketového filtru. Pravidlo má tyto parametry:

Popis Název/popis pravidla. Do této položky doporuˇ cujeme vyplnit struˇ cný popis pravidla (úˇ cel pravidla, název aplikace atd.) — výraznˇ e se tím zlepší pˇ rehlednost seznamu pravidel. Do automaticky vytváˇ rených pravidel se jako popis vkládá název lokální aplikace, která se úˇ castní dané komunikace. Aplikace Lokální aplikace, pro kterou pravidlo platí. Aplikaci lze zadat ruˇ cnˇ e (jméno spustitelného souboru vˇ cetnˇ e plné cesty), vybrat ze seznamu (pˇ ri rozbalení této položky se nabídne seznam aplikací použitých v jiných pravidlech) nebo vyhledat na disku poˇ cítaˇ ce (po stisknutí tlaˇ cítka Procházet... se zobrazí standardní systémový dialog pro otevˇ rení souboru). Filtrovací pravidlo m˚ uže být i obecné, tj. bude platit pro libovolnou aplikaci. Toho dosáhneme výbˇ erem speciální volby any, pˇ ríp. ponecháme pole Application prázdné. Skupina Skupina pravidel, do které má být pravidlo zaˇ razeno. Zaˇ razení do skupiny nemá žádný vliv na funkci pravidla, slouží pouze pro zpˇ rehlednˇ ení seznamu pravidel. V položce Skupina lze vybrat nˇ ekterou z již existujících skupin nebo zadat název nové skupiny — tím dojde k vytvoˇ rení skupiny, do které bude pravidlo zaˇ razeno. Pˇ ri vytváˇ rení nového pravidla je vždy nastavena výchozí skupina Výchozí . Totéž platí pro pravidla vytváˇ rená automaticky (viz výše nebo kapitola 4.2). Zaznamenat do záznamu Sít’ Zapnutí/vypnutí záznamu komunikace vyhovující tomuto pravidlu do záznamu Sít’ (viz kapitola 13.4). Upozornit uživatele Zapnutí/vypnutí zobrazení upozornˇ ení uživateli (viz kapitola 4.4) pˇ ri zachycení komunikace vyhovující tomuto pravidlu.

65


Protokol Nastavení komunikaˇ cních protokol˚ u, pro které má pravidlo platit. Typicky je pˇ ri komunikaci používán jeden protokol (napˇ r. TCP nebo UDP), nˇ ekteré aplikace však mohou využívat více protokol˚ u souˇ casnˇ e (napˇ r. TCP a UDP na stejných portech). Z˚ ustane-li pole Protocol prázdné (tj. nezadáme žádný komunikaˇ cní protokol), bude pravidlo platit pro libovolný komunikaˇ cní protokol. Poznámka: Komunikuje-li aplikace protokolem TCP i UDP, pˇ riˇ cemž každý protokol používá jiné porty, je tˇ reba v paketovém filtru definovat dvˇ e r˚ uzná pravidla. Po stisknutí tlaˇ cítka Pˇ ridat nebo Zmˇ enit se otevˇ re dialog pro definici protokolu.

Protokol je specifikován ˇ císlem protokolu v hlaviˇ cce IP paketu. Toto ˇ císlo lze pˇ rímo ˇ zadat do položky Císlo. V položce Jméno je možno vybrat nˇ ekterý z pˇ reddefinovaných standardních protokol˚ u. Položka Popis slouží k zadání popisu protokolu (pro zvýšení pˇ rehlednosti). Zobrazuje se pouze v tomto dialogu. Pˇ ri výbˇ eru protokolu ICMP se v dialogu zobrazí speciální položka Kódy. V ní lze nastavit typy ICMP zpráv, pro které bude pravidlo platit. Typy zpráv se zadávají jejich ˇ císelnými kódy (jednotlivé kódy musí být oddˇ eleny ˇ cárkou). Z˚ ustane-li položka Kódy nevyplnˇ ena, bude pravidlo platit pro všechny typy ICMP zpráv. K snadnému nastavení typ˚ u ICMP zpráv slouží speciální dialog, který se zobrazí stisknutím tlaˇ cítka Vybrat. V tomto dialogu je možné vybrat požadované typy ICMP zpráv. Jejich kódy budou po stisknutí tlaˇ cítka OK automaticky dosazeny do položky Kódy.

66


Lokální Specifikace lokální strany spojení. Kerio Personal Firewall implicitnˇ e používá všechny lokální IP adresy vˇ cetnˇ e zpˇ etnovazebních (loopback). Z tohoto d˚ uvodu lze pro lokální stranu spojení specifikovat pouze porty. Tlaˇ cítkem Pˇ ridat lze pˇ ridat jeden port (Pˇ ridat port) nebo rozsah port˚ u (Pˇ ridat rozsah port˚ u). Jednotlivých port˚ u i rozsah˚ u port˚ u m˚ uže být zadáno více — takto lze pokrýt libovolnou množinu port˚ u. ˇ Port m˚ uže být zadán ˇ císlem v položce Císlo (platné jsou pouze hodnoty z rozsahu 1-65535) nebo výbˇ erem pˇ reddefinované standardní služby v položce Jméno. Položka Popis slouží k zadání popisu portu, resp. služby (pro zvýšení pˇ rehlednosti). V pˇ rípadˇ e rozsahu port˚ u dialog obsahuje dvˇ eˇ cásti: První port (poˇ cáteˇ cní port rozsahu) a Poslední port (koncový port rozsahu).

67


Vzdálený Specifikace vzdálené strany spojení. Dle potˇ reby je možno zadat IP adresu, port, pˇ rípadnˇ e obojí. Pravidlo se pak uplatní, jestliže zachycený paket bude obsahovat nˇ ekterou z IP adres a zároveˇ n nˇ ekterý z port˚ u uvedených v poli Vzdálený. Vzdálený port m˚ uže být opˇ et zadán jednotlivˇ e (Pˇ ridat port) nebo jako rozsah port˚ u (Pˇ ridat rozsah port˚ u). IP adresa m˚ uže být zadána jako: • jedna IP adresa (Pˇ ridat adresu) • rozsah IP adres (Pˇ ridat rozsah adres) — zadáme poˇ cáteˇ cní a koncovou adresu požadovaného rozsahu • subsít’ (Pˇ ridat adresu / masku) — zadáme adresu subsítˇ e a odpovídající masku • skupina IP adres (Pˇ ridat skupinu IP adres) — v položce Vybrat vybereme nˇ ekterou ze skupin IP adres definovaných v záložce Skupiny IP adres Jednotlivé možnosti zadání port˚ u a IP adres lze libovolnˇ e kombinovat. Smˇ er Smˇ er komunikace, pro který má pravidlo platit: oba smˇ ery, pˇ ríchozí komunikace nebo odchozí komunikace. Smˇ erem komunikace je v tomto pˇ rípadˇ e mínˇ en smˇ er navazování spojení (resp. smˇ er prvního paketu, který zahajuje komunikaci).

68


Akce Akce, kterou má Kerio Personal Firewall provést pˇ ri zachycení komunikace odpovídající tomuto pravidlu: • Povolit komunikaci • Zakázat komunikaci

Logika vytváˇ rení pravidel paketového filtru Pˇ ri definici filtrovacího pravidla je tˇ reba znát logické vztahy mezi jednotlivými ˇ cástmi pravidla a položkami v nich obsaženými. • Vztah mezi poli Protokol, Lokální a Vzdálený je „a zároveˇ n“. Pravidlu tedy vyhoví komunikace, která splní podmínky ve všech tˇ echto polích. • Mezi položkami stejného typu (tj. protokoly, IP adresy a porty) v jednom poli platí vztah „nebo“.

69


Pˇ ríklad: Pole Vzdálený obsahuje dva rozsahy port˚ u: 80-88 a 8000-8080. Podmínka bude splnˇ ena, bude-li vzdálený port patˇ rit do jednoho z tˇ echto rozsah˚ u. • Mezi položkami typu „IP adresa“ a „port“ v poli Vzdálený platí vztah „a zároveˇ n“. Pˇ ríklad: Pole Vzdálený obsahuje IP adresu 65.131.55.1 a port 80. Tuto podmínku splní komunikace se vzdáleným poˇ cítaˇ cem s IP adresou 65.131.55.1 na portu 80.

Poznámky k definici pravidel Položky Protocol, Lokální a Vzdálený spolu úzce souvisejí. Pˇ ri definici filtrovacích pravidel by mˇ el uživatel dodržovat nˇ ekolik základních zásad: 1.

Porty mají smysl pouze v pˇ rípadˇ e komunikaˇ cních protokol˚ u TCP a UDP. U ostatních protokol˚ u jsou ignorovány. Platí-li pravidlo pro libovolný protokol (pole Protokol je prázdné), pak se porty uplatní v pˇ rípadˇ e, kdy je zachycena komunikace protokolem TCP nebo UDP.

2.

Aplikaˇ cní služba je dána ˇ císly port˚ u a protokoly. V dialogu pro definici filtrovacího pravidla však název služby pˇ redstavuje pouze port — odpovídající protokol je tˇ reba doplnit ruˇ cnˇ e. Pˇ ríklad: Chceme vytvoˇ rit pravidlo pro pˇ ríchozí HTTP komunikaci (napˇ r. povolit pˇ rístup na WWW server na poˇ cítaˇ ci, který je chránˇ en Kerio Personal Firewallem). • V sekci Lokální pˇ ridáme jeden port (Pˇ ridat port), zvolíme službu HTTP — tím se nastaví port 80. • V sekci Protokol musíme nastavit protokol TCP, který služba HTTP používá.

3.

Velmi rozšíˇ rený je model komunikace klient-server, kdy server ˇ ceká na známém (dohodnutém) portu na pˇ ríchozí spojení. Klient pˇ ri navazování spojení požádá operaˇ cní

70

7.2 Skupiny IP adres

systém o pˇ ridˇ elení volného lokálního portu (který není pˇ redem znám). Z toho vyplývá, že zatímco port serveru musí být znám, port klienta m˚ uže být (témˇ eˇ r) libovolný. Tyto skuteˇ cnosti je tˇ reba brát v úvahu pˇ ri definici pravidel paketového filtru. Pro ilustraci uved’me dva pˇ ríklady: Pˇ ríklad 1: Chceme povolit pˇ rístup k WWW serveru na lokálním poˇ cítaˇ ci z poˇ cítaˇ ce s IP adresou 60.80.100.120. Definujeme pravidlo: • Protokol — [6] TCP (služba HTTP využívá transportní protokol TCP) • Lokální — Port: [80] HTTP (na lokálním poˇ cítaˇ ci bˇ eží WWW server) • Vzdálený — Address: 60.80.100.120 (na vzdáleném poˇ cítaˇ ci bude provozován klient — WWW prohlížeˇ c; port pˇ redem neznáme, proto v pravidle uvedeme pouze IP adresu) Pˇ ríklad 2: Z lokálního poˇ cítaˇ ce chceme zakázat pˇ rístup k WWW serveru s IP adresou 90.80.70.60. Pravidlo definujeme takto: • Protokol — [6] TCP • Lokální — toto pole ponecháme nevyplnˇ ené (port klienta nelze pˇ redem urˇ cit) • Vzdálený — Port: [80] HTTP, Address: 90.80.70.60 (specifikujeme vzdálený server)

7.2 Skupiny IP adres Pro snazší definici pravidel paketového filtru je možno vytváˇ ret skupiny IP adres, které pak lze v pravidlech použít v sekci Remote dialogu pro editaci pravidel paketového filtru (viz výše). Skupiny adres se zobrazují a definují v záložce Skupiny IP adres okna Rozšíˇ rený paketový filtr.

71


Okno obsahuje dva sloupce: • Jméno skupiny — jméno skupiny IP adres, pˇ ri rozbalení se pod jménem skupiny zobrazí položky obsažené v této skupinˇ e • Definice — obsah (definice) jednotlivých položek skupiny Zaškrtávací pole vedle popisu položky slouží k doˇ casnému vyˇ razení položky ze skupiny. Toho lze využívat napˇ r. pˇ ri experimentování a odhalování chyb — položku není tˇ reba odstraˇ novat a poté znovu pˇ ridávat. Po stisknutí tlaˇ cítka Pˇ ridat (resp. Zmˇ enit, je-li vybrána nˇ ejaká položka) se otevˇ re dialog pro definici skupiny IP adres.

72

7.2 Skupiny IP adres

Povolena Povolení / zakázání položky. Tato volba koresponduje se zaškrtávacím polem vedle názvu položky v záložce Skupiny IP adres (viz výše). Je-li volba Povolena vypnuta, položka je neaktivní, tzn. není souˇ cástí dané skupiny. Jméno skupiny Jméno skupiny, do které má být položka zaˇ razena. V tomto poli lze: • vybrat jméno již definované skupiny — položka bude pˇ ridána do této skupiny • zadat jméno nové (dosud neexistující) skupiny — tím dojde k vytvoˇ rení nové skupiny a zaˇ razení položky do této skupiny Typ Typ pˇ ridávané položky: • Poˇ cítaˇ c — IP adresa jednoho poˇ cítaˇ ce • Rozsah adres — rozsah IP adres zadaný poˇ cáteˇ cní (První adresa) a koncovou (Poslední adresa) adresou •

Adresa / maska — subsít’ zadaná adresou sítˇ e s odpovídající maskou

• Skupina adres — jiná skupina IP adres (skupiny IP adres lze do sebe vnoˇ rovat).

73


74

Kapitola 8

Kontrola spouštˇ ených aplikací (bezpeˇ cnost systému)

Kerio Personal Firewall má kontrolu nad všemi aplikacemi v operaˇ cním systému, bez ohledu na to, zda sít’ovˇ e komunikují ˇ ci nikoliv. Takto napˇ r. dokáže okamžitˇ e odhalit nakažení aplikace novým virem ˇ ci trojským konˇ em — narozdíl od antivirového programu, kde vždy existuje urˇ citá prodleva mezi objevením nového viru a pˇ ríslušnou aktualizací virové databáze. K nastavení parametr˚ u kontroly aplikací slouží sekce Bezpeˇ cnost systému. Volba Povolit modul bezpeˇ cnosti systému zapíná/vypíná kontrolu spouštˇ ených aplikací. Je-li tato volba vypnuta, pak Kerio Personal Firewall spouštˇ ení aplikací nesleduje.

8.1 Pravidla pro aplikace Záložka Aplikace v sekci Bezpeˇ cnost systému obsahuje pravidla pro spouštˇ ení a zámˇ enu konkrétních aplikací.

Tato pravidla se vytváˇ rejí na základˇ e interakce s uživatelem pˇ ri spuštˇ ení dosud neznámé aplikace. Pravidla nelze vytváˇ ret ruˇ cnˇ e, lze pouze mˇ enit jejich nastavení nebo je odstranit.

75

Kapitola 8 Kontrola spouštˇ ených aplikací (bezpeˇ cnost systému)

Pro každou aplikaci m˚ uže uživatel nastavit akci, kterou má firewall provést pˇ ri spuštˇ ení aplikace, pˇ ri zmˇ enˇ e spustitelného souboru aplikace a pˇ ri spuštˇ ení jiné aplikace touto aplikací. Akci lze nastavit: 1.

pˇ rímo v seznamu aplikací — klikáním levým tlaˇ cítkem na vybranou akci se cyklicky pˇ repíná: povolit, zakázat a ptát se (dotázat se uživatele)

2.

v kontextovém menu, které se zobrazí po kliknutí pravým tlaˇ cítkem na vybranou akci

3.

v dialogu pro úpravu pravidla. Tento dialog se otevírá tlaˇ cítkem Zmˇ enit, pˇ ríp. volbou Zmˇ enit z kontextového menu vybraného pravidla.

• V záhlaví dialogu je zobrazen popis aplikace, ikona a úplná cesta k spustitelnému souboru aplikace. • Pole Nastavení bezpeˇ cnosti systému umožˇ nuje nastavení akcí pro výše popsané tˇ ri pˇ rípady. • Volba Zaznamenat do záznamu Systém zapíná/vypíná záznam aktivity pˇ ríslušné aplikace (tj. spuštˇ ení, zmˇ ena spustitelného souboru nebo spuštˇ ení jiné aplikace touto aplikací) • Volba Upozornit uživatele zapíná/vypíná zobrazování upozornˇ ení uživateli (viz kapitola 4.4) pˇ ri aktivitˇ e pˇ ríslušné aplikace.

76

8.2 Obecná pravidla

8.2 Obecná pravidla

Pravidla v záložce Nastavení urˇ cují základní chování firewallu v následujících situacích: • Jestliže je aplikace spouštˇ ena • Jestliže aplikace byla zmˇ enˇ ena — zmˇ ena spustitelného souboru aplikace (pˇ ri spuštˇ ení aplikace se vytvoˇ rí kontrolní souˇ cet spustitelného souboru a porovná se s kontrolním souˇ ctem, který má Kerio Personal Firewall uložen ve své databázi) • Jestliže se aplikace pokouší spustit jinou aplikaci Pro každý z uvedených pˇ rípad˚ u lze nastavit jednu z tˇ echto možností: • automaticky povolit tuto akci — Kerio Personal Firewall neblokuje spouštˇ ení aplikace, resp. akceptuje zámˇ enu spustitelného souboru) • použít existující pravidla pro systémovou bezpeˇ cnost nebo se dotázat — Kerio Personal Firewall použije pravidlo pro danou aplikaci (pokud existuje) nebo se dotáže uživatele, zda tuto akci povolí ˇ ci nikoliv (viz kapitola 4.3)

77

Kapitola 8 Kontrola spouštˇ ených aplikací (bezpeˇ cnost systému)

78

Kapitola 9

Interní pravidla firewallu

Kerio Personal Firewall obsahuje pˇ reddefinovaná pravidla pro povolení sít’ové komunikace v urˇ citých pˇ rípadech (napˇ r. registrace licence ˇ ci aktualizace produktu) a povolení spuštˇ ení urˇ citých aplikací (systémových komponent). Interní pravidla firewallu mají pˇ rednost pˇ red uživatelsky definovanými pravidly. Uživatel nem˚ uže interní pravidla vypnout ani zmˇ enit.

9.1 Interní pravidla pro sít’ovou komunikaci Tato pravidla zajišt’ují povolení sít’ové komunikace mezi jednotlivými komponentami Kerio Personal Firewallu pˇ ri lokální nebo vzdálené správˇ e, pˇ ripojení na servery firmy Kerio Technologies pˇ ri registraci licence nebo kontrole nové verze apod. Interní pravidla pro sít’ovou komunikaci jsou uživateli skryta — v Personal Firewall GUI se nezobrazují. Vzdálená konfigurace Toto pravidlo povoluje pˇ ripojení Personal Firewall GUI k Persoripojení nal Firewall Engine. Je-li povolena vzdálená správa (viz kapitola 5.3), pak je pˇ povoleno z libovolného poˇ cítaˇ ce, v opaˇ cném pˇ rípadˇ e pouze z lokálního poˇ cítaˇ ce. Podmínka

Aplikace

Smˇ er

Protokol

Vzd. port

Vzd. adresa

Vzd. správa povolena

kpf4ss.exe

pˇ ríchozí

TCP+UDP

44334

libovolná

Vzd. správa zakázána

kpf4ss.exe

pˇ ríchozí

TCP+UDP

44334

localhost

Komunikace Personal Firewall GUI s Personal Firewall Engine Toto pravidlo povoluje Personal Firewall GUI navázat spojení na Personal Firewall Engine (pˇ ripojení k lokální správˇ e). Poznámka: Toto pravidlo povoluje pouze lokální pˇ ripojení (tj. pˇ ripojení k Personal Firewall Engine na tomtéž poˇ cítaˇ ci). V pˇ rípadˇ e vzdálené správy je Personal Firewall GUI považováno za standardní sít’ovou aplikaci a použijí se pravidla pro sít’ovou komunikaci (viz kapitola 6).

79

Kapitola 9 Interní pravidla firewallu

Podmínka

Aplikace

Smˇ er

Protokol

Vzd. port

Vzd. adresa

Platí vždy

kpf4gui.exe

odchozí

TCP+UDP

44334

localhost

Komunikace Personal Firewall Engine s Personal Firewall GUI Pravidlo povoluje Personal Firewall Engine navázání spojení na Personal Firewall GUI (zobrazování dialogových oken, upozornˇ ení atd.). Podmínka

Aplikace

Smˇ er

Protokol

Vzd. port

Vzd. adresa

Vzd. správa povolena

kpf4ss.exe

odchozí

TCP+UDP

libovolný

libovolná

Vzd. správa zakázána

kpf4ss.exe

odchozí

TCP+UDP

libovolný

localhost

DNS dotazy Pravidlo povoluje komponentám Kerio Personal Firewallu vysílat DNS dotazy na libovolný DNS server. DNS dotazy slouží napˇ r. ke zjišt’ování jmen poˇ cítaˇ cu ˚ pro zobrazování v Personal Firewall GUI , pro zjištˇ ení IP adresy cílového poˇ cítaˇ ce pˇ ri pˇ ripojování ke vzdálené správˇ e apod. Podmínka

Aplikace

Smˇ er

Protokol

Vzd. port

Vzd. adresa

Platí vždy

kpf4ss.exe

oba

UDP

53

libovolná

Platí vždy

kpf4gui.exe

oba

UDP

53

libovolná

Odesílání výpis˚ u pamˇ eti Je-li povoleno odesílání výpisu pamˇ eti v pˇ rípadˇ e pádu aplikace do firmy Kerio Technologies (viz kapitola 5.3), pak toto pravidlo povoluje pˇ rístup na pˇ ríslušný server. Podmínka

Aplikace

Smˇ er

Protokol

Vzd. port

Vzd. adresa

Odes. povoleno

assist.exe

odchozí

TCP

libovolný

crashes.kerio.com

Záznam blokovaných pop-up a pop-under oken Je-li zapnuto blokování pop-up oken (viz kapitola 11.1), pak je na filtrované stránky dosazován speciální skript, který zasílá Personal Firewall Engine informace o blokovaných oknech. Komunikace probíhá protokolem TCP na speciálním portu (44501). Podmínka

Aplikace

Smˇ er

Protokol

Vzd. port

Vzd. adresa

Platí vždy

libovolná

odchozí

TCP

44501

localhost

Kontrola nových verzí Toto pravidlo povoluje pˇ rístup na server pro zjišt’ování a stahování nových verzí programu Kerio Personal Firewall. Poznámka: K tomuto úˇ celu m˚ uže být využito více r˚ uzných server˚ u, proto není server v pravidle specifikován.

80

9.2 Interní pravidla systémové bezpeˇ cnosti

Podmínka

Aplikace

Smˇ er

Protokol

Vzd. port

Vzd. adresa

Proxy server

kpf4ss.exe

odchozí

TCP

proxy_port*

proxy_ip*

Pˇ rímý pˇ rístup

kpf4ss.exe

odchozí

TCP

libovolný

libovolná

*) IP adresu a port proxy serveru zjišt’uje Kerio Personal Firewall automaticky z nastavení operaˇ cního systému (Možnosti sítˇ e Internet v Ovládacích panelech). Registrace produktu Toto pravidlo umožˇ nuje registraci licence programu Kerio Personal Firewall (viz kapitola 3.3) na pˇ ríslušném serveru. Podmínka

Aplikace

Smˇ er

Protokol

Vzd. port

Vzd. adresa

Proxy server

kpf4ss.exe

odchozí

TCP

prx_port*

prx_ip*

Pˇ rímý pˇ rístup

kpf4ss.exe

odchozí

TCP

443

secure.kerio.com

*) IP adresu a port proxy serveru zjišt’uje Kerio Personal Firewall automaticky z nastavení operaˇ cního systému (Možnosti sítˇ e Internet v Ovládacích panelech). Záznam na Syslog server Je-li povolen záznam na Syslog server (viz kapitola 13.3), pak toto pravidlo povoluje navázání spojení Personal Firewall Engine se Syslog serverem. Podmínka

Aplikace

Smˇ er

Protokol

Vzd. port

Vzd. adresa

Syslog povolen

kpf4ss.exe

odchozí

UDP

sslg_port*

sslg_ip*

*) IP adresa a port Syslog serveru specifikované v sekci Záznamy, záložka Nastavení .

9.2 Interní pravidla systémové bezpeˇ cnosti Tato pravidla povolují spouštˇ ení souˇ cástí operaˇ cního systému, na kterém je Kerio Personal Firewall nainstalován. Interní pravidla systémové bezpeˇ cnosti se zobrazují v sekci uže v tˇ echto pravidlech naBezpeˇ cnost systému / Aplikace (viz kapitola 8.1). Uživatel m˚ stavovat akce, pˇ rípadnˇ e záznam událostí nebo zobrazování upozornˇ ení, nem˚ uže však tato pravidla odstranit. Nˇ ekterá z tˇ echto interních pravidel se uplatˇ nují pouze v urˇ citých verzích operaˇ cního systému Windows (nˇ ekteré systémové komponenty se v jednotlivých verzích liší).

81


Pravidla pro souˇ cásti operaˇ cního systému V následujícím popisu pravidel pro systémové komponenty jsou použity tyto symboly pro oznaˇ cení cesty k souboru: • WIN_DIR — hlavní adresáˇ r operaˇ cního systému Windows (typicky C:\WINNT pro Windows NT/2000, C:\WINDOWS pro všechny ostatní verze) • SYS_DIR — systémový adresáˇ r Windows (typicky C:\WINDOWS\SYSTEM pro Windows 98/Me, C:\WINNT\SYSTEM32 pro Windows NT/2000 a C:\WINDOWS\SYSTEM32 pro Windows XP) 1.

Pravidla spoleˇ cná pro všechny verze operaˇ cního systému Windows

Aplikace

Popis

Spuštˇ ení

Zámˇ ena

Spuštˇ ení jiné

WIN_DIR\explorer.exe

Windows Explorer

Povolit

Ptát se

Povolit

2.

3.

4.

Pravidla specifická pro operaˇ cní systémy Windows 98/ME Aplikace

Popis

Spuštˇ ení

Zámˇ ena

Spuštˇ ení jiné

SYS_DIR\systray.exe

System Tray

Povolit

Ptát se

Povolit

Pravidla specifická pro operaˇ cní systémy Windows NT/2000/XP Aplikace

Popis

Spuštˇ ení

Zámˇ ena

Spuštˇ ení jiné

SYS_DIR\services.exe

Services app.

Povolit

Ptát se

Povolit

SYS_DIR\winlogon.exe

Logon app.

Povolit

Ptát se

Povolit

Pravidla specifická pro operaˇ cní systémy Windows 2000/XP

Aplikace

Popis

Spuštˇ ení

Zámˇ ena

Spuštˇ ení jiné

SYS_DIR\svchost.exe

Generic Host Proc.

Povolit

Ptát se

Povolit

5.

Pravidla specifická pro operaˇ cní systém Windows XP

Aplikace

Popis

Spuštˇ ení

Zámˇ ena

Spuštˇ ení jiné

SYS_DIR\logonui.exe

Logon UI

Povolit

Ptát se

Povolit

SYS_DIR\csrss.exe

Client Server

Povolit

Ptát se

Povolit

SYS_DIR\smss.exe

Client Server

Povolit

Ptát se

Povolit

SYS_DIR\svchost.exe

Generic Host Proc.

Povolit

Ptát se

Povolit

82

9.3 Pravidla pro komponenty antivirového systému AVG

Pravidla pro komponenty Kerio Personal Firewallu Tato pravidla povolují spouštˇ ení jednotlivých komponent aplikace Kerio Personal Firewall a pomocných program˚ u. Uvedená pravidla jsou shodná pro všechny podporované verze operaˇ cního systému Windows. *) Výraz KPF_DIR znamená adresáˇ r, kde je Kerio Personal Firewall nainstalován (typicky C:\Program Files\Kerio\Personal Firewall 4). Aplikace

Popis

Spuštˇ ení

Zámˇ ena

Spuštˇ ení jiné

KPF_DIR\kpf4gui.exe*

KPF GUI

Povolit

Povolit + záznam

Povolit

KPF_DIR\kpf4ss.exe*

KPF Service

Povolit

Povolit + zázn.

Povolit

KPF_DIR\assist.exe*

Core dumper

Povolit

Povolit + zázn.

Povolit

KPF_DIR\cfgconv.exe*

Conf. conv.

Povolit

Povolit + zázn.

Povolit

9.3 Pravidla pro komponenty antivirového systému AVG Je-li pˇ ri prvním spuštˇ ení Kerio Personal Firewallu (tj. bezprostˇ rednˇ e po instalaci, pˇ rípadnˇ e po smazání konfiguraˇ cního souboru kpf.cfg) v operaˇ cním systému detekován antivirus AVG, pak jsou do sekce Sít’ová bezpeˇ cnost / Aplikace (viz kapitola 6.2) automaticky pˇ ridána následující dvˇ e pravidla povolující sít’ovou komunikaci komponent antiviru.

• První pravidlo povoluje komunikaci komponenty AVG E-mail Scanner (Kontrola pošty) s poštovními servery (E-mail Scanner je zaˇ razen mezi poštovního klienta a servery). • Druhé pravidlo povoluje automatickou aktualizaci systému AVG a virové databáze z pˇ ríslušných server˚ u. Pravidla pro antivirový systém AVG m˚ uže uživatel libovolnˇ e mˇ enit, pˇ rípadnˇ e odstranit. Budou-li tato pravidla odstranˇ ena, bude Kerio Personal Firewall na komunikaci komponent AVG reagovat stejnˇ e jako na jinou neznámou komunikaci. Upozornˇ ení: Používáte-li antivirus AVG, nedoporuˇ cujeme odstraˇ novat výše uvedená pravidla, pokud si nejste opravdu jisti, co dˇ eláte! Odstranˇ ením tˇ echto pravidel m˚ uže dojít k zablokování aktualizace AVG (antivirus pak nebude schopen detekovat nové viry), pˇ rípadnˇ e k nefunkˇ cnosti elektronické pošty.

83


84

Kapitola 10

Detekce útok˚ u

Kerio Personal Firewall dokáže rozpoznat a blokovat ˇ radu známých typ˚ u útok˚ u. K tomuto úˇ celu má vlastní databázi útok˚ u, která m˚ uže být aktualizována s novými verzemi programu (z tohoto d˚ uvodu doporuˇ cujeme provádˇ et aktualizaci Kerio Personal Firewallu vždy, když se automaticky nabídne). Kerio Personal Firewall obsahuje systém detekce útok˚ u (IDS — Intrusion Detection System) kompatibilní s volnˇ e šiˇ ritelným IDS Snort (http://www.snort.org/). Poznámka: Pravidla systému detekce útok˚ u jsou uložena v podadresáˇ ri config\IDSRules instalaˇ cního adresáˇ re (typicky C:\Program Files\Kerio\Personal Firewall 4\config\IDSRules).

10.1 Nastavení systému detekce útok˚ u Parametry systému detekce útok˚ u lze nastavit v sekci Útoky.

Volba Povolit modul detekce útok˚ u zapíná/vypíná systém detekce útok˚ u.

85

Kapitola 10 Detekce útok˚ u

Kerio Personal Firewall rozlišuje tˇ ri skupiny útok˚ u: • Útoky s vysokou prioritou — kritické útoky — napˇ r. poškození operaˇ cního systému, pokusy o ovládnutí systému ˇ ci únik dat • Útoky se stˇ rední prioritou — útoky, které zp˚ usobují napˇ r. blokování urˇ citých služeb, nefunkˇ cnost sít’ového pˇ ripojení apod. • Útoky s nízkou prioritou — ménˇ e závažné útoky (podezˇ relé sít’ové aktivity, chyby v protokolech, neplatný formát dat apod.) Pro každou z tˇ echto skupin lze oddˇ elenˇ e nastavit chování firewallu: • Akce — reakce firewallu na útoky z této skupiny (Povolit nebo Zakázat, tj. blokovat). Obecnˇ e je doporuˇ ceno blokovat útoky skupin Útoky s vysokou prioritou a Útoky se stˇ rední prioritou — nepovolujte útoky tˇ echto skupin, pokud si nejste skuteˇ cnˇ e jisti, co a proˇ c dˇ eláte (napˇ r. experimentální úˇ cely). Útoky s nízkou prioritou jsou ve výchozím nastavení povoleny — jejich blokování by mohlo zp˚ usobovat nefunkˇ cnost urˇ citých služeb. • Zaznamenat — záznam všech detekovaných útok˚ u z této skupiny do logu Útoky (viz kapitola 13.6). Tlaˇ cítko Podrobnosti zobrazí okno se seznamem útok˚ u v dané skupinˇ e.

86

10.1 Nastavení systému detekce útok˚ u

Okno obsahuje název (popis) útoku (sloupec Útok) a tˇ rídu útoku (sloupec Tˇ rída). Podrobné informace naleznete na WWW stránkách systému detekce útok˚ u Snort (http:/www.snort.org/). Speciálním pˇ rípadem útoku je tzv. Scannování port˚ u (vyhledávání otevˇ rených port˚ u na daném poˇ cítaˇ ci). Z definice scannování port˚ u vyplývá, že jej není možné zcela blokovat, pokud má uživatel otevˇ rené nˇ ejaké porty (uzavˇ rené porty se automaticky blokují). Kerio Personal Firewall jej pouze detekuje — volba Zaznamenat zapíná/vypíná záznam o scannování port˚ u do logu Útoky.

87

Kapitola 10 Detekce útok˚ u

88

Kapitola 11

Filtrování obsahu WWW stránek

Filtr obsahu WWW stránek v Kerio Personal Firewallu má dvˇ e hlavní funkce: • blokování reklam (tj. banner˚ u, pop-up oken, skript˚ u atd.) • ochrana soukromí (tj. kontrola odesílaných dat a ukládaných cookies) K nastavení parametr˚ u filtrování obsahu slouží sekce WWW konfiguraˇ cního okna Kerio Personal Firewallu. Volba Povolit filtrování obsahu WWW v záložce Blokování zapíná/vypíná filtrování obsahu. Je-li tato volba vypnuta, pak neprovádí Kerio Personal Firewall kontrolu obsahu WWW stránek.

11.1 Blokování reklam, skript˚ u a pop-up oken

Kerio Personal Firewall má tyto možnosti filtrování nežádoucích prvk˚ u WWW stránek: Blokovat reklamy Blokování reklam podle definovaných pravidel. Tlaˇ cítko Nastavit otevírá dialog pro definici tˇ echto pravidel (viz dále).

89

Kapitola 11 Filtrování obsahu WWW stránek

Blokovat pop-up a pop-under okna Zákaz otevírání nevyžádaných oken prohlížeˇ ce (pop-up = okno otevˇ rené nad aktuálním oknem, pop-under = okno otevˇ rené pod aktuálním oknem — uživatel reklamu spatˇ rí po uzavˇ rení okna s navštívenou stránkou). Doˇ casnˇ e vyˇ radit pˇ ridržením klávesy Po zapnutí této volby bude uživatel moci pˇ ridržením zvolené klávesy (Ctrl nebo F12) vyˇ radit funkci blokování pop-up a pop-under oken dle potˇ reby (napˇ r. po dobu otevírání konkrétní WWW stránky). Vyˇ razení blokování pop-up oken je indikováno ikonou Kerio Personal Firewallu na nástrojové lištˇ e.

Upozornˇ ení: Klávesa F12 m˚ uže vykazovat kolize v debuggeru firmy Microsoft. Používáte-li vývojový nástroj Microsoft Visual Studio, doporuˇ cujeme pro doˇ casné vyˇ razení blokování pop-up oken nastavit klávesu Ctrl. Blokovat skripty jazyka JavaScript, VBScript Filtrování všech pˇ ríkaz˚ u pˇ ríslušného skriptovacího jazyka z WWW stránek. Blokovat objekty ActiveX Filtrování všech ActiveX komponent z WWW stránek. Poznámka: Výše uvedené tˇ ri volby mohou v urˇ citých pˇ rípadech zp˚ usobit nesprávné zobrazování nˇ ekterých stránek. Pokud taková situace nastane, je tˇ reba definovat výjimky pro konkrétní stránky v záložce Výjimky, pˇ rípadnˇ e tyto volby nezapínat a filtrovat reklamy jiným zp˚ usobem (napˇ r. volbou Blokovat reklamy).

Pravidla pro filtrování reklam Tlaˇ cítko Nastavit otevírá okno s pravidly pro filtrování reklam. Každé pravidlo je složeno ze dvou ˇ cástí: Serverová ˇ cást (jméno nebo IP adresa WWW serveru) a Lokální ˇ cást (relativní adresa objektu na daném serveru). Pokud je vyplnˇ ena pouze jedna z tˇ echto položek, pak: • je-li položka WWW server prázdná, platí pravidlo pro uvedenou relativní adresu na libovolném serveru • je-li položka Cesta na serveru prázdná, pak pravidlo platí pro libovolný objekt na uvedeném serveru (de facto blokování pˇ rístupu na tento WWW server) Zaškrtávací pole ve sloupci Aktivní zapíná/vypíná pˇ ríslušné pravidlo. Takto lze pravidlo doˇ casnˇ e „vyˇ radit“ bez nutnosti jej odstraˇ novat a poté znovu pˇ ridávat.

90

11.1 Blokování reklam, skript˚ u a pop-up oken

Tlaˇ cítka Zmˇ enit, Odebrat a Pˇ ridat slouží pro úpravu ˇ ci odstranˇ ení vybraného pravidla, resp. pˇ ridání nového pravidla. Kerio Personal Firewall má vlastní databázi pˇ reddefinovaných pravidel, která jsou oznaˇ cena ikonou. Pˇ reddefinovaná pravidla nelze zmˇ enit ani odstranit, lze je pouze aktivovat a deaktivovat. Databáze pˇ reddefinovaných pravidel je aktualizována pˇ ri instalaci nové verze Kerio Personal Firewallu. Pˇ ri aktualizaci z˚ ustane zachováno nastavení sloupce Aktivní (tzn. pˇ ri aktualizaci se neaktivují pravidla, která uživatel vypnul). Tlaˇ cítko Pˇ ridat nebo Zmˇ enit otevírá dialog pro definici pravidla filtru reklam. Pravidlo sestává ze dvou ˇ cástí: • WWW server — jméno WWW serveru • cesta na serveru — cesta k objektu (umístˇ ení objektu) na tomto serveru Pˇ ri definici serverová a lokální ˇ cást mohou být použity bud’ zástupné znaky (jednodušší definice) nebo regulární výrazy (komplexní definice, pro zkušené uživatele).

Definice pravidla pomocí zástupných znak˚ u

91


Je-li volba Použít regulární výrazy místo zástupných znak˚ u vypnuta, pak lze v položkách WWW server a Cesta na serveru použít tyto dva zástupné znaky: • * (hvˇ ezdiˇ cka) — nahrazení libovolného (i nulového) poˇ ctu znak˚ u • ? (otazník) — nahrazení právˇ e jednoho znaku Pˇ ríklady: • Položka WWW server obsahuje ˇ retˇ ezec *.kerio.com. Tomuto pravidlu vyhoví WWW servery www.kerio.com nebo download.kerio.com, ale nevyhoví napˇ r. www.akerio.com. • Položka WWW server obsahuje ˇ retˇ ezec www.kerio.c?. Tomuto pravidlu vyhoví WWW servery www.kerio.cz nebo www.kerio.cx, ale nevyhoví www.kerio.com.

Definice pravidla pomocí regulárních výraz˚ u Je-li zapnuta volba Použít regulární výrazy místo zástupných znak˚ u, musí být položky WWW server a Cesta na serveru zadány formou tzv. regulárních výraz˚ u standardu POSIX. Regulární výrazy umožˇ nují popsat libovolný ˇ retˇ ezec pomocí speciální symboliky. Pˇ ri definici adres WWW server˚ u a objekt˚ u pravdˇ epodobnˇ e vystaˇ címe s nˇ ekolika základními symboly: • . (teˇ cka) — nahrazuje libovolný znak v ˇ retˇ ezci. • * (hvˇ ezdiˇ cka) — znamená libovolný (i nulový) poˇ cet opakování pˇ redchozího symbolu.

92

11.2 Ochrana soukromí uživatele

Pˇ r.: Výraz .* pˇ redstavuje libovolný poˇ cet libovolných znak˚ u, tj. jakýkoliv (i prázdný) ˇ retˇ ezec (text). • \ (zpˇ etné lomítko) — slouží k zadání znaku, který má v regulárním výrazu speciální význam. Pˇ r.: Výraz \. pˇ redstavuje znak „teˇ cka“. Pˇ ríklad (viz obrázek): • Položka WWW server obsahuje výraz .*\.kerio\.com. Tento výraz znamená, že jméno serveru musí obsahovat podˇ retˇ ezec .kerio.com — tedy napˇ r. www.kerio.com, download.kerio.com, www.kpf.kerio.com apod. • Položka Cesta na serveru obsahuje výraz .*/img/.*. To znamená, že relativní adresa objektu na serveru musí obsahovat podˇ retˇ ezec /img/ — tedy napˇ r. /img/banner.gif, /data/img/bar.jpg nebo pouze /img/. Podrobné informace o regulárních výrazech lze nalézt napˇ r. na adrese: http://www.gnu.org/software/grep/

11.2 Ochrana soukromí uživatele Záložka Soukromí obsahuje tyto volby pro ochranu soukromí uživatele: Filtrovat cizí cookies Filtrování trvalých i doˇ casných cookies z jiných server˚ u (3rd party cookies).

93


Jedná se o cookies naˇ cítané z jiných WWW server˚ u než vlastní stránka (typickým pˇ ríkladem jsou cookies reklam). Filtrovat trvalé cookies Filtrování trvale ukládaných cookies. Tyto cookies obsahují informace, které mohou být odeslány na WWW server pˇ ri pˇ ríští návštˇ evˇ e dané stránky — server tak získá informaci o tom, že uživatel v minulosti tuto stránku již navštívil, o jeho uživatelském nastavení nebo libovolné jiné údaje. Filtrovat doˇ casné cookies Filtrování doˇ casných cookies (ukládaných pouze po dobu jedné relace, tj. do ukonˇ cení WWW prohlížeˇ ce). Tyto cookies se používají pˇ ri návratu na pˇ ríslušnou stránku (resp. WWW server ˇ ci server v dané doménˇ e) v rámci této relace. Po uzavˇ rení všech oken WWW prohlížeˇ ce jsou všechna doˇ casná cookies smazána. Poznámka: I v pˇ rípadˇ e, kdy je zapnuto filtrování všech typ˚ u cookies, m˚ uže za urˇ citých okolností dojít k uložení cookie. Typickým pˇ ríkladem je cookie ukládané skriptem na WWW stránce — pak se nejedná o sít’ovou komunikaci a Kerio Personal Firewall tuto akci nezachytí. Filtrování cookies však nepovolí odeslat žádná cookies na server, ˇ címž uložené cookie ztrácí sv˚ uj smysl. Firewall tedy zajišt’uje ochranu soukromí uživatele i v tˇ echto pˇ rípadech. Zakázat server˚ um trasování pohybu po webu Blokování položky Referer v hlaviˇ cce protokolu HTTP. Tato položka obsahuje URL stránky, ze které uživatel na danou stránku pˇ rišel. Sledováním položky Referer lze mapovat pohyb uživatel˚ u po Internetu. Poznámka: Blokování položky Referer m˚ uže zp˚ usobit ˇ cásteˇ cnou nefunkˇ cnost nˇ ekterých WWW stránek. Nˇ ekteré servery totiž mohou používat tuto položku napˇ r. pro kontrolu, zda nejsou prvky stránek (obrázky, rámce apod.) využívány jinými servery.

94

11.2 Ochrana soukromí uživatele

Blokování položky Referer m˚ uže mít pak za následek napˇ r. zobrazení stránky bez obrázk˚ u. Ve výše uvedených pˇ rípadech doporuˇ cujeme definovat výjimky pro konkrétní WWW servery (viz kapitola 11.3). Blokovat privátní informace Zákaz odesílání definovaných privátních informací z formuláˇ ru ˚ na WWW stránkách. Tlaˇ cítko Nastavit otevírá okno pro definici privátních informací, jejichž odesílání má Kerio Personal Firewall blokovat.

Privátní informace se v Kerio Personal Firewallu definuje takto: • Typ — výbˇ er typu informace (napˇ r. e-mailová adresa, ˇ císlo kreditní karty atd.). Tato položka má pouze informativní charakter a nesouvisí s typem pole na WWW stránce. • Blokovaná informace — vlastní informace, tj. ˇ retˇ ezec, jehož odeslání bude Kerio Personal Firewall blokovat. Upozornˇ ení: V privátních informacích nejsou rozlišována malá a velká písmena. • Popis — popis privátní informace (libovolný text, slouží pro zvýšení pˇ rehlednosti).

95


11.3 Výjimky pro jednotlivé WWW servery Záložka Výjimky umožˇ nuje specifikovat WWW servery, pro které budou nastavena vlastní pravidla filtrování obsahu WWW stránek.

Výjimky pro jednotlivé WWW servery jsou užiteˇ cné zejména v pˇ rípadech, kdy obecná pravidla pro obsah WWW stránek (v záložkách Blokování a Soukromí ) zp˚ usobují nefunkˇ cnost urˇ citých stránek (napˇ r. otevírání nových oken, pˇ rihlašování pomocí e-mailové adresy apod.) nebo jejich úplné zablokování (v d˚ usledku pravidel pro filtrování reklam). Pˇ ri definici výjimky pro konkrétní server doporuˇ cujeme zvážit, zda se jedná o d˚ uvˇ eryhodný server a které typy objekt˚ u (skripty, cookies, privátní informace) jsou skuteˇ cnˇ e nutné pro správnou funkci stránek na tomto serveru. Tlaˇ cítko Pˇ ridat, resp. Zmˇ enit otevírá dialog pro definici výjimky.

Záložka WWW server slouží k zadání jména WWW serveru. Ve jménˇ e server˚ u lze použít zástupné znaky nebo jej zadat formou regulárního výrazu (podrobnosti viz blokování reklam — viz kapitola 11.1).

96

11.3 Výjimky pro jednotlivé WWW servery

Záložky Blokování a Soukromí jsou témˇ eˇ r identické s odpovídajícími záložkami sekce WWW . Zde však jednotlivé volby platí pouze pro uvedený WWW server.

97


98

Kapitola 12

Stavové informace

12.1 Pˇ rehled spojení a otevˇ rených port˚ u V sekci Pˇ rehled, záložka Spojení , se zobrazuje seznam spojení a port˚ u otevˇ rených jednotlivými aplikacemi. Uživatel tak má kompletní pˇ rehled, jaké aplikace na jeho poˇ cítaˇ ci sít’ovˇ e komunikují nebo ˇ cekají na navázání spojení. Port oznaˇ cujeme jako otevˇ rený, jestliže je v jednom z následujících stav˚ u: • navázané odchozí spojení (zelené podbarvení) • navázané pˇ ríchozí spojení (ˇ cervené podbarvení) • ˇ ceká na navázání spojení — serverový režim (bez podbarvení) V záložce Spojení se zobrazuje seznam aplikací, které mají otevˇ ren alepoˇ n jeden port.

Na prvním ˇ rádku je vždy uvedena ikona a název (popis) aplikace (nemá-li aplikace ikonu, použije se systémová ikona pro spustitelný soubor; není-li k dispozici popis aplikace, zobrazí se jméno souboru bez pˇ rípony). Kliknutím na tlaˇ cítko [+] nebo [-] vedle ikony aplikace lze zobrazit, resp. skrýt seznam port˚ u otevˇ rených touto aplikací.

99

Kapitola 12 Stavové informace

V dalších ˇ rádcích jsou pak zobrazena jednotlivá otevˇ rená spojení. Jedná-li se o odchozí spojení, ˇ rádek je zvýraznˇ en svˇ etle zelenou barvou; pˇ ríchozí spojení jsou zvýraznˇ ena svˇ etle ˇ cervenou barvou. Jednotlivé sloupce zobrazují podrobné informace o každém spojení: Lokální strana Lokální IP adresa (pˇ ríp. odpovídající DNS jméno) a port (pˇ ríp. název služby, jedná-li se o standardní službu). Namísto DNS jména poˇ cítaˇ ce mohou být uvedena tato speciální jména: • Vše — port je otevˇ ren na všech lokálních IP adresách (IP adresa 0.0.0.0) • Loopback — lokální zpˇ etnovazební IP adresa (127.0.0.1) Vzdálená strana IP adresa (resp. DNS jméno) a ˇ císlo portu (resp. název služby) vzdáleného poˇ cítaˇ ce. Platí totéž jako pro lokální adresu a port (viz výše). Protokol Použitý transportní protokol (TCP nebo UDP, pˇ ríp. oba). Rychlost pˇ ríchozí, Rychlost odchozí Aktuální rychlost pˇ rijímaných (pˇ ríchozích) a odesílaných (odchozích) dat v rámci daného spojení. Rychlost je uvádˇ ena v kilobytech za sekundu (KB/s). Pˇ rijato byt˚ u, Vysláno byt˚ u Celkový objem dat pˇ rijatých a vyslaných v rámci daného spojení. Poznámka: Jedná-li se o port, na kterém aplikace ˇ ceká na pˇ ríchozí spojení, pak je známa pouze lokální IP adresa, lokální port a protokol.

Otevˇ rené porty a navázaná spojení V dolní ˇ cásti záložky Spojení (stavovém ˇ rádku) se zobrazuje aktuální poˇ cet spojení a otevˇ rených port˚ u:

• Pˇ ríchozí spojení — poˇ cet navázaných pˇ ríchozích spojení (tj. ze vzdáleného poˇ cítaˇ ce na lokální poˇ cítaˇ c) • Odchozí spojení — poˇ cet navázaných odchozích spojení (tj. z lokálního poˇ cítaˇ ce na vzdálený poˇ cítaˇ c) • Naslouchání — poˇ cet port˚ u, na kterých aplikace ˇ cekají na navázání spojení

100

12.2 Statistiky

12.2 Statistiky V sekci Pˇ rehled / Statistiky lze zobrazit statistiky systému detekce útok˚ u a filtru obsahu WWW stránek za zvolené ˇ casové období.

Položka Zobrazit statistiky za poslední ... slouží k výbˇ eru ˇ casového období, za které budou statistiky zobrazovány: • poslední hodina • poslední den • poslední týden • poslední mˇ esíc Tlaˇ cítko Nulovat statistiky provede vynulování všech sledovaných statistik. Kerio Personal Firewall se po stisknutí tohoto tlaˇ cítka dotáže uživatele, zda si skuteˇ cnˇ e pˇ reje statistiky vynulovat. Statistiky jsou rozdˇ eleny do skupin podle typu. Kliknutím na název skupiny se zobrazí odpovídající záznam (WWW nebo Útoky — podrobnosti viz kapitoly 13.7 a 13.6). Reklamy Blokované reklamy a komponenty WWW stránek: • Reklamy — poˇ cet objekt˚ u blokovaných pravidly pro filtrování reklam • Pop-up okna — poˇ cet blokovaných pop-up a pop-under oken

101

Kapitola 12 Stavové informace

Skripty • Skripty JavaScript — poˇ cet filtrovaných skript˚ u v jazyce JavaScript • Skripty VBScript — poˇ cet filtrovaných skript˚ u v jazyce Visual Basic Script • Objekty ActiveX — poˇ cet filtrovaných ActiveX komponent Útoky Poˇ cet detekovaných útok˚ u: • Vysoká priorita — kritické útoky • Stˇ rední priorita — útoky se stˇ rední prioritou (napˇ r. blokování služeb) • Nízká priorita — útoky s nízkou prioritou (napˇ r. podezˇ relé aktivity) • Scan port˚ u — zjišt’ování otevˇ rených port˚ u (Port Scanning) Soukromí Poˇ cet objekt˚ u blokovaných ochranou soukromí uživatele: • Položky Referer — poˇ cet filtrovaných položek Referer z hlaviˇ cky protokolu HTTP • Privátní informace — poˇ cet zablokovaných odesílaných privátních informací Cookies Poˇ cet blokovaných cookies jednotlivých typ˚ u: • Trvalé cookies — poˇ cet filtrovaných trvalých cookies • Doˇ casné cookies — poˇ cet filtrovaných doˇ casných cookies • Cizí cookies — poˇ cet filtrovaných cizích cookies

102

Kapitola 13

Záznamy

Záznamy jsou soubory, které uchovávají historii urˇ citých událostí. Kerio Personal Firewall má samostatný záznam pro každý modul (Sít’, Systém, Útoky a WWW ). Dále existují záznamy Error (chybová hlášení), Warning (varovná hlášení) a Debug (ladicí informace), do kterých se zapisují informace vztahující se k bˇ ehu programu Kerio Personal Firewall. Informace v tˇ echto záznamech mohou být užiteˇ cné napˇ ríklad pˇ ri ˇ rešení problém˚ u s technickou podporou firmy Kerio Technologies. Soubory záznam˚ u jsou uloženy v podadresáˇ ri logs adresáˇ re, kde je Kerio Personal Firewall nainstalován (typicky C:\Program Files\Kerio\Personal Firewall 4\logs). Vlastní soubor záznamu má pˇ ríponu .log (napˇ r. network.log). Ke každému záznamu pˇ rísluší tzv. indexový soubor (pro vyhledávání). Tento soubor má pˇ ríponu .idx (napˇ r. network.log.idx).

13.1 Prohlížení záznam˚ u K prohlížení záznam˚ u jednotlivých modul˚ u firewallu a nastavení záznam˚ u slouží sekce Záznamy. Záložka Záznamy obsahuje v dolní ˇ cásti podzáložky se záznamy jednotlivých modul˚ u firewallu. V každé záložce se zobrazuje vždy urˇ citá ˇ cást pˇ ríslušného souboru záznamu. Kliknutím na název sloupce lze zobrazenou ˇ cást záznamu seˇ radit podle vybraného sloupce. Z technických d˚ uvod˚ u (objem dat) nejsou soubory záznam˚ u naˇ cítány celé do pamˇ eti. Ze souboru se naˇ cte pouze ˇ cást, která má být zobrazena. Proto pˇ ri prohlížení záznam˚ u dochází k následujícím jev˚ um: • Zobrazování je pˇ ri pohybu v záznamu relativnˇ e pomalé. • Pˇ ri ˇ razení podle vybraného sloupce je seˇ razena pouze aktuálnˇ e zobrazená ˇ cást záznamu. Po pˇ resunu na jinou ˇ cást záznamu je tˇ reba zobrazené informace znovu seˇ radit. Poznámka: Záznamy Error, Warning a Debug nejsou z uživatelského rozhraní Kerio Personal Firewall pˇ rístupné — lze je prohlížet pouze jako soubory.

103

Kapitola 13 Záznamy

13.2 Kontextové menu pro záznamy Pˇ ri stisknutí pravého tlaˇ cítka v záložce se záznamem se zobrazí kontextové menu s volbami pro daný záznam:

Smazat záznam Tato volba smaže veškeré informace z pˇ ríslušného souboru — smazaný záznam již nelze obnovit. Zobrazované jméno aplikace Zp˚ usob zobrazování jmen aplikací: •

Úplná cesta ke spustitelnému souboru aplikace

• Jméno spustitelného souboru aplikace •

Popis aplikace (je-li k dispozici, jinak je zobrazeno jméno spustitelného souboru bez pˇ rípony)

Volba Zobrazovat ikony zapíná/vypíná zobrazování ikon aplikací (nemá-li aplikace ikonu, použije se systémová ikona pro spustitelný soubor).

104

13.3 Volby pro záznamy

DNS jména poˇ cítaˇ cu ˚ Zobrazování jmen poˇ cítaˇ cu ˚ namísto IP adres. Jména poˇ cítaˇ cu ˚ se zjišt’ují z DNS (asynchronnˇ e). Dokud se nepodaˇ rí nalézt odpovídající jméno, je zobrazena IP adresa. Pojmenovat porty Zobrazování jmen služeb namísto ˇ císel port˚ u (pouze pro standardní služby definované v systémovém souboru services). Pojmenovat protokoly Zobrazování názv˚ u (zkratek) protokol˚ u namísto ˇ císla protokolu (pouze pro standardní protokoly definované v systémovém souboru protocols). Poznámky: 1.

V nˇ ekterých záznamech neobsahuje kontextové menu všechny výše popsané položky — napˇ r. v záznamu Systém se nezobrazuje žádná sít’ová komunikace, a proto zde nejsou volby DNS jména poˇ cítaˇ cu ˚ , Pojmenovat porty a Pojmenovat protokoly.

2.

Volby Zobrazované jméno aplikace, DNS jména poˇ cítaˇ cu ˚ a Pojmenovat porty/protokoly mají globální platnost — jejich nastavení ovlivˇ nuje všechny záznaení na spojení my, sekci Pˇ rehled / Spojení (viz kapitola 12.1), dialogy Upozornˇ (kap. 4.2) a Spouštˇ ení/Zámˇ ena/Spouštˇ ení jiné aplikace (kap. 4.3) a okno s upozornˇ ením (kap. 4.4). Nastavení zobrazování je rovnˇ ež popsáno v pˇ ríslušných kapitolách.

13.3 Volby pro záznamy V záložce Nastavení sekce Záznamy lze nastavit následující parametry a volby pro záznamy (nastavení platí pro všechny záznamy Kerio Personal Firewallu):

Max. velikost souboru Maximální velikost souboru záznamu (v kilobytech). Dosáhne-li soubor záznamu této velikosti, bude smazán a zapisován opˇ et od zaˇ cátku.

105


Odesílat záznamy na Syslog server Tato volba zapíná/vypíná odesílání vybraných záznam˚ u na Syslog server. Do položky Syslog server je tˇ reba zadat jméno nebo IP adresu Syslog serveru a do ˇ položky Port císlo portu, na kterém Syslog server bˇ eží (standardnˇ e 514). Tlaˇ cítko Upˇ resnˇ ení... otevírá dialog pro výbˇ er záznam˚ u Kerio Personal Firewallu, které mají být na Syslog server odesílány.

13.4 Záznam Sít’ Do záznamu Network se ukládají informace o sít’ové komunikaci, která vyhovˇ ela urˇ citému pravidlu pro aplikaci (viz kapitola 6.2) nebo pravidlu paketového filtru (viz kapitola 7). Komunikace se zaznamenává pouze tehdy, pokud je v pˇ ríslušném pravidle zapnuta volba Zaznamenat komunikaci do záznamu Sít’. Záznam Sít’ obsahuje tyto informace:

106

13.5 Záznam Systém

ˇ • Rádek —ˇ císlo ˇ rádku záznamu • Poˇ cet — poˇ cet zpráv (opakuje-li se stejná zpráva vícekrát bezprostˇ rednˇ e za sebou, uloží se do záznamu pouze jednou a uvede se poˇ cet opakování) • Datum — datum a ˇ cas zápisu zprávy do záznamu • Popis — v pˇ rípadˇ e pravidla paketového filtru popis pravidla • Aplikace — název lokální aplikace (dle volby Zobrazované jméno aplikace) pˇ ríslušné k zachycené sít’ové komunikaci Poznámka: Do souboru záznamu je ukládán jak popis aplikace, tak úplná cesta ke spustitelnému souboru. Proto lze v oknˇ e záznamu zp˚ usob zobrazení aplikace libovolnˇ e pˇ repínat. • Smˇ er — smˇ er navázání spojení (in = na lokální poˇ cítaˇ c, out = z lokálního poˇ cítaˇ ce) • Lokální strana — lokální IP adresa (jméno poˇ cítaˇ ce) • Vzdálená strana — IP adresa (jméno) vzdáleného poˇ cítaˇ ce • Protokol — použitý komunikaˇ cní protokol transportní úrovnˇ e (TCP, UDP apod.) • Akce — akce, která byla provedena: • permitted — komunikace povolena • denied — komunikace zakázána • asked → permitted — zobrazen dotaz uživateli (tj. dialog Upozornˇ ení na spojení ), uživatel komunikaci povolil • asked → denied — zobrazen dotaz uživateli, uživatel komunikaci zakázal

13.5 Záznam Systém Do záznamu Systém se zapisují informace o spouštˇ ení aplikací, které vyhovují urˇ citým pravidl˚ um v sekci Bezpeˇ cnost systému / Aplikace. Záznam se provádí pouze tehdy, je-li v pˇ ríslušném pravidle zapnuta volba Zaznamenat do záznamu Systém. Záznam Systém obsahuje tyto informace:

107


ˇ • Rádek —ˇ císlo ˇ rádku záznamu • Poˇ cet — poˇ cet identických zpráv • Datum — datum a ˇ cas zápisu zprávy do záznamu • Operace — typ operace: • starting — spouštˇ ení aplikace • starting modified — zmˇ ena ve spustitelném souboru aplikace • launching other — aplikace spouští jinou aplikaci • Aplikace — název aplikace (dle volby Zobrazované jméno aplikace) • Pˇ redmˇ et — v pˇ rípadˇ e spouštˇ ení jiné aplikace název této aplikace (dle volby Zobrazované jméno aplikace) • Akce — akce, která byla provedena: • permitted — spuštˇ ení aplikace povoleno • denied — spuštˇ ení aplikace zakázáno • asked → permitted — zobrazen dotaz uživateli (tj. dialog Spouštˇ ení/Zámˇ ena/Spouštˇ ení jiné aplikace), uživatel spuštˇ ení povolil • asked → denied — zobrazen dotaz uživateli, uživatel spuštˇ ení zakázal

13.6 Záznam Útoky Do záznamu Útoky se zapisují informace o detekovaných útocích. Zaznamenávány jsou útoky tˇ ech skupin, u nichž je zapnuta volba Zaznamenat (viz kapitola 10). Záznam Útoky obsahuje tyto informace:

108

13.7 Záznam WWW

ˇ • Rádek —ˇ císlo ˇ rádku záznamu • Poˇ cet — poˇ cet identických zpráv • Datum — datum a ˇ cas zápisu zprávy do záznamu • Popis — název (popis) zachyceného útoku (viz kapitola 10.1) • Smˇ er — smˇ er útoku (útok m˚ uže být veden i z lokálního poˇ cítaˇ ce) • Vzdálená adresa — IP adresa (jméno) vzdáleného poˇ cítaˇ ce (pokud je zjistitelná — útok m˚ uže být veden z falšované IP adresy) • Odkazované URL — URL stránky s bližšími informacemi o útoku (jsou-li k dispozici) • Tˇ rída útoku — tˇ rída, do které je útok klasifikován (viz kapitola 10.1) • Priorita — prioritní skupina, do které je útok zaˇ razen v Kerio Personal Firewallu (vysoká, stˇ rední nebo nízká priorita) • Akce — akce, kterou Kerio Personal Firewall provedl pˇ ri zachycení tohoto útoku (permitted — útok povolen, denied — útok zakázán)

13.7 Záznam WWW Do záznamu WWW se zapisují informace o objektech blokovaných filtrem obsahu WWW stránek. Tento záznam není konfigurovatelný — je-li modul filtrování obsahu aktivní (viz kapitola 11), zaznamenávají se všechny filtrované objekty. Záznam WWW obsahuje tyto informace:

109


ˇ • Rádek —ˇ císlo ˇ rádku záznamu • Poˇ cet — poˇ cet identických zpráv • Datum — datum a ˇ cas zápisu zprávy do záznamu • Metoda — použitá metoda protokolu HTTP (GET nebo POST ) • URL — adresa objektu (resp. stránky), kterého se metoda týká • Pˇ redmˇ et — blokovaný prvek WWW stránky (Advertisement — reklama, Referer — odkaz Referer v HTTP hlaviˇ cce, cookie — trvalé nebo doˇ casné cookie, blockPopups — pop-up nebo pop-under okno) • Hodnota — hodnota blokovaného prvku (viz níže) • Akce — akce, která byla provedena (removed — odstranˇ ený prvek z WWW stránky, blocked — blokováno pravidly pro reklamy) Informace v položce Hodnota závisí na typu blokovaného objektu (viz položka Pˇ redmˇ et): • reklama (Advertisement) — sloupec Hodnota obsahuje pravidlo, které bylo uplatnˇ eno (viz kapitola 11.1) • položka Referer — sloupec Hodnota obsahuje URL stránky, na kterou bylo v této položce odkazováno • skripty (Script) — ve sloupci Hodnota je uveden typ skriptu nebo objektu, který byl filtrován (JavaScript, VBScript nebo ActiveX ). • pop-up a pop-under okna (blockPopups) — výraz ON ve sloupci Hodnota znamená, že pro danou stránku bylo aktivováno blokování pop-up a pop-under oken.

110

13.8 Záznamy Debug, Error a Warning

13.8 Záznamy Debug, Error a Warning Záznam Debug obsahuje podrobné informace o bˇ ehu programu Kerio Personal Firewall. Do záznamu Error se zapisují závažné chyby, které mají zásadní vliv na chod Kerio Personal Firewallu (napˇ r. nepodaˇ rí-li se z nˇ ejakého d˚ uvodu spustit službu Personal Firewall Engine). Do záznamu Warning jsou zapisovány nekritické chyby (napˇ r. chyba pˇ ri zjišt’ování nové verze programu).

111


112

Kapitola 14

Slovníˇ cek pojm˚ u

Aplikaˇ cní protokol Aplikaˇ cní protokoly jsou neseny v paketech protokolu TCP, pˇ ríp. UDP, a slouží pˇ rímo k pˇ renosu uživatelských (aplikaˇ cních) dat. Existuje mnoho standardních aplikaˇ cních protokol˚ u (napˇ r. SMTP, POP3, HTTP, FTP apod.), programátor aplikace si však m˚ uže navrhnout libovolný vlastní (nestandardní) zp˚ usob komunikace. Cookie Textové informace, které server ukládá ke klientovi (WWW prohlížeˇ ci). Slouží pro pozdˇ ejší identifikaci klienta pˇ ri opˇ etovné návštˇ evˇ e daného serveru/stránky. Cookies mohou být zneužívány pro sledování, které stránky uživatel navštívil, pˇ rípadnˇ e k poˇ cítání pˇ rístup˚ u. Firewall Prostˇ redek (zpravidla softwarový produkt) k ochranˇ e pˇ red útoky a únikem dat. Existují dva základní typy firewall˚ u: • sít’ový firewall — chrání poˇ cítaˇ ce v urˇ cité subsíti. Typicky bývá nasazen na bránu (smˇ erovaˇ c), který pˇ ripojuje tuto subsít’ do Internetu. • personální (osobní) firewall — chrání jeden konkrétní poˇ cítaˇ c (pracovní stanici uživatele). Oproti sít’ovému firewallu m˚ uže navíc vztáhnout sít’ovou komunikaci ke konkrétní aplikaci, mˇ enit své chování na základˇ e interakce s uživatelem atd. Poznámka: V tomto manuálu je výrazem firewall oznaˇ cován produkt Kerio Personal Firewall. ICMP ICMP (Internet Control Message Protocol) je protokol pro pˇ renos ˇ rídicích zpráv. Tˇ echto zpráv existuje nˇ ekolik typ˚ u, napˇ r. informace, že cílový poˇ cítaˇ c je nedostupný, žádost o pˇ resmˇ erování nebo žádost o odezvu (použito v pˇ ríkazu PING). IP IP (Internet Protocol) je protokol, který nese ve své datové ˇ cásti všechny ostatní protokoly. Nejd˚ uležitˇ ejší informací v jeho hlaviˇ cce je zdrojová a cílová IP adresa, tedy kým (jakým poˇ cítaˇ cem) byl paket vyslán a komu je urˇ cen. Port Nejd˚ uležitˇ ejší informací v hlaviˇ cce TCP a UDP paketu je zdrojový a cílový port. Zatímco IP adresa urˇ cuje poˇ cítaˇ c v Internetu, port urˇ cuje aplikaci bˇ ežící na tomto poˇ cítaˇ ci. Porty 1-1023 jsou rezervovány pro standardní služby a operaˇ cní systém, porty 1024-65535 mohou být použity libovolnou aplikací. Pˇ ri typické komunikaci

113

Kapitola 14 Slovníˇ cek pojm˚ u

klient-server je zpravidla znám cílový port (na nˇ ej se navazuje spojení nebo posílá UDP datagram), zdrojový port je naopak pˇ ridˇ elován automaticky operaˇ cním systémem. TCP TCP (Transmission Control Protocol) slouží pro spolehlivý pˇ renos dat tzv. virtuálním kanálem (spojením). Je používán jako nosný protokol pro vˇ etšinu aplikaˇ cních protokol˚ u, napˇ r. SMTP, POP3, HTTP, FTP, Telnet atd. TCP/IP TCP/IP je souhrnné oznaˇ cení pro protokoly používané pro komunikaci v síti Internet. V rámci každého protokolu jsou data dˇ elena na datové jednotky, nazývané pakety. Každý paket se skládá z hlaviˇ cky a datové ˇ cásti, pˇ riˇ cemž hlaviˇ cka obsahuje systémové informace (napˇ r. zdrojovou a cílovou adresu) a datová ˇ cást vlastní pˇ renášená data. Protokolová sada je rozdˇ elena na nˇ ekolik úrovní. Pˇ ritom platí, že pakety protokol˚ u nižších úrovní obsahují (zapouzdˇ rují) ve své datové ˇ cásti pakety protokol˚ u vyšších úrovní (napˇ r. pakety protokolu TCP jsou neseny v IP paketech). UDP UDP (User Datagram Protocol) je tzv. nespojovaný protokol, tzn. nevytváˇ rí žádný kanál a data jsou pˇ renášena v jednotlivých zprávách (tzv. datagramech). UDP nezaruˇ cuje spolehlivé doruˇ cení dat (datagram se m˚ uže pˇ ri pˇ renosu sítí ztratit). Ve srovnání s protokolem TCP má ale mnohem nižší režii (odpadá vytváˇ rení a rušení spojení, potvrzování atd.). Protokol UDP se typicky používá napˇ r. pro pˇ renos DNS dotaz˚ u, zvuku, videa apod.

114

Uživatelský manuál. Kerio Technologies

Recommend Documents