Uživatelský manuál
Kerio Technologies
C 1997-2005 Kerio Technologies. Všechna práva vyhrazena.
Datum vydání: 29. ˇ cervna 2005 Tento manuál popisuje produkt Kerio Personal Firewall ve verzi 4.2.0. Zmˇ eny vyhrazeny. Aktuální verzi produktu a manuálu naleznete na WWW stránkách http://www.kerio.cz/kpf.
Obsah
1
Úvod . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1 Kerio Personal Firewall 4.2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2 Systémové požadavky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3 Konfliktní software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2
Instalace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1 Instalace, upgrade a odinstalování . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2 Poˇ cáteˇ cní konfigurace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3 Kontrola nových verzí . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10 10 12 13
3
Registrace a licence produktu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.1 Plná a volnˇ e šiˇ ritelná verze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2 Registrace produktu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.3 Pr˚ uvodce registrací produktu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15 15 16 19
4
Komponenty firewallu a základní ovládání . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.1 Komponenty aplikace Kerio Personal Firewall . . . . . . . . . . . . . . . . . . . . . . . . 4.2 Ikona na nástrojové lištˇ e ............................................
22 22 24
5
Chování firewallu a interakce s uživatelem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.1 Chování firewallu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.2 Dialog Upozornˇ ení na spojení (zachycení neznámé komunikace) . . . . . . 5.3 Dialog Spouštˇ ení/Zámˇ ena/Spouštˇ ení jiné aplikace . . . . . . . . . . . . . . . . . . . . 5.4 Upozornˇ ení na útoky na hostitelský operaˇ cní systém . . . . . . . . . . . . . . . . . 5.5 Upozornˇ ení na událost . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
28 28 29 33 35 37
6
Konfigurace firewallu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1 Konfiguraˇ cní okno . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.2 Vzdálená správa aplikace Kerio Personal Firewall . . . . . . . . . . . . . . . . . . . . . 6.3 Pˇ redvolby . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
40 40 43 46
7
Pravidla pro sít’ovou komunikaci . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.1 Aplikace pravidel pro sít’ovou komunikaci . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.2 Pravidla pro aplikace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.3 Pˇ reddefinovaná pravidla pro sít’ovou komunikaci . . . . . . . . . . . . . . . . . . . . . 7.4 D˚ uvˇ eryhodná zóna . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.5 Pokroˇ cilá nastavení sít’ové bezpeˇ cnosti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
51 51 52 57 59 61
3
6 6 8 9
7.6 7.7 7.8
Ochrana poˇ cítaˇ ce nízkoúrovˇ novým ovladaˇ cem firewallu . . . . . . . . . . . . . . Detekce nových sít’ových rozhraní . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kontrola vytᡠcených telefonních ˇ císel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
63 64 65
8
Rozšíˇ rený paketový filtr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.1 Pravidla paketového filtru . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.2 Skupiny IP adres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
68 68 77
9
Interní pravidla firewallu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.1 Interní pravidla pro sít’ovou komunikaci . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.2 Interní pravidla systémové bezpeˇ cnosti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.3 Pravidla pro komponenty antivirového systému AVG . . . . . . . . . . . . . . . . .
80 80 82 84
10
Detekce útok˚ u ...........................................................
85
11
Systém detekce a prevence sít’ových útok˚ u (NIPS) . . . . . . . . . . . . . . . . . . . . . . . . 11.1 Nastavení systému detekce a prevence sít’ových útok˚ u ................
87 87
12
Systém detekce a prevence útok˚ u na aplikace (HIPS) . . . . . . . . . . . . . . . . . . . . . 12.1 Nastavení systému detekce útok˚ u na aplikace . . . . . . . . . . . . . . . . . . . . . . . .
90 90
13
Blokování chování aplikací . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.1 Obecná pravidla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.2 Pravidla pro aplikace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
93 93 94
14
Filtrování obsahu WWW stránek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 14.1 Blokování reklam, skript˚ u a pop-up oken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 14.2 Ochrana soukromí uživatele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 14.3 Výjimky pro jednotlivé WWW servery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
15
Stavové informace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 15.1 Pˇ rehled spojení a otevˇ rených port˚ u . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 15.2 Statistiky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
16
Záznamy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16.1 Prohlížení záznam˚ u ................................................ 16.2 Kontextové menu pro záznamy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16.3 Volby pro záznamy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16.4 Záznam Sít’ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16.5 Záznam NIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16.6 Záznam HIPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16.7 Záznam Chování . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16.8 Záznam WWW . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4
111 111 112 114 115 116 117 118 119
16.9 Záznamy Debug, Error a Warning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 A
Použité open-source knihovny . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 Slovníˇ cek pojm˚ u . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 Rejstˇ rík . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
5
Kapitola 1
Úvod
1.1 Kerio Personal Firewall 4.2 Kerio Personal Firewall je aplikace urˇ cená k ochranˇ e osobního poˇ cítaˇ ce s operaˇ cním systémem Windows pˇ red útoky ze sítˇ e (typicky z Internetu), viry a únikem dat. Tyto bezpeˇ cnostní funkce zajišt’ují ˇ ctyˇ ri hlavní moduly: Sít’ová bezpeˇ cnost Tento modul sleduje veškerou sít’ovou (resp. TCP/IP) komunikaci poˇ cítaˇ ce, na kterém je Kerio Personal Firewall nainstalován. Pro sít’ovou komunikaci m˚ uže uživatel definovat dva typy pravidel: • pravidla pro aplikace — pro každou aplikaci lze povolit nebo zakázat sít’ovou komunikaci, pˇ rípadnˇ e nastavit, aby se Kerio Personal Firewall dotázal uživatele. • pravidla paketového filtru — zkušenˇ ejší uživatelé mohou definovat detailní pravidla pro sít’ovou komunikaci (specifikace IP adres, protokol˚ u, port˚ u atd.). Tato pravidla mohou platit pro konkrétní aplikaci nebo obecnˇ e (pro libovolnou aplikaci). Kerio Personal Firewall obsahuje také sadu pˇ reddefinovaných pravidel pro sít’ovou komunikaci (napˇ r. pro DNS, DHCP apod.). Tato pravidla jsou oddˇ elená od uživatelsky definovaných pravidel a lze je jednoduše aktivovat ˇ ci vyˇ radit. Jestliže Kerio Personal Firewall zachytí komunikaci, pro kterou neexistuje odpovídající pravidlo, dotáže se uživatele, zda tuto komunikaci povolí ˇ ci zakáže. Na základˇ e odpovˇ edi uživatele m˚ uže být automaticky vytvoˇ reno pravidlo pro aplikaci nebo pravidlo paketového filtru. Blokování chování aplikací Modul Blokování chování aplikací kontroluje spouštˇ ení aplikací v operaˇ cním systému. Sledovány jsou tˇ ri typy událostí: • spuštˇ ení aplikace • zmˇ ena ve spustitelném souboru aplikace od posledního spuštˇ ení (zámˇ ena aplikace)
6
1.1 Kerio Personal Firewall 4.2
• spuštˇ ení jiné aplikace bˇ ežící aplikací Podobnˇ e jako v pˇ rípadˇ e sít’ové komunikace lze definovat pravidla pro jednotlivé aplikace, která pˇ ríslušnou akci povolují nebo zakazují, pˇ rípadnˇ e vyžadují reakci uživatele. Pokud neexistuje odpovídající pravidlo, Kerio Personal Firewall se dotáže uživatele, zda spuštˇ ení aplikace povolí ˇ ci zakáže. Poznámka: Kerio Personal Firewall 4.x (narozdíl od starších verzí) kontroluje spouštˇ ení všech aplikací, bez ohledu na to, zda se úˇ castní sít’ové komunikace. V pˇ rípadˇ e virové nákazy reaguje spolehlivˇ eji než antivirový program (jedná-li se o nový virus, který dosud není ve virové databázi, antivirus jej nezachytí — Kerio Personal Firewall však vždy pozná, že došlo ke zmˇ enˇ e spustitelného souboru a upozorní uživatele). Detekce a prevence sít’ových útok˚ u Systém detekce a prevence sít’ových útok˚ u (NIPS — Network Intrusion Prevention System) dokáže rozpoznat, blokovat a zaznamenat známé typy útok˚ u. K tomuto úˇ celu má Kerio Personal Firewall databázi známých útok˚ u, která je pravidelnˇ e aktualizována (aktualizace je vždy zaˇ clenˇ ena do nové verze produktu). Detekce a prevence útok˚ u na hostitelský systém Systém detekce a prevence útok˚ u na hostitelský systém (HIPS — Host Intrusion Prevention System) zachycuje pokusy o zneužití spuštˇ ených aplikací k provedení zákeˇ rného kódu. Filtrování obsahu WWW stránek Modul pro filtrování obsahu umožˇ nuje: • blokování reklam (dle pravidel pro URL), skript˚ u a dalších prvk˚ u WWW stránek • blokování pop-up oken • blokování skript˚ u (JavaScript, VB Script) • ochranu pˇ red ukládáním nežádoucích cookies a odesíláním privátních dat Pro d˚ uvˇ eryhodné servery ˇ ci pˇ rípady, kdy filtrování zp˚ usobí nefunkˇ cnost urˇ citých stránek, je možno definovat výjimky (specifická nastavení). Nízkoúrovˇ nová ochrana Nízkoúrovˇ nový ovladaˇ c Kerio Personal Firewallu chrání poˇ cítaˇ c i v dobˇ e, kdy není firewall spuštˇ en (typicky pˇ ri startu a vypínání operaˇ cního systému a pˇ ri instalaci nové verze firewallu). Poˇ cítaˇ c je tak chránˇ en po celou dobu, kdy je dostupný po síti. Mezi další významné funkce a vlastnosti Kerio Personal Firewallu patˇ rí: Blokování veškeré komunikace Kerio Personal Firewall umožˇ nuje jedním tlaˇ cítkem (resp. volbou z menu) zablokovat sít’ovou komunikaci poˇ cítaˇ ce, na kterém je nainstalován (tzv. sít’ový zámek). Tuto funkci lze použít pˇ ri zjištˇ ení podezˇ relé ˇ ci nežádoucí sít’ové aktivity — po provedení pˇ ríslušných opatˇ rení m˚ uže být komunikace opˇ et povolena.
7
Kapitola 1 Úvod
Logování Každý z modul˚ u firewallu vytvᡠrí vlastní záznam (log), který se ukládá jako soubor v textovém formátu. Záznamy lze prohlížet pˇ rímo v konfiguraˇ cním oknˇ e Kerio Personal Firewallu. Volitelnˇ e je možno záznamy také odesílat na Syslog server. Pˇ rehled spojení a statistiky Pˇ rehled spojení dává uživateli informaci o navázaných spojeních a portech otevˇ rených jednotlivými aplikacemi. U spojení se rovnˇ ež zobrazuje aktuální pˇ renosová rychlost a celkový objem pˇ renesených dat v každém smˇ eru. Seznam je automaticky obnovován v pravidelných intervalech. Statistiky informují uživatele o poˇ ctu objekt˚ u blokovaných WWW filtrem, poˇ ctu zachycených privátních informací a poˇ ctu detekovaných útok˚ u za zvolené ˇ casové období. Automatická aktualizace Kerio Personal Firewall pravidelnˇ e kontroluje, zda není k dispozici novˇ ejší verze, a pokud ano, nabídne uživateli její stažení a instalaci. Kontrolu nové verze lze také kdykoliv provést ruˇ cnˇ e. Upozornˇ ení: Žádná z verzí tohoto produktu nem˚ uže být provozována na operaˇ cních systémech typu Windows Server (tj. Windows NT Server, Windows 2000 Server a Windows Server 2003).
1.2 Systémové požadavky Pro instalaci aplikace Kerio Personal Firewall je požadováno: • operaˇ cní systém Windows 2000 Professional / XP Home / XP Professional • CPU Intel Pentium nebo 100% kompatibilní • 64 MB RAM • 8 MB místa na disku (pouze pro instalaci; doporuˇ cujeme nejménˇ e dalších 10 MB pro soubory záznam˚ u) • rozlišení obrazovky (displeje) alespoˇ n 800x600 bod˚ u
8
1.3 Konfliktní software
1.3 Konfliktní software Kerio Personal Firewall vykazuje konflikty s urˇ citými druhy aplikací, které používají stejné nebo podobné technologie. Pˇ ri kombinaci s níže uvedenými aplikacemi nezaruˇ cujeme správnou funkci Kerio Personal Firewallu ani operaˇ cního systému. Neinstalujte Kerio Personal Firewall na tentýž operaˇ cní systém spoleˇ cnˇ e s tˇ emito aplikacemi: Personální firewally Osobní firewally (napˇ r. Internet Connection Firewall — souˇ cást Windows XP, Zone Alarm, Sygate Personal Firewall, Norton Personal Firewall apod.) poskytují obdobnou funkˇ cnost jako Kerio Personal Firewall. Rozhodnete-li se používat Kerio Personal Firewall, nekombinujte jej s dalšími firewally. Sít’ové firewally Sít’ový firewall (napˇ r. Kerio WinRoute Firewall, Kerio WinRoute Pro, Kerio WinRoute Lite, Microsoft ISA Server, CheckPoint Firewall-1, WinProxy firmy Ositis, Sygate Office Network a Sygate Home Network atd.) sám chrání také poˇ cítaˇ c, na kterém je nainstalován, a proto není tˇ reba jej doplˇ novat personálním firewallem. Poznámka: Kerio Personal Firewall m˚ uže být kombinován se smˇ erovaˇ cem, se smˇ erovaˇ cem provádˇ ejícím pˇ reklad IP adres (NAT) nebo proxy serverem — napˇ r. Internet Connection Sharing (Sdílení internetového pˇ ripojení — souˇ cást novˇ ejších verzí operaˇ cního systému Windows) za úˇ celem vytvoˇ rení jednoduchého sít’ového firewallu. Podrobné informace najdete v kapitole 6.3.
9
Kapitola 2
Instalace
2.1 Instalace, upgrade a odinstalování Instalace Instalaci provedete jednoduše spuštˇ ením instalaˇ cního programu — napˇ r. kerio-pf-4.2.0-en-win.exe Instalaˇ cní program se nejprve dotáže na jazyk, ve kterém má být instalace provedena (k dispozici je angliˇ ctina a nˇ emˇ cina). Volba jazyka se týká pouze instalace; uživatelské rozhraní aplikace Kerio Personal Firewall lze pˇ repnout do nˇ ekolika dalších jazyk˚ u vˇ cetnˇ e ˇ ceštiny (podrobnosti viz kapitola 6.3). V dalším kroku lze zvolit adresᡠr (složku), do kterého bude aplikace Kerio Personal Firewall nainstalována — standardnˇ e C:\Program Files\Kerio\Personal Firewall 4 Dalším d˚ uležitým krokem pˇ ri instalaci je volba výchozího režimu ˇ cinnosti firewallu. Zaˇ cínajícím uživatel˚ um doporuˇ cujeme ponechat pˇ rednastavený režim Simple, zkušenˇ ejší uživatelé mohou zvolit režim Advanced (chování v tomto režimu odpovídá chování pˇ redchozích verzí Kerio Personal Firewallu). Režim ˇ cinnosti firewallu lze pozdˇ eji libovolnˇ e zmˇ enit. Podrobnosti o výchozích režimech firewallu naleznete v kapitole 2.2. Po instalaci je tˇ reba poˇ cítaˇ c restartovat, aby mohl být zaveden nízkoúrovˇ nový ovladaˇ c firewallu. Po restartu poˇ cítaˇ ce bude automaticky spuštˇ ena komponenta Personal Firewall Engine (viz kapitola 4.1) Upozornˇ ení: Chcete-li používat Kerio Personal Firewall spoleˇ cnˇ e s antivirovým systémem AVG, je tˇ reba AVG nainstalovat pˇ red zahájením instalace Kerio Personal Firewallu. Jestliže Kerio Personal Firewall pˇ ri svém prvním spuštˇ ení detekuje antivirus AVG, nastaví pro nˇ ej odpovídající pravidla (viz kapitola 9.3). Poznámky: 1.
Pˇ ri instalaci se v operaˇ cních systémech typu Windows NT zapíná vytvᡠrení výpisu pamˇ eti v pˇ rípadˇ e havárie systému. Výpis pamˇ eti m˚ uže uživatel odeslat do firmy
10
2.1 Instalace, upgrade a odinstalování
Kerio Technologies — jeho analýza m˚ uže pomoci k nalezení a odstranˇ ení chyby, která havárii operaˇ cního systému zp˚ usobila. Po zaškrtnutí pˇ ríslušné volby (viz kapitola 6.3) se v operaˇ cním systému nastaví generování výpisu pamˇ eti také pˇ ri pádu aplikace Kerio Personal Firewall. 2.
Kerio Personal Firewall pˇ ri svém startu vypíná integrovaný Windows Firewall, pokud je spuštˇ en. V operaˇ cních systémech Windows XP Service Pack 2 a novˇ ejších instalaˇ cní program zaregistruje Kerio Personal Firewall do Windows Security Center. Pˇ ri instalaci je firewall zaregistrován jako neaktivní.
3.
V operaˇ cním systému Windows 2000 m˚ uže být vyžadována aktualizace systémového instalátoru (Windows Installer), pokud již nebyl aktualizován dˇ ríve (napˇ r. pˇ ri instalaci jiné aplikace). Velikost této aktualizace je cca 1.8 MB. Aktualizaci instalátoru je tˇ reba stáhnout a nainstalovat, jinak nelze v instalaci aplikace Kerio Personal Firewall pokraˇ covat!
Upgrade Instalace nové verze, resp. oprava stávající instalace se provádí stejným zp˚ usobem jako nová instalace (viz výše). Spuštˇ ené komponenty aplikace není tˇ reba ukonˇ covat — instalaˇ cní program je zastaví sám. Poznámka: Kerio Personal Firewall má vestavˇ ený mechanismus pro automatickou kontrolu a stahování nových verzí (podrobnosti viz kapitola 2.3).
Odinstalování Kerio Personal Firewall lze odinstalovat pomocí nástroje Pˇ ridat nebo odebrat programy (Add / Remove programs) v Ovládacích panelech (Control Panel). Pˇ ri odinstalování nebudou smazány soubory, které vznikly až za bˇ ehu aplikace (tj. konfiguraˇ cní soubory, záznamy atd.). Tyto soubory m˚ užeme po odinstalování aplikace smazat ruˇ cnˇ e, pˇ rípadnˇ e je m˚ užeme uchovat pro další instalaci. Poznámka: V operaˇ cních systémech Windows XP Service Pack 2 a novˇ ejších bude pˇ ri odinstalování Kerio Personal Firewallu zrušena jeho registrace ve Windows Security Center a automaticky aktivován vestavˇ ený Windows Firewall.
11
Kapitola 2 Instalace
2.2 Poˇ cáteˇ cní konfigurace Bˇ ehem instalace aplikace Kerio Personal Firewall lze zvolit tzv. výchozí režim ˇ cinnosti firewallu. Uživatel m˚ uže vybrat jeden z tˇ echto režim˚ u:
Obrázek 2.1
Volba výchozího chování firewallu (pˇ ri instalaci)
• Simple — v tomto režimu firewall automaticky povoluje veškerou odchozí komunikaci a blokuje veškerou pˇ ríchozí komunikaci. Všechna sít’ová rozhraní poˇ cítaˇ ce, na kterém je Kerio Personal Firewall nainstalován, jsou automaticky zaˇ razena do zóny Internet (viz kapitoly 7.2 a 7.4). Dále je vypnut modul bezpeˇ cnosti systému (viz kapitola 13). V d˚ usledku tˇ echto nastavení se firewall uživatele nikdy nedotazuje a pracuje výhradnˇ e podle výchozích pravidel (ve výchozích pravidlech se nikde nevyskytuje akce Ptát se). Toto chování firewallu lze zmˇ enit úpravou nastavení modul˚ u systémové a sít’ové bezpeˇ cnosti. Poznámka: Výjimkou je kontrola telefonních ˇ císel vytᡠcených linek (viz kapitola 7.8). Dialogy s dotazy na nové telefonní ˇ císlo nebo zmˇ enu telefonního ˇ císla se zobrazují vždy bez ohledu na nastavený režim firewallu. Režim Simple je pˇ ri instalaci pˇ rednastaven. Doporuˇ cujeme jej zejména zaˇ cáteˇ cník˚ um, pˇ rípadnˇ e uživatel˚ um, kteˇ rí z nˇ ejakého d˚ uvodu nemohou provést poˇ cáteˇ cní konfiguraci firewallu bezprostˇ rednˇ e po instalaci.
12
2.3 Kontrola nových verzí
• Advanced (tzv. samouˇ cící režim) — v tomto režimu se firewall pˇ ri zachycení neznámé komunikace nebo pˇ ri spuštˇ ení neznámé aplikace dotazuje uživatele, jaká akce má být provedena a zda se má pro tuto akci vytvoˇ rit pravidlo. Takto postupnˇ e vzniká specifická konfigurace firewallu pro konkrétní poˇ cítaˇ c a uživatele. Je-li zvolen režim Advanced, pak Kerio Personal Firewall pˇ ri svém prvním spuštˇ ení detekuje aktivní sít’ová rozhraní poˇ cítaˇ ce, na kterém je nainstalován. Pro každé rozhraní zobrazí dotaz, zda je toto rozhraní pˇ ripojeno do d˚ uvˇ eryhodné sítˇ eˇ ci nikoliv. Podrobnosti naleznete v kapitole 7.7. Režim Advanced nastavuje stejné výchozí chování Kerio Personal Firewallu jako všechny pˇ redchozí verze této aplikace. Tento režim doporuˇ cujeme zkušenˇ ejším uživatel˚ um a všem uživatel˚ um, kteˇ rí si chtˇ ejí firewall sami podrobnˇ e nastavit.
2.3 Kontrola nových verzí Kerio Personal Firewall automaticky kontroluje, zda je k dispozici novˇ ejší verze, a pokud ano, nabídne ji uživateli ke stažení. Kontrola nové verze se provádí pˇ ri každém spuštˇ ení Personal Firewall Engine a pak pravidelnˇ e v intervalu 24 hodin. Kontrolu nové verze lze také kdykoliv spustit ruˇ cnˇ e tlaˇ cítkem Zjistit ted’ v sekci Pˇ rehled / Pˇ redvolby konfiguraˇ cního okna Kerio Personal Firewallu (podrobnosti viz kapitola 6.3). Je-li verze Kerio Personal Firewallu na vašem poˇ cítaˇ ci aktuální, spojení se serverem se ukonˇ cí a naplánuje se pˇ ríští kontrola nové verze. V opaˇ cném pˇ rípadˇ e je zobrazen dialog s informacemi o nové verzi. Stisknutím tlaˇ cítka Další se zahájí stahování nové verze. Kerio Personal Firewall vždy kontroluje signaturu staženého souboru — tím je zajištˇ eno, že stažený soubor je skuteˇ cnˇ e originální (nejedná se o podvrh, není napaden virem, poškozen atd.). Po stažení nové verze se spustí instalaˇ cní program. Po instalaci je tˇ reba poˇ cítaˇ c restartovat. Tlaˇ cítkem Storno lze stahování, resp. instalaci nové verze zrušit. V takovém pˇ rípadˇ e nebude tato aktualizace znovu automaticky nabízena — lze ji však kdykoliv spustit ruˇ cnˇ e. Pˇ ri nalezení další nové verze Kerio Personal Firewall opˇ et nabídne aktualizaci automaticky. Podrobnosti o instalaci aplikace Kerio Personal Firewall naleznete v kapitole 2.1. Poznámka: Kerio Personal Firewall má speciální interní pravidla, která vždy povolují pˇ rístup na server pro aktualizaci a registraci produktu. Uživatel tedy nem˚ uže nevhodným nastavením firewallu automatickou aktualizaci zablokovat.
13
Kapitola 2 Instalace
Obrázek 2.2
Pr˚ uvodce aktualizací produktu Kerio Personal Firewall
14
Kapitola 3
Registrace a licence produktu
3.1 Plná a volnˇ e šiˇ ritelná verze Kerio Personal Firewall je k dispozici ve dvou verzích: plné (placené) a volnˇ e šiˇ ritelné. Instalaˇ cní balík je pro obˇ e verze spoleˇ cný. Po instalaci se produkt chová jako demoverze (tj. plná verze s ˇ casovým omezením na 30 dn˚ u). Pokud nebude produkt bˇ ehem této doby zaregistrován, stává se z nˇ ej volnˇ e šiˇ ritelná verze. Zakoupením licence a registrací produktu se z instalované demoverze nebo volnˇ e šiˇ ritelné verze stává plná verze (podrobnosti viz kapitolu 3.2). Volnˇ e šiˇ ritelná verze má oproti plné verzi tato omezení: • M˚ uže být použita pouze pro osobní a/nebo nekomerˇ cní úˇ cely. • Není funkˇ cní filtrování obsahu WWW stránek, vˇ cetnˇ e pˇ ríslušných záznam˚ u a statistik (viz kapitola 14). • Není funkˇ cní systém prevence útok˚ u na hostitelský operaˇ cní systém (HIPS). Více najdete v kapitole 12. • Nem˚ uže být použita na internetové bránˇ e (viz kapitola 6.3). • Záznamy nelze odesílat na Syslog server (viz kapitola 16.3). • Konfiguraci nelze ochránit heslem a není možná vzdálená správa.
Technická podpora Na produkt Kerio Personal Firewall je standardnˇ e poskytována pouze e-mailová technická podpora. Majitelé licence pro více než 1 poˇ cítaˇ c (multilicence) mají rovnˇ ež nárok na telefonickou technickou podporu. Kontakt naleznete na WWW stránkách http://www.kerio.cz/.
15
Kapitola 3 Registrace a licence produktu
3.2 Registrace produktu Zakoupenou licenci produktu Kerio Personal Firewall je tˇ reba registrovat. Registrací se aktivují funkce, které nejsou ve volnˇ e šiˇ ritelné verzi dostupné (viz kapitola 3.1). Registraci Kerio Personal Firewallu lze provést pˇ rímo v uživatelském rozhraní firewallu, pˇ rípadnˇ e na WWW stránkách firmy Kerio Technologies. Poznámky: 1.
Produkt Kerio Personal Firewall je poskytován zdarma pro osobní a nekomerˇ cní použití. V takovém pˇ rípadˇ e není nutné registraci provádˇ et. Po uplynutí 30 dn˚ u od instalace se však Kerio Personal Firewall zaˇ cne chovat jako omezená verze — viz kapitola 3.1.
2.
Podrobné informace o licenˇ cní politice naleznete na WWW stránkách firmy Kerio Technologies (http://www.kerio.cz/).
Registrace v uživatelském rozhraní Má-li poˇ cítaˇ c s Kerio Personal Firewallem pˇ rímý pˇ rístup do Internetu, pak lze registraci provést pˇ rímo v uživatelském rozhraní firewallu. K zobrazení informací o licenci a registraci licence a pˇ redplatného slouží záložka Licence v sekci Pˇ rehled. Podoba této záložky závisí na aktuální licenci a/nebo stavu produktu. Neregistrovaná verze ve zkušební lh˚ utˇ e V tomto stavu se produkt nachází po dobu 30 dn˚ u od první instalace na konkrétní poˇ cítaˇ c. V tomto období je produkt plnˇ e funkˇ cní i bez licence. Sekce Produkt obsahuje základní informace o produktu. Tlaˇ cítko Registrovat spouští pr˚ uvodce registrací (viz kapitola 3.3). Sekce Licence zobrazuje poˇ cet dní zbývajících do konce zkušební doby.
16
3.2 Registrace produktu
Obrázek 3.1
Sekce Pˇ rehled / Licence — neregistrovaná verze ve zkušební lh˚ utˇ e
Neregistrovaná verze po uplynutí zkušební doby Tento stav nastává po uplynutí tˇ ricetidenní zkušební doby, pokud nebyl produkt dosud zaregistrován. Produkt pˇ rechází do režimu tzv. omezené verze, kdy jsou zablokovány nˇ ekteré funkce (podrobnosti viz kapitola 3.1). Sekce Produkt umožˇ nuje registraci produktu, stejnˇ e jako v pˇ redchozím pˇ rípadˇ e. Sekce Licence informuje o tom, že produkt bˇ eží v režimu omezené neregistrované verze.
Obrázek 3.2
Sekce Pˇ rehled / Licence — neregistrovaná verze po uplynutí zkušební lh˚ uty
17
Kapitola 3 Registrace a licence produktu
Platná licence Je-li Kerio Personal Firewall již zaregistrován, pak jsou dostupné všechny jeho funkce bez ˇ casového omezení. Záložka Licence pak zobrazuje podrobné informace o aktuální licenci.
Obrázek 3.3
Sekce Pˇ rehled / Licence — registrovaná verze
Tlaˇ cítko Registrovat v sekci Produkt je neaktivní. Sekce Licence zobrazuje aktuální licenˇ cní ˇ císlo a data skonˇ cení funkˇ cnosti produktu a skonˇ cení nároku na bezplatné aktualizace (pˇ redplatného). Tlaˇ cítko Vložit pˇ redplatné umožˇ nuje zaregistrovat prodejní ˇ císlo zakoupeného pˇ redplatného na další období. Po stisknutí tohoto tlaˇ cítka se otevˇ re pr˚ uvodce registrací produktu od 3. kroku (viz kapitola 3.3). V sekci Registrováno na lze zmˇ enit kontaktní údaje firmy nebo osoby, na kterou je produkt registrován. V jednotlivých položkách dialogu budou pˇ redvyplnˇ eny aktuální údaje získané z registraˇ cního serveru. Položky Firma / Jméno a stát nelze zmˇ enit (licenci nelze pˇ reregistrovat na jiný subjekt).
18
3.3 Pr˚ uvodce registrací produktu
Registrace na WWW stránkách Produkt Kerio Personal Firewall lze zaregistrovat také na WWW stránkách firmy Kerio Technologies (http://www.kerio.cz/, sekce Obchod / Registrace licencí ). Tento zp˚ usob registrace lze využít v pˇ rípadˇ e, pokud není možné z poˇ cítaˇ ce s aplikací Kerio Personal Firewall navázat spojení se serverem firmy Kerio Technologies (napˇ r. je-li komunikace blokována sít’ovým firewallem). Do pˇ ríslušného formulᡠre je tˇ reba zadat registraˇ cní ˇ císlo získané pˇ ri zakoupení produktu a následnˇ e ˇ císla zakoupeného pˇ redplatného. Jsou-li všechna zadaná ˇ císla platná, bude vytvoˇ ren odpovídající licenˇ cní klíˇ c (soubor license.key). Tento soubor je tˇ reba stáhnout a uložit do podadresᡠre license v adresᡠri, kde je Kerio Personal Firewall nainstalován (typicky C:\Program Files\Kerio\Personal Firewall 4\license). Po dalším spuštˇ ení služby Personal Firewall Engine se již bude produkt chovat jako plná verze.
3.3 Pr˚ uvodce registrací produktu Registrace produktu Kerio Personal Firewall probíhá ve ˇ ctyˇ rech krocích: Krok 1 — zadání licenˇ cního ˇ císla V prvním kroku pr˚ uvodce je tˇ reba vyplnit licenˇ cní ˇ císlo získané pˇ ri zakoupení produktu (Licenˇ cní ˇ císlo).
Obrázek 3.4
Pr˚ uvodce registrací — zadání licenˇ cního ˇ císla (krok 1)
Po stisknutí tlaˇ cítka Další naváže Kerio Personal Firewall spojení s registraˇ cním serverem a zkontroluje platnost zadaného ˇ císla. Je-li ˇ císlo neplatné, v registraci nelze pokraˇ covat. Nepodaˇ rí-li se navázat spojení s registraˇ cním serverem (poˇ cítaˇ c nemá pˇ rímý pˇ rístup na Internet, komunikace je blokována jiným firewallem apod.), pak je uživateli nabídnut odkaz pro registraci produktu na WWW stránkách firmy Kerio Technologies. Krok 2 — kontaktní údaje
19
Kapitola 3 Registrace a licence produktu
Ve druhém kroku jsou požadovány informace o spoleˇ cnosti nebo osobˇ e, na kterou je produkt registrován.
Obrázek 3.5
Pr˚ uvodce registrací — údaje o zákazníkovi (krok 2)
ˇ Cervenˇ e oznaˇ cené položky Firma / jméno (název spoleˇ cnosti nebo jméno osoby), Stát a E-mail (kontaktní e-mailová adresa) jsou povinné, tzn. musejí být vyplnˇ eny. Ostatní položky jsou volitelné. Krok 3 — pˇ redplatné Tˇ retí krok pr˚ uvodce umožˇ nuje zadat prodejní ˇ císla zakoupeného pˇ redplatného na další období. Pokud máte zakoupenu pouze základní licenci (typicky pˇ ri první registraci produktu), pak tento krok pˇ reskoˇ cte. ˇ Do pole Císla pˇ redplatného lze pˇ ridat jedno nebo více prodejních ˇ císel získaných pˇ ri koupi pˇ redplatného. Pˇ ridaná ˇ císla lze dle potˇ reby opravit nebo odstranit. Všechna ˇ císla budou zaregistrována najednou po stisknutí tlaˇ cítka Další . Po stisknutí tlaˇ cítka Další naváže Kerio Personal Firewall spojení s registraˇ cním serverem, ovˇ eˇ rí správnost zadaných údaj˚ u a automaticky stáhne licenˇ cní klíˇ c (digitální certifikát). Krok 4 — dokonˇ cení registrace Ve ˇ ctvrtém kroku pr˚ uvodce se zobrazí informace o výsledku registrace.
20
3.3 Pr˚ uvodce registrací produktu
Obrázek 3.6
Obrázek 3.7
Pr˚ uvodce registrací — zadání licenˇ cních ˇ císel pˇ redplatného (krok 3)
Pr˚ uvodce registrací — informace o úspˇ ešném provedení registrace a platnosti licence (krok 4)
Uživatel je informován o datu a ˇ case vypršení pˇ redplatného (tj. nároku na bezplatné aktualizace produktu), a v pˇ rípadˇ eˇ casovˇ e omezené licence také o datu a ˇ case skonˇ cení funkˇ cnosti produktu (Vypršení licence). Stisknutím tlaˇ cítka Dokonˇ cit se pr˚ uvodce uzavˇ re. Poznámka: Po dokonˇ cení registrace se automaticky restartuje komponenta Personal Firewall GUI . Tím dojde k povolení všech funkcí, které nejsou v neregistrované verzi dostupné.
21
Kapitola 4
Komponenty firewallu a základní ovládání
4.1 Komponenty aplikace Kerio Personal Firewall Personal Firewall Engine Vlastní výkonné jádro Kerio Personal Firewallu. Bˇ eží jako systémová služba. Služba Personal Firewall Engine je uložena v souboru kpf4ss.exe v instalaˇ cním adresᡠri aplikace Kerio Personal Firewall. Systémová služba má název Kerio Personal Firewall 4 a zkrácený název kpf4. Nízkoúrovˇ nové ovladaˇ ce Zavádí se do jádra operaˇ cního systému pˇ ri jeho startu. Jsou umístˇ eny mezi ovladaˇ ci sít’ových rozhraní a TCP/IP subsystémem. Nízkoúrovˇ nový ovladaˇ c pro kontrolu sít’ové komunikace Nízkoúrovˇ nový ovladaˇ c pro kontrolu sít’ové komunikace zachytává a zpracovává veškerou pˇ rijatou ˇ ci vysílanou IP komunikaci. Tento nízkoúrovˇ nový ovladaˇ c propouští a blokuje komunikaci podle nastavených pravidel firewallu a zároveˇ n kontroluje spouštˇ ení aplikací v systému. Nízkoúrovˇ nový ovladaˇ c pro kontrolu útok˚ u na hostitelský systém Nízkoúrovˇ nový ovladaˇ c pro kontrolu útok˚ u na hostitelský systém kontroluje a pˇ rípadnˇ e blokuje (podle nastavení v uživatelském rozhraní) útoky typu Pˇ reteˇ cení vyrovnávací pamˇ eti a Injekce kódu. Oba nízkoúrovˇ nové ovladaˇ ce jsou uloženy v systémovém adresᡠri Windows: • v operaˇ cním systému Windows 2000 typicky v adresᡠri C:\WINNT\system32\drivers (soubory fwdrv.sys a khips.sys) • v operaˇ cním systému Windows XP typicky v adresᡠri C:\WINDOWS\system32\drivers (soubory fwdrv.sys a khips.sys) Personal Firewall GUI Uživatelské rozhraní aplikace Kerio Personal Firewall (GUI — Graphical User Interface). Komponentu Personal Firewall GUI spouští automaticky služba Personal Firewall Engine (pˇ ri svém startu a dále v každém okamžiku, kdy detekuje, že uživatelské rozhraní nebˇ eží). Po spuštˇ ení se Personal Firewall GUI zobrazuje jako ikona tvaru štítu v oznamovací oblasti nástrojové lišty (System Tray).
22
4.1 Komponenty aplikace Kerio Personal Firewall
Pomocí ikony v System Tray lze otevˇ rít konfiguraˇ cní okno aplikace Kerio Personal Firewall, pˇ rípadnˇ e vyvolat nˇ ekteré další funkce (zablokování sít’ové komunikace, deaktivace firewallu atd.). Podrobnosti naleznete v kapitole 4.2.
Obrázek 4.1
Ikona aplikace Kerio Personal Firewall v oznamovací oblasti nástrojové lišty
Komponenta Personal Firewall GUI je reprezentována souborem kpf4gui.exe v instalaˇ cním adresᡠri aplikace Kerio Personal Firewall. Nástroj pro odesílání výpis˚ u pamˇ eti Asistenˇ cní nástroj, který zajišt’uje odeslání výpisu pamˇ eti pˇ ri pádu aplikace Kerio Personal Firewall do firmy Kerio Technologies. Nachází se v souboru assist.exe. Knihovní moduly Výše popsané komponenty aplikace Kerio Personal Firewall využívají pro svou ˇ cinnost následující dynamické knihovny (DLL): • kfe.dll — rozhraní nízkoúrovˇ nového ovladaˇ ce. Toto rozhraní zajišt’uje komunikaci mezi ovladaˇ cem a Personal Firewall Engine. • gkh.dll — modul pro obsluhu horkých kláves. Tento modul je zodpovˇ edný za doˇ casné vypínání filtru pop-up oken. • kwsapi.dll — rozhraní pro Windows Security Center (registrace Kerio Personal Firewallu a zobrazování jeho stavu). • KTssleay32_0.9.7.dll, libeay32_0.9.7.dll — knihovna OpenSSL. Tato knihovna zajišt’uje šifrování konfiguraˇ cních soubor˚ u a komunikace mezi Personal Firewall GUI a Personal Firewall Engine. • KTiconv.dll — knihovna iconv. Tato knihovna provádí pˇ revod kódování znak˚ u napˇ r. pˇ ri filtrování WWW stránek, zápisu informací do záznam˚ u atd. • KTzlib.dll — knihovna zlib. Tato knihovna se používá pro komprimaci výpis˚ u pamˇ eti.
Podpora rychlého pˇ repínání uživatel˚ u Kerio Personal Firewall má vestavˇ enou podporu pro tzv. rychlé pˇ repínání uživatel˚ u ve Windows XP (Fast User Switching). Personal Firewall GUI m˚ uže bˇ ežet ve více instancích. Personal Firewall Engine vždy komunikuje s tou instancí, která náleží aktivnímu uživateli.. Po startu operaˇ cního systému a služby Personal Firewall Engine se spustí první instance, která bˇ eží pod systémovým úˇ ctem (resp. pod úˇ ctem, pod kterým se spouští služba Personal Firewall Engine). Pˇ ri pˇ rihlášení uživatele se spustí nová instance Personal Firewall GUI , která bˇ eží s právy tohoto uživatele. Tato instance je aktivní až do odhlášení
23
Kapitola 4 Komponenty firewallu a základní ovládání
uživatele (v tom pˇ rípadˇ e je ukonˇ cena), pˇ rípadnˇ e do pˇ repnutí uživatel˚ u (pak je pouze deaktivována).
4.2 Ikona na nástrojové lištˇ e Ikona aplikace Kerio Personal Firewall v pravé ˇ cásti nástrojové lišty (System Tray) je zobrazena vždy, když bˇ eží komponenta Personal Firewall GUI . Tuto komponentu spouští automaticky služba Personal Firewall Engine. Ikona Kerio Personal Firewallu zobrazuje také sít’ovou aktivitu poˇ cítaˇ ce, na kterém je firewall nainstalován. Sít’ová aktivita je zobrazována barevnými sloupci v dolní ˇ cásti ikony:
Obrázek 4.2
Ikona aplikace Kerio Personal Firewall na nástrojové lištˇ e
• zelený sloupec — odchozí (vysílaná) komunikace • ˇ cervený sloupec — pˇ ríchozí (pˇ rijímaná) komunikace Dvojitým kliknutím na ikonu levým tlaˇ cítkem myši se otevˇ re konfiguraˇ cní okno aplikace Kerio Personal Firewall (nastavení firewallu bude podrobnˇ e popsáno v kapitole 6). Po kliknutí na ikonu pravým tlaˇ cítkem myši se zobrazí menu s tˇ emito funkcemi:
Obrázek 4.3
Kontextové menu ikony na nástrojové lištˇ e
24
4.2 Ikona na nástrojové lištˇ e
Zakázat firewall Deaktivace firewallu. Tato funkce vypíná všechny moduly Kerio Personal Firewallu — tj. filtrování sít’ové komunikace, sledování spouštˇ ených aplikací, detekci útok˚ ua filtrování obsahu WWW stránek. Volba Zakázat firewall je urˇ cena pro krátkodobé vyˇ razení firewallu, typicky pro ˇ úˇ cely testování ci odstraˇ nování problém˚ u (napˇ r. nefunkˇ cnost sít’ového pˇ ripojení). Nedoporuˇ cujeme ponechávat volbu Disable Firewall trvale zapnutou — firewall je pak neúˇ cinný a váš poˇ cítaˇ c není chránˇ en. Je-li Kerio Personal Firewall deaktivován, ikona na nástrojové lištˇ e je ˇ cervenˇ e pˇ reškrtnutá.
Obrázek 4.4
Ikona aplikace Kerio Personal Firewall — firewall zakázán
Výbˇ erem funkce Zakázat firewall se volba v menu se zmˇ ení na Povolit firewall — výbˇ erem této volby dojde k opˇ etovné aktivaci firewallu. Poznámka: V operaˇ cních systémech Windows XP Service Pack 2 je pˇ ri zakázání nebo povolení Kerio Personal Firewallu nahlášen jeho aktuální stav do Windows Security Center. Odpojit sít’ Zablokování veškeré sít’ové komunikace (tzv. sít’ový zámek). Blokování sít’ové komunikace je signalizováno symbolem „jednosmˇ erná ulice“ na ikonˇ e Kerio Personal Firewallu.
Obrázek 4.5
Ikona aplikace Kerio Personal Firewall — blokování sít’ové komunikace
Po aktivaci funkce Odpojit sít’ se volba v menu zmˇ ení na Zapojit sít’ — výbˇ erem této volby dojde k opˇ etovnému povolení komunikace dle aktuálního nastavení firewallu. TIP: Funkce Odpojit sít’ m˚ uže být užiteˇ cná napˇ r. v pˇ rípadˇ e, kdy omylem došlo k povolení sít’ové komunikace, která mˇ ela být zakázána. Volba Odpojit sít’ pozastaví aktuální spojení a zabrání navázání dalších spojení. Bylo-li vytvoˇ reno komunikaˇ cní pravidlo (tj. zaškrtnuta volba Vytvoˇ rit pravidlo pro tuto komunikaci), m˚ užete jej smazat (viz kapitola 7.2, resp. 8) a poté komunikaci opˇ et povolit. Poznámka: Pˇ ri startu služby Personal Firewall Engine se volby Zakázat firewall a Odpojit sít’ vždy nastaví do výchozího stavu. Z bezpeˇ cnostních d˚ uvod˚ u není žádoucí, aby byl firewall po startu neaktivní. Blokování veškeré komunikace by mohlo zp˚ usobit problémy napˇ r. s pˇ rihlašováním uživatel˚ u. Konfigurace Tato volba otevírá konfiguraˇ cní okno aplikace Kerio Personal Firewall. Konfigurace
25
Kapitola 4 Komponenty firewallu a základní ovládání
firewallu je detailnˇ e popsána v kapitole 6. Registrovat Spuštˇ ení pr˚ uvodce registrací produktu (podrobnosti viz kapitola 3.2). Je-li Kerio Personal Firewall již registrován, tato položka se v menu nezobrazuje. O aplikaci Okno s informacemi o verzích jednotlivých komponent Kerio Personal Firewallu a odkazy na WWW stránky výrobce aplikace.
Obrázek 4.6
Okno O aplikaci
Ukonˇ cit Ukonˇ cení aplikace. Tato volba zastaví službu Personal Firewall Engine a ukonˇ cí všechny instance Personal Firewall GUI (tzn. uzavˇ rou se všechna otevˇ rená okna aplikace a skryje se ikona na nástrojové lištˇ e). Kerio Personal Firewall lze znovu aktivovat volbou Firewall Engine z nabídky Start → Programy → Kerio → Personal Firewall 4, pˇ rípadnˇ e spuštˇ ením služby v ovládacím panelu Nástroje pro správu / Služby (Administrative Tools / Services). Upozornˇ ení: Po ukonˇ cení aplikace Kerio Personal Firewall zaˇ cne nízkoúrovˇ nový ovladaˇ c automaticky povolovat veškerou odchozí i pˇ ríchozí komunikaci — poˇ cítaˇ c pˇ restává být chránˇ en! Podrobnosti viz kapitola 7.6.
26
4.2 Ikona na nástrojové lištˇ e
Je-li pˇ rístup ke správˇ e firewallu chránˇ en heslem a uživatel je pˇ rihlášen, pak je kontextové menu rozšíˇ reno o položku Odhlásit. Bližší informace naleznete v kapitole 6.2.
27
Kapitola 5
Chování firewallu a interakce s uživatelem
5.1 Chování firewallu Pˇ ri komunikaci v síti Internet se používají protokoly sady TCP/IP. Tyto protokoly jsou pˇ revážnˇ e používány i pro komunikaci v lokálních sítích. Základním (nosným) protokolem je IP (Internet Protocol), jehož pakety nesou veškeré další informace (zapouzdˇ rují v sobˇ e ostatní protokoly). Kerio Personal Firewall má úplnou kontrolu nad všemi IP pakety — tzn. je schopen je zachytit, zjistit z nich potˇ rebné informace a poté je propustit nebo filtrovat. Samozˇ rejmostí je také vytvᡠrení záznam˚ u o provádˇ ených akcích, detekovaných útocích apod. Základním principem ˇ cinnosti Kerio Personal Firewallu je tzv. stavová inspekce. Firewall pˇ ri svém rozhodování nepracuje pouze s informacemi ze zachyceného paketu, ale také s informací o stavu pˇ redchozí komunikace. O každém povoleném spojení (resp. pseudospojení v pˇ rípadˇ e protokol˚ u UDP a ICMP) je vytvoˇ ren záznam. Firewall tak dokáže pˇ resnˇ e urˇ cit, zda zachycený paket patˇ rí do povoleného spojení, a podle toho jej propustí nebo blokuje. Stavová inspekce sít’ové komunikace je nˇ ekolikanásobnˇ e úˇ cinnˇ ejší a bezpeˇ cnˇ ejší než samotné filtrování paket˚ u. Je-li pˇ ri instalaci Kerio Personal Firewallu zvolen režim Advanced (viz kapitola 2.2), pak firewall pracuje v tzv. samouˇ cícím módu. Pˇ ri zachycení dosud neznámé sít’ové komunikace se zobrazí dialogové okno, ve kterém m˚ uže uživatel pˇ ríslušnou komunikaci povolit ˇ ci zakázat, a to jednorázovˇ e nebo trvale. Pro trvale povolenou ˇ ci zakázanou komunikaci se automaticky vytvoˇ rí odpovídající pravidlo a pˇ ri pˇ ríštím zachycení této komunikace se již Kerio Personal Firewall uživatele nedotazuje. Detaily naleznete v kapitolách 5.2 a 8. Poznámka: Obdobným zp˚ usobem Kerio Personal Firewall postupuje také pˇ ri kontrole spouštˇ ených aplikací (podrobnosti viz kapitola 13.2). Úpravou pravidel pro aplikace nebo pravidly rozšíˇ reného paketového filtru m˚ uže uživatel (resp. administrátor) specifikovat další podmínky pro filtrování komunikace. Vždy jsou ale propuštˇ eny jen takové pakety, které jsou povoleny pˇ ríslušnými pravidly nebo patˇ rí do povolených spojení (viz stavová inspekce). Upozorˇ nující dialogy jsou zobrazeny vždy nad okny ostatních aplikací („Always on Top“). Je-li zachyceno více událostí (tj. více pokus˚ u o navázání spojení, spuštˇ ení aplikací,
28
5.2 Dialog Upozornˇ ení na spojení (zachycení neznámé komunikace)
pokus˚ u o útok, atd.) souˇ casnˇ e, pak se tyto události ˇ radí do fronty — teprve po potvrzení jednoho dialogu se zobrazí další; nikdy se nezobrazuje více dialog˚ u souˇ casnˇ e.
5.2 Dialog Upozornˇ ení na spojení (zachycení neznámé komunikace) Dialog Upozornˇ ení na spojení (dotaz na povolení ˇ ci zákaz komunikace) informuje uživatele o tom, že Kerio Personal Firewall zachytil dosud neznámou komunikaci a oˇ cekává jeho rozhodnutí, zda tuto komunikaci povolit ˇ ci zakázat, pˇ rípadnˇ e vytvoˇ rit odpovídající komunikaˇ cní pravidlo. Poznámka: Chování Kerio Personal Firewallu pˇ ri zachycení sít’ové komunikace urˇ cují volby a pravidla v sekci Sít’ová bezpeˇ cnost (viz kapitoly 7.2 a 7.3). Dialog Upozornˇ ení na spojení se zobrazuje v pˇ rípadech, kdy neexistuje odpovídající pravidlo nebo pravidlo explicitnˇ e vyžaduje dotázat se uživatele. Upozornˇ ení: V pˇ rípadˇ e, že je konfigurace Kerio Personal Firewallu chránˇ ena heslem (kapitola 6.3), lze v dialogu jednorázovˇ e povolit spojení, avšak bez zadání hesla není možné vytvoˇ rit pro toto spojení pˇ ríslušné pravidlo. Dialog Upozornˇ ení na spojení obsahuje následující informace a volby: Smˇ er komunikace a zóna Barevný pruh v horní ˇ cásti dialogu informuje uživatele o smˇ eru komunikace (pˇ ríchozí nebo odchozí) a zónˇ e, do které patˇ rí vzdálený poˇ cítaˇ c (d˚ uvˇ eryhodné IP adresy nebo Internet). Barva pruhu a text pˇ red závorkou urˇ cuje smˇ er navazovaného spojení: • Upozornˇ ení na odchozí spojení — odchozí spojení (tzn. navazované z lokálního poˇ cítaˇ ce na vzdálený). Odchozí spojení je signalizováno zelenou barvou.
29
Kapitola 5 Chování firewallu a interakce s uživatelem
Obrázek 5.1
Dialog Upozornˇ ení na spojení (zachycení neznámé komunikace)
Obrázek 5.2
Dialog Upozornˇ ení na spojení — smˇ er komunikace a zóna
• Upozornˇ ení na pˇ ríchozí spojení — pˇ ríchozí spojení (tzn. navazované ze vzdáleného poˇ cítaˇ ce na lokální). Pˇ ríchozí spojení je signalizováno ˇ cervenou barvou. V závorce je uvedena zóna, do které patˇ rí IP adresa vzdáleného poˇ cítaˇ ce: • D˚ uvˇ eryhodná zóna — skupina d˚ uvˇ eryhodných IP adres (podrobnosti viz kapitola 7.4) • Internet — „zbytek svˇ eta“ (tj. libovolná IP adresa, která nepatˇ rí do skupiny D˚ uvˇ eryhodná zóna)
30
5.2 Dialog Upozornˇ ení na spojení (zachycení neznámé komunikace)
Lokální aplikace a vzdálený konec spojení Pod barevným pruhem s informací o smˇ eru komunikace jsou uvedeny struˇ cné informace o navazovaném spojení:
Obrázek 5.3
Dialog Upozornˇ ení na spojení — lokální aplikace a vzdálený konec spojení
• ikona a popis aplikace na lokálním poˇ cítaˇ ci. Není-li popis k dispozici, zobrazí se jméno spustitelného souboru aplikace. Nemá-li aplikace svoji ikonu, použije se standardní systémová ikona pro spustitelné soubory. • DNS jméno vzdáleného poˇ cítaˇ ce a jeho IP adresa (v hranatých závorkách). Poznámka: DNS jména poˇ cítaˇ cu ˚ se zjišt’ují dotazováním DNS. V závislosti na rychlosti odezvy m˚ uže být po nˇ ejakou dobu zobrazena pouze IP adresa daného poˇ cítaˇ ce. Pokud neexistuje odpovídající DNS záznam, z˚ ustane trvale zobrazena pouze IP adresa. Pˇ revod IP adres na DNS jména lze globálnˇ e vypnout/zapnout napˇ r. v kontextovém menu okna Overview / Connections (viz kapitola 15.1) • vzdálený port (jedná-li se o standardní službu, zobrazí se její jméno a ˇ císlo portu v hranatých závorkách; jinak ˇ císlo portu bez závorek) Pˇ ri umístˇ ení kurzoru myši na popis aplikace se jako nápovˇ edný text (tooltip) zobrazí úplná cesta k spustitelnému souboru aplikace.
Obrázek 5.4
Dialog Upozornˇ ení na spojení — zobrazení úplné cesty k aplikaci
Volba akce Nejd˚ uležitˇ ejší ˇ cástí dialogu je volba akce, tedy povolení ˇ ci zakázání pˇ ríslušné komunikace.
Obrázek 5.5
Dialog Upozornˇ ení na spojení — volba akce
• Tlaˇ cítko Povolit povolí danou komunikaci. • Tlaˇ cítko Zakázat zakáže danou komunikaci. • Volba Vytvoˇ rit pravidlo pro tuto komunikaci a pˇ ríštˇ e se již nedotazovat zp˚ usobí vytvoˇ rení komunikaˇ cního pravidla na základˇ e zachycené komunikace. Akce v pravidle bude nastavena podle toho, které tlaˇ cítko bylo stisknuto (Povolit nebo Zakázat). Pˇ ri pˇ ríštím zachycení stejné komunikace se již Kerio Personal Firewall nebude dotazovat uživatele, ale provede akci dle vytvoˇ reného komunikaˇ cního pravidla. Poznámka: Vytvoˇ rené komunikaˇ cní pravidlo lze kdykoliv pozdˇ eji upravit
31
Kapitola 5 Chování firewallu a interakce s uživatelem
nebo odstranit v konfiguraˇ cním oknˇ e Kerio Personal Firewallu v sekci Sít’ová bezpeˇ cnost, záložka Aplikace. Podrobnosti naleznete v kapitole 7.2. • Tlaˇ cítko Podrobnosti zobrazí pole s podrobnými informacemi o navazovaném spojení a lokální aplikaci. Opˇ etovným stisknutím tohoto tlaˇ cítka se podrobné informace skryjí. Následující ˇ cásti dialogu se zobrazí po stisknutí tlaˇ cítka Podrobnosti. Detailní informace o spojení a lokální aplikaci V poli Podrobnosti jsou uvedeny podrobné informace o spojení (smˇ er, protokol, lokální a vzdálená IP adresa, lokální a vzdálený port) a lokální aplikaci, která se komunikace úˇ castní (jméno spustitelného souboru aplikace vˇ cetnˇ e plné cesty, popis aplikace, datum vytvoˇ rení, poslední zmˇ eny a posledního ˇ ctení spustitelného souboru).
Obrázek 5.6
Dialog Upozornˇ ení na spojení — detailní informace o spojení a lokální aplikaci
Vytvoˇ rení rozšíˇ reného pravidla
Obrázek 5.7
Dialog Upozornˇ ení na spojení — vytvoˇ rení pravidla paketového filtru
Zaškrtnutím volby Vytvoˇ rit pravidlo rozšíˇ reného paketového filtru bude namísto standardního pravidla pro aplikaci (viz kapitola 7.2) vytvoˇ reno pravidlo paketového filtru, umožˇ nující detailnˇ e nastavit parametry komunikace (IP adresy, porty atd.), lokální aplikaci, ˇ casovou platnost atd. Tlaˇ cítko Rozšíˇ rené pravidlo... otevírá dialog pro definici pravidla paketového filtru, ve kterém lze pravidlo upravit (upˇ resnit) dle požadavk˚ u uživatele. Rozšíˇ rené pravidlo lze kdykoliv zmˇ enit nebo odstranit v konfiguraˇ cním oknˇ e Kerio Personal Firewallu (sekce Sít’ová bezpeˇ cnost, záložka Aplikace, tlaˇ cítko Paketový filtr). Podrobnosti o rozšíˇ rených komunikaˇ cních pravidlech naleznete v kapitole 8. Poznámka: Po dobu, kdy je zobrazen dialog Upozornˇ ení na spojení , je pˇ ríslušná komunikace „pozastavena“ (již pˇ rijatá ˇ ci vyslaná data uchovává Kerio Personal Firewall ve své vyrovnávací pamˇ eti). Není-li reakce uživatele dostateˇ cnˇ e rychlá, m˚ uže vysílající aplikace po urˇ cité dobˇ e (zpravidla nˇ ekolik desítek sekund) tento stav vyhodnotit jako sít’ovou chybu (cílový poˇ cítaˇ c nedostupný).
32
5.3 Dialog Spouštˇ ení/Zámˇ ena/Spouštˇ ení jiné aplikace
5.3 Dialog Spouštˇ ení/Zámˇ ena/Spouštˇ ení jiné aplikace Dialog Spouštˇ ení/Zámˇ ena/Spouštˇ ení jiné aplikace informuje uživatele o tom, že Kerio Personal Firewall detekoval pokus o spuštˇ ení aplikace a oˇ cekává jeho rozhodnutí, zda tuto akci povolit ˇ ci zakázat, pˇ rípadnˇ e vytvoˇ rit odpovídající pravidlo. Aplikace bude spuštˇ ena až v okamžiku, kdy to uživatel povolí. Poznámka: Chování Kerio Personal Firewallu pˇ ri spouštˇ ení aplikací urˇ cují volby a pravidla v sekci Bezpeˇ cnost systému (viz kapitola 13). Dialog Spouštˇ ení/Zámˇ ena/Spouštˇ ení jiné aplikace se zobrazuje v pˇ rípadech, kdy neexistuje odpovídající pravidlo nebo pravidlo explicitnˇ e vyžaduje dotázat se uživatele. Upozornˇ ení: V pˇ rípadˇ e, že je konfigurace Kerio Personal Firewallu chránˇ ena heslem (kapitola 6.3), lze povolit akci pouze po jeho správném zadání.
Obrázek 5.8
Dialog Spouštˇ ení/Zámˇ ena/Spouštˇ ení jiné aplikace
33
Kapitola 5 Chování firewallu a interakce s uživatelem
Dialog obsahuje tyto informace: Popis události V záhlaví dialogového okna je uveden slovní popis zachycené události a obecné doporuˇ cení, jakou akci by mˇ el uživatel zvolit.
Obrázek 5.9
Dialog Spouštˇ ení/Zámˇ ena/Spouštˇ ení jiné aplikace — popis události
Poznámka: Je-li popis aplikace (pˇ rípadnˇ e jméno souboru, pokud není popis k dispozici) pˇ ríliš dlouhý, zkrátí se na 32 znak˚ u a ukonˇ cí tˇ remi teˇ ckami. Název události Barevný pruh obsahuje informaci o tom, jaká událost byla zachycena:
Obrázek 5.10
Dialog Spouštˇ ení/Zámˇ ena/Spouštˇ ení jiné aplikace — událost
• Spouštˇ ení aplikace • Zámˇ ena aplikace — spustitelný souboru aplikace byl od posledního spuštˇ ení zmˇ enˇ en • Aplikace spouští jinou aplikaci — bˇ ežící aplikace se pokouší spustit jinou aplikaci Ikona a popis aplikace Pod informací o typu události je zobrazen popis a ikona spouštˇ ené aplikace. Není-li popis k dispozici, zobrazí se jméno spustitelného souboru aplikace. Nemáli aplikace svoji ikonu, použije se standardní systémová ikona pro spustitelné soubory. Pokud byla aplikace spuštˇ ena jinou aplikací, zobrazí se ve druhém ˇ rádku (Kým spuštˇ eno) popis této aplikace.
Obrázek 5.11
Dialog Spouštˇ ení/Zámˇ ena/Spouštˇ ení jiné aplikace — ikona a popis aplikace
Pˇ ri umístˇ ení kurzoru myši na popis aplikace (v prvním ˇ rádku) nebo na popis aplikace, která ji spouští (ve druhém ˇ rádku) se jako nápovˇ edný text (tooltip) zobrazí úplná cesta k spustitelnému souboru aplikace.
Obrázek 5.12
Dialog Spouštˇ ení/Zámˇ ena/Spouštˇ ení jiné aplikace — zobrazení úplné cesty k aplikaci
34
5.4 Upozornˇ ení na útoky na hostitelský operaˇ cní systém
Volba akce Nejd˚ uležitˇ ejší ˇ cástí dialogu je volba akce — tedy povolení ˇ ci zakázání spuštˇ ení pˇ ríslušné aplikace.
Obrázek 5.13
Dialog Spouštˇ ení/Zámˇ ena/Spouštˇ ení jiné aplikace — volba akce
• Tlaˇ cítko Povolit povolí spuštˇ ení aplikace. • Tlaˇ cítko Zakázat zakáže spuštˇ ení aplikace. • Volba Vytvoˇ rit pravidlo pro tuto akci a pˇ ríštˇ e se již nedotazovat zp˚ usobí vytvoˇ rení pravidla pro tuto událost (v sekci Bezpeˇ cnost systému / Aplikace). Pˇ ri pˇ ríštím zachycení události stejného typu se již firewall uživatele nedotazuje a provede akci definovanou uživatelem. • Tlaˇ cítko Podrobnosti zapíná/vypíná zobrazení podrobnosti o spouštˇ ené aplikaci (pˇ rípadnˇ e také o aplikaci, která ji spouští) Podrobnosti o aplikacích Sekce Podrobnosti obsahuje podrobné informace o spouštˇ ené aplikaci, pˇ rípadnˇ eo aplikaci, která se ji pokouší spustit (úplná cesta k spustitelnému souboru, popis aplikace, ˇ císlo verze, datum vytvoˇ rení, poslední zmˇ eny a posledního pˇ rístupu k souboru atd.).
Obrázek 5.14
Dialog Spouštˇ ení/Zámˇ ena/Spouštˇ ení jiné aplikace — podrobnosti o aplikacích
5.4 Upozornˇ ení na útoky na hostitelský operaˇ cní systém Dialog Zablokován pokus o útok upozorˇ nuje uživatele na to, že Kerio Personal Firewall detekoval pokus o útok na hostitelský operaˇ cní systém a zablokoval ho. Poznámka: Chování Kerio Personal Firewallu pˇ ri detekování tˇ echto typ˚ u útok˚ u lze rípadech, kdy nastavit v kapitole 12). Dialog Zablokován pokus o útok se zobrazuje v pˇ na aplikace neexistuje odpovídající výjimka nebo pokud je vypnuta volba Nezobrazovat žádná upozornˇ ení na události tohoto typu (více viz kapitolu 12).
35
Kapitola 5 Chování firewallu a interakce s uživatelem
Obrázek 5.15
Dialog detekce pokusu o útok na hostitelský systém
Popis události V záhlaví dialogového okna je uveden slovní popis zachyceného útoku a obecné doporuˇ cení, jakou akci by mˇ el uživatel zvolit. Název události Bledˇ e modrý pruh obsahuje informaci o tom, že byl zachycen pokus o pr˚ unik do hostitelského systému. M˚ uže se jednat o dva typy útok˚ u: • Pˇ reteˇ cení vyrovnávací pamˇ eti — o tomto typu útoku se dozvíte více v kapitole 12. • Injekce kódu — tento typ útoku podrobnˇ e popisuje kapitola 12. Ikona a cesty k aplikacím Pod informací o typu útoku je zobrazen popis a ikony napadající i napadené aplikace (viz obrázek 5.16). Nemá-li aplikace svoji ikonu, použije se standardní systémová ikona pro spustitelné soubory.
36
5.5 Upozornˇ ení na událost
Obrázek 5.16
Detekce injekce kódu — Ikony a popis útoku
V pˇ rípadˇ e útoku typu Pˇ reteˇ cení vyrovnávací pamˇ eti se zobrazuje pouze proces, ve kterém došlo k tomuto typu útoku (viz obrázek 5.17).
Obrázek 5.17
Detekce pˇ reteˇ cení vyrovnávací pamˇ eti — Ikona a popis procesu
Povolení odeslání informací pokusu o útok Volba Povolit odeslání technických detail˚ u do firmy Kerio je standardnˇ e zaškrtnuta a umožˇ nuje specialist˚ um firmy další vývoj detekce tˇ echto typ˚ u útok˚ u. Do firmy Kerio Technologies bude odeslán pouze obsah upozorˇ nujícího dialogu. Zavˇ rít Tlaˇ cítko slouží k zavˇ rení upozorˇ nujícího dialogu. Po zavˇ rení doporuˇ cujeme zjistit v záznamu HIPS podrobnosti o útoku (viz kapitolu 16.6). Podrobnosti o útoku Tlaˇ cítko Podrobnosti zobrazuje/skrývá podrobné informace o napadající i napadené aplikaci (v pˇ rípadˇ e útoku typu Pˇ reteˇ cení vyrovnávací pamˇ eti pouze o procesu) — úplnou cestu ke spustitelnému souboru, popis aplikace, ˇ císlo verze, atd.
5.5 Upozornˇ ení na událost V pravidlech Kerio Personal Firewallu m˚ uže být nastaveno zobrazení upozornˇ ení pˇ ri zachycení komunikace vyhovující tomuto pravidlu, resp. pˇ ri spuštˇ ení odpovídající aplikace. Jestliže Kerio Personal Firewall zaznamená takovou událost, zobrazí v pravém dolním rohu obrazovky okno s detailními informacemi. Nastanou-li další události tohoto typu dˇ ríve, než uživatel informaˇ cní okno zavˇ re, ˇ radí se informace do fronty, kterou lze procházet obˇ ema smˇ ery (použitím tlaˇ cítek se šipkami v pravém dolním rohu okna). Poznámka: Uzavˇ rením okna s upozornˇ ením (kliknutím na kˇ rížek v pravém horním rohu nebo kombinací kláves Alt+F4) dojde k vymazání všech zpráv z fronty, bez ohledu na to, zda byly zobrazeny ˇ ci nikoliv!
Pˇ ríklad upozornˇ ení na sít’ovou komunikaci Upozornˇ ení obsahuje tyto položky: ˇ — datum a ˇ • Cas cas, kdy událost nastala
37
Kapitola 5 Chování firewallu a interakce s uživatelem
Obrázek 5.18
Upozornˇ ení na sít’ovou komunikaci
• Popis pravidla — popis (název) pravidla rozšíˇ reného paketového filtru, které bylo uplatnˇ eno (pokud bylo použito pravidlo pro aplikaci, zobrazuje se zde Nelze urˇ cit) • Aplikace — ikona a název lokální aplikace, která se komunikace úˇ castní (nemá-li aplikace ikonu, použije se standardní systémová ikona; není-li k dispozici název aplikace, zobrazí se jméno spustitelného souboru bez pˇ rípony) • Vzdálená strana — IP adresa a port vzdáleného poˇ cítaˇ ce (pokud lze z DNS zjistit jeho jméno, zobrazuje se namísto IP adresy; jedná-li se o standardní službu, zobrazí se pˇ red ˇ císlem portu její název) • Podrobnosti — podrobnosti o spojení: smˇ er (Odchozí nebo Pˇ ríchozí ), protokol a lokální port • Akce — akce, která byla provedena (Povoleno — komunikace povolena, Zakázáno — komunikace zakázána) • poˇ radí zprávy ve frontˇ e a celkový poˇ cet zpráv ve frontˇ e (celkový poˇ cet zpráv m˚ uže nar˚ ustat, jestliže v dobˇ e zobrazení okna s upozornˇ ením generuje Kerio Personal Firewall další zprávy) Podrobné informace o pravidlech pro sít’ovou komunikaci aplikací naleznete v kapitole 7.2.
Pˇ ríklad upozornˇ ení na spouštˇ ení aplikace
Obrázek 5.19
Upozornˇ ení na spouštˇ ení aplikace
38
5.5 Upozornˇ ení na událost
Upozornˇ ení obsahuje tyto položky: ˇ — datum a ˇ • Cas cas, kdy událost nastala • Popis pravidla — popis události, která byla zachycena: Spouštˇ ení aplikace, Zámˇ ena aplikace (zmˇ ena spustitelného souboru aplikace) nebo Aplikace spouští jinou aplikaci • Aplikace — ikona a název spouštˇ ené aplikace (nemá-li aplikace ikonu, použije se standardní systémová ikona; není-li k dispozici název aplikace, zobrazí se jméno spustitelného souboru bez pˇ rípony) • Kým spuštˇ eno — název (popis) aplikace, která danou aplikaci spouští • Akce — akce, která byla provedena na základˇ e odpovídajícího pravidla (Povoleno — spuštˇ ení aplikace povoleno, Zakázáno — spuštˇ ení aplikace zamítnuto). Podrobné informace o pravidlech pro spouštˇ ení aplikací naleznete v kapitole 13.2.
39
Kapitola 6
Konfigurace firewallu
6.1 Konfiguraˇ cní okno K nastavení Kerio Personal Firewallu a sledování stavových informací a záznam˚ u slouží tzv. konfiguraˇ cní okno. Toto okno lze otevˇ rít následujícími zp˚ usoby: • dvojitým kliknutím levým tlaˇ cítkem na ikonu Kerio Personal Firewallu na nástrojové lištˇ e • kliknutím pravým tlaˇ cítkem na tuto ikonu a volbou Konfigurace z kontextového menu
Obrázek 6.1
Konfiguraˇ cní okno aplikace Kerio Personal Firewall
40
6.1 Konfiguraˇ cní okno
Záložky v levé ˇ cásti okna slouží k pˇ repínání jednotlivých sekcí: • Pˇ rehled — pˇ rehled aktivních spojení a otevˇ rených port˚ u (viz kapitola 15.1), statistiky (viz kapitola 15.2) a uživatelské preference (viz kapitola 6.3). • Sít’ová bezpeˇ cnost — pravidla pro sít’ovou komunikaci aplikací, paketový filtr, definice d˚ uvˇ eryhodné zóny (viz kapitola 7) • Bezpeˇ cnost systému — pravidla pro spouštˇ ení aplikací (viz kapitola 13) • Útoky — nastavení detekce známých typ˚ u útok˚ u (viz kapitola 11) • WWW — pravidla pro WWW stránky — blokování pop-up oken, URL filtr, blokování objekt˚ u, kontrola nad odesílanými daty (viz kapitola 14) • Záznamy — prohlížení a nastavení záznam˚ u (viz kapitola 16) Graf v levé dolní ˇ cásti okna zobrazuje ˇ casový pr˚ ubˇ eh zatížení sít’ového rozhraní (máli poˇ cítaˇ c více sít’ových rozhraní, pak se statistiky za všechna rozhraní sˇ cítají). Zelený sloupec vedle grafu zobrazuje aktuální (okamžitou) rychlost odchozí komunikace, ˇ cervený sloupec rychlost pˇ ríchozí komunikace. Kliknutím levým tlaˇ cítkem myši na graf se pˇ repíná zobrazení — ˇ cárový graf nebo plošný graf. Pˇ ri umístˇ ení kurzoru myši nad graf se zobrazí nápovˇ edný text (tooltip) se statistikou sít’ové komunikace:
Obrázek 6.2
Konfiguraˇ cní okno — ˇ casový pr˚ ubˇ eh zatížení sít’ového rozhraní
• rychlost odchozí (zelený sloupec) — aktuální rychlost odchozí komunikace
41
Kapitola 6 Konfigurace firewallu
• rychlost pˇ ríchozí (ˇ cervený sloupec) — aktuální rychlost pˇ ríchozí komunikace • maximum (pˇ ríchozí + odchozí) — nejvyšší zaznamenaná rychlost (souˇ cet odchozí a pˇ ríchozí komunikace za posledních 80 sekund) • minimum (pˇ ríchozí + odchozí) — nejnižší zaznamenaná rychlost (souˇ cet odchozí a pˇ ríchozí komunikace za posledních 80 sekund) Tlaˇ cítko Odpojit sít’ pod grafem slouží k zablokování veškeré sít’ové komunikace (všechna otevˇ rená spojení budou pozastavena). Tato funkce m˚ uže být užiteˇ cná napˇ r. v pˇ rípadˇ e, kdy omylem povolíme komunikaci, která mˇ ela být zakázána. Po stisknutí zmˇ ení toto tlaˇ cítko popis na Zapojit sít’. Je-li komunikace zastavena, je tento stav signalizován ikonou a textem pod tlaˇ cítkem Zapojit sít’.
Obrázek 6.3
Konfiguraˇ cní okno — blokování / povolení veškeré sít’ové komunikace
Poznámka: Volba Odpojit sít’ / Zapojit sít’ je dostupná také z kontextového menu ikony Kerio Personal Firewallu na nástrojové lištˇ e (viz kapitola 4.2). Tlaˇ cítka na spodním okraji okna mají standardní funkce: • OK — uložení provedených zmˇ en a zavˇ rení konfiguraˇ cního okna • Storno — zavˇ rení okna bez uložení zmˇ en • Použít — uložení (akceptování) provedených zmˇ en, okno z˚ ustává otevˇ rené • Nápovˇ eda — otevˇ rení nápovˇ edy pro aktuální sekci/záložku Poznámka: Zmˇ eny konfigurace lze provádˇ et souˇ casnˇ e pouze v jedné záložce jedné sekce. Pˇ ri pˇ rechodu do jiné záložky, resp. jiné sekce, se kontroluje, zda v aktuálním zobrazení nebyly provedeny dosud neuložené zmˇ eny. Pokud ano, Kerio Personal Firewall se dotáže, zda má tyto zmˇ eny akceptovat nebo stornovat.
Obrázek 6.4
cní okno — dotaz na uložení provedených zmˇ en Konfiguraˇ
42
6.2 Vzdálená správa aplikace Kerio Personal Firewall
Ochrana konfigurace heslem Pˇ rístup ke konfiguraci Kerio Personal Firewallu m˚ uže být chránˇ en heslem (zmˇ eny v konfiguraci pak m˚ uže provádˇ et pouze oprávnˇ ený uživatel). Heslo lze nastavit v sekci Pˇ rehled / Pˇ redvolby (viz kapitola 6.3). Je-li konfigurace chránˇ ena heslem, m˚ uže neovˇ eˇ rený uživatel nastavení v konfiguraˇ cním oknˇ e pouze prohlížet. Pˇ ri prvním pokusu o provedení zmˇ eny bude vyžadováno zadání hesla.
Obrázek 6.5
Ovˇ eˇ rení uživatele k provedení zmˇ eny v konfiguraci
Po zadání platného hesla dojde k pˇ rihlášení uživatele — uživatel bude mít právo provádˇ et zmˇ eny v konfiguraci. Po provedení všech konfiguraˇ cních zmˇ en by se uživatel mˇ el odhlásit, aby nemohlo dojít k zásahu do konfigurace neoprávnˇ enou osobou. Odhlášení lze provést volbou Odhlásit rípadnˇ e tlaˇ cítkem z kontextového menu ikony na nástrojové lištˇ e (viz kapitola 4.2), pˇ Odhlásit v sekci Pˇ rehled / Pˇ redvolby. Pokud se uživatel neodhlásí, je pˇ rihlášení platné až do ukonˇ cení bˇ ehu služby Personal Firewall Engine.
6.2 Vzdálená správa aplikace Kerio Personal Firewall Kerio Personal Firewall m˚ uže být spravován i vzdálenˇ e, tj. z jiného poˇ cítaˇ ce, než na kterém bˇ eží služba Personal Firewall Engine. Vzdálený pˇ rístup je možný na dvou úrovních: • pˇ rístup ke konfiguraci — ze vzdáleného poˇ cítaˇ ce lze provádˇ et všechna nastavení a akce, které jsou dostupné v konfiguraˇ cním oknˇ e. Dialogy pˇ ri událostech (spouštˇ ení aplikací, sít’ová komunikace) a upozornˇ ení na události budou zobrazovány na poˇ cítaˇ ci, kde bˇ eží Personal Firewall Engine.
43
Kapitola 6 Konfigurace firewallu
• pˇ resmˇ erování relace — na vzdálený poˇ cítaˇ c budou pˇ resmˇ erovány také všechny dialogy a upozornˇ ení uživateli.
Pˇ ripojení ze vzdáleného poˇ cítaˇ ce Pro pˇ ripojení k Personal Firewall Engine z jiného poˇ cítaˇ ce je tˇ reba provést tyto kroky: 1.
Povolení vzdálené správy a nastavení hesla Vzdálené pˇ ripojení k Personal Firewall Engine je možné pouze na základˇ e ovˇ eˇ rení uživatele heslem. V sekci Pˇ rehled / Pˇ redvolby zapnˇ ete volby Povolit ochranu heslem a Povolit vzdálenou správu tohoto poˇ cítaˇ ce. Pokud nebylo dosud definováno heslo, nastavte jej. Podrobnosti naleznete v kapitole 6.3.
2.
Spuštˇ ení Personal Firewall GUI na vzdáleném poˇ cítaˇ ci • Je-li na vzdáleném poˇ cítaˇ ci nainstalován Kerio Personal Firewall 4.x, spust’te komponentu Remote Firewall Administration z programové skupiny Kerio. • Není-li na vzdáleném poˇ cítaˇ ci Kerio Personal Firewall nainstalován, zkopírujte z lokálního poˇ cítaˇ ce (typicky adresᡠr C:\Program Files\Kerio\Personal Firewall 4) na vzdálený poˇ cítaˇ c soubory kpf4gui.exe, KTlibeay32_0.9.7.dll, KTssleay32_0.9.7.dll, KTzlib.dll a podadresᡠr trans. Na vzdáleném poˇ cítaˇ ci spust’te aplikaci kpf4gui.exe.
3.
Pˇ rihlášení k Personal Firewall Engine Pˇ ri spuštˇ ení Personal Firewall GUI jedním z výše popsaných zp˚ usob˚ u se zobrazí dialog pro pˇ rihlášení k Personal Firewall Engine.
Obrázek 6.6
Pˇ ripojení k Personal Firewall Engine na vzdáleném poˇ cítaˇ ci
44
6.2 Vzdálená správa aplikace Kerio Personal Firewall
Adresa DNS jméno nebo IP adresa poˇ cítaˇ ce, na kterém bˇ eží služba Personal Firewall Engine. Po pˇ rihlášení bude toto jméno nebo IP adresa zobrazena: • v záhlaví konfiguraˇ cního okna
Obrázek 6.7
Vzdálená správa — záhlaví konfiguraˇ cního okna
• v nápovˇ edném textu (tooltip) ikony na nástrojové lištˇ e
Obrázek 6.8
Vzdálená správa — ikona na nástrojové lištˇ e
Heslo Heslo pro pˇ rístup ke správˇ e (viz bod 1.) Pˇ resmˇ erovat události do této relace Tato volba zapíná/vypíná pˇ resmˇ erování všech dialog˚ u a upozornˇ ení na vzdálený poˇ cítaˇ c. Zapnˇ ete tuto volbu, chcete-li Kerio Personal Firewall kompletnˇ e sledovat a ovládat ze vzdáleného poˇ cítaˇ ce. Pokud chcete provést pouze jednorázovou úpravu konfigurace, doporuˇ cujeme tuto volbu nezapínat. Po stisknutí tlaˇ cítka Pˇ ripojit se naváže spojení se vzdáleným poˇ cítaˇ cem. Poznámka: Pˇ ripojení vzdálené správy je povoleno interními pravidly Kerio Personal Firewallu. Pro vzdálenou správu tedy není tˇ reba definovat speciální pravidla sít’ové bezpeˇ cnosti.
Vzdálená správa Po úspˇ ešném navázání spojení s Personal Firewall Engine se na nástrojové lištˇ e zobrazí (v poli System Tray) ikona Kerio Personal Firewallu se symbolem vzdáleného pˇ ripojení (R = remote = vzdálený). Kontextové menu této ikony obsahuje následující funkce:
Obrázek 6.9
Vzdálená správa — kontextové menu ikony na nástrojové lištˇ e
45
Kapitola 6 Konfigurace firewallu
Zakázat firewall Deaktivace firewallu (vypnutí všech bezpeˇ cnostních funkcí). Konfigurace Tato volba otevírá konfiguraˇ cní okno, ve kterém lze provádˇ et všechny konfiguraˇ cní úkony stejnˇ e jako na lokálním poˇ cítaˇ ci (s výjimkou odpojení sítˇ e). Podrobnosti viz kapitola 6.1. O aplikaci Okno s informacemi o verzích jednotlivých komponent Kerio Personal Firewallu a licenci, pˇ rípadnˇ e datu omezení funkˇ cnosti zkušební verze. Informace v tomto oknˇ e jsou stejné jako v pˇ rípadˇ e lokálního pˇ ripojení). Odpojit Odpojení od vzdálené služby Personal Firewall Engine a ukonˇ cení Personal Firewall GUI na poˇ cítaˇ ci, ze kterého byla vzdálená správa provádˇ ena. Narozdíl od lokální správy nejsou pˇ ri vzdáleném pˇ ripojení v kontextovém menu dostupné tyto funkce: • Odpojit sít’ (zablokování sít’ové komunikace by pˇ rerušilo také spojení mezi Personal Firewall Engine a Personal Firewall GUI na vzdáleném poˇ cítaˇ ci), • Odhlásit (pˇ ri vzdálené správˇ e musí být uživatel ovˇ eˇ ren, odhlášení se de facto provede pˇ ri odpojení od Personal Firewall Engine), • Ukonˇ cit (službu Personal Firewall Engine nelze vzdálenˇ e ukonˇ cit; Personal Firewall GUI na vzdáleném poˇ cítaˇ ci se ukonˇ cí volbou Odpojit).
6.3 Pˇ redvolby Sekce Pˇ rehled / Pˇ redvolby slouží k nastavení uživatelských preferencí a upˇ resˇ nujících parametr˚ u firewallu. Automatické zjišt’ování nových verzí Zapnutí/vypnutí automatické kontroly nových verzí programu. Pro zajištˇ ení maximální bezpeˇ cnosti doporuˇ cujeme ponechat tuto volbu zapnutou (nové verze obsahují aktualizace databáze známých útok˚ u, opravy pˇ rípadných chyb atd.). Podrobnosti o automatické kontrole a instalaci nové verze naleznete v kapitole 2.3.
46
6.3 Pˇ redvolby
Obrázek 6.10
Sekce Pˇ rehled / Pˇ redvolby
Zjistit ted’ Toto tlaˇ cítko spouští okamžitou kontrolu existence nové verze Kerio Personal Firewallu. Je-li na aktualizaˇ cním serveru nalezena novˇ ejší verze, pak je uživateli nabídnuto její stažení a instalace (podrobnosti viz kapitola 2.3). V opaˇ cném pˇ rípadˇ e se zobrazí informace o tom, že novˇ ejší verze není k dispozici (instalovaná verze je aktuální).
Obrázek 6.11
Kontrola nové verze — žádná nová verze není k dispozici
Nabízet ke stažení betaverze Zapnutím této volby budou pˇ ri kontrole nových verzí uživateli nabízeny také zveˇ rejnˇ ené betaverze. Betaverze jsou nové verze ve stádiu vývoje — není zaruˇ cena jejich plná funkˇ cnost a mohou obsahovat chyby. Volbu Nabízet ke stažení betaverze použijte v pˇ rípadˇ e, jestliže se chcete úˇ castnit testování betaverzí (podrobnosti viz http://www.kerio.cz/, Beta Sekce). Nemáteli zájem o testování a chcete-li mít na svém poˇ cítaˇ ci vždy plnˇ e funkˇ cní (finální) verzi, pak tuto volbu nezapínejte.
47
Kapitola 6 Konfigurace firewallu
Vytvᡠret výpis pamˇ eti pˇ ri pádu Zapnutí/vypnutí vytvᡠrení ladicích informací pro pˇ rípad havárie Kerio Personal Firewallu. Dojde-li po zapnutí této volby k pádu Personal Firewall Engine nebo Personal Firewall GUI , vytvoˇ rí se soubor s výpisem pamˇ eti a následnˇ e automaticky spustí nástroj Assist, který nabídne odeslání informací o pádu (komprimovaného výpisu pamˇ eti a vybraných záznam˚ u) k analýze do firmy Kerio Technologies. V pˇ rípadˇ e, že došlo k havárii operaˇ cního systému, m˚ uže Kerio Personal Firewall po opˇ etovném startu odeslat k analýze výpis pamˇ eti jádra. 1 minutu po startu služby Personal Firewall Engine se provede kontrola, zda se na disku nenalézá nový výpis pamˇ eti. Je-li nalezen, spustí se nástroj Assist, který zkontroluje, zda tento výpis souvisí s pádem aplikace Kerio Personal Firewall. Pokud ano, nabídne se jeho odeslání do firmy Kerio Technologies k analýze. Výpis pamˇ eti je odesílán v komprimované podobˇ e. Do balíku je pˇ ripojen také obsah vˇ etve systémového registru HKEY_CURRENT_USER\Software\Kerio\Personal Firewall 4. Poznámka: Odeslané informace budou použity výhradnˇ e pro úˇ cely ladˇ ení aplikace Kerio Personal Firewall. Nebudou použity k žádnému jinému úˇ celu ani poskytnuty žádné tˇ retí stranˇ e. Konfigurace Tato sekce obsahuje tlaˇ cítka pro zálohování konfigurace Kerio Personal Firewall a její obnovení, pˇ rípadnˇ e naˇ ctení konfigurace aplikace Kerio Personal Firewall 2.1.x. Po stisku tlaˇ cítka Importovat se zobrazí systémový dialog pro otevˇ rení souboru. Kerio Personal Firewall dokáže otevˇ rít a naˇ císt konfiguraˇ cní soubor ve formátu: • Kerio Personal Firewall 4.x v nešifrované podobˇ e (formát XML, pˇ rípona .cfg) • Kerio Personal Firewall 2.1.x (pˇ rípona .conf) — import konfigurace ze starší verze Tlaˇ cítko Exportovat otevírá systémový dialog pro uložení souboru. Takto je možné uložit konfiguraˇ cní soubor (v nešifrované podobˇ e) pro pozdˇ ejší použití ˇ ci pro pˇ renos na jiný poˇ cítaˇ c. Poznámka: Konfiguraˇ cní soubor verze 4.x nelze v šifrované podobˇ e importovat. Povolit ochranu heslem Nastavení hesla pro pˇ rístup ke konfiguraci Kerio Personal Firewallu. Je-li konfigurace chránˇ ena heslem, pak je možné si ji pouze prohlížet. Pˇ ri prvním pokusu o zmˇ enu je vyžadováno ovˇ eˇ rení uživatele zadáním hesla. Po úspˇ ešném ovˇ eˇ rení je uživatel pˇ rihlášen a má právo konfiguraci mˇ enit. Podrobné informace naleznete v kapitole 6.1. Tlaˇ cítko Odhlásit slouží k odhlášení uživatele — pˇ ri dalším pokusu o zmˇ enu konfigurace bude opˇ et vyžadováno zadání hesla. Odhlášení je možné také volbou z kontextového menu ikony na nástrojové lištˇ e (viz kapitola 4.2)
48
6.3 Pˇ redvolby
Tlaˇ cítko Nastavit heslo... otevírá dialog pro zadání nebo zmˇ enu hesla.
Obrázek 6.12
Nastavení hesla pro ochranu konfigurace
Do položky Staré heslo je tˇ reba zadat aktuální heslo (zmˇ enu hesla smí provést pouze oprávnˇ ený uživatel). Pokud nebylo dosud žádné heslo definováno (bezprostˇ rednˇ e po instalaci Kerio Personal Firewallu, po smazání konfigurace apod.), je tato položka neaktivní. Do položky Nové heslo zadejte požadované heslo a v položce Potvrzení hesla jej pro kontrolu zopakujte. Poznámka: Vzdálená správa Kerio Personal Firewallu je možná pouze po ovˇ eˇ rení uživatele heslem. Je-li volba Povolit ochranu heslem vypnuta, pak nelze ani povolit vzdálenou správu (následující volba je neaktivní). Povolit vzdálenou správu tohoto poˇ cítaˇ ce Tato volba povoluje interní pravidlo firewallu pˇ ripojení ke správˇ e Kerio Personal Firewallu z jiného poˇ cítaˇ ce (viz kapitola 9.1). Ve výchozím nastavení je vzdálená správa zakázána. Podrobné informace o vzdálené správˇ e naleznete v kapitole 6.2. Preferovaný jazyk Volba jazyka uživatelského rozhraní Kerio Personal Firewallu. Po stisknutí tlaˇ cítka OK nebo Použít dojde k restartu uživatelského rozhraní. Pˇ ri dalším otevˇ rení konfiguraˇ cního okna, resp. kontextového menu na nástrojové lištˇ e, se již uživatelské rozhraní zobrazí v požadovaném jazyce. Jednotlivé jazykové verze (lokalizace) jsou uloženy v podadresᡠri trans adresᡠre, kde je Kerio Personal Firewall nainstalován. Podle zvoleného jazyka se také vybírá nejvhodnˇ ejší soubor s nápovˇ edou. Neníli nalezena žádná preferovaná nápovˇ eda pro zvolený jazyk, pak Kerio Personal Firewall zkusí otevˇ rít nápovˇ edu v angliˇ ctinˇ e. Pokud není k dispozici ani anglická verze, nápovˇ eda se nezobrazí. Poznámky: 1. Soubory s nápovˇ edou jsou uloženy pˇ rímo v adresᡠri, kde je Kerio Personal Firewall nainstalován. Soubory s kontextovou nápovˇ edou mají formát Microsoft HTML Help a mají název kpf4-
.chm, kde zkratka_jazyka je dvoupísmenné oznaˇ cení jazyka.
49
Kapitola 6 Konfigurace firewallu
2.
Pokud Kerio Personal Firewall zjistí, že lokalizaˇ cní soubor pro vybraný jazyk neodpovídá aktuální verzi uživatelského rozhraní, zobrazí se varovné hlášení. Tento stav nemá žádný vliv na funkci programu, pouze nˇ ekteré texty v uživatelském rozhraní budou neaktuální nebo budou zobrazeny v anglickém originále.
50
Kapitola 7
Pravidla pro sít’ovou komunikaci
Klíˇ covým bodem konfigurace Kerio Personal Firewallu jsou pravidla pro sít’ovou komunikaci. K dispozici jsou tˇ ri typy pravidel: • Pravidla pro aplikace — jednoduchá pravidla definující chování firewallu pˇ ri sít’ové komunikaci s poˇ cítaˇ ci v d˚ uvˇ eryhodné zónˇ e a v Internetu. Tato pravidla jsou vytvᡠrena automaticky na základˇ e reakce uživatele pˇ ri zachycení dosud neznámé sít’ové komunikace. Podrobnosti viz kapitola 7.2. • Rozšíˇ rený paketový filtr — detailní pravidla pro sít’ovou komunikaci (možnost nastavení IP adres, protokolu, port˚ u, aplikace atd.). Pravidla paketového filtru mohou být definována bud’ ruˇ cnˇ e (v konfiguraˇ cním oknˇ e Kerio Personal Firewallu) nebo automaticky na základˇ e reakce uživatele (viz kapitola 5.2) Nastavení rozšíˇ reného paketového filtru je popsáno v kapitole 8. • Pˇ reddefinovaná pravidla pro sít’ovou komunikaci — Kerio Personal Firewall obsahuje sadu pˇ reddefinovaných pravidel, která jsou nezávislá na aplikacích. U pˇ reddefinovaných pravidel m˚ uže uživatel nastavovat pouze akci (tj. povolit nebo zakázat pˇ ríslušnou komunikaci). Pˇ reddefinovaná pravidla lze jednoduše zapnout nebo vypnout (jedna volba pro všechna pravidla). Podrobnosti viz kapitola 7.3. Modul firewallu pro kontrolu sít’ové komunikace lze zapnout/vypnout volbou Povolit modul sít’ové bezpeˇ cnosti v sekci Sít’ová bezpeˇ cnost, záložka Aplikace. Je-li tato volba vypnuta, pak jsou všechny uvedené typy pravidel neaktivní.
7.1 Aplikace pravidel pro sít’ovou komunikaci Pˇ ri zachycení sít’ové komunikace aplikují jednotlivé moduly firewallu definovaná pravidla v urˇ ceném poˇ radí. Jestliže komunikace vyhovuje urˇ citému pravidlu, provede se odpovídající akce a vyhodnocování se ukonˇ cí. Pravidla jednotlivých modul˚ u Kerio Personal Firewallu se aplikují v tomto poˇ radí: 1.
Systém detekce útok˚ u (IDS — viz kapitolu 11),
51
Kapitola 7 Pravidla pro sít’ovou komunikaci
2.
Stavová inspekce sít’ové komunikace (automatické propuštˇ ení paket˚ u patˇ rících do povolených spojení — viz kapitola 5.1),
3.
Interní pravidla pro komponenty Kerio Personal Firewallu — napˇ r. povolení pˇ rístupu na WWW server firmy Kerio Technologies pro kontrolu a stahování nových verzí programu,
4.
Pravidla rozšíˇ reného paketového filtru (viz kapitola 8),
5.
Pˇ reddefinovaná pravidla pro sít’ovou komunikaci (viz kapitola 7.3),
6.
Pravidla pro sít’ovou komunikaci aplikací (viz kapitola 7.2).
Poznámka: Je-li vypnut modul sít’ové bezpeˇ cnosti a/nebo detekce útok˚ u (viz kapitola 11), pak se pˇ ríslušná pravidla na zachycenou komunikaci neaplikují. Interní pravidla firewallu vypnout nelze.
7.2 Pravidla pro aplikace K zobrazení a úpravˇ e pravidel pro aplikace slouží sekce Sít’ová bezpeˇ cnost, záložka Aplikace. Poznámka: Následující informace platí pro pˇ rípad, kdy Kerio Personal Firewall pracuje v režimu Advanced (viz kapitola 2.2). V režimu Simple je pro d˚ uvˇ eryhodnou zónu i pro Internet všem aplikacím povolena odchozí komunikace a zakázána pˇ ríchozí komunikace a žádná nová pravidla se automaticky nevytvᡠrejí.
Obrázek 7.1
Sekce Sít’ová bezpeˇ cnost / Aplikace — pravidla pro sít’ovou komunikaci aplikací
52
7.2 Pravidla pro aplikace
Pro každou aplikaci m˚ uže být definováno nejvýše jedno pravidlo. Na poˇ radí pravidel nezáleží. Každé pravidlo sestává z následujících ˇ cástí: Popis Ikona a popis aplikace. Nemá-li aplikace ikonu, bude použita systémová ikona pro spustitelné soubory. Není-li k dispozici popis aplikace, zobrazí se jméno souboru bez pˇ rípony. Poznámka: Ikonu a popis aplikace nelze v Kerio Personal Firewallu zmˇ enit (tyto informace jsou dány tv˚ urcem konkrétní aplikace). D˚ uvˇ eryhodné, Internet Nastavení chování firewallu pˇ ri komunikaci dané aplikace s poˇ cítaˇ cem v d˚ uvˇ eryhodné zónˇ e a v Internetu v každém smˇ eru (Pˇ ríchozí , Odchozí ). Pro každou zónu a každý smˇ er komunikace lze zvolit jednu z tˇ echto akcí: • povolit — povolení komunikace • zakázat — zákaz komunikace • ptát se — Kerio Personal Firewall se dotáže uživatele, zda chce komunikaci povolit ˇ ci zakázat. Pˇ ri zachycení odpovídající komunikace se zobrazí dialog Upozornˇ ení na spojení (tento dialog je podrobnˇ e popsán v kapitole 5.2) a uživatel musí rozhodnout, jak se má firewall zachovat. Poznámka: V dialogu Upozornˇ ení na spojení m˚ uže uživatel pravidlo zmˇ enit (zaškrtne-li volbu Vytvoˇ rit pravidlo pro tuto komunikaci..., pak se akce Ptát se v pravidle zmˇ ení na akci, kterou uživatel zvolil). Pˇ ríklad: Pravidlo pro WWW prohlížeˇ c Mozilla
Obrázek 7.2
Pravidla pro aplikace — pravidlo pro WWW prohlížeˇ c Mozilla
WWW prohlížeˇ c je typická klientská aplikace — navazuje spojení s WWW servery. Odchozí komunikaci tedy m˚ užeme povolit. WWW server ale nikdy nenavazuje spojení zpˇ et na klienta: taková komunikace je podezˇ relá (m˚ uže to být pokus o útok). Pˇ ríchozí komunikaci s aplikací Mozilla tedy zakážeme, pˇ rípadnˇ e nastavíme akci ptát se, aby byl uživatel na takovou komunikaci upozorˇ nován. Zaznamenat Po zapnutí této volby bude veškerá komunikace vyhovující danému pravidlu zaznamenána do záznamu Network (viz kapitola 16.4), a to bez ohledu na nastavenou akci (zaznamenána bude tedy povolená i zakázaná komunikace).
53
Kapitola 7 Pravidla pro sít’ovou komunikaci
Upozornit Zapnutím této volby bude pˇ ri detekci komunikace vyhovující tomuto pravidlu zobrazeno upozornˇ ení — okno Alert (viz kapitola 5.5). Nezáleží na tom, zda je komunikace povolena ˇ ci zakázána. Tuto funkci lze využít napˇ r. v pˇ rípadˇ e, kdy zakážeme nežádoucí komunikaci a chceme být informováni o tom, zda a kdy vzdálený poˇ cítaˇ c pokus o navázání spojení zopakuje. Tlaˇ cítko Zmˇ enit otevírá dialog pro úpravu vybraného pravidla (viz dále). Tlaˇ cítko Odebrat odstraní vybrané pravidlo. Tlaˇ cítko Obnovit slouží k obnovení seznamu pravidel (po dobu otevˇ rení záložky Aplikace m˚ uže dojít k interakci firewallu s uživatelem a v d˚ usledku toho k pˇ ridání ˇ ci zmˇ enˇ e pravidel).
Implicitní pravidlo Na posledním místˇ e seznamu pravidel pro sít’ovou komunikaci aplikací se vždy nachází pravidlo Libovolná jiná aplikace (tzv. implicitní pravidlo). Toto pravidlo se uplatˇ nuje pro sít’ovou komunikaci aplikací, pro které neexistuje jiné pravidlo. Implicitní pravidlo je v seznamu pravidel barevnˇ e zvýraznˇ eno. Toto pravidlo nelze odstranit. Poznámky: 1.
Nastavením akcí v pravidle Libovolná jiná aplikace lze zmˇ enit režim ˇ cinnosti firewallu (viz kapitola 2.2): • Je-li v tomto pravidle alespoˇ n jedna akce ptát se, pak firewall pracuje v režimu Advanced — pˇ ri zachycení dosud neznámé sít’ové komunikace se dotáže uživatele; na základˇ e jeho reakce komunikaci povolí nebo zakáže, pˇ rípadnˇ e vytvoˇ rí pravidlo pro pˇ ríslušnou aplikaci. • Jsou-li v pravidle Libovolná jiná aplikace pro obˇ e zóny a oba smˇ ery komunikace nastaveny akce povolit nebo zakázat, pak firewall pracuje v režimu Simple — pˇ ri zachycení neznámé komunikace je jednoznaˇ cnˇ e urˇ ceno, jaká akce má být provedena. V tomto pˇ rípadˇ e se firewall uživatele nedotazuje.
2.
Výchozí pravidlo je zároveˇ n „šablonou“ pro nová pravidla vytvᡠrená automaticky na základˇ e interakce s uživatelem. Akce zvolená uživatelem se z bezpeˇ cnostních d˚ uvod˚ u nastaví vždy pouze pro zónu a smˇ er odpovídající zachycené komunikaci. Zbývající akce jsou pˇ revzaty z implicitního pravidla. Pˇ ríklad: V implicitním pravidle je pro všechny zóny a smˇ ery komunikace nastavena akce ptát se. Uživatel spustí WWW prohlížeˇ c Microsoft Internet Explorer a pˇ ristupuje
54
7.2 Pravidla pro aplikace
na server v lokální síti, která patˇ rí do d˚ uvˇ eryhodné zóny. Firewall zobrazí dotaz na neznámou komunikaci (viz kapitola 5.2). Uživatel komunikaci povolí a požaduje vytvoˇ rení pravidla. Ve vytvoˇ reném pravidle bude pro odchozí komunikaci v d˚ uvˇ eryhodné zónˇ e nastavena akce povolit, pro pˇ ríchozí komunikaci v d˚ uvˇ eryhodné zónˇ e a pro oba smˇ ery v zónˇ e Internet bude nastavena akce ptát se (pˇ revzatá z implicitního pravidla).
Obrázek 7.3
Pravidla pro aplikace — implicitní pravidlo a vytvoˇ rené pravidlo pro WWW prohlížeˇ c
Výše popsané chování je tˇ reba mít na pamˇ eti pˇ ri nastavování akcí v implicitním pravidle. Obecnˇ e se doporuˇ cuje nastavit pro všechny zóny a smˇ ery komunikace akci ptát se (samouˇ cící režim) nebo zakázat (blokování neznámé komunikace bez dotazování uživatele).
Volby pro pravidla V poli se seznamem pravidel jsou dostupné následující volby: 1.
Kliknutím pravým tlaˇ cítkem myši ve sloupci Popis se zobrazí kontextové menu s tˇ emito funkcemi:
Obrázek 7.4
Pravidla pro aplikace — kontextové menu
55
Kapitola 7 Pravidla pro sít’ovou komunikaci
• Zmˇ enit — otevˇ rení dialogu pro úpravu pravidla (viz níže) • Odebrat — odstranˇ ení vybraného pravidla • Zobrazované jméno aplikace — volba, jakým zp˚ usobem bude zobrazován název aplikace: • úplná cesta k souboru • jméno souboru bez cesty • popis aplikace Volba Zobrazovat ikony zapíná/vypíná zobrazování ikon aplikací pˇ red jménem souboru nebo popisem aplikace. 2.
Kliknutím myší na akci (ve sloupci D˚ uvˇ eryhodné nebo Internet): • levým tlaˇ cítkem se akce cyklicky pˇ repíná: Povolit — Zakázat — Ptát se • pravým tlaˇ cítkem se zobrazí kontextové menu, z nˇ ehož lze vybrat požadovanou akci.
Obrázek 7.5
3.
Pravidla pro aplikace — volba akce
Kliknutím levým tlaˇ cítkem myši ve sloupci Zaznamenat nebo Upozornit lze zapnout, resp. vypnout záznam komunikace vyhovující tomuto pravidlu do záznamu Sít’ nebo zobrazování upozornˇ ení uživateli pˇ ri zachycení takové komunikace.
Dialog pro úpravu pravidla Stisknutím tlaˇ cítka Zmˇ enit nebo volbou Zmˇ enit z kontextového menu se otevˇ re dialog pro úpravu vybraného pravidla. V tomto dialogu lze nastavit akci pro každou zónu a smˇ er komunikace, záznam komunikace odpovídající tomuto pravidlu a zobrazování upozornˇ ení uživateli.
56
7.3 Pˇ reddefinovaná pravidla pro sít’ovou komunikaci
Obrázek 7.6
Pravidla pro aplikace — dialog pro definici pravidla
V horním poli dialogu se zobrazuje popis aplikace a v dalším ˇ rádku ikona aplikace a plná cesta k spustitelnému souboru aplikace. Tyto informace nelze mˇ enit. Stˇ rední ˇ cást dialogu umožˇ nuje nastavení požadovaných akcí pro každou zónu a každý smˇ er komunikace. Volba Zaznamenat komunikaci do záznamu Sít’ zapíná záznam komunikace vyhovující tomuto pravidlu do záznamu Sít’ (viz kapitola 16.4). ri Volba Upozornit uživatele zapíná zobrazování upozornˇ ení uživateli (viz kapitola 5.5) pˇ zachycení komunikace vyhovující tomuto pravidlu.
7.3 Pˇ reddefinovaná pravidla pro sít’ovou komunikaci Pro zjednodušení konfigurace obsahuje Kerio Personal Firewall sadu pˇ reddefinovaných pravidel pro sít’ovou komunikaci. Tato pravidla nejsou závislá na aplikacích (platí globálnˇ e). Uživatel se m˚ uže rozhodnout, zda pˇ reddefinovaná pravidla použije ˇ ci nikoliv, pˇ rípadnˇ e m˚ uže upravit jejich nastavení. Pˇ reddefinovaná pravidla pro sít’ovou komunikaci se nacházejí v sekci Sít’ová bezpeˇ cnost, záložka Pˇ reddefinované. Pravidla v této záložce nelze pˇ ridávat ani odebírat. U každého pravidla lze pouze nastavit akci pro d˚ uvˇ eryhodnou zónu a Internet. Nastavení akce se provádí kliknutím levým tlaˇ cítkem myši na pˇ ríslušné místo (tj. v ˇ rádce vybraného pravidla ve sloupci D˚ uvˇ eryhodné nebo Internet). Opakovaným klikáním se stˇ rídavˇ e pˇ repínají akce Povolit a Zakázat. Poznámka: U pˇ reddefinovaných pravidel nelze nastavit akci Ptát se (tj. dotázání se uživatele pˇ ri zachycení odpovídající komunikace — viz kapitoly 7.2 a 5.2).
57
Kapitola 7 Pravidla pro sít’ovou komunikaci
Obrázek 7.7
Sekce Sít’ová bezpeˇ cnost / Pˇ reddefinované — pˇ reddefinovaná pravidla pro sít’ovou komunikaci
Volba Povolit pˇ reddefinovaná pravidla pro sít’ovou bezpeˇ cnost povoluje/zakazuje pˇ reddefinovaná pravidla pro sít’ovou komunikaci. Je-li tato volba vypnuta, pak jsou pˇ reddefinovaná pravidla ignorována a Kerio Personal Firewall pracuje pouze s pravidly pro aplikace (viz kapitola 7.2) a s rozšíˇ reným paketovým filtrem (viz kapitola 8). Tlaˇ cítko Výchozí obnovuje výchozí nastavení akcí v pˇ reddefinovaných pravidlech.
Popis pˇ reddefinovaných pravidel Kerio Personal Firewall obsahuje tato pˇ reddefinovaná pravidla pro sít’ovou komunikaci: Internet Group Management Protocol Protokol IGMP se používá k pˇ rihlašování a odhlašování do/ze skupiny pˇ ríjemc˚ u multicastových zpráv. Tento protokol lze pomˇ ernˇ e snadno zneužít, a proto je ve výchozím nastavení zakázán. Povolte jej pouze v pˇ rípadˇ e, provozujete-li aplikace, které využívají technologie multicast zpráv (typicky pˇ renos zvuku ˇ ci videa po Internetu). Ping and Tracert in, Ping and Tracert out Programy Ping a Tracert (Traceroute) slouží ke zjištˇ ení odezvy vzdáleného poˇ cítaˇ ce, resp. trasování cesty v síti. K tomuto úˇ celu používají zprávy ˇ rídicího protokolu ICMP (Internet Control Message Protocol). Pˇ rípadný útoˇ cník zpravidla nejprve zkouší, zda vybraná IP adresa „žije“ — tj. zda odpovídá na uvedené ˇ rídicí zprávy. Blokováním tˇ echto zpráv se poˇ cítaˇ c stává „neviditelným“, což m˚ uže snížit pravdˇ epodobnost útoku. Ve výchozím nastavení jsou blokovány pˇ ríchozí Ping a Tracert zprávy z Internetu. Z d˚ uvˇ eryhodné zóny jsou tyto zprávy povoleny (pˇ redpokládá se, že napˇ r. správce sítˇ e bude programem Ping testovat dostupnost dané pracovní stanice). Odchozí Ping a Tracert zprávy jsou povoleny pro obˇ e zóny. Tyto nástroje jsou totiž velmi ˇ casto používány pro ovˇ eˇ rení funkˇ cnosti sít’ového pˇ ripojení ˇ ci dostupnosti
58
7.4 D˚ uvˇ eryhodná zóna
vzdáleného poˇ cítaˇ ce. Other ICMP packets Pravidlo pro ostatní zprávy ˇ rídicího protokolu ICMP (napˇ r. pˇ resmˇ erování, cíl nedostupný apod.). Dynamic Host Configuration Protocol DHCP slouží k automatickému nastavování parametr˚ u TCP/IP (IP adresa, maska subsítˇ e, výchozí brána atd.). Upozornˇ ení: Zakázání DHCP m˚ uže zp˚ usobit nefunkˇ cnost sít’ového pˇ ripojení vašeho poˇ cítaˇ ce, pokud jsou parametry TCP/IP konfigurovány tímto protokolem! Domain Name System DNS slouží k pˇ revodu jmen poˇ cítaˇ cu ˚ na IP adresy. Aby bylo možné zadávat cílové poˇ cítaˇ ce jmény, musí být povolena komunikace alespoˇ n s jedním DNS serverem. Virtual Private Network Virtuální privátní sít’ (VPN) je bezpeˇ cné propojení dvou lokálních sítí (resp. pˇ ripojení vzdáleného klienta do lokální sítˇ e) pˇ res Internet šifrovaným kanálem (tzv. tunelem). Pravidlo Virtual Private Network povoluje/zakazuje vytvᡠrení VPN protokolem PPTP (proprietární protokol firmy Microsoft). Broadcasts Pravidlo pro pakety se všeobecnou adresou. V zónˇ e Internet platí toto pravidlo také pro pakety se skupinovou adresou (multicasts).
7.4 D˚ uvˇ eryhodná zóna Pˇ ri definici pravidel pro aplikace Kerio Personal Firewall rozlišuje dvˇ e skupiny IP adres: d˚ uvˇ eryhodnou zónu a Internet. Akce pro pˇ ríchozí a odchozí komunikaci lze nastavit oddˇ elenˇ e pro každou zónu. D˚ uvˇ eryhodná zóna je uživatelsky definovaná skupina IP adres — jaké adresy budou považovány za d˚ uvˇ eryhodné, záleží ˇ cistˇ e na rozhodnutí uživatele. Všechny IP adresy, které nepatˇ rí do d˚ uvˇ eryhodné zóny, jsou automaticky zaˇ razeny do zóny Internet. K definici d˚ uvˇ eryhodné zóny slouží záložka D˚ uvˇ eryhodné v sekci Sít’ová bezpeˇ cnost.
Obrázek 7.8
Sekce Sít’ová bezpeˇ cnost / D˚ uvˇ eryhodné — definice zóny
59
Kapitola 7 Pravidla pro sít’ovou komunikaci
D˚ uvˇ eryhodná zóna m˚ uže obsahovat libovolný poˇ cet položek typu IP adresa, rozsah IP adres, subsít’ nebo sít’ pˇ ripojená k danému rozhraní (podrobnosti viz dále). U každé položky lze volitelnˇ e specifikovat rozhraní, na kterém jsou zadané IP adresy povoleny (toto je mj. ochrana proti falšování IP adres). D˚ uvˇ eryhodná zóna vždy obsahuje jednu pˇ reddefinovanou položku Loopback, kterou nelze zmˇ enit ani odstranit. Jedná se o lokální zpˇ etnovazební adresu (loopback) — tato adresa je vždy považována za d˚ uvˇ eryhodnou. Zaškrtávací pole ve sloupci D˚ uvˇ eryhodná znamená, že tato položka (sít’, rozsah adres atd.) patˇ rí do d˚ uvˇ eryhodné zóny. Položky, u nichž není toto pole zaškrtnuto, explicitnˇ e specifikují IP adresy, které nejsou považovány za d˚ uvˇ eryhodné. Takto lze mj. specifikovat výjimky (napˇ r. ned˚ uvˇ eryhodný poˇ cítaˇ c v d˚ uvˇ eryhodné síti). Položky v záložce D˚ uvˇ eryhodné zároveˇ n urˇ cují sít’ová rozhraní (tj. sít’ové adaptéry, vytᡠcená pˇ ripojení, VPN pˇ ripojení atd.), které Kerio Personal Firewall zná. Pokud firewall detekuje sít’ové rozhraní, které se nevyskytuje v žádné položce d˚ uvˇ eryhodné zóny, pak se dotáže uživatele, zda je toto rozhraní pˇ ripojené do d˚ uvˇ eryhodné sítˇ e ˇ ci nikoliv, a automaticky vytvoˇ rí odpovídající položku (podrobnosti viz kapitola 2.2).
Definice položek d˚ uvˇ eryhodné zóny Tlaˇ cítko Pˇ ridat, resp. Zmˇ enit otevírá dialog pro pˇ ridání, resp. zmˇ enu položky d˚ uvˇ eryhodné zóny (stejný úˇ cinek jako tlaˇ cítko Zmˇ enit má také dvojité kliknutí na vybrané položce).
Obrázek 7.9
Definice položky d˚ uvˇ eryhodné zóny
60
7.5 Pokroˇ cilá nastavení sít’ové bezpeˇ cnosti
Popis Slouží pro zvýšení pˇ rehlednosti — doporuˇ cujeme uvést struˇ cnou charakteristiku pˇ ridávaného rozsahu adres, subsítˇ e atd., pˇ rípadnˇ e d˚ uvod, proˇ c byly tyto IP adresy do d˚ uvˇ eryhodné zóny zaˇ razeny. Adaptér Výbˇ er adaptéru (rozhraní), na kterém jsou zadané IP adresy platné. Tato volba je také ochranou proti falšování IP adres — je-li paket s d˚ uvˇ eryhodnou IP adresou pˇ rijat z jiného rozhraní, než ke kterému je daná sít’ pˇ ripojena, pak je považován za ned˚ uvˇ eryhodný. Speciální volba Libovolný (libovolný adaptér) znamená, že Kerio Personal Firewall nebude kontrolovat, z jakého rozhraní byl paket s danou IP adresou pˇ rijat. Typ adresy Typ položky d˚ uvˇ eryhodné zóny: • Poˇ cítaˇ c — konkrétní IP adresa jednoho poˇ cítaˇ ce (resp. sít’ového zaˇ rízení) • IP adresa / mask — subsít’ zadaná IP adresou sítˇ e s odpovídající maskou • IP adresa / rozsah — rozsah IP adres zadaný poˇ cáteˇ cní a koncovou IP adresou (vˇ cetnˇ e) • Všechny adresy — libovolná IP adresa Poznámky: 1.
Volbu Všechny adresy lze použít pouze ve spojení s konkrétním adaptérem („sít’ pˇ ripojená k tomuto rozhraní“). V kombinaci s volbou Libovolný v položce Adaptér bychom totiž nastavili, že všechny IP adresy v Internetu patˇ rí do d˚ uvˇ eryhodné zóny. Toto nastavení nemá smysl a Kerio Personal Firewall jej nepovoluje (tlaˇ cítko OK je v tomto pˇ rípadˇ e neaktivní).
2.
Je-li v položce Adaptér vybrána vytᡠcená linka, pak dialog Definice zóny umožˇ nuje nastavit chování firewallu pˇ ri zmˇ enˇ e telefonního ˇ císla. Podrobnosti naleznete v kapitole 7.8.
7.5 Pokroˇ cilá nastavení sít’ové bezpeˇ cnosti Záložka Pokroˇ cilé v sekci Sít’ová bezpeˇ cnost obsahuje volby pro upˇ resˇ nující nastavení zabezpeˇ cení a pro sledování nežádoucí komunikace. Ochrana bˇ ehem startu systému Volba Blokovat všechny pokusy o pˇ ríchozí spojení... zapíná/vypíná nízkoúrovˇ novou ochranu poˇ cítaˇ ce (podrobnosti viz kapitola 7.6). Ve výchozí konfiguraci Kerio Personal Firewallu je nízkoúrovˇ nová ochrana zapnuta. Její vypnutí m˚ uže být užiteˇ cné pˇ ri testování a ˇ rešení problém˚ u (napˇ r. pˇ ri potížích se vzdálenou správou poˇ cítaˇ ce, který Kerio Personal Firewall chrání).
61
Kapitola 7 Pravidla pro sít’ovou komunikaci
Obrázek 7.10
Sekce Sít’ová bezpeˇ cnost / Pokroˇ cilé
Z bezpeˇ cnostních d˚ uvod˚ u doporuˇ cujeme nevypínat nízkoúrovˇ novou ochranu, pokud to není nezbytnˇ e nutné. Režim internetové brány Volba Povolit režim internetové brány pˇ repíná firewall do speciálního režimu pro ochranu internetové brány (tj. smˇ erovaˇ ce nebo smˇ erovaˇ ce s pˇ rekladem IP adres). Po zapnutí volby Povolit režim internetové brány bude Kerio Personal Firewall propouštˇ et pakety s cílovými porty, na kterých nebˇ eží žádná lokální aplikace, pˇ rípadnˇ e pakety s cílovými IP adresami, které nejsou lokální. Není-li Kerio Personal Firewall skuteˇ cnˇ e nasazen na internetové bránˇ e, pak by tato volba mˇ ela být vypnuta, jinak degraduje ochranu lokálního poˇ cítaˇ ce! Upozornˇ ení: Kerio Personal Firewall v režimu internetové brány povoluje komunikaci mezi lokální sítí a Internetem, stále však chrání pouze poˇ cítaˇ c, na kterém je nainstalován! Nasazením produktu Kerio Personal Firewall na internetovou bránu nevznikne plnohodnotný sít’ový firewall! Poznámky: 1. Volbu Povolit režim internetové brány lze také využít pro povolení sít’ové komunikace operaˇ cního systému, který je provozován v rámci programu VMWare (http://www.vmware.com/), jestliže Kerio Personal Firewall chrání hostitelský systém. Bude-li tato volba vypnuta, bude Kerio Personal Firewall blokovat pakety urˇ cené operaˇ cnímu systému uvnitˇ r VMWare. 2. Je-li Kerio Personal Firewall použit k ochranˇ e proxy serveru, není tˇ reba tuto volbu zapínat (proxy server se chová jako klient na lokálním poˇ cítaˇ ci).
62
7.6 Ochrana poˇ cítaˇ ce nízkoúrovˇ novým ovladaˇ cem firewallu
Rozšíˇ rené záznamy Volba Zaznamenávat pakety pˇ richázející na neotevˇ rené porty aktivuje záznam zachycených paket˚ u s cílovými porty, které nepatˇ rí žádnému procesu v lokálním operaˇ cním systému. Tyto pakety jsou automaticky zahazovány, mohou však signalizovat pokus o útok (scannování port˚ u). Poznámka: Režim internetové brány a záznam paket˚ u na neotevˇ rené porty nelze vzájemnˇ e kombinovat. V režimu internetové brány musí firewall všechny takové pakety propouštˇ et (jsou urˇ ceny jiným poˇ cítaˇ cu ˚m).
7.6 Ochrana poˇ cítaˇ ce nízkoúrovˇ novým ovladaˇ cem firewallu Nízkoúrovˇ nový ovladaˇ c pro sít’ovou komunikaci Kerio Personal Firewallu chrání poˇ cítaˇ c i v dobˇ e, kdy je firewall vypnutý. Tato situace nastává typicky pˇ ri startu systému (doba od aktivace sít’ových pˇ ripojení do chvíle, kdy se služba automaticky spustí) a pˇ ri aktualizaci produktu (pˇ ri instalaci nové verze Kerio Personal Firewallu je služba automaticky zastavena a znovu spuštˇ ena až po restartu serveru), pˇ rípadnˇ e pokud se služba Personal Firewall Engine (viz kapitola 4.1) po startu systému z nˇ ejakého d˚ uvodu nespustí. Ve výchozí instalaci Kerio Personal Firewall je nízkoúrovˇ nová ochrana zapnuta. V pˇ rípadˇ e potˇ reby je možno ji kdykoliv vypnout a opˇ et zapnout v uživatelském rozhraní firewallu (sekce Sít’ová bezpeˇ cnost, záložka Pokroˇ cilé — viz kapitola 7.5). Je-li nízkoúrovˇ nová ochrana zapnuta, pak se nízkoúrovˇ nový ovladaˇ c pro sít’ovou komunikaci Kerio Personal Firewallu chová následovnˇ e: • Po startu operaˇ cního systému povoluje pouze odchozí komunikaci a blokuje veškerou pˇ ríchozí komunikaci. Server je tak stále chránˇ en, jeho služby jsou však nedostupné. Pokud se do 5 minut od startu systému nespustí Personal Firewall Engine, pˇ rejde ovladaˇ c do stavu, kdy povoluje veškerou komunikaci. Tím je zajištˇ eno, že komunikace se serverem nebude blokována v pˇ rípadech, kdy se z nˇ ejakého d˚ uvodu nepodaˇ rí Personal Firewall Engine spustit. • Po spuštˇ ení Personal Firewall Engine firewall povoluje a blokuje komunikaci podle nastavených pravidel sít’ové bezpeˇ cnosti.
63
Kapitola 7 Pravidla pro sít’ovou komunikaci
• Pˇ ri vypínání (restartu) operaˇ cního systému ovladaˇ c firewallu zablokuje veškerou pˇ ríchozí i odchozí komunikaci. Tak je server chránˇ en po dobu, kdy je služba Personal Firewall Engine již zastavena, ale sít’ový subsystém je dosud aktivní. • Pˇ ri ukonˇ cení služby Kerio Personal Firewall pˇ rejde ovladaˇ c do režimu, kdy povoluje veškerou sít’ovou komunikaci. Tento stav nastává pouze pˇ ri ruˇ cním ukonˇ cení firewallu nebo po pádu Personal Firewall Engine.
7.7 Detekce nových sít’ových rozhraní Je-li pˇ ri instalaci zvolen výchozí režim Advanced (viz kapitolu 2.2), pak Kerio Personal Firewall automaticky detekuje aktivní sít’ová rozhraní poˇ cítaˇ ce, na kterém je nainstalován. Pro každé novˇ e detekované rozhraní zobrazí dotaz, zda je toto rozhraní pˇ ripojeno do d˚ uvˇ eryhodné sítˇ eˇ ci nikoliv. Poznámka: D˚ uvˇ eryhodná sít’ je taková sít’, o které uživatel pˇ redpokládá, že komunikace s poˇ cítaˇ ci v ní je bezpeˇ cná. Typicky se jedná o lokální sít’, která je proti pr˚ uniku z Internetu chránˇ ena sít’ovým firewallem. Kerio Personal Firewall umožˇ nuje definovat r˚ uzné akce pro d˚ uvˇ eryhodnou sít’ a pro zbytek Internetu (podrobnosti viz kapitolu 7.4).
Obrázek 7.11
Detekce nového (dosud neznámého) sít’ového rozhraní
64
7.8 Kontrola vytᡠcených telefonních ˇ císel
V poli Jméno je uveden název pˇ ríslušného sít’ového adaptéru, v položce Adresa jeho IP adresa a maska subsítˇ e, do které je pˇ ripojen. Jméno rozhraní lze v tomto dialogu upravit (pro lepší pˇ rehlednost jej doporuˇ cujeme nahradit srozumitelným popisem, napˇ r. Sít’ová karta, Linka do Internetu apod.). Standardnˇ e je jako jméno rozhraní použit identifikaˇ cní ˇ retˇ ezec adaptéru naˇ ctený z pˇ ríslušného ovladaˇ ce zaˇ rízení. Stisknutím tlaˇ cítka Ano, je se subsít’, do níž je rozhraní pˇ ripojeno, zaˇ radí do skupiny d˚ uvˇ eryhodných IP adres (D˚ uvˇ eryhodná zóna). Tlaˇ cítko Ne, není zp˚ usobí, že tato subsít’ bude považována za souˇ cást Internetu. Poznámky: 1.
Nastavení skupiny d˚ uvˇ eryhodných IP adres lze kdykoliv zmˇ enit (detailní informace naleznete v kapitole 7.4).
2.
Je-li kdykoliv pozdˇ eji pˇ ridáno ˇ ci aktivováno další rozhraní nebo je rozhraní pˇ repojeno do jiné subsítˇ e, Kerio Personal Firewall jej rovnˇ ež automaticky detekuje a zobrazí výše popsaný dialog.
3.
V pˇ rípadˇ e vytᡠcené linky se navíc zobrazí informace o telefonním ˇ císle, které je vytᡠceno. Uživatel m˚ uže pˇ ripojení na toto telefonní ˇ císlo povolit nebo zakázat. Kerio Personal Firewall dokáže detekovat, zda nedošlo ke zmˇ enˇ e telefonního ˇ císla od posledního vytoˇ cení linky (ochrana proti nežádoucí zmˇ enˇ e nastavení telefonického pˇ ripojení). Podrobnosti naleznete v kapitole 7.8.
7.8 Kontrola vytᡠcených telefonních ˇ císel Kerio Personal Firewall dokáže detekovat a blokovat zmˇ eny telefonních ˇ císel vytᡠcených linek. Toto je ochrana proti nežádoucímu pˇ resmˇ erování telefonického pˇ ripojení ke službˇ e s vysokým tarifem. Takové pˇ resmˇ erování m˚ uže provést napˇ r. ActiveX objekt na WWW stránce, a to zcela bez vˇ edomí uživatele. V pˇ rípadˇ e zmˇ eny telefonního ˇ císla se Kerio Personal Firewall nejprve dotáže uživatele, zda se zmˇ enou telefonního ˇ císla souhlasí. Pokud ne, ihned linku zavˇ esí. Uživatel je tak chránˇ en pˇ red placením vysokých ˇ cástek za pˇ ripojení k nežádoucím službám.
Jak kontrola vytᡠcených ˇ císel funguje? Pˇ ri prvním vytoˇ cení telefonického pˇ ripojení, které firewall dosud nezná, se zobrazí dotaz, zda je toto rozhraní pˇ ripojeno do d˚ uvˇ eryhodné sítˇ e (stejnˇ e jako pˇ ri detekci nového sít’ového adaptéru — viz kapitola 7.4). Vytᡠcené pˇ ripojení bude zobrazováno jako rozhraní v sekci Sít’ová bezpeˇ cnost / D˚ uvˇ eryhodná zóna. Po dotazu na zaˇ razení adaptéru do d˚ uvˇ eryhodné zóny je zobrazen dialog s informací o novém telefonním ˇ císle.
65
Kapitola 7 Pravidla pro sít’ovou komunikaci
Obrázek 7.12
Detekce nového ˇ císla vytᡠcené linky
V dialogu pro zmˇ enu pˇ ríslušné položky d˚ uvˇ eryhodné zóny (po stisknutí tlaˇ cítka Zmˇ enit) lze nastavit chování firewallu pˇ ri zmˇ enˇ e telefonního ˇ císla vytᡠceného pˇ ripojení.
Obrázek 7.13
Nastavení kontroly telefonního ˇ císla vytᡠcené linky
Volba Telefonní ˇ císlo nabízí následující možnosti: • Ptát se — Kerio Personal Firewall se pˇ ri vytoˇ cení linky dotáže uživatele, zda akceptuje pˇ ríslušné telefonní ˇ císlo. V pˇ rípadˇ e, že ano, pak si toto ˇ císlo zapamatuje. V opaˇ cném pˇ rípadˇ e linku ihned zavˇ esí. Akceptuje-li uživatel nové telefonní ˇ císlo, pak dojde k automatickému pˇ repnutí na volbu Vždy používat toto ˇ císlo a pˇ ríslušné ˇ císlo se uloží.
66
7.8 Kontrola vytᡠcených telefonních ˇ císel
• Vždy používat toto ˇ císlo — firewall pˇ redpokládá, že telefonní ˇ císlo linky se nebude mˇ enit. Pˇ ri detekci jakékoliv zmˇ eny telefonního ˇ císla ze zobrazí dialog s informací o novém ˇ císle a dotazem, zda uživatel zmˇ enu ˇ císla akceptuje.
Obrázek 7.14
Detekce zmˇ eny ˇ císla vytᡠcené linky
V poli Telefonní ˇ císlo je uvedeno nové telefonní ˇ císlo (tzn. telefonní ˇ císlo, které je nyní v pˇ ríslušném telefonickém pˇ ripojení nastaveno). Pole Adaptér zobrazuje název telefonického pˇ ripojení. Po stisknutí tlaˇ cítka Ano, pokraˇ covat Kerio Personal Firewall zmˇ enu ˇ císla akceptuje, povolí vytoˇ cení linky a zapamatuje si nové ˇ císlo. Tlaˇ cítko Ne, zavˇ esit znamená zamítnutí zmˇ eny — linka bude zavˇ ešena. • Nesledovat zmˇ eny ˇ císla na tomto rozhraní — firewall bude ignorovat zmˇ eny telefonního ˇ císla a vždy povolí vytoˇ cení linky. Tuto volbu lze využít napˇ r. pro testovací úˇ cely, kdy se bude telefonní ˇ císlo ˇ casto mˇ enit. Upozornˇ ení: Tato volba pˇ redstavuje bezpeˇ cnostní riziko (firewall nedetekuje pˇ rípadnou nežádoucí zmˇ enu telefonního ˇ císla) a nedoporuˇ cujeme ji proto nastavovat na výchozím internetovém pˇ ripojení!
67
Kapitola 8
Rozšíˇ rený paketový filtr
Paketový filtr umožˇ nuje definovat detailní pravidlo pro urˇ citou sít’ovou komunikaci. Kromˇ e lokální aplikace a smˇ eru komunikace lze urˇ cit také protokol, vzdálené IP adresy, vzdálené a lokální porty a další parametry. Pravidla paketového filtru lze definovat dvˇ ema zp˚ usoby: • Ruˇ cnˇ e — stisknutím tlaˇ cítka Paketový filtr... v sekci Sít’ová bezpeˇ cnost, záložka Aplikace se otevˇ re okno Rozšíˇ rený paketový filtr, ve kterém lze prohlížet, upravovat a rušit pravidla paketového filtru (podrobnosti viz dále). • Automaticky, resp. poloautomaticky — pˇ ri zachycení komunikace, pro kterou nebylo nalezeno odpovídající pravidlo, je zobrazen dialog Upozornˇ ení na spojení (viz kapitola 5.2); zaškrtnutím volby Vytvoˇ rit pravidlo rozšíˇ reného paketového filtru se namísto standardního pravidla pro aplikace vytvoˇ rí pravidlo paketového filtru. Poznámka: Rozšíˇ rený paketový filtr nerozlišuje mezi d˚ uvˇ eryhodnou zónou a Internetem (v pravidle je vždy uvedena konkrétní IP adresa, subsít’, skupina IP adres atd.).
8.1 Pravidla paketového filtru Pravidla rozšíˇ reného paketového filtru se zobrazují v záložce Pravidla okna Rozšíˇ rený paketový filtr. Pravidla tvoˇ rí uspoˇ rádaný seznam. Pˇ ri zachycení sít’ové komunikace se seznam prochází shora dol˚ u a použije se první pravidlo, kterému daná komunikace vyhoví. Tlaˇ cítky se šipkami nahoru a dol˚ u v pravé ˇ cásti okna nebo klávesami Ctrl + šipka nahoru, Ctrl + šipka dol˚ u lze poˇ radí pravidel v seznamu upravit dle potˇ reby. Díky tˇ emto vlastnostem je možno vytvᡠret složitˇ ejší kombinace filtrovacích pravidel.
Obrázek 8.1
Pravidla paketového filtru
68
8.1 Pravidla paketového filtru
ˇ Pro zvýšení pˇ rehlednosti lze pravidla paketového filtru ˇ radit do skupin. Clenství ve skupinˇ e nemá žádný vliv na vyhodnocování pravidel — vždy jsou procházena pravidla ve všech skupinách. Skupiny pravidel se zobrazují v levé ˇ cásti záložky Pravidla.
Obrázek 8.2
Skupiny pravidel paketového filtru
Po kliknutí na jméno skupiny se ve stˇ rední ˇ cásti okna zobrazí seznam pravidel patˇ rících do této skupiny. Následující dvˇ e skupiny jsou pˇ reddefinované a nelze je zrušit: • Všechna pravidla („nadˇ razená skupina“) — obsahuje všechna pravidla paketového filtru • Výchozí (výchozí skupina) — do této skupiny je automaticky zaˇ razeno každé novˇ e vytvoˇ rené pravidlo, pokud uživatel nezvolí jinou skupinu. Poznámka: Skupiny pravidel nelze explicitnˇ e vytvᡠret a rušit. Skupinu lze vytvoˇ rit zadáním názvu nové (dosud neexistující) skupiny pˇ ri definici pravidla. Zaniká automaticky pˇ ri odstranˇ ení posledního pravidla. K manipulaci s pravidly paketového filtru slouží tlaˇ cítka pod seznamem skupin: • Zmˇ enit — úprava vybraného pravidla (dialog pro úpravu pravidla lze také otevˇ rít dvojitým kliknutím myší na vybrané pravidlo) • Pˇ ridat — pˇ ridání nového pravidla na konec seznamu • Vložit — pˇ ridání (vložení) nového pravidla na aktuální pozici (nad oznaˇ cené pravidlo) • Odebrat — smazání oznaˇ ceného pravidla Poznámky: 1.
Není-li oznaˇ ceno žádné pravidlo, je aktivní pouze tlaˇ cítko Pˇ ridat.
69
Kapitola 8 Rozšíˇ rený paketový filtr
2.
Pˇ ridržením klávesy Ctrl nebo Shift lze oznaˇ cit více pravidel souˇ casnˇ e. Takto oznaˇ cenou skupinu pravidel lze pouze pˇ resunout nebo smazat. Tlaˇ cítko Zmˇ enit v tomto pˇ rípadˇ e otevˇ re dialog pro zmˇ enu prvního (horního) oznaˇ ceného pravidla. Funkce Vložit vloží nové pravidlo nad první pravidlo skupiny.
Vytvoˇ rení nebo zmˇ ena pravidla Po stisknutí tlaˇ cítka Pˇ ridat, Vložit nebo Zmˇ enit se otevˇ re dialog pro definici pravidla paketového filtru. Pravidlo má tyto parametry:
Obrázek 8.3
Pravidlo paketového filtru
Popis Název/popis pravidla. Do této položky doporuˇ cujeme vyplnit struˇ cný popis pravidla (úˇ cel pravidla, název aplikace atd.) — výraznˇ e se tím zlepší pˇ rehlednost seznamu pravidel. Do automaticky vytvᡠrených pravidel se jako popis vkládá název lokální aplikace, která se úˇ castní dané komunikace. Aplikace Lokální aplikace, pro kterou pravidlo platí. Aplikaci lze zadat ruˇ cnˇ e (jméno spustitelného souboru vˇ cetnˇ e plné cesty), vybrat ze seznamu (pˇ ri rozbalení této položky se nabídne seznam aplikací použitých v jiných pravidlech) nebo vyhledat na disku poˇ cítaˇ ce (po stisknutí tlaˇ cítka Procházet... se zobrazí standardní systémový dialog pro otevˇ rení souboru). Filtrovací pravidlo m˚ uže být i obecné, tj. bude platit pro libovolnou aplikaci. Toho dosáhneme výbˇ erem speciální volby any, pˇ ríp. ponecháme pole Application prázdné. Skupina Skupina pravidel, do které má být pravidlo zaˇ razeno. Zaˇ razení do skupiny nemá žádný vliv na funkci pravidla, slouží pouze pro zpˇ rehlednˇ ení seznamu pravidel. V položce Skupina lze vybrat nˇ ekterou z již existujících skupin nebo zadat název nové skupiny — tím dojde k vytvoˇ rení skupiny, do které bude pravidlo zaˇ razeno. Pˇ ri vytvᡠrení nového pravidla je vždy nastavena výchozí skupina Výchozí . Totéž platí pro pravidla vytvᡠrená automaticky (viz výše nebo kapitola 5.2).
70
8.1 Pravidla paketového filtru
Zaznamenat do záznamu Sít’ Zapnutí/vypnutí záznamu komunikace vyhovující tomuto pravidlu do záznamu Sít’ (viz kapitola 16.4). Upozornit uživatele Zapnutí/vypnutí zobrazení upozornˇ ení uživateli (viz kapitola 5.5) pˇ ri zachycení komunikace vyhovující tomuto pravidlu. Protokol Nastavení komunikaˇ cních protokol˚ u, pro které má pravidlo platit. Typicky je pˇ ri komunikaci používán jeden protokol (napˇ r. TCP nebo UDP), nˇ ekteré aplikace však mohou využívat více protokol˚ u souˇ casnˇ e (napˇ r. TCP a UDP na stejných portech).
Obrázek 8.4
Pravidlo paketového filtru — protokoly
Z˚ ustane-li pole Protocol prázdné (tj. nezadáme žádný komunikaˇ cní protokol), bude pravidlo platit pro libovolný komunikaˇ cní protokol. Poznámka: Komunikuje-li aplikace protokolem TCP i UDP, pˇ riˇ cemž každý protokol používá jiné porty, je tˇ reba v paketovém filtru definovat dvˇ e r˚ uzná pravidla. Po stisknutí tlaˇ cítka Pˇ ridat nebo Zmˇ enit se otevˇ re dialog pro definici protokolu.
Obrázek 8.5
Pravidlo paketového filtru — pˇ ridání protokolu
Protokol je specifikován ˇ císlem protokolu v hlaviˇ cce IP paketu. Toto ˇ císlo lze ˇ pˇ rímo zadat do položky Císlo. V položce Jméno je možno vybrat nˇ ekterý z pˇ reddefinovaných standardních protokol˚ u. Položka Popis slouží k zadání popisu protokolu (pro zvýšení pˇ rehlednosti). Zobrazuje se pouze v tomto dialogu. Pˇ ri výbˇ eru protokolu ICMP se v dialogu zobrazí speciální položka Kódy. V ní lze nastavit typy ICMP zpráv, pro které bude pravidlo platit.
71
Kapitola 8 Rozšíˇ rený paketový filtr
Obrázek 8.6
Pravidlo paketového filtru — protokol ICMP
Typy zpráv se zadávají jejich ˇ císelnými kódy (jednotlivé kódy musí být oddˇ eleny ˇ cárkou). Z˚ ustane-li položka Kódy nevyplnˇ ena, bude pravidlo platit pro všechny typy ICMP zpráv. K snadnému nastavení typ˚ u ICMP zpráv slouží speciální dialog, který se zobrazí stisknutím tlaˇ cítka Vybrat. V tomto dialogu je možné vybrat požadované typy ICMP zpráv. Jejich kódy budou po stisknutí tlaˇ cítka OK automaticky dosazeny do položky Kódy.
Obrázek 8.7
Pravidlo paketového filtru — výbˇ er typ˚ u ICMP zpráv
72
8.1 Pravidla paketového filtru
Lokální Specifikace lokální strany spojení. Kerio Personal Firewall implicitnˇ e používá všechny lokální IP adresy vˇ cetnˇ e zpˇ etnovazebních (loopback). Z tohoto d˚ uvodu lze pro lokální stranu spojení specifikovat pouze porty.
Obrázek 8.8
Pravidlo paketového filtru — port (sít’ová služba)
Tlaˇ cítkem Pˇ ridat lze pˇ ridat jeden port (Pˇ ridat port) nebo rozsah port˚ u (Pˇ ridat rozsah port˚ u). Jednotlivých port˚ u i rozsah˚ u port˚ u m˚ uže být zadáno více — takto lze pokrýt libovolnou množinu port˚ u. ˇ Port m˚ uže být zadán ˇ císlem v položce Císlo (platné jsou pouze hodnoty z rozsahu 1-65535) nebo výbˇ erem pˇ reddefinované standardní služby v položce Jméno. Položka Popis slouží k zadání popisu portu, resp. služby (pro zvýšení pˇ rehlednosti).
Obrázek 8.9
Pravidlo paketového filtru — pˇ ridání portu (sít’ové služby)
V pˇ rípadˇ e rozsahu port˚ u dialog obsahuje dvˇ e ˇ cásti: První port (poˇ cáteˇ cní port rozsahu) a Poslední port (koncový port rozsahu). Vzdálený Specifikace vzdálené strany spojení. Dle potˇ reby je možno zadat IP adresy (poˇ cítaˇ ce) nebo porty (služby), pˇ rípadnˇ e obojí. Pravidlo se pak uplatní, jestliže zachycený paket bude obsahovat nˇ ekterou z IP adres a zároveˇ n nˇ ekterý z port˚ u uvedených v poli Vzdálený. Vzdálené porty mohou být opˇ et zadány jednotlivˇ e (Pˇ ridat port) nebo jako rozsah port˚ u (Pˇ ridat rozsah port˚ u) — viz výše. Vzdálené poˇ cítaˇ ce mohou být specifikovány jako: • jedna IP adresa (Pˇ ridat adresu)
73
Kapitola 8 Rozšíˇ rený paketový filtr
Obrázek 8.10
Obrázek 8.11
Pravidlo paketového filtru — pˇ ridání rozsahu port˚ u
Pravidlo paketového filtru — vzdálená IP adresa (poˇ cítaˇ c) a port (služba)
Obrázek 8.12
Pravidlo paketového filtru — pˇ ridání IP adresy
• rozsah IP adres (Pˇ ridat rozsah adres) — zadáme poˇ cáteˇ cní a koncovou adresu požadovaného rozsahu
Obrázek 8.13
Pravidlo paketového filtru — pˇ ridání IP rozsahu IP adres
74
8.1 Pravidla paketového filtru
• subsít’ (Pˇ ridat adresu / masku) — zadáme adresu subsítˇ e a odpovídající masku
Obrázek 8.14
Pravidlo paketového
filtru — pˇ ridání susbsítˇ e
• skupina IP adres (Pˇ ridat skupinu IP adres) — v položce Vybrat vybereme nˇ ekterou ze skupin IP adres definovaných v záložce Skupiny IP adres
Obrázek 8.15
Pravidlo paketového filtru — pˇ ridání skupiny IP adres
Jednotlivé možnosti zadání port˚ u a IP adres lze libovolnˇ e kombinovat.
Obrázek 8.16
Pravidlo paketového filtru — nastavení smˇ eru komunikace a akce
Smˇ er Smˇ er komunikace, pro který má pravidlo platit: oba smˇ ery, pˇ ríchozí komunikace nebo odchozí komunikace. Smˇ erem komunikace je v tomto pˇ rípadˇ e mínˇ en smˇ er navazování spojení (resp. smˇ er prvního paketu, který zahajuje komunikaci). Akce Akce, kterou má Kerio Personal Firewall provést pˇ ri zachycení komunikace odpovídající tomuto pravidlu: • Povolit komunikaci • Zakázat komunikaci
Logika vytvᡠrení pravidel paketového filtru Pˇ ri definici filtrovacího pravidla je tˇ reba znát logické vztahy mezi jednotlivými ˇ cástmi pravidla a položkami v nich obsaženými. • Vztah mezi poli Protokol, Lokální a Vzdálený je „a zároveˇ n“. Pravidlu tedy vyhoví
75
Kapitola 8 Rozšíˇ rený paketový filtr
komunikace, která splní podmínky ve všech tˇ echto polích. • Mezi položkami stejného typu (tj. protokoly, IP adresy a porty) v jednom poli platí vztah „nebo“. Pˇ ríklad: Pole Vzdálený obsahuje dva rozsahy port˚ u: 80-88 a 8000-8080. Podmínka bude splnˇ ena, bude-li vzdálený port patˇ rit do jednoho z tˇ echto rozsah˚ u. • Mezi položkami typu „IP adresa“ a „port“ v poli Vzdálený platí vztah „a zároveˇ n“. Pˇ ríklad: Pole Vzdálený obsahuje IP adresu 65.131.55.1 a port 80. Tuto podmínku splní komunikace se vzdáleným poˇ cítaˇ cem s IP adresou 65.131.55.1 na portu 80.
Poznámky k definici pravidel Položky Protocol, Lokální a Vzdálený spolu úzce souvisejí. Pˇ ri definici filtrovacích pravidel by mˇ el uživatel dodržovat nˇ ekolik základních zásad: 1.
Porty mají smysl pouze v pˇ rípadˇ e komunikaˇ cních protokol˚ u TCP a UDP. U ostatních protokol˚ u jsou ignorovány. Platí-li pravidlo pro libovolný protokol (pole Protokol je prázdné), pak se porty uplatní v pˇ rípadˇ e, kdy je zachycena komunikace protokolem TCP nebo UDP.
2.
Aplikaˇ cní služba je dána ˇ císly port˚ u a protokoly. V dialogu pro definici filtrovacího pravidla však název služby pˇ redstavuje pouze port — odpovídající protokol je tˇ reba doplnit ruˇ cnˇ e. Pˇ ríklad: Chceme vytvoˇ rit pravidlo pro pˇ ríchozí HTTP komunikaci (napˇ r. povolit pˇ rístup na WWW server na poˇ cítaˇ ci, který je chránˇ en Kerio Personal Firewallem). • V sekci Lokální pˇ ridáme jeden port (Pˇ ridat port), zvolíme službu HTTP — tím se nastaví port 80. • V sekci Protokol musíme nastavit protokol TCP, který služba HTTP používá.
3.
Velmi rozšíˇ rený je model komunikace klient-server, kdy server ˇ ceká na známém (dohodnutém) portu na pˇ ríchozí spojení. Klient pˇ ri navazování spojení požádá operaˇ cní systém o pˇ ridˇ elení volného lokálního portu (který není pˇ redem znám). Z toho vyplývá, že zatímco port serveru musí být znám, port klienta m˚ uže být (témˇ eˇ r) libovolný. Tyto skuteˇ cnosti je tˇ reba brát v úvahu pˇ ri definici pravidel paketového filtru. Pro ilustraci uved’me dva pˇ ríklady: Pˇ ríklad 1: Chceme povolit pˇ rístup k WWW serveru na lokálním poˇ cítaˇ ci z poˇ cítaˇ ce s IP adresou 60.80.100.120. Definujeme pravidlo: • Protokol — [6] TCP (služba HTTP využívá transportní protokol TCP)
76
8.2 Skupiny IP adres
• Lokální — Port: [80] HTTP (na lokálním poˇ cítaˇ ci bˇ eží WWW server) • Vzdálený — Address: 60.80.100.120 (na vzdáleném poˇ cítaˇ ci bude provozován klient — WWW prohlížeˇ c; port pˇ redem neznáme, proto v pravidle uvedeme pouze IP adresu) Pˇ ríklad 2: Z lokálního poˇ cítaˇ ce chceme zakázat pˇ rístup k WWW serveru s IP adresou 90.80.70.60. Pravidlo definujeme takto: • Protokol — [6] TCP • Lokální — toto pole ponecháme nevyplnˇ ené (port klienta nelze pˇ redem urˇ cit) • Vzdálený — Port: [80] HTTP, vzdálený server)
Address: 90.80.70.60
(specifikujeme
8.2 Skupiny IP adres Pro snazší definici pravidel paketového filtru je možno vytvᡠret skupiny IP adres, které pak lze v pravidlech použít v sekci Remote dialogu pro editaci pravidel paketového filtru (viz výše). Skupiny adres se zobrazují a definují v záložce Skupiny IP adres okna Rozšíˇ rený paketový filtr.
Obrázek 8.17
Paketový filtr — skupiny IP adres
Okno obsahuje dva sloupce: • Jméno skupiny — jméno skupiny IP adres, pˇ ri rozbalení se pod jménem skupiny zobrazí položky obsažené v této skupinˇ e
77
Kapitola 8 Rozšíˇ rený paketový filtr
• Definice — obsah (definice) jednotlivých položek skupiny Zaškrtávací pole vedle popisu položky slouží k doˇ casnému vyˇ razení položky ze skupiny. Toho lze využívat napˇ r. pˇ ri experimentování a odhalování chyb — položku není tˇ reba odstraˇ novat a poté znovu pˇ ridávat. Po stisknutí tlaˇ cítka Pˇ ridat (resp. Zmˇ enit, je-li vybrána nˇ ejaká položka) se otevˇ re dialog pro definici skupiny IP adres.
Obrázek 8.18
Paketový filtr — pˇ ridání položky do skupiny IP adres nebo vytvoˇ rení nové skupiny
Povolena Povolení / zakázání položky. Tato volba koresponduje se zaškrtávacím polem vedle názvu položky v záložce Skupiny IP adres (viz výše). Je-li volba Povolena vypnuta, položka je neaktivní, tzn. není souˇ cástí dané skupiny. Jméno skupiny Jméno skupiny, do které má být položka zaˇ razena. V tomto poli lze: • vybrat jméno již definované skupiny — položka bude pˇ ridána do této skupiny • zadat jméno nové (dosud neexistující) skupiny — tím dojde k vytvoˇ rení nové skupiny a zaˇ razení položky do této skupiny Typ Typ pˇ ridávané položky: • Poˇ cítaˇ c — IP adresa jednoho poˇ cítaˇ ce
78
8.2 Skupiny IP adres
• Rozsah adres — rozsah IP adres zadaný poˇ cáteˇ cní (První adresa) a koncovou (Poslední adresa) adresou • Adresa / maska — subsít’ zadaná adresou sítˇ e s odpovídající maskou • Skupina adres — jiná skupina IP adres (skupiny IP adres lze do sebe vnoˇ rovat).
79
Kapitola 9
Interní pravidla firewallu
Kerio Personal Firewall obsahuje pˇ reddefinovaná pravidla pro povolení sít’ové komunikace v urˇ citých pˇ rípadech (napˇ r. registrace licence ˇ ci aktualizace produktu) a povolení spuštˇ ení urˇ citých aplikací (systémových komponent). Interní pravidla firewallu mají pˇ rednost pˇ red uživatelsky definovanými pravidly. Uživatel nem˚ uže interní pravidla vypnout ani zmˇ enit.
9.1 Interní pravidla pro sít’ovou komunikaci Tato pravidla zajišt’ují povolení sít’ové komunikace mezi jednotlivými komponentami Kerio Personal Firewallu pˇ ri lokální nebo vzdálené správˇ e, pˇ ripojení na servery firmy Kerio Technologies pˇ ri registraci licence nebo kontrole nové verze apod. Interní pravidla pro sít’ovou komunikaci jsou uživateli skryta — v Personal Firewall GUI se nezobrazují. Vzdálená konfigurace Toto pravidlo povoluje pˇ ripojení Personal Firewall GUI k Personal Firewall Engine. Je-li povolena vzdálená správa (viz kapitola 6.3), pak je pˇ ripojení povoleno z libovolného poˇ cítaˇ ce, v opaˇ cném pˇ rípadˇ e pouze z lokálního poˇ cítaˇ ce. Podmínka
Aplikace
Smˇ er
Protokol Vzd. port Vzd. adresa
Vzd. správa povolena kpf4ss.exe pˇ ríchozí TCP+UDP 44334
libovolná
Vzd. správa zakázána kpf4ss.exe pˇ ríchozí TCP+UDP 44334
localhost
Komunikace Personal Firewall GUI s Personal Firewall Engine Toto pravidlo povoluje Personal Firewall GUI navázat spojení na Personal Firewall Engine (pˇ ripojení k lokální správˇ e). Poznámka: Toto pravidlo povoluje pouze lokální pˇ ripojení (tj. pˇ ripojení k Personal Firewall Engine na tomtéž poˇ cítaˇ ci). V pˇ rípadˇ e vzdálené správy je Personal Firewall GUI považováno za standardní sít’ovou aplikaci a použijí se pravidla pro sít’ovou komunikaci (viz kapitola 7). Podmínka
Aplikace
Smˇ er
Protokol Vzd. port Vzd. adresa
Platí vždy kpf4gui.exe odchozí TCP+UDP 44334
80
localhost
9.1 Interní pravidla pro sít’ovou komunikaci
Komunikace Personal Firewall Engine s Personal Firewall GUI Pravidlo povoluje Personal Firewall Engine navázání spojení na Personal Firewall GUI (zobrazování dialogových oken, upozornˇ ení atd.). Podmínka
Aplikace
Smˇ er
Protokol Vzd. port Vzd. adresa
Vzd. správa povolena kpf4ss.exe odchozí TCP+UDP libovolný libovolná Vzd. správa zakázána kpf4ss.exe odchozí TCP+UDP libovolný localhost DNS dotazy Pravidlo povoluje komponentám Kerio Personal Firewallu vysílat DNS dotazy na libovolný DNS server. DNS dotazy slouží napˇ r. ke zjišt’ování jmen poˇ cítaˇ cu ˚ pro zobrazování v Personal Firewall GUI , pro zjištˇ ení IP adresy cílového poˇ cítaˇ ce pˇ ri pˇ ripojování ke vzdálené správˇ e apod. Podmínka
Aplikace
Smˇ er Protokol Vzd. port Vzd. adresa
Platí vždy kpf4ss.exe oba
UDP
53
libovolná
Platí vždy kpf4gui.exe oba
UDP
53
libovolná
Odesílání výpis˚ u pamˇ eti Je-li povoleno odesílání výpisu pamˇ eti v pˇ rípadˇ e pádu aplikace do firmy Kerio rístup na pˇ ríslušný Technologies (viz kapitola 6.3), pak toto pravidlo povoluje pˇ server. Podmínka
Aplikace
Smˇ er
Protokol Vzd. port
Odes. povoleno assist.exe odchozí TCP
Vzd. adresa
libovolný crashes.kerio.com
Záznam blokovaných pop-up a pop-under oken Je-li zapnuto blokování pop-up oken (viz kapitola 14.1), pak je na filtrované stránky dosazován speciální skript, který zasílá Personal Firewall Engine informace o blokovaných oknech. Komunikace probíhá protokolem TCP na speciálním portu (44501). Podmínka Aplikace
Smˇ er
Protokol Vzd. port Vzd. adresa
Platí vždy libovolná odchozí TCP
44501
localhost
Kontrola nových verzí Toto pravidlo povoluje pˇ rístup na server pro zjišt’ování a stahování nových verzí programu Kerio Personal Firewall. Poznámka: K tomuto úˇ celu m˚ uže být využito více r˚ uzných server˚ u, proto není server v pravidle specifikován.
81
Kapitola 9 Interní pravidla firewallu
Podmínka Proxy server
Aplikace
Smˇ er
Protokol
kpf4ss.exe odchozí TCP
Pˇ rímý pˇ rístup kpf4ss.exe odchozí TCP
Vzd. port
Vzd. adresa
proxy_port* proxy_ip* libovolný
libovolná
*) IP adresu a port proxy serveru zjišt’uje Kerio Personal Firewall automaticky z nastavení operaˇ cního systému (Možnosti sítˇ e Internet v Ovládacích panelech). Registrace produktu Toto pravidlo umožˇ nuje registraci licence programu Kerio Personal Firewall (viz kapitola 3.2) na pˇ ríslušném serveru. Podmínka Proxy server
Aplikace
Smˇ er
Protokol Vzd. port
kpf4ss.exe odchozí TCP
Pˇ rímý pˇ rístup kpf4ss.exe odchozí TCP
Vzd. adresa
prx_port* prx_ip* 443
secure.kerio.com
*) IP adresu a port proxy serveru zjišt’uje Kerio Personal Firewall automaticky z nastavení operaˇ cního systému (Možnosti sítˇ e Internet v Ovládacích panelech). Záznam na Syslog server Je-li povolen záznam na Syslog server (viz kapitola 16.3), pak toto pravidlo povoluje navázání spojení Personal Firewall Engine se Syslog serverem. Podmínka
Aplikace
Smˇ er
Protokol
Syslog povolen kpf4ss.exe odchozí UDP
Vzd. port
Vzd. adresa
sslg_port* sslg_ip*
*) IP adresa a port Syslog serveru specifikované v sekci Záznamy, záložka Nastavení .
9.2 Interní pravidla systémové bezpeˇ cnosti Tato pravidla povolují spouštˇ ení souˇ cástí operaˇ cního systému, na kterém je Kerio Personal Firewall nainstalován. Interní pravidla systémové bezpeˇ cnosti se zobrazují v sekci Bezpeˇ cnost systému / Aplikace (viz kapitola 13.2). Uživatel m˚ uže v tˇ echto pravidlech nastavovat akce, pˇ rípadnˇ e záznam událostí nebo zobrazování upozornˇ ení, nem˚ uže však tato pravidla odstranit. Nˇ ekterá z tˇ echto interních pravidel se uplatˇ nují pouze v urˇ citých verzích operaˇ cního systému Windows (nˇ ekteré systémové komponenty se v jednotlivých verzích liší).
Pravidla pro souˇ cásti operaˇ cního systému V následujícím popisu pravidel pro systémové komponenty jsou použity tyto symboly pro oznaˇ cení cesty k souboru: • WIN_DIR — hlavní adresᡠr operaˇ cního systému Windows (typicky C:\WINNT pro
82
9.2 Interní pravidla systémové bezpeˇ cnosti
Windows 2000, C:\WINDOWS pro Windows XP) • SYS_DIR — systémový adresᡠr Windows (typicky C:\WINNT\SYSTEM32 pro Windows 2000 a C:\WINDOWS\SYSTEM32 pro Windows XP) 1.
Pravidla spoleˇ cná pro všechny podporované verze operaˇ cního systému Windows Aplikace
Popis
Spuštˇ ení Zámˇ ena Spuštˇ ení jiné
WIN_DIR\explorer.exe Windows Explorer Povolit
2.
Popis
Spuštˇ ení Zámˇ ena Spuštˇ ení jiné
SYS_DIR\services.exe Services app. Povolit
Ptát se
Povolit
Povolit
Ptát se
Povolit
SYS_DIR\winlogon.exe Logon app.
Pravidla specifická pro operaˇ cní systémy Windows 2000/XP Aplikace
Popis
Spuštˇ ení Zámˇ ena Spuštˇ ení jiné
SYS_DIR\svchost.exe Generic Host Proc. Povolit
4.
Povolit
Pravidla specifická pro operaˇ cní systémy Windows 2000/XP Aplikace
3.
Ptát se
Ptát se
Povolit
Pravidla specifická pro operaˇ cní systém Windows XP Aplikace
Popis
Spuštˇ ení Zámˇ ena Spuštˇ ení jiné
SYS_DIR\logonui.exe Logon UI
Povolit
Ptát se
Povolit
SYS_DIR\csrss.exe
Client Server
Povolit
Ptát se
Povolit
SYS_DIR\smss.exe
Client Server
Povolit
Ptát se
Povolit
SYS_DIR\svchost.exe Generic Host Proc. Povolit
Ptát se
Povolit
Pravidla pro komponenty Kerio Personal Firewallu Tato pravidla povolují spouštˇ ení jednotlivých komponent aplikace Kerio Personal Firewall a pomocných program˚ u. Uvedená pravidla jsou shodná pro všechny podporované verze operaˇ cního systému Windows.
83
Kapitola 9 Interní pravidla firewallu
Aplikace
Popis
KPF_DIR\kpf4gui.exe* KPF GUI
Spuštˇ ení Povolit
Zámˇ ena
Spuštˇ ení jiné
Povolit + záznam Povolit
KPF_DIR\kpf4ss.exe* KPF Service Povolit
Povolit + zázn.
Povolit
KPF_DIR\assist.exe* Core dumper Povolit
Povolit + zázn.
Povolit
KPF_DIR\cfgconv.exe* Conf. conv. Povolit
Povolit + zázn.
Povolit
*) Výraz KPF_DIR znamená adresᡠr, kde je Kerio Personal Firewall nainstalován (typicky C:\Program Files\Kerio\Personal Firewall 4).
9.3 Pravidla pro komponenty antivirového systému AVG Je-li pˇ ri prvním spuštˇ ení Kerio Personal Firewallu (tj. bezprostˇ rednˇ e po instalaci, pˇ rípadnˇ e po smazání konfiguraˇ cního souboru kpf.cfg) v operaˇ cním systému detekován antivirus AVG, pak jsou do sekce Sít’ová bezpeˇ cnost / Aplikace (viz kapitola 7.2) automaticky pˇ ridána následující dvˇ e pravidla povolující sít’ovou komunikaci komponent antiviru.
Obrázek 9.1
Sít’ová bezpeˇ cnost — pravidla pro komponenty antiviru AVG
• První pravidlo povoluje komunikaci komponenty AVG E-mail Scanner (Kontrola pošty) s poštovními servery (E-mail Scanner je zaˇ razen mezi poštovního klienta a servery). • Druhé pravidlo povoluje automatickou aktualizaci systému AVG a virové databáze z pˇ ríslušných server˚ u. Pravidla pro antivirový systém AVG m˚ uže uživatel libovolnˇ e mˇ enit, pˇ rípadnˇ e odstranit. Budou-li tato pravidla odstranˇ ena, bude Kerio Personal Firewall na komunikaci komponent AVG reagovat stejnˇ e jako na jinou neznámou komunikaci. Upozornˇ ení: Používáte-li antivirus AVG, nedoporuˇ cujeme odstraˇ novat výše uvedená pravidla, pokud si nejste opravdu jisti, co dˇ eláte! Odstranˇ ením tˇ echto pravidel m˚ uže dojít k zablokování aktualizace AVG (antivirus pak nebude schopen detekovat nové viry), pˇ rípadnˇ e k nefunkˇ cnosti elektronické pošty.
84
Kapitola 10
Detekce útok˚ u
Sekce Útoky v Kerio Personal Firewallu umožˇ nuje nastavení ochrany proti r˚ uzným typ˚ um útok˚ u:
Obrázek 10.1
Sekce Útoky
• Detekce a prevence sít’ových útok˚ u (NIPS) — tento systém rozpoznává a blokuje r˚ uzné typy sít’ových útok˚ u tak, že blokuje sít’ová spojení, která mohou pˇ renášet nebezpeˇ cná data (více viz kapitolu 11).
85
Kapitola 10 Detekce útok˚ u
• Detekce a prevence útok˚ u na hostitelský operaˇ cní systém (HIPS) — systém se zamˇ eˇ ruje na rozpoznávání a blokování technik, které útoˇ cníci nebo viry používají ke spuštˇ ení zákeˇ rného kódu. HIPS je efektivní zejména pˇ ri rozpoznávání nových nebo zmutovaných typ˚ u vir˚ u (kapitola 12). • Blokování chování aplikací — systém umožˇ nuje kontrolu chování aplikací, jako je napˇ ríklad spouštˇ ení aplikace jinou aplikací nebo zmˇ ena aplikace. Tato metoda je úspˇ ešná zejména pˇ ri rozpoznávání nových typ˚ u vir˚ u (více viz kapitolu 13).
86
Kapitola 11
Systém detekce a prevence sít’ových útok˚ u (NIPS)
Kerio Personal Firewall dokáže rozpoznat a blokovat ˇ radu známých typ˚ u sít’ových útok˚ u. K tomuto úˇ celu používá vlastní databázi útok˚ u, která m˚ uže být aktualizována s novými verzemi programu (z tohoto d˚ uvodu doporuˇ cujeme provádˇ et aktualizaci Kerio Personal Firewallu vždy, když se automaticky nabídne). Kerio Personal Firewall obsahuje systém detekce a prevence sít’ových útok˚ u (NIPS — Network Intrusion Prevention System) kompatibilní s volnˇ e šiˇ ritelným IDS Snort (http://www.snort.org/). Poznámka: Pravidla systému detekce a prevence sít’ových útok˚ u jsou uložena v podadresᡠri config\IDSRules instalaˇ cního adresᡠre (typicky C:\Program Files\Kerio\Personal Firewall 4\config\IDSRules).
11.1 Nastavení systému detekce a prevence sít’ových útok˚ u Parametry systému detekce a prevence sít’ových útok˚ u lze nastavit v sekci Útoky (obrázek 10.1). Volba Povolit systém detekce a prevence sít’ových útok˚ u (NIPS) zapíná/vypíná systém detekce útok˚ u. Kerio Personal Firewall rozlišuje tˇ ri skupiny útok˚ u: • Útoky s vysokou prioritou — kritické útoky — napˇ r. poškození operaˇ cního systému, pokusy o ovládnutí systému ˇ ci únik dat
87
Kapitola 11 Systém detekce a prevence sít’ových útok˚ u (NIPS)
Obrázek 11.1
Sekce útoky — nastavení modulu detekce útok˚ u
• Útoky se stˇ rední prioritou — útoky, které zp˚ usobují napˇ r. blokování urˇ citých služeb, nefunkˇ cnost sít’ového pˇ ripojení apod. • Útoky s nízkou prioritou — ménˇ e závažné útoky (podezˇ relé sít’ové aktivity, chyby v protokolech, neplatný formát dat apod.) Pro každou z tˇ echto skupin lze oddˇ elenˇ e nastavit chování firewallu: • Akce — reakce firewallu na útoky z této skupiny (Povolit nebo Zakázat, tj. blokovat). Obecnˇ e je doporuˇ ceno blokovat útoky skupin Útoky s vysokou prioritou a Útoky se stˇ rední prioritou — nepovolujte útoky tˇ echto skupin, pokud si nejste skuteˇ cnˇ e jisti, co a proˇ c dˇ eláte (napˇ r. experimentální úˇ cely). Útoky s nízkou prioritou jsou ve výchozím nastavení povoleny — jejich blokování by mohlo zp˚ usobovat nefunkˇ cnost urˇ citých služeb. • Zaznamenat — záznam všech detekovaných útok˚ u z této skupiny do logu Útoky (viz kapitola 16.5).
88
11.1 Nastavení systému detekce a prevence sít’ových útok˚ u
Tlaˇ cítko Podrobnosti zobrazí okno se seznamem útok˚ u v dané skupinˇ e.
Obrázek 11.2
Detekce útok˚ u — podrobnosti o útocích, které Kerio Personal Firewall dokáže zachytit
Okno obsahuje název (popis) útoku (sloupec Útok) a tˇ rídu útoku (sloupec Tˇ rída). Podrobné informace naleznete na WWW stránkách systému detekce útok˚ u Snort (http:/www.snort.org/). Speciálním pˇ rípadem útoku je tzv. Scannování port˚ u (vyhledávání otevˇ rených port˚ u na daném poˇ cítaˇ ci). Z definice scannování port˚ u vyplývá, že jej není možné zcela blokovat, pokud má uživatel otevˇ rené nˇ ejaké porty (uzavˇ rené porty se automaticky blokují). Kerio Personal Firewall jej pouze detekuje — volba Zaznamenat zapíná/vypíná záznam o scannování port˚ u do logu Útoky.
89
Kapitola 12
Systém detekce a prevence útok˚ u na aplikace (HIPS)
HIPS (Host Intrusion and Prevention System) je zamˇ eˇ ren na detekci a blokování speciálních technik, které útoˇ cníci nebo viry používají ke spuštˇ ení zákeˇ rného kódu. Legitimní aplikace za normálních okolností tyto techniky nepoužívají. Blokování tˇ echto technik dokáže zabránit zneužití bezpeˇ cnostních chyb v aplikacích provozovaných na serveru. HIPS poskytuje ochranu i pˇ red novými bezpeˇ cnostními dírami, které bˇ ežné systémy detekce útok˚ u nezachytí, protože je dosud nemají ve svých databázích.
12.1 Nastavení systému detekce útok˚ u na aplikace Parametry systému detekce útok˚ u lze nastavit v sekci Útoky (obrázek 10.1). HIPS dokáže detekovat a blokovat dvˇ e nejrozšíˇ renˇ ejší techniky používané pro vykonání zákeˇ rného kódu: pˇ reteˇ cení vyrovnávací pamˇ eti (Buffer Overflow) a Injekce kódu (Code Injection) — zavedení spustitelného kódu do jiného procesu.
Obrázek 12.1
Sekce útoky — nastavení modulu prevence útok˚ u
90
12.1 Nastavení systému detekce útok˚ u na aplikace
Pˇ reteˇ cení vyrovnávací pamˇ eti Technika Pˇ reteˇ cení vyrovnávací pamˇ eti je založena na zneužití nedostateˇ cné kontroly vstupních dat aplikace. Pokud není kontrolována velikost (délka) ˇ ctených dat, m˚ uže útoˇ cník pˇ repsat návratovou adresu spuštˇ eného podprogramu a zajistit tak spuštˇ ení vlastního kódu. Tento kód je však spuštˇ en z oblasti pamˇ eti procesu vyhrazené pro data, což je nestandardní chování, které modul HIPS detekuje. Pˇ rípadné pokusy tohoto kódu o provedení potencionálnˇ e nebezpeˇ cných akcí (spuštˇ ení procesu, otevˇ rení souboru, navázání sít’ového spojení atd.) budou blokovány. Blokovat spuštˇ ení kódu po pˇ reteˇ cení pamˇ eti Volba umožˇ nuje blokování spuštˇ ení kódu po pˇ reteˇ cení vyrovnávací pamˇ eti. Zaznamenat pokusy do záznamu HIPS Po zapnutí této volby se bude provádˇ et záznam všech detekovaných útok˚ u do logu HIPS (viz kapitolu 16.6). Nezobrazovat žádná upozornˇ ení na události tohoto typu Po zaškrtnutí volby se nebudou pˇ ri pokusu o útok zobrazovat upozorˇ nující okna (kapitola 5.4). Tlaˇ cítko Výjimky umožˇ nuje zadat spustitelný soubor, na který se nebude kontrola na tento typ útoku vztahovat. Pˇ red zadáním každé výjimky d˚ ukladnˇ e zkontrolujte, zda se nejedná o útok.
Injekce kódu Technika Injekce kódu je založena na zneužití oprávnˇ ení jiného spuštˇ eného d˚ uvˇ eryhodného procesu. Infikovaná aplikace (s pˇ ríslušným oprávnˇ ením) zapíše zákeˇ rný spustitelný kód do pamˇ et’ového prostoru tohoto procesu nebo pˇ ripojí dynamickou knihovnu k tomuto procesu. Pomocí speciálních volání operaˇ cního systému pak tento kód spustí. Takto útoˇ cník zajistí provedení svého kódu s oprávnˇ ením napadeného d˚ uvˇ eryhodného procesu. Modul HIPS detekuje a blokuje spouštˇ ení kódu zapsaného pomocí speciálních volání operaˇ cního systému do pamˇ eti d˚ uvˇ eryhodného procesu. V tomto pˇ rípadˇ e zpravidla nedochází ani k narušení správné funkce napadené aplikace. Blokovat spustitelné injekce kódu Zaškrtnutím této volby bude zajištˇ eno blokování útoku typu injekce kódu.
91
Kapitola 12 Systém detekce a prevence útok˚ u na aplikace (HIPS)
Zaznamenat pokusy do záznamu HIPS Po zapnutí této volby se bude provádˇ et záznam všech detekovaných útok˚ u do logu HIPS (viz kapitolu 16.6). Nezobrazovat žádná upozornˇ ení na události tohoto typu Po zaškrtnutí volby se nebudou pˇ ri pokusu o útok zobrazovat upozorˇ nující okna (kapitola 5.4). Techniku Injekce kódu mohou využívat i nˇ ekteré legitimní aplikace — tyto aplikace pak nebudou fungovat správnˇ e. V tˇ echto pˇ rípadech umožˇ nuje Kerio Personal Firewall definovat výjimky — seznam aplikací, kterým je povoleno používat tuto techniku. Výjimku na aplikaci lze definovat v dialogu Výjimky injekce kódu (tlaˇ cítko Výjimky), kde je možno vybrat pˇ ríslušný spustitelný soubor.
92
Kapitola 13
Blokování chování aplikací
Kerio Personal Firewall má kontrolu nad všemi aplikacemi v operaˇ cním systému, bez ohledu na to, zda sít’ovˇ e komunikují ˇ ci nikoliv. Takto napˇ r. dokáže okamžitˇ e odhalit nakažení aplikace novým virem ˇ ci trojským konˇ em — narozdíl od antivirového programu, kde vždy existuje urˇ citá prodleva mezi objevením nového viru a pˇ ríslušnou aktualizací virové databáze. K nastavení parametr˚ u kontroly aplikací slouží sekce Útoky (obrázek 10.1). Volba Povolit blokování chování aplikací zapíná/vypíná kontrolu spouštˇ ených aplikací. Je-li tato volba vypnuta, pak Kerio Personal Firewall spouštˇ ení aplikací nesleduje.
13.1 Obecná pravidla
Obrázek 13.1
Blokování chování aplikací — obecná pravidla
Pravidla v záložce Nastavení urˇ cují základní chování firewallu v následujících situacích: • Jestliže je aplikace spouštˇ ena
93
Kapitola 13 Blokování chování aplikací
• Jestliže aplikace byla zmˇ enˇ ena — zmˇ ena spustitelného souboru aplikace (pˇ ri spuštˇ ení aplikace se vytvoˇ rí kontrolní souˇ cet spustitelného souboru a porovná se s kontrolním souˇ ctem, který má Kerio Personal Firewall uložen ve své databázi) • Jestliže se aplikace pokouší spustit jinou aplikaci Pro každý z uvedených pˇ rípad˚ u lze nastavit jednu z tˇ echto možností: • automaticky povolit tuto akci — Kerio Personal Firewall neblokuje spouštˇ ení aplikace, resp. akceptuje zámˇ enu spustitelného souboru • použít existující pravidla pro systémovou bezpeˇ cnost nebo se dotázat — Kerio Personal Firewall použije pravidlo pro danou aplikaci (pokud existuje) nebo se dotáže uživatele, zda tuto akci povolí ˇ ci nikoliv (viz kapitola 5.3)
13.2 Pravidla pro aplikace Záložka Aplikace v sekci Útoky (Blokování chování aplikací ) obsahuje pravidla pro spouštˇ ení a zámˇ enu konkrétních aplikací.
Obrázek 13.2
Blokování chování aplikací — pravidla pro aplikace
Tato pravidla se vytvᡠrejí na základˇ e interakce s uživatelem pˇ ri spuštˇ ení dosud neznámé aplikace. Pravidla nelze vytvᡠret ruˇ cnˇ e, lze pouze mˇ enit jejich nastavení nebo je odstranit. Pro každou aplikaci m˚ uže uživatel nastavit akci, kterou má firewall provést pˇ ri spuštˇ ení aplikace, pˇ ri zmˇ enˇ e spustitelného souboru aplikace a pˇ ri spuštˇ ení jiné aplikace touto aplikací. Akci lze nastavit: 1.
pˇ rímo v seznamu aplikací — klikáním levým tlaˇ cítkem na vybranou akci se cyklicky pˇ repíná: povolit, zakázat a ptát se (dotázat se uživatele)
94
13.2 Pravidla pro aplikace
2.
v kontextovém menu, které se zobrazí po kliknutí pravým tlaˇ cítkem na vybranou akci
Obrázek 13.3
3.
Blokování chování aplikací — pravidla pro aplikace — výbˇ er akce
v dialogu pro úpravu pravidla. Tento dialog se otevírá tlaˇ cítkem Zmˇ enit, pˇ ríp. volbou Zmˇ enit z kontextového menu vybraného pravidla.
Obrázek 13.4
Blokování chování aplikací — úprava pravidla pro aplikaci
• V záhlaví dialogu je zobrazen popis aplikace, ikona a úplná cesta k spustitelnému souboru aplikace. • Pole Nastavení bezpeˇ cnosti systému umožˇ nuje nastavení akcí pro výše popsané tˇ ri pˇ rípady. • Volba Zaznamenat do záznamu Chování zapíná/vypíná záznam aktivity pˇ ríslušné aplikace (tj. spuštˇ ení, zmˇ ena spustitelného souboru nebo spuštˇ ení jiné aplikace touto aplikací).
95
Kapitola 13 Blokování chování aplikací
• Volba Upozornit uživatele zapíná/vypíná zobrazování upozornˇ ení uživateli (viz kapitolu 5.5) pˇ ri aktivitˇ e pˇ ríslušné aplikace.
96
Kapitola 14
Filtrování obsahu WWW stránek
Filtr obsahu WWW stránek v Kerio Personal Firewallu má dvˇ e hlavní funkce: • blokování reklam (tj. banner˚ u, pop-up oken, skript˚ u atd.) • ochrana soukromí (tj. kontrola odesílaných dat a ukládaných cookies) K nastavení parametr˚ u filtrování obsahu slouží sekce WWW konfiguraˇ cního okna Kerio Personal Firewallu. Volba Povolit filtrování obsahu WWW v záložce Blokování zapíná/vypíná filtrování obsahu. Je-li tato volba vypnuta, pak neprovádí Kerio Personal Firewall kontrolu obsahu WWW stránek.
14.1 Blokování reklam, skript˚ u a pop-up oken
Obrázek 14.1
Sekce WWW / Blokování — filtrování nežádoucích prvk˚ u WWW stránek
Kerio Personal Firewall má tyto možnosti filtrování nežádoucích prvk˚ u WWW stránek: Blokovat reklamy Blokování reklam podle definovaných pravidel. Tlaˇ cítko Nastavit otevírá dialog pro definici tˇ echto pravidel (viz dále).
97
Kapitola 14 Filtrování obsahu WWW stránek
Blokovat pop-up a pop-under okna Zákaz otevírání nevyžádaných oken prohlížeˇ ce (pop-up = okno otevˇ rené nad aktuálním oknem, pop-under = okno otevˇ rené pod aktuálním oknem — uživatel reklamu spatˇ rí po uzavˇ rení okna s navštívenou stránkou). Doˇ casnˇ e vyˇ radit pˇ ridržením klávesy Po zapnutí této volby bude uživatel moci pˇ ridržením zvolené klávesy (Ctrl nebo F12) vyˇ radit funkci blokování pop-up a pop-under oken dle potˇ reby (napˇ r. po dobu otevírání konkrétní WWW stránky). Vyˇ razení blokování pop-up oken je indikováno ikonou Kerio Personal Firewallu na nástrojové lištˇ e.
Obrázek 14.2
Ikona na nástrojové lištˇ e — indikace doˇ casného vypnutí blokování pop-up oken
Upozornˇ ení: Klávesa F12 m˚ uže vykazovat kolize v debuggeru firmy Microsoft. Používáte-li vývojový nástroj Microsoft Visual Studio, doporuˇ cujeme pro doˇ casné vyˇ razení blokování pop-up oken nastavit klávesu Ctrl. Blokovat skripty jazyka JavaScript, VBScript Filtrování všech pˇ ríkaz˚ u pˇ ríslušného skriptovacího jazyka z WWW stránek. Blokovat objekty ActiveX Filtrování všech ActiveX komponent z WWW stránek. Poznámka: Výše uvedené tˇ ri volby mohou v urˇ citých pˇ rípadech zp˚ usobit nesprávné zobrazování nˇ ekterých stránek. Pokud taková situace nastane, je tˇ reba definovat výjimky pro konkrétní stránky v záložce Výjimky, pˇ rípadnˇ e tyto volby nezapínat a filtrovat reklamy jiným zp˚ usobem (napˇ r. volbou Blokovat reklamy).
Pravidla pro filtrování reklam Tlaˇ cítko Nastavit otevírá okno s pravidly pro filtrování reklam. Každé pravidlo je složeno ze dvou ˇ cástí: Serverová ˇ cást (jméno nebo IP adresa WWW serveru) a Lokální ˇ cást (relativní adresa objektu na daném serveru). Pokud je vyplnˇ ena pouze jedna z tˇ echto položek, pak: • je-li položka WWW server prázdná, platí pravidlo pro uvedenou relativní adresu na libovolném serveru
98
14.1 Blokování reklam, skript˚ u a pop-up oken
Obrázek 14.3
Pravidla pro blokování reklam
• je-li položka Cesta na serveru prázdná, pak pravidlo platí pro libovolný objekt na uvedeném serveru (de facto blokování pˇ rístupu na tento WWW server) Zaškrtávací pole ve sloupci Aktivní zapíná/vypíná pˇ ríslušné pravidlo. Takto lze pravidlo doˇ casnˇ e „vyˇ radit“ bez nutnosti jej odstraˇ novat a poté znovu pˇ ridávat. Tlaˇ cítka Zmˇ enit, Odebrat a Pˇ ridat slouží pro úpravu ˇ ci odstranˇ ení vybraného pravidla, resp. pˇ ridání nového pravidla. Kerio Personal Firewall má vlastní databázi pˇ reddefinovaných pravidel, která jsou oznaˇ cena ikonou. Pˇ reddefinovaná pravidla nelze zmˇ enit ani odstranit, lze je pouze aktivovat a deaktivovat. Databáze pˇ reddefinovaných pravidel je aktualizována pˇ ri instalaci nové verze Kerio Personal Firewallu. Pˇ ri aktualizaci z˚ ustane zachováno nastavení sloupce Aktivní (tzn. pˇ ri aktualizaci se neaktivují pravidla, která uživatel vypnul). Tlaˇ cítko Pˇ ridat nebo Zmˇ enit otevírá dialog pro definici pravidla filtru reklam. Pravidlo sestává ze dvou ˇ cástí: • WWW server — jméno WWW serveru
99
Kapitola 14 Filtrování obsahu WWW stránek
• cesta na serveru — cesta k objektu (umístˇ ení objektu) na tomto serveru Pˇ ri definici serverová a lokální ˇ cást mohou být použity bud’ zástupné znaky (jednodušší definice) nebo regulární výrazy (komplexní definice, pro zkušené uživatele).
Definice pravidla pomocí zástupných znak˚ u
Obrázek 14.4
Definice pravidla filtru reklam — použití zástupných znak˚ u
Je-li volba Použít regulární výrazy místo zástupných znak˚ u vypnuta, pak lze v položkách WWW server a Cesta na serveru použít tyto dva zástupné znaky: • * (hvˇ ezdiˇ cka) — nahrazení libovolného (i nulového) poˇ ctu znak˚ u • ? (otazník) — nahrazení právˇ e jednoho znaku Pˇ ríklady: • Položka WWW server obsahuje ˇ retˇ ezec *.kerio.com. Tomuto pravidlu vyhoví WWW servery www.kerio.com nebo download.kerio.com, ale nevyhoví napˇ r. www.akerio.com. • Položka WWW server obsahuje ˇ retˇ ezec www.kerio.c?. Tomuto pravidlu vyhoví WWW servery www.kerio.cz nebo www.kerio.cx, ale nevyhoví www.kerio.com.
100
14.1 Blokování reklam, skript˚ u a pop-up oken
Definice pravidla pomocí regulárních výraz˚ u
Obrázek 14.5
Definice pravidla filtru reklam — použití regulárních výraz˚ u
Je-li zapnuta volba Použít regulární výrazy místo zástupných znak˚ u, musí být položky WWW server a Cesta na serveru zadány formou tzv. regulárních výraz˚ u standardu POSIX. Regulární výrazy umožˇ nují popsat libovolný ˇ retˇ ezec pomocí speciální symboliky. Pˇ ri definici adres WWW server˚ u a objekt˚ u pravdˇ epodobnˇ e vystaˇ címe s nˇ ekolika základními symboly: • . (teˇ cka) — nahrazuje libovolný znak v ˇ retˇ ezci. • * (hvˇ ezdiˇ cka) — znamená libovolný (i nulový) poˇ cet opakování pˇ redchozího symbolu. Pˇ r.: Výraz .* pˇ redstavuje libovolný poˇ cet libovolných znak˚ u, tj. jakýkoliv (i prázdný) ˇ retˇ ezec (text). • \ (zpˇ etné lomítko) — slouží k zadání znaku, který má v regulárním výrazu speciální význam. Pˇ r.: Výraz \. pˇ redstavuje znak „teˇ cka“. Pˇ ríklad (viz obrázek): • V položce WWW server je uveden výraz .*\.kerio\.com. Tento výraz znamená, že jméno serveru musí konˇ cit podˇ retˇ ezcem .kerio.com — tedy napˇ r. www.kerio.com, download.kerio.com, www.kpf.kerio.com apod.
101
Kapitola 14 Filtrování obsahu WWW stránek
• V položce Cesta na serveru je uveden výraz .*/img/.*. To znamená, že relativní adresa objektu na serveru musí obsahovat podˇ retˇ ezec /img/ — tedy napˇ r. /img/banner.gif, /data/img/bar.jpg nebo pouze /img/. Podrobné informace o regulárních výrazech lze nalézt napˇ r. na adrese: http://www.gnu.org/software/grep/
14.2 Ochrana soukromí uživatele Záložka Soukromí obsahuje tyto možnosti ochrany soukromí uživatele:
Obrázek 14.6
Sekce WWW / Soukromí — ochrana proti sledování uživatele a úniku privátních informací
Filtrovat cizí cookies Filtrování trvalých i doˇ casných cookies z jiných server˚ u (3rd party cookies). Jedná se o cookies naˇ cítané z jiných WWW server˚ u než vlastní stránka (typickým pˇ ríkladem jsou cookies reklam). Filtrovat trvalé cookies Filtrování trvale ukládaných cookies. Tyto cookies obsahují informace, které mohou být odeslány na WWW server pˇ ri pˇ ríští návštˇ evˇ e dané stránky — server tak získá informaci o tom, že uživatel v minulosti tuto stránku již navštívil, o jeho uživatelském nastavení nebo libovolné jiné údaje.
102
14.2 Ochrana soukromí uživatele
Filtrovat doˇ casné cookies Filtrování doˇ casných cookies (ukládaných pouze po dobu jedné relace, tj. do ukonˇ cení WWW prohlížeˇ ce). Tyto cookies se používají pˇ ri návratu na pˇ ríslušnou stránku (resp. WWW server ˇ ci server v dané doménˇ e) v rámci této relace. Po uzavˇ rení všech oken WWW prohlížeˇ ce jsou všechna doˇ casná cookies smazána. Poznámka: I v pˇ rípadˇ e, kdy je zapnuto filtrování všech typ˚ u cookies, m˚ uže za urˇ citých okolností dojít k uložení cookie. Typickým pˇ ríkladem je cookie ukládané skriptem na WWW stránce — pak se nejedná o sít’ovou komunikaci a Kerio Personal Firewall tuto akci nezachytí. Filtrování cookies však nepovolí odeslat žádná cookies na server, ˇ címž uložené cookie ztrácí sv˚ uj smysl. Firewall tedy zajišt’uje ochranu soukromí uživatele i v tˇ echto pˇ rípadech. Zakázat server˚ um trasování pohybu po webu Blokování položky Referer v hlaviˇ cce protokolu HTTP. Tato položka obsahuje URL stránky, ze které uživatel na danou stránku pˇ rišel. Sledováním položky Referer lze mapovat pohyb uživatel˚ u po Internetu. Poznámka: Blokování položky Referer m˚ uže zp˚ usobit ˇ cásteˇ cnou nefunkˇ cnost nˇ ekterých WWW stránek. Nˇ ekteré servery totiž mohou používat tuto položku napˇ r. pro kontrolu, zda nejsou prvky stránek (obrázky, rámce apod.) využívány jinými servery. Blokování položky Referer m˚ uže mít pak za následek napˇ r. zobrazení stránky bez obrázk˚ u. Ve výše uvedených pˇ rípadech doporuˇ cujeme definovat výjimky pro konkrétní WWW servery (viz kapitola 14.3). Blokovat privátní informace Zákaz odesílání definovaných privátních informací z formulᡠru ˚ na WWW stránkách. Tlaˇ cítko Nastavit otevírá okno pro definici privátních informací, jejichž odesílání má Kerio Personal Firewall blokovat. Privátní informace se v Kerio Personal Firewallu definuje takto: • Typ — výbˇ er typu informace (napˇ r. e-mailová adresa, ˇ císlo kreditní karty atd.). Tato položka má pouze informativní charakter a nesouvisí s typem pole na WWW stránce.
103
Kapitola 14 Filtrování obsahu WWW stránek
Obrázek 14.7
Definice privátních informací
• Blokovaná informace — vlastní informace, tj. ˇ retˇ ezec, jehož odeslání bude Kerio Personal Firewall blokovat. Upozornˇ ení: V privátních informacích nejsou rozlišována malá a velká písmena. • Popis — popis privátní informace (libovolný text, slouží pro zvýšení pˇ rehlednosti).
14.3 Výjimky pro jednotlivé WWW servery Záložka Výjimky umožˇ nuje specifikovat WWW servery, pro které budou nastavena vlastní pravidla filtrování obsahu WWW stránek.
Obrázek 14.8
Sekce WWW / Výjimky — specifická nastavení pro konkrétní WWW servery
104
14.3 Výjimky pro jednotlivé WWW servery
Výjimky pro jednotlivé WWW servery jsou užiteˇ cné zejména v pˇ rípadech, kdy obecná pravidla pro obsah WWW stránek (v záložkách Blokování a Soukromí ) zp˚ usobují nefunkˇ cnost urˇ citých stránek (napˇ r. otevírání nových oken, pˇ rihlašování pomocí emailové adresy apod.) nebo jejich úplné zablokování (v d˚ usledku pravidel pro filtrování reklam). Pˇ ri definici výjimky pro konkrétní server doporuˇ cujeme zvážit, zda se jedná o d˚ uvˇ eryhodný server a které typy objekt˚ u (skripty, cookies, privátní informace) jsou skuteˇ cnˇ e nutné pro správnou funkci stránek na tomto serveru. Záložka Výjimky obsahuje jedno pˇ reddefinované pravidlo. Toto pravidlo se týká automatických aktualizací spoleˇ cnosti Microsoft a povoluje aktualizace ze serveru windowsupdate.microsoft.com. Tlaˇ cítko Pˇ ridat, resp. Zmˇ enit otevírá dialog pro definici výjimky.
Obrázek 14.9
Definice výjimky pro WWW server
Záložka WWW server slouží k zadání jména WWW serveru. Ve jménˇ e server˚ u lze použít zástupné znaky nebo jej zadat formou regulárního výrazu (podrobnosti viz blokování reklam — viz kapitola 14.1). Záložky Blokování a Soukromí jsou témˇ eˇ r identické s odpovídajícími záložkami sekce WWW . Zde však jednotlivé volby platí pouze pro uvedený WWW server.
105
Kapitola 15
Stavové informace
15.1 Pˇ rehled spojení a otevˇ rených port˚ u V sekci Pˇ rehled, záložka Spojení , se zobrazuje seznam spojení a port˚ u otevˇ rených jednotlivými aplikacemi. Uživatel tak má kompletní pˇ rehled, jaké aplikace na jeho poˇ cítaˇ ci sít’ovˇ e komunikují nebo ˇ cekají na navázání spojení. Port oznaˇ cujeme jako otevˇ rený, jestliže je v jednom z následujících stav˚ u: • navázané odchozí spojení (zelené podbarvení) • navázané pˇ ríchozí spojení (ˇ cervené podbarvení) • ˇ ceká na navázání spojení — serverový režim (bez podbarvení) V záložce Spojení se zobrazuje seznam aplikací, které mají otevˇ ren alespoˇ n jeden port.
Obrázek 15.1
Sekce Pˇ rehled / Spojení — pˇ rehled navázaných
spojení a otevˇ rených port˚ u dle jednotlivých aplikací
106
15.1 Pˇ rehled spojení a otevˇ rených port˚ u
Na prvním ˇ rádku je vždy uvedena ikona a název (popis) aplikace (nemá-li aplikace ikonu, použije se systémová ikona pro spustitelný soubor; není-li k dispozici popis aplikace, zobrazí se jméno souboru bez pˇ rípony). Kliknutím na tlaˇ cítko [+] nebo [-] vedle ikony aplikace lze zobrazit, resp. skrýt seznam port˚ u otevˇ rených touto aplikací. V dalších ˇ rádcích jsou pak zobrazena jednotlivá otevˇ rená spojení. Jedná-li se o odchozí spojení, ˇ rádek je zvýraznˇ en svˇ etle zelenou barvou; pˇ ríchozí spojení jsou zvýraznˇ ena svˇ etle ˇ cervenou barvou. Jednotlivé sloupce zobrazují podrobné informace o každém spojení: Lokální strana Lokální IP adresa (pˇ ríp. odpovídající DNS jméno) a port (pˇ ríp. název služby, jedná-li se o standardní službu). Namísto DNS jména poˇ cítaˇ ce mohou být uvedena tato speciální jména: • Vše — port je otevˇ ren na všech lokálních IP adresách (IP adresa 0.0.0.0) • Loopback — lokální zpˇ etnovazební IP adresa (127.0.0.1) Vzdálená strana IP adresa (resp. DNS jméno) a ˇ císlo portu (resp. název služby) vzdáleného poˇ cítaˇ ce. Platí totéž jako pro lokální adresu a port (viz výše). Protokol Použitý transportní protokol (TCP nebo UDP, pˇ ríp. oba). Rychlost pˇ ríchozí, Rychlost odchozí Aktuální rychlost pˇ rijímaných (pˇ ríchozích) a odesílaných (odchozích) dat v rámci daného spojení. Rychlost je uvádˇ ena v kilobytech za sekundu (KB/s). Pˇ rijato byt˚ u, Vysláno byt˚ u Celkový objem dat pˇ rijatých a vyslaných v rámci daného spojení. Poznámka: Jedná-li se o port, na kterém aplikace ˇ ceká na pˇ ríchozí spojení, pak je známa pouze lokální IP adresa, lokální port a protokol.
Otevˇ rené porty a navázaná spojení V dolní ˇ cásti záložky Spojení (stavovém ˇ rádku) se zobrazuje aktuální poˇ cet spojení a otevˇ rených port˚ u:
Obrázek 15.2
Sekce Pˇ rehled / Spojení — celkový poˇ cet navázaných spojení a otevˇ rených port˚ u
107
Kapitola 15 Stavové informace
• Pˇ ríchozí spojení — poˇ cet navázaných pˇ ríchozích spojení (tj. ze vzdáleného poˇ cítaˇ ce na lokální poˇ cítaˇ c) • Odchozí spojení — poˇ cet navázaných odchozích spojení (tj. z lokálního poˇ cítaˇ ce na vzdálený poˇ cítaˇ c) • Naslouchání — poˇ cet port˚ u, na kterých aplikace ˇ cekají na navázání spojení
15.2 Statistiky V sekci Pˇ rehled / Statistiky lze zobrazit statistiky systému detekce útok˚ u a filtru obsahu WWW stránek za zvolené ˇ casové období.
Obrázek 15.3
rehled / Statistiky — statistika Sekce Pˇ
blokovaných útok˚ u a nežádoucích prvk˚ u WWW stránek
Položka Zobrazit statistiky za poslední ... slouží k výbˇ eru ˇ casového období, za které budou statistiky zobrazovány: • poslední hodina
108
15.2 Statistiky
• poslední den • poslední týden • poslední mˇ esíc Tlaˇ cítko Nulovat statistiky provede vynulování všech sledovaných statistik. Kerio Personal Firewall se po stisknutí tohoto tlaˇ cítka dotáže uživatele, zda si skuteˇ cnˇ e pˇ reje statistiky vynulovat. Statistiky jsou rozdˇ eleny do skupin podle typu. Kliknutím na název skupiny se zobrazí odpovídající záznam (WWW (kapitola 16.8), HIPS (kapitola 12) nebo NIPS (kapitola 16.5). NIPS Poˇ cet detekovaných útok˚ u: • Vysoká priorita — kritické útoky • Stˇ rední priorita — útoky se stˇ rední prioritou (napˇ r. blokování služeb) • Nízká priorita — útoky s nízkou prioritou (napˇ r. podezˇ relé aktivity) • Scan port˚ u — zjišt’ování otevˇ rených port˚ u (Port Scanning) Reklamy Blokované reklamy a komponenty WWW stránek: • Reklamy — poˇ cet objekt˚ u blokovaných pravidly pro filtrování reklam • Pop-up okna — poˇ cet blokovaných pop-up a pop-under oken Skripty • Skripty JavaScript — poˇ cet filtrovaných skript˚ u v jazyce JavaScript • Skripty VBScript — poˇ cet filtrovaných skript˚ u v jazyce Visual Basic Script • Objekty ActiveX — poˇ cet filtrovaných ActiveX komponent HIPS Poˇ cet detekovaných útok˚ u: • Pˇ reteˇ cení pamˇ eti — poˇ cet pokus˚ u o útok typu buffer overflow. • Injekce kódu — poˇ cet pokus˚ u o injekci kódu. Soukromí Poˇ cet objekt˚ u blokovaných ochranou soukromí uživatele: • Položky Referer — poˇ cet filtrovaných položek Referer z hlaviˇ cky protokolu HTTP • Privátní informace — poˇ cet zablokovaných odesílaných privátních informací
109
Kapitola 15 Stavové informace
Cookies Poˇ cet blokovaných cookies jednotlivých typ˚ u: • Trvalé cookies — poˇ cet filtrovaných trvalých cookies • Doˇ casné cookies — poˇ cet filtrovaných doˇ casných cookies • Cizí cookies — poˇ cet filtrovaných cizích cookies
110
Kapitola 16
Záznamy
Záznamy jsou soubory, které uchovávají historii urˇ citých událostí. Kerio Personal Firewall má samostatný záznam pro každý modul (Sít’, Systém, Útoky a WWW ). Dále existují záznamy Error (chybová hlášení), Warning (varovná hlášení) a Debug (ladicí informace), do kterých se zapisují informace vztahující se k bˇ ehu programu Kerio Personal Firewall. Informace v tˇ echto záznamech mohou být užiteˇ cné napˇ ríklad pˇ ri ˇ rešení problém˚ u s technickou podporou firmy Kerio Technologies. Soubory záznam˚ u jsou uloženy v podadresᡠri logs adresᡠre, kde je Kerio Personal Firewall nainstalován (typicky C:\Program Files\Kerio\Personal Firewall 4\logs). Vlastní soubor záznamu má pˇ ríponu .log (napˇ r. network.log). Ke každému záznamu pˇ rísluší tzv. indexový soubor (pro vyhledávání). Tento soubor má pˇ ríponu .idx (napˇ r. network.log.idx).
16.1 Prohlížení záznam˚ u K prohlížení záznam˚ u jednotlivých modul˚ u firewallu a nastavení záznam˚ u slouží sekce Záznamy. Záložka Záznamy obsahuje v dolní ˇ cásti podzáložky se záznamy jednotlivých modul˚ u firewallu. V každé záložce se zobrazuje vždy urˇ citá ˇ cást pˇ ríslušného souboru záznamu. Kliknutím na název sloupce lze zobrazenou ˇ cást záznamu seˇ radit podle vybraného sloupce. Z technických d˚ uvod˚ u (objem dat) nejsou soubory záznam˚ u naˇ cítány celé do pamˇ eti. Ze souboru se naˇ cte pouze ˇ cást, která má být zobrazena. Proto pˇ ri prohlížení záznam˚ u dochází k následujícím jev˚ um: • Zobrazování je pˇ ri pohybu v záznamu relativnˇ e pomalé.
111
Kapitola 16 Záznamy
Obrázek 16.1
Sekce Záznamy — prohlížení záznamu
• Pˇ ri ˇ razení podle vybraného sloupce je seˇ razena pouze aktuálnˇ e zobrazená ˇ cást záznamu. Po pˇ resunu na jinou ˇ cást záznamu je tˇ reba zobrazené informace znovu seˇ radit. Poznámka: Záznamy Error, Warning a Debug nejsou z uživatelského rozhraní Kerio Personal Firewall pˇ rístupné — lze je prohlížet pouze jako soubory.
16.2 Kontextové menu pro záznamy Pˇ ri stisknutí pravého tlaˇ cítka v záložce se záznamem se zobrazí kontextové menu s volbami pro daný záznam: Smazat záznam Tato volba smaže veškeré informace z pˇ ríslušného souboru — smazaný záznam již nelze obnovit.
112
16.2 Kontextové menu pro záznamy
Obrázek 16.2
Sekce Záznamy — kontextové menu pro záznam Sít’
Zobrazované jméno aplikace Zp˚ usob zobrazování jmen aplikací: • Úplná cesta ke spustitelnému souboru aplikace • Jméno spustitelného souboru aplikace • Popis aplikace (je-li k dispozici, jinak je zobrazeno jméno spustitelného souboru bez pˇ rípony) Volba Zobrazovat ikony zapíná/vypíná zobrazování ikon aplikací (nemá-li aplikace ikonu, použije se systémová ikona pro spustitelný soubor). DNS jména poˇ cítaˇ cu ˚ Zobrazování jmen poˇ cítaˇ cu ˚ namísto IP adres. Jména poˇ cítaˇ cu ˚ se zjišt’ují z DNS (asynchronnˇ e). Dokud se nepodaˇ rí nalézt odpovídající jméno, je zobrazena IP adresa. Pojmenovat porty Zobrazování jmen služeb namísto ˇ císel port˚ u (pouze pro standardní služby definované v systémovém souboru services). Pojmenovat protokoly Zobrazování názv˚ u (zkratek) protokol˚ u namísto ˇ císla protokolu (pouze pro standardní protokoly definované v systémovém souboru protocols). Poznámky: 1.
V nˇ ekterých záznamech neobsahuje kontextové menu všechny výše popsané položky — napˇ r. v záznamu Systém se nezobrazuje žádná sít’ová komunikace, a proto zde nejsou volby DNS jména poˇ cítaˇ cu ˚ , Pojmenovat porty a Pojmenovat protokoly.
2.
Volby Zobrazované jméno aplikace, DNS jména poˇ cítaˇ cu ˚ a Pojmenovat porty/protokoly mají globální platnost — jejich nastavení ovlivˇ nuje všechny záznamy, sekci Pˇ rehled / Spojení (viz kapitola 15.1), dialogy Upozornˇ ení na spojení (kap. 5.2) a Spouštˇ ení/Zámˇ ena/Spouštˇ ení jiné aplikace (kap. 5.3) a okno s upozornˇ ením (kap. 5.5). Nastavení zobrazování je rovnˇ ež popsáno v pˇ ríslušných kapitolách.
113
Kapitola 16 Záznamy
16.3 Volby pro záznamy V záložce Nastavení sekce Záznamy lze nastavit následující parametry a volby pro záznamy (nastavení platí pro všechny záznamy Kerio Personal Firewallu):
Obrázek 16.3
Sekce Záznamy / Nastavení — max. velikost souboru záznamu
Max. velikost souboru Maximální velikost souboru záznamu (v kilobytech). Dosáhne-li soubor záznamu této velikosti, bude smazán a zapisován opˇ et od zaˇ cátku. Odesílat záznamy na Syslog server Tato volba zapíná/vypíná odesílání vybraných záznam˚ u na Syslog server. Do položky Syslog server je tˇ reba zadat jméno nebo IP adresu Syslog serveru a do položky Port ˇ císlo portu, na kterém Syslog server bˇ eží (standardnˇ e 514). Tlaˇ cítko Upˇ resnˇ ení... otevírá dialog pro výbˇ er záznam˚ u Kerio Personal Firewallu, které mají být na Syslog server odesílány.
114
16.4 Záznam Sít’
Obrázek 16.4
Nastavení záznam˚ u odesílaných na Syslog server
16.4 Záznam Sít’ Do záznamu Network se ukládají informace o sít’ové komunikaci, která vyhovˇ ela urˇ citému pravidlu pro aplikaci (viz kapitola 7.2) nebo pravidlu paketového filtru (viz ríslušném pravidle kapitola 8). Komunikace se zaznamenává pouze tehdy, pokud je v pˇ zapnuta volba Zaznamenat komunikaci do záznamu Sít’. Záznam Sít’ obsahuje tyto informace:
Obrázek 16.5
Sekce Záznamy — záznam Sít’
ˇ • Rádek —ˇ císlo ˇ rádku záznamu • Poˇ cet — poˇ cet zpráv (opakuje-li se stejná zpráva vícekrát bezprostˇ rednˇ e za sebou, uloží se do záznamu pouze jednou a uvede se poˇ cet opakování)
115
Kapitola 16 Záznamy
• Datum — datum a ˇ cas zápisu zprávy do záznamu • Popis — v pˇ rípadˇ e pravidla paketového filtru popis pravidla • Aplikace — název lokální aplikace (dle volby Zobrazované jméno aplikace) pˇ ríslušné k zachycené sít’ové komunikaci Poznámka: Do souboru záznamu je ukládán jak popis aplikace, tak úplná cesta ke spustitelnému souboru. Proto lze v oknˇ e záznamu zp˚ usob zobrazení aplikace libovolnˇ e pˇ repínat. • Smˇ er — smˇ er navázání spojení (in = na lokální poˇ cítaˇ c, out = z lokálního poˇ cítaˇ ce) • Lokální strana — lokální IP adresa (jméno poˇ cítaˇ ce) • Vzdálená strana — IP adresa (jméno) vzdáleného poˇ cítaˇ ce • Protokol — použitý komunikaˇ cní protokol transportní úrovnˇ e (TCP, UDP apod.) • Akce — akce, která byla provedena: 1.
permitted — komunikace povolena
2.
denied — komunikace zakázána
3.
asked → permitted — zobrazen dotaz uživateli (tj. dialog Upozornˇ ení na spojení ), uživatel komunikaci povolil
4.
asked → denied — zobrazen dotaz uživateli, uživatel komunikaci zakázal
16.5 Záznam NIPS Do záznamu NIPS se zapisují informace o detekovaných sít’ových útocích. Zaznamenávány jsou útoky tˇ ech skupin, u nichž je zapnuta volba Zaznamenat (viz eny kapitolu 11). Sít’ové útoky, které byly detekovány, ale nebyly blokovány, jsou zvýraznˇ zelenou barvou (jedná se o útoky patˇ rící do prioritní tˇ rídy, která není blokována — viz kapitola 11.1). Každý ˇ rádek záznamu NIPS obsahuje tyto informace: ˇ • Rádek —ˇ císlo ˇ rádku záznamu
116
16.6 Záznam HIPS
Obrázek 16.6
Sekce Záznamy — záznam NIPS
• Poˇ cet — poˇ cet identických zpráv • Datum — datum a ˇ cas zápisu zprávy do záznamu • Popis — název (popis) zachyceného útoku (viz kapitola 11.1) • Smˇ er — smˇ er útoku (útok m˚ uže být veden i z lokálního poˇ cítaˇ ce) • Zdroj útoku — IP adresa (resp. jméno) vzdáleného poˇ cítaˇ ce (pokud je zjistitelná — útok m˚ uže být veden z falšované IP adresy) • Podrobnosti — odkaz na WWW stránku s bližšími informacemi o útoku (jsou-li k dispozici) • Tˇ rída útoku — tˇ rída, do které je útok klasifikován (viz kapitola 11.1) • Priorita — prioritní skupina, do které je útok zaˇ razen v Kerio Personal Firewallu (vysoká, stˇ rední nebo nízká priorita) • Akce — akce, kterou Kerio Personal Firewall provedl pˇ ri zachycení tohoto útoku (permitted — útok povolen, denied — útok zakázán)
16.6 Záznam HIPS Do záznamu HIPS se zapisují informace o detekovaných útocích na aplikace. Zaznamenávány jsou útoky tˇ ech skupin, u nichž je zapnuta volba Zaznamenat pokusy do záznamu HIPS (viz kapitolu 12). Detekované útoky, které však nebyly blokovány, jsou znaˇ ceny bílou barvou, zablokované útoky jsou oznaˇ ceny ˇ cervenˇ e.
117
Kapitola 16 Záznamy
Obrázek 16.7
Sekce Záznamy — záznam HIPS
ˇ • Rádek —ˇ císlo ˇ rádku záznamu • Poˇ cet — poˇ cet identických zpráv • Datum — datum a ˇ cas zápisu zprávy do záznamu • Akce — akce, kterou Kerio Personal Firewall provedl pˇ ri zachycení tohoto útoku (permitted — útok povolen, denied — útok zakázán) • Typ útoku — název zachyceného útoku (viz kapitolu 12) Z následujících tˇ rí položek lze v kontextovém menu (nabídka pravého tlaˇ cítka myši) vybrat vždy jen jednu možnost zobrazení informace: • Popis — popis útoku. • Úplná cesta — položka bude obsahovat informaci o úplné cestˇ e k útoˇ cící i napadané aplikaci. • Jméno souboru — jméno napadeného souboru.
16.7 Záznam Chování Do záznamu Chování se zapisují informace o spouštˇ ení aplikací, které vyhovují urˇ citým pravidl˚ um v sekci Útoky → Blokování chování aplikací . Záznam se provádí pouze tehdy, je-li v pˇ ríslušném pravidle zapnuta volba Zaznamenat do záznamu Chování . Záznam Systém obsahuje tyto informace:
Obrázek 16.8
Sekce Záznamy — záznam Chování
118
16.8 Záznam WWW
ˇ • Rádek —ˇ císlo ˇ rádku záznamu • Poˇ cet — poˇ cet identických zpráv • Datum — datum a ˇ cas zápisu zprávy do záznamu • Operace — typ operace: 1.
starting — spouštˇ ení aplikace
2.
starting modified — zmˇ ena ve spustitelném souboru aplikace
3.
launching other — aplikace spouští jinou aplikaci
• Aplikace — název aplikace (dle volby Zobrazované jméno aplikace) • Pˇ redmˇ et — v pˇ rípadˇ e spouštˇ ení jiné aplikace název této aplikace (dle volby Zobrazované jméno aplikace) • Akce — akce, která byla provedena: 1.
permitted — spuštˇ ení aplikace povoleno
2.
denied — spuštˇ ení aplikace zakázáno
3.
asked → permitted — zobrazen dotaz uživateli (tj. dialog Spouštˇ ení/Zámˇ ena/Spouštˇ ení jiné aplikace), uživatel spuštˇ ení povolil
4.
asked → denied — zobrazen dotaz uživateli, uživatel spuštˇ ení zakázal
16.8 Záznam WWW Do záznamu WWW se zapisují informace o objektech blokovaných filtrem obsahu WWW stránek. Tento záznam není konfigurovatelný — je-li modul filtrování obsahu aktivní (viz kapitola 14), zaznamenávají se všechny filtrované objekty. Záznam WWW obsahuje tyto informace: ˇ • Rádek —ˇ císlo ˇ rádku záznamu
119
Kapitola 16 Záznamy
Obrázek 16.9
Sekce Záznamy — záznam WWW
• Poˇ cet — poˇ cet identických zpráv • Datum — datum a ˇ cas zápisu zprávy do záznamu • Metoda — použitá metoda protokolu HTTP (GET nebo POST ) • URL — adresa objektu (resp. stránky), kterého se metoda týká • Pˇ redmˇ et — blokovaný prvek WWW stránky (Advertisement — reklama, Referer — odkaz Referer v HTTP hlaviˇ cce, cookie — trvalé nebo doˇ casné cookie, blockPopups — pop-up nebo pop-under okno) • Hodnota — hodnota blokovaného prvku (viz níže) • Akce — akce, která byla provedena (removed — odstranˇ ený prvek z WWW stránky, blocked — blokováno pravidly pro reklamy) Informace v položce Hodnota závisí na typu blokovaného objektu (viz položka Pˇ redmˇ et): • reklama (Advertisement) — sloupec Hodnota obsahuje pravidlo, které bylo uplatnˇ eno (viz kapitola 14.1) • položka Referer — sloupec Hodnota obsahuje URL stránky, na kterou bylo v této položce odkazováno • skripty (Script) — ve sloupci Hodnota je uveden typ skriptu nebo objektu, který byl filtrován (JavaScript, VBScript nebo ActiveX ).
120
16.9 Záznamy Debug, Error a Warning
• pop-up a pop-under okna (blockPopups) — výraz ON ve sloupci Hodnota znamená, že pro danou stránku bylo aktivováno blokování pop-up a pop-under oken.
16.9 Záznamy Debug, Error a Warning Záznamy Error, Warning a Debug nejsou z uživatelského rozhraní Kerio Personal Firewall pˇ rístupné — lze je prohlížet pouze jako soubory v podadresᡠri Logs adresᡠre, kam byl Kerio Personal Firewall nainstalován (typicky C:\Program Files\Kerio\Personal Firewall 4\logs). Vlastní soubor záznamu má pˇ ríponu .log (napˇ r. error.log). Záznam Debug obsahuje podrobné informace o bˇ ehu programu Kerio Personal Firewall. Do záznamu Error se zapisují závažné chyby, které mají zásadní vliv na chod Kerio Personal Firewallu (napˇ r. nepodaˇ rí-li se z nˇ ejakého d˚ uvodu spustit službu Personal Firewall Engine). Do záznamu Warning jsou zapisovány nekritické chyby (napˇ r. chyba pˇ ri zjišt’ování nové verze programu).
121
Pˇ ríloha 16 Záznamy
122
Pˇ ríloha A
Použité open-source knihovny
Produkt Kerio Personal Firewall obsahuje následující knihovny volnˇ e šiˇ ritelné ve formˇ e zdrojových kód˚ u (open-source): libiconv Knihovna pro konverzi kódování znak˚ u s použitím konverze z/do Unicode. C Free Software Foundation, Inc. Copyright 1999-2003 Autor: Bruno Haible OpenSSL Implementace protokol˚ u Secure Sockets Layer (SSL v2/v3) a Transport Layer Security (TLS v1). Tento produkt obsahuje software vyvinutý sdružením OpenSSL Project pro použití v OpenSSL Toolkit (http://www.openssl.org/). zlib Všestrannˇ e použitelná knihovna pro kompresi a dekompresi dat. C Copyright 1995-2003 Jean-Loup Gailly and Mark Adler.
123
124
Slovníˇ cek pojm˚ u
ActiveX objekt Proprietární technologie spoleˇ cnosti Microsoft urˇ cená k vytvᡠrení dynamických objekt˚ u na WWW stránkách. Tato technologie poskytuje pomˇ ernˇ e široké možnosti, mimo jiné zápis na disk nebo spouštˇ ení pˇ ríkaz˚ u na klientovi (tj. poˇ cítaˇ ci, na kterém byla otevˇ rena pˇ ríslušná WWW stránka). Viry nebo ˇ cervy dokáží prostˇ rednictvím technologie ActiveX napˇ r. zmˇ enit telefonní ˇ císlo vytᡠcené linky. Aplikaˇ cní protokol Aplikaˇ cní protokoly jsou neseny v paketech protokolu TCP, pˇ ríp. UDP, a slouží pˇ rímo k pˇ renosu uživatelských (aplikaˇ cních) dat. Existuje mnoho standardních aplikaˇ cních protokol˚ u (napˇ r. SMTP, POP3, HTTP, FTP apod.), programátor aplikace si však m˚ uže navrhnout libovolný vlastní (nestandardní) zp˚ usob komunikace. Cookie Textové informace, které server ukládá ke klientovi (WWW prohlížeˇ ci). Slouží pro pozdˇ ejší identifikaci klienta pˇ ri opˇ etovné návštˇ evˇ e daného serveru/stránky. Cookies mohou být zneužívány pro sledování, které stránky uživatel navštívil, pˇ rípadnˇ e k poˇ cítání pˇ rístup˚ u. DHCP DHCP (Dynamic Host Configuration Protocol) je služba dynamické konfigurace v síti TCP/IP (IP adresa, maska, brána, DNS, atd.). DNS DNS (Domain Name System) je internetová služba distribuované databáze, která slouží pro pˇ revod doménových jmen na jim odpovídající IP adresy. Firewall Prostˇ redek (zpravidla softwarový produkt) k ochranˇ e pˇ red útoky a únikem dat. Existují dva základní typy firewall˚ u: • sít’ový firewall — chrání poˇ cítaˇ ce v urˇ cité subsíti. Typicky bývá nasazen na bránu (smˇ erovaˇ c), který pˇ ripojuje tuto subsít’ do Internetu.
125
Slovníˇ cek pojm˚ u
• personální (osobní) firewall — chrání jeden konkrétní poˇ cítaˇ c (pracovní stanici uživatele). Oproti sít’ovému firewallu m˚ uže navíc vztáhnout sít’ovou komunikaci ke konkrétní aplikaci, mˇ enit své chování na základˇ e interakce s uživatelem atd. Poznámka: V tomto manuálu je výrazem firewall oznaˇ cován produkt Kerio Personal Firewall. HTTP HTTP (HyperText Transfer Protocol) je jednoduchý aplikaˇ cní protokol, který slouží k pˇ renosu webových dokument˚ u a obrázk˚ u. ICMP ICMP (Internet Control Message Protocol) je protokol pro pˇ renos ˇ rídicích zpráv. Tˇ echto zpráv existuje nˇ ekolik typ˚ u, napˇ r. informace, že cílový poˇ cítaˇ c je nedostupný, žádost o pˇ resmˇ erování nebo žádost o odezvu (použito v pˇ ríkazu PING). IP IP (Internet Protocol) je protokol, který nese ve své datové ˇ cásti všechny ostatní protokoly. Nejd˚ uležitˇ ejší informací v jeho hlaviˇ cce je zdrojová a cílová IP adresa, tedy kým (jakým poˇ cítaˇ cem) byl paket vyslán a komu je urˇ cen. IP adresa 32-bitové ˇ císlo jednoznaˇ cnˇ e urˇ cující poˇ cítaˇ c v Internetu. Zapisuje v desítkové soustavˇ e jako ˇ ctveˇ rice byt˚ u (0-255) oddˇ elených teˇ ckami (napˇ r. 200.152.21.5). Každý paket obsahuje informaci, odkud byl vyslán (zdrojová IP adresa), a kam má být doruˇ cen (cílová IP adresa). JavaScrypt JavaScript je skryptovací jazyk, který pˇ redstavuje výkonný kód na WWW stránce. Tento kód provádí klient (WWW prohlížeˇ c). Skripty slouží k vytvᡠrení dynamických prvk˚ u na WWW stránkách, mohou však být zneužity pro zobrazování reklam, získávání informací o uživateli apod. Maska subsítˇ e Maska subsítˇ e rozdˇ eluje IP adresu na dvˇ eˇ cásti: adresu sítˇ e a adresu poˇ cítaˇ ce v této síti. Maska se zapisuje stejnˇ e jako IP adresa (napˇ r. 255.255.255.0), ale je tˇ reba ji vidˇ et jako 32-bitové ˇ císlo mající zleva urˇ citý poˇ cet jedniˇ cek a zbytek nul (maska tedy nem˚ uže mít libovolnou hodnotu). Jedniˇ cka v masce subsítˇ e oznaˇ cuje bit adresy sítˇ e a nula bit adresy poˇ cítaˇ ce. Všechny poˇ cítaˇ ce v jedné subsíti musejí mít stejnou masku subsítˇ e a stejnou sít’ovou ˇ cást IP adresy. NAT NAT (Network Address Translation — pˇ reklad IP adres) pˇ redstavuje zámˇ enu IP adres v paketech procházejících firewallem.
126
Technologie NAT umožˇ nuje pˇ ripojení privátní lokální sítˇ e k Internetu pˇ res jedinou veˇ rejnou IP adresu. Všechny poˇ cítaˇ ce v lokální síti mají pˇ rímý pˇ rístup do Internetu, jako by se jednalo o veˇ rejnou subsít’ (platí zde urˇ citá omezení). Zároveˇ n mohou být na veˇ rejné IP adrese mapovány služby bˇ ežící na poˇ cítaˇ cích v lokální síti. Paket Paket neboli IP datagram je základní jednotkou dat v síti IP. Paketový filtr Paketový filtr je aplikace, která kontroluje hlaviˇ cky pˇ ríchozích paket˚ u. Na základˇ e obsahu tˇ echto hlaviˇ cek nˇ ekteré pakety propustí do sítˇ e a jiné zahodí. Port Nejd˚ uležitˇ ejší informací v hlaviˇ cce TCP a UDP paketu je zdrojový a cílový port. Zatímco IP adresa urˇ cuje poˇ cítaˇ c v Internetu, port urˇ cuje aplikaci bˇ ežící na tomto poˇ cítaˇ ci. Porty 1-1023 jsou rezervovány pro standardní služby a operaˇ cní systém, porty 1024-65535 mohou být použity libovolnou aplikací. Pˇ ri typické komunikaci klient-server je zpravidla znám cílový port (na nˇ ej se navazuje spojení nebo posílá UDP datagram), zdrojový port je naopak pˇ ridˇ elován automaticky operaˇ cním systémem. Proxy server Velmi rozšíˇ rený zp˚ usob sdílení internetového pˇ ripojení. Proxy server pˇ redstavuje prostˇ redníka mezi klientem a cílovým serverem. Proxy server pracuje na aplikaˇ cní úrovni a je pˇ rizp˚ usoben nˇ ekolika aplikaˇ cním protokol˚ um (napˇ r. HTTP, FTP, Gopher). Ve srovnání s technologií NAT jsou jeho možnosti velmi omezené. Regulární výraz Regulární výrazy (regular expression) jsou speciální jazyky pro popis ˇ retˇ ezce. Sít’ové rozrhaní Obecné oznaˇ cení pro zaˇ rízení, které propojuje poˇ cítaˇ c s ostatními poˇ cítaˇ ci urˇ citým typem komunikaˇ cního média. Sít’ové rozhraní m˚ uže být napˇ r. Ethernet adaptér, TokenRing adaptér nebo modem. Prostˇ rednictvím sít’ového rozhraní poˇ cítaˇ c vysílá a pˇ rijímá pakety. Systémový registr Systémový registr je speciální soubor obsažený ve všech operaˇ cních systémech Windows. Tento soubor obsahuje veškeré nastavení i informace, které OS a instalované programy potˇ rebují pro svou ˇ cinnost. TCP TCP (Transmission Control Protocol) slouží pro spolehlivý pˇ renos dat tzv. virtuálním kanálem (spojením). Je používán jako nosný protokol pro vˇ etšinu aplikaˇ cních protokol˚ u, napˇ r. SMTP, POP3, HTTP, FTP, Telnet atd.
127
Slovníˇ cek pojm˚ u
TCP/IP TCP/IP je souhrnné oznaˇ cení pro protokoly používané pro komunikaci v síti Internet. V rámci každého protokolu jsou data dˇ elena na datové jednotky, nazývané pakety. Každý paket se skládá z hlaviˇ cky a datové ˇ cásti, pˇ riˇ cemž hlaviˇ cka obsahuje systémové informace (napˇ r. zdrojovou a cílovou adresu) a datová ˇ cást vlastní pˇ renášená data. Protokolová sada je rozdˇ elena na nˇ ekolik úrovní. Pˇ ritom platí, že pakety protokol˚ u nižších úrovní obsahují (zapouzdˇ rují) ve své datové ˇ cásti pakety protokol˚ u vyšších úrovní (napˇ r. pakety protokolu TCP jsou neseny v IP paketech). ˇ Trójský k˚ un Aplikace, která slouží k jiným úˇ cel˚ um, než prezentuje. Obvykle vypadá jako užiteˇ cná, ale obsahuje škodlivý kód. UDP UDP (User Datagram Protocol) je tzv. nespojovaný protokol, tzn. nevytvᡠrí žádný kanál a data jsou pˇ renášena v jednotlivých zprávách (tzv. datagramech). UDP nezaruˇ cuje spolehlivé doruˇ cení dat (datagram se m˚ uže pˇ ri pˇ renosu sítí ztratit). Ve srovnání s protokolem TCP má ale mnohem nižší režii (odpadá vytvᡠrení a rušení spojení, potvrzování atd.). Protokol UDP se typicky používá napˇ r. pro pˇ renos DNS dotaz˚ u, zvuku, videa apod. URI URI (Uniform Resource Identifier) je standard popisující umístˇ ení objektu na Internetu. Popisuje mechanismus pˇ rístupu k objektu (napˇ r. protokol), urˇ cení poˇ cítaˇ ce (napˇ r. DNS, IP), kde je objekt umístˇ en a umístˇ ení objektu na poˇ cítaˇ ci (napˇ r. cestu a název souboru). Podmnožinou URI je URL a URN. URL URL (Unique Resource Locator) je podmnožinou URI, která jednoznaˇ cnˇ e popisuje umístˇ ení souboru v poˇ cítaˇ cové síti. VBScript Skriptovací jazyk založený na jazyce Visual Basic, který pˇ redstavuje výkonný kód na WWW stránce. Tento kód provádí klient (WWW prohlížeˇ c). Skripty slouží k vytvᡠrení dynamických prvk˚ u na WWW stránkách, mohou však být zneužity pro zobrazování reklam, získávání informací o uživateli apod. Virtuální privátní sít’ (VPN) je bezpeˇ cné propojení dvou lokálních sítí (resp. pˇ ripojení vzdáleného klienta do lokální sítˇ e) pˇ res Internet šifrovaným kanálem (tzv. tunelem). Pravidlo Virtual Private Network povoluje/zakazuje vytvᡠrení VPN protokolem PPTP (proprietární protokol firmy Microsoft).
128
VPN Virtuální privátní sít’ (VPN) je bezpeˇ cné propojení dvou lokálních sítí (resp. pˇ ripojení vzdáleného klienta do lokální sítˇ e) pˇ res Internet šifrovaným kanálem (tzv. tunelem). Pravidlo Virtual Private Network povoluje/zakazuje vytvᡠrení VPN protokolem PPTP (proprietární protokol firmy Microsoft). WWW World Wide Web (zkrácenˇ e WWW nebo web) je v souˇ casné dobˇ e nejpopulárnˇ ejší služba, která je na Internetu nabízena. Umožˇ nuje pˇ renášet soubory s multimediálním obsahem (texty, zvuky, obrazy).
129
130
Rejstˇ rík
A automatická aktualizace
8
B blokování chování aplikací 6, 86, 93 obecná pravidla 93 pravidla pro aplikace 94
D d˚ uvˇ eryhodná zóna 59 definice d˚ uvˇ eryhodné zóny
60
F filtrování obsahu WWW stránek 7, 97 definice pomocí regulárních výraz˚ u 101 definice pomocí zástupných znak˚ u 100 ochrana soukromí 102 pravidla pro filtrování reklam 98 výjimky 104
interní pravidla firewallu 80 DNS dotazy 81 komunikace Personal Firewall Engine s Personal Firewall GUI 81 komunikace Personal Firewall GUI s Personal Firewall Engine 80 kontrola nových verzí 81 odesílání výpis˚ u pamˇ eti 81 pravidla pro komponenty antivirového systému AVG 84 pravidla pro komponenty Kerio Personal Firewallu 83 pravidla pro souˇ cásti operaˇ cního systému 82 pravidla systémové bezpeˇ cnosti 82 registrace produktu 82 vzdálená konfigurace 80 záznam blokovaných pop-up a popunder oken 81 záznam na Syslog server 82
K H HIPS 7, 86, 90 injekce kódu 91 nastavení 90 pˇ reteˇ cení vyrovnávací pamˇ eti 91 upozornˇ ení na útoky na hostitelský operaˇ cní systém 35
I ICMP zprávy
Kerio Personal Firewall 6 deinstalace 11 instalace 10 konfliktní software 9 kontrola nových verzí 13, 46 poˇ cáteˇ cní konfigurace 12 systémové požadavky 8 upgrade 11 vzdálená správa 43, 49
72
131
Rejstˇ rík
N
S
NIPS 7, 85, 87 nastavení 87 nízkoúrovˇ nový ovladaˇ c 7, 63 nízkoúrovˇ nový ovladaˇ c pro kontrolu sít’ové komunikace 22 nízkoúrovˇ nový ovladaˇ c pro kontrolu útok˚ u na hostitelský systém 22
skupiny IP adres 77 spouštˇ ení aplikace 33 spouštˇ ení jiné aplikace 33 statistiky 8, 108 stavové informace 106 navázaná spojení 107 otevˇ rené porty 107 systém detekce útok˚ u IDS 51 sít’ové rozhraní 64
P paketový filtr 51, 68 pravidla 68 vytvoˇ rení pravidla 70 zmˇ ena pravidla 70 Personal Firewall Engine 22 Personal Firewall GUI 22 pravidla pro aplikace 51, 51, 52 pˇ reddefinovaná pravidla 51, 57 Broadcasts 59 DHCP 59 DNS 59 IGMP 58 Other ICMP packets 59 Ping and Tracert in, Ping and Tracert out 58 VPN 59
R registrace produktu 15, 16, 19 režim internetové brány 62 rychlé pˇ repínání uživatel˚ u 23
U upozornˇ ení na odchozí spojení 29
V vytᡠcená linka 65 kontrola vytᡠcených ˇ císel
Z zámˇ ena aplikace 33 záznamy 8, 63, 111 chování 118 debug 121 error 121 HIPS 117 NIPS 116 sít’ 71, 115 warning 121 WWW 119
132
65
133