Uživatelský manuál
Kerio Technologies
C 1997-2003 Kerio Technologies. Všechna práva vyhrazena.
Datum vydání: 24. listopadu 2003 Aktuální verze produktu: Kerio Personal Firewall 4.0.8. Zmˇ eny vyhrazeny.
Obsah
1
Úvod . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 1.1 Kerio Personal Firewall 4.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 1.2 Plná a volnˇ e šiˇ ritelná verze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 1.3 Systémové požadavky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 1.4 Konfliktní software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 1.5 Instalace, upgrade a odinstalování . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 1.6 Kontrola nových verzí . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 1.7 Poˇ cáteˇ cní konfigurace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2
Komponenty firewallu a základní ovládání . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1 Komponenty aplikace Kerio Personal Firewall . . . . . . . . . . . . . . . . . . . . . . . . 2.2 Ikona na nástrojové lištˇ e ............................................ 2.3 Registrace produktu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15 15 16 18
3
Chování firewallu a interakce s uživatelem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.1 Chování firewallu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2 Dialog Upozornˇ ení na spojení (zachycení neznámé komunikace) . . . . . . 3.3 Dialog Spouštˇ ení/Zámˇ ena/Spouštˇ ení jiné aplikace . . . . . . . . . . . . . . . . . . . . 3.4 Upozornˇ ení na událost . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
23 23 23 27 30
4
Konfigurace firewallu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.1 Konfiguraˇ cní okno . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.2 Vzdálená správa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.3 Pˇ redvolby . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
33 33 36 39
5
Pravidla pro sít’ovou komunikaci . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.1 Aplikace pravidel pro sít’ovou komunikaci . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.2 Pravidla pro aplikace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.3 Pˇ reddefinovaná pravidla pro sít’ovou komunikaci . . . . . . . . . . . . . . . . . . . . . 5.4 Definice d˚ uvˇ eryhodné zóny . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
43 43 44 48 49
6
Rozšíˇ rený paketový filtr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1 Pravidla paketového filtru . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.2 Skupiny IP adres . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
53 53 61
3
7
Kontrola spouštˇ ených aplikací (bezpeˇ cnost systému) . . . . . . . . . . . . . . . . . . . . . 7.1 Pravidla pro aplikace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.2 Obecná pravidla . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
65 65 67
8
Detekce útok˚ u ........................................................... 8.1 Nastavení systému detekce útok˚ u ....................................
69 69
9
Filtrování obsahu WWW stránek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.1 Blokování reklam, skript˚ u a pop-up oken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.2 Ochrana soukromí uživatele . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.3 Výjimky pro jednotlivé WWW servery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
73 73 77 79
10
Stavové informace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.1 Pˇ rehled spojení a otevˇ rených port˚ u .................................. 10.2 Statistiky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
81 81 83
11
Záznamy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.1 Prohlížení záznam˚ u ................................................. 11.2 Kontextové menu pro záznamy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.3 Volby pro záznamy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.4 Záznam Sít’ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.5 Záznam Systém . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.6 Záznam Útoky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.7 Záznam WWW . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.8 Záznamy Debug, Error a Warning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
85 85 86 87 88 89 90 91 93
12
Slovníˇ cek pojm˚ u .........................................................
95
13
Rejstˇ r´ık . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
97
4
Kapitola 1
Úvod
1.1 Kerio Personal Firewall 4.0 Kerio Personal Firewall je aplikace urˇ cená k ochranˇ e osobního poˇ cítaˇ ce pˇ red útoky ze sítˇ e (typicky z Internetu), viry a únikem dat. Tyto bezpeˇ cnostní funkce zajišt’ují ˇ ctyˇ ri hlavní moduly: Sít’ová bezpeˇ cnost Tento modul sleduje veškerou sít’ovou (resp. TCP/IP) komunikaci poˇ cítaˇ ce, na kterém je Kerio Personal Firewall nainstalován. Pro sít’ovou komunikaci m˚ uže uživatel definovat dva typy pravidel: • pravidla pro aplikace — pro každou aplikaci lze povolit nebo zakázat sít’ovou komunikaci, pˇ rípadnˇ e nastavit, aby se Kerio Personal Firewall dotázal uživatele. • pravidla paketového filtru — zkušenˇ ejší uživatelé mohou definovat detailní pravidla pro sít’ovou komunikaci (specifikace IP adres, protokol˚ u, port˚ u atd.). Tato pravidla mohou platit pro konkrétní aplikaci nebo obecnˇ e (pro libovolnou aplikaci). Kerio Personal Firewall obsahuje také sadu pˇ reddefinovaných pravidel pro sít’ovou komunikaci (napˇ r. pro DNS, DHCP apod.). Tato pravidla jsou oddˇ elená od uživatelsky definovaných pravidel a lze je jednoduše aktivovat ˇ ci vyˇ radit. Jestliže Kerio Personal Firewall zachytí komunikaci, pro kterou neexistuje odpovídající pravidlo, dotáže se uživatele, zda tuto komunikaci povolí ˇ ci zakáže. Na základˇ e odpovˇ edi uživatele m˚ uže být automaticky vytvoˇ reno pravidlo pro aplikaci nebo pravidlo paketového filtru. Bezpeˇ cnost systému Modul Bezpeˇ cnost systému kontroluje spouštˇ ení aplikací v operaˇ cním systému. Sledovány jsou tˇ ri typy událostí: • spuštˇ ení aplikace • zmˇ ena ve spustitelném souboru aplikace od posledního spuštˇ ení (zámˇ ena aplikace) • spuštˇ ení jiné aplikace bˇ ežící aplikací
5
Kapitola 1 Úvod
Podobnˇ e jako v pˇ rípadˇ e sít’ové komunikace lze definovat pravidla pro jednotlivé aplikace, která pˇ ríslušnou akci povolují nebo zakazují, pˇ rípadnˇ e vyžadují reakci uživatele. Pokud neexistuje odpovídající pravidlo, Kerio Personal Firewall se dotáže uživatele, zda spuštˇ ení aplikace povolí ˇ ci zakáže. Poznámka: Kerio Personal Firewall 4.0 (narozdíl od starších verzí) kontroluje spouštˇ ení všech aplikací, bez ohledu na to, zda se úˇ castní sít’ové komunikace. V pˇ rípadˇ e infikace virem reaguje spolehlivˇ eji než antivirový program (jedná-li se o nový virus, který dosud není ve virové databázi, antivirus jej nezachytí — Kerio Personal Firewall však vždy pozná, že došlo ke zmˇ enˇ e spustitelného souboru a upozorní uživatele). Detekce útok˚ u Systém detekce útok˚ u (IDS — Intrusion Detection System) dokáže rozpoznat, blokovat a zaznamenat známé typy útok˚ u. K tomuto úˇ celu má Kerio Personal Firewall databázi známých útok˚ u, která je pravidelnˇ e aktualizována (aktualizace je vždy zaˇ clenˇ ena do nové verze produktu). Filtrování obsahu WWW stránek Modul pro filtrování obsahu umožˇ nuje: • blokování reklam (dle pravidel pro URL), skript˚ u a dalších prvk˚ u WWW stránek • blokování pop-up oken • blokování skript˚ u (JavaScript, VB Script) • ochranu pˇ red ukládáním nežádoucích cookies a odesíláním privátních dat Pro d˚ uvˇ eryhodné servery ˇ ci pˇ rípady, kdy filtrování zp˚ usobí nefunkˇ cnost urˇ citých stránek, je možno definovat výjimky (specifická nastavení). Mezi další významné funkce a vlastnosti Kerio Personal Firewallu patˇ rí: Blokování veškeré komunikace Kerio Personal Firewall umožˇ nuje jedním tlaˇ cítkem (resp. volbou z menu) zablokovat sít’ovou komunikaci poˇ cítaˇ ce, na kterém je nainstalován (tzv. sít’ový zámek). Tuto funkci lze použít pˇ ri zjištˇ ení podezˇ relé ˇ ci nežádoucí sít’ové aktivity — po provedení pˇ ríslušných opatˇ rení m˚ uže být komunikace opˇ et povolena. Logování Každý z modul˚ u firewallu vytvᡠrí vlastní záznam (log), který se ukládá jako soubor v textovém formátu. Záznamy lze prohlížet pˇ rímo v konfiguraˇ cním oknˇ e Kerio Personal Firewallu. Volitelnˇ e je možno záznamy také odesílat na Syslog server. Pˇ rehled spojení a statistiky Pˇ rehled spojení dává uživateli informaci o navázaných spojeních a portech otevˇ rených jednotlivými aplikacemi. U spojení se rovnˇ ež zobrazuje aktuální pˇ renosová rychlost a celkový objem pˇ renesených dat v každém smˇ eru. Seznam je automaticky obnovován v pravidelných intervalech.
6
1.2 Plná a volnˇ e šiˇ ritelná verze
Statistiky informují uživatele o poˇ ctu objekt˚ u blokovaných WWW filtrem, poˇ ctu zachycených privátních informací a poˇ ctu detekovaných útok˚ u za zvolené ˇ casové období. Automatická aktualizace Kerio Personal Firewall pravidelnˇ e kontroluje, zda není k dispozici novˇ ejší verze, a pokud ano, nabídne uživateli její stažení a instalaci. Kontrolu nové verze lze také kdykoliv provést ruˇ cnˇ e. Upozornˇ ení: Žádná z verzí tohoto produktu nem˚ uže být provozována na operaˇ cních systémech serverového typu (tj. Windows NT Server, Windows 2000 Server a Windows Server 2003).
1.2 Plná a volnˇ e šiˇ ritelná verze Kerio Personal Firewall je k dispozici ve dvou verzích: plné (placené) a volnˇ e šiˇ ritelné. Instalaˇ cní balík je pro obˇ e verze spoleˇ cný. Po instalaci se produkt chová jako demoverze (tj. plná verze s ˇ casovým omezením na 30 dn˚ u). Pokud nebude produkt bˇ ehem této doby zaregistrován, stává se z nˇ ej volnˇ e šiˇ ritelná verze. Zakoupením licence a registrací produktu se z instalované demoverze nebo volnˇ e šiˇ ritelné verze stává plná verze (podrobnosti viz kapitola 2.3). Volnˇ e šiˇ ritelná verze má oproti plné verzi tato omezení: • M˚ uže být použita pouze pro osobní a/nebo nekomerˇ cní úˇ cely. • Není funkˇ cní filtrování obsahu WWW stránek, vˇ cetnˇ e pˇ ríslušných záznam˚ u a statistik (viz kapitola 9). • Nem˚ uže být použita na internetové bránˇ e (viz kapitola 4.3). • Záznamy nelze odesílat na Syslog server (viz kapitola 11.3). • Konfiguraci nelze ochránit heslem a není možná vzdálená správa.
Technická podpora Na produkt Kerio Personal Firewall je standardnˇ e poskytována pouze e-mailová technická podpora. Majitelé licence pro více než 1 poˇ cítaˇ c (multilicence) mají rovnˇ ež nárok na telefonickou technickou podporu. Kontakt naleznete na WWW stránkách http://www.kerio.com/.
7
Kapitola 1 Úvod
1.3 Systémové požadavky Pro instalaci aplikace Kerio Personal Firewall je požadováno: • CPU Intel Pentium nebo 100% kompatibilní • 64 MB RAM • 8 MB místa na disku (pouze pro instalaci; doporuˇ cujeme dalších minimálnˇ e 10 MB pro soubory záznam˚ u) • operaˇ cní systém Windows 98 / Me / NT 4.0 / 2000 / XP
1.4 Konfliktní software Kerio Personal Firewall vykazuje konflikty s urˇ citými druhy aplikací, které používají stejné nebo podobné technologie. Pˇ ri kombinaci s níže uvedenými aplikacemi nezaruˇ cujeme správnou funkci Kerio Personal Firewallu ani operaˇ cního systému. Neinstalujte Kerio Personal Firewall na tentýž operaˇ cní systém spoleˇ cnˇ e s tˇ emito aplikacemi: Personální firewally Osobní firewally (napˇ r. Internet Connection Firewall — souˇ cást Windows XP, Zone Alarm, Sygate Personal Firewall, Norton Personal Firewall apod.) poskytují obdobnou funkˇ cnost jako Kerio Personal Firewall. Rozhodnete-li se používat Kerio Personal Firewall, nekombinujte jej s dalšími firewally. Sít’ové firewally Sít’ový firewall (napˇ r. Kerio WinRoute Firewall, Kerio WinRoute Pro, Kerio WinRoute Lite, Microsoft ISA Server, CheckPoint Firewall-1, WinProxy firmy Ositis, Sygate Office Network a Sygate Home Network atd.) sám chrání také poˇ cítaˇ c, na kterém je nainstalován, a proto není tˇ reba jej doplˇ novat personálním firewallem. Poznámka: Kerio Personal Firewall m˚ uže být kombinován se smˇ erovaˇ cem, se smˇ erovaˇ cem provádˇ ejícím pˇ reklad IP adres (NAT) nebo proxy serverem — napˇ r. Internet Connection Sharing (Sdílené internetového pˇ ripojení — souˇ cást novˇ ejších verzí operaˇ cního systému Windows) za úˇ celem vytvoˇ rení jednoduchého sít’ového firewallu. Podrobné informace naleznete v kapitole 4.3.
8
1.5 Instalace, upgrade a odinstalování
1.5 Instalace, upgrade a odinstalování Instalace Instalaci provedete jednoduše spuštˇ ením instalaˇ cního programu (napˇ r. kerio-pf4.0.0-en-win.exe). Bˇ ehem instalace m˚ užete vybrat adresᡠr, do kterého bude aplikace Kerio Personal Firewall nainstalována (standardnˇ e C:\Program Files\Kerio\Personal Firewall 4). Po instalaci je tˇ reba systém restartovat, aby byl zaveden nízkoúrovˇ nový ovladaˇ c Kerio Personal Firewallu. Poznámka: V operaˇ cních systémech Windows 98, Me, NT 4.0 a 2000 m˚ uže být vyžadována aktualizace systémového instalátoru (Windows Installer), pokud již nebyl aktualizován dˇ ríve (napˇ r. pˇ ri instalaci jiné aplikace). Velikost této aktualizace je cca 1.8 MB. Aktualizaci instalátoru je tˇ reba stáhnout a nainstalovat, jinak nelze v instalaci aplikace Kerio Personal Firewall pokraˇ covat! Poznámka: Pˇ ri instalaci se v operaˇ cních systémech typu Windows NT zapíná vytvᡠrení výpisu pamˇ eti v pˇ rípadˇ e havárie systému. Výpis pamˇ eti m˚ uže uživatel odeslat do firmy Kerio Technologies — jeho analýza m˚ uže pomoci k nalezení a odstranˇ ení chyby, která havárii operaˇ cního systému zp˚ usobila. Po zaškrtnutí pˇ ríslušné volby (viz kapitola 4.3) se v operaˇ cním systému nastaví generování výpisu pamˇ eti.
Upgrade Instalace nové verze, resp. oprava stávající instalace se provádí stejným zp˚ usobem jako nová instalace (viz výše). Spuštˇ ené komponenty aplikace není tˇ reba ukonˇ covat — instalaˇ cní program je zastaví sám. Poznámka: Kerio Personal Firewall má vestavˇ ený mechanismus pro automatickou kontrolu a stahování nových verzí (podrobnosti viz kapitola 1.6).
Odinstalování Kerio Personal Firewall lze odinstalovat pomocí nástroje Pˇ ridat nebo odebrat programy (Add / Remove programs) v Ovládacích panelech (Control Panel). Pˇ ri odinstalování nebudou smazány soubory, které vznikly až za bˇ ehu aplikace (tj. konfiguraˇ cní soubory,
9
Kapitola 1 Úvod
záznamy atd.). Ty je tˇ reba smazat ruˇ cnˇ e, pˇ rípadnˇ e mohou z˚ ustat uchovány pro další instalaci.
1.6 Kontrola nových verzí Kerio Personal Firewall automaticky kontroluje, zda je k dispozici novˇ ejší verze, a pokud ano, nabídne ji uživateli ke stažení. Kontrola nové verze se provádí pˇ ri každém spuštˇ ení Personal Firewall Engine a pak pravidelnˇ e v intervalu 24 hodin. Kontrolu nové verze lze také kdykoliv spustit ruˇ cnˇ e tlaˇ cítkem Zjistit ted’ v sekci Pˇ rehled / Pˇ redvolby konfiguraˇ cního okna Kerio Personal Firewallu (podrobnosti viz kapitola 4.3). Je-li verze Kerio Personal Firewallu na vašem poˇ cítaˇ ci aktuální, spojení se serverem se ukonˇ cí a naplánuje se pˇ ríští kontrola nové verze. V opaˇ cném pˇ rípadˇ e je zobrazen dialog s informacemi o nové verzi.
Stisknutím tlaˇ cítka Další se zahájí stahování nové verze. Kerio Personal Firewall vždy kontroluje signaturu staženého souboru — tím je zajištˇ eno, že stažený soubor je skuteˇ cnˇ e originální (nejedná se o podvrh, není napaden virem, poškozen atd.). Po stažení nové verze se spustí instalaˇ cní program. Po instalaci je tˇ reba poˇ cítaˇ c restartovat.
10
1.7 Poˇ cáteˇ cní konfigurace
Tlaˇ cítkem Storno lze stahování, resp. instalaci nové verze zrušit. V takovém pˇ rípadˇ e nebude tato aktualizace znovu automaticky nabízena — lze ji však kdykoliv spustit ruˇ cnˇ e. Pˇ ri nalezení další nové verze Kerio Personal Firewall opˇ et nabídne aktualizaci automaticky. Podrobnosti o instalaci aplikace Kerio Personal Firewall naleznete v kapitole 1.5. Poznámka: Kerio Personal Firewall má speciální interní pravidla, která vždy povolují pˇ rístup na server pro aktualizaci a registraci produktu. Uživatel tedy nem˚ uže nevhodným nastavením firewallu automatickou aktualizaci zablokovat.
1.7 Poˇ cáteˇ cní konfigurace Pˇ ri prvním spuštˇ ení (tj. po instalaci) detekuje Kerio Personal Firewall aktivní sít’ová rozhraní poˇ cítaˇ ce, na kterém je nainstalován. Pro každé rozhraní zobrazí dotaz, zda je toto rozhraní pˇ ripojeno do d˚ uvˇ eryhodné sítˇ eˇ ci nikoliv. D˚ uvˇ eryhodná sít’ je taková sít’, o které uživatel pˇ redpokládá, že komunikace s poˇ cítaˇ ci v ní je bezpeˇ cná. Typicky se jedná o lokální sít’, která je proti pr˚ uniku z Internetu chránˇ ena sít’ovým firewallem. Kerio Personal Firewall umožˇ nuje definovat r˚ uzné akce pro d˚ uvˇ eryhodnou sít’ a pro zbytek Internetu (podrobnosti viz kapitola 5.4).
V poli Jméno je uveden název pˇ ríslušného sít’ového adaptéru, v položce Adresa jeho IP adresa a maska subsítˇ e, do které je pˇ ripojen. Stisknutím tlaˇ cítka Ano, je se subsít’, do níž je rozhraní pˇ ripojeno, zaˇ radí do skupiny d˚ uvˇ eryhodných IP adres (D˚ uvˇ eryhodná zóna). Tlaˇ cítko Ne, není zp˚ usobí, že tato subsít’ bude považována za souˇ cást Internetu.
11
Kapitola 1 Úvod
Poznámky: 1.
Nastavení skupiny d˚ uvˇ eryhodných IP adres lze kdykoliv pozmˇ enit (detailní informace naleznete v kapitole 5.4).
2.
Je-li kdykoliv pozdˇ eji pˇ ridáno ˇ ci aktivováno další rozhraní nebo je rozhraní pˇ repojeno do jiné subsítˇ e, Kerio Personal Firewall jej rovnˇ ež automaticky detekuje a zobrazí výše popsaný dialog.
3.
V pˇ rípadˇ e vytᡠcené linky se také kontroluje, zda od posledního vytoˇ cení nedošlo ke zmˇ enˇ e telefonního ˇ císla. Jestliže Kerio Personal Firewall detekuje zmˇ enu ˇ císla, dotáže se uživatele, zda tuto zmˇ enu akceptuje. Toto je ochrana proti nežádoucí zmˇ enˇ e parametr˚ u telefonického pˇ ripojení (napˇ r. ActiveX objektem na WWW stránce). Upozornˇ ení na nové telefonní ˇ císlo (nové telefonické pˇ ripojení):
Upozornˇ ení na zmˇ enu telefonního ˇ císla již existujícího telefonického pˇ ripojení: V poli Telefonní ˇ císlo je uvedeno nové telefonní ˇ císlo (tzn. telefonní ˇ císlo, které je nyní v pˇ ríslušném telefonickém pˇ ripojení nastaveno). Pole Adaptér zobrazuje název telefonického pˇ ripojení. Po stisknutí tlaˇ cítka Ano, pokraˇ covat Kerio Personal Firewall zmˇ enu ˇ císla akceptuje a povolí vytoˇ cení linky. Tlaˇ cítko Ne, zavˇ esit znamená zamítnutí zmˇ eny — linka bude zavˇ ešena.
12
1.7 Poˇ cáteˇ cní konfigurace
13
Kapitola 1 Úvod
14
Kapitola 2
Komponenty firewallu a základní ovládání
2.1 Komponenty aplikace Kerio Personal Firewall Nízkoúrovˇ nový ovladaˇ c Zavádí se do jádra operaˇ cního systému pˇ ri jeho startu. Je umístˇ en mezi ovladaˇ ci sít’ových rozhraní a TCP/IP subsystémem a zachytává a zpracovává veškerou pˇ rijatou ˇ ci vysílanou IP komunikaci. Nízkoúrovˇ nový ovladaˇ c je uložen v systémovém adresᡠri Windows: • v operaˇ cních systémech Windows NT a Windows 2000 typicky v adresᡠri C:\WINNT\system32\drivers (soubor fwdrv.sys) • v operaˇ cním systému Windows XP typicky v adresᡠri C:\WINDOWS\system32\drivers (soubor fwdrv.sys) • v operaˇ cních systémech Windows 98 a Windows Me typicky v adresᡠri C:\WINDOWS\system (soubor fwdrv.vxd) Personal Firewall Engine Vlastní výkonné jádro Kerio Personal Firewallu. Bˇ eží jako služba nebo jako skrytá aplikace (Windows 98 a Me). Služba Personal Firewall Engine je uložena v souboru kpf4ss.exe v instalaˇ cním adresᡠri aplikace Kerio Personal Firewall. Souˇ cástí Personal Firewall Engine je také tzv. rozhraní ovladaˇ ce, které je uloženo v samostatném souboru kfe.dll. Personal Firewall GUI Uživatelské rozhraní aplikace Kerio Personal Firewall (GUI — Graphical User Interface). Komponentu Personal Firewall GUI spouští automaticky služba Personal Firewall Engine (pˇ ri svém startu a dále v každém okamžiku, kdy detekuje, že uživatelské rozhraní nebˇ eží). Po spuštˇ ení se Personal Firewall GUI zobrazuje jako ikona tvaru štítu v pravé ˇ cásti nástrojové lišty (System Tray). Pomocí ikony v System Tray lze otevˇ rít konfiguraˇ cní okno aplikace Kerio Personal Firewall, pˇ rípadnˇ e vyvolat nˇ ekteré další funkce (zablokování sít’ové komunikace, deaktivace firewallu atd.). Podrobnosti naleznete v kapitole 2.2.
15
Kapitola 2 Komponenty firewallu a základní ovládání
Komponenta Personal Firewall GUI je reprezentována souborem kpf4gui.exe v instalaˇ cním adresᡠri aplikace Kerio Personal Firewall. Modul pro obsluhu horkých kláves Tento modul je zodpovˇ edný za doˇ casné vypínání filtru pop-up oken pomocí horké klávesy (viz kapitola 9.1). Jedná se o soubor gkh.dll. Nástroj pro odesílání výpis˚ u pamˇ eti Asistenˇ cní nástroj, který zajišt’uje odeslání výpisu pamˇ eti pˇ ri pádu aplikace Kerio Personal Firewall do firmy Kerio Technologies. Nachází se v souboru assist.exe.
Podpora rychlého pˇ repínání uživatel˚ u Kerio Personal Firewall má vestavˇ enou podporu pro tzv. rychlé pˇ repínání uživatel˚ u ve Windows XP (Fast User Switching). Personal Firewall GUI m˚ uže bˇ ežet ve více instancích. Personal Firewall Engine vždy komunikuje s tou instancí, která náleží aktivnímu uživateli.. Po startu operaˇ cního systému a služby Personal Firewall Engine se spustí první instance, která bˇ eží pod systémovým úˇ ctem (resp. pod úˇ ctem, pod kterým se spouští služba Personal Firewall Engine). Pˇ ri pˇ rihlášení uživatele se spustí nová instance Personal Firewall GUI , která bˇ eží s právy tohoto uživatele. Tato instance je aktivní až do odhlášení uživatele (v tom pˇ rípadˇ e je ukonˇ cena), pˇ rípadnˇ e do pˇ repnutí uživatel˚ u (pak je pouze deaktivována).
2.2 Ikona na nástrojové lištˇ e Ikona aplikace Kerio Personal Firewall v pravé ˇ cásti nástrojové lišty (System Tray) je zobrazena vždy, když bˇ eží komponenta Personal Firewall GUI . Tuto komponentu spouští automaticky služba Personal Firewall Engine. Ikona Kerio Personal Firewallu zobrazuje také sít’ovou aktivitu poˇ cítaˇ ce, na kterém je firewall nainstalován. Sít’ová aktivita je zobrazována barevnými sloupci v dolní ˇ cásti ikony:
16
2.2 Ikona na nástrojové lištˇ e
• zelený sloupec — odchozí (vysílaná) komunikace • ˇ cervený sloupec — pˇ ríchozí (pˇ rijímaná) komunikace Dvojitým kliknutím na ikonu levým tlaˇ cítkem myši se otevˇ re konfiguraˇ cní okno aplikace Kerio Personal Firewall (nastavení firewallu bude podrobnˇ e popsáno v kapitole 4). Po kliknutí na ikonu pravým tlaˇ cítkem myši se zobrazí menu s tˇ emito funkcemi:
Zakázat firewall Deaktivace firewallu. Tato funkce vypíná všechny moduly Kerio Personal Firewallu — tj. filtrování sít’ové komunikace, sledování spouštˇ ených aplikací, detekci útok˚ u a filtrování obsahu WWW stránek. Volba Zakázat firewall je urˇ cena pro krátkodobé vyˇ razení firewallu, typicky pro úˇ cely testování ˇ ci odstraˇ nování problém˚ u (napˇ r. nefunkˇ cnost sít’ového pˇ ripojení). Nedoporuˇ cujeme ponechávat volbu Disable Firewall trvale zapnutou — firewall je pak neúˇ cinný a váš poˇ cítaˇ c není chránˇ en. Je-li Kerio Personal Firewall deaktivován, ikona na nástrojové lištˇ e je ˇ cervenˇ e pˇ reškrtnutá.
Výbˇ erem funkce Zakázat firewall se volba v menu se zmˇ ení na Povolit firewall — výbˇ erem této volby dojde k opˇ etovné aktivaci firewallu. Odpojit sít’ Zablokování veškeré sít’ové komunikace (tzv. sít’ový zámek). Blokování sít’ové komunikace je signalizováno symbolem „jednosmˇ erná ulice“ na ikonˇ e Kerio Personal Firewallu.
17
Kapitola 2 Komponenty firewallu a základní ovládání
Po aktivaci funkce Odpojit sít’ se volba v menu zmˇ ení na Zapojit sít’ — výbˇ erem této volby dojde k opˇ etovnému povolení komunikace dle aktuálního nastavení firewallu. TIP: Funkce Odpojit sít’ m˚ uže být užiteˇ cná napˇ r. v pˇ rípadˇ e, kdy omylem došlo k povolení sít’ové komunikace, která mˇ ela být zakázána. Volba Odpojit sít’ pozastaví aktuální spojení a zabrání navázání dalších spojení. Bylo-li vytvoˇ reno komunikaˇ cní pravidlo (tj. zaškrtnuta volba Vytvoˇ rit pravidlo pro tuto komunikaci), m˚ užete jej smazat (viz kapitola 5.2, resp. 6) a poté komunikaci opˇ et povolit. Poznámka: Pˇ ri startu služby Personal Firewall Engine se volby Zakázat firewall a Odpojit sít’ vždy nastaví do výchozího stavu. Z bezpeˇ cnostních d˚ uvod˚ u není žádoucí, aby byl firewall po startu neaktivní. Blokování veškeré komunikace by mohlo zp˚ usobit problémy napˇ r. s pˇ rihlašováním uživatel˚ u. Konfigurace Tato volba otevírá konfiguraˇ cní okno aplikace Kerio Personal Firewall. Konfigurace firewallu je detailnˇ e popsána v kapitole 4. Registrovat Spuštˇ ení pr˚ uvodce registrací produktu (podrobnosti viz kapitola 2.3). Je-li Kerio Personal Firewall již registrován, tato položka se v menu nezobrazuje. O aplikaci Okno s informacemi o verzích jednotlivých komponent Kerio Personal Firewallu a licenci, pˇ rípadnˇ e datu skonˇ cení funkˇ cnosti ˇ casovˇ e omezené verze. Ukonˇ cit Ukonˇ cení aplikace. Tato volba zastaví službu Personal Firewall Engine a ukonˇ cí všechny instance Personal Firewall GUI (tzn. uzavˇ rou se všechna otevˇ rená okna aplikace a skryje se ikona na nástrojové lištˇ e). Je-li v tomto okamžiku zobrazen alespoˇ n jeden dialog (napˇ r. Upozornˇ ení na spojení ), ˇ ceká se na jeho potvrzení uživatelem. Upozornˇ ení: Ukonˇ cením aplikace Kerio Personal Firewall pˇ restává být váš poˇ cítaˇ c chránˇ en! Kerio Personal Firewall lze znovu aktivovat spuštˇ ením služby v ovládacím panelu Nástroje pro správu / Služby (Administrative Tools / Services). Je-li pˇ rístup ke správˇ e firewallu chránˇ en heslem a uživatel je pˇ rihlášen, pak je kontextové menu rozšíˇ reno o položku Odhlásit. Podrobné informace naleznete v kapitole 4.2.
2.3 Registrace produktu Zakoupenou licenci produktu Kerio Personal Firewall je tˇ reba registrovat. Registrací se aktivují funkce, které nejsou ve volnˇ e šiˇ ritelné verzi dostupné (viz kapitola 1.2).
18
2.3 Registrace produktu
Poznámka: Produkt Kerio Personal Firewall je poskytován zdarma pro osobní a nekomerˇ cní použití. V takovém pˇ rípadˇ e není nutné registraci provádˇ et. Po uplynutí 30 dn˚ u od instalace se však Kerio Personal Firewall zaˇ cne chovat jako omezená verze — viz kapitola 1.2 Registraci Kerio Personal Firewallu lze provést pomocí Pr˚ uvodce registrací . Pr˚ uvodce se spustí volbou Registrovat z kontextového menu ikony na nástrojové lištˇ e (viz kapitocítka Registrovat... v konfiguraˇ cním oknˇ e nebo v dialogu O aplikaci la 2.2), stisknutím tlaˇ Kerio Personal Firewall (tento dialog se otevírá volbou O aplikaci z výše uvedeného menu).
V prvním kroku pr˚ uvodce je tˇ reba vyplnit registraˇ cní ˇ císlo získané pˇ ri zakoupení produktu (Registraˇ cní klíˇ c ). Ve druhém kroku jsou požadovány informace o spoleˇ cnosti nebo osobˇ e, na kterou je produkt registrován. Položky Firma / jméno (název spoleˇ cnosti nebo jméno osoby), Stát a E-mail (kontaktní e-mailová adresa) jsou povinné, tzn. musejí být vyplnˇ eny. Ostatní položky jsou volitelné.
19
Kapitola 2 Komponenty firewallu a základní ovládání
Po stisknutí tlaˇ cítka Další naváže Kerio Personal Firewall spojení s registraˇ cním serveˇ rem, ovˇ erí správnost zadaných údaj˚ u a automaticky stáhne licenˇ cní klíˇ c (digitální certifikát). Ve tˇ retím kroku pr˚ uvodce se zobrazí informace o výsledku registrace. Jedná-li se o ˇ casovˇ e omezenou licenci, zobrazí se datum skonˇ cení platnosti licence (Vypršení licence) a skonˇ cení pˇ redplatného (Vypršení pˇ redplatného) — tj. nároku na bezplatné aktualizace produktu. Stisknutím tlaˇ cítka Dokonˇ cit se pr˚ uvodce ukonˇ cí. Poznámka: Pˇ ri dalším otevˇ rení dialogu O aplikaci Kerio Personal Firewall se v levém dolním rohu okna namísto tlaˇ cítka Registrovat... zobrazí tlaˇ cítko Licence..., které otevírá okno s informacemi o licenci: • Sériové ˇ císlo — sériové ˇ císlo produktu • Spoleˇ cnost — spoleˇ cnost, na kterou je produkt registrován • E-mail — kontaktní e-mailová adresa
20
2.3 Registrace produktu
• Vypršení licence — datum skoˇ cení platnosti licence (nikdy = platnost licence není ˇ casovˇ e omezena) • Vypršení pˇ redplatného — datum skonˇ cení platnosti pˇ redplatného, tj. nároku na bezplatné automatické aktualizace produktu
21
Kapitola 2 Komponenty firewallu a základní ovládání
22
Kapitola 3
Chování firewallu a interakce s uživatelem
3.1 Chování firewallu Pˇ ri komunikaci v síti Internet se používají protokoly sady TCP/IP. Tyto protokoly jsou pˇ revážnˇ e používány i pro komunikaci v lokálních sítích. Základním (nosným) protokokolem je IP (Internet Protocol), jehož pakety nesou veškeré další informace (zapouzdˇ rují v sobˇ e ostatní protokoly). Kerio Personal Firewall má úplnou kontrolu nad všemi IP pakety — tzn. je schopen je zachytit, zjistit z nich potˇ rebné informace a poté je propustit nebo filtrovat. Samozˇ rejmostí je také vytvᡠrení záznam˚ u o provádˇ ených akcích, detekovaných útocích apod. Základním principem ˇ cinnosti Kerio Personal Firewallu je tzv. stavová inspekce. Probíháli komunikace protokolem TCP, pak je o každém povoleném spojení vytvoˇ ren záznam, a firewall propustí pouze pakety patˇ rící do tohoto spojení. Kerio Personal Firewall pracuje v tzv. samouˇ cícím režimu. Pˇ ri zachycení dosud neznámé sít’ové komunikace se zobrazí dialogové okno, ve kterém m˚ uže uživatel pˇ ríslušnou komunikaci povolit ˇ ci zakázat, a to jednorázovˇ e nebo trvale. Pro trvale povolenou ˇ ci zakázanou komunikaci se automaticky vytvoˇ rí odpovídající pravidlo a pˇ ri pˇ ríštím zachycení této komunikace se již Kerio Personal Firewall uživatele nedotazuje. Detaily naleznete v kapitolách 3.2 a 6. Filtrovacími pravidly m˚ uže uživatel (resp. administrátor) specifikovat další podmínky pro filtrování komunikace. Vždy jsou ale propuštˇ eny jen takové pakety, které vyhovují definovaným kritériím. Obdobným zp˚ usobem Kerio Personal Firewall postupuje také pˇ ri kontrole spouštˇ ených aplikací (podrobnosti viz kapitola 7.1).
3.2 Dialog Upozornˇ ení na spojení (zachycení neznámé komunikace) Dialog Upozornˇ ení na spojení (dotaz na povolení ˇ ci zákaz komunikace) informuje uživatele o tom, že Kerio Personal Firewall zachytil dosud neznámou komunikaci a oˇ cekává jeho rozhodnutí, zda tuto komunikaci povolit ˇ ci zakázat, pˇ rípadnˇ e vytvoˇ rit odpovídající komunikaˇ cní pravidlo. Poznámka: Chování Kerio Personal Firewallu pˇ ri zachycení sít’ové komunikace urˇ cují volby a pravidla v sekci Sít’ová bezpeˇ cnost (viz kapitoly 5.2 a 5.3). Dialog Upozornˇ ení na
23
Kapitola 3 Chování firewallu a interakce s uživatelem
spojení se zobrazuje v pˇ rípadech, kdy neexistuje odpovídající pravidlo nebo pravidlo explicitnˇ e vyžaduje dotázat se uživatele. Tento dialog je zobrazen vždy nad okny ostatních aplikací („Always on Top“). Je-li zachyceno více událostí (tj. více pokus˚ u o navázání spojení nebo spuštˇ ení aplikací — viz kapitola 3.3) souˇ casnˇ e, pak se tyto události ˇ radí do fronty — teprve po potvrzení jednoho dialogu se zobrazí další; nikdy se nezobrazuje více dialog˚ u Upozornˇ ení na spojení souˇ casnˇ e.
Dialog Upozornˇ ení na spojení obsahuje následující informace a volby: Smˇ er komunikace a zóna Barevný pruh v horní ˇ cásti dialogu informuje uživatele o smˇ eru komunikace (pˇ ríchozí nebo odchozí) a zónˇ e, do které patˇ rí vzdálený poˇ cítaˇ c (d˚ uvˇ eryhodné IP adresy nebo Internet).
24
3.2 Dialog Upozornˇ ení na spojení (zachycení neznámé komunikace)
Barva pruhu a text pˇ red závorkou urˇ cuje smˇ er navazovaného spojení: • Upozornˇ ení na odchozí spojení — odchozí spojení (tzn. navazované z lokálního poˇ cítaˇ ce na vzdálený). Odchozí spojení je signalizováno zelenou barvou. • Upozornˇ ení na pˇ ríchozí spojení — pˇ ríchozí spojení (tzn. navazované ze vzdáleného poˇ cítaˇ ce na lokální). Pˇ ríchozí spojení je signalizováno ˇ cervenou barvou. V závorce je uvedena zóna, do které patˇ rí IP adresa vzdáleného poˇ cítaˇ ce: • D˚ uvˇ eryhodná zóna — skupina d˚ uvˇ eryhodných IP adres (podrobnosti viz kapitola 5.4) • Internet — „zbytek svˇ eta“ (tj. libovolná IP adresa, která nepatˇ rí do skupiny D˚ uvˇ eryhodná zóna) Lokální aplikace a vzdálený konec spojení Pod barevným pruhem s informací o smˇ eru komunikace jsou uvedeny struˇ cné informace o navazovaném spojení:
• ikona a popis aplikace na lokálním poˇ cítaˇ ci. Není-li popis k dispozici, zobrazí se jméno spustitelného souboru aplikace. Nemá-li aplikace svoji ikonu, použije se standardní systémová ikona pro spustitelné soubory. • DNS jméno vzdáleného poˇ cítaˇ ce a jeho IP adresa (v hranatých závorkách). Poznámka: DNS jména poˇ cítaˇ cu ˚ se zjišt’ují dotazováním DNS. V závislosti na rychlosti odezvy m˚ uže být po nˇ ejakou dobu zobrazena pouze IP adresa daného poˇ cítaˇ ce. Pokud neexistuje odpovídající DNS záznam, z˚ ustane trvale zobrazena pouze IP adresa. Pˇ revod IP adres na DNS jména lze globálnˇ e vypnout/zapnout napˇ r. v kontextovém menu okna Overview / Connections (viz kapitola 10.1) • vzdálený port (jedná-li se o standardní službu, zobrazí se její jméno a ˇ císlo portu v hranatých závorkách; jinak ˇ císlo portu bez závorek) Pˇ ri umístˇ ení kurzoru myši na popis aplikace se jako nápovˇ edný text (tooltip) zobrazí úplná cesta k spustitelnému souboru aplikace.
25
Kapitola 3 Chování firewallu a interakce s uživatelem
Volba akce Nejd˚ uležitˇ ejší ˇ cástí dialogu je volba akce, tedy povolení ˇ ci zakázání pˇ ríslušné komunikace.
• Tlaˇ cítko Povolit povolí danou komunikaci. • Tlaˇ cítko Zakázat zakáže danou komunikaci. • Volba Vytvoˇ rit pravidlo pro tuto komunikaci a pˇ ríštˇ e se již nedotazovat zp˚ usobí vytvoˇ rení komunikaˇ cního pravidla na základˇ e zachycené komunikace. Akce v pravidle bude nastavena podle toho, které tlaˇ cítko bylo stisknuto (Povolit nebo Zakázat). Pˇ ri pˇ ríštím zachycení stejné komunikace se již Kerio Personal Firewall nebude dotazovat uživatele, ale provede akci dle vytvoˇ reného komunikaˇ cního pravidla. Poznámka: Vytvoˇ rené komunikaˇ cní pravidlo lze kdykoliv pozdˇ eji upravit nebo odstranit v konfiguraˇ cním oknˇ e Kerio Personal Firewallu v sekci Sít’ová bezpeˇ cnost, záložka Aplikace. Podrobnosti naleznete v kapitole 5.2. • Tlaˇ cítko Podrobnosti zobrazí pole s podrobnými informacemi o navazovaném spojení a lokální aplikaci. Opˇ etovným stisknutím tohoto tlaˇ cítka se podrobné informace skryjí. Následující ˇ cásti dialogu se zobrazí po stisknutí tlaˇ cítka Podrobnosti. Detailní informace o spojení a lokální aplikaci V poli Podrobnosti jsou uvedeny podrobné informace o spojení (smˇ er, protokol, lokální a vzdálená IP adresa, lokální a vzdálený port) a lokální aplikaci, která se komunikace úˇ castní (jméno spustitelného souboru aplikace vˇ cetnˇ e plné cesty, popis aplikace, datum vytvoˇ rení, poslední zmˇ eny a posledního ˇ ctení spustitelného souboru).
26
3.3 Dialog Spouštˇ ení/Zámˇ ena/Spouštˇ ení jiné aplikace
Vytvoˇ rení rozšíˇ reného pravidla
Zaškrtnutím volby Vytvoˇ rit pravidlo rozšíˇ reného paketového filtru bude namísto standardního pravidla pro aplikaci (viz kapitola 5.2) vytvoˇ reno pravidlo paketového filtru, umožˇ nující detailnˇ e nastavit parametry komunikace (IP adresy, porty atd.), lokální aplikaci, ˇ casovou platnost atd. Tlaˇ cítko Rozšíˇ rené pravidlo... otevírá dialog pro definici pravidla paketového filtru, ve kterém lze pravidlo upravit (upˇ resnit) dle požadavk˚ u uživatele. Rozšíˇ rené pravidlo lze kdykoliv zmˇ enit nebo odstranit v konfiguraˇ cním oknˇ e Kerio Personal Firewallu (sekce Sít’ová bezpeˇ cnost, záložka Aplikace, tlaˇ cítko Paketový filtr). Podrobnosti o rozšíˇ rených komunikaˇ cních pravidlech naleznete v kapitole 6. Poznámka: Po dobu, kdy je zobrazen dialog Upozornˇ ení na spojení , je pˇ ríslušná komunikace „pozastavena“ (již pˇ rijatá ˇ ci vyslaná data uchovává Kerio Personal Firewall ve své vyrovnávací pamˇ eti). Není-li reakce uživatele dostateˇ cnˇ e rychlá, m˚ uže vysílající aplikace po urˇ cité dobˇ e (zpravidla nˇ ekolik desítek sekund) tento stav vyhodnotit jako sít’ovou chybu (cílový poˇ cítaˇ c nedostupný).
3.3 Dialog Spouštˇ ení/Zámˇ ena/Spouštˇ ení jiné aplikace Dialog Spouštˇ ení/Zámˇ ena/Spouštˇ ení jiné aplikace informuje uživatele o tom, že Kerio Personal Firewall detekoval pokus o spuštˇ ení aplikace a oˇ cekává jeho rozhodnutí, zda tuto akci povolit ˇ ci zakázat, pˇ rípadnˇ e vytvoˇ rit odpovídající pravidlo. Aplikace bude spuštˇ ena až v okamžiku, kdy to uživatel povolí. Poznámka: Chování Kerio Personal Firewallu pˇ ri spouštˇ ení aplikací urˇ cují volby a pravidla v sekci Bezpeˇ cnost systému (viz kapitola 7). Dialog Spouštˇ ení/Zámˇ ena/Spouštˇ ení jiné aplikace se zobrazuje v pˇ rípadech, kdy neexistuje odpovídající pravidlo nebo pravidlo explicitnˇ e vyžaduje dotázat se uživatele. Tento dialog je zobrazen vždy nad okny ostatních aplikací („Always on Top“). Je-li zachyceno více událostí (tj. více pokus˚ u o spuštˇ ení aplikací nebo o sít’ovou komunikaci — viz kapitola 3.2) souˇ casnˇ e, pak se tyto události ˇ radí do fronty — teprve po potvrzení jednoho dialogu se zobrazí další. Nikdy se tedy nezobrazuje více dialog˚ u Spouštˇ ení/Zámˇ ena/Spouštˇ ení jiné aplikace a/nebo Upozornˇ ení na spojení souˇ casnˇ e.
27
Kapitola 3 Chování firewallu a interakce s uživatelem
Dialog obsahuje tyto informace: Popis události V záhlaví dialogového okna je uveden slovní popis zachycené události a obecné doporuˇ cení, jakou akci by mˇ el uživatel zvolit.
Název události Barevný pruh obsahuje informaci o tom, jaká událost byla zachycena:
• Spouštˇ ení aplikace • Zámˇ ena aplikace — zmˇ ena ve spustitelném souboru aplikace • Aplikace spouští jinou aplikaci — bˇ ežící aplikace se pokouší spustit jinou aplikaci
28
3.3 Dialog Spouštˇ ení/Zámˇ ena/Spouštˇ ení jiné aplikace
Ikona a popis aplikace Pod informací o typu události je zobrazen popis a ikona spouštˇ ené aplikace. Není-li popis k dispozici, zobrazí se jméno spustitelného souboru aplikace. Nemá-li aplikace svoji ikonu, použije se standardní systémová ikona pro spustitelné soubory. Pokud byla aplikace spuštˇ ena jinou aplikací, zobrazí se ve druhém ˇ rádku (Kým spuštˇ eno) popis této aplikace.
Pˇ ri umístˇ ení kurzoru myši na popis aplikace (v prvním ˇ rádku) nebo na popis aplikace, která ji spouští (ve druhém ˇ rádku) se jako nápovˇ edný text (tooltip) zobrazí úplná cesta k spustitelnému souboru aplikace.
Volba akce Nejd˚ uležitˇ ejší ˇ cástí dialogu je volba akce — tedy povolení ˇ ci zakázání spuštˇ ení pˇ ríslušné aplikace.
• Tlaˇ cítko Povolit povolí spuštˇ ení aplikace. • Tlaˇ cítko Zakázat zakáže spuštˇ ení aplikace. • Volba Vytvoˇ rit pravidlo pro tuto akci a pˇ ríštˇ e se již nedotazovat zp˚ usobí vytvoˇ rení pravidla pro tuto událost (v sekci Bezpeˇ cnost systému / Aplikace). Pˇ ri pˇ ríštím zachycení události stejného typu se již firewall uživatele nedotazuje a provede akci definovanou uživatelem. • Tlaˇ cítko Podrobnosti zapíná/vypíná zobrazení podrobnosti o spouštˇ ené aplikaci (pˇ rípadnˇ e také o aplikaci, která ji spouští) Podrobnosti o aplikacích Sekce Podrobnosti obsahuje podrobné informace o spouštˇ ené aplikaci, pˇ rípadnˇ e o aplikaci, která se ji pokouší spustit (úplná cesta k spustitelnému souboru, popis aplikace, ˇ císlo verze, datum vytvoˇ rení, poslední zmˇ eny a posledního pˇ rístupu k souboru atd.).
29
Kapitola 3 Chování firewallu a interakce s uživatelem
3.4 Upozornˇ ení na událost V pravidlech Kerio Personal Firewallu m˚ uže být nastaveno zobrazení upozornˇ ení pˇ ri zachycení komunikace vyhovující tomuto pravidlu, resp. pˇ ri spuštˇ ení odpovídající aplikace. Jestliže Kerio Personal Firewall zaznamená takovou událost, zobrazí v pravém dolním rohu obrazovky okno s detailními informacemi. Nastanou-li další události tohoto typu dˇ ríve, než uživatel informaˇ cní okno zavˇ re, ˇ radí se informace do fronty, kterou lze procházet obˇ ema smˇ ery (použitím tlaˇ cítek se šipkami v pravém dolním rohu okna). Poznámka: Uzavˇ rením okna s upozornˇ ením (kliknutím na kˇ rížek v pravém horním rohu nebo kombinací kláves Alt+F4) dojde k vymazání všech zpráv z fronty, bez ohledu na to, zda byly zobrazeny ˇ ci nikoliv!
Pˇ ríklad upozornˇ ení na sít’ovou komunikaci
Upozornˇ ení uživateli obsahuje tyto položky: ˇ — datum a ˇ • Cas cas, kdy událost nastala • Popis pravidla — popis (název) pravidla rozšíˇ reného paketového filtru, které bylo uplatnˇ eno (pokud bylo použito pravidlo pro aplikaci, zobrazuje se zde Nelze urˇ cit) • Aplikace — ikona a název lokální aplikace, která se komunikace úˇ castní (nemá-li aplikace ikonu, použije se standardní systémová ikona; není-li k dispozici název aplikace, zobrazí se jméno spustitelného souboru bez pˇ rípony)
30
3.4 Upozornˇ ení na událost
• Vzdálená strana — IP adresa a port vzdáleného poˇ cítaˇ ce (pokud lze z DNS zjistit jeho jméno, zobrazuje se namísto IP adresy; jedná-li se o standardní službu, zobrazí se pˇ red ˇ císlem portu její název) • Podrobnosti — podrobnosti o spojení: smˇ er (Odchozí nebo Pˇ ríchozí ), protokol a lokální port • Akce — akce, která byla provedena (Povoleno — komunikace povolena, Zakázáno — komunikace zakázána) • poˇ radí zprávy ve frontˇ e a celkový poˇ cet zpráv ve frontˇ e (celkový poˇ cet zpráv m˚ uže nar˚ ustat, jestliže v dobˇ e zobrazení okna s upozornˇ ením generuje Kerio Personal Firewall další zprávy) Podrobné informace o pravidlech pro sít’ovou komunikaci aplikací naleznete v kapitole 5.2.
Pˇ ríklad upozornˇ ení na spouštˇ ení aplikace
Upozornˇ ení uživateli obsahuje tyto položky: ˇ — datum a ˇ • Cas cas, kdy událost nastala • Popis pravidla — popis události, která byla zachycena: • Spouštˇ ení aplikace • Zámˇ ena aplikace (zmˇ ena spustitelného souboru aplikace) • Aplikace spouští jinou aplikaci • Aplikace — ikona a název spouštˇ ené aplikace (nemá-li aplikace ikonu, použije se standardní systémová ikona; není-li k dispozici název aplikace, zobrazí se jméno spustitelného souboru bez pˇ rípony)
31
Kapitola 3 Chování firewallu a interakce s uživatelem
• Kým spuštˇ eno — název (popis) aplikace, která danou aplikaci spouští • Akce — akce, která byla provedena na základˇ e odpovídajícího pravidla (Povoleno — spuštˇ ení aplikace povoleno, Zakázáno — spuštˇ ení aplikace zamítnuto). Podrobné informace o pravidlech pro spouštˇ ení aplikací naleznete v kapitole 7.1.
32
Kapitola 4
Konfigurace firewallu
4.1 Konfiguraˇ cní okno K nastavení Kerio Personal Firewallu a sledování stavových informací a záznam˚ u slouží tzv. konfiguraˇ cní okno. Toto okno lze otevˇ rít následujícími zp˚ usoby: • dvojitým kliknutím levým tlaˇ cítkem na ikonu Kerio Personal Firewallu na nástrojové lištˇ e • kliknutím pravým tlaˇ cítkem na tuto ikonu a volbou Konfigurace z kontextového menu
33
Kapitola 4 Konfigurace firewallu
Záložky v levé ˇ cásti okna slouží k pˇ repínání jednotlivých sekcí: • Pˇ rehled — pˇ rehled aktivních spojení a otevˇ rených port˚ u (viz kapitola 10.1), statistiky (viz kapitola 10.2) a uživatelské preference (viz kapitola 4.3). • Sít’ová bezpeˇ cnost — pravidla pro sít’ovou komunikaci aplikací, paketový filtr, definice d˚ uvˇ eryhodné zóny (viz kapitola 5) • Bezpeˇ cnost systému — pravidla pro spouštˇ ení aplikací (viz kapitola 7) • Útoky — nastavení detekce známých typ˚ u útok˚ u (viz kapitola 8) • WWW — pravidla pro WWW stránky — blokování pop-up oken, URL filtr, blokování objekt˚ u, kontrola nad odesílanými daty (viz kapitola 9) • Záznamy — prohlížení a nastavení záznam˚ u (viz kapitola 11) Graf v levé dolní ˇ cásti okna zobrazuje ˇ casový pr˚ ubˇ eh zatížení sít’ového rozhraní. Zelený sloupec vedle grafu zobrazuje aktuální (okamžitou) rychlost odchozí komunikace, ˇ cervený sloupec rychlost pˇ ríchozí komunikace. Kliknutím levým tlaˇ cítkem myši na graf se pˇ repíná zobrazení — ˇ cárový graf nebo sloupcový graf. Pˇ ri umístˇ ení kurzoru myši nad graf se zobrazí nápovˇ edný text (tooltip) se statistikou sít’ové komunikace:
• rychlost odchozí (zelený sloupec) — aktuální rychlost odchozí komunikace • rychlost pˇ ríchozí (ˇ cervený sloupec) — aktuální rychlost pˇ ríchozí komunikace • maximum (pˇ ríchozí + odchozí) — nejvyšší zaznamenaná rychlost (souˇ cet odchozí a pˇ ríchozí komunikace za posledních 80 sekund) • minimum (pˇ ríchozí + odchozí) — nejnižší zaznamenaná rychlost (souˇ cet odchozí a pˇ ríchozí komunikace za posledních 80 sekund)
34
4.1 Konfiguraˇ cní okno
Tlaˇ cítko Odpojit sít’ pod grafem slouží k zablokování veškeré sít’ové komunikace (všechna otevˇ rená spojení budou pozastavena). Tato funkce m˚ uže být užiteˇ cná napˇ r. v pˇ rípadˇ e, kdy omylem povolíme komunikaci, která mˇ ela být zakázána. Po stisknutí zmˇ ení toto tlaˇ cítko popis na Zapojit sít’. Je-li komunikace zastavena, je tento stav signalizován ikonou a textem pod tlaˇ cítkem Zapojit sít’.
Poznámka: Volba Odpojit sít’ / Zapojit sít’ je dostupná také z kontextového menu ikony Kerio Personal Firewallu na nástrojové lištˇ e (viz kapitola 2.2). Tlaˇ cítka na spodním okraji okna mají standardní funkce: • OK — uložení provedených zmˇ en a zavˇ rení konfiguraˇ cního okna • Storno — zavˇ rení okna bez uložení zmˇ en • Použít — uložení (akceptování) provedených zmˇ en, okno z˚ ustává otevˇ rené • Nápovˇ eda — otevˇ rení nápovˇ edy pro aktuální sekci/záložku Poznámka: Zmˇ eny konfigurace lze provádˇ et souˇ casnˇ e pouze v jedné záložce jedné sekce. Pˇ ri pˇ rechodu do jiné záložky, resp. jiné sekce, se kontroluje, zda v aktuálním zobrazení nebyly provedeny dosud neuložené zmˇ eny. Pokud ano, Kerio Personal Firewall se dotáže, zda má tyto zmˇ eny akceptovat nebo stornovat.
Ochrana konfigurace heslem Pˇ rístup ke konfiguraci Kerio Personal Firewallu m˚ uže být chránˇ en heslem (zmˇ eny v konfiguraci pak m˚ uže provádˇ et pouze oprávnˇ ený uživatel). Heslo lze nastavit v sekci Pˇ rehled / Pˇ redvolby (viz kapitola 4.3). Je-li konfigurace chránˇ ena heslem, m˚ uže neovˇ eˇ rený uživatel nastavení v konfiguraˇ cním oknˇ e pouze prohlížet. Pˇ ri prvním pokusu o provedení zmˇ eny bude vyžadováno zadání hesla.
35
Kapitola 4 Konfigurace firewallu
Po zadání platného hesla dojde k pˇ rihlášení uživatele — uživatel bude mít právo provádˇ et zmˇ eny v konfiguraci. Po provedení všech konfiguraˇ cních zmˇ en by se uživatel mˇ el odhlásit, aby nemohlo dojít k zásahu do konfigurace neoprávnˇ enou osobou. Odhlášení lze provést volbou Odhlásit z kontextového menu ikony na nástrojové lištˇ e (viz kapitola 2.2), pˇ rípadnˇ e tlaˇ cítkem Odhlásit v sekci Pˇ rehled / Pˇ redvolby. Pokud se uživatel neodhlásí, je pˇ rihlášení platné až do ukonˇ cení bˇ ehu služby Personal Firewall Engine.
4.2 Vzdálená správa Kerio Personal Firewall m˚ uže být spravován i vzdálenˇ e, tj. z jiného poˇ cítaˇ ce, než na kterém bˇ eží služba Personal Firewall Engine. Vzdálený pˇ rístup je možný na dvou úrovních: • pˇ rístup ke konfiguraci — ze vzdáleného poˇ cítaˇ ce lze provádˇ et všechna nastavení a akce, které jsou dostupné v konfiguraˇ cním oknˇ e. Dialogy pˇ ri událostech (spouštˇ ení aplikací, sít’ová komunikace) a upozornˇ ení na události budou zobrazovány na poˇ cítaˇ ci, kde bˇ eží Personal Firewall Engine. • pˇ resmˇ erování relace — na vzdálený poˇ cítaˇ c budou pˇ resmˇ erovány také všechny dialogy a upozornˇ ení uživateli.
Pˇ ripojení ze vzdáleného poˇ cítaˇ ce Pro pˇ ripojení k Personal Firewall Engine z jiného poˇ cítaˇ ce je tˇ reba provést tyto kroky: 1.
Nastavení hesla pro pˇ rístup ke správˇ e Vzdálené pˇ ripojení k Personal Firewall Engine je možné pouze na základˇ e ovˇ eˇ rení uživatele heslem. V sekci Pˇ rehled / Pˇ redvolby zapnˇ ete volbu Povolit ochranu heslem, pˇ rípadnˇ e nastavte heslo, pokud nebylo dosud definováno. Podrobnosti naleznete v kapitole 4.3.
2.
Spouštˇ ení Personal Firewall GUI na vzdáleném poˇ cítaˇ ci
36
4.2 Vzdálená správa
• Je-li na vzdáleném poˇ cítaˇ ci nainstalován Kerio Personal Firewall 4.x, spust’te komponentu Remote Firewall Administration z programové skupiny Kerio. • Není-li na vzdáleném poˇ cítaˇ ci Kerio Personal Firewall nainstalován, zkopírujte z lokálního poˇ cítaˇ ce (typicky adresᡠr C:\Program Files\Kerio\Personal Firewall 4) na vzdálený poˇ cítaˇ c soubor kpf4gui.exe a podadresᡠr trans. Na vzdáleném poˇ cítaˇ ci spust’te aplikaci kpf4gui.exe. 3.
Pˇ rihlášení k Personal Firewall Engine Pˇ ri spuštˇ ení Personal Firewall GUI jedním z výše popsaných zp˚ usob˚ u se zobrazí dialog pro pˇ rihlášení k Personal Firewall Engine.
Adresa DNS jméno nebo IP adresa poˇ cítaˇ ce, na kterém bˇ eží Personal Firewall Engine. . Po pˇ rihlášení bude toto jméno nebo IP adresa zobrazena: • v záhlaví konfiguraˇ cního okna
• v nápovˇ edném textu (tooltip) ikony na nástrojové lištˇ e
Heslo Heslo pro pˇ rístup ke správˇ e (viz bod 1.) Pˇ resmˇ erovat události do této relace Tato volba zapíná/vypíná všech dialog˚ u a upozornˇ ení na vzdálený poˇ cítaˇ c.
pˇ resmˇ erování
Zapnˇ ete tuto volbu, chcete-li Kerio Personal Firewall kompletnˇ e sledovat a ovládat ze vzdáleného poˇ cítaˇ ce. Pokud chcete provést pouze jednorázovou úpravu konfigurace, doporuˇ cujeme tuto volbu nezapínat.
37
Kapitola 4 Konfigurace firewallu
Po stisknutí tlaˇ cítka Pˇ ripojit se naváže spojení se vzdáleným poˇ cítaˇ cem. Poznámka: Pˇ ripojení vzdálené správy je povoleno interními pravidly Kerio Personal Firewallu. Pro vzdálenou správu tedy není tˇ reba definovat speciální pravidla sít’ové bezpeˇ cnosti. Po úspˇ ešném navázání spojení s Personal Firewall Engine se na nástrojové lištˇ e zobrazí (v poli System Tray) ikona Kerio Personal Firewallu se symbolem vzdáleného pˇ ripojení (R = remote = vzdálený). Kontextové menu této ikony obsahuje následující funkce:
Zakázat firewall Deaktivace firewallu (vypnutí všech bezpeˇ cnostních funkcí). Konfigurace Tato volba otevírá konfiguraˇ cní okno, ve kterém lze provádˇ et všechny konfiguraˇ cní úkony stejnˇ e jako na lokálním poˇ cítaˇ ci (s výjimkou zastavení sít’ové komunikace). Podrobnosti viz kapitola 4.1. O aplikaci Okno s informacemi o verzích jednotlivých komponent Kerio Personal Firewallu a licenci, pˇ rípadnˇ e datu omezení funkˇ cnosti zkušební verze. Informace v tomto oknˇ e jsou stejné jako v pˇ rípadˇ e lokálního pˇ ripojení). Odpojit Odpojení od vzdálené služby Personal Firewall Engine a ukonˇ cení Personal Firewall GUI na poˇ cítaˇ ci, ze kterého byla vzdálená správa provádˇ ena. Poznámka: Narozdíl od lokální správy nejsou pˇ ri vzdáleném pˇ ripojení v kontextovém menu dostupné tyto funkce: • Odpojit sít’ (zablokování sít’ové komunikace by pˇ rerušilo také spojení mezi Personal Firewall Engine a Personal Firewall GUI na vzdáleném poˇ cítaˇ ci) • Odhlásit (pˇ ri vzdálené správˇ e musí být uživatel ovˇ eˇ ren, odhlášení se de facto provede pˇ ri odpojení od Personal Firewall Engine) • Ukonˇ cit (službu Personal Firewall Engine nelze vzdálenˇ e ukonˇ cit; Personal Firewall GUI na vzdáleném poˇ cítaˇ ci se ukonˇ cí volbou Odpojit)
38
4.3 Pˇ redvolby
4.3 Pˇ redvolby Sekce Pˇ rehled / Pˇ redvolby slouží k nastavení uživatelských preferencí a upˇ resˇ nujících parametr˚ u firewallu.
Automatické zjišt’ování nových verzí Zapnutí/vypnutí automatické kontroly nových verzí programu. Pro zajištˇ ení maximální bezpeˇ cnosti doporuˇ cujeme ponechat tuto volbu zapnutou (nové verze obsahují aktualizace databáze známých útok˚ u, opravy pˇ rípadných chyb atd.). Podrobnosti o automatické kontrole a instalaci nové verze naleznete v kapitole 1.6. Zjistit ted’ Toto tlaˇ cítko spouští okamžitou kontrolu existence nové verze Kerio Personal Firewallu. Je-li na aktualizaˇ cním serveru nalezena novˇ ejší verze, pak je uživateli nabídnuto její stažení a instalace (podrobnosti viz kapitola 1.6). V opaˇ cném pˇ rípadˇ e se zobrazí informace o tom, že novˇ ejší verze není k dispozici (instalovaná verze je aktuální).
39
Kapitola 4 Konfigurace firewallu
Nabízet ke stažení betaverze Zapnutím této volby budou pˇ ri kontrole nových verzí uživateli nabízeny také zveˇ rejnˇ ené betaverze. Betaverze jsou nové verze ve stádiu vývoje — není zaruˇ cena jejich plná funkˇ cnost a mohou obsahovat chyby. Volbu Nabízet ke stažení betaverze použijte v pˇ rípadˇ e, jestliže se chcete úˇ castnit testování betaverzí (podrobnosti viz http://www.kerio.cz/, Beta Sekce). Nemáte-li zájem o testování a chcete-li mít na svém poˇ cítaˇ ci vždy plnˇ e funkˇ cní (finální) verzi, pak tuto volbu nezapínejte. Povolit režim internetové brány Tato volba pˇ repíná firewall do speciálního režimu ochrany internetové brány (tj. smˇ erovaˇ ce nebo smˇ erovaˇ ce s pˇ rekladem IP adres). Po zapnutí volby Povolit režim internetové brány bude Kerio Personal Firewall propouštˇ et pakety s cílovými porty, na kterých nebˇ eží žádná lokální aplikace, pˇ rípadnˇ e pakety s cílovými IP adresami, které nejsou lokální. Není-li Kerio Personal Firewall skuteˇ cnˇ e nasazen na internetové bránˇ e, pak by tato volba mˇ ela být vypnuta, jinak degraduje ochranu lokálního poˇ cítaˇ ce! Poznámky: 1.
Volbu Povolit režim internetové brány lze také využít pro povolení sít’ové komunikace operaˇ cního systému, který je provozován v rámci programu VMWare (http://www.vmware.com/), jestliže Kerio Personal Firewall chrání hostitelský systém. Bude-li tato volba vypnuta, bude Kerio Personal Firewall blokovat pakety urˇ cené operaˇ cnímu systému uvnitˇ r VMWare.
2.
Je-li Kerio Personal Firewall použit k ochranˇ e proxy serveru, není tˇ reba tuto volbu zapínat (proxy server se chová jako klient na lokálním poˇ cítaˇ ci).
Vytvᡠret výpis pamˇ eti pˇ ri pádu Zapnutí/vypnutí vytvᡠrení ladicích informací pro pˇ rípad havárie Kerio Personal Firewallu. Dojde-li po zapnutí této volby k pádu Personal Firewall Engine nebo Personal Firewall GUI , vytvoˇ rí se soubor s výpisem pamˇ eti a následnˇ e automaticky spustí nástroj Assist, který nabídne odeslání informací o pádu (komprimovaného výpisu pamˇ eti a vybraných záznam˚ u) k analýze do firmy Kerio Technologies. V pˇ rípadˇ e, že došlo k havárii operaˇ cního systému, m˚ uže Kerio Personal Firewall po opˇ etovném startu odeslat k analýze výpis pamˇ eti jádra (resp. úplný výpis pamˇ eti v pˇ rípadˇ e Windows NT 4.0). 1 minutu po startu služby Personal Firewall Engine se provede kontrola, zda se na disku nenalézá nový výpis pamˇ eti. Pokud ano, spustí se nástroj Assist. Ten se nejprve uživatele dotáže, zda se domnívá, že tento výpis má souvislost s pádem aplikace firmy Kerio Technologies. V pˇ rípadˇ e kladné odpovˇ edi nabídne jeho odeslání k analýze. Výpis pamˇ eti je odesílán v komprimované podobˇ e.
40
4.3 Pˇ redvolby
Poznámka: Odeslané informace budou použity výhradnˇ e pro úˇ cely ladˇ ení aplikace Kerio Personal Firewall. Nebudou použity k žádnému jinému úˇ celu ani poskytnuty tˇ retí stranˇ e. Konfigurace Tato sekce obsahuje tlaˇ cítka pro zálohování konfigurace Kerio Personal Firewall a její obnovení, pˇ rípadnˇ e naˇ ctení konfigurace aplikace Kerio Personal Firewall 2.1.x. Po stisku tlaˇ cítka Importovat se zobrazí systémový dialog pro otevˇ rení souboru. Kerio Personal Firewall dokáže otevˇ rít a naˇ císt konfiguraˇ cní soubor ve formátu: • Kerio Personal Firewall 4.x v nešifrované podobˇ e (formát XML, pˇ rípona .cfg) • Kerio Personal Firewall 2.1.x (pˇ rípona .conf) — import konfigurace ze starší verze Tlaˇ cítko Exportovat otevírá systémový dialog pro uložení souboru. Takto je možné uložit konfiguraˇ cní soubor (v nešifrované podobˇ e) pro pozdˇ ejší použití ˇ ci pro pˇ renos na jiný poˇ cítaˇ c. Poznámka: Konfiguraˇ cní soubor verze 4.x nelze v šifrované podobˇ e importovat. Povolit ochranu heslem Nastavení hesla pro pˇ rístup ke konfiguraci Kerio Personal Firewallu. Je-li konfigurace chránˇ ena heslem, pak je možné si ji pouze prohlížet. Pˇ ri prvním pokusu o zmˇ enu je vyžadováno ovˇ eˇ rení uživatele zadáním hesla. Po úspˇ ešném ovˇ eˇ rení je uživatel pˇ rihlášen a má právo konfiguraci mˇ enit. Podrobné informace naleznete v kapitole 4.1. Tlaˇ cítko Odhlásit slouží k odhlášení uživatele — pˇ ri dalším pokusu o zmˇ enu konfigurace bude opˇ et vyžadováno zadání hesla. Odhlášení je možné také volbou z kontextového menu ikony na nástrojové lištˇ e (viz kapitola 2.2) Tlaˇ cítko Nastavit heslo... otevírá dialog pro zadání nebo zmˇ enu hesla.
Do položky Staré heslo je tˇ reba zadat aktuální heslo (zmˇ enu hesla smí provést pouze oprávnˇ ený uživatel). Pokud nebylo dosud žádné heslo definováno (bezprostˇ rednˇ e po
41
Kapitola 4 Konfigurace firewallu
instalaci Kerio Personal Firewallu, po smazání konfigurace apod.), je tato položka neaktivní. Do položky Nové heslo zadejte požadované heslo a v položce Potvrzení hesla jej pro kontrolu zopakujte. Poznámka: Vzdálená správa Kerio Personal Firewallu je možná pouze po ovˇ eˇ rení uživatele heslem. Je-li volba Povolit ochranu heslem vypnuta, pak není možné se pˇ ripojit k Personal Firewall Engine z jiného poˇ cítaˇ ce. Preferovaný jazyk Volba jazyka uživatelského rozhraní Kerio Personal Firewallu. Po stisknutí tlaˇ cítka OK nebo Použít dojde k restartu uživatelského rozhraní. Pˇ ri dalším otevˇ rení konfiguraˇ cního okna, resp. kontextového menu na nástrojové lištˇ e, se již uživatelské rozhraní zobrazí v požadovaném jazyce. Jednotlivé jazykové verze (lokalizace) jsou uloženy v podadresᡠri trans adresᡠre, kde je Kerio Personal Firewall nainstalován.
42
Kapitola 5
Pravidla pro sít’ovou komunikaci
Klíˇ covým bodem konfigurace Kerio Personal Firewallu jsou pravidla pro sít’ovou komunikaci. K dispozici jsou tˇ ri typy pravidel: • Pravidla pro aplikace — jednoduchá pravidla definující chování firewallu pˇ ri sít’ové komunikaci s poˇ cítaˇ ci v d˚ uvˇ eryhodné zónˇ e a v Internetu. Tato pravidla jsou vytvᡠrena automaticky na základˇ e reakce uživatele pˇ ri zachycení dosud neznámé sít’ové komunikace. Podrobnosti viz kapitola 5.2. • Rozšíˇ rený paketový filtr — detailní pravidla pro sít’ovou komunikaci (možnost nastavení IP adres, protokolu, port˚ u, aplikace atd.). Pravidla paketového filtru mohou být definována bud’ ruˇ cnˇ e (v konfiguraˇ cním oknˇ e Kerio Personal Firewallu) nebo automaticky na základˇ e reakce uživatele (viz kapitola 3.2) Nastavení rozšíˇ reného paketového filtru je popsáno v kapitole 6. • Pˇ reddefinovaná pravidla pro sít’ovou komunikaci — Kerio Personal Firewall obsahuje sadu pˇ reedefinovaných pravidel, která jsou nezávislá na aplikacích. U pˇ reddefinovaných pravidel m˚ uže uživatel nastavovat pouze akci (tj. povolit nebo zakázat pˇ ríslušnou komunikaci). Pˇ reddefinovaná pravidla lze jednoduše zapnout nebo vypnout (jedna volba pro všechna pravidla). Podrobnosti viz kapitola 5.3. Modul firewallu pro kontrolu sít’ové komunikace lze zapnout/vypnout volbou Povolit modul sít’ové bezpeˇ cnosti v sekci Sít’ová bezpeˇ cnost, záložka Aplikace. Je-li tato volba vypnuta, pak jsou všechny uvedené typy pravidel neaktivní.
5.1 Aplikace pravidel pro sít’ovou komunikaci Pˇ ri zachycení sít’ové komunikace aplikují jednotlivé moduly firewallu definovaná pravidla v urˇ ceném poˇ radí. Jestliže komunikace vyhovuje urˇ citému pravidlu, provede se odpovídající akce a vyhodnocování se ukonˇ cí. Pravidla jednotlivých modul˚ u Kerio Personal Firewallu se aplikují v tomto poˇ radí: 1.
Systém detekce útok˚ u (IDS — viz kapitola 8)
2.
Interní pravidla pro komponenty Kerio Personal Firewallu — napˇ r. povolení pˇ rístupu na WWW server firmy Kerio Technologies pro kontrolu a stahování nových verzí programu
43
Kapitola 5 Pravidla pro sít’ovou komunikaci
3.
Pravidla rozšíˇ reného paketového filtru (viz kapitola 6)
4.
Pˇ reddefinovaná pravidla pro sít’ovou komunikaci (viz kapitola 5.3)
5.
Pravidla pro sít’ovou komunikaci aplikací (viz kapitola 5.2)
Poznámka: Je-li vypnut modul sít’ové bezpeˇ cnosti a/nebo detekce útok˚ u (viz kapitola 8), pak se pˇ ríslušná pravidla na zachycenou komunikaci neaplikují. Interní pravidla firewallu vypnout nelze.
5.2 Pravidla pro aplikace K zobrazení a úpravˇ e pravidel pro aplikace slouží sekce Sít’ová bezpeˇ cnost, záložka Aplikace.
Každé pravidlo sestává z následujících ˇ cástí: Popis Ikona a popis aplikace. Nemá-li aplikace ikonu, bude použita systémová ikona pro spustitelné soubory. Není-li k dispozici popis aplikace, zobrazí se jméno souboru bez pˇ rípony. Poznámka: Ikonu a popis aplikace nelze v Kerio Personal Firewallu zmˇ enit (tyto informace jsou dány tv˚ urcem konkrétní aplikace).
44
5.2 Pravidla pro aplikace
D˚ uvˇ eryhodné, Internet Nastavení chování firewallu pˇ ri komunikaci dané aplikace s poˇ cítaˇ cem v d˚ uvˇ eryhodné zónˇ e a v Internetu v každém smˇ eru (Pˇ ríchozí , Odchozí ). Pro každou zónu a každý smˇ er komunikace lze zvolit jednu z tˇ echto akcí: • povolit — povolení komunikace • zakázat — zákaz komunikace • ptát se — Kerio Personal Firewall se dotáže uživatele, zda chce komunikaci povolit ˇ ci zakázat. Pˇ ri zachycení odpovídající komunikace se zobrazí dialog Upozornˇ ení na spojení (tento dialog je podrobnˇ e popsán v kapitole 3.2) a uživatel musí rozhodnout, jak se má firewall zachovat. Poznámka: V dialogu Upozornˇ ení na spojení m˚ uže uživatel pravidlo zmˇ enit (zaškrtne-li volbu Vytvoˇ rit pravidlo pro tuto komunikaci..., pak se akce Ptát se v pravidle zmˇ ení na akci, kterou uživatel zvolil). Pˇ ríklad: Pravidlo pro WWW prohlížeˇ c Mozilla
WWW prohlížeˇ c je typická klientská aplikace — navazuje spojení s WWW servery. Odchozí komunikaci tedy m˚ užeme povolit. WWW server ale nikdy nenavazuje spojení zpˇ et na klienta: taková komunikace je podezˇ relá (m˚ uže to být pokus o útok). Pˇ ríchozí komunikaci s aplikací Mozilla tedy zakážeme, pˇ rípadnˇ e nastavíme akci ptát se, aby byl uživatel na takovou komunikaci upozorˇ nován. Zaznamenat Po zapnutí této volby bude veškerá komunikace vyhovující danému pravidlu zaznamenána do záznamu Network (viz kapitola 11.4), a to bez ohledu na nastavenou akci (zaznamenána bude tedy povolená i zakázaná komunikace). Upozornit Zapnutím této volby bude pˇ ri detekci komunikace vyhovující tomuto pravidlu zobrazeno upozornˇ ení — okno Alert (viz kapitola 3.4). Nezáleží na tom, zda je komunikace povolena ˇ ci zakázána. Tuto funkci lze využít napˇ r. v pˇ rípadˇ e, kdy zakážeme nežádoucí komunikaci a chceme být informováni o tom, zda a kdy vzdálený poˇ cítaˇ c pokus o navázání spojení zopakuje.
45
Kapitola 5 Pravidla pro sít’ovou komunikaci
Tlaˇ cítko Zmˇ enit otevírá dialog pro úpravu vybraného pravidla (viz dále). Tlaˇ cítko Odebrat odstraní vybrané pravidlo. Tlaˇ cítko Obnovit slouží k obnovení seznamu pravidel (po dobu otevˇ rení záložky Aplikace m˚ uže dojít k interakci firewallu s uživatelem a v d˚ usledku toho k pˇ ridání ˇ ci zmˇ enˇ e pravidel).
Volby pro pravidla V poli se seznamem pravidel jsou dostupné následující volby: 1.
Kliknutím pravým tlaˇ cítkem myši ve sloupci Popis se zobrazí kontextové menu s tˇ emito funkcemi:
• Zmˇ enit — otevˇ rení dialogu pro úpravu pravidla (viz níže) • Odebrat — odstranˇ ení vybraného pravidla • Zobrazované jméno aplikace — volba, jakým zp˚ usobem bude zobrazován název aplikace: • úplná cesta k souboru • jméno souboru bez cesty • popis aplikace Volba Zobrazovat ikony zapíná/vypíná zobrazování ikon aplikací pˇ red jménem souboru nebo popisem aplikace. 2.
Kliknutím myší na akci (ve sloupci D˚ uvˇ eryhodné nebo Internet): • levým tlaˇ cítkem se akce cyklicky pˇ repíná: Povolit — Zakázat — Ptát se • pravým tlaˇ cítkem se zobrazí kontextové menu, z nˇ ehož lze vybrat požadovanou akci.
46
5.2 Pravidla pro aplikace
3.
Kliknutím levým tlaˇ cítkem myši ve sloupci Zaznamenat nebo Upozornit lze zapnout, resp. vypnout záznam komunikace vyhovující tomuto pravidlu do záznamu Sít’ nebo zobrazování upozornˇ ení uživateli pˇ ri zachycení takové komunikace.
Dialog pro úpravu pravidla Stisknutím tlaˇ cítka Zmˇ enit nebo volbou Zmˇ enit z kontextového menu se otevˇ re dialog pro úpravu vybraného pravidla. V tomto dialogu lze nastavit akci pro každou zónu a smˇ er komunikace, záznam komunikace odpovídající tomuto pravidlu a zobrazování upozornˇ ení uživateli.
V horním poli dialogu se zobrazuje popis aplikace a v dalším ˇ rádku ikona aplikace a plná cesta k spustitelnému souboru aplikace. Tyto informace nelze mˇ enit. Stˇ rední ˇ cást dialogu umožˇ nuje nastavení požadovaných akcí pro každou zónu a každý smˇ er komunikace. Volba Zaznamenat komunikaci do záznamu Sít’ zapíná záznam komunikace vyhovující tomuto pravidlu do záznamu Sít’ (viz kapitola 11.4). Volba Upozornit uživatele zapíná zobrazování upozornˇ ení uživateli (viz kapitola 3.4) pˇ ri zachycení komunikace vyhovující tomuto pravidlu.
47
Kapitola 5 Pravidla pro sít’ovou komunikaci
5.3 Pˇ reddefinovaná pravidla pro sít’ovou komunikaci Pro zjednodušení konfigurace obsahuje Kerio Personal Firewall sadu pˇ reddefinovaných pravidel pro sít’ovou komunikaci. Tato pravidla nejsou závislá na aplikacích (platí globálnˇ e). Uživatel se m˚ uže rozhodnout, zda pˇ reddefinovaná pravidla použije ˇ ci nikoliv, pˇ rípadnˇ e m˚ uže upravit jejich nastavení. Pˇ reddefinovaná pravidla pro sít’ovou komunikaci se nacházejí v sekci Sít’ová bezpeˇ cnost, záložka Pˇ reddefinované.
Pravidla v této záložce nelze pˇ ridávat ani odebírat. U každého pravidla lze pouze nastavit akci pro d˚ uvˇ eryhodnou zónu a Internet. Nastavení akce se provádí kliknutím levým tlaˇ cítkem myši na pˇ ríslušné místo (tj. v ˇ rádce vybraného pravidla ve sloupci D˚ uvˇ eryhodné nebo Internet). Opakovaným klikáním se stˇ rídavˇ e pˇ repínají akce Povolit a Zakázat. Poznámka: U pˇ reddefinovaných pravidel nelze nastavit akci Ptát se (tj. dotázání se uživatele pˇ ri zachycení odpovídající komunikace — viz kapitoly 5.2 a 3.2). Volba Zakázat pˇ reddefinovaná pravidla pro sít’ovou bezpeˇ cnost zakazuje/povoluje pˇ reddefinovaná pravidla pro sít’ovou komunikaci. Je-li tato volba zaškrtnuta, pak jsou pˇ reddefinovaná pravidla ignorována a Kerio Personal Firewall pracuje pouze s pravidly pro aplikace (viz kapitola 5.2) a s rozšíˇ reným paketovým filtrem (viz kapitola 6). Tlaˇ cítko Výchozí obnovuje výchozí nastavení akcí v pˇ reddefinovaných pravidlech.
Popis pˇ reddefinovaných pravidel Kerio Personal Firewall obsahuje tato pˇ reddefinovaná pravidla pro sít’ovou komunikaci: Internet Group Management Protocol Protokol IGMP se používá k pˇ rihlašování a odhlašování do/ze skupiny pˇ ríjemc˚ u multicastových zpráv. Tento protokol lze pomˇ ernˇ e
48
5.4 Definice d˚ uvˇ eryhodné zóny
snadno zneužít, a proto je ve výchozím nastavení zakázán. Povolte jej pouze v pˇ rípadˇ e, provozujete-li aplikace, které využívají technologie multicast zpráv (typicky pˇ renos zvuku ˇ ci videa po Internetu). Ping and Tracert in, Ping and Tracert out Programy Ping a Tracert (Traceroute) slouží ke zjištˇ ení odezvy vzdáleného poˇ cítaˇ ce, resp. trasování cesty v síti. K tomuto úˇ celu používají zprávy ˇ rídicího protokolu ICMP (Internet Control Message Protocol). Pˇ rípadný útoˇ cník zpravidla nejprve zkouší, zda vybraná IP adresa „žije“ — tj. zda odpovídá na uvedené ˇ rídicí zprávy. Blokováním tˇ echto zpráv se poˇ cítaˇ c stává „neviditelným“, což m˚ uže snížit pravdˇ epodobnost útoku. Ve výchozím nastavení jsou blokovány pˇ ríchozí Ping a Tracert zprávy z Internetu. Z d˚ uvˇ eryhodné zóny jsou tyto zprávy povoleny (pˇ redpokládá se, že napˇ r. správce sítˇ e bude programem Ping testovat dostupnost dané pracovní stanice). Odchozí Ping a Tracert zprávy jsou povoleny pro obˇ e zóny. Tyto nástroje jsou totiž velmi ˇ casto používány pro ovˇ eˇ rení funkˇ cnosti sít’ového pˇ ripojení ˇ ci dostupnosti vzdáleného poˇ cítaˇ ce. Other ICMP packets Pravidlo pro ostatní zprávy ˇ rídicího protokolu ICMP (napˇ r. pˇ resmˇ erování, cíl nedostupný apod.). Dynamic Host Configuration Protocol DHCP slouží k automatickému nastavování parametr˚ u TCP/IP (IP adresa, maska subsítˇ e, výchozí brána atd.). Upozornˇ ení: Zakázání DHCP m˚ uže zp˚ usobit nefunkˇ cnost sít’ového pˇ ripojení vašeho poˇ cítaˇ ce, pokud jsou parametry TCP/IP konfigurovány tímto protokolem! Domain Name System DNS slouží k pˇ revodu jmen poˇ cítaˇ cu ˚ na IP adresy. Aby bylo možné zadávat cílové poˇ cítaˇ ce jmény, musí být povolena komunikace alespoˇ n s jedním DNS serverem. Virtual Private Network Virtuální privátní sít’ (VPN) je bezpeˇ cné propojení dvou lokálních sítí (resp. pˇ ripojení vzdáleného klienta do lokální sítˇ e) pˇ res Internet šifrovaným kanálem (tzv. tunelem). Pravidlo Virtual Private Network kontroluje vytvᡠrení VPN protokoly PPTP a IPSec. Broadcasts Pravidlo pro pakety se všeobecnou adresou. V zónˇ e Internet platí toto pravidlo také pro pakety se skupinovou adresou (multicasts).
5.4 Definice d˚ uvˇ eryhodné zóny Pˇ ri definici pravidel pro aplikace Kerio Personal Firewall rozlišuje dvˇ e skupiny IP adres: d˚ uvˇ eryhodnou zónu a Internet. Akce pro pˇ ríchozí a odchozí komunikaci lze nastavit oddˇ elenˇ e pro každou zónu. D˚ uvˇ eryhodná zóna je uživatelsky definovaná skupina IP adres
49
Kapitola 5 Pravidla pro sít’ovou komunikaci
— jaké adresy budou považovány za d˚ uvˇ eryhodné, záleží ˇ cistˇ e na rozhodnutí uživatele. Všechny IP adresy, které nepatˇ rí do d˚ uvˇ eryhodné zóny, jsou automaticky zaˇ razeny do zóny Internet. K definici d˚ uvˇ eryhodné zóny slouží záložka D˚ uvˇ eryhodná zóna v sekci Sít’ová bezpeˇ cnost.
D˚ uvˇ eryhodná zóna m˚ uže obsahovat libovolný poˇ cet položek typu IP adresa, rozsah IP adres, subsít’ nebo sít’ pˇ ripojená k danému rozhraní (podrobnosti viz dále). U každé položky lze volitelnˇ e specifikovat rozhraní, na kterém jsou zadané IP adresy povoleny (toto je mj. ochrana proti falšování IP adres). D˚ uvˇ eryhodná zóna vždy obsahuje jednu pˇ reddefinovanou položku Loopback, kterou nelze zrušit. Jedná se o lokální zpˇ etnovazební adresu (loopback) — tato adresa je vždy považována za d˚ uvˇ eryhodnou. Tlaˇ cítko Pˇ ridat, resp. Zmˇ enit otevírá dialog pro pˇ ridání, resp. zmˇ enu položky d˚ uvˇ eryhodné zóny (stejný úˇ cinek jako tlaˇ cítko Zmˇ enit má také dvojité kliknutí na vybrané položce).
Je d˚ uvˇ eryhodná Tato volba zaˇ razuje/vyˇ razuje danou položku do/z d˚ uvˇ eryhodné zóny. Je-li volba Je d˚ uvˇ eryhodná vypnuta, uvedené IP adresy (rozsah adres, subsít’ atd.) nejsou souˇ cástí d˚ uvˇ eryhodné zóny (a jsou automaticky zaˇ razeny do zóny Internet).
50
5.4 Definice d˚ uvˇ eryhodné zóny
Volbu Je d˚ uvˇ eryhodná lze využít napˇ r. pro explicitní specifikaci IP adres, které do d˚ uvˇ eryhodné zóny nepatˇ rí. Kerio Personal Firewall bude pˇ ríslušné rozhraní znát a nebude se dotazovat uživatele pˇ ri zachycení komunikace pˇ res toto rozhraní (viz kapitola 1.7). Popis Slouží pro zvýšení pˇ rehlednosti — doporuˇ cujeme uvést struˇ cnou charakteristiku pˇ ridávaného rozsahu adres, subsítˇ e atd., pˇ rípadnˇ e d˚ uvod, proˇ c byly tyto IP adresy do d˚ uvˇ eryhodné zóny zaˇ razeny. Adaptér Výbˇ er adaptéru (rozhraní), na kterém jsou zadané IP adresy platné. Tato volba je také ochranou proti falšování IP adres — je-li paket s d˚ uvˇ eryhodnou IP adresou pˇ rijat z jiného rozhraní, než ke kterému je daná sít’ pˇ ripojena, pak je považován za ned˚ uvˇ eryhodný. Speciální volba — Libovolný — (libovolný adaptér) znamená, že Kerio Personal Firewall nebude kontrolovat, z jakého rozhraní byl paket s danou IP adresou pˇ rijat. Typ adresy Typ položky d˚ uvˇ eryhodné zóny: • Poˇ cítaˇ c — konkrétní IP adresa jednoho poˇ cítaˇ ce (resp. sít’ového zaˇ rízení) • IP adresa / mask — subsít’ zadaná IP adresou sítˇ e s odpovídající maskou • IP adresa / rozsah — rozsah IP adres zadaný poˇ cáteˇ cní a koncovou IP adresou (vˇ cetnˇ e) • Všechny adresy — libovolná IP adresa Poznámka: Volbu Všechny adresy lze použít pouze ve spojení s konkrétním adaptérem („sít’ pˇ ripojená k tomuto rozhraní“). V kombinaci s volbou — Libovolný — v položce Adaptér bychom totiž nastavili, že všechny IP adresy v Internetu patˇ rí do d˚ uvˇ eryhodné zóny. Toto nastavení nemá smysl a Kerio Personal Firewall jej nepovoluje (tlaˇ cítko OK je v tomto pˇ rípadˇ e neaktivní).
51
Kapitola 5 Pravidla pro sít’ovou komunikaci
52
Kapitola 6
Rozšíˇ rený paketový filtr
Paketový filtr umožˇ nuje definovat detailní pravidlo pro urˇ citou sít’ovou komunikaci. Kromˇ e lokální aplikace a smˇ eru komunikace lze urˇ cit také protokol, vzdálené IP adresy, vzdálené a lokální porty a další parametry. Pravidla paketového filtru lze definovat dvˇ ema zp˚ usoby: • Ruˇ cnˇ e — stisknutím tlaˇ cítka Paketový filtr... v sekci Sít’ová bezpeˇ cnost, záložka Aplikace se otevˇ re okno Rozšíˇ rený paketový filtr, ve kterém lze prohlížet, upravovat a rušit pravidla paketového filtru (podrobnosti viz dále). • Automaticky, resp. poloautomaticky — pˇ ri zachycení komunikace, pro kterou nebylo nalezeno odpovídající pravidlo, je zobrazen dialog Upozornˇ ení na spojení (viz kapitola 3.2); zaškrtnutím volby Vytvoˇ rit pravidlo rozšíˇ reného paketového filtru se namísto standardního pravidla pro aplikace vytvoˇ rí pravidlo paketového filtru. Poznámka: Rozšíˇ rený paketový filtr nerozlišuje mezi d˚ uvˇ eryhodnou zónou a Internetem (v pravidle je vždy uvedena konkrétní IP adresa, subsít’, skupina IP adres atd.).
6.1 Pravidla paketového filtru Pravidla rozšíˇ reného paketového filtru se zobrazují v záložce Pravidla okna Rozšíˇ rený paketový filtr. Pravidla tvoˇ rí uspoˇ rádaný seznam. Pˇ ri zachycení sít’ové komunikace se seznam prochází shora dol˚ u a použije se první pravidlo, kterému daná komunikace vyhoví. Tlaˇ cítky se šipkami nahoru a dol˚ u v pravé ˇ cásti okna lze poˇ radí pravidel v seznamu upravit dle potˇ reby. Díky tˇ emto vlastnostem je možno vytvᡠret složitˇ ejší kombinace filtrovacích pravidel.
ˇ Pro zvýšení pˇ rehlednosti lze pravidla paketového filtru ˇ radit do skupin. Clenství ve skupinˇ e nemá žádný vliv na vyhodnocování pravidel — vždy jsou procházena pravidla ve všech skupinách. Skupiny pravidel se zobrazují v levé ˇ cásti záložky Pravidla.
53
Kapitola 6 Rozšíˇ rený paketový filtr
Po kliknutí na jméno skupiny se ve stˇ rední ˇ cásti okna zobrazí seznam pravidel patˇ rících do této skupiny. Následující dvˇ e skupiny jsou pˇ reddefinované a nelze je zrušit: • Všechna pravidla („nadˇ razená skupina“) — obsahuje všechna pravidla paketového filtru • Výchozí (výchozí skupina) — do této skupiny je automaticky zaˇ razeno každé novˇ e vytvoˇ rené pravidlo, pokud uživatel nezvolí jinou skupinu. Poznámka: Skupiny pravidel nelze explicitnˇ e vytvᡠret a rušit. Skupinu lze vytvoˇ rit zadáním názvu nové (dosud neexistující) skupiny pˇ ri definici pravidla. Zaniká automaticky pˇ ri odstranˇ ení posledního pravidla. K manipulaci s pravidly paketového filtru slouží tlaˇ cítka pod seznamem skupin: • Zmˇ enit — úprava vybraného pravidla • Pˇ ridat — pˇ ridání nového pravidla na konec seznamu • Vložit — pˇ ridání (vložení) nového pravidla na aktuální pozici (nad oznaˇ cené pravidlo) • Odebrat — smazání oznaˇ ceného pravidla Poznámka: Není-li oznaˇ ceno žádné pravidlo, je aktivní pouze tlaˇ cítko Pˇ ridat.
Vytvoˇ rení nebo zmˇ ena pravidla Po stisknutí tlaˇ cítka Pˇ ridat, Vložit nebo Zmˇ enit se otevˇ re dialog pro definici pravidla paketového filtru. Pravidlo má tyto parametry:
54
6.1 Pravidla paketového filtru
Popis Název/popis pravidla. Do této položky doporuˇ cujeme vyplnit struˇ cný popis pravidla (úˇ cel pravidla, název aplikace atd.) — výraznˇ e se tím zlepší pˇ rehlednost seznamu pravidel. Do automaticky vytvᡠrených pravidel se jako popis vkládá název lokální aplikace, která se úˇ castní dané komunikace. Aplikace Lokální aplikace, pro kterou pravidlo platí. Aplikaci lze zadat ruˇ cnˇ e (jméno spustitelného souboru vˇ cetnˇ e plné cesty), vybrat ze seznamu (pˇ ri rozbalení této položky se nabídne seznam aplikací použitých v jiných pravidlech) nebo vyhledat na disku poˇ cítaˇ ce (po stisknutí tlaˇ cítka Procházet... se zobrazí standardní systémový dialog pro otevˇ rení souboru). Filtrovací pravidlo m˚ uže být i obecné, tj. bude platit pro libovolnou aplikaci. Toho dosáhneme výbˇ erem speciální volby any, pˇ ríp. ponecháme pole Application prázdné. Skupina Skupina pravidel, do které má být pravidlo zaˇ razeno. Zaˇ razení do skupiny nemá žádný vliv na funkci pravidla, slouží pouze pro zpˇ rehlednˇ ení seznamu pravidel. V položce Skupina lze vybrat nˇ ekterou z již existujících skupin nebo zadat název nové skupiny — tím dojde k vytvoˇ rení skupiny, do které bude pravidlo zaˇ razeno. Pˇ ri vytvᡠrení nového pravidla je vždy nastavena výchozí skupina Výchozí . Totéž platí pro pravidla vytvᡠrená automaticky (viz výše nebo kapitola 3.2). Zaznamenat do záznamu Sít’ Zapnutí/vypnutí záznamu komunikace vyhovující tomuto pravidlu do záznamu Sít’ (viz kapitola 11.4). Upozornit uživatele Zapnutí/vypnutí zobrazení upozornˇ ení uživateli (viz kapitola 3.4) pˇ ri zachycení komunikace vyhovující tomuto pravidlu.
Protokol Nastavení komunikaˇ cních protokol˚ u, pro které má pravidlo platit. Typicky je pˇ ri komunikaci používán jeden protokol (napˇ r. TCP nebo UDP), nˇ ekteré aplikace však mohou využívat více protokol˚ u souˇ casnˇ e (napˇ r. TCP a UDP na stejných portech). Z˚ ustane-li pole Protocol prázdné (tj. nezadáme žádný komunikaˇ cní protokol), bude pravidlo platit pro libovolný komunikaˇ cní protokol. Poznámka: Komunikuje-li aplikace protokolem TCP i UDP, pˇ riˇ cemž každý protokol používá jiné porty, je tˇ reba v paketovém filtru definovat dvˇ e r˚ uzná pravidla. Po stisknutí tlaˇ cítka Pˇ ridat nebo Zmˇ enit se otevˇ re dialog pro definici protokolu.
55
Kapitola 6 Rozšíˇ rený paketový filtr
Protokol je specifikován ˇ císlem protokolu v hlaviˇ cce IP paketu. Toto ˇ císlo lze pˇ rímo ˇ zadat do položky Císlo. V položce Jméno je možno vybrat nˇ ekterý z pˇ reddefinovaných standardních protokol˚ u. Položka Popis slouží k zadání popisu protokolu (pro zvýšení pˇ rehlednosti). Zobrazuje se pouze v tomto dialogu. Pˇ ri výbˇ eru protokolu ICMP se v dialogu zobrazí speciální položka Kódy. V ní lze nastavit typy ICMP zpráv, pro které bude pravidlo platit.
Typy zpráv se zadávají jejich ˇ císelnými kódy (jednotlivé kódy musí být oddˇ eleny ˇ cárkou). Z˚ ustane-li položka Kódy nevyplnˇ ena, bude pravidlo platit pro všechny typy ICMP zpráv. K snadnému nastavení typ˚ u ICMP zpráv slouží speciální dialog, který se zobrazí stisknutím tlaˇ cítka Vybrat. V tomto dialogu je možné vybrat požadované typy ICMP zpráv. Jejich kódy budou po stisknutí tlaˇ cítka OK automaticky dosazeny do položky Kódy.
56
6.1 Pravidla paketového filtru
Lokální Specifikace lokální strany spojení. Kerio Personal Firewall implicitnˇ e používá všechny lokální IP adresy vˇ cetnˇ e zpˇ etnovazebních (loopback). Z tohoto d˚ uvodu lze pro lokální stranu spojení specifikovat pouze porty. Tlaˇ cítkem Pˇ ridat lze pˇ ridat jeden port (Pˇ ridat port) nebo rozsah port˚ u (Pˇ ridat rozsah port˚ u). Jednotlivých port˚ u i rozsah˚ u port˚ u m˚ uže být zadáno více — takto lze pokrýt libovolnou množinu port˚ u. ˇ Port m˚ uže být zadán ˇ císlem v položce Císlo (platné jsou pouze hodnoty z rozsahu 1-65535) nebo výbˇ erem pˇ reddefinované standardní služby v položce Jméno. Položka Popis slouží k zadání popisu portu, resp. služby (pro zvýšení pˇ rehlednosti).
V pˇ rípadˇ e rozsahu port˚ u dialog obsahuje dvˇ eˇ cásti: První port (poˇ cáteˇ cní port rozsahu) a Poslední port (koncový port rozsahu).
57
Kapitola 6 Rozšíˇ rený paketový filtr
Vzdálený Specifikace vzdálené strany spojení. Dle potˇ reby je možno zadat IP adresu, port, pˇ rípadnˇ e obojí. Pravidlo se pak uplatní, jestliže zachycený paket bude obsahovat nˇ ekterou z IP adres a zároveˇ n nˇ ekterý z port˚ u uvedených v poli Vzdálený. Vzdálený port m˚ uže být opˇ et zadán jednotlivˇ e (Pˇ ridat port) nebo jako rozsah port˚ u (Pˇ ridat rozsah port˚ u). IP adresa m˚ uže být zadána jako: • jedna IP adresa (Pˇ ridat adresu)
• rozsah IP adres (Pˇ ridat rozsah adres) — zadáme poˇ cáteˇ cní a koncovou adresu požadovaného rozsahu
58
6.1 Pravidla paketového filtru
• subsít’ (Pˇ ridat adresu / masku) — zadáme adresu subsítˇ e a odpovídající masku
• skupina IP adres (Pˇ ridat skupinu IP adres) — v položce Vybrat vybereme nˇ ekterou ze skupin IP adres definovaných v záložce Skupiny IP adres
Jednotlivé možnosti zadání port˚ u a IP adres lze libovolnˇ e kombinovat.
Smˇ er Smˇ er komunikace, pro který má pravidlo platit: oba smˇ ery, pˇ ríchozí komunikace nebo odchozí komunikace. Smˇ erem komunikace je v tomto pˇ rípadˇ e mínˇ en smˇ er navazování spojení (resp. smˇ er prvního paketu, který zahajuje komunikaci). Akce Akce, kterou má Kerio Personal Firewall provést pˇ ri zachycení komunikace odpovídající tomuto pravidlu: • Povolit komunikaci • Zakázat komunikaci
59
Kapitola 6 Rozšíˇ rený paketový filtr
Logika vytvᡠrení pravidel paketového filtru Pˇ ri definici filtrovacího pravidla je tˇ reba znát logické vztahy mezi jednotlivými ˇ cástmi pravidla a položkami v nich obsaženými. • Vztah mezi poli Protokol, Lokální a Vzdálený je „a zároveˇ n“. Pravidlu tedy vyhoví komunikace, která splní podmínky ve všech tˇ echto polích. • Mezi položkami stejného typu (tj. protokoly, IP adresy a porty) v jednom poli platí vztah „nebo“. Pˇ ríklad: Pole Vzdálený obsahuje dva rozsahy port˚ u: 80-88 a 8000-8080. Podmínka bude splnˇ ena, bude-li vzdálený port patˇ rit do jednoho z tˇ echto rozsah˚ u. • Mezi položkami typu „IP adresa“ a „port“ v poli Vzdálený platí vztah „a zároveˇ n“. Pˇ ríklad: Pole Vzdálený obsahuje IP adresu 65.131.55.1 a port 80. Tuto podmínku splní komunikace se vzdáleným poˇ cítaˇ cem s IP adresou 65.131.55.1 na portu 80.
Poznámky k definici pravidel Položky Protocol, Lokální a Vzdálený spolu úzce souvisejí. Pˇ ri definici filtrovacích pravidel by mˇ el uživatel dodržovat nˇ ekolik základních zásad: 1.
Porty mají smysl pouze v pˇ rípadˇ e komunikaˇ cních protokol˚ u TCP a UDP. U ostatních protokol˚ u jsou ignorovány. Platí-li pravidlo pro libovolný protokol (pole Protokol je prázdné), pak se porty uplatní v pˇ rípadˇ e, kdy je zachycena komunikace protokolem TCP nebo UDP.
2.
Aplikaˇ cní služba je dána ˇ císly port˚ u a protokoly. V dialogu pro definici filtrovacího pravidla však název služby pˇ redstavuje pouze port — odpovídající protokol je tˇ reba doplnit ruˇ cnˇ e. Pˇ ríklad: Chceme vytvoˇ rit pravidlo pro pˇ ríchozí HTTP komunikaci (napˇ r. povolit pˇ rístup na WWW server na poˇ cítaˇ ci, který je chránˇ en Kerio Personal Firewallem). • V sekci Lokální pˇ ridáme jeden port (Pˇ ridat port), zvolíme službu HTTP — tím se nastaví port 80. • V sekci Protokol musíme nastavit protokol TCP, který služba HTTP používá.
3.
Velmi rošíˇ rený je model komunikace klient-server, kdy server ˇ ceká na známém (dohodnutém) portu na pˇ ríchozí spojení. Klient pˇ ri navazování spojení požádá operaˇ cní systém o pˇ ridˇ elení volného lokálního portu (který není pˇ redem znám). Z toho vyplývá, že zatímco port serveru musí být znám, port klienta m˚ uže být (témˇ eˇ r) libovolný.
60
6.2 Skupiny IP adres
Tyto skuteˇ cnosti je tˇ reba brát v úvahu pˇ ri definici pravidel paketového filtru. Pro ilustraci uved’me dva pˇ ríklady: Pˇ ríklad 1: Chceme povolit pˇ rístup k WWW serveru na lokálním poˇ cítaˇ ci z poˇ cítaˇ ce s IP adresou 60.80.100.120. Definujeme pravidlo: • Protokol — [6] TCP (služba HTTP využívá transportní protokol TCP) • Lokální — Port: [80] HTTP (na lokálním poˇ cítaˇ ci bˇ eží WWW server) • Vzdálený — Address: 60.80.100.120 (na vzdáleném poˇ cítaˇ ci bude provozován klient — WWW prohlížeˇ c; port pˇ redem neznáme, proto v pravidle uvedeme pouze IP adresu) Pˇ ríklad 2: Z lokálního poˇ cítaˇ ce chceme zakázat pˇ rístup k WWW serveru s IP adresou 90.80.70.60. Pravidlo definujeme takto: • Protokol — [6] TCP • Lokální — toto pole ponecháme nevyplnˇ ené (port klienta nelze pˇ redem urˇ cit) • Vzdálený — Port: [80] HTTP, Address: 90.80.70.60 (specifikujeme vzdálený server)
6.2 Skupiny IP adres Pro snazší definici pravidel paketového filtru je možno vytvᡠret skupiny IP adres, které pak lze v pravidlech použít v sekci Remote dialogu pro editaci pravidel paketového filtru (viz výše). Skupiny adres se zobrazují a definují v záložce Skupiny IP adres okna Rozšíˇ rený paketový filtr.
61
Kapitola 6 Rozšíˇ rený paketový filtr
Okno obsahuje dva sloupce: • Jméno skupiny — jméno skupiny IP adres, pˇ ri rozbalení se pod jménem skupiny zobrazí položky obsažené v této skupinˇ e • Definice — obsah (definice) jednotlivých položek skupiny Zaškrtávací pole vedle popisu položky slouží k doˇ casnému vyˇ razení položky ze skupiny. Toho lze využívat napˇ r. pˇ ri experimentování a odhalování chyb — položku není tˇ reba odstraˇ novat a poté znovu pˇ ridávat. Po stisknutí tlaˇ cítka Pˇ ridat (resp. Zmˇ enit, je-li vybrána nˇ ejaká položka) se otevˇ re dialog pro definici skupiny IP adres.
Povolena Povolení / zakázání položky. Tato volba koresponduje se zaškrtávacím polem vedle názvu položky v záložce Skupiny IP adres (viz výše). Je-li volba Povolena vypnuta, položka je neaktivní, tzn. není souˇ cástí dané skupiny. Jméno skupiny Jméno skupiny, do které má být položka zaˇ razena. V tomto poli lze: • vybrat jméno již definované skupiny — položka bude pˇ ridána do této skupiny • zadat jméno nové (dosud neexistující) skupiny — tím dojde k vytvoˇ rení nové skupiny a zaˇ razení položky do této skupiny Typ Typ pˇ ridávané položky: • Poˇ cítaˇ c — IP adresa jednoho poˇ cítaˇ ce • Rozsah adres — rozsah IP adres zadaný poˇ cáteˇ cní (První adresa) a koncovou (Poslední adresa) adresou
62
6.2 Skupiny IP adres
•
Adresa / maska — subsít’ zadaná adresou sítˇ e s odpovídající maskou
• Skupina adres — jiná skupina IP adres (skupiny IP adres lze do sebe libovolnˇ e vnoˇ rovat).
63
Kapitola 6 Rozšíˇ rený paketový filtr
64
Kapitola 7
Kontrola spouštˇ ených aplikací (bezpeˇ cnost systému)
Kerio Personal Firewall má kontrolu nad všemi aplikacemi v operaˇ cním systému, bez ohledu na to, zda sít’ovˇ e komunikují ˇ ci nikoliv. Takto napˇ r. dokáže okamžitˇ e odhalit infikaci aplikace novým virem ˇ ci trojským konˇ em — narozdíl od antivirového programu, kde vždy existuje urˇ citá prodleva mezi objevením nového viru a pˇ ríslušnou aktualizací virové databáze. K nastavení parametr˚ u kontroly aplikací slouží sekce Bezpeˇ cnost systému. Volba Povolit modul bezpeˇ cnosti systému zapíná/vypíná kontrolu spouštˇ ených aplikací. Je-li tato volba vypnuta, pak Kerio Personal Firewall spouštˇ ení aplikací nesleduje.
7.1 Pravidla pro aplikace Záložka Aplikace v sekci Bezpeˇ cnost systému obsahuje pravidla pro spouštˇ ení a zámˇ enu konkrétních aplikací.
Tato pravidla se vytvᡠrejí na základˇ e interakce s uživatelem pˇ ri spuštˇ ení dosud neznámé aplikace. Pravidla nelze vytvᡠret ruˇ cnˇ e, lze pouze mˇ enit jejich nastavení nebo je odstranit.
65
Kapitola 7 Kontrola spouštˇ ených aplikací (bezpeˇ cnost systému)
Pro každou aplikaci m˚ uže uživatel nastavit akci, kterou má firewall provést pˇ ri spuštˇ ení aplikace, pˇ ri zmˇ enˇ e spustitelného souboru aplikace a pˇ ri spuštˇ ení jiné aplikace touto aplikací. Akci lze nastavit: 1.
pˇ rímo v seznamu aplikací — klikáním levým tlaˇ cítkem na vybranou akci se cyklicky pˇ repíná: povolit, zakázat a ptát se (dotázat se uživatele)
2.
v kontextovém menu, které se zobrazí po kliknutí pravým tlaˇ cítkem na vybranou akci
3.
v dialogu pro úpravu pravidla. Tento dialog se otevírá tlaˇ cítkem Zmˇ enit, pˇ ríp. volbou Zmˇ enit z kontextového menu vybraného pravidla.
• V záhlaví dialogu je zobrazen popis aplikace, ikona a úplná cesta k spustitelnému souboru aplikace. • Pole Nastavení bezpeˇ cnosti systému umožˇ nuje nastavení akcí pro výše popsané tˇ ri pˇ rípady. • Volba Zaznamenat do záznamu Systém zapíná/vypíná záznam aktivity pˇ ríslušné aplikace (tj. spuštˇ ení, zmˇ ena spustitelného souboru nebo spuštˇ ení jiné aplikace touto aplikací) • Volba Upozornit uživatele zapíná/vypíná zobrazování upozornˇ ení uživateli (viz kapitola 3.4) pˇ ri aktivitˇ e pˇ ríslušné aplikace.
66
7.2 Obecná pravidla
7.2 Obecná pravidla
Pravidla v záložce Nastavení urˇ cují základní chování firewallu v následujících situacích: • Jestliže je aplikace spouštˇ ena • Jestliže aplikace byla zmˇ enˇ ena — zmˇ ena spustitelného souboru aplikace (pˇ ri spuštˇ ení aplikace se vytvoˇ rí kontrolní souˇ cet spustitelného souboru a porovná se s kontrolním souˇ ctem, který má Kerio Personal Firewall uložen ve své databázi) • Jestliže se aplikace pokouší spustit jinou aplikaci Pro každý z uvedených pˇ rípad˚ u lze nastavit jednu z tˇ echto možností: • automaticky povolit tuto akci — Kerio Personal Firewall neblokuje spouštˇ ení aplikace, resp. akceptuje zámˇ enu spustitelného souboru) • použít existující pravidla pro systémovou bezpeˇ cnost nebo se dotázat — Kerio Personal Firewall použje pravidlo pro danou aplikaci (pokud existuje) nebo se dotáže uživatele, zda tuto akci povolí ˇ ci nikoliv (viz kapitola 3.3)
67
Kapitola 7 Kontrola spouštˇ ených aplikací (bezpeˇ cnost systému)
68
Kapitola 8
Detekce útok˚ u
Kerio Personal Firewall dokáže rozpoznat a blokovat ˇ radu známých typ˚ u útok˚ u. K tomuto úˇ celu má vlastní databázi útok˚ u, která je aktualizována s každou novou verzí programu (z tohoto d˚ uvodu doporuˇ cujeme provádˇ et aktualizaci Kerio Personal Firewallu vždy, když se automaticky nabídne).
8.1 Nastavení systému detekce útok˚ u Parametry systému detekce útok˚ u (IDS — Intrusion Detection System) lze nastavit v sekci Útoky.
Volba Povolit modul detekce útok˚ u zapíná/vypíná systém detekce útok˚ u. Kerio Personal Firewall rozlišuje tˇ ri skupiny útok˚ u: • Útoky s vysokou prioritou — kritické útoky — napˇ r. poškození operaˇ cního systému, pokusy o ovládnutí systému ˇ ci únik dat
69
Kapitola 8 Detekce útok˚ u
• Útoky se stˇ rední prioritou — útoky, které zp˚ usobují napˇ r. blokování urˇ citých služeb, nefunkˇ cnost sít’ového pˇ ripojení apod. • Útoky s nízkou prioritou — ménˇ e závažné útoky (podezˇ relé sít’ové aktivity, chyby v protokolech, neplatný formát dat apod.) Pro každou z tˇ echto skupin lze oddˇ elenˇ e nastavit chování firewallu: • Akce — reakce firewallu na útoky z této skupiny (Povolit nebo Zakázat, tj. blokovat). Obecnˇ e je doporuˇ ceno blokovat útoky skupin Útoky s vysokou prioritou a Útoky se stˇ rední prioritou — nepovolujte útoky tˇ echto skupin, pokud si nejste skuteˇ cnˇ e jisti, co a proˇ c dˇ eláte (napˇ r. experimentální úˇ cely). Útoky s nízkou prioritou jsou ve výchozím nastavení povoleny — jejich blokování by mohlo zp˚ usobovat nefunkˇ cnost urˇ citých služeb. • Zaznamenat — záznam všech detekovaných útok˚ u z této skupiny do logu Útoky (viz kapitola 11.6). Tlaˇ cítko Podrobnosti zobrazí okno se seznamem útok˚ u v dané skupinˇ e.
Okno obsahuje název (popis) útoku (sloupec Útok) a tˇ rídu útoku (sloupec Tˇ rída). Kerio Personal Firewall používá IDS typu Snort — podrobné informace naleznete na WWW stránkách http:/www.snort.org/.
70
8.1 Nastavení systému detekce útok˚ u
Speciálním pˇ rípadem útoku je tzv. Scannování port˚ u (vyhledávání otevˇ rených port˚ u na daném poˇ cítaˇ ci). Z definice scannování port˚ u vyplývá, že jej není možné zcela blokovat, pokud má uživatel otevˇ rené nˇ ejaké porty (uzavˇ rené porty se automaticky blokují). Kerio Personal Firewall jej pouze detekuje — volba Zaznamenat zapíná/vypíná záznam o scannování port˚ u do logu Útoky.
71
Kapitola 8 Detekce útok˚ u
72
Kapitola 9
Filtrování obsahu WWW stránek
Filtr obsahu WWW stránek v Kerio Personal Firewallu má dvˇ e hlavní funkce: • blokování reklam (tj. banner˚ u, pop-up oken, skript˚ u atd.) • ochrana soukromí (tj. kontrola odesílaných dat a ukládaných cookies) K nastavení parametr˚ u filtrování obsahu slouží sekce WWW konfiguraˇ cního okna Kerio Personal Firewallu. Volba Povolit filtrování obsahu WWW v záložce Blokování zapíná/vypíná filtrování obsahu. Je-li tato volba vypnuta, pak neprovádí Kerio Personal Firewall kontrolu obsahu WWW stránek.
9.1 Blokování reklam, skript˚ u a pop-up oken
Kerio Personal Firewall má tyto možnosti filtrování nežádoucích prvk˚ u WWW stránek: Blokovat reklamy Blokování reklam podle definovaných pravidel. Tlaˇ cítko Nastavit otevírá dialog pro definici tˇ echto pravidel (viz dále).
73
Kapitola 9 Filtrování obsahu WWW stránek
Blokovat pop-up a pop-under okna Zákaz otevírání nevyžádaných oken prohlížeˇ ce (pop-up = okno otevˇ rené nad aktuálním oknem, pop-under = okno otevˇ rené pod aktuálním oknem — uživatel reklamu spatˇ rí po uzavˇ rení okna s navštívenou stránkou). Doˇ casnˇ e vyˇ radit pˇ ridržením klávesy Po zapnutí této volby bude uživatel moci pˇ ridržením zvolené klávesy (Ctrl nebo F12) vyˇ radit funkci blokování pop-up a pop-under oken dle potˇ reby (napˇ r. po dobu otevírání konkrétní WWW stránky). Vyˇ razení blokování pop-up oken je indikováno ikonou Kerio Personal Firewallu na nástrojové lištˇ e.
Upozornˇ ení: Klávesa F12 m˚ uže vykazovat kolize v debuggeru firmy Microsoft. Používáte-li vývojový nástroj Microsoft Visual Studio, doporuˇ cujeme pro doˇ casné vyˇ razení blokování pop-up oken nastavit klávesu Ctrl. Blokovat skripty jazyka JavaScript, VBScript Filtrování všech pˇ ríkaz˚ u pˇ ríslušného skriptovacího jazyka z WWW stránek. Blokovat objekty ActiveX Filtrování všech ActiveX komponent z WWW stránek. Poznámka: Výše uvedené tˇ ri volby mohou v urˇ citých pˇ rípadech zp˚ usobit nesprávné zobrazování nˇ ekterých stránek. Pokud taková situace nastane, je tˇ reba definovat výjimky pro konkrétní stránky v záložce Výjimky, pˇ rípadnˇ e tyto volby nezapínat a filtrovat reklamy jiným zp˚ usobem (napˇ r. volbou Blokovat reklamy).
Pravidla pro filtrování reklam Tlaˇ cítko Nastavit otevírá okno s pravidly pro filtrování reklam. Každé pravidlo je složeno ze dvou ˇ cástí: Serverová ˇ cást (jméno nebo IP adresa WWW serveru) a Lokální ˇ cást (relativní adresa objektu na daném serveru). Pokud je vyplnˇ ena pouze jedna z tˇ echto položek, pak: • je-li položka WWW server prázdná, platí pravidlo pro uvedenou relativní adresu na libovolném serveru • je-li položka Cesta na serveru prázdná, pak pravidlo platí pro libovolný objekt na uvedeném serveru (de facto blokování pˇ rístupu na tento WWW server) Zaškrtávací pole ve sloupci Aktivní zapíná/vypíná pˇ ríslušné pravidlo. Takto lze pravidlo doˇ casnˇ e „vyˇ radit“ bez nutnosti jej odstraˇ novat a poté znovu pˇ ridávat.
74
9.1 Blokování reklam, skript˚ u a pop-up oken
Tlaˇ cítka Zmˇ enit, Odebrat a Pˇ ridat slouží pro úpravu ˇ ci odstranˇ ení vybraného pravidla, resp. pˇ ridání nového pravidla. Kerio Personal Firewall má vlastní databázi pˇ reddefinovaných pravidel, která jsou oznaˇ cena ikonou. Pˇ reddefinovaná pravidla nelze zmˇ enit ani odstranit, lze je pouze aktivovat a deaktivovat. Databáze pˇ reddefinovaných pravidel je aktualizována pˇ ri instalaci nové verze Kerio Personal Firewallu. Pˇ ri aktualizaci z˚ ustane zachováno nastavení sloupce Aktivní (tzn. pˇ ri aktualizaci se neaktivují pravidla, která uživatel vypnul). Tlaˇ cítko Pˇ ridat nebo Zmˇ enit otevírá dialog pro definici pravidla filtru reklam. Pravidlo sestává ze dvou ˇ cástí: • WWW server — jméno WWW serveru • cesta na serveru — cesta k objektu (umístˇ ení objektu) na tomto serveru Pˇ ri definici serverová a lokální ˇ cást mohou být použity bud’ zástupné znaky (jednodušší definice) nebo regulární výrazy (komplexní definice, pro zkušené uživatele).
Definice pravidla pomocí zástupných znak˚ u
75
Kapitola 9 Filtrování obsahu WWW stránek
Je-li volba Použít regulární výrazy místo zástupných znak˚ u vypnuta, pak lze v položkách WWW server a Cesta na serveru použít tyto dva zástupné znaky: • * (hvˇ ezdiˇ cka) — nahrazení libovolného (i nulového) poˇ ctu znak˚ u • ? (otazník) — nahrazení právˇ e jednoho znaku Pˇ ríklady: • Položka WWW server obsahuje ˇ retˇ ezec *.kerio.com. Tomuto pravidlu vyhoví WWW servery www.kerio.com nebo download.kerio.com, ale nevyhoví napˇ r. www.akerio.com. • Položka WWW server obsahuje ˇ retˇ ezec www.kerio.c?. Tomuto pravidlu vyhoví WWW servery www.kerio.cz nebo www.kerio.cx, ale nevyhoví www.kerio.com.
Definice pravidla pomocí regulárních výraz˚ u Je-li zapnuta volba Použít regulární výrazy místo zástupných znak˚ u, musít být položky WWW server a Cesta na serveru zadány formou tzv. regulárních výraz˚ u standardu POSIX. Regulární výrazy umožˇ nují popsat libovolný ˇ retˇ ezec pomocí speciální symboliky. Pˇ ri definici adres WWW server˚ u a objekt˚ u pravdˇ epodobnˇ e vystaˇ címe s nˇ ekolika základními symboly: • . (teˇ cka) — nahrazuje libovolný znak v ˇ retˇ ezci. • * (hvˇ ezdiˇ cka) — znamená libovolný (i nulový) poˇ cet opakování pˇ redchozího symbolu.
76
9.2 Ochrana soukromí uživatele
Pˇ r.: Výraz .* pˇ redstavuje libovolný poˇ cet libovolných znak˚ u, tj. jakýkoliv (i prázdný) ˇ retˇ ezec (text). • \ (zpˇ etné lomítko) — slouží k zadání znaku, který má v regulárním výrazu speciální význam. Pˇ r.: Výraz \. pˇ redstavuje znak „teˇ cka“. Pˇ ríklad (viz obrázek): • Položka WWW server obsahuje výraz .*\.kerio\.com. Tento výraz znamená, že jméno serveru musí obsahovat podˇ retˇ ezec .kerio.com — tedy napˇ r. www.kerio.com, download.kerio.com, www.kpf.kerio.com apod. • Položka Cesta na serveru obsahuje výraz .*/img/.*. To znamená, že relativní adresa objektu na serveru musí obsahovat podˇ retˇ ezec /img/ — tedy napˇ r. /img/banner.gif, /data/img/bar.jpg nebo pouze /img/. Podrobné informace o regulárních výrazech lze nalézt napˇ r. na adrese: http://www.gnu.org/software/grep/
9.2 Ochrana soukromí uživatele Záložka Soukromí obsahuje tyto volby pro ochranu soukromí uživatele: Filtrovat cizí cookies Filtrování trvalých i doˇ casných cookies z jiných server˚ u (3rd party cookies).
77
Kapitola 9 Filtrování obsahu WWW stránek
Jedná se o cookies naˇ cítané z jiných WWW server˚ u než vlastní stránka (typickým pˇ ríkladem jsou cookies reklam). Filtrovat trvalé cookies Filtrování trvale ukládaných cookies. Tyto cookies obsahují informace, které mohou být odeslány na WWW server pˇ ri pˇ ríští návštˇ evˇ e dané stránky — server tak získá informaci o tom, že uživatel v minulosti tuto stránku již navštívil, o jeho uživatelském nastavení nebo libovolné jiné údaje. Filtrovat doˇ casné cookies Filtrování doˇ casných cookies (ukládaných pouze po dobu jedné relace, tj. do ukonˇ cení WWW prohlížeˇ ce). Tyto cookies se používají pˇ ri návratu na pˇ ríslušnou stránku (resp. WWW server ˇ ci server v dané doménˇ e) v rámci této relace. Po uzavˇ rení všech oken WWW prohlížeˇ ce jsou všechny doˇ casné cookies smazány. Zakázat server˚ um trasování pohybu po webu Blokování položky Referer v hlaviˇ cce protokolu HTTP. Tato položka obsahuje URL stránky, ze které uživatel na danou stránku pˇ rišel. Sledováním položky Referer lze mapovat pohyb uživatel˚ u po Internetu. Blokovat privátní informace Zákaz odesílání definovaných privátních informací z formulᡠru ˚ na WWW stránkách. Tlaˇ cítko Nastavit otevírá okno pro definici privátních informací, jejichž odesílání má Kerio Personal Firewall blokovat. Privátní informace se v Kerio Personal Firewallu definuje takto: • Typ — výbˇ er typu informace (napˇ r. e-mailová adresa, ˇ císlo kreditní karty atd.).
78
9.3 Výjimky pro jednotlivé WWW servery
Tato položka má pouze informativní charakter a nesouvisí s typem pole na WWW stránce. • Blokovaná informace — vlastní informace, tj. ˇ retˇ ezec, jehož odeslání bude Kerio Personal Firewall blokovat. • Popis — popis privátní informace (libovolný text, slouží pro zvýšení pˇ rehlednosti).
9.3 Výjimky pro jednotlivé WWW servery Záložka Výjimky umožˇ nuje specifikovat WWW servery, pro které budou nastavena vlastní pravidla filtrování obsahu WWW stránek.
Výjimky pro jednotlivé WWW servery jsou užiteˇ cné zejména v pˇ rípadech, kdy obecná pravidla pro obsah WWW stránek (v záložkách Blokování a Soukromí ) zp˚ usobují nefunkˇ cnost urˇ citých stránek (napˇ r. otevírání nových oken, pˇ rihlašování pomocí e-mailové
79
Kapitola 9 Filtrování obsahu WWW stránek
adresy apod.) nebo jejich úplné zablokování (v d˚ usledku pravidel pro filtrování reklam). Pˇ ri definici výjimky pro konkrétní server doporuˇ cujeme zvážit, zda se jedná o d˚ uvˇ eryhodný server a které typy objekt˚ u (skripty, cookies, privátní informace) jsou skuteˇ cnˇ e nutné pro správnou funkci stránek na tomto serveru. Tlaˇ cítko Pˇ ridat, resp. Zmˇ enit otevírá dialog pro definici výjimky.
Záložka WWW server slouží k zadání jména WWW serveru. Ve jménˇ e server˚ u lze použít zástupné znaky nebo jej zadat formou regulárního výrazu (podrobnosti viz blokování reklam — viz kapitola 9.1). Záložky Blokování a Soukromí jsou témˇ eˇ r identické s odpovídajícími záložkami sekce WWW . Zde však jednotlivé volby platí pouze pro uvedený WWW server.
80
Kapitola 10
Stavové informace
10.1 Pˇ rehled spojení a otevˇ rených port˚ u V sekci Pˇ rehled, záložka Spojení , se zobrazuje seznam spojení a port˚ u otevˇ rených jednotlivými aplikacemi. Uživatel tak má kompletní pˇ rehled, jaké aplikace na jeho poˇ cítaˇ ci sít’ovˇ e komunikují nebo ˇ cekají na navázání spojení. Port oznaˇ cujeme jako otevˇ rený, jestliže je v jednom z následujících stav˚ u: • navázané odchozí spojení (zelené podbarvení) • navázané pˇ ríchozí spojení (ˇ cervené podbarvení) • ˇ ceká na navázání spojení — serverový režim (bez podbarvení) V záložce Spojení se zobrazuje seznam aplikací, které mají otevˇ ren alepoˇ n jeden port.
Na prvním ˇ rádku je vždy uvedena ikona a název (popis) aplikace (nemá-li aplikace ikonu, použije se systémová ikona pro spustitelný soubor; není-li k dispozici popis aplikace, zobrazí se jméno souboru bez pˇ rípony). Kliknutím na tlaˇ cítko [+] nebo [-] vedle ikony aplikace lze zobrazit, resp. skrýt seznam port˚ u otevˇ rených touto aplikací.
81
Kapitola 10 Stavové informace
V dalších ˇ rádcích jsou pak zobrazena jednotlivá otevˇ rená spojení. Jedná-li se o odchozí spojení, ˇ rádek je zvýraznˇ en svˇ etle zelenou barvou; pˇ ríchozí spojení jsou zvýraznˇ ena svˇ etle ˇ cervenou barvou. Jednotlivé sloupce zobrazují podrobné informace o každém spojení: Lokální strana Lokální IP adresa (pˇ ríp. odpovídající DNS jméno) a port (pˇ ríp. název služby, jedná-li se o standardní službu). Namísto DNS jména poˇ cítaˇ ce mohou být uvedena tato speciální jména: • Vše — port je otevˇ ren na všech lokálních IP adresách (IP adresa 0.0.0.0) • Loopback — lokální zpˇ etnovazební IP adresa (127.0.0.1) Vzdálená strana IP adresa (resp. DNS jméno) a ˇ císlo portu (resp. název služby) vzdáleného poˇ cítaˇ ce. Platí totéž jako pro lokální adresu a port (viz výše). Protokol Použitý transportní protokol (TCP nebo UDP, pˇ ríp. oba). Rychlost pˇ ríchozí, Rychlost odchozí Aktuální rychlost pˇ rijímaných (pˇ ríchozích) a odesílaných (odchozích) dat v rámci daného spojení. Rychlost je uvádˇ ena v kilobytech za sekundu (KB/s). Pˇ rijato byt˚ u, Vysláno byt˚ u Celkový objem dat pˇ rijatých a vyslaných v rámci daného spojení. Poznámka: Jedná-li se o port, na kterém aplikace ˇ ceká na pˇ ríchozí spojení, pak je známa pouze lokální IP adresa, lokální port a protokol.
Otevˇ rené porty a navázaná spojení V dolní ˇ cásti záložky Spojení (stavovém ˇ rádku) se zobrazuje aktuální poˇ cet spojení a otevˇ rených port˚ u:
• Pˇ ríchozích spojení — poˇ cet navázaných pˇ ríchozích spojení (tj. ze vzdáleného poˇ cítaˇ ce na lokální poˇ cítaˇ c) • Odchozí spojení — poˇ cet navázaných odchozích spojení (tj. z lokálního poˇ cítaˇ ce na vzdálený poˇ cítaˇ c) • Naslouchání — poˇ cet port˚ u, na kterých aplikace ˇ cekají na navázání spojení
82
10.2 Statistiky
10.2 Statistiky V sekci Pˇ rehled / Statistiky lze zobrazit statistiky systému detekce útok˚ u a filtru obsahu WWW stránek za zvolené ˇ casové období.
Položka Zobrazit statistiky za poslední ... slouží k výbˇ eru ˇ casového období, za které budou statistiky zobrazovány: • poslední hodina • poslední den • poslední týden • poslední mˇ esíc Statistiky jsou rozdˇ eleny do skupin: Reklamy Blokované reklamy a komponenty WWW stránek: • Reklamy — poˇ cet objekt˚ u blokovaných pravidly pro filtrování reklam • Pop-up okna — poˇ cet blokovaných pop-up a pop-under oken
83
Kapitola 10 Stavové informace
Skripty • Skripty JavaScript — poˇ cet filtrovaných skript˚ u v jazyce JavaScript • Skripty VBScript — poˇ cet filtrovaných skript˚ u v jazyce Visual Basic Script • Objekty ActiveX — poˇ cet filtrovaných ActiveX komponent Útoky Poˇ cet detekovaných útok˚ u: • Vysoká priorita — kritické útoky • Stˇ rední priorita — útoky se stˇ rední prioritou (napˇ r. blokování služeb) • Nízká priorita — útoky s nízkou prioritou (napˇ r. podezˇ relé aktivity) • Scan port˚ u — zjišt’ování otevˇ rených port˚ u (Port Scanning) Soukromí Poˇ cet objekt˚ u blokovaných ochranou soukromí uživatele: • Položky Referer — poˇ cet filtrovaných položek Referer z hlaviˇ cky protokolu HTTP • Privátní informace — poˇ cet zablokovaných odesílaných privátních informací Cookies Poˇ cet blokovaných cookies jednotlivých typ˚ u: • Trvalé cookies — poˇ cet filtrovaných trvalých cookies • Doˇ casné cookies — poˇ cet filtrovaných doˇ casných cookies • Cizí cookies — poˇ cet filtrovaných cizích cookies
84
Kapitola 11
Záznamy
Záznamy jsou soubory, které uchovávají historii urˇ citých událostí. Kerio Personal Firewall má samostatný záznam pro každý modul (Sít’, Systém, Útoky a WWW ). Dále existují záznamy Error (chybová hlášení), Warning (varovná hlášení) a Debug (ladicí informace), do kterých se zapisují informace vztahující se k bˇ ehu programu Kerio Personal Firewall. Informace v tˇ echto záznamech mohou být užiteˇ cné napˇ ríklad pˇ ri ˇ rešení problém˚ u s technickou podporou firmy Kerio Technologies. Soubory záznam˚ u jsou uloženy v podadresᡠri logs adresᡠre, kde je Kerio Personal Firewall nainstalován (typicky C:\Program Files\Kerio\Personal Firewall 4\logs). Vlastní soubor záznamu má pˇ ríponu .log (napˇ r. network.log). Ke každému záznamu pˇ rísluší tzv. indexový soubor (pro vyhledávání). Tento soubor má pˇ ríponu .idx (napˇ r. network.log.idx).
11.1 Prohlížení záznam˚ u K prohlížení záznam˚ u jednotlivých modul˚ u firewallu a nastavení záznam˚ u slouží sekce Záznamy. Záložka Záznamy obsahuje v dolní ˇ cásti podzáložky se záznamy jednotlivých modul˚ u firewallu. V každé záložce se zobrazuje vždy urˇ citá ˇ cást pˇ ríslušného souboru záznamu. Kliknutím na název sloupce lze zobrazenou ˇ cást záznamu seˇ radit podle vybraného sloupce. Z technických d˚ uvod˚ u (objem dat) nejsou soubory záznam˚ u naˇ cítány celé do pamˇ eti. Ze souboru se naˇ cte pouze ˇ cást, která má být zobrazena. Proto pˇ ri prohlížení záznam˚ u dochází k následujícím jev˚ um: • Zobrazování je pˇ ri pohybu v záznamu relativnˇ e pomalé. • Pˇ ri ˇ razení podle vybraného sloupce je seˇ razena pouze aktuálnˇ e zobrazená ˇ cást záznamu. Po pˇ resunu na jinou ˇ cást záznamu je tˇ reba zobrazené informace znovu seˇ radit. Poznámka: Záznamy Error, Warning a Debug nejsou z uživatelského rozhraní Kerio Personal Firewall pˇ rístupné — lze je prohlížet pouze jako soubory.
85
Kapitola 11 Záznamy
11.2 Kontextové menu pro záznamy Pˇ ri stiskutí pravého tlaˇ cítka v záložce se záznamem se zobrazí kontextové menu s volbami pro daný záznam:
Smazat záznam Tato volba smaže veškeré informace z pˇ ríslušného souboru — smazaný záznam již nelze obnovit. Zobrazované jméno aplikace Zp˚ usob zobrazování jmen aplikací: •
Úplná cesta ke spustitelnému souboru aplikace
• Jméno spustitelného souboru aplikace •
Popis aplikace (je-li k dispozici, jinak je zobrazeno jméno spustitelného souboru bez pˇ rípony)
Volba Zobrazovat ikony zapíná/vypíná zobrazování ikon aplikací (nemá-li aplikace ikonu, použije se systémová ikona pro spustitelný soubor).
86
11.3 Volby pro záznamy
DNS jména poˇ cítaˇ cu ˚ Zobrazování jmen poˇ cítaˇ cu ˚ namísto IP adres. Jména poˇ cítaˇ cu ˚ se zjišt’ují z DNS (asynchronnˇ e). Dokud se nepodaˇ rí nalézt odpovídající jméno, je zobrazena IP adresa. Pojmenovat porty Zobrazování jmen služeb namísto ˇ císel port˚ u (pouze pro standardní služby definované v systémovém souboru services). Pojmenovat protokoly Zobrazování názv˚ u (zkratek) protokol˚ u namísto ˇ císla protokolu (pouze pro standardní protokoly definované v systémovém souboru protocols). Poznámky: 1.
V nˇ ekterých záznamech neobsahuje kontextové menu všechny výše popsané položky — napˇ r. v záznamu Systém se nezobrazuje žádná sít’ová komunikace, a proto zde nejsou volby DNS jména poˇ cítaˇ cu ˚ , Pojmenovat porty a Pojmenovat protokoly.
2.
Volby Zobrazované jméno aplikace, DNS jména poˇ cítaˇ cu ˚ a Pojmenovat porty/protokoly mají globální platnost — jejich nastavení ovlivˇ nuje všechny záznaení na spojení my, sekci Pˇ rehled / Spojení (viz kapitola 10.1), dialogy Upozornˇ (kap. 3.2) a Spouštˇ ení/Zámˇ ena/Spouštˇ ení jiné aplikace (kap. 3.3) a okno s upozornˇ ením (kap. 3.4). Nastavení zobrazování je rovnˇ ež popsáno v pˇ ríslušných kapitolách.
11.3 Volby pro záznamy V záložce Nastavení sekce Záznamy lze nastavit následující parametry a volby pro záznamy (nastavení platí pro všechny záznamy Kerio Personal Firewallu):
Max. velikost souboru Maximální velikost souboru záznamu (v kilobytech). Dosáhne-li soubor záznamu této velikosti, bude smazán a zapisován opˇ et od zaˇ cátku.
87
Kapitola 11 Záznamy
Odesílat záznamy na Syslog server Tato volba zapíná/vypíná odesílání vybraných záznam˚ u na Syslog server. Do položky Syslog server je tˇ reba zadat jméno nebo IP adresu Syslog serveru a do ˇ položky Port císlo portu, na kterém Syslog server bˇ eží (standardnˇ e 514). Tlaˇ cítko Upˇ resnˇ ení... otevírá dialog pro výbˇ er záznam˚ u Kerio Personal Firewallu, které mají být na Syslog server odesílány.
11.4 Záznam Sít’ Do záznamu Network se ukládají informace o sít’ové komunikaci, která vyhovˇ ela urˇ citému pravidlu pro aplikaci (viz kapitola 5.2) nebo pravidlu paketového filtru (viz kapitola 6). Komunikace se zaznamenává pouze tehdy, pokud je v pˇ ríslušném pravidle zapnuta volba Zaznamenat komunikaci do záznamu Sít’. Záznam Sít’ obsahuje tyto informace:
88
11.5 Záznam Systém
ˇ • Rádek —ˇ císlo ˇ rádku záznamu • Poˇ cet — poˇ cet zpráv (opakuje-li se stejná zpráva vícekrát bezprostˇ rednˇ e za sebou, uloží se do záznamu pouze jednou a uvede se poˇ cet opakování) • Datum — datum a ˇ cas zápisu zprávy do záznamu • Popis — v pˇ rípadˇ e pravidla paketového filtru popis pravidla • Aplikace — název lokální aplikace (dle volby Zobrazované jméno aplikace) pˇ ríslušné k zachycené sít’ové komunikaci Poznámka: Do souboru záznamu je ukládán jak popis aplikace, tak úplná cesta ke spustitelnému souboru. Proto lze v oknˇ e záznamu zp˚ usob zobrazení aplikace libovolnˇ e pˇ repínat. • Smˇ er — smˇ er navázání spojení (in = na lokální poˇ cítaˇ c, out = z lokálního poˇ cítaˇ ce) • Lokální strana — lokální IP adresa (jméno poˇ cítaˇ ce) • Vzdálená strana — IP adresa (jméno) vzdáleného poˇ cítaˇ ce • Protokol — použitý komunikaˇ cní protokol transportní úrovnˇ e (TCP, UDP apod.) • Akce — akce, která byla provedena: • permitted — komunikace povolena • denied — komunikace zakázána • asked → permitted — zobrazen dotaz uživateli (tj. dialog Upozornˇ ení na spojení ), uživatel komunikaci povolil • asked → denied — zobrazen dotaz uživateli, uživatel komunikaci zakázal
11.5 Záznam Systém Do záznamu Systém se zapisují informace o spouštˇ ení aplikací, které vyhovují urˇ citým pravidl˚ um v sekci Bezpeˇ cnost systému / Aplikace. Záznam se provádí pouze tehdy, je-li v pˇ ríslušném pravidle zapnuta volba Zaznamenat do záznamu Systém. Záznam Systém obsahuje tyto informace:
89
Kapitola 11 Záznamy
ˇ • Rádek —ˇ císlo ˇ rádku záznamu • Poˇ cet — poˇ cet identických zpráv • Datum — datum a ˇ cas zápisu zprávy do záznamu • Operace — typ operace: • starting — spouštˇ ení aplikace • starting modified — zmˇ ena ve spustitelném souboru aplikace • launching other — aplikace spouští jinou aplikaci • Aplikace — název aplikace (dle volby Zobrazované jméno aplikace) • Pˇ redmˇ et — v pˇ rípadˇ e spouštˇ ení jiné aplikace název této aplikace (dle volby Zobrazované jméno aplikace) • Akce — akce, která byla provedena: • permitted — spuštˇ ení aplikace povoleno • denied — spuštˇ ení aplikace zakázáno • asked → permitted — zobrazen dotaz uživateli (tj. dialog Spouštˇ ení/Zámˇ ena/Spouštˇ ení jiné aplikace), uživatel spuštˇ ení povolil • asked → denied — zobrazen dotaz uživateli, uživatel spuštˇ ení zakázal
11.6 Záznam Útoky Do záznamu Útoky se zapisují informace o detekovaných útocích. Zaznamenávány jsou útoky tˇ ech skupin, u nichž je zapnuta volba Zaznamenat (viz kapitola 8). Záznam Útoky obsahuje tyto informace:
90
11.7 Záznam WWW
ˇ • Rádek —ˇ císlo ˇ rádku záznamu • Poˇ cet — poˇ cet identických zpráv • Datum — datum a ˇ cas zápisu zprávy do záznamu • Popis — název (popis) zachyceného útoku (viz kapitola 8.1) • Smˇ er — smˇ er útoku (útok m˚ uže být veden i z lokálního poˇ cítaˇ ce) • Vzdálená adres — IP adresa (jméno) vzdáleného poˇ cítaˇ ce (pokud je zjistitelná — útok m˚ uže být veden z falšované IP adresy) • Odkazované URL — URL stránky s bližšími informacemi o útoku (jsou-li k dispozici) • Tˇ rída útoku — tˇ rída, do které je útok klasifikován (viz kapitola 8.1) • Priorita — prioritní skupina, do které je útok zaˇ razen v Kerio Personal Firewallu (vysoká, stˇ rední nebo nízká priorita) • Akce — akce, kterou Kerio Personal Firewall provedl pˇ ri zachycení tohoto útoku (permitted — útok povolen, denied — útok zakázán)
11.7 Záznam WWW Do záznamu WWW se zapisují informace o objektech blokovaných filtrem obsahu WWW stránek. Tento záznam není konfigurovatelný — je-li modul filtrování obsahu aktivní (viz kapitola 9), zaznamenávají se všechny filtrované objekty. Záznam WWW obsahuje tyto informace:
91
Kapitola 11 Záznamy
ˇ • Rádek —ˇ císlo ˇ rádku záznamu • Poˇ cet — poˇ cet identických zpráv • Datum — datum a ˇ cas zápisu zprávy do záznamu • Metoda — použitá metoda protokolu HTTP (GET nebo POST ) • URL — adresa objektu (resp. stránky), kterého se metoda týká • Pˇ redmˇ et — blokovaný prvek WWW stránky (Advertisement — reklama, Referer — odkaz Referer v HTTP hlaviˇ cce, cookie — trvalé nebo doˇ casné cookie, blockPopups — pop-up nebo pop-under okno) • Hodnota — hodnota blokovaného prvku (viz níže) • Akce — akce, která byla provedena (removed — odstranˇ ený prvek z WWW stránky, blocked — blokováno pravidly pro reklamy) Informace v položce Hodnota závisí na typu blokovaného objektu (viz položka Pˇ redmˇ et): • reklama (Advertisement) — sloupec Hodnota obsahuje pravidlo, které bylo uplatnˇ eno (viz kapitola 9.1) • položka Referer — sloupec Hodnota obsahuje URL stránky, na kterou bylo v této položce odkazováno • skripty (Script) — ve sloupci Hodnota je uveden typ skriptu nebo objektu, který byl filtrován (JavaScript, VBScript nebo ActiveX ). • pop-up a pop-under okna (blockPopups) — výraz ON ve sloupci Hodnota znamená, že pro danou stránku bylo aktivováno blokování pop-up a pop-under oken.
92
11.8 Záznamy Debug, Error a Warning
11.8 Záznamy Debug, Error a Warning Záznam Debug obsahuje podrobné informace o bˇ ehu programu Kerio Personal Firewall. Do záznamu Error se zapisují závažné chyby, které mají zásadní vliv na chod Kerio Personal Firewallu (napˇ r. nepodaˇ rí-li se z nˇ ejakého d˚ uvodu spustit službu Personal Firewall Engine). Do záznamu Warning jsou zapisovány nekritické chyby (napˇ r. chyba pˇ ri zjišt’ování nové verze programu).
93
Kapitola 11 Záznamy
94
Kapitola 12
Slovníˇ cek pojm˚ u
Aplikaˇ cní protokol Aplikaˇ cní protokoly jsou neseny v paketech protokolu TCP, pˇ ríp. UDP, a slouží pˇ rímo k pˇ renosu uživatelských (aplikaˇ cních) dat. Existuje mnoho standardních aplikaˇ cních protokol˚ u (napˇ r. SMTP, POP3, HTTP, FTP apod.), programátor aplikace si však m˚ uže navrhnout libovolný vlastní (nestandardní) zp˚ usob komunikace. Cookie Textové informace, které server ukládá ke klientovi (WWW prohlížeˇ ci). Slouží pro pozdˇ ejší identifikaci klienta pˇ ri opˇ etovné návštˇ evˇ e daného serveru/stránky. Cookies mouhou být zneužívány pro sledování, které stránky uživatel navštívil, pˇ rípadnˇ e k poˇ cítání pˇ rístup˚ u. Firewall Prostˇ redek (zpravidla softwarový produkt) k ochranˇ e pˇ red útoky a únikem dat. Existují dva základní typy firewall˚ u: • sít’ový firewall — chrání poˇ cítaˇ ce v urˇ cité subsíti. Typicky bývá nasazen na bránu (smˇ erovaˇ c), který pˇ ripojuje tuto subsít’ do Internetu. • personální (osobní) firewall — chrání jeden konkrétní poˇ cítaˇ c (pracovní stanici uživatele). Oproti sít’ovému firewallu m˚ uže navíc vztáhnout sít’ovou komunikaci ke konkrétní aplikaci, mˇ enit své chování na základˇ e interakce s uživatelem atd. Poznámka: V tomto manuálu je výrazem firewall oznaˇ cován produkt Kerio Personal Firewall. ICMP ICMP (Internet Control Message Protocol) je protokol pro pˇ renos ˇ rídicích zpráv. Tˇ echto zpráv existuje nˇ ekolik typ˚ u, napˇ r. informace, že cílový poˇ cítaˇ c je nedostupný, žádost o pˇ resmˇ erování nebo žádost o odezvu (použito v pˇ ríkazu PING). IP IP (Internet Protocol) je protokol, který nese ve své datové ˇ cásti všechny ostatní protokoly. Nejd˚ uležitˇ ejší informací v jeho hlaviˇ cce je zdrojová a cílová IP adresa, tedy kým (jakým poˇ cítaˇ cem) byl paket vyslán a komu je urˇ cen. Port Nejd˚ uležitˇ ejší informací v hlaviˇ cce TCP a UDP paketu je zdrojový a cílový port. Zatímco IP adresa urˇ cuje poˇ cítaˇ c v Internetu, port urˇ cuje aplikaci bˇ ežící na tomto poˇ cítaˇ ci. Porty 1-1023 jsou rezervovány pro standardní služby a operaˇ cní systém, porty 1024-65535 mohou být použity libovolnou aplikací. Pˇ ri typické komunikaci
95
Kapitola 12 Slovníˇ cek pojm˚ u
klient-server je zpravidla znám cílový port (na nˇ ej se navazuje spojení nebo posílá UDP datagram), zdrojový port je naopak pˇ ridˇ elován automaticky operaˇ cním systémem. TCP TCP (Transmission Control Protocol) slouží pro spolehlivý pˇ renos dat tzv. virtuálním kanálem (spojením). Je používán jako nosný protokol pro vˇ etšinu aplikaˇ cních protokol˚ u, napˇ r. SMTP, POP3, HTTP, FTP, Telnet atd. TCP/IP TCP/IP je souhrnné oznaˇ cení pro protokoly používané pro komunikaci v síti Internet. V rámci každého protokolu jsou data dˇ elena na datové jednotky, nazývané pakety. Každý paket se skládá z hlaviˇ cky a datové ˇ cásti, pˇ riˇ cemž hlaviˇ cka obsahuje systémové informace (napˇ r. zdrojovou a cílovou adresu) a datová ˇ cást vlastní pˇ renášená data. Protokolová sada je rozdˇ elena na nˇ ekolik úrovní. Pˇ ritom platí, že pakety protokol˚ u nižších úrovní obsahují (zapouzdˇ rují) ve své datové ˇ cásti pakety protokol˚ u vyšších úrovní (napˇ r. pakety protokolu TCP jsou neseny v IP paketech). UDP UDP (User Datagram Protocol) je tzv. nespojovaný prototokol, tzn. nevytvᡠrí žádný kanál a data jsou pˇ renášena v jednotlivých zprávách (tzv. datagramech). UDP nezaruˇ cuje spolehlivé doruˇ cení dat (datagram se m˚ uže pˇ ri pˇ renosu sítí ztratit). Ve srovnání s protokolem TCP má ale mnohem nižší režii (odpadá vytvᡠrení a rušení spojení, potvrzování atd.). Protokol UDP se typicky používá napˇ r. pro pˇ renos DNS dotaz˚ u, zvuku, videa apod.
96
Kapitola 13
Rejstˇ r´ık
97