5.3. Předdefinovaná pravidla pro síťovou komunikaci

Pro zjednodušení konfigurace obsahuje Kerio Personal Firewall sadu předdefinovaných pravidel pro síťovou komunikaci. Tato pravidla nejsou závislá na aplikacích (platí globálně). Uživatel se může rozhodnout, zda předdefinovaná pravidla použije či nikoliv, případně může upravit jejich nastavení.

Předdefinovaná pravidla pro síťovou komunikaci se nacházejí v sekci Síťová bezpečnost, záložka Předdefinované.

Pravidla v této záložce nelze přidávat ani odebírat. U každého pravidla lze pouze nastavit akci pro důvěryhodnou zónu a Internet. Nastavení akce se provádí kliknutím levým tlačítkem myši na příslušné místo (tj. v řádce vybraného pravidla ve sloupci Důvěryhodné nebo Internet). Opakovaným klikáním se střídavě přepínají akce Povolit a Zakázat.

Poznámka: U předdefinovaných pravidel nelze nastavit akci Ptát se (tj. dotázání se uživatele při zachycení odpovídající komunikace — viz kapitoly Pravidla pro aplikaceDialog Upozornění na spojení (zachycení neznámé komunikace)).

Volba Povolit předdefinovaná pravidla pro síťovou bezpečnost povoluje/zakazuje předdefinovaná pravidla pro síťovou komunikaci. Je-li tato volba vypnuta, pak jsou předdefinovaná pravidla ignorována a Kerio Personal Firewall pracuje pouze s pravidly pro aplikace (viz kapitola Pravidla pro aplikace) a s rozšířeným paketovým filtrem (viz kapitola Rozšířený paketový filtr).

Tlačítko Výchozí obnovuje výchozí nastavení akcí v předdefinovaných pravidlech.

Popis předdefinovaných pravidel

Kerio Personal Firewall obsahuje tato předdefinovaná pravidla pro síťovou komunikaci:

Internet Group Management Protocol

Protokol IGMP se používá k přihlašování a odhlašování do/ze skupiny příjemců multicastových zpráv. Tento protokol lze poměrně snadno zneužít, a proto je ve výchozím nastavení zakázán. Povolte jej pouze v případě, provozujete-li aplikace, které využívají technologie multicast zpráv (typicky přenos zvuku či videa po Internetu).

Ping and Tracert in, Ping and Tracert out

Programy Ping a Tracert (Traceroute) slouží ke zjištění odezvy vzdáleného počítače, resp. trasování cesty v síti. K tomuto účelu používají zprávy řídicího protokolu ICMP (Internet Control Message Protocol).

Případný útočník zpravidla nejprve zkouší, zda vybraná IP adresa „žije“ — tj. zda odpovídá na uvedené řídicí zprávy. Blokováním těchto zpráv se počítač stává „neviditelným“, což může snížit pravděpodobnost útoku.

Ve výchozím nastavení jsou blokovány příchozí Ping a Tracert zprávy z Internetu. Z důvěryhodné zóny jsou tyto zprávy povoleny (předpokládá se, že např. správce sítě bude programem Ping testovat dostupnost dané pracovní stanice).

Odchozí Ping a Tracert zprávy jsou povoleny pro obě zóny. Tyto nástroje jsou totiž velmi často používány pro ověření funkčnosti síťového připojení či dostupnosti vzdáleného počítače.

Other ICMP packets

Pravidlo pro ostatní zprávy řídicího protokolu ICMP (např. přesměrování, cíl nedostupný apod.).

Dynamic Host Configuration Protocol

DHCP slouží k automatickému nastavování parametrů TCP/IP (IP adresa, maska subsítě, výchozí brána atd.).

Upozornění: Zakázání DHCP může způsobit nefunkčnost síťového připojení vašeho počítače, pokud jsou parametry TCP/IP konfigurovány tímto protokolem!

Domain Name System

DNS slouží k převodu jmen počítačů na IP adresy. Aby bylo možné zadávat cílové počítače jmény, musí být povolena komunikace alespoň s jedním DNS serverem.

Virtual Private Network

Virtuální privátní síť (VPN) je bezpečné propojení dvou lokálních sítí (resp. připojení vzdáleného klienta do lokální sítě) přes Internet šifrovaným kanálem (tzv. tunelem). Pravidlo Virtual Private Network kontroluje vytváření VPN protokoly PPTP a IPSec.

Broadcasts

Pravidlo pro pakety se všeobecnou adresou. V zóně Internet platí toto pravidlo také pro pakety se skupinovou adresou (multicasts).