Kerio Personal Firewall 2.1

Internet je pln² nebezpeΦφ a tak se vedle v²konnΘho a neustßle aktualizovanΘho antiviru stßvß nezbytn²m druhem programu i osobnφ firewall. Jednφm z nejpopulßrn∞jÜφch je produkt spoleΦnosti Kerio - Personal Firewall ve verzi 2.1.

U₧ivatelskß p°φruΦka ve formßtu PDF

Instalace

Kerio Personal Firewall je dodßvßn v podob∞ jednoho spustitelnΘho souboru, kter² je zßrove≥ i souborem instalaΦnφm. Po jeho spuÜt∞nφ prob∞hne vÜe v re₧ii instalaΦnφho programu Install Shield, na u₧ivateli je ponechßna pouze volba cφlovΘho adresß°e. Instalace je zakonΦena nezbytn²m restartem poΦφtaΦe (Yes, I want to restart my computer), proto doporuΦujeme p°ed spuÜt∞nφm instalace ukonΦit vÜechny programy a ulo₧it rozpracovanou prßci:

Po restartu nßs program p°ivφtß nßsledujφcφm dialogem:

Firewall nßs tφmto informuje o detekci paketu NetBIOS, jeho₧ p∙vodcem je sφ¥ standardu MS Network. Ta je implicitn∞ nastavena p°i instalaci Windows a dφky tomuto protokolu m∙₧ete se sv²mi kolegy sdφlet soubory Φi tiskßrny. Pokud vÜak tuto vymo₧enost nepou₧φvßte a chcete se omezit jen na surfovßnφ po internetu, tak vßm doporuΦujeme zaÜkrtnout volby Allow Microsoft Network Name resolution (povolit rozliÜovßnφ nßzv∙ poΦφtaΦ∙) a Allow other user to access my shared folders/printers(povolit ostatnφm u₧ivatel∙m p°φstup na mnou sdφlenΘ adresß°e a tiskßrny).

Konfigurace

Sφla a p°edevÜφm optimßlnφ funkΦnost a tedy i bezpeΦnost firewallu spoΦφvß v jeho konfiguraci. Pokud firewall Üpatn∞ nakonfigurujete, nenφ vßm k niΦemu a ·toΦnφci se mohou bez problΘm∙ dostat na vßÜ poΦφtaΦ, proto₧e vy jste jim to povolili - tedy p°esn∞jii °eΦeno, ve firewallu jste vytvo°ili pravidlo (rule), kterΘ to umo₧≥uje.

Jakmile firewall nainstalujeme, objevφ se jeho ikonka v liÜt∞ Start v oblasti zvanΘ Systray:

Modelovß situace

Typickou aplikacφ, kterou p°i prßci s internetem vyu₧φvß ka₧d² z nßs, je internetov² prohlφ₧eΦ. Podφvejme se tedy na to, co se stane, kdy₧ po restartu poΦφtaΦe po instalaci firewallu spustφme Internet Explorer:

Firewall nßs tφmto dialogem informuje o tom, ₧e se IE hodlß spojit s vzdßlen² webov²m serverem s IP adresou 212.47.13.30 na portu 80, je₧ je obvykle vyhrazen slu₧b∞ WWW. Pokud klikneme na tlaΦφtko Permit, tak celou operaci povolφme, stiskem tlaΦφtka Deny naopak zakß₧eme. Abychom byli v budoucnu uÜet°eni podobnΘho äklikßnφô, zaÜkrtneme polφΦko Create appropriate rule and don't ask again, Φφm₧ v²b∞r potvrdφme i do budoucna a tφm tak vytvo°φme v p°edchßzejφcφm textu ji₧ zmi≥ovanΘ pravidlo.

Firewall nßs v souvislosti s IE p°ekvapφ jeÜt∞ jednou otßzkou:

V tomto p°φpad∞ se jednß o komunikaci nespojovanou (UDP), kdy IE komunikuje s lokßlnφ stanicφ. Tuto komunikaci doporuΦujeme v ka₧dΘm p°φpad∞ povolit, nebo¥ v opaΦnΘm p°φpad∞ by rychlost surfovßnφ povß₧iv∞ klesla - strßnky by se velmi dlouho naΦφtaly.

Modifikace pravidel

Ji₧ vytvo°enß pravidla samoz°ejm∞ modifikovat. K tomuto ·Φelu se p°emφstφme do liÜty Start, poklepeme na ikonku, indikujφcφ b∞h firewallu. Dojde k zobrazenφ okna aplikace:

Obsahem okna je v²pis vÜech b∞₧φcφch program∙, kterΘ vy₧φvajφ ke komunikaci sφ¥ovΘ prost°edky. Sami vidφte, ₧e kup°. aplikace MYSQLD-NT.EXE "poslouchß" (listening) na portu 3306 - Φekß tedy na po₧adavky (dotazy) klient∙. TakΘ IE (IEXPLORE.EXE) Φekß na dvou portech k navßzßnφ komunikace se vzdßlen²m webov²m serverem.

Zp∞t vÜak k naÜemu ·kolu - zm∞n∞ pravidel. V nabφdce File vybereme polo₧ku Admin, Φφm₧ otev°eme novΘ dialogovΘ okno:

Pomocφ posuvnφku m∙₧eme m∞nit ·rove≥ zabezpeΦenφ naÜeho poΦφtaΦe od Pemit uknown (povolit neznßmΘ), kdy poΦφtaΦ nenφ zabezpeΦen, p°es implicitnφ Ask Me First (poprvΘ se zeptat), kdy firewall vyzve k povolenφ Φi zakßzßnφ komunikace a₧ k Deny unknown (zakßzat vÜe neznßmΘ), p°i kterΘ bude veÜkerß komunikace, pro kterou nenφ vytvo°eno p°φsluÜnΘ pravidlo, zakßzßna.

TlaΦφtkem Advanced se koneΦn∞ dostßvßme ke specifikaci pravidel:

Obsahem tohoto dialogu je seznam vytvo°en²ch pravidel. Ta lze pomocφ zaÜkrtßvacφho polφΦka v prvnφm sloupci doΦasn∞ deaktivovat, Φi stiskem tlaΦφtka Delete natrvalo mazat. Od v²robce firewallu u₧ navφc mßte n∞kterß pravidla p°edem vytvo°ena - typickou ukßzkou budi₧ pravidlo Outgoing PING command, dφky kterΘmu m∙₧e k vaÜemu poΦφtaΦi vzdßlen² u₧ivatel poslat ICMP paket - znßm² PING - kter² se mu vrßtφ a potvrdφ tak vaÜi p°φtomnost na sφti. V²b∞rem pravidla a stiskem tlaΦφtka Edit lze p°φsluÜnΘ pravidlo blφ₧e specifikovat:

Pomocφ tohoto dialogu tak m∙₧eme zm∞nit protokol, sm∞r (Direction), Φφslo portu (Port type), aplikaci u lokßlnφho poΦφtaΦe (Local endpoint) Φi adresu (Address type) a port (Port type) u poΦφtaΦe vzdßlenΘho. K modifikaci se nabφzφ takΘ platnost pravidla (Rule valid) a p°edevÜφm jeho povolenφ (Permit) Φi naopak zakßzßnφ (Deny).

Detaily nastavenφ:

╗Local Endpoint½ definuje port, kter² mß program na vaÜem poΦφtaΦi pou₧φvat.
╗Remote Endpoint½ je rozd∞len na IP adresu poΦφtaΦe p°ipojenΘho na internet a port na protistran∞. Pokud by tedy nap°. Internet Explorer spustil poplach, m∙₧e browser jako ╗Local Endpoint½ pou₧φt ka₧d² port vaÜeho poΦφtaΦe. Jako IP adresu protistrany musφte uvolnit ka₧dou IP, pokud nechcete nastavit p°φstup pouze na jednu webovou strßnku. Jako port pro ╗Remote Endpoint½ je urΦen p°edevÜφm port 80. Ale to je vÜechno jen zßkladnφ nastavenφ. JemnΘ dolad∞nφ byste m∞li provΘst v nßsledujφcφch konfiguraΦnφch krocφch.

Optimßlnφ p°izp∙sobenφ: Firewall m∙₧ete kdykoli konfigurovat i bez poplachu. Klikn∞te prav²m tlaΦφtkem myÜi na ikonu Keria na liÜt∞ a vyberte bod ╗Administration½.
V prvnφm okn∞ ╗Firewall½ lze nastavit jednu ze t°φ bezpeΦnostnφch ·rovnφ Keria:

╗Permint Unknown½ nechß projφt ka₧d² datov² paket, kter² nebyl vysloven∞ zakßzßn n∞kter²m pravidlem firewallu.
╗Ask me first½ se vßs p°i ka₧dΘm novΘm druhu komunikace dotß₧e, jestli pro n∞j chcete vytvo°it pravidlo.
╗Deny unknown½ blokuje vÜechna data, dokud pro n∞ nenφ vytvo°eno pravidlo.
╗Advanced½: Toto tlaΦφtko vßs dovede k samotnΘmu srdci firewallu: Zde m∙₧ete upravovat vÜechna do tΘ doby vytvo°enß pravidla a zaklßdat novΘ filtry.

Prvnφ pravidla firewallu jsou v programu Kerio rychle hotova.

Vybudovßnφ bezpeΦnosti: Pro ka₧dou dalÜφ aplikaci musφte samoz°ejm∞ zalo₧it novΘ pravidlo û p°ehled nejΦast∞ji pou₧φvan²ch port∙ najdete v tabulce, velmi obsßhl² seznam je k dispozici na webovΘ strßnce www.iana.org/assignments/port-numbers. IANA (Internet Assigned Numbers Autority) je organizace, kterß zadala nejd∙le₧it∞jÜφ Φßst port∙: tzv. äwell known Portsô od 0 do 1.023. U t∞chto port∙ je stanoveno, jakß data p°es n∞ mohou b²t vym∞≥ovßna, co₧ velmi zjednoduÜuje konfiguraci a pou₧itφ program∙.

Tak nap°. FTP nßstroj automaticky vφ, ₧e musφ vybrat standardnφ port 21. V oblasti od 1.024 do 49.151 le₧φ tzv. äRegistered Portsô, kterΘ jsou mΘn∞ standardizovßny. Nad hranicφ äRegistered Portsô, tzn. 49.152 a₧ 65.535 panuje v podstat∞ anarchie. äDve°e do internetuô, oznaΦovanΘ jako äDynamic Allocatedô nebo takΘ äPrivate Portsô m∙₧e vyu₧φvat ka₧d² software, nachßzejφcφ se na poΦφtaΦi.

TIP

POZOR: Na www.kerio.com sice najdete beta verzi 3, ale u takto d∙le₧itΘ aplikace byste nem∞li podstupovat riziko, kterΘ p°i pou₧itφ beta verze nelze vylouΦit.

Oklamßnφ tr≤jsk²ch konφ: Pro zablokovßnφ jakΘhokoli p°enosu dat p°es internet, dokud nenφ aktivovßn firewall, staΦφ jeden mal² zßpis do registr∙. Pokud pracujete pod Windows 98 nebo Me, musφte kliknutφm pravΘho tlaΦφtka myÜi zalo₧it do registr∙ v adresß°i ╗HKEY_LOCAL_MACHINE | System | CurrentControlSet | Services | VxD | fwdrv½ DWORD zßpis se jmΘnem ╗AlwaysSecure½. Tomuto zßznamu potΘ p°i°a∩te hodnotu ╗1½.

Pak nemajφ ₧ßdnou Üanci ani takovφ tr≤jÜtφ kon∞, kte°φ se pokusφ vy°adit stßvajφcφ firewall. Tφmto krokem zφskßte p°ed crackery mal² nßskok. D∙vod: Tr≤jsk² k∙≥ by musel nejprve odstranit zßpis z registr∙ a teprve potΘ by mohl deaktivovat firewall a pracovat, jak je zvykl².

Uzav°enφ mezer ve firewallu: Zablokujte protokol ICMP (Internet Control Message Protocol) pro vÜechny porty vaÜeho poΦφtaΦe a pro vzdßlenΘ poΦφtaΦe. V obou p°φpadech to platφ jak pro odesφlßnφ, tak i pro p°φjem. D∙vod: ICMP je v∞tÜinou zodpov∞dn² za p°enos chyb a hlßÜenφ o stavu (statusu) (p°φkaz Ping je znßm² ka₧dΘmu sprßvci sφt∞ û chyt°φ ädatovφ pirßtiô mohou ale p°es tento protokol vy°adit veÜkerΘ firewally tak, ₧e data jednoduÜe schovajφ do pings. P°i pou₧itφ t∞chto filtrovacφch pravidel p°irozen∞ p°φkaz ping nefunguje.

Petr Vostr²