Kerio Personal Firewall 2.1

Internet je plný nebezpečí a tak se vedle výkonného a neustále aktualizovaného antiviru stává nezbytným druhem programu i osobní firewall. Jedním z nejpopulárnějších je produkt společnosti Kerio - Personal Firewall ve verzi 2.1.

Uživatelská příručka ve formátu PDF

Instalace

Kerio Personal Firewall je dodáván v podobě jednoho spustitelného souboru, který je zároveň i souborem instalačním. Po jeho spuštění proběhne vše v režii instalačního programu Install Shield, na uživateli je ponechána pouze volba cílového adresáře. Instalace je zakončena nezbytným restartem počítače (Yes, I want to restart my computer), proto doporučujeme před spuštěním instalace ukončit všechny programy a uložit rozpracovanou práci:

Po restartu nás program přivítá následujícím dialogem:

Firewall nás tímto informuje o detekci paketu NetBIOS, jehož původcem je síť standardu MS Network. Ta je implicitně nastavena při instalaci Windows a díky tomuto protokolu můžete se svými kolegy sdílet soubory či tiskárny. Pokud však tuto vymoženost nepoužíváte a chcete se omezit jen na surfování po internetu, tak vám doporučujeme zaškrtnout volby Allow Microsoft Network Name resolution (povolit rozlišování názvů počítačů) a Allow other user to access my shared folders/printers(povolit ostatním uživatelům přístup na mnou sdílené adresáře a tiskárny).

Konfigurace

Síla a především optimální funkčnost a tedy i bezpečnost firewallu spočívá v jeho konfiguraci. Pokud firewall špatně nakonfigurujete, není vám k ničemu a útočníci se mohou bez problémů dostat na váš počítač, protože vy jste jim to povolili - tedy přesnějii řečeno, ve firewallu jste vytvořili pravidlo (rule), které to umožňuje.

Jakmile firewall nainstalujeme, objeví se jeho ikonka v liště Start v oblasti zvané Systray:

Modelová situace

Typickou aplikací, kterou při práci s internetem využívá každý z nás, je internetový prohlížeč. Podívejme se tedy na to, co se stane, když po restartu počítače po instalaci firewallu spustíme Internet Explorer:

Firewall nás tímto dialogem informuje o tom, že se IE hodlá spojit s vzdálený webovým serverem s IP adresou 212.47.13.30 na portu 80, jež je obvykle vyhrazen službě WWW. Pokud klikneme na tlačítko Permit, tak celou operaci povolíme, stiskem tlačítka Deny naopak zakážeme. Abychom byli v budoucnu ušetřeni podobného „klikání“, zaškrtneme políčko Create appropriate rule and don't ask again, čímž výběr potvrdíme i do budoucna a tím tak vytvoříme v předcházejícím textu již zmiňované pravidlo.

Firewall nás v souvislosti s IE překvapí ještě jednou otázkou:

V tomto případě se jedná o komunikaci nespojovanou (UDP), kdy IE komunikuje s lokální stanicí. Tuto komunikaci doporučujeme v každém případě povolit, neboť v opačném případě by rychlost surfování pováživě klesla - stránky by se velmi dlouho načítaly.

Modifikace pravidel

Již vytvořená pravidla samozřejmě modifikovat. K tomuto účelu se přemístíme do lišty Start, poklepeme na ikonku, indikující běh firewallu. Dojde k zobrazení okna aplikace:

Obsahem okna je výpis všech běžících programů, které vyžívají ke komunikaci síťové prostředky. Sami vidíte, že kupř. aplikace MYSQLD-NT.EXE "poslouchá" (listening) na portu 3306 - čeká tedy na požadavky (dotazy) klientů. Také IE (IEXPLORE.EXE) čeká na dvou portech k navázání komunikace se vzdáleným webovým serverem.

Zpět však k našemu úkolu - změně pravidel. V nabídce File vybereme položku Admin, čímž otevřeme nové dialogové okno:

Pomocí posuvníku můžeme měnit úroveň zabezpečení našeho počítače od Pemit uknown (povolit neznámé), kdy počítač není zabezpečen, přes implicitní Ask Me First (poprvé se zeptat), kdy firewall vyzve k povolení či zakázání komunikace až k Deny unknown (zakázat vše neznámé), při které bude veškerá komunikace, pro kterou není vytvořeno příslušné pravidlo, zakázána.

Tlačítkem Advanced se konečně dostáváme ke specifikaci pravidel:

Obsahem tohoto dialogu je seznam vytvořených pravidel. Ta lze pomocí zaškrtávacího políčka v prvním sloupci dočasně deaktivovat, či stiskem tlačítka Delete natrvalo mazat. Od výrobce firewallu už navíc máte některá pravidla předem vytvořena - typickou ukázkou budiž pravidlo Outgoing PING command, díky kterému může k vašemu počítači vzdálený uživatel poslat ICMP paket - známý PING - který se mu vrátí a potvrdí tak vaši přítomnost na síti. Výběrem pravidla a stiskem tlačítka Edit lze příslušné pravidlo blíže specifikovat:

Pomocí tohoto dialogu tak můžeme změnit protokol, směr (Direction), číslo portu (Port type), aplikaci u lokálního počítače (Local endpoint) či adresu (Address type) a port (Port type) u počítače vzdáleného. K modifikaci se nabízí také platnost pravidla (Rule valid) a především jeho povolení (Permit) či naopak zakázání (Deny).

Detaily nastavení:

• »Local Endpoint« definuje port, který má program na vašem počítači používat.
• »Remote Endpoint« je rozdělen na IP adresu počítače připojeného na internet a port na protistraně. Pokud by tedy např. Internet Explorer spustil poplach, může browser jako »Local Endpoint« použít každý port vašeho počítače. Jako IP adresu protistrany musíte uvolnit každou IP, pokud nechcete nastavit přístup pouze na jednu webovou stránku. Jako port pro »Remote Endpoint« je určen především port 80. Ale to je všechno jen základní nastavení. Jemné doladění byste měli provést v následujících konfiguračních krocích.

Optimální přizpůsobení: Firewall můžete kdykoli konfigurovat i bez poplachu. Klikněte pravým tlačítkem myši na ikonu Keria na liště a vyberte bod »Administration«.
V prvním okně »Firewall« lze nastavit jednu ze tří bezpečnostních úrovní Keria:

• »Permint Unknown« nechá projít každý datový paket, který nebyl vysloveně zakázán některým pravidlem firewallu.
• »Ask me first« se vás při každém novém druhu komunikace dotáže, jestli pro něj chcete vytvořit pravidlo.
• »Deny unknown« blokuje všechna data, dokud pro ně není vytvořeno pravidlo.
• »Advanced«: Toto tlačítko vás dovede k samotnému srdci firewallu: Zde můžete upravovat všechna do té doby vytvořená pravidla a zakládat nové filtry.

Vybudování bezpečnosti: Pro každou další aplikaci musíte samozřejmě založit nové pravidlo – přehled nejčastěji používaných portů najdete v tabulce, velmi obsáhlý seznam je k dispozici na webové stránce www.iana.org/assignments/port-numbers. IANA (Internet Assigned Numbers Autority) je organizace, která zadala nejdůležitější část portů: tzv. „well known Ports“ od 0 do 1.023. U těchto portů je stanoveno, jaká data přes ně mohou být vyměňována, což velmi zjednodušuje konfiguraci a použití programů.

Tak např. FTP nástroj automaticky ví, že musí vybrat standardní port 21. V oblasti od 1.024 do 49.151 leží tzv. „Registered Ports“, které jsou méně standardizovány. Nad hranicí „Registered Ports“, tzn. 49.152 až 65.535 panuje v podstatě anarchie. „Dveře do internetu“, označované jako „Dynamic Allocated“ nebo také „Private Ports“ může využívat každý software, nacházející se na počítači.

Oklamání trójských koní: Pro zablokování jakéhokoli přenosu dat přes internet, dokud není aktivován firewall, stačí jeden malý zápis do registrů. Pokud pracujete pod Windows 98 nebo Me, musíte kliknutím pravého tlačítka myši založit do registrů v adresáři »HKEY_LOCAL_MACHINE | System | CurrentControlSet | Services | VxD | fwdrv« DWORD zápis se jménem »AlwaysSecure«. Tomuto záznamu poté přiřaďte hodnotu »1«.

Ve Windows NT, 2000 a XP musíte vytvořit v registrech zápis »HKEY_LOCAL_MACHINE | System | CurrentControlSet | Services | fwdrv«. Editor registrů otevřete přes »Start | Spustit« příkazem »regedit«.

Pak nemají žádnou šanci ani takoví trójští koně, kteří se pokusí vyřadit stávající firewall. Tímto krokem získáte před crackery malý náskok. Důvod: Trójský kůň by musel nejprve odstranit zápis z registrů a teprve poté by mohl deaktivovat firewall a pracovat, jak je zvyklý.

Uzavření mezer ve firewallu: Zablokujte protokol ICMP (Internet Control Message Protocol) pro všechny porty vašeho počítače a pro vzdálené počítače. V obou případech to platí jak pro odesílání, tak i pro příjem. Důvod: ICMP je většinou zodpovědný za přenos chyb a hlášení o stavu (statusu) (příkaz Ping je známý každému správci sítě – chytří „datoví piráti“ mohou ale přes tento protokol vyřadit veškeré firewally tak, že data jednoduše schovají do pings. Při použití těchto filtrovacích pravidel přirozeně příkaz ping nefunguje.

Petr Vostrý