Kerio WinRoute Firewall 5.0 (dßle jen KWF) firmy Kerio Technologies vychßzφ z osv∞dΦenΘho WinRoute Pro 4.x. (WRP). Prvnφ ostrß verze KWF 5.0 byla zp°φstupn∞na koncem ·nora, zatφm jen pro OS Windows. Partnerskß aplikace Kerio MailServer existuje i ve verzφch pro Linux a Mac OS X. K dispozici je vÜak specißlnφ verze s integrovan²m antivirem McAfee.
V nßstupci WRP se tv∙rci rozhodli vyΦlenit slu₧by poÜtovnφho serveru do produktu s nßzvem Kerio MailServer (KMS), jen₧ mß mnohem v∞tÜφ rozsah funkcφ ne₧ poÜtovnφ slu₧ba p∙vodnφho WRP, a v KWF ponechat vÜechny zb²vajφcφ slu₧by p°edch∙dce, kterΘ ovÜem dßle rozÜφ°ili o mnoho dalÜφch. P∙vodnφ produkt s nov²m nßzvem Kerio WinRoute Pro 4.2 je nadßle nabφzen t∞m firmßm, jim₧ jeho mo₧nosti pln∞ vyhovujφ. Pro v∞tÜφ Φi nßroΦn∞jÜφ spoleΦnosti je tu kombinace KWF a KMS.
Instalace
Instalace pomocφ pr∙vodce je jednoduchß. Pokud provßdφme upgrade, je prvnφm krokem v²zva k ukonΦenφ WRP. InstalaΦnφ program detekuje koliznφ software (nap°. sdφlenφ internetovΘho p°ipojenφ Windows), kter² je t°eba vypnout. Po odsouhlasenφ licence a cesty pro ulo₧enφ soubor∙ nßsleduje v²b∞r mezi typickou nebo kompaktnφ instalacφ. Volbu Custom vyu₧ijeme p°i instalovßnφ administraΦnφ konzoly a plug-inu do nφ na poΦφtaΦ administrßtora, tj tam, kde WinRoute engine nepot°ebujeme.
Je-li detekovßna starÜφ verze, nabφdne pr∙vodce import nastavenφ z WRP a jeho odinstalaci. P∙vodnφ konfigurace WRP se uchovß, tak₧e se pozd∞ji m∙₧eme jednoduÜe vrßtit k p∙vodnφmu WRP. Provßdφme-li import starΘ konfigurace, uvidφme v pr∙vodci takΘ v²sledek importu (report - kolik bylo importovßno u₧ivatel∙ a skupin, v²sledek importu konfigurace DNS, DHCP, proxy serveru, HTTP cache, skupin IP adres, Φasov²ch interval∙, definic URL atd.). Na u₧ivateli pak zßle₧φ, chce-li po odinstalaci smazat logy starΘ aplikace. Po dokonΦenφ instalace nßsleduje restart serveru. M∙₧eme se takΘ rozhodnout neimportovat a zaΦφt "od ΦistΘho stolu".
Po instalaci se v oblasti systray usφdlφ ikona umo₧≥ujφcφ spuÜt∞nφ a zastavenφ slu₧by KWF, nastavenφ automatickΘho spuÜt∞nφ slu₧by a monitoru slu₧by a v neposlednφ °ad∞ takΘ ukonΦenφ samotnΘho monitoru a spuÜt∞nφ administrace.
Konzola
Nynφ m∙₧eme spustit administraΦnφ konzolu a konfigurovat pro nßs pot°ebnΘ slu₧by. Grafika administraΦnφ konzoly je proti WRP zcela p°epracovanß. Je zalo₧ena na knihovn∞ Qt a je spoleΦnß i pro dalÜφ produkty firmy Kerio Technologies. Pro pohodlnou prßci je t°eba rozliÜenφ alespo≥ 1024 x 768. Ni₧Üφ nestaΦφ, proto₧e n∞kterΘ panely jsou p°φliÜ ÜirokΘ a neustßlΘ posouvßnφ horizontßlnφ liÜtou zdr₧uje.
V konzole s v²hodou pou₧ijeme zßlo₧ky, do nich₧ ulo₧φme nastavenφ p°ipojenφ jednotliv²ch aplikacφ, t°eba i vΦetn∞ p°φstupov²ch hesel. P°φstup k zßlo₧kßm je chrßn∞n zvlßÜtnφm heslem (passphrase). Mφsto ruΦnφho zadßvßnφ ·daj∙ ( jmΘna Φi IP adresy serveru, jmΘna a hesla oprßvn∞nΘho u₧ivatele) zvolφme konkrΘtnφ p°ipojenφ z menu nebo z nßstrojovΘ liÜty myÜφ. V pruhu nßstroj∙ konzoly jsou jen tlaΦφtka pro odpojenφ a p°ipojenφ a p°φpadnΘ zßlo₧ky.
V otev°enΘm administraΦnφm okn∞ vidφme v levΘm sloupci strom polo₧ek, vpravo jednotlivΘ volby. Vpravo dole lze tlaΦφtkem potvrdit nov∞ zadanΘ ·daje nebo je stornovat. Nad volbami ve tvaru tabulek lze p°es pravΘ tlaΦφtko myÜi nastavit, kterΘ informace (sloupce) chcete Φi nechcete zobrazovat, a lze i m∞nit jejich po°adφ. Komunikace s KWF je Üifrovanß a b∞₧φ na stejnΘm portu jako u WRP (44333).
Konfigurace
Nemßme-li importovßnu konfiguraci z WRP, nabφdne se p°i prvnφm spuÜt∞nφ konzoly pr∙vodce konfiguracφ (m∙₧eme jej samoz°ejm∞ inicializovat i pozd∞ji). DokonΦenφ prßce s pr∙vodcem mß za nßsledek p°epis p∙vodnφ konfigurace!
V pr∙vodci vybφrßme, zda mßme internetovΘ p°ipojenφ p°φmΘ (Ethernet, DSL, KTV), nebo vytßΦenΘ (dial-up, ISDN), a v dalÜφm kroku zadßvßme, kterΘ vytßΦenΘ p°ipojenφ k internetu se mß pou₧φvat, resp. kterß sφ¥ovß karta vede do internetu. Dßle definujeme, kterΘ slu₧by internetu chceme u₧ivatel∙m zp°φstupnit a kterΘ servery ve vnit°nφ sφti a slu₧by na nich b∞₧φcφ majφ b²t naopak dostupnΘ z internetu. Nakonec povolφme NAT (p°eklad sφ¥ov²ch adres) a aktivujeme svou konfiguraci firewallu. StejnΘ kroky mß i pr∙vodce v rßmci instalace produktu.
Pravidla m∙₧eme nßsledn∞ (ale i hned od poΦßtku) upravovat ruΦn∞. NejlepÜφ vÜak je nejprve p°ejmenovat jednotlivß rozhranφ na LAN a Internet (p°φp. DMZ) - zlepÜuje to p°ehlednost v nastavenφ komunikaΦnφch pravidel. U mal²ch firem, kterΘ majφ vÜechny slu₧by nebo v∞tÜinu slu₧eb na jednom serveru, je v²hodnΘ vyΦlenit rozhranφ lokßlnφ sφt∞ (LAN) z dohledu firewallu. Umo₧≥uje to vyÜÜφ v²kon souborovΘho nebo databßzovΘho serveru, na n∞m₧ je KWF instalovßn. Konfigurace funkcφ paketovΘho filtru, NAT a mapovan²ch port∙ byla slouΦena do jedinΘ tabulky nastavenφ s nßzvem KomunikaΦnφ pravidla. Ka₧dΘ pravidlo lze doΦasn∞ deaktivovat a pro p°ehlednost zvolit barvu pozadφ ka₧dΘho °ßdku.
P°i ruΦnφm zadßvßnφ volφme struΦn² nßzev pravidla, zdroj a cφl paketu, typ slu₧by nebo protokol a rozsah port∙. Slu₧bu vybφrßme z rozsßhlΘho seznamu sahajφcφho od ICMP p°es nap°φklad MS-SQL a PC Anywhere a₧ po VNC nebo WINS, a nic nßm nebrßnφ definovat si slu₧bu vlastnφ. Pakety vyhovujφcφ tomuto pravidlu m∙₧eme povolit, zakßzat nebo zahodit. Dßle je k dispozici zßznam paket∙ anebo odpovφdajφcφch spojenφ a takΘ p°eklad na jin² cφl a port. Nakonec pro pravidlo m∙₧eme vymyslet vlastnφ delÜφ popis. Jako zdroj Φi cφl m∙₧eme vybrat poΦφtaΦ ( jednu IP adresu), rozsah IP adres, definovanou skupinu adres, sφ¥ s maskou a vÜechny sφt∞ p°ipojenΘ k danΘmu rozhranφ. ZvlßÜtnφ skupinou zdrojov²ch paket∙ a jejich cφl∙ jsou Firewall a Libovoln².
Zdrojem vÜak mohou b²t i vybranφ u₧ivatelΘ nebo skupiny - omezφme tak p°φstup ke slu₧bßm internetu nep°ihlßÜen²m u₧ivatel∙m, musφme vÜak pro n∞ mφt omezujφcφ pravidlo. U slu₧by HTTP jsou nep°ihlßÜenφ automaticky p°esm∞rovßni na p°ihlaÜovacφ strßnku. U jin²ch protokol∙ (nap°. FTP) musφ u₧ivatel nejprve pomocφ WWW prohlφ₧eΦe jφt na p°ihlaÜovacφ strßnku a tam se autentizovat. S IE 5.0 a vyÜÜφm lze v domΘn∞ provΘst p°ihlaÜovßnφ na pozadφ protokolem NTLM (NTLanMan).
Funkce
P∞knß je funkce p°evedenφ DNS jmΘna poΦφtaΦe na jeho IP adresu. Lze ji vyu₧φt u definice zdroje a cφle paket∙, ne u cφlovΘho poΦφtaΦe pro mapovßnφ port∙. Pravidla se prochßzejφ shora dol∙ a na konci vÜech pravidel je v₧dy tzv. implicitnφ pravidlo, kterΘ zakazuje veÜkerou komunikaci a kterΘ nelze zruÜit. Zde je mo₧nΘ pakety jen zakßzat nebo zahodit a p°φpadn∞ logovat.
Nejd∙le₧it∞jÜφ funkcφ KWF je filtrovßnφ obsahu. Celß strategie je zalo₧ena na neanonymnφm p°φstupu ke slu₧bßm internetu. U p°ihlßÜen²ch u₧ivatel∙ se do logu zapisuje jejich jmΘno a IP adresa, u ostatnφch jen IP adresa. Zßpis jmΘna PC, jak tomu bylo u WRP, ji₧ nenφ mo₧n².
Pravidla obsahu HTTP umo₧≥ujφ zakßzat vÜem nebo jen urΦit²m u₧ivatel∙m p°φstup ke konkrΘtnφm strßnkßm na zßklad∞ jejich URL. Oproti WRP vÜak pravidlo v KWF m∙₧e platit i jen v urΦitΘm Φase (po pracovnφ dob∞ povoleno) a jen pro konkrΘtnφ MIME typ objektu (t°eba jen pro obrßzky). Sprßvce m∙₧e definovat text zßkazu zobrazujφcφ se mφsto po₧adovanΘ strßnky a krom∞ globßlnφho omezenφ je mo₧nΘ pro ka₧dΘ jednotlivΘ URL definovat zakßzanΘ HTML objekty jako ActiveX, Java applety apod. V pravidlech je mo₧nΘ vyu₧φt p°eddefinovan²ch skupin URL (reklamy a bannery) a vytvß°et vlastnφ. P°i zakoupenφ licence na integrovanΘho klienta obsahovΘho filtru Cobion, jeho₧ databßze obsahuje n∞kolik miliard internetov²ch strßnek, m∙₧eme omezit p°φstup u₧ivatel∙ ke strßnkßm s nevhodn²m obsahem (pornografie, warez apod.). Pokud je odpov∞∩ systΘmu Cobion kladnß, je u₧ivateli p°φstup na danou strßnku odep°en. UrΦitφ u₧ivatelΘ mohou mφt povoleno n∞kterΘ zßkazy odemknout. Odemknutφ bude zaznamenßno do logu Security, platφ jen 10 minut a jeden u₧ivatel m∙₧e odemknout maximßln∞ 10 zßkaz∙ najednou. V neposlednφ °ad∞ umo₧≥uje KWF zamezit p°φstup na WWW strßnky na zßklad∞ zakßzan²ch slov. V seznamu mß ka₧dΘ tzv. zakßzanΘ slovo p°i°azenu hodnotu a p°i p°ekroΦenφ limitu poΦtu zakßzan²ch slov na strßnce je tato strßnka nep°φstupnß. Sprßvce m∙₧e limit m∞nit a seznam libovoln∞ upravovat.
DalÜφ inovacφ je transparentnφ proxy. V prohlφ₧eΦi u₧ivatel∙ nenφ nutno definovat ₧ßdnou proxy, p°esto je veÜkerß komunikace kontrolovßna a zaznamenßna. P°es DHCP server KWF lze provßd∞t automatickou konfiguraci "browser∙". Obsa₧en je i klasick² proxy server, kter² ovÜem nepodporuje protokol FTP. Pro tento protokol, pokud nenφ definovßn nad°φzen² proxy server ( jen₧ FTP proxy umφ), je mo₧nΘ pou₧φt jen transparentnφ proxy. Velikost spoleΦnΘ cache obou proxy m∙₧e b²t a₧ 8 GB (pokud to souborov² systΘm dovolφ).
V Φßsti Pravidla FTP jsou p°eddefinovßna pravidla pro zßkaz stahovßnφ hudebnφch soubor∙ formßtu MP3, zßkaz stahovßnφ videa (AVI) a zßkaz uploadu pro zabrßn∞nφ ·niku dat z firmy. Implicitn∞ je vÜak zapnuto jen pravidlo zakazujφcφ pokraΦovßnφ ve stahovßnφ FTP po jeho p°eruÜenφ (REST) kv∙li antivirovΘ kontrole. InspekΦnφ modul pro tento protokol umo₧≥uje pou₧φvat FTP v aktivnφm modu. Sprßvce nenφ nikterak omezen v definici vlastnφch pravidel. M∙₧e omezit p°φstup na konkrΘtnφ FTP servery nebo zakßzat libovolnou skupinu FTP p°φkaz∙. M∙₧e tΘ₧ omezit pravidlo v Φase, na konkrΘtnφ u₧ivatele a jmΘna p°enßÜen²ch soubor∙ (nap°. *.EXE).
DalÜφ v²znaΦnou novinkou je antivirovß kontrola, kterß se provßdφ nad protokoly HTTP a FTP. Krom∞ verze produktu s integrovan²m antivirem McAfee si m∙₧eme vybrat mezi produkty Üesti jin²ch firem - od Grisoftu po Symantec. Standardn∞ se kontrolujφ spustitelnΘ soubory, archivy, applety, dokumenty MS Office, soubory VBS a soubory MIME typu "application/*".
KWF poskytuje takΘ slu₧by DNS forwarderu a novΘho, plnohodnotnΘho DHCP serveru, umo₧≥ujφcφho p°id∞lovat adresy i klient∙m BOOTP a RAS. Klient∙m DHCP umφ krom∞ IP adres p°edßvat dalÜφ konfiguraΦnφ parametry. KWF podporuje i protokoly H.323, SIP a SCCP (vÜe VoIP), IPsec a UPnP. DalÜφm mΘn∞ d∙le₧it²m vylepÜenφm je zano°ovßnφ skupin IP adres do sebe (firma = lokßlnφ sφ¥ centrßly + poboΦky).
U vytßΦenφ na ₧ßdost lze definovat, na kterΘ URL po₧adavky se mß spojenφ vytvo°it a kterΘ po₧adavky se majφ ignorovat. Dial-up se konfiguruje (kdy vytoΦit, kdy dr₧et, zav∞sit, zda p°ipojenφ trvale dr₧et) v definici rozhranφ. Sm∞rovacφ tabulka nßm umo₧≥uje zkontrolovat hodnoty v systΘmu a definovat vlastnφ statickΘ cesty. Konfiguraci antispoofingu zφskßvß KWF z routovacφch tabulek a ji₧ nenφ nutno jako u WRP explicitn∞ urΦovat, jakΘ adresy se na danΘm rozhranφ sm∞jφ vyskytovat.
U₧ivatele lze zadßvat ruΦn∞ a importovat z NT domΘny nebo z Active Directory. JednotlivΘ u₧ivatele integrujeme do skupin, abychom mohli p°id∞lovat prßva cel²m skupinßm u₧ivatel∙. U ka₧dΘho u₧ivatele jednotliv∞ lze nastavit, jakΘ objekty jsou pro n∞j v HTTP povoleny (ActiveX, pop-up windows atp.), a prßva k administraci, k vytvo°enφ komutovanΘho spojenφ a k odemykßnφ pravidel pro URL.
Pod polo₧kou Sledovßnφ stavu lze prohlΘdnout grafy vytφ₧enφ jednotliv²ch rozhranφ v nßsledujφcφch Φasov²ch periodßch: poslednφ 2 hodiny, 12 hodin, 1 den a 30 dnφ (chybφ obdobφ 7 a 14 dnφ). Sledovat m∙₧eme i to, kte°φ u₧ivatelΘ a jak dlouho jsou p°ihlßÜenφ a kolik p°enesli dat, takΘ lze sledovat a "zabφt" (nßsiln∞ ukonΦit) n∞kterß z aktußlnφch spojenφ. Odchozφ, lokßlnφ a p°φchozφ spojenφ jsou odliÜena barvou pozadφ, barva pφsma indikuje aktivnφ a neaktivnφ spojenφ.
V zßznamech m∙₧eme sledovat zßpisy zm∞n konfigurace (vΦetn∞ autora zm∞ny), jednotlivß spojenφ, ladicφ v²pisy, vytßΦenφ, chyby, zßpisy paketovΘho filtru, HTTP po₧adavky, antispoofing, varovnß hlßÜenφ a logovßnφ p°φstupu k WWW strßnkßm.
B∞hem redakΦnφho zpracovßnφ Φlßnku dokonΦili pracovnφci firmy Kerio Technologies dalÜφ upgrade systΘmu na nynφ aktußlnφ verzi 5.0.5.
Ve verzi 5.0.5 se v²vojß°i rozhodli zruÜit funkΦnost volby "Nesledovat komunikaci s firewallem na tomto rozhranφ". Ta je nadßle p°φstupnß, ale nemß vliv na chod firewallu. Produkt je standardn∞ dodßvßn v elektronickΘ verzi - u₧ivatel dostane na papφ°e jen licenΦnφ kartu a vlastnφ produkt i manußly zφskß sta₧enφm z internetu, kde jej i registruje. Krabicovß verze s instalaΦnφm CD a tiÜt∞n²m manußlem je k dispozici za p°φplatek.
P°ipomφnky
Nevφce mi chybφ antivirovß kontrola protokol∙ POP3 i NNTP (NEWS) a dalÜφch. Pro SMTP m∞ u₧ tolik netrßpφ, mßme KMS a ten mß vlastnφ antivirovou kontrolu poÜty. ZkuÜenφ u₧ivatelΘ si vÜak cht∞jφ Φφst poÜtu i z jin²ch, externφch server∙. Sprßvce se m∙₧e bu∩ spolΘhat na zapnutou a aktußlnφ antivirovou kontrolu na koncovΘ stanici, nebo komunikaci z LAN technicky zakßzat a vybran²m pracovnφk∙m na vy₧ßdßnφ vytvo°it stahovßnφ jejich poÜty prost°ednictvφm KMS s uklßdßnφm do jejich slo₧ky. P°itom se vÜak musφ dozv∞d∞t jejich hesla a u₧ivatelΘ si nemohou stßhnout stejnΘ zprßvy jeÜt∞ i doma, proto₧e volbu "zanechat zprßvy na serveru" KMS nemß.
ChybiΦkou je uklßdßnφ novΘ definice nebo pravidla a₧ na sam² konec seznamu - zßle₧φli na po°adφ, je potom nutnΘ posunout pravidlo boΦnφmi Üipkami nahoru. Vhodn∞jÜφ °eÜenφ je u komunikaΦnφch pravidel, kde se za°azuje nad vyznaΦen² °ßdek. TakΘ rotaci log∙, adresß° pro jejich uklßdßnφ a Üablony u₧ivatel∙ by m∞li v²vojß°i zapracovat tak, jak to ud∞lali u KMS.
Zßv∞r
Upgradem z WinRoute Pro nov∞ zφskßte transparentnφ proxy, antivirovou kontrolu protokol∙ HTTP a FTP. Pou₧itφm KWF si m∙₧ete snadno vynutit sprßvnou firemnφ bezpeΦnostnφ politiku t²kajφcφ se internetu. Je jen Ükoda, ₧e zatφm nemohu napsat: "KWF znamenß totßlnφ bezpeΦnost". T∞Üφm se na dalÜφ verze, kde snad bude antivirovß kontrola rozÜφ°ena a bude zapracovßna funkce detekce skenovßnφ port∙ a detekce ·tok∙ (IDS).
Vφt O₧ana
KERIO WINROUTE FIREWALL 5.0.4
Robustnφ podnikov² firewall s integrovanou transparentnφ cache, DHCP, filtrovßnφm p°φstupu ke strßnkßm s nevhodn²m obsahem a s antivirovou kontrolou HTTP a FTP protokolu.
Minimßlnφ po₧adavky CPU 300 MHz, 128 MB RAM, Windows NT/2000/XP
