Konfigurace krok za krokem

Konfigurace krok za krokem Kerio Technologies

C 2001-2003 Kerio Technologies. Všechna práva vyhrazena. Datum vydání: 17. prosince 2003 Tento manuál popisuje postup konfigurace lokální sítě s použitím produktu Kerio WinRoute Firewall ve verzi 5.1.8. Změny vyhrazeny. Aktuální verzi produktu a manuálu naleznete na WWW stránkách http://www.kerio.com/kwf.

Obsah 1 Konfigurace WinRoute krok za krokem..................................... 5 1.1 Konfigurace sít ových rozhraní......................................... 5 1.2 Instalace WinRoute.................................................... 7 1.3 Základní nastavení komunikačních pravidel............................ 8 1.4 Nastavení DHCP serveru............................................. 10 1.5 Nastavení DNS Forwarderu.......................................... 13 1.6 Vytvoření uživatelských účtů a skupin............................... 13 1.7 Skupiny IP adres a časové intervaly.................................. 15 1.8 Nastavení pravidel pro WWW........................................ 18 1.9 Nastavení pravidel pro FTP.......................................... 23 1.10 Nastavení antivirové kontroly........................................ 26 1.11 Zpřístupnění služeb z Internetu..................................... 26 1.12 Nastavení počítačů v lokální síti..................................... 27 3

4

Kapitola 1 Konfigurace WinRoute krok za krokem Tato kapitola obsahuje podrobný popis konfiguračních úkonů, které je třeba provést při nasazení aplikace Kerio WinRoute Firewall (dále jen WinRoute) v modelové síti. Uvažovaný model zohledňuje většinu požadavků, které vznikají při nasazení WinRoute v reálném prostředí přístup z lokální sítě do Internetu, ochrana sítě proti průniku zvenčí, zpřístupnění vybraných služeb z Internetu, řízení přístupu uživatelů ke službám v Internetu, automatická konfigurace počítačů v lokální síti atd. Konfiguraci WinRoute popíšeme na modelovém příkladu sítě dle následujícího obrázku. 1.1 Konfigurace sít ových rozhraní Rozhraní připojené do Internetu Na rozhraní připojeném do Internetu nastavíme parametry TCP/IP dle informací od poskytovatele internetového připojení (ISP). Jedná-li se o vytáčenou linku (např. analogový modem nebo ISDN), vytvoříme v operačním systému odpovídající telefonické připojení. 5

Kapitola 1 Konfigurace WinRoute krok za krokem Funkčnost internetového připojení prověříme např. příkazem ping nebo otevřením nějaké WWW stránky v prohlížeči. Volba IP adres pro lokální sít Při výběru IP adres pro lokální sít máme následující možnosti: použít veřejné IP adresy. Poskytovatel internetového připojení přidělí požadovaný rozsah adres a nastaví odpovídající směrování. použít privátní IP adresy a překlad adres (NAT). Tento způsob je z hlediska administrativní i technické náročnosti jednodušší, a proto jej doporučujeme použít. Privátní adresy jsou speciální rozsahy IP adres vyhrazené pro lokální sítě, které nejsou součástí Internetu (tzv. privátní sítě). Tyto adresy se nesmějí vyskytovat nikde v Internetu (internetové směrovače jsou zpravidla nastaveny tak, aby všechny pakety s těmito adresami zahazovaly). Pro privátní sítě jsou vyhrazeny tyto rozsahy IP adres: 10.x.x.x, maska subsítě 255.0.0.0 172.16.x.x, maska subsítě 255.240.0.0 192.168.x.x, maska subsítě 255.255.0.0 Upozornění: Použití jiných IP adres (mimo výše uvedené rozsahy) v privátní síti může mít za následek nedostupnost určitých částí Internetu (těch subsítí, které mají shodou okolností stejné IP adresy)! V našem příkladu použijeme pro lokální sít privátní IP adresy 192.168.1.0 s maskou subsítě 255.255.255.0. Rozhraní připojené do lokální sítě Na rozhraní připojeném do lokální sítě nastavíme tyto parametry: IP adresa zvolíme IP adresu 192.168.1.1 maska subsítě 255.255.255.0 výchozí brána na tomto rozhraní nesmí být nastavena žádná výchozí brána! DNS server je-li připojení do Internetu realizováno vytáčenou linkou, musí být DNS server nastaven sám na sebe, aby fungovalo vytáčení na žádost i ze samotného firewallu (viz kapitola 1.5) zadáme IP adresu 192.168.1.1. V případě pevné linky není třeba adresu DNS serveru na tomto rozhraní zadávat. 6

1.2 Instalace WinRoute 1.2 Instalace WinRoute Spustíme instalační program WinRoute a zvolíme typickou instalaci (Typical). Pokud instalační program detekuje Internet Connection Sharing (Sdílení internetového připojení, Windows Me, 2000 nebo XP) a/nebo Internet Connection Firewall (Windows XP), musíme tyto služby vypnout, jinak nebude WinRoute pracovat správně. V průvodci počáteční konfigurací nastavíme uživatelské jméno a heslo pro administrátorský přístup. 7

Kapitola 1 Konfigurace WinRoute krok za krokem Po skončení instalace je třeba počítač restartovat. 1.3 Základní nastavení komunikačních pravidel Spustíme program Kerio Administration Console a přihlásíme se (použijeme jméno a heslo zadané při instalaci). Po prvním přihlášení se automaticky spustí Průvodce komunikačními pravidly. V průvodci nastavíme: Typ internetového připojení (Krok 2) zvolíme typ rozhraní, kterým je firewall připojen k Internetu. Rozhraní připojené do Internetu (Krok 3) vybereme adaptér připojený do Internetu nebo požadované telefonické připojení. V případě telefonického připojení zadáme odpovídající uživatelské jméno a heslo. 8

1.3 Základní nastavení komunikačních pravidel Pravidla pro odchozí komunikaci (Krok 4) povolíme přístup z lokální sítě ke všem službám v Internetu. Pravidla pro příchozí komunikaci (Krok 5) nastavíme mapování SMTP serveru běžícího na firewallu. 9

Kapitola 1 Konfigurace WinRoute krok za krokem Poznámka: V tomto kroku průvodce můžeme také nastavit mapování FTP serveru v lokální síti. Pro větší názornost však použijeme druhý způsob definici vlastního komunikačního pravidla. Podrobnosti naleznete v kapitole 1.11. Sdílení internetového připojení (Krok 6) v lokální síti budou použity privátní IP adresy, proto aktivujeme překlad adres (NAT). 1.4 Nastavení DHCP serveru Informace k příkladu Počítačům v lokální síti budou přiděleny IP adresy následovně: Souborový server / FTP server bude mít statickou IP adresu 192.168.1.2 (zejména z důvodu mapování komunikace z Internetu se jeho IP adresa nesmí měnit). Sít ová tiskárna bude mít pevnou IP adresu přidělovanou protokolem DHCP (rezervace v DHCP serveru). Tiskárna nemůže mít dynamickou IP adresu kdyby se její adresa změnila, byla by pro klienty nedostupná. Poznámka: V principu nezáleží na tom, zda je IP adresa tiskárny nastavena ručně nebo je jí přidělována pevná adresa DHCP serverem. Při použití DHCP serveru odpadá konfigurace samotné tiskárny a její adresa je vidět v seznamu přidělených adres DHCP serveru. Naopak při ruční konfiguraci adresy bude tiskárna nezávislá na dostupnosti DHCP serveru. Pracovním stanicím v lokální síti budou přidělovány dynamické IP adresy (výrazně jednodušší konfigurace). Konfigurace DHCP serveru V programu Kerio Administration Console zvolíme sekci Konfigurace / DHCP server. Nejprve v záložce Rozsahy adres vytvoříme rozsah adres dynamicky přidělovaných pracov- 10

1.4 Nastavení DHCP serveru ním stanicím (volba Přidat / Rozsah adres...). Při definici rozsahu je třeba specifikovat tyto parametry: První adresa zvolíme 192.168.1.10 (IP adresy 192.168.1.1-192.168.1.9 zůstanou vyhrazeny pro servery a tiskárny) Poslední adresa 192.168.1.254 (nejvyšší možná pro zvolenou subsít ) Maska subsítě 255.255.255.0 Výchozí brána IP adresa rozhraní firewallu připojeného do lokální sítě (192.168.1.1). Poznámka: Výchozí brána určuje, kudy budou směrovány pakety z lokální sítě do Internetu. Půjdou-li přes WinRoute, bude možné filtrovat komunikaci, vyžadovat ověřování uživatelů atd. DNS server IP adresa rozhraní firewallu připojeného do lokální sítě (viz kapitola 1.5) Dále volbou Přidat / Rezervaci... vytvoříme rezervaci pro sít ovou tiskárnu. Rezervovaná IP adresa nemusí být z výše uvedeného rozsahu, musí ale náležet do zvolené subsítě (v tomto příkladu rezervujeme adresu 192.168.1.3). Pro vytvoření rezervace je třeba znát hardwarovou (MAC) adresu tiskárny. 11

Kapitola 1 Konfigurace WinRoute krok za krokem TIP: Neznáte-li hardwarovou adresu tiskárny, nevytvářejte rezervaci ručně. Po aktivaci DHCP serveru připojte tiskárnu do sítě. Tiskárně bude přidělena IP adresa z definovaného rozsahu (viz výše). V záložce Přidělené IP adresy tuto adresu označte a stiskněte tlačítko Rezervovat... zobrazí se dialog pro rezervaci adresy, ve kterém bude již vyplněna příslušná hardwarová adresa. Doplňte požadovanou IP adresu, případně popis a stiskněte tlačítko OK. Pak tiskárnu restartujte. Po restartu DHCP server tiskárně přidělí správnou IP adresu. 12

1.5 Nastavení DNS Forwarderu Poznámky: 1. DHCP server doporučujeme aktivovat až po definici všech požadovaných rozsahů a rezervací. Výjimkou je pouze případ, kdy potřebujeme zjistit MAC adresu klienta (viz výše). 2. Pro automatickou konfiguraci sít ových zařízení lze použít i jiný DHCP server v lokální síti. V parametrech pro příslušný rozsah adres na tomto DHCP serveru nastavte jako adresu výchozí brány a DNS serveru IP adresu rozhraní firewallu připojeného do lokální sítě. 1.5 Nastavení DNS Forwarderu V sekci Konfigurace / DNS Forwarder nastavíme DNS servery, kterým budou DNS dotazy předávány. Je-li na adaptéru připojeném do lokální sítě nastaven DNS server sám na sebe (obvykle při použití vytáčené linky viz kapitola 1.1), pak je třeba zvolit Předávat dotazy těmto DNS serverům a uvést IP adresy jednoho nebo více DNS serverů v Internetu. Nejvhodnější je použít DNS servery poskytovatele internetového připojení (jsou nejsnáze dosažitelné). Jejich IP adresy dodá příslušný poskytovatel. V případě pevné linky můžeme ponechat výchozí volbu Předávat DNS dotazy serveru automaticky vybranému... WinRoute použije některý z DNS serverů nastavených na internetovém rozhraní. Upozornění: Je-li nastaven DNS server sám na sebe, pak nelze použít automatický výběr DNS serveru DNS Forwarder by nefungoval správně. Tlačítkem Editovat... otevřeme editor systémového souboru hosts. Zde uvedeme IP adresy a jména všech počítačů, kterým byla IP adresa nastavena ručně (včetně firewallu). Je-li používána lokální DNS doména (např. firma.cz), uvedeme ji do pole Při prohledávání souboru hosts... DNS Forwarder pak bude správně zodpovídat dotazy na jména počítačů v lokální síti (např. fw) i na jejich plná DNS jména (např. fw.firma.cz). 1.6 Vytvoření uživatelských účtů a skupin V sekci Uživatelé a skupiny / Uživatelé vytvoříme uživatelské účty pro všechny uživatele v lokální síti. Je-li v lokální síti použita Windows NT nebo Windows 2000 doména, můžeme uživatelské účty importovat z domény a/nebo nastavit ověřování v této doméně. Všichni uživatelé tak budou mít jednotné uživatelské jméno a heslo ke všem sít ovým zdrojům. 13

Kapitola 1 Konfigurace WinRoute krok za krokem Jméno Windows NT, resp. Windows 2000 domény musíme zadat do příslušné položky v sekci Další Volby / Ověřování uživatele. 14

1.7 Skupiny IP adres a časové intervaly V sekci Uživatelé a skupiny / Skupiny vytvoříme skupiny uživatelů, které použijeme při řízení přístupu uživatelů na Internet. Do každé skupiny zařadíme požadované uživatele. 1.7 Skupiny IP adres a časové intervaly V sekci Definice / Skupiny IP adres vytvoříme skupinu adres, kterou použijeme pro omezení přístupu k elektronické poště (viz kapitola 1.11). Tato skupina bude tvořena dvěma IP adresami 123.23.32.123, 50.60.70.80 a celou subsítí 195.95.95.128 s maskou 255.255.255.248. Přidání IP adresy: Přidání subsítě: 15

Kapitola 1 Konfigurace WinRoute krok za krokem Poznámka: Jméno musí být ve všech případech shodné, aby byly všechny položky zařazeny do jedné skupiny. Výsledná skupina IP adres: V sekci Definice / Časové intervaly vytvoříme skupinu pro omezení přístupu v pracovní době (pondělí pátek 8:00 16:30 hod., sobota a neděle 8:00 12:00 hod.). Definice pracovní doby ve dnech pondělí pátek: 16

1.7 Skupiny IP adres a časové intervaly Definice pracovní doby o víkendu (sobota a neděle): Poznámky: 1. V obou případech můžeme v položce Platnost využít předdefinované skupiny dnů v týdnu (Pracovní dny a Víkend) nemusíme zaškrtávat jednotlivé dny. 2. Položka Jméno musí být v obou případech stejná, aby došlo k vytvoření jednoho časového intervalu. Výsledný časový interval Pracovní doba: 17

Kapitola 1 Konfigurace WinRoute krok za krokem 1.8 Nastavení pravidel pro WWW Požadavky Přístup na WWW stránky má být omezen následujícím způsobem: filtrování reklam na WWW stránkách zákaz přístupu na stránky s erotickým obsahem 18

1.8 Nastavení pravidel pro WWW zákaz přístupu na stránky z nabídkou pracovních míst, tyto stránky musejí zůstat přístupné členům personálního oddělení při přístupu na WWW bude vyžadováno ověření uživatele (lze tak lépe sledovat, jaké stránky kteří uživatelé navštěvují) Předdefinovaná pravidla pro HTTP V sekci Konfigurace / Filtrování obsahu / Pravidla, záložka Pravidla pro URL, jsou již předdefinována základní pravidla: Remove advertisment and banners Filtrování reklam a reklamních pruhů. Na základě tohoto pravidla jsou zahazovány všechny objekty, jejichž URL patří do (rovněž předdefinované) skupiny URL Ads/banners. Toto pravidlo stačí pouze aktivovat (zaškrtnout). Poznámka: V určitých případech může dojít k zahození stránky, která není reklamou. Pak je třeba ze skupiny Ads/banners vyřadit položku, která způsobuje problémy, nebo přidat před toto pravidlo výjimku pro konkrétní stránky (doporučujeme druhou z uvedených možností). Deny sites rated in Cobion categories Zákaz přístupu na WWW stránky, které systém Cobion Orange Filter klasifikuje do některé z vybraných kategorií. V definici pravidla musíme (po stisku tlačítka Vybrat hodnocení...) zvolit kategorie, které chceme blokovat. Pro zákázání přístupu na stránky s erotickým obsahem zaškrtneme kategorie v sekci Pornography. Poznámky: 1. Základní licence WinRoute systém Cobion Orange Filter neobsahuje (je třeba zakoupit speciální licenci). Ve zkušební verzi WinRoute je tento systém k dispozici. 2. Systém Cobion Orange Filter ve WinRoute musí komunikovat s databázovými servery. Komunikační pravidla proto musejí povolit přístup z firewallu ke službě 19

Kapitola 1 Konfigurace WinRoute krok za krokem COFS (6000/tcp). Komunikační pravidla vytvořená průvodcem povolují všechnu komunikaci z firewallu do Internetu v tomto případě není třeba definovat další pravidlo. 3. Pravidel pro URL využívajících systém Cobion Orange Filter může být definováno více. V každém pravidle může být nastaveno více kategorií. 4. V pravidlech využívajících systém Cobion Orange Filter je vhodné povolit odemknutí. Za určitých okolností může dojít k nesprávné klasifikaci stránky a tím k zamezení přístupu k užitečným informacím. Všechny požadavky na odemknutí pravidel se zaznamenávají do záznamu Filter zde můžeme zkontrolovat, zda byl požadavek uživatele oprávněný či nikoliv. Authenticate all users Vyžadovat přihlášení všech uživatelů při přístupu na WWW stránky (a povolit přístup ověřeným uživatelům). Je-li povolen přístup pouze ověřeným uživatelům, není Internet využíván anonymně a můžeme detailně sledovat činnost jednotlivých uživatelů (záznam Web, resp. HTTP). Poznámka: V definici pravidla pro URL lze v záložce Upřesnění zadat text, který se uživateli zobrazí při pokusu o přístup na zakázanou stránku. 20

1.8 Nastavení pravidel pro WWW Definice vlastních pravidel pro URL Za pravidlo vyžadující ověření všech uživatelů můžeme přidávat pravidla vztahující se na konkrétní uživatele nebo skupiny uživatelů. Přidáme pravidlo povolující přístup na stránky s nabídkou pracovních míst skupině uživatelů Personální oddělení. Za toto pravidlo přidáme pravidlo zakazující přístup na stránky s nabídkou pracovních míst všem uživatelům. 21

Kapitola 1 Konfigurace WinRoute krok za krokem Poznámka: V obou pravidlech je vybrána jediná kategorie JobSearch. Nastavení HTTP cache Cache slouží ke zrychlení přístupu na opakovaně navštěvované WWW stránky a snížení zatížení internetového připojení (v případě měřené linky se také sníží objem přenesených dat), proto ji doporučujeme použít. V sekci Konfigurace / Filtrování obsahu / Pravidla pro HTTP, záložka Cache zapneme volby Povolit cache pro transparentní proxy a Povolit cache pro proxy server (nezáleží na tom, zda jsou využity oba typy přístupu nebo pouze některý z nich). V položce Velikost cache nastavíme velikost cache dle potřeby a s ohledem na velikost dostupného místa na disku. Výchozí hodnota je 1 GB (1024 MB), maximum je 2 GB (2048 MB). 22

1.9 Nastavení pravidel pro FTP 1.9 Nastavení pravidel pro FTP Požadavky Používání FTP bude omezeno následujícím způsobem: zákaz přenosu hudebních souborů formátu MP3 zákaz přenosu videa (*.avi) v pracovní době zákaz uploadu (ukládání souborů na FTP servery) zabránění úniku informací z firmy Předdefinovaná pravidla pro FTP Omezení FTP nastavíme v sekci Konfigurace / Filtrování obsahu / Pravidla pro FTP. Pro všechna požadovaná omezení můžeme využít předdefinovaných pravidel. 23

Kapitola 1 Konfigurace WinRoute krok za krokem Forbid *.mpg, *.mp3 and *.mpeg files Zákaz přenosu zvukových souborů uvedených formátů. Toto pravidlo stačí pouze zapnout. Forbid *.avi files Zákaz přenosu videa. Zapneme toto pravidlo, tlačítkem Změnit jej otevřeme a v záložce Upřesnění nastavíme časový interval Pracovní doba. Forbid upload Zákaz ukládání dat na FTP server stačí pouze zapnout. 24

1.9 Nastavení pravidel pro FTP Upozornění FTP pravidla se vztahují na všechnu komunikaci protokolem FTP, která je obsluhována inspekčním modulem FTP. V našem příkladu chceme zpřístupnit z Internetu FTP server v lokální síti. Pravidlo Forbid upload zakazuje upload také na tento server, což není žádoucí. Proto musíme před pravidlo Forbid upload přidat pravidlo, které povoluje upload na tento FTP server. Poznámky: 1. Jako IP adresa FTP serveru musí být uvedena adresa počítače v lokální síti, na kterém FTP server skutečně běží. Nelze uvést vnější IP adresu firewallu, z níž je FTP server mapován (překlad adres se provádí před zpracováním pravidel pro filtrování obsahu)! 2. Obdobným způsobem lze povolit i upload na konkrétní FTP server v Internetu, zatímco na všechny ostatní FTP servery bude zakázán. 25

Kapitola 1 Konfigurace WinRoute krok za krokem 1.10 Nastavení antivirové kontroly Chceme-li použít něktrý z podporovaných externích antivirů, nainstalujeme jej. Antivirus McAfee je součástí WinRoute a pro jeho činnost je třeba pouze speciální licence. V sekci Konfigurace / Filtrování obsahu / Antivirus vybereme požadovaný antivirový program a nastavíme typy souborů, které mají být antivirem kontrolovány. Ve výchozím nastavení jsou kontrolovány všechny spustitelné soubory a soubory aplikací sady Microsoft Office toto nastavení je zpravidla postačující. 1.11 Zpřístupnění služeb z Internetu V sekci Konfigurace / Komunikační pravidla přidáme pravidla pro služby, které mají být přístupné z Internetu. přístup ke službám poštovního serveru (kromě SMTP) povolíme pouze z požadovaných IP adres. 26

1.12 Nastavení počítačů v lokální síti Poznámky: 1. Toto pravidlo povoluje přístup ke službám IMAP i POP3 v zabezpečené i nezabezpečené verzi klienti si mohou vybrat, jakou službu budou využívat. 2. Služba SMTP byla mapována pomocí průvodce komunikačními pravidly (viz kapitola 1.3) příslušné pravidlo v tomto okamžiku již existuje. 3. Poslat e-mail do lokální domény smí kdokoliv, proto nelze ke službě SMTP omezovat přístup pouze z určitých IP adres. zpřístupnění (mapování) lokálního FTP serveru Poznámka: Všechna povolující pravidla musí být umístěna nad zakazujícími pravidly. 1.12 Nastavení počítačů v lokální síti Na počítači, který slouží jako souborový server a FTP server, nastavíme parametry TCP/IP ručně (jeho IP adresa se nesmí měnit): IP adresa zadáme adresu 192.168.1.2 (viz kapitola 1.4) výchozí brána, DNS server zadáme IP adresu příslušného rozhraní firewallu, tj. 192.168.1.1 Na pracovních stanicích nastavíme automatickou konfiguraci pomocí DHCP (ve většině operačních systémů výchozí nastavení po instalaci). 27

Kapitola 1 Konfigurace WinRoute krok za krokem 28

1.12 Nastavení počítačů v lokální síti 29