Návod k použití ESET PERSONAL FIREWALL

[. . . ] V dokumentu pouzité názvy programových produkt, firem apod. mohou být ochrannými známkami nebo registrovanými ochrannými známkami jejich píslusných vlastník. Úvod esení ESET Smart Security v sob integruje antivirus, antispyware, antispam a v neposlední ad i personální firewall s mozností centrální správy skrze ESET Remote Administrator. Tento dokument popisuje moznosti nasazení personálního firewallu v síti. [. . . ] esení 2: Nadefinujemenovépravidlosejménem"DNSproklienty", smr:DOVNIT, akce:POVOLIT, protokol:UDP, lokální port:53(DNS), vzdálenáadresa-zóna:dvryhodnázóna. 2. 3 Písná pravidla & vyssí bezpecnost Správce mze pi nasazení esení ESET Smart Security, resp. integrovaného personálního firewallu vycházet z následujících model: · Ponechatpersonálnífirewallvautomatickém rezimu filtrováníaideálnpeddefinovatdvryhodnouzónu. Uzivateltaknebudeobtzovánvbeczádnýmdialogemvpípad, zenebudePC(vtsinounotebook)penásetdo jiných sítí. Odchozí komunikace ale nebude prakticky filtrována. · Nastavitpersonálnífirewalldointeraktivního rezimu filtrování. Tento rezim není pílis vhodný pro nezkusené uzivatele, jelikoz uzivatel se bude muset sám rozhodovat, zda komunikaci povolí ci zakáze. A to mze být pro vtsinudíkyneznalostisíovýchpravidelproblém. · Nastavitpersonálnífirewalldoadministrátorského rezimu filtrování (policy-based)s"volnjsími"pravidly, kterébudounapíkladobecnpovolovatSMTP, HTTP, POP3bezohledunato, kteráaplikacetutokomunikaci inicializuje. Tento rezim vyzaduje nastavení zkuseným administrátorem. · Nastavitpersonálnífirewalldoadministrátorského rezimu filtrování (policy-based) s písnými pravidly, kde budoujednotlivésluzbypivázánykekonkrétnímprocesm. Tj. nap. procesfirefox. exebudemítpovolenpouze vzdálenýport80(HTTP), 443(HTTPS), OutlookExpresspouzeporty25, 110, 143atojestsomezenímnakonkrétní IPadresy(kdebzípostovníserverypodnasísprávou. . . ). Poslednímodeljepochopitelnnejvícekomplikovanýapinásíaduúskalí, avsaknabízínejvyssíúrove zabezpecení. Píkladovásituacevsoucasnédob:naPCpronikneneznámýskodlivýkód, kterýneníodchycen rezidentnímstítem-tentovytvoílokálníSMTPserversúcelemrozesílatnevyzádanoupostu, picemz"inspiraci" cerpázwebserverunapedemdanéveejnéIPadreseInternetu. Tatoinfekcebudevpípadposledníhomodelu zaizolována, jelikozSMTPkomunikacejeumoznnapouzeprocesuOutlookExpressaHTTPpouzeprocesuMozilla Firefox. 8 2. 4 Strategie tvorby pravidel v síovém prostedí Pokudbudemechtítkomunikacinaklientechvsítimaximálnzpísnit, nabízísevevýsledkupouze administrátorský rezim filtrace (jindeoznacenýjakopolicy-based), do kterého nemze uzivatel zasahovat. 2 Nasazeníadministrátorskéhorezimualevyzadujedkladnoupípravu, abynedoslokblokovánílegitimníchaplikací nutnýchpropráciapod. Nabízísetaknkolikzpsob, jakadministrátorskýrezimnasadit, picemznejvýhodnjsíje poslednzmiovaná: · Pedem definovat pravidla "z hlavy" a rovnou provést instalaci ESET Smart Security v administrátorském rezimu spolu s tmito peddefinovanými pravidly Zde se vystavujeme riziku, ze njakou aplikaci zapomeneme v pravidle zmínit a tím znemozníme její funkcnost. · Docasn nainstalovat ESET Smart Security s personálním firewallem v rezimu Interaktivním, spolu s následným "ucením" pímo bhem bzné cinnosti Pidetekceneznámékomunikace(neexistujepronípravidlo)budezobrazendialogaideálnpímosprávce rovnouzadefinujepravidlo. Ponkolikadnech, jakmilejsoupouzityveskerésíovéaplikace, mohoubýtpravidla kompletn utvoena. TIP: Personální firewall lze pak pepnout do Administrátorského rezimu filtrování (policy-based) a následn nastavení pravidel vyexportovat pomocí nástroje ESET Remote Administrator ci samotného rozhraní ESET Smart Security (menu Nástroje -> Import a export nastavení. . . ) do podoby XML souboru!Tento lze jednoduse pouzít pi vzdálené instalaci dalsích klient, pi vzdálené zmn konfigurace klient, nebo ho pímo naimportovat zpt do dalsích klient s ESET Smart Security (menu Nástroje -> Import a export nastavení. . . ). 2 Pln pouze za pedpokladu, ze klientská esení ESET Smart Security budou mít zaheslovaný pístup do detailního nastavení personálního firewallu. . 9 3. Tvorba pravidel, zón v grafickém prostedí ESET Pravidlaazónylzevytváetmimojiné: · VdetailnímnastaveníESETSmartSecurity, kterélzevyvolatklávesouF5vpípad, zesepohybujemevgrafickém prostedíeseníESETSmartSecurity(pop. vmenuNastavení->Personálnífirewall). · Prostednictvímkonfiguracníhoeditoru, kterýjesoucástínástrojeESETRemoteAdministrator. Tímtomzeme otevítexistujícípravidlalibovolnéhoklienta(importemsoucasnékonfiguracedanéhoklienta), otevítpímo vyexportovanoukonfiguracivpodobXMLsouboru, pop. vycházetzoriginálníhostavu. Vevýsledkujsoudialogyprodefinovánípravidelcizónvelicepodobné. Sed podsvícené ádky oznacují pravidla peddefinovaná spolecností ESET. port proxyserveru 21(FTP), 1024 az 65535 21(FTP) IPadresa FTP serveru Prohlízení webových stránek FTPklientna server FTPklientna server(aktivní) druhé pravidlo pedchozího Ven TCP proces prohlízece Ven TCP FTPklient Pasivní rezim FTP(vhodnjsí) Ven TCP FTPklient Dovnit TCP & UDP FTPklient 20(FTP-data) Je nutností definovatIP adresuFTP serveru!Nutnoproces dohledat Nutnoproces dohledat Jako vzdálenou adresu lze uvéstIPadresy, ze kterých má být web dostupný, pop. rovnou definovatzónu (pop. vyuzít dvryhodné zóny) Vzdálená plocha na jiné PC MicrosoftLive Messenger Ven TCP mstsc. exe 3389 Ven TCP msnmsgr. exe 1863 Lokálnbzící Apache Web Server ­ poteba vidt z venku Dovnit TCP 80 apache. exe 12 Výse uvedený pehled naznacuje, ze je nutné vyspecifikovat i pravidla pro komunikaci samotného esení ESET Smart Security! [. . . ] KonfiguraciulozímezmenuFile -> Export selected to. . . Význam modrých / sedých ikon je detailn popsán v dokumentaci k nástroji ESET Remote Administrator. V podstat jdeoto, zevXMLvýstupubudouzapsánypouzetyinformace, kterémajípedádkemmodrýsymbol. Pipouzití3 tohotovýstupníhoXMLnakoncovýchklientechtakbudepenastavenpouzefirewall. 3 Optsenabízínkolikzpsob, jakXMLvýstupuplatnit:vrámciúlohyconfiguration(taskconfiguration), pi vzdálenéinstalaci­importemXMLdoinstalacníhobalícku(package), importempímovESETSmartSecurity atd. 16 4. Shrnutí Shrmetedy, cojepronasazeníeseníESETSmartSecurity, resp. integrovanéhopersonálníhofirewalludlezité: · Maximální rezim zabezpecení a zárove nejkomplikovanjsí pípravu zajistí administrátorský rezim filtrace (policy-based). [. . . ]