U₧ivatelskß p°φruΦka WinRoute

U₧ivatelskß p°φruΦka WinRoute - ZabezpeΦenφ

Obsah

┌vod
Pou₧itß terminologie
P°eklad IP adres (NAT)
    Jak pracuje NAT
    Kriticke body NAT
    Konfigurace NAT
    P°φklad rozÜφ°enΘho nastavenφ NAT
MapovanΘ porty
    Jak fungujφ mapovanΘ porty
    Konfigurace mapovan²ch port∙
Filtrovßnφ paket∙
    Jak vypadß paket
    Jakß Φφsla port∙ pou₧φvajφ aplikace
    BezpeΦnostnφ politiky
    Zamezenφ p°φstupu u₧ivatel∙ na urΦitΘ slu₧by v Internetu
    Konfigurace filtrovßnφ paket∙
Anti spoofing
    Konfigurace anti spoofingu
    P°φklad nastavenφ anti spoofingu
PojmenovanΘ skupiny adres a ΦasovΘ seznamy
    PojmenovanΘ skupiny adres (Address Groups)
    ╚asovΘ intervaly (Time Intervals)

┌vod

WinRoute poskytuje nßsledujφcφ techniky pracujφcφ s pakety (v sφ¥ovΘ vrstv∞ OSI modelu) :

P°eklad IP adres (NAT)

MapovanΘ porty

Filtrovßnφ paket∙

Anti spoofing

Tyto techniky je mo₧nΘ pou₧φt k zabezpeΦenφ lokßlnφ sφt∞ a p°eklad IP adres je navφc mo₧nΘ pou₧φt pro p°ipojenφ sφt∞ p°i nedostatku registrovan²ch IP adres, nap°. pro p°ipojenφ celΘ sφt∞ p°es jednu IP adresu.

P°eklad IP adres - NAT (Network Address Translation) je technika, kterß upravuje odchßzejφcφ pakety z celΘ (nebo definovanΘ Φßsti) lokßlnφ sφt∞ tak, ₧e vypadajφ, jako by odchßzely pouze z poΦφtaΦe, na kterΘm WinRoute b∞₧φ (tedy v paketech m∞nφ p∙vodnφ adresu poΦφtaΦe za svoji), a v p°ichßzejφcφ pakety, kterΘ jsou odpov∞dφ, rozesφlß zp∞t poΦφtaΦ∙m v lokßlnφ sφti (upravuje cφlovou adresu).

MapovanΘ porty slou₧φ ke zp°φstupn∞nφ vybran²ch slu₧eb v sφtφch, kterΘ jsou zabezpeΦeny NATem.

Filtrovßnφ paket∙ je zßkladnφ bezpeΦnostnφ modul ka₧dΘho firewallu, kter² umo₧≥uje na zßklad∞ r∙zn²ch ·daj∙ v prochßzejφcφch paketech (jako je zdrojovß a cφlovß IP adresa, typ sφ¥ovΘho protokolu, zdrojov² a cφlov² port, ...) pakety bu∩ propouÜt∞t, nebo zamφtnout. P°i uplatn∞nφ filtrovacφho pravidla je mo₧nΘ (dle v²znamu pravidla) zapnout zaznamenßnφ informacφ o paketu.

Anti spoofing je dopln∞k k filtrovßnφ paket∙, kter² slou₧φ k ochran∞ lokßlnφ sφt∞ proti napadenφ, p°i kterΘm ·toΦnφk falÜuje zdrojovΘ IP adresy.

Pro dosa₧enφ vysokΘ ·rovn∞ bezpeΦnosti obsahuje WinRoute tzv. inspekΦnφ modul. Jednß se o specißlnφ ovladaΦ (driver) pracujφcφ mezi linkovou a sφ¥ovou vrstvou OSI modelu. OvladaΦ pou₧φvß originßlnφ technologii, kterß zaruΦuje, ₧e WinRoute dostßvß pakety p°φmo od ovladaΦe sφ¥ovΘ karty, tedy jeÜt∞ p°edtφm, ne₧ je dostane jakßkoliv jinß komponenta operaΦnφho systΘmu.

Umφst∞nφ inspekΦnφho modulu WinRoute pro kontrolu obsahu paket∙ v sφ¥ovΘ architektu°e operaΦnφch systΘm∙ Windows je zobrazeno na nßsledujφcφm obrßzku:

OvladaΦ WinRoute v sφ¥ovΘ architektu°e Windows

Pou₧itß terminologie

V nßsledujφcφm textu jsou pou₧itΘ n∞kterΘ termφny z problematiky sφ¥ov²ch technologiφ, se kter²mi by se m∞l Φtenß° lΘpe seznßmit. ZvlßÜt∞ pak, jestli₧e hodlßte nastavovat filtrovßnφ paket∙, je vhodnΘ znßt v²znam informacφ obsa₧en²ch v hlaviΦkßch paketu.

prost°edφ TCP/IP
WinRoute je produkt pracujφcφ v prost°edφ protokol∙ TCP/IP. Protokoly TCP/IP jsou navr₧eny tak, aby pracovaly ve vrstvßch. Protokoly TCP/IP jsou hlavn∞ rozum∞ny nßsledujφcφ protokoly: IP, TCP, UDP, ICMP a dalÜφ protokoly pracujφcφ nad IP.

sφ¥ovΘ rozhranφ (interface)
Sφ¥ov²m rozhranφm rozumφme takovΘ za°φzenφ, kterΘ spojuje poΦφtaΦ s ostatnφmi poΦφtaΦi prost°ednictvφm urΦitΘho mΘdia. Sφ¥ov²m rozhranφm tedy m∙₧e b²t sφ¥ovß karta typu ethernet, modem, ISDN karta apod. Prost°ednictvφm sφ¥ovΘho rozhranφ poΦφtaΦ p°ijφmß a odesφlß pakety.

IP adresa
IP adresa je jedineΦnΘ 32-bitovΘ Φφslo, identifikujφcφ v IP sφtφch poΦφtaΦ. Ka₧d² poΦφtaΦ v Internetu mß tedy p°i°azenu jednu IP adresu, kterß je jedineΦnß. Ka₧d² paket prochßzejφcφ Internetem obsahuje informaci, z kterΘ IP adresy byl odeslßn (zdrojovß IP adresa) a na jakou IP adresu mß dojφt (cφlovß IP adresa).

sφ¥ovß maska
Sφ¥ovß maska slou₧φ k za°azenφ vφce IP adres do skupiny. Ka₧dß podsφ¥ je tvo°enß skupinou IP adres, kterΘ je mo₧nΘ poΦφtaΦ∙m na danΘ podsφti p°id∞lovat. Nap°φklad maska 255.255.255.0 sdru₧uje 254 IP adres. Na podsφti nap°. 192.168.1.0 s maskou 255.255.255.0 je tedy mo₧nΘ p°i°azovat IP adresy v rozsahu 192.168.1.1 a₧ 192.168.1.254

port
Port je 16-bitovΘ Φφslo (m∙₧e nab²vat hodnoty od 1 do 65535) vyu₧φvanΘ protokoly transportnφ vrstvy - TCP a UDP. Port slou₧φ k adresovßnφ aplikace (slu₧by) b∞₧φcφ na poΦφtaΦi. D∙vod pou₧φvanφ port∙ je nßsledujφcφ: Pokud by na poΦφtaΦi b∞₧ela pouze jedna aplikace pracujφcφ se sφtφ, nebylo by portu zapot°ebφ a k adresaci by staΦila pouze IP adresa. Jeliko₧ vÜak na poΦφtaΦi m∙₧e b∞₧et vφce aplikacφ najednou, je zapot°ebφ mezi nimi rozliÜovat. To se d∞je prost°ednictvφm Φφsla portu. Port je tedy mo₧nΘ chßpat jako adresu aplikace na poΦφtaΦi.

paket
Paket je zßkladnφ komunikaΦnφ datovß jednotka pou₧φvanß p°i p°enosu dat z jednoho poΦφtaΦe na jin². Ka₧d² paket obsahuje data o urΦitΘ velikosti. Maximßlnφ velikost paketu je zßvislß na p°enosovΘm mΘdiu a nap°. v sφtφch typu ethernet je tato velikost 1500 byt∙.
Obsah paketu v ka₧dΘ vrstv∞ je mo₧nΘ rozd∞lit na 2 Φßsti : hlaviΦku a datovou Φßst. HlaviΦka obsahuje °φdφcφ informace danΘ vrstvy a datovß Φßst obsahuje data vyÜÜφ vrstvy. Podrobn∞jÜφ informace o skladb∞ paketu je mo₧nΘ najφt nφ₧e v sekci Filtrovßnφ paket∙.

P°eklad IP adres (NAT)

NAT (Network Address Translation) je mo₧nΘ s v²hodou pou₧φt v nßsledujφcφch p°φpadech:

automatickΘ zabezpeΦenφ lokßlnφ sφt∞
transparentnφ p°ipojenφ sφt∞, nebo jejφ Φßsti p°es jednu IP adresu

AutomatickΘ zabezpeΦenφ je dosa₧eno dφky nßsledujφcφm skuteΦnostem: Lokßlnφ sφ¥ nepou₧φvß registrovanΘ IP adresy, Φφm₧ je schovanß vnit°nφ struktura sφt∞ a nenφ p°φmo p°φstupnß z Internetu. Pro p°φstup do lokßlnφ sφt∞ je zapot°ebφ prost°ednφka, kter²m je modul provßd∞jφcφ NAT. Proto₧e si modul NAT pamatuje veÜkerou komunikaci, kterß je zahßjena z lokßlnφ sφt∞, propustφ sm∞rem z Internetu do lokßlnφ sφt∞ pouze pakety, kterΘ jsou odpov∞dφ na ji₧ zahßjenou komunikaci. JinΘ pakety jsou zamφtnuty.

P°ipojenφ sφt∞ p°es jednu IP adresu je umo₧n∞no dφky tomu, ₧e modul NAT p°episuje zdrojovΘ IP adresy v paketech odchßzejφcφch z poΦφtaΦ∙ v lokßlnφ sφti za jedinou adresu, a to adresu poΦφtaΦe, na kterΘm WinRoute pracuje.

Transparentnφm p°ipojenφm sφt∞ je mφn∞na skuteΦnost, ₧e poΦφtaΦe v lokßlnφ sφti pou₧φvajφ WinRoute jako svoji v²chozφ brßnu (default gateway). Z pohledu stanic to vypadß tak, jako by byly plnohodnotn∞ p°ipojeny do Internetu s registrovan²mi IP adresami. P°es NAT tedy funguje valnß v∞tÜina aplikacφ, ani₧ by bylo zapot°ebφ n∞co nastavovat na stran∞ aplikace nebo serveru. Hlavn∞ tφm se NAT liÜφ od r∙zn²ch proxy server∙ a aplikaΦnφch bran, kterΘ z principu nemohou n∞kterΘ protokoly nikdy podporovat.

Jak pracuje NAT

Modul, kter² provßdφ NAT, pracuje s tabulkou, ve kterΘ mß zaznamenanΘ informace o ka₧dΘm spojenφ. Mezi hlavnφ informace pat°φ tyto: zdrojovß IP adresa a port, cφlovß IP adresa a port, IP adresa a port, kter²mi jsou pakety upravovßny.

Zp∙sob prßce NATu si ukß₧eme na nßsledujφcφm p°φkladu:

Uva₧ujeme, ₧e mßme lokßlnφ sφ¥, na nφ₧ se rozhodne komunikovat poΦφtaΦ s IP adresou 192.168.1.22, z portu 7658 s WWW serverem v Internetu, kter² b∞₧φ na IP adrese 194.196.16.43 a portu 80. Komunikace prochßzφ p°es WinRoute, kter² mß na vn∞jÜφm rozhranφ IP adresu 195.75.16.65.

Nejd°φve poΦφtaΦ 192.168.1.22 odeÜle paket z portu 7358 na poΦφtaΦ 194.196.16.43 a port 80. WinRoute se podφvß do tabulky, zda ji₧ zßznam existuje nebo ne, podle toho vytvo°φ nov², nebo pou₧ije ji₧ existujφcφ zßznam. PotΘ modifikuje paket tak, ₧e p°epφÜe v paketu zdrojovou adresu na svoji a zm∞nφ takΘ zdrojov² port. Zdrojovß adresa v paketu pak bude 195.75.16.65 a nap°. port 61001. PotΘ paket odeÜle dßl. P°i p°φchodu odpov∞di je samoz°ejm∞ jako cφlovß adresa 195.75.16.65 a port 61001. WinRoute se podφvß do tabulky a podle Φφsla portu 61001 najde odpovφdajφcφ zßznam. Podle zßznamu opravφ cφlovou adresu a port, tedy na 192.168.1.22 a 7658.

╚φsla port∙ je zapot°ebφ modifikovat proto, aby kdy₧ dv∞ nebo vφce stanic v lokßlnφ sφti zaΦne komunikovat ze stejnΘho portu, bylo mo₧nΘ p°i p°φchodu paketu z Internetu rozliÜit, kterΘ stanici paket pat°φ. Porty NAT modul p°id∞luje v rozsahu od 61000 do 61600. Pro ka₧dΘ spojenφ je alokovßn jin² port.

Kriticke body NAT

Obecn∞ platφ, ₧e aplikace pracujφ p°es NAT naprosto bez problΘm∙, pokud je komunikace zahajovßna sm∞rem z lokßlnφ sφt∞ do Internetu, tak jako tomu je u v∞tÜiny aplikacφ. Existujφ vÜak i aplikace, kterΘ jsou Üpatn∞ navr₧eny a naruÜujφ model klient-server. Tyto aplikace nemusφ p°es NAT pracovat, nebo jsou n∞kterΘ jejich funkce omezeny. Je to v d∙sledku toho, ₧e pou₧φvajφ vφce spojenφ, p°iΦem₧ dalÜφ spojenφ jsou navazovßna sm∞rem z Internetu a jsou module NAT zamφtßna.

Konfigurace NAT

Zßkladnφ nastavenφ

NAT se ve WinRoute zapφnß jednoduÜe jednou volbou ve vlastnostech sφ¥ovΘho rozhranφ. Toto rozhranφ by m∞lo b²t vn∞jÜφm rozhranφm, kterΘ p°ipojuje lokßlnφ sφ¥ do Internetu.

NAT se nastavuje v menu:

Settings => Interface Table => NAT

"Perform NAT with the IP address of this interface on all communication passing through"
Zapφnß NAT na rozhranφ. P°i zapnutφ je NAT aplikovßn na vÜechny pakety prochßzejφcφ p°es toto rozhranφ.

"Exclude this computer from NAT"
Tato volba °φkß, zda se mß NAT aplikovat takΘ na komunikaci z poΦφtaΦe, na kterΘm b∞₧φ sßm WinRoute. Jestli₧e tuto volbu zapnete, nebude NAT aplikovßn a poΦφtaΦ nebude NATem chrßn∞n. To p°φliÜ nedoporuΦujeme, ale tuto volbu lze nap°φklad pou₧φt, jestli₧e mßte serverovou aplikaci, kterß mß b²t p°φstupnß z Internetu, ale nem∙₧e pracovat za NATem (prost°ednictvφm mapovanΘho portu).

RozÜφ°enΘ nastavenφ

RozÜφ°enΘ nastavenφ NATu je mo₧nΘ pou₧φt v p°φpad∞, jestli₧e pot°ebujete, aby nad Φßstφ sφt∞ (segmenty sφt∞) byl NAT provßd∞n a nad Φßstφ ne. To je zapot°ebφ nap°φklad, pokud mßte Φßst sφt∞ tvo°enou registrovan²mi IP adresami a je do nφ mo₧n² p°φm² p°φstup z Internetu, a Φßst sφt∞ pou₧φvß neregistrovanΘ adresy. RozÜφ°en² NAT je takΘ mo₧nΘ vyu₧φt p°i vytvß°enφ demilitarizovan²ch z≤n (DMZ), ve kter²ch b∞₧φ servery, kterΘ jsou p°φmo p°φstupnΘ z Internetu. DalÜφ specißlnφ mo₧nostφ je mo₧nost specifikovat IP adresu, kterou jsou pr∙chozφ pakety NATem modifikovßny (implicitn∞ je pou₧ita IP adresa rozhranφ).

RozÜφ°enΘ nastavenφ NATu dopl≥ujφ ji₧ existujφcφ nastavenφ NATu, a proto musφ b²t ji₧ zapnut NAT na n∞kterΘm rozhranφ. Typick²m postupem tedy je, ₧e zapneme NAT na n∞kterΘm rozhranφ a potom v rozÜφ°enΘm nastavenφ °ekneme, kdy se NAT nemß d∞lat.

RozÜφ°enΘ nastavenφ NATu je tvo°eno tabulkou pravidel. Pravidla jsou prochßzena v uvedenΘm po°adφ a p°i nalezenφ prvnφho vyhovujφcφho pravidla prohledßvßnφ konΦφ. Pravidlo vyhovuje, pokud zdrojovß a cφlovß adresa v paketu odpovφdß nastavenφ v pravidlu.

RozÜφ°enΘ (advanced) nastavenφ NATu se konfiguruje v menu:

Settings => Advanced => NAT => tlaΦφtko Add/Edit

"Packet Description"
UrΦuje, jakΘ pakety pravidlu vyhovφ. Paket je mo₧nΘ specifikovat na zßklad∞ zdrojovΘ a cφlovΘ adresy. Adresa m∙₧e b²t uvedena pro jeden poΦφtaΦ nebo pro skupinu poΦφtaΦ∙ zadan²ch bu∩ maskou, rozsahem, nebo pojmenovanou skupinou. Podmφnka "Only when outgoing interface is" °φkß, ₧e pravidlo vyhovφ jen tehdy, pokud paket odchßzφ na zadanΘ rozhranφ.

"NAT"
Stanovuje, co se mß s paketem ud∞lat, pokud vyhovφ pravidlu. Jsou nßsledujφcφ mo₧nosti:
"Do not NAT" - NAT se nebude provßd∞t
"Do NAT with specific IP address" - NAT se bude provßd∞t s uvedenou IP adresou.

"Log Packet"
V p°φpad∞ uplatn∞nφ pravidla umo₧≥uje zaznamenßnφ informace. Logovßnφ mß smysl hlavn∞ v p°φpad∞ ov∞°ovßnφ konfigurace Φi hledßnφ problΘm∙ v nastaveni.

P°φklad rozÜφ°enΘho nastavenφ NAT

Nßsledujφcφ obrßzek ukazuje t°i sφt∞:

192.168.1.0 s maskou 255.255.255.0
192.168.2.0 s maskou 255.255.255.0
194.196.16.0 s maskou 255.255.255.0

Prvnφ a druhß sφ¥ pou₧φvß privßtnφ IP adresy a pro p°φstup na Internet z t∞chto sφtφ se musφ pou₧φt NAT. T°etφ sφ¥ pou₧φvß registrovanΘ IP adresy a je p°φmo p°φstupnß z Internetu.

Nastavenφ NAT se v tomto p°φpad∞ provede tak, ₧e se na rozhranφ vedoucφ do Internetu (line 0) zapne NAT a v rozÜφ°enΘm nastavenφ NAT se uvede, ₧e s pakety pro t°etφ sφ¥ se nemß NAT provßd∞t. Nastavenφ rozÜφ°enΘho NATu je ukßzßno na nßsledujφcφm obrßzku:

MapovanΘ porty

Metodou mapovßnφ port∙ je mo₧no vytvo°it komunikaΦnφ kanßly do lokßlnφ sφt∞, kterß je jinak nedostupnß dφky tomu, ₧e WinRoute provßdφ p°eklad IP adres (NAT). M∙₧ete tedy vytvo°it ve°ejn∞ p°φstupnΘ slu₧by (jako nap°. WWW server, FTP server apod.), je₧ jsou pak dostupnΘ vÜem uzl∙m Internetu (tedy i stanicφm mimo vaÜi LAN).

Jak fungujφ mapovanΘ porty

Ka₧d² paket, kter² je p°ijat z externφ sφt∞ (z Internetu), je zkontrolovßn, zda jeho atributy (tedy p°enßÜen² protokol, cφlov² port, p°φp. cφlovß IP adresa) neodpovφdajφ hodnotßm n∞kterΘ z polo₧ek tabulky mapovan²ch port∙ (Protocol, Listen Port, p°φp. Listen IP). Pokud je nalezena shoda u vÜech t∞chto atribut∙, je paket modifikovßn a odeslßn do lokßlnφ sφt∞ na stanici, jejφ₧ IP adresa je nastavena jako "Destination IP", a na port, jeho₧ hodnota je nastavena jako "Destination port".

Konfigurace mapovan²ch port∙

MapovanΘ porty se konfigurujφ v menu:

Settings => Advanced => Port Mapping => tlaΦφtko Add/Edit

"Protocol"
Protokol, prost°ednictvφm kterΘho bude komunikace mapovan²m portem probφhat.

"Listen IP"
Pokud je tato polo₧ka zadßna (jejφ zadanφ nenφ povinnΘ), je cφlovß adresa p°ichßzejφcφch paket∙ porovnßvßna s touto hodnotou a paket je propuÜt∞n p°es mapovan² port jen v p°φpad∞, ₧e dojde ke shod∞.

"Listen Port"
Udßvß port nebo rozsah, pro kter² je polo₧ka tabulky mapovan²ch port∙ vytvß°ena.

"Destination IP"
IP adresa stanice, na kterou jsou pakety, kterΘ vyhovφ v²Üe popsan²m podmφnkßm mapovanΘho portu, sm∞rovßny.

"Destination Port"
╚φslo portu cφlovΘ stanice, na kter² jsou pakety sm∞rovßny. Tato hodnota je ve v∞tÜin∞ p°φpad∙ stejnß jako Listen Port.

VybranΘ u₧iteΦnΘ ukßzky nastavenφ mapovan²ch port∙ jsou uvedeny v Dodatku.

Filtrovßnφ paket∙

Nastavenφ filtrovacφch pravidel pro ochranu lokßlnφ sφt∞ mß v²znam hlavn∞ tehdy, mß-li lokßlnφ sφ¥ p°id∞lenΘ registrovanΘ IP adresy a je do nφ mo₧n² p°φm² p°φstup z Internetu. Pokud pou₧φvßte NAT pro celou vaÜi sφ¥, nenφ nutnΘ filtrovßnφ paket∙ provßd∞t.

Jak vypadß paket

Abychom mohli nastavovat filtrovßnφ paket∙, je nutnΘ pochopit, jak je s pakety zachßzeno v jednotliv²ch vrstvßch zßsobnφku protokolu TCP/IP.

Obsah paketu v ka₧dΘ vrstv∞ je mo₧nΘ rozd∞lit na 2 Φßsti: hlaviΦku a datovou Φßst. HlaviΦka obsahuje °φdφcφ informace danΘ vrstvy a datovß Φßst obsahuje data vyÜÜφ vrstvy. Ka₧dß vrstva si tedy p°idßvß svoji hlaviΦku a v²slednΘ slo₧enφ paketu tedy vypadß takto:

Nßsledujφcφ informace je mo₧nΘ uplatnit p°i nastavovßnφ filtrovacφch pravidel pro hlaviΦky jednotliv²ch protokol∙ (vrstev):

Protokol IP (internetovß vrstva)

Protokol IP (Internet Protocol) je zßkladnφ internetov² protokol slou₧φcφ k (nespolehlivΘmu) p°enosu paket∙ vyÜÜφch vrstev.

P°i filtrovßnφ je mo₧nΘ uplatnit nßsledujφcφ informace:

zdrojovß IP adresa (source IP address)
cφlovß IP adresa (destination IP address)
typ protokolu (protocol) vyÜÜφ vrstvy, nap°.: TCP, UDP, ICMP apod.
pole IP voleb (IP options)

Formßt IP paketu je zobrazen na nßsledujφcφm obrßzku. èedivß polφΦka oznaΦujφ data, kterß je mo₧no zadßvat p°i filtrovßnφ paket∙.

Protokol ICMP (internetovß vrstva)

Protokol ICMP (Internet Control Message Protocol) slou₧φ pro p°enos chybov²ch a °φdφcφch zprßv mezi poΦφtaΦi.

P°i filtrovßnφ je mo₧nΘ uplatnit nßsledujφcφ informace:

typ ICMP zprßvy (type)

Formßt ICMP paketu je zobrazen na nßsledujφcφm obrßzku. èedivß polφΦka oznaΦujφ data, kterß je mo₧no zadßvat p°i filtrovßnφ paket∙.

Protokol TCP (transportnφ vrstva)

Protokol TCP (Transmission Control Protocol) je urΦen pro spolehliv² p°enos aplikaΦnφch dat mezi 2 poΦφtaΦi. Stanice spolu komunikujφ prost°ednictvφm "spojenφ". Vytvß°enφ spojenφ, p°enos dat a ukonΦenφ spojenφ °φdφ specißlnφ p°φznaky obsa₧enΘ v hlaviΦce TCP paketu. Pro filtrovßnφ TCP paket∙ mß velk² v²znam p°φznak vytvß°enφ spojenφ, jeliko₧ data nemohou b²t p°enßÜena d°φve, ne₧ je spojenφ ·sp∞Ün∞ vytvo°eno.

P°i filtrovßnφ je mo₧nΘ uplatnit nßsledujφcφ informace:

zdrojov² port (source port)
cφlov² port (destination port)
p°φznaky (flags)

Formßt TCP paketu je zobrazen na nßsledujφcφm obrßzku. èedivß polφΦka oznaΦujφ data, kterß je mo₧no zadßvat p°i filtrovßnφ paket∙.

Protokol UDP (transportnφ vrstva)

Protokol UDP (User Datagram Protocol) nabφzφ aplikaΦnφ vrstv∞ prost°edek pro (nespolehliv²) p°enos aplikaΦnφch dat. Protokol UDP na rozdφl od TCP nevytvß°φ mezi 2 stanicemi spojenφ a pakety mohou b²t odeslßny kdykoliv na jakoukoliv IP adresu a port.

P°i filtrovßnφ je mo₧nΘ uplatnit nßsledujφcφ informace:

zdrojov² port (source port)
cφlov² port (destination port)

Formßt UDP paketu je zobrazen na nßsledujφcφm obrßzku. èedivß polφΦka oznaΦujφ data, kterß je mo₧no zadßvat p°i filtrovßnφ paket∙.

Jakß Φφsla port∙ pou₧φvajφ aplikace

ZjednoduÜen∞, v prost°edφ Internetu se vyskytujφ klientskΘ a serverovΘ aplikace. Klientskou aplikacφ je nap°φklad WWW prohlφ₧eΦ a odpovφdajφcφ serverovou aplikacφ WWW server. Komunikace probφhß tak, ₧e klientskΘ aplikace se p°ipojujφ k serverov²m aplikacφm. ServerovΘ aplikace oΦekßvajφ spojenφ na pevn∞ dan²ch portech. Tyto porty majφ ve v∞tÜin∞ p°φpad∙ hodnotu menÜφ ne₧ 1024. Naopak, klientskΘ aplikaci v∞tÜinou nezßle₧φ na Φφsle portu, pomocφ kterΘho bude komunikovat, a port je tedy volen dynamicky (aplikace po₧ßdß operaΦnφ systΘm o p°id∞lenφ n∞jakΘho volnΘho portu). ╚φsla dynamicky zvolen²ch port∙ jsou v∞tÜφ ne₧ 1024.

Komunikace nap°. prohlφ₧eΦe a WWW serveru m∙₧e vypadat takto:

BezpeΦnostnφ politiky

Volba filtrovacφch pravidel siln∞ zßvisφ na typu Internetov²ch slu₧eb, kterΘ chcete, aby mohli u₧ivatelΘ v lokßlnφ sφti pou₧φvat, a na typu slu₧eb, pro kterΘ chcete umo₧nit p°φstup z Internetu.

Platφ, ₧e p°φliÜ restriktivnφ pravidla mohou znemo₧nit u₧ivatel∙m pou₧φvat urΦitΘ InternetovΘ slu₧by. V∞tÜinou se jednß o u₧ivatelskΘ aplikace, kterΘ oΦekßvajφ navazovanφ TCP spojenφ z Internetu, nebo aplikace, kterΘ vyu₧φvajφ UDP. Naopak, p°i benevolentn∞ji nastaven²ch pravidlech m∙₧e fungovat vφce aplikacφ, ale m∙₧e se snφ₧it mφra zabezpeΦenφ.

Obecnß zßsada p°i nastavovßnφ filtrovacφch pravidel je, ₧e se sna₧φte zakßzat p°φstup z Internetu do lokßlnφ sφt∞, zatφmco p°φstup opaΦn²m sm∞rem, tj. z lokßlnφ sφt∞ do Internetu, ponechßvßte voln². PotΘ, dle druhu vyu₧φvan²ch slu₧eb nebo slu₧eb, kterΘ chcete nabφzet do Internetu, dola∩ujete nastavenφ pravidel. Nejd∙le₧it∞jÜφ je ochrana slu₧eb b∞₧φcφch na poΦφtaΦφch v lokßlnφ sφti. Tyto slu₧by (nap°. sdφlenφ soubor∙, internφ WWW server, SQL server a dalÜφ) v∞tÜinou poslouchajφ na portech menÜφch ne₧ 1024. Slu₧by poslouchajφcφ na portech menÜφch ne₧ 1024 nemusφ b∞₧et jen na serverech, ale i na obyΦejn²ch stanicφch, jako je tomu nap°φklad u sdφlenφ soubor∙. U₧ivatelskΘ aplikace naopak vyu₧φvajφ pro komunikaci porty v∞tÜφ ne₧ 1024. Od portu 1024 se tedy odvφjφ nastavenφ bezpeΦnostnφch politik.

Ka₧dß rozumnß politika zakazuje p°φstup z Internetu do lokßlnφ sφt∞ na porty menÜφ ne₧ 1024 pro TCP a UDP protokol. Individußln∞ je pak mo₧nΘ povolit slu₧by, u kter²ch si p°ejete, aby byly p°φstupnΘ z Internetu, nap°. pro slu₧bu WWW povolφte protokol TCP a port 80.
Dßle pak vφce restriktivnφ politika zakazuje veÜkerΘ p°ichßzejφcφ UDP pakety a zakazuje TCP pakety, kterΘ se sna₧φ navazovat spojenφ z Internetu i na porty v∞tÜφ ne₧ 1024. Takovß politika tedy zakazuje zahßjenφ jakΘkoliv komunikace z Internetu do lokßlnφ sφt∞, ale povoluje zahßjenφ komunikace z lokßlnφ sφt∞. P°i uplatn∞nφ tΘto politiky mohou tedy p°estat pracovat (nebo jen ΦßsteΦn∞, siln∞ zßvisφ na aplikaci) urΦitΘ aplikace, kterΘ nap°φklad oΦekßvajφ, ₧e se druhß strana p°ipojφ z Internetu na port v∞tÜφ ne₧ 1024. TakΘ aplikace pou₧φvajφcφ UDP nebudou pracovat.

P°φklady politik:

P°i nastavovßnφ pravidel je nutnΘ pamatovat na to, ₧e pravidla jsou prochßzena v zadanΘm po°adφ a p°i vyhov∞nφ prvnφho pravidla se ji₧ dalÜφ neprovßdφ.

Nßsledujφcφ p°φklady ukazujφ vφce a mΘn∞ restriktivnφ politiku, kterou m∙₧ete uplatnit p°i nastavovßnφ pravidel:

mΘn∞ restriktivnφ politika:

Na rozhranφ (interface) p°ipojenΘmu k Internetu pro p°φchozφ (incoming) pakety:

individußln∞ povolit pakety s portem menÜφm ne₧ 1024 pro slu₧by, kterΘ chcete nabφzet
povolit UDP pakety p°ichßzejφcφ od DNS server∙, tj. se zdrojov²m portem 53 a cφlov²m portem 53
zakßzat TCP pakety s cφlov²m portem menÜφm ne₧ 1024
zakßzat UDP pakety s cφlov²m portem menÜφm ne₧ 1024

P°φklad nastavenφ politiky ve filtru paket∙:

Packet Filter - mΘn∞ restriktivnφ politika

vφce restriktivnφ politika:

Na rozhranφ (interface) p°ipojenΘmu k Internetu pro p°φchozφ (incoming) pakety:

individußln∞ povolit pakety s portem menÜφm ne₧ 1024 pro slu₧by, kterΘ chcete nabφzet
povolit UDP pakety p°ichßzejφcφ od DNS server∙, tj. se zdrojov²m portem 53 a cφlov²m portem v∞tÜφm ne₧ 1024
povolit UDP pakety p°ichßzejφcφ od DNS server∙, tj. se zdrojov²m portem 53 a cφlov²m portem 53
zakßzat TCP pakety s cφlov²m portem menÜφm ne₧ 1024
zakßzat TCP pakety navazujφcφ spojenφ (vÜechny porty)
zakßzat UDP pakety (vÜechny porty)

Pravidlo povolujφcφ urΦitou slu₧bu, nap°. WWW m∙₧e vypadat takto:
povolit TCP pakety pro cφlovou adresu WWW serveru a cφlov² port 80.

P°φklad nastavenφ politiky ve filtru paket∙:

Packet Filter - vφce restriktivnφ politika

Zamezenφ p°φstupu u₧ivatel∙ na urΦitΘ slu₧by v Internetu

Filtrovßnφ paket∙ je takΘ mo₧nΘ pou₧φt pro omezenφ p°φstupu u₧ivatel∙ z lokßlnφ sφt∞ na urΦitΘ InternetovΘ slu₧by. Omezit lze nap°. jen n∞kterΘ poΦφtaΦe, dle zdrojovΘ IP adresy. Typ slu₧by, kter² chcete omezit, se specifikuje Φφslem cφlovΘho portu slu₧by.

Tedy nap°φklad pro zamezenφ p°φstupu na slu₧bu FTP (p°enos soubor∙):

Na rozhranφ (interface) p°ipojenΘmu k Internetu pro odchßzejφcφ (outgoing) pakety:

zakßzat TCP pakety s cφlov²m portem 21

Jestli₧e provozujete proxy server, na kterΘm mßte nastavenΘ filtrovßnφ podle URL a chcete p°inutit u₧ivatele, aby jej pou₧φvali a nep°ipojovali se p°φmo, m∙₧ete pou₧φt nßsledujφcφ pravidla:

Na rozhranφ (interface) p°ipojenΘmu k Internetu pro odchßzejφcφ (outgoing) pakety:

povolit TCP pakety z adresy proxy serveru a s cφlov²m portem 80
zakßzat TCP pakety s cφlov²m portem 80

Konfigurace filtrovßnφ paket∙

Na vstupu a v²stupu ka₧dΘho rozhranφ je mo₧nΘ nastavit filtrovacφ pravidla, urΦujφcφ kterΘ pakety budou propuÜt∞ny, a kterΘ ne. Nastavenφ se provßdφ na ·rovni IP adres, protokol∙ a port∙.

Zpracovßnφ bezpeΦnostnφch pravidel probφhß tφmto zp∙sobem:
Pravidla jsou prochßzena v po°adφ, v jakΘm jsou zobrazena. P°i p°φchodu/odchodu paketu se zkontrolujφ pravidla nejprve pro rozhranφ, ze kterΘho paket p°iÜel, a potΘ pravidla platφcφ pro ka₧dΘ rozhranφ (any). P°i nalezenφ prvnφho vyhovujφcφho pravidla se ji₧ dalÜφ nekontrolujφ a je provedena p°φsluÜnß akce: paket je bu∩ propuÜt∞n, zahozen nebo zamφtnut. Voliteln∞ je mo₧nΘ zvolit zßznam informacφ o paketu do souboru nebo do okna WinRoute.

Pravidlo definuje zdrojovou adresu / rozsah adres, cφlovou adresu / rozsah adres, v p°φpad∞ TCP a UDP zdrojov² a cφlov² port. Dßle u TCP je mo₧nΘ urΦit, zda se pravidlo vztahuje pouze k paket∙m (ne)navazujφcφ spojenφ.

Filtrovßnφ paket∙ se provßdφ v menu:
Settings => Advanced => Packet Filter => Add/Edit

"Protocol"
Sφ¥ov² protokol. Mo₧nosti jsou: IP, TCP, UDP, ICMP, PPTP.

"Source", "Destination"
Definice zdrojovΘ a cφlovΘ IP adresy. Adresa m∙₧e b²t uvedena pro jeden poΦφtaΦ nebo pro skupinu poΦφtaΦ∙ zadan²ch bu∩ maskou, rozsahem, nebo pojmenovanou skupinou.
V p°φpad∞ protokolu TCP nebo UDP je mo₧nΘ specifikovat zdrojov² a cφlov² port.

"ICMP type" (pouze v p°φpad∞ protokolu ICMP)
Specifikovßnφ konkrΘtnφho typu ICMP zprßvy.

"TCP flags" (pouze v p°φpad∞ protokolu TCP)
Je mo₧nΘ zadat, p°i jakΘm p°φznaku se pravidlo uplatnφ:
"Only established TCP connections" : pravidlo vyhovφ, pokud se jednß o pakety, kterΘ nevytvß°φ novΘ TCP spojenφ, tj. nemajφ nastaven p°φznak SYN.
"Only establishing TCP connections" : pravidlo vyhovφ, pokud se jednß o pakety, kterΘ vytvß°φ novΘ TCP spojenφ, tj. majφ nastaven p°φznak SYN.

"Action"
V p°φpad∞, ₧e paket vyhovφ nadefinovanΘmu pravidlu, je provedena zvolenß akce:
Permit - paketu je povolen pr∙chod do sφt∞
Drop - paket je zahozen
Deny - paket je zamφtnut

V p°φpad∞ zamφtnutφ paketu je jeho p∙vodci odeslßn zamφtajφcφ paket (tj. TCP reset, nebo ICMP port unreachable).

"Log Packet"
V p°φpad∞ uplatn∞nφ pravidla je mo₧nΘ zaznamenat tuto udßlost s informacemi o paketu. Zßznam m∙₧e probφhat bu∩ do okna aplikace nebo do souboru.

"Valid at"
Stanovuje, v jakΘm ΦasovΘm obdobφ pravidlo platφ. P°i zvolenφ (always) platφ pravidlo v₧dy.

Anti spoofing

N∞kterΘ sφ¥ovΘ slu₧by jsou zabezpeΦeny na zßklad∞ IP adresy klienta. Jednß se nap°φklad o rlogin, NFS (Network File Sharing). Tuto ochranu m∙₧e p°φpadn² ·toΦnφk obelstφt technikou naz²vanou IP spoofing, kterß spoΦφvß ve falÜovßnφ zdrojovΘ IP adresy. Tento zp∙sob ·toku je obvykle provßd∞n v kombinaci se TCP SYN floodingem nebo source routingem. ┌toΦnφk m∙₧e ohrozit sprßvnΘ fungovanφ slu₧by, nebo m∙₧e dokonce zφskat neoprßvn∞n∞ p°φstup ke slu₧b∞.

Kontrola spoofingu je provßd∞na p°i p°φchodu paketu. U ka₧dΘho rozhranφ se nastavuje, jakΘ zdrojovΘ IP adresy se mohou v paketech p°ichßzejφcφch na tomto rozhranφ objevit. Pakety s jinou zdrojovou adresou jsou zahozeny a p°φpadn∞ je proveden zßznam do logu.

Filosofie nastavenφ anti-spoofingu ve WinRoute je tedy nßsledujφcφ:

pojmenovanou skupinu adres

U rozhranφ p°ipojenΘho do Internetu pochopiteln∞ nenφ mo₧nΘ vyjmenovat vÜechny adresy, kterΘ se mohou objevit v p°φchozφch paketech. Paket je propuÜt∞n, nenφ-li jeho zdrojovß adresa povolena u ₧ßdnΘho rozhranφ lokßlnφ sφt∞. V p°φchozφch paketech se tedy m∙₧e vyskytovat jakßkoliv jinß zdrojovß adresa ne₧ ta, kterß by byla akceptovanß na rozhranφch lokßlnφ sφt∞. Tφm se zajistφ, ₧e do sφt∞ se nepropustφ pakety, u nich₧ je zfalÜovanß zdrojovß adresa tak, ₧e vypadajφ jako by p°iÜly z lokßlnφ sφt∞.

Konfigurace anti spoofingu

Anti spoofing se nastavuje v menu:

Settings => Advanced => Anti-Spoofing => tlaΦφtko Edit

"Any"
Nenφ provßd∞na ₧ßdnß kontrola. Z rozhranφ m∙₧e p°ijφt jak²koliv paket. Toto je v²chozφ nastavenφ po instalaci.
"From the network connected to this interface"
Z rozhranφ m∙₧e p°ijφt paket, jeho₧ zdrojovß IP adresa pat°φ do sφt∞ p°φmo p°ipojenΘ k tomuto rozhranφ. Obvykle se nastavuje na rozhranφ lokßlnφ sφt∞.
"Only those that are not permitted on other interfaces"
Z rozhranφ m∙₧e p°ijφt paket s jakoukoliv zdrojovou adresou krom∞ t∞ch, kterΘ jsou povoleny na jin²ch rozhranφch. Obvykle nastavuje na rozhranφ p°ipojenΘm do Internetu.
"or additionally from ..."
PovolenΘ zdrojovΘ adresy jsou specifikovanΘ ve vybranΘ pojmenovanΘ skupin∞ adres. Volbu lze vyu₧φt pouze v kombinaci s p°edchozφmi dv∞ma mo₧nostmi. Tato mo₧nost je pot°ebnß v p°φpad∞, ₧e v lokßlnφ sφti jsou jeÜt∞ n∞jakΘ dalÜφ segmenty.
"Log Packet"
Zßznam poruÜenφ pravidla do okna aplikace nebo do souboru.

P°φklad nastavenφ anti spoofingu

Nßsledujφcφ obrßzek ukazuje t°i sφt∞:

192.168.1.0 s maskou 255.255.255.0
192.168.2.0 s maskou 255.255.255.0
194.196.16.0 s maskou 255.255.255.0

Anti spoofing je nastaven podle nßsledujφcφho obrßzku:

Filozofie nastavenφ je tato:

na rozhranφ NE20002 mohou p°ichßzet pakety se zdrojovou adresou ze sφt∞ jedna a dva
na rozhranφ EL90X1 mohou p°ichßzet pakety se zdrojovou adresou ze sφt∞ t°i
na rozhranφ line0 mohou p°ichßzet pakety s libovolnou zdrojovou adresou, krom∞ ze sφtφ jedna, dva a t°i.

Nastavenφ v dialozφch vypadß nßsledovn∞:

DialogovΘ okno 'Network Address Group'

PojmenovanΘ skupiny adres a ΦasovΘ seznamy

PojmenovanΘ skupiny adres a ΦasovΘ seznamy lze pou₧φt na jin²ch mφstech v konfiguraci.

PojmenovanΘ skupiny adres (Address Groups)

PojmenovanΘ skupiny adres je mo₧nΘ uplatnit vÜude v p°φpadech, kdy je zapot°ebφ specifikovat zdrojovou a cφlovou IP adresu, tedy nap°. p°i filtrovßnφ paket∙, v rozÜφ°enΘm nastavenφ NAT apod.

V²hody jejich pou₧itφ jsou nßsledujφcφ:

lze slouΦit pod jeden nßzev r∙znΘ sφt∞ a nenφ tedy zapot°ebφ p°i definici zdroje/cφle vyjmenovßvat ka₧dou sφ¥ zvlßÜ¥.
p°i zm∞n∞ konfigurace sφt∞ (nap°. p°idßnφ novΘho segmentu, zm∞ny IP adres, ...) staΦφ upravit pojmenovanou skupinu
u rozlehlejÜφch sφtφ je odkazovßnφ p°es jmΘno p°ehledn∞jÜφ

PojmenovanΘ skupiny se nastavujφ v menu:
Settings => Advanced => Address Groups
Pod ka₧dou skupinkou lze vytvo°it libovoln² poΦet zßznam∙. Zßznam m∙₧e b²t bu∩ jedna IP adresa, skupina IP adres urΦenß sφ¥ovou maskou, nebo skupina adres zadan²ch rozsahem.

╚asovΘ intervaly (Time Intervals)

╚asovΘ intervaly je mo₧nΘ pou₧φt nap°φklad k omezenφ platnosti filtrovacφho pravidla na urΦitou dobu. Na Φasov² interval se odkazuje jeho jmΘnem.

╚asovΘ intervaly se nastavujφ v menu:
Settings => Advanced => Time Intervals
Pod ka₧d²m intervalem lze vytvo°it libovoln² poΦet zßznam∙, co₧ umo₧≥uje velmi flexibiln∞ urΦit po₧adovanou dobu.