Návod na použitie ESET PERSONAL FIREWALL

[. . . ] Úvod Riesenie EsEt smart security integruje antivírus, antispyware, antispam a tiez personálny firewall s moznosou centrálnej správy pomocou EsEt Remote Administrátora. tento dokument popisuje moznosti nasadenia personálneho firewallu v sieti. Môzeme si ale polozi otázku, preco je instalácia personálnych firewallov na klientskych staniciach vhodná, ke uz je nainstalovaný firemný firewall na serveri. [. . . ] Riesenie 2: Nadefinujemenovépravidlosmenom"DNSpreklientov", smer:DNU, akcie:POVOLI, protokol:UDP, lokálnyport: 53(DNS), vzdialenáadresa-zóna:dôveryhodnázóna. 2. . 3 Prísne pravidlá a vyssia bezpecnos správca môze pri nasadení riesení EsEt smart security, resp. integrovaného personálneho firewallu vychádza z nasledujúcich modelov: · Ponechapersonálnyfirewallvautomatickom rezime filtrovaniaaideálnepreddefinovadôveryhodnúzónu. Uzívatetaknebudevyzvanýdialógovýmoknomvprípade, zenebudePC(castonotebook)prenásadoinejsiete. 8 Odchádzajúca komunikácia ale nebude prakticky filtrovaná. · Nastavipersonálnyfirewalldointeraktívneho rezimu filtrovania. tento rezim je vhodný pre skúsenejsích uzívateov, pretoze budú musie rozhodnú, ktorej aplikácií povoli alebo zakáza . A to môze by pre väcsinu uzívateov pre neznalos sieových pravidiel problém. · Nastavipersonálnyfirewalldoadministrátorskéhorezimufiltrovania(policy-based)s"vonejsími"pravidlami, ktorébudúvseobecnepovoovaSMTP, HTTP, POP3bezohadunato, ktoráaplikáciatútokomunikáciu inicializuje. tento rezim vyzaduje nastavenie skúseným administrátorom. · Nastavipersonálnyfirewalldoadministrátorskéhorezimufiltrovania(policy-based) s prísnymi pravidlami, kdebudújednotlivésluzbyviazanek. Tj. napr. procesfirefox. exebudemapovolenýibavzdialenýport80(HTTP), 443(HTTPS), OutlookExpresslenporty25, 110, 143atoestesobmedzenímnakonkrétnuIPadresu(kdebezia postové servery pod vasou správou. . . ). Poslednýmodeljepochopitenenajzlozitejsíaprinásazáludnosti, avsakponúkanajvyssiuúrovezabezpecenia. Príkladsituácie:doPCprenikneneznámyskodlivýkód, ktorýniejeodchytenýrezidentnýmstítom-tento vytvorílokálnySMTPserverzaúcelomrozoslanevyziadanúpostu, pricom"inspiráciu"cerpázwebserverana danejverejnejIPadresezInternetu. Tátoinfekciabudevprípadeposlednéhomodeluzaizolovaná, kezeSMTP komunikáciajeumoznenálenpreprocesOutlookExpressaHTTPlenpreprocesMozillaFirefox. 2. . 4 Stratégia tvorby pravidiel v sieovom prostredí Akbudemechciekomunikáciunaklientochvsietimaximálnesprísni, jekdispozíciíadministrátorský rezim filtrácie(indeoznacenýakopolicy-based), do ktorého nemôze uzívate zasahova. 2Nasadenieadministrátorského rezimu ale vyzaduje dôkladnú prípravu, aby nedoslo k blokovaniu legitímnych aplikácií nutných pre prácu a pod. Ponúkasaniekokospôsobov, akoadministrátorskýrezimnasadi, najvhodnejsíjeposledný: · Vopreddefinovapravidlá"zhlavy"arovnospraviinstaláciuESETSmartSecurityvadministrátorskom rezime spolu s týmito preddefinovanými pravidlami Je tu riziko, ze na nejakú aplikáciu zabudneme v pravidle a tím znemozníme jej funkcnos. · DocasnenainstalovaESETSmartSecurityspersonálnymfirewallomvrezimeInteraktívny, spolus nasledovným"ucenímsa"priamopocascinnosti Pridetekciíneznámejkomunikácie(neexistujepreupravidlo)budezobrazenýdialógaideálnesprávca zadefinujepravidlo. Poniekokýchdoch, akonáhlesúpouzitévsetkysieovéalikácie, môzubypravidlá kompletne uzatvorené. TIP: Personálny firewall môzete prepnú do Administrátorského rezimu filtrovania (policy-based) a následne nastavenie pravidiel vyexportova pomocou nástroja ESET Remote Administrátor ci samotného rozhrania ESET Smart Security (menu Nástroje -> Import a export nastavení. . . ) do podoby XML súboru!Tento pouzijete pri vzdialenej instalácií alsích klientov, pri vzdialenej zmene konfigurácie klientov, alebo ho priamo naimportova spä do alsích klientov s ESET Smart Security (menu Nástroje -> Import a export nastavení. . . ). 2 Plnohodnotnezapredpokladu, zeklientskériesenieESETSmartSecuritybudemazaheslovanýprístupdo nastavení personálneho firewallu. 9 3. . Tvorba pravidiel, zón v grafickom prostredí ESET Pravidláazónymôzetevytvára: · VdetailnomnastaveníESETSmartSecurity, ktorévyvolátestlacenímF5vprípade, zesapohybujemevgrafickom prostredíESETSmartSecurity(alebo. vmenuNastavenia -> Personálny firewall). · Prostredníctvomkonfiguracnéhoeditoru, ktorýjesúcasounástrojaESETRemoteAdministrátor. Týmtomôzeme otvoriexistujúcepravidláktoréhokovekklienta(importomsúcasnejkonfiguráciedanéhoklienta), otvori vyexportovanúkonfiguráciuvpodobeXMLsúboru, alebovychádzazoriginálnehostavu. Vzdialená adresa môze by vyplnená v prípade prísnej ochrany Povolenie aktualizácie na klientovi s Ess Von TCP ekrn. exe 80, 2221 Povolenie komunikácie klienta Ess s ERA serverom (pravidlona klientovi) Povolenie komunikácie ERA konzole s ERA serverom Príjema odoslanie posty Von TCP ekrn. exe 2222, 2224 Von TCP console. exe 2223 Von TCP proces postového klienta 25(SMTP), 110 IPadresy (POP3), 143 postových (IMAP) serverov 80(HTTP), 443(HTTPS), alebo port Proxyserveru 21(FTP), 1024 az 65535 21(FTP) IPadresa FTP serveru Prezeranie webových stránok FTPklientna server FTPklientna server(aktívny) druhé pravidlo predoslého Vzdialená plocha na iné PC MicrosoftLive Messenger Von TCP proces prehliadaca Von TCP FTPklient Pasívnyrezim FTP(vhodnejsie) Von TCP FTPklient Dnu TCP&UDP FTPklient 20(FTP-data) Je nutné definovaIP adresuFTP servera!Nutnéproces dohada Nutnéproces dohada Von TCP mstsc. exe 3389 Von TCP msnmsgr. [. . . ] Význam modrých / sedých ikon je detailne popísaný v dokumentácií k nástroju EsEt Remote Administrátor. V podstateideoto, zevXMLvýstupebudúzapísanéleninformácie, ktorémajúpredriadkommodrýsymbol. Pri pouzití 3tohtovýstupnéhoXMLnakoncovýchklientochtakbudeprednastavenýlenfirewall. 3 Opäsaponúkaniekokospôsobov, akoXMLvýstupuplatni:vrámciúlohyconfiguration(taskconfiguration), privzdialenejinstalácií­importomXMLdoinstalacnéhobalícku(package), importompriamovESETSmart security atd. 16 4. . Zhrnutie Zhrmeteda, cojeprenasadenierieseniaESETSmartSecurity, resp. integrovanéhopersonálnehofirewallu dôlezité: · PersonálnyfirewallspolocnostiESETfungujetak, zekomunikáciu, prektorúneexistujeodpovedajúcepravidlo, automaticky zakáze. [. . . ]