Postup nastavení profilu firewallu v Eset Smart Security 4.2 v domácím prostředí a malých firmách

Postup nastavení profilu firewallu v Eset Smart Security 4.2

V nové verzi oblíbeného bezpečnostního produktu Eset Smart Security 4.2 výrobce umožnil vytváření tzv. profilů firewallu, která dají uživateli, případně ve firmách administrátorovi, možnost ovlivnit chování osobního firewallu podle toho, v jaké síti je počítač připojen. Typická situace je u uživatelů notebooků, kteří jsou každý den běžně připojeni v několika různých bezdrátových sítích a samozřejmě se se svým notebookem potřebují připojit i ve firemní nebo domácí síti. Doposud to byl pro uživatele problém a pro administrátora pak spíše noční můra, pokud bylo potřeba Smartku nastavit tak, aby v každé síti vše správně fungovalo.

Nyní je možné poměrně jednoduše nastavit Eset Smart Security tak, aby byla sama schopna rozpoznat, v jaké síti je připojena a nastavit podle toho profil firewallu a tím změnit jeho chování. Typický příkladem může být celkem jednoduchý požadavek administrátora - ve firmě a doma potřebuje, aby se k notebooku ředitele mohl připojit pomocí programu pro vzdálenou správu počítače, ale v ostatních sítích musí být komunikace standardně zakázána, aby se do počítače náhodou nedosta někdo, kdo tam nemá co dělat. A pokud ředitel potřebuje pomoc na cestách? Není nic jednoduššího než profil firewallu přepnout ručně.

Eset Smart Security v domácím prostředí

No a jak na to? Vše se ovládá v detailním nastavení, které se otevírá z hlavního okna Eset Smart Security po stiknutí klávesy F5. Zobrazí se toto okno:

Ve výchozím stavu v sekci "Uživatelské profily firewallu" zobrazeno "Žádný profil". Eset Smart Security si v tomto případě bude dělat pouze to, co uzná za vhodné, a to bez ohledu na to, v jaké síti bude připojena. V okamžiku, kdy se změní IP adresa síťové nebo WiFi karty, detekuje změnu a zeptá se, jestli se má v nové síti přepnout do režimu přísné ochrany (nepovolí žádnou příchozí komunikaci), nebo umožnit sdílení (z okolních počítačů budou vidět sdílené prostředky vašeho počítače - třeba tiskárny nebo sdílené soubory a adresáře).

Pokud se takto připojíte do nějaké sítě, třeba doma, můžete následně vytvořit odpovídající profil, který pak Smartce vždy určí, jak se bude v domácí síti chovat. Nejprve ovšem musíte vytvořit odpovídající profil, a nějak smysluplně ho nazvat, například "Doma". Profil vytvoříme kliknutím na tlačítko "Profily". Otevře se následující dialog:

Zde klikneme na tlačítko Přidat. Do otevřeného dialogu napíšeme jméno profilu, tedy například "Doma". Pak ještě musíme zvolit, za jakých podmínek se Eset Smart Security do tohoto profilu přepne. Na výběr máme ze tří možností:

1. Nepřepínat automaticky - tento profil lze aktivovat pouze ručně.
2. Když se zruší platnost automatického profilu a není aktivován jiný profil - takto nastavený profil se chová jako předvolený a použije se vždy, když se nemůže automaticky nastavit jiný profil. Z toho plyne, že tento profil bude typicky určen pro práci ve všech možných cizích sítích a bude v něm nastaven přísnější režim fungování firewallu.
3. Když se autentifikuje zóna (výběr zóny) - pokud zvolíme tuto možnost a vybereme si konkrétní zónu (rozumněj připojíme se do této sítě), aktivuje se automaticky tento profil. Tato možnost je přesně pro náš případ - pokud Eset Smart Security detekuje domácí síť a nastaví se podle toho.

Pokud je váš firewall nastaven na tzv. Automatický režim filtrování, je to v podstatě vše, co je potřeba nastavit. Aby bylo jasné, k čemu jsou dobré režimy filtrování, v rychlosti si to vysvětlíme:

1. Automatický režim - je přednastaven při instalaci pro uživatele, kteří potřebují rychlé a pohodlné používání firewallu bez nutnosti definování pravidel. Povoluje veškerou komunikaci z daného systému směrem do sítě a blokuje veškerou nově příchozí komunikaci ze sítě
2. Automatický režim s výjimkami (uživatelskými pravidly) - na rozdíl od prvního režimu umožní uživateli definovat i vlastní pravidla
3. Interaktivní režim - je určen spíše pro zkušenější uživatele. Dává rozsáhlé možnosti nastavení pravidel - v momentě rozpoznání nové komunikace, na kterou nemůže aplikovat žádné existující pravidlo, zobrazí dialog typu "Rozpoznána nová komunikace, program XY se snaží spojit tam a tam... Mám mu to povolit, nebo zakázat???". Uživatel se může rozhodnout, zda komunikaci povolí, nebo zakáže, a taky jestli je jeho rozhodnutí jednorázové nebo jednou pro vždy (vytvoří se trvalé pravidlo). Z tohoto chování je jasné, že rozhodování nebude snadné a je skutečně vhodné pouze pro uživatele, který "ví co se mu v počítači děje".
4. Administrátorský režim - blokuje veškerou komunikaci, pro které neexistuje povolující pravidlo. Tento režim je vhodný ve firemním prostředí, nebo pro uživatele typu "dítě" - nemůže si prostě dělat co chce a je pod přísnou kontrolou a ochranou.
5. Učící režim - v tomto režimu se firewall na nic neptá a pro veškerou komunikaci zcela automaticky a bez zásahu uživatele vytváří pravidla, které se pozdějí dají využít pro velmi prezicní nastavení.

Postupně tedy vytvoříme několik profilů, které nám automaticky umožní efektivní a bezpečnou práci s počítačem, aniž bychom se museli příliš starat o to, kde jsme s počítačem právě připojeni.

Pravidla a zóny

Pravidla a zónyu jsou základním stavebním kamenem firewallu a bez nich je k ničemu. Běžný uživatel František se o ně zajímat nebude a nechá si firewall v automatickém režimu. Firewall se mu za to, že do něj nebude vrtat, odmění tím, že ho bude spolehlivě chránit před většinou svinstva. Oproti tomu uživatel zvídavý, v případě firem třeba administrátor, může pomocí pravidel hodně věcí vylepšit. Dlužno podotknout, že taky pokazit :))

Nastavení pravidel a zón není možné ve všech režimech filtrování - v automatickém režimu nemá vyznam a není přístupné. A k čemu jsou konkrétní pravidla a zóny potřebné a jaký je vlastně rozdíl mezi pravidlem a zónou?

Zóna, jak již bylo zmíněno před chvílí, je v podstatě nějaká síť (domácí, pracovní, veřejná WiFi na letišti), do které je počítač se Smartkou připojen. U zńy (sítě) ještě rozlišujeme, zda ji pokládáme za důvěryhodnou, nebo ne. Důvěryhodná síť bude typicky u vás ve firmě nebo vaše domácí síť. Veřejná WiFi oproti tomu rozhodně důvaryhodná být němůže, protože houby víte, co vás v takové síti může potkat a kolik úchylů číhá na to, až se do takové sítě připojíte :))

Pravidlo ve firewallu představuje způsob jeho chování ve vztahu k nějaké konkrétní aplikaci (třeba k internetovému prohlížeči nebo chatovadlu typu ICQ nebo Skype), ke konkrétnímu komunikačnímu protokolu (protokol je jazyk, kterým počítač komunikuje se svým okolím) nebo k součástem windowsů (procesy a služby) - ty taky pořád někde chtějí šmejdit mimo počítač a dělat něco, čemu běžný uživatel nerozumí.

Jednoduchý příklad - pokud Smartce řeknete, že internetový prohlížeč NESMÍ odesílat žádné požadavky ven z počítače, tak si pochopitelně na internetu ani neškrtnete :)) A pokud něco podobného prohlásíte o ICQ nebo o Skype, tak si s kamarádem můžete povídat maximálně tak otevřeným oknem.

Pro běžného domácího uživatele je nastavování pravidel a zón dost složitá záležitost, anžto v 99.99% případů ani vzdáleně netuší, o čem je řeč a co by měl kde nastavit. Ve firmách je situace jiná, tam je nastavení užitečné, ba co dím v mnoha případech životně důležité. O tom je ale jiný článek.

Co říci závěrem? Tento článek nemá sloužit jako detailní návod na to, jak pracovat s mocnou zbraní, která se jmenuje firewall. Cílem je poskytnout informace o tom, jak to přibližně funguje a jak využít užitečné a celkem jednoduché funkce, která se jmenuje Profil firewallu :))