Firestarter - Stránka Politika

The policy page

Podrobnejšie vysvetlenie politiky systému sa nachádza v časti Práca s politikou. Táto časť obsahuje návod ako používať stránku Politika rozhrania programu Firestarter v praxi.

Stránka Politika je rozdelená na dve časti - politiku vstupnej komunikácie a politiku výstupnej komunikácie. Prepínať sa medzi nimi môžete pomocou rozbaľovacieho zoznamu vo vrchnej časti stránky.

Každý z pohľadov obsahuje tri zoznamy skupín pravidiel. Pravidlo politiky predstavuje jeden záznam v jednom zo zoznamov. Nové pravidlo pridáme tak, že označíme skupinu, do ktorej budeme chcieť pravidlo pridať, kliknutím na príslušný zoznam. Potom klikneme na tlačidlo Pridať pravidlo na nástrojovej lište alebo použijeme kontextovú ponuku, ktorú vyvoláme pravým tlačidlom myši na príslušnom zozname. Pravidlo odstránime tak, že ho označíme kliknutím, a potom klikneme na tlačidlo Odstrániť pravidlo na nástrojovej lište alebo v kontextovej ponuke. Ak chceme existujúce pravidlo upraviť, stačí nad ním urobiť dvojklik alebo ho označiť a kliknúť na tlačidlo Upraviť pravidlo na nástrojovej lište alebo v kontextovej ponuke.

Všetky zmeny, ktoré urobíte na stránke Politiky je potrebné potvrdiť. Je to kvôli tomu aby ste nikdy nepridelili viac privilégií ako ste chceli, obzvlášť ak vytvárate viacero politických rozhodnutí, ktoré navzájom súvisia. Ak chcete aplikovať zmeny, stačí kliknúť na tlačidlo Aplikovať politiku na nástrojovej lište. Prostredníctvom predvolieb je tiež možné nastaviť, aby sa zmeny vykonané v politike aplikovali okamžite.

Skupina politiky vstupnej komunikácie

Vstupná politika riadi komunikáciu prichádzajúcu na firewall zo siete Internet a z lokálnej siete. Predvolená vstupná politika je kompletne vykrývajúca, to znamená, že nič neprejde ak to nie je explicitne povolené. Pravidlá, ktoré pridáte do skupín vstupnej politiky teda vytvárajú výnimky v tejto politike, ktoré vytvárajú priechody cez firewall, cez ktoré môže prejsť legitímna komunikácia.

Tri skupiny politiky sú rozmiestnené zhora nadol: Povoliť pripojenia zo stanice, Povoliť službu a Presmerovať službu.

Povoliť pripojenia zo stanice

Keď vytvárate nové pravidlo v skupine Povoliť pripojenia zo stanice, jediným parametrom, ktorý je potrebné zadať, je IP alebo menná adresa zdrojovej stanice. Ako názov napovedá, pridaním stanice do tejto skupiny ju označíte ako dôveryhodný zdroj a všetka komunikácia pochádzajúca od tohto zdroja bude v budúcnosti prepustená cez firewall.

Povoliť službu

Skupina Povoliť službu umožňuje oveľa jemnejšie riadenie prístupu. Pravidlá v tejto skupine majú dva parametre - službu a cieľ. Službu môžete vybrať dvoma spôsobmi - buď cez rozbaľovací zoznam preddefinovaných služieb alebo explicitným zadaním sieťového portu, ktorý služba používa. Následne sa program Firestarter pokúsi zistiť názov služby, ale používateľ môže názov zadať aj ručne.

Cieľom môže byť jedna z troch možností -  Ktokoľvek, klienti siete LAN alebo používateľom určená IP adresa, menná adresa alebo sieť. Možnosť ktokoľvek znamená presne to, že ktokoľvek resp. všetci môžu pristupovať k službe na požiadanie. Možnosť klienti LAN znamená, že službu môžu používať iba klienti pripojení do lokálnej siete. Používateľom definovaný cieľ, môže byť buď IP adresa, ktorá pozostáva zo štyroch čísel oddelených bodkami, menná adresa zrozumiteľná pre človeka, alebo celá sieť. Sieť je určená buď ako sieť/sieťova_masko v číselnom tvare oddelenom bodkami, alebo použitím zápisu CIDR Notation. V prípade, že zadáte iba samostatnú IP adresu, služba bude efektívne skrývaná a iba jeden cieľový počítač bude túto službu vidieť.

Presmerovať službu

Creating a forward rule

Poslednou skupinou vstupnej politiky je skupina Presmerovať službu. Táto skupina je aktívna iba ak je zapnuté zdieľanie internetového pripojenia. Ak je zdieľanie povolené, celá skupina počítačov je z pohľadu vonkajšej siete viditeľná ako jeden záznam. Ak všetky počítače zdieľajú jednu verejnú IP adresu, za účelom poskytnutia verejných služieb staniciam v lokálnej sieti, firewall môže tiež fungovať ako prostredník medzi verejnými a súkromnými sieťami.

Rovnako ako pri predchádzajúcej skupine politiky, aj pravidlá tejto skupiny obsahujú dva parametre - službu a cieľ. Služba sa dá vybrať dvoma spôsobmi - buď pomocou rozbaľovacieho zoznamu s preddefinovanými službami alebo priamym zadaním čísla portu. Toto číslo predstavuje port, na ktorom bude firewall načúvať, ak dostane požiadavku, potom komunikáciu presmeruje priamo na cieľ. Cieľ je určený ako IP adresa počítača vo vnútornej sieti. Je to počítač, ktorý poskytuje aktuálnu službu. Pre tento počítač je možné zadať iný port ako ten, na ktorom načúva firewall, aj keď vo väčšine prípadov budú rovnaké. Ďalší spôsob použitia rôznych portov na firewalle je ten, že porty nie sú symetrické. To znamená že firewall načúva na celom rozsahu portov a potom komunikáciu presmeruje na jeden port počítača.

Skupina politiky výstupnej komunikácie

The outbound policy groups

Výstupná politika riadi komunikáciu odchádzajúcu z firewallu do siete Internet alebo k staniciam v sieti LAN. Predvolená výstupná politika je zhovievavá. To znamená, že vy a ďalší klienti pripojení do lokálnej siete môžu bez obmedzení prehliadať webové stránky, čítať emaily, atď. Je tiež možné zmeniť politiku do prísneho režimu podobnému tomu vo vstupnej politike. Režimy sa dajú prepínať pomocou prepínacích tlačidiel vo vrchnej časti pohľadu výstupnej politiky.

Zhovievavý režim

Režim označený ako Všetko povoliť, vytvárať zoznam zakázaných pripojení predstavuje spôsob chovania programu Firestarter, v ktorom sa spustí. Ako je vysvetlené vyššie, odchádzajúca komunikácia nie je v tomto režime obmedzovaná a vaše sieťové aplikácie budú fungovať normálne. Skupiny politiky vo výstupnej politike budú v tomto režime slúžiť na vytváranie zoznamu zakázaných pripojení. To znamená, že stanovujú obmedzenia, pre inak zhovievavú politiku.

Prvá skupina politiky, Odmietnuť pripojenia ku stanici, je efektívny tzv. čierny zoznam. Pravidlá v tejto skupine majú len jeden parameter obsahujúci IP adresu alebo platnú mennú adresu. Stanice zobrazené v tejto skupine sú označené ako obmedzené. Jeden z možných spôsobov použitia tejto skupiny politiky je zadávanie zoznamu zakázaných webových stránok, nikto z lokálnej siete ale ani zo samotnej stanice, na ktorej je spustený firewall, nebude môcť zobraziť tieto stránky v prehliadači.

Skupina Odmietnuť pripojenia z LAN stanice pracuje ako čierna listina pre lokálne sieťové stanice. Žiadna stanica, ktorá sa bude v tomto zozname nachádzať, nebude mať možnosť pripojiť sa do siete Internet. To môže byť užitočné napríklad vtedy, ak chcete niekomu znemožniť prístup na server, ale nechcete zaviesť prísnu politiku pre ostatných klientov.

Posledná skupina Odmietnuť službu umožňuje oveľa jemnejšiu kontrolu výstupnej komunikácie. Pravidlá v tejto skupine obsahujú dva parametre - službu a cieľ. Služba sa vyberá rovnako ako pri vstupných pravidlách a cieľ môže byť jeden zo štyroch možností: ktokoľvek, stanica firewallu, klienti LAN a používateľom zadaná IP adresa, menná adresa alebo sieť. Pridaním pravidla do tejto skupiny zablokujete počítaču prístup k službe na požiadanie. Cieľ sa vyberá rovnako ako v skupine Povoliť službu vo vstupnej politike.

Prísny režim

Druhý režim výstupnej politiky je označený nápisom Všetko zakázať, vytvárať zoznam dovolených pripojení. Je to ekvivalent správania sa pri vstupnej politike. Nič nie je povolené, iba to čo explicitne povolíte vytvorením pravidla v jednej zo skupín. Tento režim poskytuje maximálnu ochranu, ale je tiež veľmi otravný, žiadna sieťová aplikácia nebude fungovať pokým pre ňu nevytvoríte pravidlo.

Ak prvýkrát Firestarter prepnete do tohto režimu, zbadáte, že sa nejaké pravidlá už nachádzajú v skupine Povoliť službu. Tieto pravidlá umožňujú získať k menným adresám IP adresy a prehliadať webové stránky. Pravidlá sú tu zahrnuté preto, aby ste si mohli zobraziť aspoň online pomocníka k programu. Ak ste si istý, že ich nechcete, môžete ich odstrániť.

Skupina Povoliť pripojenia ku stanici predstavuje tzv. biely zoznam cieľových staníc, s ktorými sa môžu všetci spojiť. Použitím tejto skupiny môžete napríklad zablokovať prístup na Internet okrem vypísaných stránok, toto môže byť užitočné napríklad ak počítač slúži ako infostánok alebo ho používame na nejaký špeciálny účel.

Skupina Povoliť pripojenia z LAN stanice povolí konkrétnym staniciam z lokálnej siete neobmedzený prístup na Internet.

Skupina Povoliť službu poskytuje jemnejšiu kontrolu výstupnej komunikácie. Je logickým opakom skupiny Odmietnuť službu v zhovievavom režime, a má tiež rovnaké parametre. Vytvorením pravidla v tejto skupine povolíte napríklad udeliť jednému počítaču výnimku pri použití inak zakázanej služby.