1 Kernun Adaptive Firewall

Kernun Adaptive Firewall je moderní nástroj pro kontrolu provozu v síti. Využívá unikátní databázi aktuálních hrozeb, kterou neustále aktualizuje. Díky tomu poskytuje nepřetržitou ochranu i před právě probíhajícími útoky.

2 Nasazení

Tato kapitola obsahuje informace potřebné pro zprovoznění, zapojení a nasazení Kernun Adaptive Firewall do sítě. Jsou v ní popsány možnosti instalace, možné režimy nasazení a je zakončena prvním přihlášením do uživatelského rozhraní a jednoduchým nastavením sítě.

2.1 Instalace

Společnost Trusted Network Solutions nabízí tři možnosti instalace Kernun Adaptive Firewall. Tyto možnosti jsou předinstalování Kernun Adaptive Firewall technickou podporou Kernun, instalace za použití výchozích hodnot a instalace bez použití výchozích hodnot.

2.1.1 Předinstalování KAF technickou podporou

První možností instalace Kernun Adaptive Firewall je nechat si zařízení nainstalovat a nakonfigurovat technickou podporou. Tato možnost je poskytována jak pro fyzické, tak pro virtuální stroje. Zákazník dodá očekávanou konfiguraci (např. očekávaná adresace) a pracovníci technické podpory poté Kernun Adaptive Firewall nainstalují na předem domluvené zařízení a nakonfigurují je dle dodaných požadavků. Následně je zařízení zapojeno do sítě zákazníka, kde díky předem domluvenému nastavení začíná okamžitě fungovat.

2.1.2 Instalace za použití výchozích hodnot

Druhou možností instalace Kernun Adaptive Firewall je samostatná instalace zákazníkem, kterému je dodán instalační disk. Instalace probíhá bezobslužně a jsou při ní použity výchozí hodnoty. Ty jsou závislé na zvoleném režimu nasazení (Režimy nasazení) a jsou popsány v následujících tabulkách.

Webová proxy brána
Adresa síťového rozhraní192.168.1.2/24
Adresa DNS serveru1.1.1.1
Adresa výchozí brány192.168.1.1
Perimetrový firewall
Adresa vnitřního rozhraní192.168.1.2/24
Název zařízení v sítikernun
Doménaint

Po nainstalování a restartu zařízení je možné se připojit do uživatelského rozhraní (Přihlášení) a provést případné změny konfigurace.

2.1.3 Instalace bez použití výchozích hodnot

Poslední možností instalace Kernun Adaptive Firewall je samostatná instalace zákazníkem, při které ale k použití výchozích hodnot nedojde. Při tomto druhu instalace je nutné mít přístup k terminálu stroje. Stejně jako při instalaci s použitím výchozích hodnot je zákazníkovi dodán instalační disk, pomocí kterého se provede bezobslužná instalace. Po nainstalování a restartu je potřeba se přihlásit do terminálu zařízení pomocí uživatelského jména sysadmin a hesla sysadmin. Z terminálu se následně spustí příkaz admin conf-reinit, který zákazníka provede sérií otázek a provede základní nastavení Kernun Adaptive Firewall. Poté možné se přihlásit do uživatelského rozhraní.

2.2 Režimy nasazení

Kernun Adaptive Firewall je možné provozovat v síti v několika režimech nasazení. Těmi jsou Perimetrový firewall, Webová proxy brána a Transparentní firewall. Každý režim nasazení je určen pro jiné použití, některé prvky ale zůstávají společné.

2.2.1 Perimetrový firewall

Kernun Adaptive Firewall lze do sítě nasadit jako perimetrový firewall. Jedná se o základní koncepci implementace firewallu na rozhraní dvou nebo více sítí s různou úrovní důvěryhodnosti. Typicky se jedná o připojení privátní sítě k Internetu, které poskytuje nadstandardní úroveň zabezpečení. Výchozí nastavení bezpečnostní politiky je takové, že ihned po zapojení se povoluje bezpečný odchozí provoz směrem do Internetu a zároveň blokuje veškerý provoz iniciovaný zvenčí směrem do vnitřní sítě.

V tomto režimu nasazení poskytuje Kernun Adaptive Firewall všechny služby, které jsou u perimetrového routeru očekávány, jako například definici VLAN, nastavení statického směrování nebo poskytování DHCP serveru.

Tento režim podporuje zapojení dvou uzlů do klastru. Vytvoření klastru se provede tak, že se nejprve vytvoří dva samostatné uzly a poté se pomocí průvodce v uživatelském rozhraní propojí.

2.2.2 Webová proxy brána

Kernun Adaptive Firewall lze do sítě nasadit v režimu webové proxy brány. V tomto režimu je zařízení připojeno do síťového prostředí jako další stanice nebo server a poskytuje pro vnitřní síť službu přístupu na webové stránky Internetu, tzv. HTTP proxy. Umožňuje filtrovat webový provoz na základě bezpečnostní politiky, vyžadovat autentizaci uživatelů, provádět TLS inspekci, nebo zakazovat rizikové tunelování.

V režimu webová proxy brána je, podobně jako v režimu perimetrový firewall, poskytováno mnoho doprovodných služeb, například definice VLAN, nebo poskytování DHCP serveru.

2.2.3 Transparentní firewall

Kernun Adaptive Firewall lze do sítě nasadit v režimu transparentní firewall, a to bez nutnosti změny topologie sítě zákazníka. V tomto případě je zařízení zapojeno jako síťový bridge, skrz který prochází veškerý provoz, a který je pro uživatele neviditelný. V tomto režimu je hlavní bezpečnostní komponentou adaptivní firewall.

2.3 První přihlášení

Po instalaci zařízení je možné se přihlásit do uživatelského rozhraní. Přístup do rozhraní probíhá ve webovém prohlížeči, ve kterém se uživatel připojí za použití protokolu HTTPS na IP adresu nebo doménové jméno právě nainstalovaného stroje. V případě zařízení s více síťovými kartami je možné si zvolit kteroukoliv nastavenou IP adresu. Po zadání adresy se načte přihlašovací obrazovka.

2.3.1 Výchozí uživatel

Kernun Adaptive Firewall obsahuje ve výrobním nastavení jednoho výchozího uživatele. Jedná se o uživatele typu administrátor s přihlašovacím jménem admin a heslem admin. Na přihlašovací obrazovce má uživatel možnost změnit jazyk aplikace, zadat oba zmíněné údaje do příslušných oken a přihlásit se. Při prvním přihlášení s výchozím jménem a heslem se zobrazí okno s výzvou pro změnu hesla. Výchozí heslo administrátora je tedy možné použít pouze jednou.

2.3.2 Nastavení sítě

Pokud byla pro instalaci zvolena metoda instalace za použití výchozích hodnot (Instalace) a je potřeba nějaké nastavení sítě upravit, měl by tak uživatel učinit po prvním přihlášení do rozhraní. Nastavení sítě se provádí v sekci.

3 Uživatelské rozhraní

Kernun Adaptive Firewall poskytuje pro správu zařízení grafické uživatelské rozhraní dostupné z webového prohlížeče. Není-li nastaveno ve stavovém firewallu (Stavový firewall) jinak, je dostupné na všech IP adresách fyzických rozhraní a lze na něj přistoupit i přes doménové jméno. Samotné rozhraní se skládá z několika hlavních částí, které budou popsány v této kapitole.

3.1 Navigace

Navigace v uživatelském rozhraní probíhá pomocí menu v levé části. Menu je děleno do sekcí, z nichž každá obsahuje položky relevantní k nadřazenému oddílu. Ve spodní části menu se nachází uživatelská sekce, která umožňuje správu profilu aktuálně přihlášeného uživatele a fyzické akce se zařízením, jako jsou vypnutí a restart.

Pro větší přehlednost na menších obrazovkách se ve vrchní části nachází tlačítko Skrýt menu, které menu minimalizuje.

no_pic

3.2 Hlavní okno

Největší část obrazovky uživatelského rozhraní zabírá hlavní okno. To je rozděleno dle obsahu na menší ucelené karty, kdy každá karta obsahuje informace, konfigurační položky a data týkající se jedné problematiky.

no_pic

3.3 Aktivace konfigurace

V pravé horní části uživatelského rozhraní se nachází oranžové tlačítko Aktivovat konfiguraci. To slouží k provedení aktivace konfigurace, která je nutná k aplikaci některých změn. Více o aktivaci konfigurace v sekci link cfgActivation.

no_pic

3.4 Stav zařízení

Vlevo od tlačítka Aktivovat konfiguraci v pravé horní části obrazovky se nacházejí ikony signalizující stav systému. Některé mají pouze informativní charakter, například připravenost aktualizace systému, jiné upozorňují na problémy, například zastaralou verzi databáze, neběžící systémovou službu a další.

no_pic

3.5 Nápověda

Vpravo od tlačítka Aktivovat konfiguraci v pravé horní části obrazovky se nachází tlačítko ve tvaru otazníku. Kliknutím na něj se otevře v pravé části obrazovky obsáhlá nápověda, vysvětlující všechny položky uživatelského rozhraní. Vždy je zobrazena pouze relevantní nápověda k aktuálně zvolené sekci, to znamená, že například pro zobrazení nápovědy pro sekci stavový firewall (Stavový firewall) je potřeba být v sekci stavový firewall.

no_pic