16.2  Nastavení vzdálené správy

Vzdálená správa znamená připojení k firewallu, sledování jeho stavu a provádění konfiguračních změn pomocí programu Administration Console nebo rozhraní Web Administration z jiného počítače, než na kterém je WinRoute nainstalován.

Obsahuje-li WinRoute pouze komunikační pravidla vytvořená automaticky pomocí průvodce (viz kapitola 7.1  Průvodce komunikačními pravidly), pak je přístup ke vzdálené správě povolen přes všechna důvěryhodná síťová rozhraní (viz kapitola 5  Síťová rozhraní). Prakticky to znamená, že vzdálená správa je povolena ze všech počítačů v lokální síti.

Povolení či zákaz vzdálené správy z Internetu (resp. z nedůvěryhodných sítí) se provádí definicí odpovídajícího komunikačního pravidla. Komunikace mezi WinRoute a programem Administration Console probíhá protokoly TCP a UDP na portu 44333. Pro tento účel je ve WinRoute předdefinována služba KWF Admin. Zabezpečená verze rozhraní Web Administration používá protokol TCP, ve výchozím nastavení na portu 4081 — předdefinovaná služba KWF WebAdmin-SSL.

Povolení vzdálené správy z Internetu

Jako příklad uvedeme povolení vzdálené správy WinRoute z vybraných IP adres v Internetu.

  • Zdroj — skupina IP adres, ze kterých má být vzdálená správa povolena (viz kapitola 14.1  Skupiny IP adres).

    Z bezpečnostních důvodů nedoporučujeme povolovat vzdálenou správu z libovolného počítače v Internetu (tj. nastavovat ZdrojLibovolný nebo ZdrojInternet)!

  • CílFirewall (tj. počítač, na němž je WinRoute nainstalován).

  • SlužbaKWF Admin (připojení programem Administration Console) a KWF WebAdmin-SSL (zabezpečená verze rozhraní Web Administration).

    Nedoporučujeme povolovat přístup k nezabezpečené verzi rozhraní Web Administration (služba KWF WebAdmin)! Nezabezpečená komunikace může být odposlouchávána a zneužita k napadení firewallu a počítačů v lokální síti.

  • AkcePovolit (jinak by vzdálená správa byla i nadále blokována).

  • Překlad — nepřekládat zdrojovou ani cílovou adresu (tzn. nenastavovat žádný překlad adres).

Komunikační pravidlo pro povolení vzdálené správy

Obrázek 16.2. Komunikační pravidlo pro povolení vzdálené správy


Tip

Obdobným způsobem lze ve WinRoute povolit či zakázat vzdálenou správu produktu Kerio MailServer — pro připojení programem Administration Console využijeme předdefinovanou službu KMS Admin, pro rozhraní Web Administration službu HTTPS.

Poznámka: Nesprávnou definicí komunikačního pravidla je možné zablokovat vzdálenou správu z počítače, z něhož ji právě provádíte. WinRoute však ve většině případů tuto situaci detekuje a zobrazí varování. Lokální připojení (tj. přímo z počítače, na němž běží WinRoute Firewall Engine) ale funguje vždy. Tuto komunikaci nelze zablokovat žádným pravidlem.