Opis filtra - Firewall ================================ Niniejszy opis przeznaczony dla pliku źród³owego Kreatora Filtra ("filterwizardtab_PL.txt" wersja 1.12) stosowanego w ruterach centralek ELMEG. W dokumencie znajduj¹ siê nastêpuj¹ce informacje: - Ogólny opis filtra Firewall - Opis czynności aktualizacyjnych Kreatora Filtra - Dok³adny opis danych źród³owych dla predefiniowanego filtra Ogólny opis filtra Firewall ------------------------------------- Centralka wyposa¿ona jest w router dla xDSL i ISDN, który zabezpieczany jest przez filtr pakietów - Firewall. Fabrycznie Firewall nie jest skonfigurowany, aby mo¿na by³o u¿ywaæ Internetu bez ograniczeñ. Wstêpne zabezpieczenie przeciw atakom z Internetu realizowane jest przez (nie da siê wy³¹czyæ) zastosowanie translacji adresów (NAT). Je¿eli wyda to siê niewystarczaj¹ce, mo¿na skonfigurowaæ wbudowany Firewall. Konfiguracja Firewall'a ustalana jest przez definicje poszczególnych filtrów na liście "Filtr IP", które mo¿na zmieniaæ, dodawaæ i usuwaæ. W celu lepszego zabezpieczenia przed atakami z Internetu zalecane jest skonfigurowanie Firewall'a za pomoc¹ Kreatora Filtra oraz wykorzystywanie funkcji automatycznego roz³¹czania po³¹czenia przy nieaktywności. Ruter w centralce oferuje dodatkow¹ mo¿liwośæ mapowania portów (portmap), która umo¿liwia upublicznienie wybranych serwisów z sieci lokalnej w sieci Internet tzn. wybrane us³ugi (porty) w sieci LAN bêd¹ osi¹galne z zewn¹trz przez Internet. Za pomoc¹ mapowania portów tworzy siê otwarte drogi przez Firewall dla pakietów TCP/IP i UDP, które przydzielone do konkretnego portu (lub zakresu portów) na zewnêtrznym adresie IP rutera centralki zostan¹ przekierowane na wybrany komputer w sieci LAN. Je¿eli mapowanie portów ma byæ wykorzystywane jednocześnie z konfiguracj¹ Firewall zdefiniowan¹ za pomoc¹ Kreatora Filtra, nale¿y upewniæ siê, ¿e ustawienia te nie s¹ wzajemnie sprzeczne. Domyślnie mapowanie ze wzglêdów bezpieczeñstwa nie jest aktywne. W normalnym przypadku konfiguracja Firewall odbywa siê za pomoc¹ ogólnie znanych i u¿ywanych w Internecie protoko³ów. Oczywiście nawet bez tej wiedzy mo¿na skonfigurowaæ Firewall w centralce. Do tego celu s³u¿y zawarty w oprogramowaniu centralki specjalny asystent, nazywany Kreatorem Filtra. Mo¿na go uruchomiæ za pomoc¹ odpowiedniego klawisza w opcji [Sieæ] [Filtr]. Opis czynności aktualizacyjnych Kreatora Filtra ----------------------------------------------------------------------- Wa¿ne jest, aby filtr taki by³ mo¿liwy do aktualizacji np. w celu bezpiecznego u¿ywania jakiejś nowej aplikacji czy te¿ w celu zabezpieczenia siê przed jakimś nowym typem ataku hakerskiego z poziomu Internetu. Kreator Filtra korzysta w tym celu ze specjalnego pliku opisowego w formie tekstowej, który mo¿e byæ ³atwo zaktualizowany. Numer wersji pliku Kreatora Filtra odczytaæ mo¿na w pierwszym wierszu okna dialogowego Kreatora. Proszê regularnie sprawdzaæ dostêpnośæ nowych wersji plików opisowych ("filterwizardtab_PL.txt" oraz "Filter_Info_PL.txt") na http://www.elmeg.de/ lub http://www.elmeg.funkwerk.pl/. Plik "filterwizardtab.txt" zawiera regu³y predefiniowanych filtrów dla Firewall'a, natomiast "Filter_Info" (który aktualnie czytasz) jest plikiem opisuj¹cym aspekty dotycz¹ce filtrów dla rutera w centralce i jest wyświetlany po wybraniu opcji [Sieæ][Filtr][Pomoc]. Je¿eli nowe wersje ww. plików zostan¹ pobrane z Internetu to wystarczy przegraæ je na dysk twardy w miejsce jego starszej wersji i ponownie uruchomiæ Kreatora Filtra w programie konfiguracyjnym centralki. Pliki znajduj¹ siê w podkatalogu "filterinfo" folderu instalacyjnego oprogramowania konfiguracyjnego dla centralki WIN-Tools (np: C:\Program Files\elmeg WIN-Tools\WIN-Tools V6.xx\filterinfo) Wa¿ne: Umieszczone w pliku "filterwizardtab_PL.txt" regu³y filtrowania dla Firewall mo¿na wczytaæ do centralki za pomoc¹ programu Konfigurator pakietu WIN-Tools. Kreator Filtra umo¿liwia wczytanie wybranych filtrów do Firewall centralki. Po dokonaniu wyboru nale¿y potwierdziæ operacjê klawiszem "Gotowe" i wczytaæ dane do centralki. Uwaga: Przed ustawianiem Firewall proszê najpierw odczytaæ dane z centralki, aby przy późniejszym zapisywaniu konfiguracji nie utraciæ innych ustawieñ! Zalecana kolejnośæ: 1. Uruchomiæ Konfiguratora 2. Odczytaæ dane z centralki 3. Ustawiæ Firewall za pomoc¹ Kreatora Filtra 4. Zapisaæ konfiguracjê w centralce Je¿eli do ustawienia Firewall u¿yj¹ Pañstwo Kreatora Filtra, to poprzednie regu³y filtrowania zostan¹ usuniête. Standardowo Firewall pozwala na wysy³anie i odbieranie wszystkich pakietów (za wyj¹tkiem komunikatów rozg³oszeniowych us³ugi nazw dla Netbios). Kreator Filtra powoduje odwrócenie zachowania Firewall'a: wszystkie pakiety, dla których nie zosta³y u¿yte zdefiniowane regu³y filtrowania, zostaj¹ odrzucone. Mo¿na powiedzieæ, ¿e Firewall to filtr pakietów IP, sk³adaj¹cy siê z listy pomniejszych filtrów, czyli regu³ filtrowania. Proszê zwróciæ uwagê na poni¿sze wskazówki: - przygotowane filtry poprzez Kreator Filtra ukszta³towane s¹ przy u¿yciu najlepszej dostêpnej wiedzy - funkcja Firewall powinna byæ na ka¿dym PC wspomagana poprzez oprogramowanie antywirusowe, ze wzglêdu na fakt, ¿e obie funkcje nie zastêpuj¹ siê a tylko uzupe³niaj¹ - samowolne zmiany w pliku „filterwizard.txt” mog¹ prowadziæ do nieprzewidzianych zachowañ oprogramowania konfiguracyjnego i samej centralki (tak jak zintegrowanego Firewall'a) - proszê uruchamiaæ tylko potrzebne filtry, poniewa¿ uruchomienie wiêkszej liczby nie u¿ywanych filtrów prowadzi automatycznie do „powiêkszenia dziur” w Firewall tzn. zmniejszenia bezpieczeñstwa sieci. Poza tym im wiêcej filtrów jest u¿ywanych, tym wymagana jest wiêksza moc obliczeniowa procesora (opóźnia pracê komputera). - prozê siê upewniæ, ¿e ostatnia funkcjonuj¹ca konfiguracja centralki zosta³a zachowana - kolejnośæ przetwarzania filtrów mo¿na zmieniaæ za pomoc¹ klawiszy "wy¿ej" i "ni¿ej" Dalsze uwagi do konfiguracji Firewall odnajd¹ Pañstwo w Internecie, na stronach odnalezionych przyk³adowo po wpisaniu w wyszukiwarce has³a „ipfwadmin”. Dok³adny opis danych źród³owych dla predefiniowanego filtra ---------------------------------------------------------------------------------------- Firewall jest wstêpnie tak konfigurowany, ¿e wszystkie pakiety IP, dla których nie zosta³y ustawione sprecyzowane regu³y filtrowania, zostan¹ odrzucone. Takie zachowanie narzuca wniosek, ¿e konfiguracja Firewall jest na tyle wa¿na, ¿e nie mo¿na o niej zapominaæ. Czêśæ filtrów ma za zadanie odrzucaæ a czêśæ filtrów zezwalaæ na przepuszczanie określonych pakietów do/z Internetu. Pod pojêciem "portów nieuprzywilejowanych" rozumieæ bêdziemy porty od 1024 do 65535, porty od 61000 do 65000 znane s¹ pod pojêciem portów NAT. Proszê zwróciæ uwagê na: Niektóre filtry zawieraj¹ w sobie inne filtry tzn. otwieraj¹ Firewall w takim zakresie jak robi¹ to inne. Je¿eli w tak "otworzonym" Firewall przez pierwszy filtr zawiera siê drugi filtr (który otwiera Firewall w tym samym zakresie lub mniejszym) to nie trzeba ustawiaæ drugiego filtra (co przyspieszy dzia³anie rutera). Firewall sk³ada siê z szeregu filtrów i o jego skuteczności decyduje zarówno kolejnośæ filtrów jak i skutecznośæ pojedynczego filtra. Regu³y filtrowania przetwarzane s¹ w kolejności od góry do do³u. Ju¿ pierwsza regu³a na któr¹ natrafia pakiet IP decyduje, czy zostanie on przepuszczony przez Firewall czy te¿ nie. Z tego powodu uk³ad regu³ ustawionych przez Kreatora Filtra w okienku "Filtr IP" jest inny ni¿ ten, który obserwowaæ mo¿na by³o bezpośrednio w Kreatorze Filtra. Nazwa filtra: Zabezpieczenie systemu (porty uprzywilejowane) ------------------------------------------------------------ Filtr ten blokuje Firewall przed nawi¹zywaniem po³¹czeñ do uprzywilejowanych portów (0…1023 ) dla TCP i UDP. Poprzez uprzywilejowane porty świadczone siê istotne us³ugi danych (rozw¹zywanie nazw, transfer danych itp.) Nazwa filtra:Blokada IP-Spoofing -------------------------------- Ten filtr blokuje Firewall przed nieprawdziwymi (sfingowanymi) pakietami IP czyli przed podszywaniem siê zdalnego u¿ytkownika pod adresy z sieci lokalnej. Jednym s³owem, ignorowane s¹ pakiety których adres IP świadczy³by o przynale¿ności do lokalnej sieci LAN, ale które przychodz¹ z Internetu do modemu DSL lub ISDN. Nazwa filtra:DNS ---------------- Ten filtr umo¿liwia rozwi¹zywanie nazw internetowych (zamiana adresu IP na nazwê czyli internetowy adres URL) zarówno dla pakietów TCP i UDP wychodz¹cych jak i przychodz¹cych z portu 53. Je¿eli filtr tez zostanie wy³¹czony, ¿adne zapytania DNS nie bêd¹ mog³y przejśæ przez Firewall i proste korzystanie z Internetu bêdzie niemo¿liwe! Nazwa filtra:Aktywny FTP ------------------------ Filtr ten wraz z odpowiednim oprogramowaniem umo¿liwia aktywny FTP przez Firewall. Aktywny FTP ró¿ni siê od pasywnego tym, ¿e serwer FTP na rz¹danie klienta sam tworzy po³¹czenie do transferu danych (jest to aktywne dla odpowiedzi na polcenie FTP "ls" jak i dla samego transferu danych). Problematycznym jest przy tym fakt, ¿e po³¹czenie inicjowane przez serwer FTP kierowane jest do dowolnego, nieuprzywilejowanego portu klienta FTP, przez co wykorzystywany jest bardzo du¿y obszar Firewall. Przepuszczane s¹ po³¹czenia wychodz¹ce na port 20 i 21 oraz po³¹czenia przychodz¹ce z tych portów na porty nieuprzywilejowane. Nazwa filtra:Pasywny FTP ------------------------ Filtr ten umo¿liwia transfer danych przez FTP, przy czym po³¹czenia nawi¹zywane s¹ zawsze przez klienta FTP. Wychodz¹ce i przychodz¹ce po³¹czenia przez port 21 przez nieuprzywilejowane porty s¹ przepuszczane. Przepuszczane s¹ po³¹czenia wychodz¹ce na port 20 oraz po³¹czenia przychodz¹ce z tego portu na porty nieuprzywilejowane. Tego typu transfer ftp umo¿liwiaj¹ np. przegl¹darki WWW. Nazwa filtra: HTTP ------------------ Filtr umo¿liwia przegl¹danie stron WWW dziêki przepuszczaniu po³¹czeñ wychodz¹cych do portów 80 i 8080 (stosowane przez serwery http proxy), oraz przepuszczaniu pakietów przychodz¹cych z tych portów na porty NAT. Nazwa filtra: HTTPS ------------------- Filtr umo¿liwia bezpieczne przegl¹danie WWW dziêki przepuszczaniu po³¹czeñ wychodz¹cych do portu 443, oraz przepuszczaniu pakietów przychodz¹cych z tego portu na porty NAT. Protokó³ HTTPS jest czêsto uzywany dla us³ug zwi¹zanych z homebanking i zakupów przez Internet, gdzie dziêki szyfrowaniu po³¹czeñ nie ma obawy o poufnośæ wymiany informacji. Nazwa filtra: Homebanking ------------------------- Filtr umo¿liwia u¿ycie us³ug homebanking (obslugê konta w standardzie HBCI) dziêki przepuszczaniu po³¹czeñ wychodz¹cych do portu 3000, oraz przepuszczaniu pakietów przychodz¹cych z tego portu na porty NAT. Dodatkowo otwarty zostaje port 866 (TCP). Nazwa filtra: E-Mail -------------------- Filtr umo¿liwia przekazywanie poczty e-mail: - przez protokó³ SMTP (wysy³anie) dziêki przepuszczaniu po³¹czeñ wychodz¹cych do portu 25, oraz przepuszczaniu pakietów przychodz¹cych z tego portu na porty NAT - przez protokó³ POP (odbieranie) dziêki przepuszczaniu po³¹czeñ wychodz¹cych do portu 110, oraz przepuszczaniu pakietów przychodz¹cych z tego portu na porty NAT - przez protokó³ IMAP dziêki przepuszczaniu po³¹czeñ wychodz¹cych do portu 143 oraz przepuszczaniu pakietów przychodz¹cych z tych portów na porty NAT Nazwa filtra: Bezpieczny E-Mail ------------------------------- Filtr umo¿liwia bezpieczne przekazywanie poczty e-mail: - przez protokó³ SMTP (wysy³anie) dziêki przepuszczaniu szyfrowanych po³¹czeñ wychodz¹cych typu SSL do portu 465 oraz przepuszczaniu pakietów przychodz¹cych z tego portu na porty NAT - przez protokó³ POP (odbieranie) dziêki przepuszczaniu szyfrowanych po³¹czeñ wychodz¹cych typu SSL do portu 995 oraz przepuszczaniu pakietów przychodz¹cych z tego portu na porty NAT - przez protokó³ IMAP dziêki przepuszczaniu szyfrowanych po³¹czeñ wychodz¹cych do portów 993 oraz przepuszczaniu pakietów przychodz¹cych z tych portów na porty NAT Nazwa filtra: Internet-News --------------------------- Filtr umo¿liwia dostêp do serwerów grup dyskusyjnych NEWS dziêki przepuszczaniu po³¹czeñ wychodz¹cych do portu 119 (TCP) oraz przepuszczaniu pakietów przychodz¹cych z tego portu na porty NAT. Nazwa filtra: IRC (Internet-Relay Chat) --------------------------------------- Filtr umo¿liwia dostêp do serwerów IRC dziêki udostêpnieniu portów: - port 113 dla pakietów wychodz¹cych z portów NAT i dla odpowiedzi na te pakiety - porty od 6660 do 6669 dla pakietów wychodz¹cych z portów NAT i dla odpowiedzi na te pakiety, - porty od 7000 do 7002 dla pakietów wychodz¹cych z portów NAT i dla odpowiedzi na te pakiety. Nazwa filtra: ICMP ------------------ Filtr umo¿liwia stosowanie programu „ping” np. w celu sprawdzenia dostêpności konkretnych komputerów w sieci TCP/IP lub w celu zmierzenia czasu przesy³ania do nich pakietów IP. Jest to bardzo pomocne np. przy grach internetowych, w celu odnalezienia jak najszybciej odpowiadaj¹cego serwera. Je¿eli filtr jest w³¹czony, centralka tak¿e mo¿e zostaæ osi¹gniêta przez program "ping". Nie dotyczy to jednak ¿adnego komputera w sieci LAN, gdy¿ te s¹ chronione przez NAT (system translacji adresów). Filtr ten w³¹cza wszystkie protoko³y ICPM, nie tylko te, które stosuje "ping". Filtr mo¿na dalej tak rozszerzyæ, ¿e przepuszczane bêd¹ tylko protoko³y ICMP 0 i 8 (echo- zapytanie i echo-odpowiedź). Je¿eli filtr bêdzie wy³¹czony to podniesione zostaje bezpieczeñstwo - Firewall nie mo¿e wtedy zostaæ odnaleziony przez programy skanuj¹ce porty wykorzystuj¹ce do tego celu prosty "ping". Nazwa filtra: Wspó³dzielenie plików Peer-to-Peer i radio Internetowe -------------------------------------------------------------------- Filtr umo¿liwia stosowanie oprogramowania peer-to-peer (p2p) dla wspó³dzielenia plików oraz programów dla obs³ugi radia w Internecie. Aby ustawiæ jeden filtr dla ró¿nych systemów p2p i radia internetowego, trzeba umo¿liwiæ nastêpuj¹ce po³¹czenia: - z portów NAT na wszystkie nieuprzywilejowane porty dla TCP - z portów NAT na wszystkie nieuprzywilejowane porty dla UDP Filtr ten otwiera Firewall bardzo szeroko! Nazwa filtra: Wspó³dzielenie plików Peer-to-Peer z High-ID (filtr dodatkowy) ---------------------------------------------------------------------------- Filtr umo¿liwia stosowanie oprogramowania peer-to-peer (p2p) dla wspó³dzielenia plików, które umo¿liwia uprzywilejowywanie u¿ytkowników (High-ID). Odpowiedni komputer musi zostaæ udostêpniony dla po³¹czeñ inicjowanych z Internetu tzn. musi zostaæ odpowiednio skonfigurowane przekierowywanie portów (mapowanie portów). Uwaga: Proszê w³¹czyæ tak¿e filtry "DNS", "http" oraz "Peer-to-Peer i radio internetowe". Uwaga: Automatyczne roz³¹czanie przy nieaktywności nie bêdzie d³u¿ej funkcjonowaæ!. Uwaga: Nale¿y dopasowaæ adres komputera w sieci LAN z podanymi adresami w przekierowaniu (mapowaniu). Uwaga: Komputer do którego portów ustawione jest przekierowanie ma te porty ca³kowicie dostêpne (nie s¹ chronione). Ustawienia: - Dla nawi¹zywanych po³¹czeñ port 4662 (TCP) bêdzie automatycznie kierowany do komputera w sieci LAN o adresie IP 192.168.1.42. - Port 4567 (UDP) bêdzie automatycznie kierowany do komputera w sieci LAN o adresie IP 192.168.1.42. Nazwa filtra: Zdalna administracja Win2k ---------------------------------------- Filtr umo¿liwia zdaln¹ administracjê serwera Windows 2000. Uwaga: Automatyczne roz³¹czanie przy nieaktywności nie bêdzie d³u¿ej funkcjonowaæ!. Uwaga: Nale¿y dopasowaæ adres komputera w sieci LAN z podanymi adresami w przekierowaniu (mapowaniu). Uwaga: Komputer do którego portów ustawione jest przekierowanie ma te porty ca³kowicie dostêpne (nie s¹ chronione). Ustawienia: - Dla nawi¹zywanych po³¹czeñ port 3638 (TCP) bêdzie automatycznie kierowany do komputera w sieci LAN o adresie IP 192.168.1.42. Nazwa filtra: Gry - OK ---------------------- Filtr umo¿liwia stosowanie gier internetowych. W tym celu nale¿y umo¿liwiæ nastêpuj¹ce po³¹czenia: Pakiety przychodz¹ce: - z portu 7002 na nieuprzywilejowane porty dla TCP - z nieuprzywilejowanych portów na nieuprzywilejowane porty dla UDP Pakiety wychodz¹ce - z portu 7002 na nieuprzywilejowane porty dla TCP - z nieuprzywilejowanych portów na nieuprzywilejowane porty dla UDP Nazwa filtra: RealPlayer ------------------------ Filtr umo¿liwia stosowanie Realplayer dla streamingu audio-video. W tym celu nale¿y umo¿liwiæ nastêpuj¹ce po³¹czenia: Pakiety przychodz¹ce: - z portu 554 na nieuprzywilejowane porty dla TCP - z portu 7002 na nieuprzywilejowane porty dla TCP - z nieuprzywilejowanych portów na porty 6970-7170 dla UDP Pakiety wychodz¹ce: - z nieuprzywilejowanych portów na port 554 dla TCP - z nieuprzywilejowanych portów na port 7070 dla TCP Nazwa filtra: MediaPlayer ------------------------- Filtr umo¿liwia stosowanie Mediaplayer dla streamingu audio-video. W tym celu nale¿y umo¿liwiæ nastêpuj¹ce po³¹czenia: Pakiety przychodz¹ce: - z portu 1755 na nieuprzywilejowane porty dla UDP - z portu 1755 na nieuprzywilejowane porty dla TCP Pakiety wychodz¹ce: - z nieuprzywilejowanych portów na port 1755 dla UDP - z nieuprzywilejowanych portów na port 1755 dla TCP Nazwa filtra: QuickTime ----------------------- Filtr umo¿liwia stosowanie QuickTime dla streamingu audio-video. W tym celu nale¿y umo¿liwiæ nastêpuj¹ce po³¹czenia: Pakiety przychodz¹ce: - z portów 6970-6999 na nieuprzywilejowane porty dla UDP - z portu 554 na nieuprzywilejowane porty dla TCP Pakiety wychodz¹ce: - z nieuprzywilejowanych portów na porty 6970-6999 dla UDP - z nieuprzywilejowanych portów na port 554 dla TCP Nazwa filtra: VPN (PPTP) ------------------------ Umo¿liwia nawi¹zywanie po³¹czeñ VPN przez protokó³ PPTP. Dane wymieniane przez VPN przenoszone s¹ przez pakiety GRE, które Firewall mo¿e przepuściæ po poprawnym po³¹czeniu kontrolnym TCP. W tym celu umo¿liwone zostaje wysy³anie pakietów na port 1723 (TCP) i odbieranie przychodz¹cych na ten port pakietów z portów NAT. Nazwa filtra: Serwer czasu -------------------------- Filtr umo¿liwia dostêp do serwerów czasu SNTP dziêki przepuszczaniu po³¹czeñ wychodz¹cych do portu 123 (UDP), oraz przepuszczaniu pakietów przychodz¹cych z tego portu na porty NAT.Download Driver Pack
After your driver has been downloaded, follow these simple steps to install it.
Expand the archive file (if the download file is in zip or rar format).
If the expanded file has an .exe extension, double click it and follow the installation instructions.
Otherwise, open Device Manager by right-clicking the Start menu and selecting Device Manager.
Find the device and model you want to update in the device list.
Double-click on it to open the Properties dialog box.
From the Properties dialog box, select the Driver tab.
Click the Update Driver button, then follow the instructions.
Very important: You must reboot your system to ensure that any driver updates have taken effect.
For more help, visit our Driver Support section for step-by-step videos on how to install drivers for every file type.