Beveiligingssoftware kan heel wat goedkoper uitvallen dan een beveiligingshulpmiddel. Kerio biedt met Winroute Firewall 6 een software-firewall aan die qua functionaliteit de meeste firewall-gereedschappen moeiteloos achter zich laat.
Kerio Winroute is al jaren geen onbekende voor Windows-gebruikers die een internetverbinding wilden delen met andere gebruikers in hun netwerk. Tot Microsoft software voor internetdeling standaard in Windows XP inbouwde, natuurlijk. Kerio heeft dat opgelost door Winroute te voorzien van functionaliteit die ontbrak bij de Windows internetdeling.
Een nuttige aanvulling voor een router (want dat is een pc die aan internetdeling doet tenslotte ook) is een firewall. In moderne breedbandrouters zit deze standaard ingebouwd. Bij het gebruik van een pc als router, dan kan men er beslist niet buiten die te voorzien van firewallfunctionaliteit.
Kerio Winroute Firewall 6 is de laatste versie van zo’n product. Naast de firewallfunctionaliteit biedt het een vpn-server, optionele McAfee viruscontroles en inhoudsfiltering. Er is overigens geen andere routersoftware nodig, alles zit in deze Winroute Firewall.
Installatie
De basis wordt gevormd door een pc die een internetverbinding heeft. Dat kan via twee netwerkkaarten (eentje gaat naar een internetrouter toe, de ander naar het interne netwerk), of via een netwerkkaart naar het interne netwerk en een of andere modemaansluiting via usb of seriële poort naar het internet toe. Voor de software maakt het absoluut niets uit welk type internetverbinding wordt gebruikt: adsl, kabel, analoge of isdn.
De pc moet een werkende internetverbinding hebben. Er zou een (of een extra) netwerkkaart in moeten zitten voor de verbinding met het interne netwerk, die het liefst al is voorzien van een werkend ip-adres voor het interne netwerk. Doorgaans is dat een zogenaamd privéklasse-adres, zoals 10.*.*.* of 192.168.*.*. Breedbandrouters gebruiken vaak het adres 192.168.1.1 voor zichzelf, dus dat kan ook. Als DNS-server wordt datzelfde adres opgegeven. Kerio kan namelijk als DNS-relay dienen. Als een andere internetdeling in gebruik was, moet deze eerst worden gede-installeerd of uitgeschakeld.
Nadat de installatieprocedure van Kerio doorlopen is, is alles geïnstalleerd maar nog niet geconfigureerd. Eerst moet het systeem herstart worden, daarna kan men de beheerconsole oproepen om een en ander in te stellen.
Beheer
De Kerio Winroute Firewall Administration Console of kortweg beheerconsole dient voor het instellen van de netwerkrouting en de hele beveiligingspolicy. Bij de eerste start van deze console krijgt men de ‘Network Rules Wizard’ die zich meteen laat instellen op hoe de routerpc contact opneemt met het internet en welke regels de bebruiker wenst voor inkomend en buitengaand internetverkeer. Tijdens het uitvoeren van deze wizard krijgt men ook de mogelijkheid om een vpn te ondersteunen.
De volgende stap is het instellen van de in Kerio ingebouwde dhcp-server. Daarmee worden adressen uitgereikt aan de pc’s in het interne netwerk. Daarna moet men de DNS-forwarder configureren: gewoon de dns-gegevens van de provider invullen. Daarna hoeven de pc’s in het lan alleen nog maar weet te hebben van de Kerio router, ze zien helemaal geen adressen die aan de internetprovider toebehoren. Dat is ook makkelijker voor als men een systeem zonder dhcp maar met statisch adres definieert.
Nu kunnen gebruikers en gebruikersgroepen worden aangemaakt. Hiermee definieert men welke gebruikers via de Kerio router/firewall mogen werken. De ‘beheerder’ kan regels definiëren voor deze gebruikers en dat betekent dus, dat een gebruiker aan de aan hem opgelegde regels onderworpen wordt ongeacht op welke pc hij gaat werken.
Productinfo
|
Mogelijkheden
Er is een mogelijkheid om een alternatieve internetverbinding te starten als de hoofdverbinding uitvalt, er is ondersteuning voor voip (voice over ip) en upnp (onmiddellijk gebruik van MSN Messenger zonder dat men de firewall daarvoor moet configureren). Kerio bouwde een ips (intrusion prevention system) of inbraakpreventiesysteem in waarmee onder meer poortscans en misvormde http- en ftp-pakketten voorkomen worden. Optioneel kan er worden gekozen voor een geïntegreerde McAfee antivirusmodule waarmee dan alle internetverkeer (e-mail, http en ftp) op virussen gecontroleerd wordt. Omdat de pc onder Windows draait, staat het natuurlijk vrij om een ander antiviruspakket te gebruiken als men dat wenst.
Daarnaast kan men gebruikers een quotum opleggen, zodat paal en perk wordt gesteld aan mensen die zich al te vaak bezondigen aan zware downloads of internetradio of p2p-bestandsdeling of alles wat de bandbreedte zo nogal opsoupeert. Overigens voorziet Kerio in het op basis van statistische informatie genereren van rapporten over het internetgebruik van zowel individuele gebruikers als van het lan als geheel. Daarmee kan de beheerder zowel misbruiken als problemen opsporen. Kerio ondersteunt ook nog een DMZ (‘gedemilitariseerde zone’ – extranet) als daarvoor een extra netwerkkaart in de router-pc is geïnstalleerd.
Conclusie
Kerio Winroute Firewall 6 biedt minstens even veel functionaliteit als bepaalde firewallappliances die tien keer zo duur zijn. Als enige nadeel zien we dat Kerio op een standaard Windows XP/2000/2003 geïnstalleerd wordt en we hebben niets gezien van het installeren van ‘hardened’ drivers of zo. Mogelijk kunnen hackers de firewall-pc dus platleggen. We kunnen echter niet zeggen hoe waarschijnlijk of onwaarschijnlijk dit is. Als men een Windows pc per se als router/firewall wil inzetten, verdient dit product zeker de aandacht.< BR>
Johan Zwiekhorst, copyright 2004 by DTL BVBA, Belgium
