Živý rozhovor: s Janem Ježkem o Kerio WinRoute Firewallu

Jaký je rozdíl mezi Kerio WinRoute Firewallem a Kerio Personal Firewallem? Zpomaluje firewall internet? Je plánována podpora více paralelních připojení a balance loading? Jak kvalitní je integrovaný firewall ve Windows XP a Windows Vista? Nejen na tyto otázky odpovídal Jan Ježek, project manager produktu Kerio WinRoute Firewall společnosti Kerio Technologies.
Kapitoly článku

Klepněte pro větší obrázek Na vaše otázky ke Kerio WinRoute Firewallu odpovídal Jan Ježek, project manager produktu Kerio WinRoute Firewall společnosti Kerio Technologies. Jan Ježek vystudoval Fakultu aplikovaných věd Západočeské univerzity v Plzni a v Keriu pracuje od roku 2001. Je odborníkem na otázky bezpečnosti internetu, přednáší na odborných konferencích po světě a svoji práci považuje zároveň za svého koníčka.

V tomto článku najdete otázky a odpovědi týkající se tématu rozhovoru. Některé dotazy a odpovědi jsme kvůli přehlednosti zkrátili, jiné rozdělili do více částí. Některé otázky se opakovaly a v takových případech byly zpravidla zodpovězeny jen jednou. Originální verzi rozhovoru najdete na této stránce.

Odpovědi na otázky čtenářů Živě.cz

Jaký je rozdíl mezi produktem Kerio WinRoute Firewall a Kerio Personal Firewall? (Alexandreides)

Jan Ježek: Kerio WinRoute Firewall je síťový firewall, tzn. chrání celou počítačovou síť a je umístěn na jejím perimetru. Sunbelt Kerio Personal Firewall je firewall osobní a jeho úloha je chránit vždy jeden konkrétní počítač. Od toho se odvozuje i rozdílná sada funkcí obou těchto produktů.

Jste to vy, ten autor proslulého redakčního systému WebCreator? (Jiří Pěnička)

Jan Ježek: Pokud vím, tak nejsem.

Je možné virovou aplikaci pojmenovat např. Windows update super downloader? A může se při varování díky vašemu firewallu zobrazit její jméno tak, abych se domníval, že jde o důležitou aplikaci, kterou musím nainstalovat? Stávají se takové útoky? (Roman Secret)

Jan Ježek: Kerio WinRoute Firewall je síťový firewall a nikdy nezobrazuje jména aplikací, to dělají osobní firewally. Nicméně odpověď na vaši otázku je ano, podobné útoky se dějí. Např. množství spyware se rádo maskuje právě za různé „super and best antispyware“ programy. Ochrana je pak možná díky používání skutečného antispywarového a antivirového programu.

Zajímá mne otázka kompatibility Keria a ostatních antivirových a antispyware programů. Také se chci zeptat, jak moc zatěžuje Kerio WinRoute Firewall systém. (Petr Stočes)

Jan Ježek: Kerio WinRoute Firewall je spíše určen pro běh na dedikovaném počítači, nicméně máme řadu zákazníků, kteří jej provozují společně i s dalším softwarem. Na otázku kompatibility nelze univerzálně odpovědět. Obecně lze však říci, že čím více daná aplikace nahlíží či zasahuje do síťové komunikace, tím je riziko konfliktu větší. Celkové zatížení systému se odvíjí od množství procházejících dat, tj. od rychlosti internetového připojení.

Kdy bude možné instalovat Kerio VPN klienta jako službu? Potřebuji to proto, aby bylo možné se přes VPN připojit do PC v jiném profilu, než který je aktivní, a aby uživatelé nebyli schopni VPN vypnout. Nová verze Kerio WinRoute Firewalu (zatím beta) má opravdu pěkné statistiky. Konečně! (Michal Stráník)

Jan Ježek: Rozšíření VPN klienta o tuto funkci je jedna z věcí, které bychom rádi do budoucna připravili. Jsem rád, že se vám statistiky líbí, hodláme je určitě ještě dále rozšiřovat. A díky, že se věnujete betatestingu, je to pro nás hodně důležitá zpětná vazba.

Zkoušel jsem několikrát různé verze Kerio Firewallu stažené z internetu, a vždy došlo k jeho výraznému zpomalení (pomalé otevírání stránek, zpomalení rychlosti stahování). Žádný jiný firewall se takhle nechoval. Firewall jsem ponechal v standardním nastavení, kde tedy byla chyba ? (Pavel Král)

Jan Ježek: To nevím, musel bych vidět konkrétní situaci, aby se dalo odpovědět. Na jakém se to dělo operačním systému a na jakém hardware? Byl zatížen procesor? Byl nainstalován nějaký software, který by mohl být v konfliktu? Vždy je možné se obrátit na naši technickou podporu, která je vám k dispozici i po dobu zkušebního období.

Kerio Personal Firewall 2.1.4 považuji za nejvydařenější verzi, z pohledu robustnosti, velikosti kódu, přehledné obsluhy. Bez problémů s touto verzí „přežívám“ již léta. Jaké jsou zásadní změny v dalších verzích kromě „barevnější“ obsluhy pro méně zdatné uživatele? (Jiří Jonáš)

Jan Ježek: Kerio WinRoute Firewall verze 2 byl zaměřen na technicky zdatnější uživatele, nejlépe jim vyhovoval a má také dodnes mezi nimi své zastánce, byť už je opravdu „prastarý“. Nicméně takovýto produkt se nedal moc dobře prodat a trh si žádal právě spíše onu jednodušší a, jak píšete, „barevnější“ obsluhu. Na další vývoj tohoto produktu se ale budete muset ptát jinde, protože Kerio Technologies již jej nevlastní.

Nezdá se vám přehnané, že v tomto programu lze vidět odeslané maily od uživatelů? (Ondřej Neff)

Jan Ježek: Taková funkce v Kerio WinRoute Firewallu není. Mimochodem, administrátor vašeho poštovního serveru, kdyby chtěl, tuto možnost nemá?

Vyzkoušel jsem třicetidenní zkušební verzi a opětovně se setkal s problémem nefunkčnosti Windows Update. Na serveru funguje bez problémů, na síťových počítačích vždy s chybou. Podle našich i zahraničních konferencí je to velmi častý problém. Zkusil jsem různá nabízená řešení, včetně krátkodobého otevření všech portů, zapnutí či vypnutí proxy. Ale bez úspěchu. Jaký je tedy oficiální postup pro řešení daného problému? (Zdeněk Neubauer)

Jan Ježek: Nerad používám „univerzální odpověď“, nicméně mohu vám pouze poradit, abyste se obrátil na naši technickou podporu. Takto bez znalosti jakýchkoliv detailů se opravdu nedá nic říct.

Nabízíte software, který by byl ještě zdarma pro domácí použití? (Pavel Netolický)

Jan Ježek: Momentálně žádnou takovou verzi nenabízíme, naše produkty jsou však zaměřeny spíše na jiný segment uživatelů, než jsou ti domácí.

Jaký firewall používáte pro zabezpečení svého počítače? (Proki)

Jan Ježek: Dobrá otázka. Musím se přiznat k tomu, že většinou žádný, protože na svém počítači často spouštím a testuji různé vývojové verze Kerio WinRoute Firewallu, což by s jiným běžícím firewallem nedělalo dobrotu. Po dobu, kdy musím mít počítač připojený v nedůvěryhodné síti, mám spuštěnu některou z verzí WinRoute Firewallu.

Nevím, jak si mám správně nastavit firewall. Např. při současném nastavení nejde být v DC++ „aktive“ nebo nejdou hrát některé hry po síti. Co s tím? (Kuba)

Jan Ježek: Já vám zde těžko poradím, zeptejte se naší technické podpory.

Bude do Kerio Winroute Firewallu implementována technologie IPS nebo IDS? (Milan Batysta)

Jan Ježek: Je to jedna z variant budoucího vývoje. Dílčí části IDS v jádru produktu jsou již nyní.

Bude možné, aby byla pomocí Kerio Winroute Firewallu prováděna centrálně kontrola přítomnosti spyware a adware? (Mirek Dušín)

Jan Ježek: Naše antivirové plug-iny umožňují kontrolovat data procházející firewallem. Centrálně zjišťovat přítomnost škodlivého software na jednotlivých stanicích v síti tento produkt neumí.

Je nebezpečné vypínat firewall, když chci hrát hry? Zpomaluje vůbec firewall odezvy nebo rychlost připojení? (Michal Obdržálek)

Jan Ježek: Vypínat firewall pokaždé, když jdete hrát nějakou hru, určitě není to nejbezpečnější, co můžete udělat. Jinak každý síťový prvek na cestě, firewally nevyjímaje, nějakým způsobem sníží maximální propustnost sítě, ale v případě běžných internetových připojení se s tímto problémem asi nesetkáte. Totéž platí pro odezvy.

Jaké jsou možnosti filtrace (blokování) internetových rádií a televizí na firewallu Kerio? (Ulrich)

Jan Ježek: Můžete blokovat konkrétní IP adresy příslušných serverů nebo porty, přes které rádia vysílají. V případě HTTP protokolu může být účinné blokovat konkrétní MIME typ dat. Tato nastavení najdete v rozšířených volbách konfigurace URL pravidel.

Jakým způsobem společnost Kerio reaguje, příp. zareaguje, na problematiku tzv. obrázkového spamu? Doporučíte aktuálně nejvhodnější metodu nebo kombinaci metod, jak tuto hrozbu eliminovat? (Slavomil Kasal)

Jan Ježek: Dovolím si vám předat vyjádření kolegy Pavla Dobrého z týmu Kerio MailServeru: „Prozatím neexistuje konkrétní metoda bez negativních vlastností, která by dokázala obrázkový spam spolehlivě odhalit. Velmi se ale osvědčuje kombinace více různých metod. Doporučil bych kombinaci statické analýzy těla a formátu zprávy, Bayesovského filtru a verifikace odesílatele. V konkrétní podobě jsou to DNS blacklisty (Sorbs, Spamhaus, SpamCop), SPF, SpamAssassin. Velmi účinnou obranou je také začlenění proprietárních antispamových metod, jako je např. Spam Repellent v Kerio MailServeru. Účinnost této kombinace je u normálních spamů kolem 98 procent, u obrázkových přibližně 92 procent.“ Samozřejmě se snažíme antispamové řešení neustále vylepšovat, a to jak úpravami stávajících metod, tak i integrací stále novějších a účinnějších metod.

Plánujete podporu více paralelních připojení a „balance loading“? Máme dvě ADSL a docela by se nám hodilo jejich kapacity „sečíst“. (Jan Jižák)

Jan Ježek: Ano, plánujeme. Je to jedna z velmi žádaných funkcí, a má proto v našich plánech i patřičnou prioritu.

Když by Kerio WinRoute Firewall běžel na PC s WXP SP2, byl by nějak ovlivněn limitem deseti současně připojených uživatelů? Nebo je to limit pro sdílené prostředky a routování či další služby Kerio WinRoute Firewallu mohou být poskytovány i většímu množství současně připojených PC? (Pavel)

Jan Ježek: WinRoute není nikterak ovlivněn omezením operačního systému na maximální počet připojených klientů. Z hlediska provozu firewallu a počtu k němu připojených počítačů není žádný podstatný rozdíl v tom, zda je nainstalován na Windows Serveru 2003 nebo třeba na „starých dobrých“ Windows 2000 Professional.

Myslíte si, že je Kerio Personal Firewall stále kvalitní produkt i po předání společnosti Sunbelt? Zdá se mi, že vývoj ustal a tento produkt nějak upadá, nehledě na to, že poslední verze má problémy s češtinou. (Proki)

Jan Ježek: Kerio Technologies nemá žádný vliv na to, jakým způsobem firma Sunbelt dále s produktem nakládá. Strategie rozvoje produktu je plně v jejich režii. Problémy s češtinou se bohužel asi dají očekávat, přeci jen mají k češtině poněkud dále, než jsme měli my.

S Keriem jsem spokojen, jen mám problém v tom, že mi odmítá spustit slovník z PC Translátoru. Musím vždycky Kerio vypnout, abych mohl slovník spustit? Nebo je chyba v nastavení? (Pavel Černý)

Jan Ježek: Pravděpodobně máte na mysli Personal Firewall, který již není produktem Kerio Technologies.

Proč jste prodali Kerio Professional Firewall firmě Sunbelt? (Aleš Fere)

Jan Ježek: Kerio Technologies se zaměřuje na produkty určené pro segment menších a středních firem. Podle toho také rozvíjí své obchodní aktivity. Personal Firewall je určen pro zcela jiný segment trhu a vyžaduje odlišnou strategii prodeje. Úsilí vynakládané na marketing a prodej produktů se pak tříští. Rozhodli jsme se proto raději plně soustředit na jednu oblast a prodej Personal Firewallu byl logickým důsledkem tohoto rozhodnutí.

Jaký máte názor na program Skype a jeho „tunelování“ do internetu a zpět do sítě? Nebudou podobné programy tohoto typu v podobě spywaru nebo virů do budoucna ohromnou hrozbou pro bezpečnost? (Petr)

Jan Ježek: Skype je aplikace využívající shodné technologie s těmi, které jsou použité v peer-to-peer sítích pro sdílení souborů, a to se všemi důsledky pro bezpečnost. Důvod, proč Skype „prostě funguje“, je v tom, že umí využít mnoho různých protokolů a způsobů komunikace a spoléhá se (většinou úspěšně) na to, že alespoň jeden z nich vždy zabere. Různé tunely a backdoory využívají viry už dávno, ovšem u virů jde spíše o rozšíření na co největší množství počítačů než o schopnost komunikovat za každou cenu všude. Napadnutelných počítačů je na světě stále dost na to, aby bylo z pohledu virů nutné se zaobírat těmi ostatními.

Existuje možnost, jak v Kerio WinRoute Firewallu naroutovat spojení podle cílových portů přes dvě různá připojení? Konkrétně port 80 přes univerzitní síť a P2P přes CDMA? (Vraana)

Jan Ježek: Policy routing momentálně možný není, ale je to jedna z funkcí, o jejímž začlenění vážně uvažujeme.

Témata článku: Windows, Strong, Kerio, Firewall, Proxy, Zone, Alarm, Segment, Engineering, Balance, Downloader, Secret

21 komentářů

Nejnovější komentáře

  • nik99 1. 1. 2008 13:43:47
    Mám instalovanou tiskárnu(hp laserjet 1500) na serveru, když však dám...
  • karel 3. 2. 2007 15:02:07
    A není dneska už lepší používat HW Firewall - levnější a spolehlivější?
  • Rudidlo, Rudidlo 3. 2. 2007 12:37:29
    Moment - u každé aplikace lze povolit komunikaci na určitých portech nebo...
Určitě si přečtěte

Monitory do 10 tisíc: poradíme, jaké jsou teď nejlepší

Monitory do 10 tisíc: poradíme, jaké jsou teď nejlepší

** Dobrý monitor s kvalitním panelem lze pořídit pod tři tisíce korun ** Pod deset tisíc si můžete koupit pracovní 27" monitor nebo nejlevnější použitelné 4K ** Vybrali jsme také ideální model pro vícemonitorovou konfiguraci

27.  11.  2016 | Stanislav Janů | 13

Sbíječky vyměnili za klávesnice. Nový projekt má za cíl přeučit horníky na programátory

Sbíječky vyměnili za klávesnice. Nový projekt má za cíl přeučit horníky na programátory

** Programátorů je málo a horníků bez práce po uzavření dolu Paskov bude moc ** Problém řeší unikátní projekt ** Pilotní kurz dává naději, že by z horníků mohli být použitelní kodéři

28.  11.  2016 | David Polesný | 76