Jaký je rozdíl mezi Kerio WinRoute Firewallem a Kerio Personal Firewallem? Zpomaluje firewall internet? Je plánována podpora více paralelních připojení a balance loading? Jak kvalitní je integrovaný firewall ve Windows XP a Windows Vista? Nejen na tyto otázky odpovídal Jan Ježek, project manager produktu Kerio WinRoute Firewall společnosti Kerio Technologies.
Velmi by mě zajímalo, jestli jako pracovník a zároveň vývojář dokážete „hacknout“ systém, který je chráněn tímto firewallem. Věřím totiž tomu, že znáte dokonale slabiny tohoto softwaru. (Tomas)
Jan Ježek: Pokud bych o nějaké slabině, která by umožňovala „hacknutí“ systému, věděl, byla by promptně opravena a oprava vydána v nové verzi produktu.
Padla i poznámka ke statistikám. Ač jsem netestoval novou betaverzi, rád bych se zeptal, zda neexistuje možnost jejich jednoduchého extrahování v datové podobě. Pokud chci dnes získat takovou informaci pro externí systém parsováním logů, mám k dispozici de facto jen log http, eventuálně debuglog. Z těch ale např. nezjistím objem dat proudících přes FTP. Teoreticky by stačil i webový interface, xml, csv. (Petr M.)
Jan Ježek: Ve stávající verzi to opravdu není možné jinak než analýzou logů. Ve verzi, kterou právě dokončujeme a jejíž beta je k dispozici na našich webových stránkách, jsou statistiky zobrazované právě přes webové rozhraní. Data jsou ukládána v SQL databázi.
Používám firewall Zone Alarm, jehož firewallové schopnosti byly už ve free verzi celkem na vysoké úrovni, včetně výborného mapování komunikace out/in pro jednotlivé otevřené porty a s velmi dobrou možností ovládání a opravdu širokou škálou nastavení. Myslíte si, že bude možné váš produkt někdy vystavit přímé konkurenci Zone Alarmu? (Zdeněk)
Jan Ježek: Je dobře, že máte svůj počítač zabezpečen a že jste se svým osobním firewallem spokojen, ať už je jakýkoliv. K vaší otázce – myslím, že vystavit náš produkt přímé konkurenci jiného osobního firewallu, jako je např. Zone Alarm, určitě nepůjde, protože se jedná o jiný typ produktu určený pro zcela jiný způsob použití.
Pokud člověk používá mail server na úrovni, tak ani administrátor nemůže číst e-maily z něj odcházející. To jen tak informace pro odborníka. (Bigsam72)
Jan Ježek: Velice děkuji za informaci. Mimochodem, pokud máte kdokoliv v tomto fóru pocit, že jste lepší nebo chytřejší, než jsou stávající lidé v Keriu, a že byste to uměli lépe, přijďte k nám a dokažte nám to. Rádi zaměstnáme lidi, kteří chtějí něco dokázat.
Jak kvalitní je podle vás integrovaný firewall ve WXP a WV? (G)
Jan Ježek: Pro běžnou základní ochranu počítače plně postačuje, pokud se používá správně.
Lze Kerio WinRoute Firewall nakonfigurovat tak, aby mohl na stejném počítači běžet i FTP server nebo jiný proxy, konkrétně ASSP antispam proxy? (Michal)
Jan Ježek: Ano, FTP server určitě, ale ani v případě ASSP by neměl být problém to nastavit tak, aby to fungovalo.
Používáte NDIS nebo TDI pro své FW řešení na MS Windows? A jakou verzi DDK využíváte při vývoji? Myslíte si, že technické řešení pro filtraci paketů, které nabízí platforma Microsoft, je dobré? (honza)
Jan Ježek: Ovladač ve WinRoute až do verze 6.2 používal hooky do NDIS, TCPIP a do dalších částí jádra. V posledních verzích Windows toto už není jednoduše možné a tak ovladač pro WinRoute od verze 6.3 je přepsán do dvou vrstev jako NDIS Intermediate Driver. Momentálně pro překlad používáme DDK 3790.1830.
Různé komentáře, které vývojáři občas pronášejí, bych tu raději nepublikoval.
Šlo by technicky v rámci Kerio WinRoute Firewallu řešit filtrování komunikace dle MAC adres? (Preiss)
Jan Ježek: Šlo, ale o moc větší zabezpečení sítě byste tak nezískal.
Bude umožňovat Kerio WinRoute Firewall detekci Skype či ICQ komunikace, jako to umějí pokročilé firewally, včetně HTTPS komunikace? (Václav Panenka)
Jan Ježek: O zlepšení možnosti detekce různých aplikačních protokolů uvažujeme.
Jak byste reagoval, kdybyste slyšel říkat učitele informatiky na střední škole, že firewall (obecně) vymyslel Microsoft, aby se snížily útoky na WXP? Já to dneska jako student zažil a nevěděl jsem, jestli se mám smát, nebo brečet. (Jirka)
Jan Ježek: Asi bych taky nevěděl, jestli se smát, anebo brečet. Váš učitel informatiky nepochybně čerpá své znalosti o počítačích z večerních televizních zpráv (dosaďte si svou vlastní oblíbenou stanici).
Jaký firewall doporučíte běžnému domácímu uživateli? Kerio Personal Firewall nebo firewall integrovaný ve WXP SP2? Ptám se proto, že mě překvapila odpověď Martina Žugece, který byl na Živě před vámi a na otázku, zda je nutné do Windows doinstalovat jiný firewall, odpověděl: „Firewall je integrovaný už od WXP – osobně jsem už před pár lety přestal používat externí FW, prostě k tomu nevidím důvod.“ Souhlasíte? (Jaroslav Kratochvíl)
Jan Ježek: Takže ještě jednou za všechny dotazy, proč jsme prodali Personal Firewall, jaký je můj názor na firmu Sunbelt, apod.
Neodpovídá se mi těžce, ale nemůžete po mně chtít, abych zde komentoval jednání a produkty jiných firem, než je Kerio, zvláště když zde příslušné firmy nemohou reagovat. A Sunbelt Kerio Personal Firewall (byť v názvu zatím má slovo Kerio) je již delší dobu produktem jiné firmy.
Kerio prodalo Personal Firewall, protože nezapadal do naší obchodní strategie. Obchod se softwarem se špatně dělá, pokud musíte prodávat několika naprosto rozdílným skupinám zákazníků.
Souhlasím s tím, že drtivá většina uživatelů nevidí důvod k instalaci osobního firewallu (jakéhokoliv) na WXP (od SP2) a výše. Vidí drtivá většina uživatelů důvod k instalaci jiného přehrávače videa, než je integrovaný Windows Media Player? Vždy zde bude část lidí, kteří budou chtít alternativu ať už kvůli funkcím nebo prostě proto, že je to alternativa, ale nutnost už to není.
Používáte při vývoji svého produktu reverse engineering? Do jaké míry se necháváte inspirovat open source projekty (resp. jejich zdrojovými kódy)? (Pavel)
Jan Ježek: Reverse engineering neděláme, nemáme to zapotřebí. Co se týče open source projektů, v našich produktech můžete naleznout několik open source knihoven, namátkou libiconv, OpenLDAP a další, integrujeme např. interpret PHP. Použití takového kódu je však kontrolováno a podléhá schvalovacímu procesu, aby bylo zajištěno, že vše je v souladu s příslušnými licencemi. Nemůžeme si dovolit a ani nechceme mít v tomto směru cokoliv v nepořádku.
Umí Kerio WinRoute Firewall omezovat rychlost internetového připojení určitým lidem na síti? Pokud ano, jde nastavit, aby dotyčný měl určitou rychlost v určité časové době? Dokáže provést omezení podle stažených dat, např. za týden (něco jako FUP)? (Satiriasis)
Jan Ježek: Máme možnost omezovat šířku dostupného pásma pro velké datové přenosy, pro uživatele, kteří překročí určitou kvótu přenesených dat, a (nově od verze 6.3) pro P2P přenosy. Bohužel tak podrobné nastavování, jaké popisujete, tj. např. pro každého uživatele zvlášť, zatím možné není.
Bude někdy Kerio WinRoute Firewall kompatibilní s NOD32 modulem IMON? (Hrdina)
Jan Ježek: Na vině je nevhodná kombinace architektur obou produktů společně (na tomto místě si to neodpustím) s hrozně vymyšlenou implementací vrstvy tzv. LSP (Layered Service Providers) ve Windows. Pravda je, že oba produkty nejsou vyloženě nekompatibilní, ale můžou být za určitých podmínek nestabilní, padat a zamrzávat, přesně jak se píše v příslušném varovném hlášení, je-li běžící NOD32 IMON modul zjištěn.
Jak jednoduše nakonfigurovat Kerio WinRoute Firewall ne jako firewall, ale prostou HTTP/HTTPS proxy, abychom mohli sledovat přístupy uživatelů do internetu? Před časem jsme přešli na HW FW a licence WinRoute tak není využita (máme LAN s Windows 2003 Server s jediným Ethernet rozhraním). (Ales Zitka)
Jan Ježek: To je jednoduché, povolte veškerý síťový provoz a zapněte HTTP proxy server.
Uvažuji o instalaci, ale mám starší počítač. Jaký operační systém byste zvolil – Windows 2000 nebo Windows XP? Má z pohledu Kerio WinRoute Firewallu některý z těchto OS nějaké výhody či nevýhody? (Michal)
Jan Ježek: Z pohledu WinRoute jsou oba systémy srovnatelné, takže zvolte ten, který máte k dispozici, nebo ten, který vám bude na daném HW lépe fungovat.
Bude Kerio WinRoute Firewall umožňovat detekci komunikace v probíhajícím čase? Nyní se sice dá nastavit kontrola komunikace v časovém intervalu, ale jen kontrola začátku komunikace. Jakmile již spojení běží, Kerio WinRoute Firewall jej pouze monitoruje, ale už jej např. nezruší, pokud komunikace začala v době, kdy je povolena, a později např. v pracovní době je stejná komunikace zakázána. (Václav Panenka)
Jan Ježek: Bude. Časové intervaly se aplikují na již navázaná existující spojení od verze 6.3, která je momentálně dostupná jako beta verze.
