CDG-logga

Cisco klient och Kerio Personal firewall

Innehåll

Inledning

Med VPN kan du t.ex. få din dator att se ut som om den befann sig på Chalmers datanät och på detta sättet komma åt resurser på Chalmers som kräver att du har en ip-adress som tillhör Chalmers datanät. Den anslutna dator blir "en del av Chalmers datanät" och exponerar nätet utåt.
Det är viktigt att ha en firewall som skyddar den dator som ansluts till VPN. Lika viktigt som ett virusskydd speciellt när man använder Chalmers resurser och ute på Internet representerar Chalmers. Det är oönskvärt att utsätta själv och dessutom andra Internet användare för risk eller skador med Chalmers hatt. Därför använder man sig av olika metoder för att skydda sin dator, bl.a. med hjälp av brandväggar.
Detta dokument är skrivet som en hjälp för dig som installerat Kerio personal firewall (KPF) brandvägg och klientprogramvara ifrån Cisco på en dator och tänker använda använda VPN. Se vidare brandväggar och VPN för mer information.

Begränsningar och förutsättningar

Detta dokument är framför allt tänkt att ge lite stöd och tips och inget annat och ska inte uppfattas som en kurs i brandväggar eller VPN. Vi behandlar så mycket av ämnet i fråga som behövs för att hjälpa användarna att få tjänsten VPN att fungera och tar ingen hänsyn till andra säkerhetsaspekter i den miljö datorn befinner sig i. Anvisningarna i detta dokument antar att du är van vid de grundläggande funktioner som gäller din dator.
Beskrivningen nedan gäller en PC med Windows XP och Kerio personal firewall version 4. Det finns en gratisversion av programmet som för närvarande övergår till en med mindre funktioner om man inte betalar inom 30 dagar. Beskrivningen och bilderna kan veriera från version till version. Det kommer nya versioner av program fortloppand och utseendet på bilder menyer m.m. kan se annorlunda ut. Principen är dock det samma och kan sammanfattas så här: Jag har använt följande: Se vidare Vilka portar ska tillåtas i firewallen för mer information.
Se också brandväggar och VPN under"Inledning" för att veta mer.

Överblick

KPF kommer från Kerio Technologies http://www.kerio.com och i skrivandets stund har en gratis version med mindre funktioner. Det är en mjukvarubrandvägg d.v.s ett program som bevakar din dator genom tillåta eller spärra trafik. Programmet har en kontrollpanel som kan se ut så här:

KerioControl Center

Den kan tas fram via " Start -> All Programs -> Kerio". Det finns hjälp att tillgå (se bilden). Bilden visar läge då "Connection" är vald. Se gärna vad som finns under andra tabbar. Man ändrar utseendet på det här fönstret då och då.

Programmet varnar vid olika tillfälle bl.a. när en applikation försöker dra igång en annan. Man ska tillåta VPN specifika sådana när man kör VPN.
Läs i medföljande Help/dokumentation för Cisco klienten och tillåt VPN specifika program vid behov. (Det är OK att tillåta t.ex.ipsecdialer.exe, VAInstaller.exe, cvpnd.exe eller ipselog.exe, vpngui.exe. De ligger under C:\Program Files\Cisco Systems om man valt default placering under installation av klineten. Se Windows klientens inbyggda help för mer information).

Kerio Control Pane

Jag tror att det enklaste sättet att hantera brandväggen, är m.h.v pop-up fönster.Med en normal installation ska brandväggen fråga eller be om användarens åsikt om Internet och program åtkomst. Brandväggen har popup-fönster som dyker upp första gången en applikation försöker nå nätverket eller något utomstående försöker kontakta datroen. Man bör svara på frågan om brandväggen ska tillåta eller förbjuda applikationen/porten/etc i fråga. När man sedan har gjort ett val eller lagt i en regel på annat sätt syns de under Connections tab. varje applikation kan behöva olika poratr. I bilden nedan ses hur s.k. 625xx portarna är konfigurerade. De är nödvändiga för VPN klientens interna bruk för kommunikationinom/ med den egna dator. De här porterna är öppna innan man försökt att etablera en förbindelse (d.v.s innan man försöker köra ipsecdialer som är användarfönstret till VPN).
Vi ska se hur pop-up fönster se ut senare.

Kerio Control Panel och 625xx portar

Konfigurera med POP UP fönster

Obs! Läs noga första gångerna varje pop-up dyker upp och frågar om en komponent ska tillåtas/spärras.

De olika delar av programmet kan behöva komma åt loopback interface på din egen dator eller någon tjänst som DNS (för adress översättning) m.m.

Gör på följande sätt:

Se bilder nedan som några exempel. Läs mer i dokumentation för din brandvägg och Cisco klient för mer information och hjälp.

Programmet i fråga är i det här fallet "outlook Express" som inte har någonting med VPN att göra. Här vill användaren kontakta mail server och hämta sin mail, så vad göra? Man markerar "create a rule ..." och trycker "Permit". Svara på andra frågor angående loggning etc.

Program asking for access, before PPTP gains access, after

Bilderna över Cisco specifika program kommer här nedan. I Cisco program paketet finns det flera sammanhängande program som används av av Cisco klineten för att få sitt jobb gjor. Här är det ipsecdialer som får igång nödvändiga applikationer. För varje program/komponent kan vi applicera en av alternativen (Permit, deny) vilket är ganska självförklarande. Läs i medföljande Help/dokumentation för Cisco klienten och tillåt VPN specifika saker. (Det är OK att tillåta t.ex.ipsecdialer.exe, VAInstaller.exe, cvpnd.exe eller ipselog.exe, vpngui.exe. De ligger under C:\Program Files\Cisco Systems om man valt default placering under installation av klineten). Det går att ändra reglerna senare om man gjort fel.

Program asking for access, before PPTP gains access, after

Här har vi haft en Privat nätverk (hemrouter med tillhörande subnät bakom den.) därav 192.168.x.x adresser.

Kerio Control Panel

Så länge all nödvändig trafik inte passerar genom firewallen, misslyckas all försök till anslutning med fel medellande från VPN klienten.

Error1 Error2

Ytterligare nya portar behöver öppnas. Information som behövs för detta finns i olika "Alert" som brandväggen presenterar (om funktionen är påslagen). I exemplet nedan visas följande "Alert" for port: isakmap (eller 500), protokoll: UDP (i bilden).
Se vidare Vilka portar ska tillåtas i firewallen.
Tillåt! (Permit, Create rule...)

IPSECLOG

Efter anslutning

Cisco VPN sätter upp en s.k. VPN adapter som uppfattas av brandväggen som en nätevrksinterface ansluten till ett nätverk med VPN adressområde från Chalmers. Välj "No, it isn't" nedan för att din dator skyddas även mot det här nätet.

Exempel

Bilderna nedan visar efter färdig konfiguration med klienten ansluten
1. VPN portar

Exempel

2. applikationer

Exempel

I bilden syns 2 st "Cisco System VPN Client". De är 2 olika (del-) program av Cisco klientens programpakett. Det första är dialern (uppringare) och används för att etablera förbindelae genom att söka kontakt med motparten, medan den andra är det underliggande subsystemmet.
OBS! Det finns program som används av många andra komponenter/program i din dator bl.a. av Cisco klineten för att få sitt jobb gjort men de ska vara tillåtna även innan du börjar använda VPN. Vissa av dem syns i bilden. Tyvärr kan vi inte ta upp den här diskussionen här. Observera att varje användare har behov av olika program därför kan komponenterna i bilden se annorlunda ut.

www.chalmers.se www.ita.chalmers.se www.cdg.chalmers.se

Frågor eller problem med dessa sidor? Kontakta gärna webmaster@cdg.chalmers.se.
Detta dokument ändrades senast 2004-06-03 klockan 10:12.

Chalmers tekniska högskola
Datanätgruppen