CDG-logga

Cisco klient och ZoneAlarm

Innehåll

Inledning

Med VPN kan du t.ex. få din dator att se ut som om den befann sig på Chalmers datanät och på detta sätt komma åt resurser på Chalmers som kräver att du har en ip-adress som tillhör Chalmers datanät. Den anslutna dator blir "en del av Chalmers" och exponerar nätet utåt.
Det är viktigt att ha en firewall som skyddar den dator som ansluts till VPN, lika viktigt som ett virusskydd. Det blir extra viktigt speciellt när man använder skolans resurser och ute på Internet representerar Chalmers. Det är oönskvärt att utsätta sig själv och dessutom andra Internetanvändare för risk eller skador med Chalmers hatt. Därför ska användarna tillämpa olika metoder för att skydda sina datorer. En av metoder är användandet av brandväggar.
Detta dokument är skrivet som en hjälp för dig som installerat ZoneAlarm brandvägg och VPN-klientprogramvara ifrån Cisco på en dator och tänker använda använda VPN. Se vidare brandväggar och VPN för mer information.

Begränsningar och förutsättningar

Detta dokument är framför allt tänkt att ge lite stöd och tips och inget annat och ska inte uppfattas som en kurs i brandväggar eller VPN. Vi behandlar så mycket av ämnet i fråga som behövs för att hjälpa användarna att få tjänsten VPN att fungera och tar ingen hänsyn till andra säkerhetsaspekter i den miljö datorn befinner sig i. Anvisningarna i detta dokument antar att du är van vid de grundläggande funktioner som gäller din dator.
Beskrivningen nedan gäller en PC med Windows XP och ZoneAlarm PRO (ej freeware), men kan med smärre modifikationer tillämpas på den gratisversion av programmet som har mindre funktioner och kan användas av privat personer. Beskrivningen och bilderna kan veriera från version till version. Det kommer nya versioner av programet fortloppand och utseendet på bilder menyer m.m. kan se annorlunda ut. Principen är dock det samma och kan sammanfattas så här: Jag har använt följande: Se vidare Vilka portar ska tillåtas i brandväggen för mer information.
Se också brandväggar och VPN under"Inledning" för att veta mer.

Överblick

ZoneAlarm kommer från Zonelabs www.zonelabs.com och i skrivandets stund har en gratis version med mindre funktioner. Det är en mjukvarubrandvägg d.v.s ett program som bevakar din dator genom tillåta eller spärra trafik. Programmet har en kontrollpanel (Control Center) som kan se ut så här: zonealarm Control Center

Den kan tas fram om man klickar på zonealarm ikonen i aktivitetsfälten eller går till " Start -> All Programs -> Zone Labs -> Zone Alarm Security" Readme eller någon sort av hjälp eller Tutorial finns också på samma plats. Brandväggen delar upp alla datorer utanför den egna till 2 grupper: "Trusted" och "Internet". I min värld hör alla andra till Internet gruppen även andra datorer i min egen nätverket hemma. Programmet behandlar din egna dator (loopback, 127.0.0.1) som trusted. Man ändrar utseendet på det här fönstret då och då. I alla fall när man väljer en av flikar på den vänstra delen, ändras texten eller tabellen på mitten samt menyerna på den den högra övre delen. Enligt bilden ovan med "Brandvägg" vald kan en av menyerna "Main", "Zones" eller "Expert" väljeas.
Om man väljer Firewall -> Expert kan en exakt regel implementeras. Det ska vi titta på längre fram.
Med hjälp av "Alert & Logs" ändrar och man loggningsnivå eller mängden information som programmet levererar av sig. Man tittar på loggar i samma fönster. Jag tror att det enklaste sättet att hantera brandväggen, är m.h.v pop-up fönster. Om man har valt medium säkerhetsnivå från början ska brandväggen fråga om Internet och program åtkomst (kontrolleras på "Program Contro -> Main"). Brandväggen har popup-fönster som dyker upp första gången en applikation försöker nå nätverket eller något utomstående försöker kontakta datroen. Man bör svara på frågan om brandväggen ska tillåta eller förbjuda applikationen/porten/etc i fråga. När man sedan har gjort ett val eller lagt i en regel på annat sätt syns de med "Program Control" aktiverat. Vi ska se hur pop-up fönster se ut senare.

I bilden nedan ser man hur åtkomsten för programmen är konfigurerad. Cisco specifika program är de 3 första i bilden plus logger (ipseclog.exe) som inte syns på bilden. För varje program/komponent kan vi applicera en av tre alternativen (Allow, block eller Ask) vilket är ganska självförklarande. Om Ask (fråga) väljs frågar brandväggen varje gång för rättigheterna för ett visst program eller IP nummer. Läs i medföljande Help/dokumentation för Cisco klienten och tillåt VPN specifika saker. (Det är OK att tillåta t.ex.ipsecdialer.exe, VAInstaller.exe, cvpnd.exe eller ipselog.exe, vpngui.exe. De ligger under katalogen C:\Program Files\Cisco Systems (förutsatt att man valt default placering under installation av klineten). Se Windows klientens inbyggda help för mer information. Det går att tillämpa rättighetrna genom att klicka på raden och och ändra ( för "Allow" t.ex. ska ett grönt märke väljas).

zonealarm Control Center

En text i rutan under tabellen i bilden ovan förklarar detaljer om raderna i tabellen. Hur man ändrar, framgår av hjälp eller texten bredvid på vänster sida av tabellen.

Konfigurera med POP UP fönster

Obs! Läs noga första gångerna varje pop-up dyker upp och frågar om en komponent ska tillåtas/spärras.

De olika delar av programmet kan behöva komma åt loopback interface på din egen dator (kallad för "the local network" i bilderna"), någon tjänst som DNS (för adress översättning) m.m.

Gör på följande sätt:

Se bilder nedan som några exempel. Läs mer i dokumentation för din brandvägg och Cisco klient för mer information och hjälp.

VPNGUI IPSECLOG

Genom att trycka "Yes" här nedan får VPN komponenter lov att komma åt DNS service (för översättning mellan olika IP adress <-> datornamn namn).

CVPND Virt Adapter

Efter konfigurering ska varje inlagd komponent synas i tabellen under "Program Control". Se bilderna under "Överblick" ovan.

IPSECLOG

Det kan finnas program som används av många/alla andra komponenter/program i din dator bl.a. av Cisco klineten för att få sitt jobb gjort men de ska vara tillåtna även innan du börjar använda VPN. Tyvärr kan vi inte ta upp den här diskussionen här.

Konfigurering

Att lägga till egna regler utan POPUP kan man göra lämpligen genom att välja "Firewall > Expert" och sedan klicka på "Add". I det fönster som dyker upp kan ska man fylla i source, destination, protokoll och port nummer, ev. tid, Action (Allow/Block), Track (logmetod) 0ch andrasaker (Namn på regel, kommentarer etc.)
Bilden nedan visar ett exempel på hur man tillåter port 1723/TCP till vpn1-tunnel.vpn.chalmers.se (eller 129.16.204.11) från den egena datorn. Genom att ge regeln ett lämpligt namn och beskrivning ("Comments") kan man sedan lättare identifiera olika reglar när man listar dem ( med Firewall > Expert).

Exempel

Bilden ovan är bara ett exempel. Den regeln behövs ej för Cisco klienten. Se vidare Vilka portar ska tillåtas i brandväggen, om du vill använda den här metoden för konfigurering. Om man ska tillåta port 500 UDP från egen dator till VPN gatewayen (vilket nämnts i avsnittet under länken ovan) ska följande värden väljas/mattas in:
State: enabled
Name: Välj ett lämpligt namn
Action: Allow
Comments: Matta in en lämplig beskrivning
Destination: vpn1-tunnel.vpn.chalmers.se
Port: 500 UDP
Time:Any

Information som behövs för att fylla i formulären ovan kan även extraheras från olika "Alert" som brandväggen presenterar (om funktionen är påslagen). För exemplet ovan visas följande "Alert" före och efter öppnande av porten.

PPTP blocked, före PPTP tillåten, efter

www.chalmers.se www.ita.chalmers.se www.cdg.chalmers.se

Frågor eller problem med dessa sidor? Kontakta gärna webmaster@cdg.chalmers.se.
Detta dokument ändrades senast 2005-04-22 klockan 14:12.

Chalmers tekniska högskola
Datanätgruppen