Контроль интернет-трафика Kerio Control . Что такое kerio control
Kerio control что это такое, программа керио
Сначала, пожалуй, надо объяснить, почему мой выбор остановился именно на Kerio Winroute Firewall. В свое время я долго блуждал по Internet в поисках файервола, который работал бы на двух сетевых подключениях и позволял контролировать соединения между внешней и внутренней сетью. И какова же была моя радость, когда после скачивания и проб целых комплектов отдельно взятых файерволов, прокси-серверов и шлюзов я нашел все это в одном, так сказать, флаконе. Конечно, встроенный в Kerio Winroute Firewall прокси-сервер существенно уступает такой вещи, как Squid, но вот шлюз и сам файервол хорошо реализованы, и, что самое главное, просты в настройке. Что касается встроенного антивируса, то его я, честно говоря, не использую.
Итак, перейдем к процессу установки Kerio Winroute Firewall (скачать демо-версию или купить этот продукт можно тут). Хочу сразу предупредить, что в этой главе и далее мною рассматривается версия 6.0.8, с нее же я буду делать и скриншоты. После запуска установочного файла и распаковки временных файлов появится приглашение мастера установки.
Следом появится окно с лицензионным приглашением, с которым прийдется согласиться.
Баги в продуктах Kerio Control могут привести к полной компрометации организации
Теперь надо будет указать путь для установки.
После указания пути необходимо выбрать тип установки. Укажите выборочную установку (Custom).
Здесь можно исключить из установки поддержку VPN (если вы ее не используете), а также файлы помощи (если, конечно, вы не эксперт в английском и чешском языках).
Затем надо ввести пароль администратора KWF (только самого KWF, не компьютера или домена).
Далее мастер установки спросит, разрешить ли удаленное управление KWF и с какого IP-адреса. Если вы планируете использовать удаленное управление, установите галочку и укажите IP-адрес сервера, с которого планируете это управление производить.
После того, как все необходимые для установки данные указаны, произойдет процесс копирования файлов, а затем появится запрос разрешения на перезагрузку компьютера, которую необходимо выполнить.
По окончании перезагрузки, после ввода вами имени пользователя и пароля для входа в систему, выскочит окно с вопросом «Do you want to start Administration console for Kerio Winroute Firewall now?» («Хотите ли вы запустить консоль администрирования Kerio Winroute Firewall сейчас?»). Стоит ответить на него утвердительно, и сразу перейти к настройке файервола.
Но перед настройкой прийдется ввести пароль администратора файервола.
При первом запуске консоли администрирования сработает мастер сетевых правил. Он поможет вам за 7 шагов произвести первичное конфигурирование Kerio Winroute Firewall.
На втором шаге вам надо указать тип вашего подключения к Internet.
На третьем шаге надо указать, какое именно устройство используется для соединения с Internet. В моем случае это будет внешняя сетевая карта. Если используете, к примеру, виртуальное подключение к частной сети, выберите его.
Четвертый шаг даст вам возможность указать, какие именно подключения между вашей внутренней сетью и Internet вы хотите оставить доступными пользователям. По умолчанию доступны любые подключения к любому порту внешних хостов.
На пятом шаге надо указать, какие серверы служб, имеющиеся в вашей внутренней сети, нуждаются в доступе из вне (из Inetrnet), и какие именно службы, запущенные на них, должны быть доступны. Если не знаете — пропускайте, это можно настроить и потом, вручную.
На этом первичное конфигурирование файервола закончится. А куда делся шестой шаг — не спрашивайте, сам пока с ним не встречался. 😉
[Предыдущая глава][Следующая глава][Скачать статью полностью (2 Mb)][Вернутся к оглавлению]
© Drakon, 2005-2006
Сайт управляется системой uCoz
steptosleep.ru
Новая версия Kerio Control 8.5 улучшает безопасность сети и удобство для пользователей | Обзоры
Максим Афанасьев
В середине февраля компания Kerio Technologies выпустила обновление своего флагманского продукта Kerio Control. В новой версии Kerio Control 8.5 предусмотрена повышенная безопасность пользователей за счет интегрирования двухшаговой проверки, а также многочисленные улучшения для удобства пользования продуктом. Kerio Control 8.5 снабжена новой системой переадресации Service Discovery, которая делает процесс настройки сети гибким и простым. Теперь удаленные пользователи могут просматривать, обнаруживать и соединяться с устройствами, такими как принтеры, файловые серверы и сканеры в различных сетях или Kerio VPN-туннелях. Кроме того, в новой версии Kerio упростила процесс установки и обновления такого важного компонента системы, как клиент Kerio VPN. При помощи нового установочного пакета возможно развертывание его через инструменты сторонних производителей, таких как Apple Remote Desktop или FileWave. Новая версия Kerio Control получила расширенный набор системных уведомлений, что позволит более оперативно информировать системных администраторов о возможных ошибках и проблемах. Но обо всем по порядку.
Напомним, что Kerio Control — это комплексное решение в области безопасности, объединяющее несколько функций, в том числе межсетевой экран (файервол) и маршрутизатор, систему обнаружения и предотвращения вторжений (IPS), антивирус, VPN и фильтр содержимого. Эти широкие возможности и непревзойденная гибкость в развертывании делают Kerio Control идеальным выбором для малых и средних предприятий. Поскольку два года назад мы уже рассказывали об этом продукте в статье «Kerio Control — комплексная безопасность сети», в этом обзоре мы основное внимание уделим нововведениям, которые были внесены в этот продукт начиная с версии Kerio Control 8.5.
Особо отметим, что компания Kerio уже давно встала на путь максимальной интеграции с виртуальными средами, поэтому новый продукт Kerio Control 8.5 поставляется как отдельная среда: Software Appliance, VMwareVirtual Appliance (OVF/VMX) и Hyper-V Virtual Appliance. Для написания данного обзора мы использовали образ VMware Virtual Appliance в контейнере OVF для системы виртуализации VMware ESXi. Развертывание данного образа не представляется сложной задачей: самое главное — получить ссылку на OVF-пакет, зарегистрировавшись на сайте Kerio. Для ознакомления администраторам предоставляется 30-дневная версия продукта без каких-либо ограничений функционала. А теперь вернемся к функциональным возможностям новой версии Kerio Control 8.5.
Двухшаговая авторизация
«Мы продолжаем улучшать безопасность, не жертвуя при этом простотой, —Мирек Крен, заявил главный операционный директор и главный управляющий компании Kerio Technologies. —В новом релизе добавлены важные и эффективные функции безопасности, которые можно легко внедрить в любую сеть без значительного нарушения работы предприятия».
Итак, компания Kerio интегрировала в новый продукт двухшаговую авторизацию, которая позволит пользователям повысить безопасность данных, а администраторов избавит от дополнительных проблем, связанных с безопасностью аутентификации пользователей. Kerio Control 8.5 получила весьма востребованную в мире двухшаговую идентификацию пользователей, которая основана на запросе одноразового кода доступа с ограниченным сроком действия (TOTP). Этот код не заменяет основную авторизацию пользователей в системе Kerio Control, а лишь дополняет ее, поэтому владельцы предприятия могут быть уверены, что сетевые ресурсы останутся в безопасности, даже если пароли окажутся в чужих руках.
Рассмотрим внедренную систему на типовом примере. Для активации данной функции администратор должен установить соответствующую галочку в меню «Домены и аутентификация». При этом, отключив возможность удаленной настройки, администратор запретит пользователям настраивать двухшаговую проверку извне, то есть с внешнего интерфейса.
После активации двухшаговой проверки пользователя при следующем выходе в Интернет либо просмотре статистики пользователю будет выдано информационное окно и ссылка на настройку двухшаговой авторизации.
Если пользователь при отключенной функции удаленной настройки зайдет на межсетевой экран с внешней сети, ему будет показано несколько иное информационное окно, не предусматривающее возможности перехода на настройку двухшаговой проверки.
После того как пользователь попадает на экран настройки этой функции, он увидит соответствующий QR-код и поле, куда необходимо ввести код, «зашифрованный» в этом QR-коде. Стоит отметить, что цифробуквенный код под QR-кодом — это идентификатор, и на него не стоит обращать внимания. Чтобы прочесть QR-код, необходимо воспользоваться одним из соответствующих приложений, описанных на странице описания данной функции. В качестве эксперимента мы использовали приложение Google Authenticator для Android, которое взаимосвязано со сканером штрихкодов (его также необходимо установить).
После того как QR-код прочтен с экрана компьютера, Google Authenticator автоматически сгенерирует соответствующий код. По сути, QR-код содержит в себе уникальную ссылку на соответствующий код.
Затем полученный в этом приложении код необходимо ввести в соответствующее поле на странице авторизации Kerio Control. Нельзя не отметить, что код постоянно меняется в течение достаточно короткого времени, поэтому запоминать его не нужно. Все очень просто и быстро. Проблемы могут возникнуть только при работе с приложением из под Windows, однако программа WinAuth, которую рекомендует Kerio, отлично справляется и просто со ссылкой на изображение.
Для администраторов доступна функция сброса двухшаговой проверки для всех пользователей сразу или для каждого пользователя по отдельности. В этом случае ему снова придется пройти всю вышеописанную процедуру. Если сброса не произошло, пользователь при следующем запросе кода лишь открывает соответствующее приложение и вводит полученный код. Сканировать QR-код уже нет необходимости.
В целом двухшаговая проверка пользователя — это еще одна попытка оградить пользователя от различных злоумышленников, ведь все люди разные, и многие стараются сохранять пароли, не заботясь о безопасности. В случае использования данной функции администратор может быть уверен, что даже кража пароля пользователя не даст возможности получить доступ к внутренней корпоративной сети или к критически важным данным компании.
Система переадресации Service Discovery
В новой версии Kerio Control 8.5 появилась система переадресации Service Discovery, которая делает процесс настройки сети гибким и простым. С ее помощью удаленные пользователи могут просматривать, обнаруживать и соединяться с устройствами, такими как принтеры, файловые серверы и сканеры в различных сетях или Kerio VPN-туннелях. Функция Service Discovery поддерживает такие популярные протоколы, как mDNS (Apple devices), NetBIOS (Microsoft network) и SSDP (UPnP). Настройка этой функции очень проста, достаточно выбрать необходимые сети, между которыми будет осуществляться проброс мультикаста, и активировать эту функцию. Для контроля работы Service Discovery администратору доступна дополнительная запись в лог-файл. Следует отметить, что Service Discovery доступна только для Kerio VPN, а маршрутизация в рамках IPsec VPN не поддерживается, точно так же, как и между внешней и внутренней сетью. Это объясняется тем, что данная функция ориентирована на создание полноценной внутренней сети предприятия, распределенной по земному шару.
Kerio VPN
Нельзя не отметить, что компания Kerio постоянно стремится соответствовать новым стандартам, поэтому для такого важного компонента системы, как Kerio VPN, вместе с обновлением 8.5 вышли и новые клиенты под Windows, Mac и Linux. Новый установочный пакет Kerio VPN для компьютеров под управлением Mac OS X позволяет развертывание через инструменты сторонних производителей, таких как Apple Remote Desktop или FileWave.
Смена MAC-адреса
Нельзя не отметить маленькую, но достаточно важную для некоторых системных администраторов функцию. Теперь в свойствах Ethernet-адаптеров в панели администрирования можно изменить MAC-адрес соответствующего адаптера. Этот функционал позволяет оперативно поменять MAC-адрес, если, например, провайдер внешней сети имеет жесткую привязку по MAC.
Кроме того, в этой оснастке администратор может задать MTU для адаптера, что также иногда необходимо для специфических сетей.
Обновленная функция уведомлений
При помощи расширенного набора уведомлений по электронной почте в Kerio Control 8.5 администраторы будут информированы о важных сетевых событиях и состоянии системы. Нельзя не отметить, что для этой функции появилась отдельная оснастка, которая позволяет очень подробно выставить параметры необходимых оповещений.
Так, например, можно настроить отсылку оповещений не только администраторам, но и обычным пользователям. Возможно, эта функция будет очень удобна для мониторинга использования корпоративной сети руководством или аналитиками, не имеющими администраторских прав. Также стоит отметить возможность поиска события в любом из журналов по регулярному выражению или паттерну, что позволит оперативно выявлять возможные проблемы, которые трудно диагностировать в большой сети. Поддерживается отправка сообщений не только конкретным пользователям, но и на отдельные почтовые ящики, которые могут быть никак не привязаны к корпоративным пользователям. Также реализована функция задержки отправки сообщений и установка расписания. В целом, данное нововведение должно положительно сказаться на оперативности решения различных проблем.
Выводы
Компания Kerio, как всегда, порадовала администраторов новыми возможностями в своем флагманском продукте Kerio Control 8.5. Отметим, что данный продукт — простое в применении комплексное решение для управления защитой от угроз корпоративной сети. Возможности Kerio Control 8.5 весьма широки и позволяют использовать его как в небольших учреждениях, так и в крупных и средних компаниях с распределенной сетью офисов по всему миру. Администраторы всего мира ценят данный продукт за интуитивно-понятный интерфейс управления и надежность. В Kerio Control 8.5 реализована одна из лучших систем фильтрации интернет-содержимого, которая позволяет выборочно блокировать, разрешить или протоколировать доступ к 141 категории веб-контента при помощи фильтра Kerio Control Web Filter. Таким образом, администратор может быстро и оперативно защитить пользователей от посещения вредоносных сайтов, которые, как известно, содержат вирусы и шпионские программы, занимаются фишингом или кражей личных данных.
compress.ru
Kerio winroute firewall - это... Что такое Kerio winroute firewall?
Kerio WinRoute Firewall (ранее назывался WinRoute Pro) - это программный межсетевой экран, разработанный компанией Kerio Technologies и Tiny Software. Основными функциями программы являются: организация безопасного пользовательского доступа в Интернет, надежная сетевая защита ЛВС, экономия трафика и рабочего времени сотрудников за счет ограничения нецелевого доступа к различным категориям веб-контента.
Версия Дата выпуска Существенные изменения| С 3 до 4.x | 1998 | Winroute Pro версия 3 и 4, работающая на Windows 98 и Windows NT. |
| 4.x | 1 Февраля 2002 | Компания Kerio Technologies была сформирована из экс-сотрудников компании Tiny Software.[1] |
| 5.0 | 21 Февраля 2003 | Первая версия продукта под брендом Kerio. Поддержка DOS-версий Windows была остановлена. |
| 5.1 | 25 августа 2003 | Усовершенствован инструмент мониторинга пользовательской активности, поддержка функции переподключения при отказе, протокол инспектор для SIP - прозрачная работа SIP через NAT, расширенные опции протоколирования - поддержка утилит log rotation и syslog, настраиваемая DNS переадресация, настройка страниц переадресации для сайтов запрещенных правилами HTTP, определение использования P2P сетей пользователями, функция автоматического обновления, возможность использования DNS-имен в Политиках Трафика, поддержка NTLM аутентификации через веб-браузер Mozilla (Mozilla 1.4 и выше). |
| 6.0 | 7 Июля 2004 | Встроенный VPN, работающий в режимах клиент-сервер и сервер-сервер, система предупреждений и напоминаний, антивирусная проверка электронной почты (протоколов POP3 и SMTP), усовершенствованная система мониторинга пользовательской активности в реальном времени и статистики использования трафика, блокировщик пиринговых(P2P) сетей, поддержка антивируса VisNetic - написан плагин для интеграции. |
| 6.1 | 23 июня 2005 | Прозрачная аутентификация пользователей посредством Active Directory, поддержка нескольких доменов Active Directory, реализация Kerio Clientless SSL-VPN(безклиентское приложение VPN, доступ к открытым ресурсам локальной сети через любой веб-браузер, в том числе и с мобильного устройства), настраиваемые маршрутизация VPN туннелей |
| 6.2 | 3 марта 2006 | Контроль пропускной полосы канала, двойная антивирусная проверка, регистрация продукта через консоль администрирования, возможность установки VPN клиента на 64-битные платформы Windows |
| 6.3 | 29 Марта 2007 | Модуль статистики и отчетности (Kerio StaR), поддержка 64-битных ОС-ем, поддержка Windows Vista, улучшенный блокировщик P2P сетей. |
| 6.4 | 17 сентября 2007 | Улучшенный модуль отчетности пользования интернет, распечатываемые отчеты, улучшенная производительность, поддержка технологии Динамический DNS |
| 6.5 | 9 сентября 2008 | Балансировка нагрузки на интернет-каналы, добавлены локальные версии на 11 яыках. |
| 6.6 | 31 марта 2009 | VPN клиент для Mac и Linux, VPN клиент теперь работает как служба, улучшен просмотр сетевого окружения. |
dic.academic.ru
Kerio Control | LA.BY
Комплексное решение по обеспечению безопасности и мониторингу сети
Обзор программы
Единая защита
Защита серверов от несанкционированного доступа
Сигнатурный анализ пакетов передачи данныхВ основе этой технологии лежит интеграция в Kerio Control сетевого анализатора, основанного на Snort. Snort является бесплатной сетевой системой обнаружения и предотвращения вторжений (IDS / IPS), которая прозрачно сканирует весь сетевой трафик и обеспечивает работу установленных правил безопасности.
База данных правил безопасностиВ Kerio Control интегрирован набор правил безопасности поддерживаемый сообществом проекта под названием "Emerging Threats"("Новые угрозы"). Каждое правило имеет цифровую подпись для обеспечения подлинности обновлений, предотвращающая любого типа вмешательства. Правила основаны на многолетнем совместном опыте экспертов в области сетевой безопасности и постоянно совершенствуются.
Защита серверовKerio Control выполняет роль сетевой системы обнаружения и предотвращения атак, тем самым защищая серверы расположенные за межсетевым экраном.IPS защищает серверы от уязвимостей в установленном программном обеспечении, которые могут быть использованы для хакерских атак.
Список заблокированных IP-адресов (черный список)Kerio Control ведет базу данных IP адресов, которым отказано в доступе к любым ресурсам корпоративной сети. Это IP адреса c использованием которых неоднократно производились различные типы атак. База данных черных IP адресов хранится непосредственно на сервере и постоянно автоматически обновляется.
Управление правилами безопасности
- Автоматическое обновление Система IPS проверяет наличие обновлений пакета правил с периодичностью в один час. Если обновление будет доступно, оно автоматически будет установлено.
- Исключения Если системный администратор определит, что обнаруженная системой IPS атака не несет в себе опасности, он может добавить ее в исключения(белый список). Это поможет исключить так называемые ложные срабатывания (false positives).
Журнал безопасностиIPS система регистрирует все события о блокировании трафика в журнале безопасности (security log). Каждая запись содержит детальное описание события, включающее ID правила безопасности. Эта информация может быть использована для дальнейшего изучения инцидента или для добавления нового исключения.
Сертификация ICSA
ICSA Labs признанная независимая организация, устанавливающая стандарт для продуктов защиты электронных данных. В рамках сертификация межсетевых экранов от ICSA Labs тестируются возможности программ и проводится постоянная проверка на устойчивость к новым уязвимостям.
Сертификация по ICSA Labs укрепляет доверие и отвечает всем отечественным и зарубежным требованиям процесса тестирования.Критерии, которым должны отвечать испытания программной продукции представляемой вендорами ПО, являются промышленным стандартом. Этот стандарт создает консорциум компаний-разработчиков, конечных пользователей и сотрудников ICSA Labs.
Брандмауэр и маршрутизатор
Файрвол уровня приложенийСоздание политик контроля входящего и исходящего трафикаЗащита серверов без потребности создания ДМЗ (демилитаризованной зоны) посредством легко настраиваемого NATСтатическое отслеживание пакетов (stateful packet inspection) по указанным портамУчет входящего и исходящего трафика для последующего аудита и отладки системы, а также в целях безопасностиОграничение скачивания файлов по типу и запрещение ftp команд
Интегрированный прокси-серверМониторинг и протоколирование всей пользовательской деятельности в ИнтернетОграничение доступа к веб-узлам по URL, запрещенным словам,веб-объектам , а также по категориям веб-контентаУскорение доступа к страницам Интернет за счет кэширования веб-страницУпрощенное сетевое администрирование с помощью прозрачного прокси
МаршрутизацияУправление и общий доступ к Интернет и внутренним ресурсам с помощью DHCPОбеспечение доступа трафика VoIP и других мультимедиа служб к ИнтернетПростая настройка IPsec, PPTP или RRAS подключений посредством NATБыстрая интеграция в существующую сетевую инфраструктуру, используя переадресацию DNS запросов
Интегрированный антивирусный сканер от Sophos
Используйте интегрированную антивирусную защиту от Sophos для
- Мгновенной защиты
- Усовершенствованной технологии сканирования
- Простого обслуживания
Защита электронной почты (SMTP и POP3)Проверка входящих и исходящих почтовых сообщений, а также их вложений. Найденные во вложениях вирусы удаляются, в сообщение добавляется информационная пометка о данном действии.
Web (HTTP)Сканирование веб-страниц, скачиваемых по HTTP объектов и прочий трафик HTTP на наличие вирусов и других зловредов. Мониторинг трафика, передаваемого по защищенному каналу Kerio VPN.
Передача файлов (FTP)Проверка отдач и закачек файлов по протоколу FTP.
Фильтр веб-контента
Kerio Web FilterKerio Web Filter предотвращает посещение пользователями вебсайтов, имеющих вредоносное содержание, включая вирусы, программы-шпионы, трояны, веб-страницы которые участвуют в фишинге или краже персональных данных.
Kerio Web Filter является опционально-активируемым модулем для Kerio Control, который разделяет веб-сайты на 53 различных категории по содержанию. Системные администраторы могут блокировать или контролировать доступ пользователей, на основе определенных категорий контента.
Зачем нужна фильтрация веб-контента?
Kerio Web FilterИнтегрированный антивирус блокирует только известные вирусы. Kerio Web Filter блокирует доступ к веб-ресурсам, которые содержат вредоносное ПО, препятствуя загрузке неопознанных вирусов или других зловредов.
Этот компонент служит дополнением к антивирусному сканированию интернет-шлюза, который блокирует известные вирусы и другое вредоносное ПО, проходящее через межсетевой экран Kerio.
Защита от нежелательных ресурсовKerio Web Filter помогает недопустить просмотр веб-содержимого, которое считается нежелательным или незаконным.
Инструмент контроляКонтролируйте или ограничивайте доступ:
- Групповыми политиками
- По времени суток
- По статусу пользователя
- По местонахождению пользователя
Данные о статистике использования интернета по веб-категориям могут быть просмотрены благодаря Kerio Web Filter при помощи модуля централизованной системы анализа и отчетности Kerio Star.
Полноценный VPN сервер
Используйте возможности полноценного, легконастраемого и NAT-совместимого VPN сервера.
Site-to-site / Сервер-серверБезопасное подключение сети главного офиса с сетями филиалов.Неограниченное число подключений при создании виртуальной WAN.Доступ к жизненно важным ресурсам сети из Интернет.
Kerio VPN клиент (Клиент-Сервер)Подключение к сетевым принтерам, серверам и файлам общего доступа из дома, гостиницы или кафе.Для идентификации пользователей можно использовать сетевую учетную запись ( требуется наличие интеграции с Активным Каталогом) для VPN аутентификации.Клиент может быть установлен на Windows, Mac и Linux.Клиент запускается в качестве службы.
Kerio Clientless SSL VPNУправление папками, скачка и отдача сетевых файлов через веб-браузер.Создание закладок для доступа к наиболее часто используемых папок.Доступен в Kerio Control для Windows
Простое управление
Простая и понятная настройкаУстановка соединения сервер-сервер с помощью мастера настройки.Установка клиента Kerio VPN , подключение по защищенному каналу, указав имя или адрес Kerio Winroute Firewall, а также логин и пароль пользователя.Экономия на приобретении дорогостоящих выделенных линий.
NAT-совместимое подключениеБеспрепятственное подключение сервер-сервер и клиент-сервер по VPN туннелям даже для сетей находящихся за NAT шлюзами.Kerio VPN использует стандартные методы шифрования для обеспечения многостороннего использования VPN: SSL для контроля канала (TCP) и технологию Blowfish для передачи данных (UDP).
Гибкая система безопасностиОграничение доступа к сети, используя политики трафика в Kerio Control.
Управление пользователями
Ограничение доступа по пользователямЗащита корпоративной сети от угроз имеет жизненно важное значение, но не гарантирует высокую производительность труда сотрудников. Каждая ссылка на YouTube или мелькающий баннер отвлекают ваших сотрудников от работы. Вам необходим простой и эффективный инструмент для минимизации этих отвлекающих факторов. Kerio Control позволяет вам разрешить, запретить и собирать статистику по конкретным видам трафика для каждого пользователя или группы пользователей.
Политики доступа для отдельных пользователей или групп
- Создание политик доступа для отдельных пользователей или групп
- Мониторинг и контроль доступа в Интернет с помощью Kerio StaR и Kerio Web Filter
- Установка квот на использование пропускной полосы и скорости канала
Контроль доступа для
- Пользователей
- Групп
- VPN клиентов
- Внутренних под-сетей
Управление правами доступа к
- Веб-страницам
- VPN подключениям
- P2P сетям
- Статистике
Статистика и отчеты использования сети
Это не просто инструмент ситемного администратора. Kerio Control позволяет получать детальную статистику по использованию интернет по заданным критериям для каждого пользователя сети. Для руководителя, эта информация имеет решающее значение в обеспечении того, чтобы время, проведенное в Интернете сотрудниками, было продуктивным. Отдельных пользователей и пользовательские группы можно отслеживать в реальном времени с помощью диаграмм трафика и отчетов созданных модулем Kerio StaR. Вашим сотрудникам достаточно один раз показать подобный отчет, чтобы они поняли, что больше ни один их просмотр ролика на youtube не останется незамеченным.
Диаграммы трафикаДиаграммы трафика в реальном времени отображают сетевую активность, определяемую правилами в оснастке "Управление полосой пропускания". Применяя эти правила для пользователей или групп пользователей, вы будете иметь мгновенный доступ к информации в реальном времени о назначении и количестве используемого пользовательского трафика. Это может помочь выявить необходимость обеспечить более высокую пропускную способность для критически важных протоколов. Также, Вы сможете определить неуместную или непродуктивную деятельностью сотрудников, что позволит ограничить полосу пропускания для отдельных пользователей или групп пользователей.
Kerio StaRKerio StaR предоставляет подробные отчеты о сетевом трафике через страницу в веб-браузере, помогая выявить злоупотребления Интернетом и тенденции использования сети. Вы сможете, например, увидеть 10 самых посещаемых веб-ресурсов, детальную статистику пользователя за месяц и многое другое.
Статистика и отчеты (StaR)
Всеобъемлющие ОтчетыУстановление случаев злоупотребления доступом в Интернет. Определение, каким образом пользователи проводят рабочее время в Сети. Возможные виды статистики
- По общему объему трафика
- Топ самых посещаемых веб-сайтов
- По категориям Kerio Web Filter
- Детализированный отчет по пользователю
Удобный и безопасный доступПросмотр графических отчетов по запросу через веб-браузер. Поддерживаемые браузеры:
- Internet Explorer
- Firefox
- Safari
Гибкая настройка отчетности
- Отправка периодических отчетов на ваш email.
- Создание отчета за указанный промежуток времени
- Просмотр статистики по заданным сетевым протоколам
- Архивация данных об активности пользователей для отчетности и аудита
- Легко воспринимаемые страницы отчетов, распечатанные на принтере
Блокировщик пиринговых сетей
Что такое P2P?Пиринговая сеть (Peer-to-peer или просто P2P) - это файлообменная сеть, вроде eDonkey, Limewire или BitTorrent. Сама по себе сеть и клиенты P2P не опасны, тем не менее количество кибер преступлений, использующих пиринговые сети растет в геометрической прогрессии. Использование P2P в целях проникновения в сеть считается на сегодняшний день одним из самых часто используемых способов взламывания защиты ЛВС.
Нейтрализация P2P уязвимостей
- Препятствие попаданию шпионских программ распространяемых через P2P сети.
- Недопущение утечки конфиденциальных данных через пиринговые сети.
- Снижение вероятности нарушений, связанных с использованием незаконного ПО, загруженного из P2P сетей.
Комплексная защита от P2P сетейКак и вирусы, пиринговые сети постоянно развиваются и видоизменяются в технологическом плане в целях преодоления средств защиты периметра ЛВС.
- Блокировка различных типов пиринговых сетей с помощью ограничения доступа по определенным портам,оценки нагрузки на сеть и анализе пользовательской активности.
- Препятствование новейшим техникам скрытого пиринга, как например туннелирование шифрованного P2P трафика через порт 80.
Kerio Web Filter
Kerio Web Filter предотвращает посещение пользователями вебсайтов, имеющих вредоносное содержание, включая вирусы, программы-шпионы, трояны, веб-страницы которые участвуют в фишинге или краже персональных данных.
Kerio Web Filter является опционально-активируемым модулем для Kerio Control, который разделяет веб-сайты на 53 различных категории по содержанию. Системные администраторы могут блокировать или контролировать доступ пользователей, на основе определенных категорий контента.
Что такое QoS (Quality of Service) и шейпер?
QoS инструменты Kerio Control позволяют легко определить приоритеты и контролировать сетевой трафик, чтобы гарантировать высокую скорость для наиболее важных типов трафика. Простые в использовании инструменты управления трафиком, DSCP правила, а также гибкость балансировки нагрузки встроенные в Kerio Control предоставляет вам возможность увеличивать скорость для важных служб, таких как конференции VoIP или видео и ограничивать пропускную способность каналов YouTube используемых бездельниками. Но это больше, чем управление пропускной полосой. Благодаря наличию средств переподключения при отказе, Kerio Control предоставляет полноценный сервис доступа в Интернет с истинным качеством обслуживания.
Распределение нагрузки на сеть
Использование пропускной способности канала на всю полнотуОдновременное использование нескольких подключений к Интернет. Обеспечение доступности и продуктивности для критически важных приложений.
Возможность балансировки нагрузки на несколько каналов, реализованная в Kerio Control распределяет избыточную нагрузку на другие каналы доступа в Интернет в целях поддержки доступности и производительности приложений.
Увеличение скорости скачивания и отдачиСовмещение нескольких подключений к Интернет для создания более быстрого единого канала
Улучшение качества видео связи VoIPРаспределение Интернет трафика между несколькими подключениями
Предотвращение остановки бизнес приложений по причине нарушения связи с ИнтернетПоддержка связи с Интернет при помощи функции автоматического перенаправления трафика на активный канал при отказе одного из интернет соединений.
Сетевой шейпер
Наверное, последнее что вы бы хотели видеть в сети это как скорости интернет соединения едва хватает для обеспечения VoIP связи, в то время как несколько сотрудников тратят рабочее время и пропускную полосу канала на просмотр видео-роликов в интернете. Или, может быть ваша компания хостит несколько серверов, а пользователи жалуются на скорость соединения каждый раз, когда ваши сотрудники запускают видео-конференции? Вам необходим инструмент управления приоритетом сетевых соединений, гарантирующий необходимую пропускную полосу канала важным службам с хирургической точностью.
Kerio Control предоставляет огромные возможности для контроля работы сети благодаря инструментам для управления полосой пропускания. Сначала выберите тип трафика. Затем укажите минимальную и максимальную скорость или процент от общей полосы пропускания для загрузки и скачивания данных. И наконец, выберите сетевые интерфейсы, на которых эти правила будут применяться.
VoIP трафик становится сегодня одним из приоритетных для большинства малых и средних компаний. Kerio Control поставляется с предварительно настроенным правилом для SIP трафика, обеспечивающим оптимальную полосу пропускания для этого типа соединений. Как и любое создаваемое правило оно активируется одним кликом мыши.
Легко резервируйте или ограничивайте пропускную способность для следующих категорий трафика:
- FTP
- Instant Messaging
- Multimedia
- P2P
- Remote Access
- SIP VoIP
- VPN
- Web Browsing
Больше чем просто шейперKerio Control также позволяет легко управлять трафиком, непривязанным к конкретному протоколу. Просто создайте правила формирования трафика для передачи больших объемов данных или пакетов, маркированных кодами QoS DSCP. Можно даже зарезервировать или запретить определенную ширину полосы пропускания для отдельных пользователей или групп пользователей. Затем просмотрите диаграммы трафика пользователей и групп для уточнения параметров распределения трафика.
Мониторинг сети
Когда сетевые проблемы мешают корпоративным коммуникациям, скорейшее решение этих проблем является крайне необходимым для бизнеса. Инструмент мониторинга состояния сети, встроенный в Kerio Control, предоставляет Вам информацию, необходимую для скорейшего решения сетевых проблем и выявления узких мест Вашей сети для избежания их в будущем. Используя высокоинформативные диаграммы трафика, которые отображают информацию о параметрах сети и состоянии системы в реальном времени, Вы сможете управлять этими параметрами при помощи пользовательских и групповых политик, ограничением полосы пропускания и конфигурирацией сетевых интерфейсов.
Мониторинг состояния системыИнструмент мониторинга состояния системы отображает в режиме реального времени загрузку процессора, оперативной памяти и пространство на жестком диске в 2-х часовых и дневных промежутках. Эти графики дают четкое представление о статистике использования аппаратных средств. Анализируя эти данные Вы можете улучшать политику QoS для Вашей сети и расследовать причины сетевых проблем.
Диаграммы трафикаИспользуя наш гибкий "шейпер", доступный в оснастке "управление полосой пропускания", Вы сможете создавать правила для любого протокола или DSCP значения. После этого, Вы сможете контролировать трафик для каждого созданного правила при помощи диграмм трафика. Отображаемые в 2-х часовых и 1-о дневных промежутках отчеты в режиме реального времени, позволяют визуализировать действие созданных Вами правил по управлению полосой пропускания.
Мониторинг пользователей и Kerio StaRВам нужно быстро узнать, кто злоупотребляет доступом в интернет? Без проблем. В Kerio Control также можно просматривать статистику использования сети по отдельным пользователям в режиме реального времени.
Подключение к Интернет по резервному каналу
Автоматическое переподключение при отказе основного канала
Позволяет поддерживать соединение с Интернет для критически важных приложений.
- Возможность использования любого сетевого интерфейса, в т.ч. подключения dial-up в качестве резервного канала
- Политики для трафика продолжают применяться при использовании резервного канала доступа в Интернет
Поддержка связи с Интернет через переподключение типа "активный канал / пассивный канал" или "активный канал /активный канал".
Другие средства управления пропускной способностью канала
- Совмещение нескольких Интернет каналов с помощью распределения нагрузки на каналы.
- Контроль использования пропускной способности канала посредством ограничителя скорости.
Гибкость развертывания и администрирования
Администрирование через веб-консольПолнофункциональная веб-консоль администратора позволяет администрировать Kerio Control, вне зависимости от того на какой системе он развернут. Веб-интерфейс администрирования - удобный инструмент, который позволяет вам быстро менять настройки безопасности, управлять профилями пользователей, просматривать статистику и т.д. Благодаря веб-консоли, вы можете администрировать Kerio Control через веб-браузер практически с любого настольного компьютера. В последнюю версию консоли добавлена поддержка iPad - теперь, администрируя наш продукт, вы будете выглядеть не только умным но и модным.
Поддержка IPv4 и IPv6Переход с IPv4 на IPv6 неизбежен. Переход на новую версию IP не произойдет за один день, но тенденция очевидна: начиная с 2009 года количество IPv6 адресов выросло на 500%, и дальше использование данного протокола будет только расти. Перед организациями встала необходимость тщательного планирования перехода на новый протокол и тестирования IPv6, чтобы быть готовыми к тому моменту, когда интернет-провайдеры начнут распределять новые адреса. Kerio Control позволит вам быть готовым к переменам: кроме полной поддержки IPv4 в новую версию продукта включена поддержка серверов с IPv6 адресацией.
Kerio Control Software Appliance
Программный комплекс(Software Appliance) Kerio Control - самый быстрый и простой способ установки Kerio Control. Программный комплекс Kerio Control представляет собой легко развертываемый ISO-образ в состав которого входят UTM-сервер Kerio Control и оптимизированная ОС семейства Linux.
Данный продукт позволяет системным интеграторам продавать клиенту готовое решение, установив Программный комплекс Kerio Control на свое оборудование. Kerio Control Software Appliance избавлен от сложностей при установке и потенциальных уязвимостей, которые возникают при использовании дополнительный ОС.
Преимущества Software Appliance
- Возможность выбора наиболее удобной вам аппаратной платформы
- Удобство масштабирования/апгрейда оборудования по мере роста вашей сети
- Низкие системные требования и высокая производительность интегрированной ОС
- Никаких уязвимых системных служб
- Никаких программных конфликтов
Виртуальный модуль Kerio Controlдля VMware и Parallels
Виртуальный модуль (Virtual Appliance) Kerio Control - решение похожее на Программный комплекс(Software Appliance) Kerio Control. Программный комплекс(Software Appliance) Kerio Control - версия продукта, которая включает интегрированную и оптимизированную ОС семейства Linux. Виртуальный модуль Kerio Contol также содержит в своем составе оптимизированную ОС, кроме этого он специально настроен для быстрого развертывания в виртуальных средах VMware и Parallels.
Виртуальный модуль Kerio Control - единственное UTM-решение оптимизированное и настроенное как для гипервизоров VMware, так и для гипервизоров Parallels. Это делает Kerio Control самым гибким и универсальным продуктом среди UTM систем.
Преимущества виртуального модуля.
- Просто установить в существующую ИТ-инфраструктуру, без необходимости покупки нового оборудования
- Легко установить несколько UTM-серверов и критичных приложений на одном физическом сервере.
- При необходимости, к вашей виртуальной машине можно легко подключит дополнительное оборудование и другие ресурсы.
- Оптимизированная ОС дает наилучшую производительность при минимальной нагрузке на ситему
- Никаких уязвимых системных служб
- Никаких программных конфликтов
la.by
Зойкин Максим Валерьевич - Настройка Kerio Control
Kerio Control относится к той категории программного обеспечения, в которых широкий спектр функциональных возможностей сочетается с простотой внедрения и эксплуатации. Сегодня мы разберем, как с помощью этой программы можно организовать групповую работу сотрудников в Интернете, а также надежно защитить локальную сеть от внешних угроз.Kerio Control относится к той категории продуктов, в которых широкий спектр функциональных возможностей сочетается с простотой внедрения и эксплуатации. Сегодня мы разберем, как с помощью этой программы можно организовать групповую работу сотрудников в Интернете, а также надежно защитить локальную сеть от внешних угроз.
Внедрение продукта Kerio Control начинается с его инсталляции на компьютере, играющем роль интернет-шлюза. Эта процедура ничем не отличается от инсталляции любого другого ПО, а поэтому останавливаться на ней мы не будем. Отметим только, что в ходе нее будут отключены некоторые службы Windows, препятствующие работе программы. После завершения установки можно переходить к настройке системы. Это можно сделать как локально, прямо на интернет-шлюзе, так и удаленно, с любого компьютера, подключенного к корпоративной сети.
В первую очередь запускаем через стандартное меню "Пуск" консоль управления. С ее помощью и осуществляется настройка рассматриваемого продукта. Для удобства можно создать соединение, которое в будущем позволит быстро подключаться к Kerio Control. Для этого дважды кликните на пункт "Новое соединение", укажите в открывшемся окне продукт (Kerio Control), хост, на котором он установлен, а также имя пользователя, после чего нажмите на кнопку "Сохранить как" и введите имя подключения. После этого можно установить соединение с Kerio Control. Для этого дважды кликните на созданном подключении и введите свой пароль.
Базовая настройка Kerio ControlВ принципе, все параметры работы Kerio Control можно настраивать вручную. Однако для первоначального внедрения гораздо удобнее воспользоваться специальным мастером, который запускается автоматически. На первом его шаге предлагается ознакомиться с основной информацией о системе. Также здесь есть напоминание о том, что компьютер, на котором запущен Kerio Control, должен быть подключен к локальной сети и иметь работающее подключение к Интернету.
Второй этап – выбор типа подключения к Интернету. Всего здесь доступно четыре варианта, из которых необходимо выбрать наиболее подходящий для конкретной локальной сети. Постоянный доступ – интернет-шлюз имеет постоянное подключение к Интернету. Дозвон по запросу - Kerio Control будет самостоятельно устанавливать подключение к Интернету по мере необходимости (при наличии интерфейса RAS).Переподключение при отказе – при разрыве связи с Интернетом Kerio Control будет автоматически переключаться на другой канал (нужно два подключения к Интернету). Распределение нагрузки на каналы - Kerio Control будет одновременно использовать несколько каналов связи, распределяя нагрузку между ними (необходимо два или более подключений к Интернету).
На третьем шаге нужно указать сетевые интерфейс или интерфейсы, подключенные к Интернету. Программа сама обнаруживает и выводит все доступные интерфейсы в виде списка. Так что администратору остается только выбрать подходящий вариант. Стоит отметить, что в первых двух типах подключений нужно устанавливать только один интерфейс, а в третьем – два. Настройка четвертого варианта несколько отличается от остальных. В нем предусмотрена возможность добавления любого количества сетевых интерфейсов, для каждого из которых необходимо установить максимально возможную нагрузку.
Четвертый этап заключается в выборе сетевых служб, которые будут доступны пользователям. В принципе, можно выбрать вариант "Без ограничений". Однако в большинстве случаев это будет не совсем разумно. Лучше отметить "галочками" те службы, которые действительно нужны: HTTP и HTTPS для просмотра сайтов, POP3, SMTP и IMAP для работы с почтой и т.п.
Следующий шаг – настройка правил для VPN-подключений. Для этого используется всего два чекбокса. Первый определяет, какие клиенты будут использовать пользователи для подключения к серверу. Если "родные", то есть выпущенные Kerio, то чекбокс должен быть активирован. В противном случае, например, при использовании встроенных в Windows средств, его нужно отключить. Второй чекбокс определяет возможность использования функции Kerio Clientless SSL VPN (управление файлами, папками скачивание и загрузка через веб-браузер).
Шестой этап заключается в создании правил для служб, которые работают в локальной сети, но должны быть доступны и из Интернета. Если на предыдущем шаге вы включили Kerio VPN Server или технологию Kerio Clientless SSL VPN, то все необходимое для них будет настроено автоматически. Если же вам нужно обеспечить доступность других служб (корпоративного почтового сервера, FTP-сервера и пр.), то для каждой из них нажмите на кнопку "Добавить", выберите название сервиса (будут открываться стандартные для выбранного сервиса порты) и при необходимости укажите IP-адрес.
Наконец, последний экран мастера настройки представляет собой предупреждение перед началом процесса генерации правил. Просто прочитайте его и нажмите на кнопку "Завершить". Естественно, в будущем все созданные правила и настройки можно менять. Причем можно как повторно запустить описанный мастер, так и отредактировать параметры вручную.
В принципе, после завершения работы мастера Kerio Control уже находится в рабочем состоянии. Однако имеет смысл немного подкорректировать некоторые параметры. В частности, можно установить ограничения на использование полосы пропускания. Больше всего она "забивается" при передаче больших, объемных файлов. Поэтому можно ограничить скорость загрузки и/или выгрузки таких объектов. Для этого в разделе "Конфигурация" нужно открыть раздел "Ограничение полосы пропускания", включить фильтрацию и ввести доступную для объемных файлов полосу пропускания. При необходимости можно сделать ограничение более гибким. Для этого необходимо нажать на кнопку "Дополнительно" и указать в открывшемся окне службы, адреса, а также временные интервалы действия фильтров. Кроме того, тут же можно установить размер файлов, которые считаются объемными.
Пользователи и группыПосле первоначальной настройки системы можно приступать к внесению в нее пользователей. Однако удобнее сначала разбить их на группы. В этом случае в будущем ими будет легче управлять. Для создания новой группы перейдите в раздел "Пользователи и группы->Группы" и нажмите на кнопку "Добавить". При этом будет открыт специальный мастер, состоящий из трех шагов. На первом нужно ввести имя и описание группы. На втором можно сразу добавить в нее пользователей, если, конечно, они уже созданы. На третьем этапе необходимо определить права группы: доступ к администрированию системы, возможность отключения различных правил, разрешение на использование VPN, просмотр статистики и пр.
После создания групп можно переходить к добавлению пользователей. Проще всего это сделать, если в корпоративной сети развернут домен. В этом случае достаточно перейти в раздел "Пользователи и группы->Пользователи", открыть вкладку Active Directory, включить чекбокс "Использовать базу данных пользователей домена" и ввести логин и пароль учетной записи, имеющей право на доступ к этой базе. При этом Kerio Control будет использовать учетные записи домена, что, конечно же, очень удобно.
В противном случае нужно будет ввести пользователей вручную. Для этого предусмотрена первая вкладка рассматриваемого раздела. Создание учетной записи состоит из трех шагов. На первом необходимо задать логин, имя, описание, адрес электронной почты, а также параметры аутентификации: логин и пароль или данные из Active Directory. На втором шаге можно добавить пользователя в одну или несколько групп. На третьем этапе есть возможность автоматической регистрации учетной записи для доступа к межсетевому экрану и определенным IP-адресам.
Настраиваем систему безопасностиВ Kerio Control реализованы широкие возможности по обеспечению безопасности корпоративной сети. В принципе, защищаться от внешних угроз мы уже начали, когда настроили работу файрвола. Кроме того, в рассматриваемом продукте реализована система предотвращения вторжений. Она по умолчанию включена и настроена на оптимальную работу. Так что ее можно не трогать.
Следующий шаг – антивирус. Тут стоит отметить, что он есть не во всех версиях программы. Для использования защиты от вредоносного ПО Kerio Control должен быть приобретен со встроенным антивирусом, либо на интернет-шлюзе должен быть установлен внешний модуль антивируса. Для включения антивирусной защиты необходимо открыть раздел "Конфигурация->Фильтрация содержимого->Антивирус". В нем нужно активировать используемый модуль и отметить с помощью чекбоксов проверяемые протоколы (рекомендуется включить все). Если у вас используется встроенный антивирус, то необходимо включить обновление антивирусных баз и установить интервал выполнения этой процедуры.
Далее необходимо настроить систему фильтрации HTTP-трафика. Сделать это можно в разделе "Конфигурация->Фильтрация содержимого->Политика HTTP". Самым простым вариантом фильтрации является безусловная блокировка сайтов, на которых встречаются слова из "черного" списка. Для его включения перейдите на вкладку "Запрещенные слова" и заполните список выражений. Однако в Kerio Control есть и более гибкая и надежная система фильтрации. Она основана на правилах, в которых описываются условия блокировки доступа пользователей к тем или иным сайтам.
Для создания нового правила перейдите на вкладку "Правила URL", кликните правой кнопкой мыши на поле и выберите в контекстном меню пункт "Добавить". Окно добавления правила состоит из трех вкладок. На первой задаются условия, при которых оно будет срабатывать. Сначала нужно выбрать, на кого распространяется правило: на всех пользователей или только на конкретные учетные записи. После этого необходимо задать критерий соответствия URL запрашиваемого сайта. Для этого может использоваться строка, которая входит в адрес, группа адресов или рейтинг веб-проекта в системе Kerio Web Filter (по сути, категория, к которой относится сайт). В завершении стоит указать реакцию системы на выполнение условий – разрешить или запретить доступ к сайту.
На второй вкладке можно указать интервал, в течение которого будет действовать правило (по умолчанию всегда), а также группу IP-адресов, на которые оно распространяется (по умолчанию на все). Для этого необходимо просто выбрать соответствующие пункты в выпадающих списках предварительно заданных значений. Если временные интервалы и группы IP-адресов еще не задавались, то с помощью кнопок "Правка" можно открыть нужный редактор и добавить их. Также на данной вкладке можно задать действие программы в случае блокировки сайта. Это можно быть выдача страницы с заданным текстом отказа, отображение пустой страницы или же перенаправление пользователя на заданный адрес (например, на корпоративный сайт).
В том случае, если в корпоративной сети используются беспроводные технологии, имеет смысл включить фильтр по MAC-адресу. Это позволит существенно снизить риск несанкционированного подключения различных устройств. Для реализации данной задачи откройте раздел "Конфигурация->Политика трафика->Параметры безопасности". В нем активируйте чекбокс "Фильтр MAC-адресов включен", затем выберите сетевой интерфейс, на который он будет распространяться, переключите список MAC-адресов в режим "Разрешить доступ к сети только перечисленным компьютерам" и заполните его, внеся данные беспроводных устройств, принадлежащих компании.