Контроль интернет-трафика Kerio Control . Что такое kerio control
Kerio control что это такое, программа керио
Сначала, пожалуй, надо объяснить, почему мой выбор остановился именно на Kerio Winroute Firewall. В свое время я долго блуждал по Internet в поисках файервола, который работал бы на двух сетевых подключениях и позволял контролировать соединения между внешней и внутренней сетью. И какова же была моя радость, когда после скачивания и проб целых комплектов отдельно взятых файерволов, прокси-серверов и шлюзов я нашел все это в одном, так сказать, флаконе. Конечно, встроенный в Kerio Winroute Firewall прокси-сервер существенно уступает такой вещи, как Squid, но вот шлюз и сам файервол хорошо реализованы, и, что самое главное, просты в настройке. Что касается встроенного антивируса, то его я, честно говоря, не использую.
Итак, перейдем к процессу установки Kerio Winroute Firewall (скачать демо-версию или купить этот продукт можно тут). Хочу сразу предупредить, что в этой главе и далее мною рассматривается версия 6.0.8, с нее же я буду делать и скриншоты. После запуска установочного файла и распаковки временных файлов появится приглашение мастера установки.
Следом появится окно с лицензионным приглашением, с которым прийдется согласиться.
Баги в продуктах Kerio Control могут привести к полной компрометации организации
Теперь надо будет указать путь для установки.
После указания пути необходимо выбрать тип установки. Укажите выборочную установку (Custom).
Здесь можно исключить из установки поддержку VPN (если вы ее не используете), а также файлы помощи (если, конечно, вы не эксперт в английском и чешском языках).
Затем надо ввести пароль администратора KWF (только самого KWF, не компьютера или домена).
Далее мастер установки спросит, разрешить ли удаленное управление KWF и с какого IP-адреса. Если вы планируете использовать удаленное управление, установите галочку и укажите IP-адрес сервера, с которого планируете это управление производить.
После того, как все необходимые для установки данные указаны, произойдет процесс копирования файлов, а затем появится запрос разрешения на перезагрузку компьютера, которую необходимо выполнить.
По окончании перезагрузки, после ввода вами имени пользователя и пароля для входа в систему, выскочит окно с вопросом «Do you want to start Administration console for Kerio Winroute Firewall now?» («Хотите ли вы запустить консоль администрирования Kerio Winroute Firewall сейчас?»). Стоит ответить на него утвердительно, и сразу перейти к настройке файервола.
Но перед настройкой прийдется ввести пароль администратора файервола.
При первом запуске консоли администрирования сработает мастер сетевых правил. Он поможет вам за 7 шагов произвести первичное конфигурирование Kerio Winroute Firewall.
На втором шаге вам надо указать тип вашего подключения к Internet.
На третьем шаге надо указать, какое именно устройство используется для соединения с Internet. В моем случае это будет внешняя сетевая карта. Если используете, к примеру, виртуальное подключение к частной сети, выберите его.
Четвертый шаг даст вам возможность указать, какие именно подключения между вашей внутренней сетью и Internet вы хотите оставить доступными пользователям. По умолчанию доступны любые подключения к любому порту внешних хостов.
На пятом шаге надо указать, какие серверы служб, имеющиеся в вашей внутренней сети, нуждаются в доступе из вне (из Inetrnet), и какие именно службы, запущенные на них, должны быть доступны. Если не знаете — пропускайте, это можно настроить и потом, вручную.
На этом первичное конфигурирование файервола закончится. А куда делся шестой шаг — не спрашивайте, сам пока с ним не встречался. 😉
[Предыдущая глава][Следующая глава][Скачать статью полностью (2 Mb)][Вернутся к оглавлению]
© Drakon, 2005-2006
Сайт управляется системой uCoz
steptosleep.ru
Новая версия Kerio Control 8.5 улучшает безопасность сети и удобство для пользователей | Обзоры
Максим Афанасьев
В середине февраля компания Kerio Technologies выпустила обновление своего флагманского продукта Kerio Control. В новой версии Kerio Control 8.5 предусмотрена повышенная безопасность пользователей за счет интегрирования двухшаговой проверки, а также многочисленные улучшения для удобства пользования продуктом. Kerio Control 8.5 снабжена новой системой переадресации Service Discovery, которая делает процесс настройки сети гибким и простым. Теперь удаленные пользователи могут просматривать, обнаруживать и соединяться с устройствами, такими как принтеры, файловые серверы и сканеры в различных сетях или Kerio VPN-туннелях. Кроме того, в новой версии Kerio упростила процесс установки и обновления такого важного компонента системы, как клиент Kerio VPN. При помощи нового установочного пакета возможно развертывание его через инструменты сторонних производителей, таких как Apple Remote Desktop или FileWave. Новая версия Kerio Control получила расширенный набор системных уведомлений, что позволит более оперативно информировать системных администраторов о возможных ошибках и проблемах. Но обо всем по порядку.
Напомним, что Kerio Control — это комплексное решение в области безопасности, объединяющее несколько функций, в том числе межсетевой экран (файервол) и маршрутизатор, систему обнаружения и предотвращения вторжений (IPS), антивирус, VPN и фильтр содержимого. Эти широкие возможности и непревзойденная гибкость в развертывании делают Kerio Control идеальным выбором для малых и средних предприятий. Поскольку два года назад мы уже рассказывали об этом продукте в статье «Kerio Control — комплексная безопасность сети», в этом обзоре мы основное внимание уделим нововведениям, которые были внесены в этот продукт начиная с версии Kerio Control 8.5.
Особо отметим, что компания Kerio уже давно встала на путь максимальной интеграции с виртуальными средами, поэтому новый продукт Kerio Control 8.5 поставляется как отдельная среда: Software Appliance, VMwareVirtual Appliance (OVF/VMX) и Hyper-V Virtual Appliance. Для написания данного обзора мы использовали образ VMware Virtual Appliance в контейнере OVF для системы виртуализации VMware ESXi. Развертывание данного образа не представляется сложной задачей: самое главное — получить ссылку на OVF-пакет, зарегистрировавшись на сайте Kerio. Для ознакомления администраторам предоставляется 30-дневная версия продукта без каких-либо ограничений функционала. А теперь вернемся к функциональным возможностям новой версии Kerio Control 8.5.
Двухшаговая авторизация
«Мы продолжаем улучшать безопасность, не жертвуя при этом простотой, —Мирек Крен, заявил главный операционный директор и главный управляющий компании Kerio Technologies. —В новом релизе добавлены важные и эффективные функции безопасности, которые можно легко внедрить в любую сеть без значительного нарушения работы предприятия».
Итак, компания Kerio интегрировала в новый продукт двухшаговую авторизацию, которая позволит пользователям повысить безопасность данных, а администраторов избавит от дополнительных проблем, связанных с безопасностью аутентификации пользователей. Kerio Control 8.5 получила весьма востребованную в мире двухшаговую идентификацию пользователей, которая основана на запросе одноразового кода доступа с ограниченным сроком действия (TOTP). Этот код не заменяет основную авторизацию пользователей в системе Kerio Control, а лишь дополняет ее, поэтому владельцы предприятия могут быть уверены, что сетевые ресурсы останутся в безопасности, даже если пароли окажутся в чужих руках.
Рассмотрим внедренную систему на типовом примере. Для активации данной функции администратор должен установить соответствующую галочку в меню «Домены и аутентификация». При этом, отключив возможность удаленной настройки, администратор запретит пользователям настраивать двухшаговую проверку извне, то есть с внешнего интерфейса.
После активации двухшаговой проверки пользователя при следующем выходе в Интернет либо просмотре статистики пользователю будет выдано информационное окно и ссылка на настройку двухшаговой авторизации.
Если пользователь при отключенной функции удаленной настройки зайдет на межсетевой экран с внешней сети, ему будет показано несколько иное информационное окно, не предусматривающее возможности перехода на настройку двухшаговой проверки.
После того как пользователь попадает на экран настройки этой функции, он увидит соответствующий QR-код и поле, куда необходимо ввести код, «зашифрованный» в этом QR-коде. Стоит отметить, что цифробуквенный код под QR-кодом — это идентификатор, и на него не стоит обращать внимания. Чтобы прочесть QR-код, необходимо воспользоваться одним из соответствующих приложений, описанных на странице описания данной функции. В качестве эксперимента мы использовали приложение Google Authenticator для Android, которое взаимосвязано со сканером штрихкодов (его также необходимо установить).
После того как QR-код прочтен с экрана компьютера, Google Authenticator автоматически сгенерирует соответствующий код. По сути, QR-код содержит в себе уникальную ссылку на соответствующий код.
Затем полученный в этом приложении код необходимо ввести в соответствующее поле на странице авторизации Kerio Control. Нельзя не отметить, что код постоянно меняется в течение достаточно короткого времени, поэтому запоминать его не нужно. Все очень просто и быстро. Проблемы могут возникнуть только при работе с приложением из под Windows, однако программа WinAuth, которую рекомендует Kerio, отлично справляется и просто со ссылкой на изображение.
Для администраторов доступна функция сброса двухшаговой проверки для всех пользователей сразу или для каждого пользователя по отдельности. В этом случае ему снова придется пройти всю вышеописанную процедуру. Если сброса не произошло, пользователь при следующем запросе кода лишь открывает соответствующее приложение и вводит полученный код. Сканировать QR-код уже нет необходимости.
В целом двухшаговая проверка пользователя — это еще одна попытка оградить пользователя от различных злоумышленников, ведь все люди разные, и многие стараются сохранять пароли, не заботясь о безопасности. В случае использования данной функции администратор может быть уверен, что даже кража пароля пользователя не даст возможности получить доступ к внутренней корпоративной сети или к критически важным данным компании.
Система переадресации Service Discovery
В новой версии Kerio Control 8.5 появилась система переадресации Service Discovery, которая делает процесс настройки сети гибким и простым. С ее помощью удаленные пользователи могут просматривать, обнаруживать и соединяться с устройствами, такими как принтеры, файловые серверы и сканеры в различных сетях или Kerio VPN-туннелях. Функция Service Discovery поддерживает такие популярные протоколы, как mDNS (Apple devices), NetBIOS (Microsoft network) и SSDP (UPnP). Настройка этой функции очень проста, достаточно выбрать необходимые сети, между которыми будет осуществляться проброс мультикаста, и активировать эту функцию. Для контроля работы Service Discovery администратору доступна дополнительная запись в лог-файл. Следует отметить, что Service Discovery доступна только для Kerio VPN, а маршрутизация в рамках IPsec VPN не поддерживается, точно так же, как и между внешней и внутренней сетью. Это объясняется тем, что данная функция ориентирована на создание полноценной внутренней сети предприятия, распределенной по земному шару.
Kerio VPN
Нельзя не отметить, что компания Kerio постоянно стремится соответствовать новым стандартам, поэтому для такого важного компонента системы, как Kerio VPN, вместе с обновлением 8.5 вышли и новые клиенты под Windows, Mac и Linux. Новый установочный пакет Kerio VPN для компьютеров под управлением Mac OS X позволяет развертывание через инструменты сторонних производителей, таких как Apple Remote Desktop или FileWave.
Смена MAC-адреса
Нельзя не отметить маленькую, но достаточно важную для некоторых системных администраторов функцию. Теперь в свойствах Ethernet-адаптеров в панели администрирования можно изменить MAC-адрес соответствующего адаптера. Этот функционал позволяет оперативно поменять MAC-адрес, если, например, провайдер внешней сети имеет жесткую привязку по MAC.
Кроме того, в этой оснастке администратор может задать MTU для адаптера, что также иногда необходимо для специфических сетей.
Обновленная функция уведомлений
При помощи расширенного набора уведомлений по электронной почте в Kerio Control 8.5 администраторы будут информированы о важных сетевых событиях и состоянии системы. Нельзя не отметить, что для этой функции появилась отдельная оснастка, которая позволяет очень подробно выставить параметры необходимых оповещений.
Так, например, можно настроить отсылку оповещений не только администраторам, но и обычным пользователям. Возможно, эта функция будет очень удобна для мониторинга использования корпоративной сети руководством или аналитиками, не имеющими администраторских прав. Также стоит отметить возможность поиска события в любом из журналов по регулярному выражению или паттерну, что позволит оперативно выявлять возможные проблемы, которые трудно диагностировать в большой сети. Поддерживается отправка сообщений не только конкретным пользователям, но и на отдельные почтовые ящики, которые могут быть никак не привязаны к корпоративным пользователям. Также реализована функция задержки отправки сообщений и установка расписания. В целом, данное нововведение должно положительно сказаться на оперативности решения различных проблем.
Выводы
Компания Kerio, как всегда, порадовала администраторов новыми возможностями в своем флагманском продукте Kerio Control 8.5. Отметим, что данный продукт — простое в применении комплексное решение для управления защитой от угроз корпоративной сети. Возможности Kerio Control 8.5 весьма широки и позволяют использовать его как в небольших учреждениях, так и в крупных и средних компаниях с распределенной сетью офисов по всему миру. Администраторы всего мира ценят данный продукт за интуитивно-понятный интерфейс управления и надежность. В Kerio Control 8.5 реализована одна из лучших систем фильтрации интернет-содержимого, которая позволяет выборочно блокировать, разрешить или протоколировать доступ к 141 категории веб-контента при помощи фильтра Kerio Control Web Filter. Таким образом, администратор может быстро и оперативно защитить пользователей от посещения вредоносных сайтов, которые, как известно, содержат вирусы и шпионские программы, занимаются фишингом или кражей личных данных.
compress.ru
| С 3 до 4.x | 1998 | Winroute Pro версия 3 и 4, работающая на Windows 98 и Windows NT. |
| 4.x | 1 Февраля 2002 | Компания Kerio Technologies была сформирована из экс-сотрудников компании Tiny Software.[1] |
| 5.0 | 21 Февраля 2003 | Первая версия продукта под брендом Kerio. Поддержка DOS-версий Windows была остановлена. |
| 5.1 | 25 августа 2003 | Усовершенствован инструмент мониторинга пользовательской активности, поддержка функции переподключения при отказе, протокол инспектор для SIP - прозрачная работа SIP через NAT, расширенные опции протоколирования - поддержка утилит log rotation и syslog, настраиваемая DNS переадресация, настройка страниц переадресации для сайтов запрещенных правилами HTTP, определение использования P2P сетей пользователями, функция автоматического обновления, возможность использования DNS-имен в Политиках Трафика, поддержка NTLM аутентификации через веб-браузер Mozilla (Mozilla 1.4 и выше). |
| 6.0 | 7 Июля 2004 | Встроенный VPN, работающий в режимах клиент-сервер и сервер-сервер, система предупреждений и напоминаний, антивирусная проверка электронной почты (протоколов POP3 и SMTP), усовершенствованная система мониторинга пользовательской активности в реальном времени и статистики использования трафика, блокировщик пиринговых(P2P) сетей, поддержка антивируса VisNetic - написан плагин для интеграции. |
| 6.1 | 23 июня 2005 | Прозрачная аутентификация пользователей посредством Active Directory, поддержка нескольких доменов Active Directory, реализация Kerio Clientless SSL-VPN(безклиентское приложение VPN, доступ к открытым ресурсам локальной сети через любой веб-браузер, в том числе и с мобильного устройства), настраиваемые маршрутизация VPN туннелей |
| 6.2 | 3 марта 2006 | Контроль пропускной полосы канала, двойная антивирусная проверка, регистрация продукта через консоль администрирования, возможность установки VPN клиента на 64-битные платформы Windows |
| 6.3 | 29 Марта 2007 | Модуль статистики и отчетности (Kerio StaR), поддержка 64-битных ОС-ем, поддержка Windows Vista, улучшенный блокировщик P2P сетей. |
| 6.4 | 17 сентября 2007 | Улучшенный модуль отчетности пользования интернет, распечатываемые отчеты, улучшенная производительность, поддержка технологии Динамический DNS |
| 6.5 | 9 сентября 2008 | Балансировка нагрузки на интернет-каналы, добавлены локальные версии на 11 яыках. |
| 6.6 | 31 марта 2009 | VPN клиент для Mac и Linux, VPN клиент теперь работает как служба, улучшен просмотр сетевого окружения. |
dic.academic.ru
Kerio Control | LA.BY
Комплексное решение по обеспечению безопасности и мониторингу сети
Обзор программы
Единая защита
Защита серверов от несанкционированного доступа
Сигнатурный анализ пакетов передачи данныхВ основе этой технологии лежит интеграция в Kerio Control сетевого анализатора, основанного на Snort. Snort является бесплатной сетевой системой обнаружения и предотвращения вторжений (IDS / IPS), которая прозрачно сканирует весь сетевой трафик и обеспечивает работу установленных правил безопасности.
База данных правил безопасностиВ Kerio Control интегрирован набор правил безопасности поддерживаемый сообществом проекта под названием "Emerging Threats"("Новые угрозы"). Каждое правило имеет цифровую подпись для обеспечения подлинности обновлений, предотвращающая любого типа вмешательства. Правила основаны на многолетнем совместном опыте экспертов в области сетевой безопасности и постоянно совершенствуются.
Защита серверовKerio Control выполняет роль сетевой системы обнаружения и предотвращения атак, тем самым защищая серверы расположенные за межсетевым экраном.IPS защищает серверы от уязвимостей в установленном программном обеспечении, которые могут быть использованы для хакерских атак.
Список заблокированных IP-адресов (черный список)Kerio Control ведет базу данных IP адресов, которым отказано в доступе к любым ресурсам корпоративной сети. Это IP адреса c использованием которых неоднократно производились различные типы атак. База данных черных IP адресов хранится непосредственно на сервере и постоянно автоматически обновляется.
Управление правилами безопасности
- Автоматическое обновление Система IPS проверяет наличие обновлений пакета правил с периодичностью в один час. Если обновление будет доступно, оно автоматически будет установлено.
- Исключения Если системный администратор определит, что обнаруженная системой IPS атака не несет в себе опасности, он может добавить ее в исключения(белый список). Это поможет исключить так называемые ложные срабатывания (false positives).
Журнал безопасностиIPS система регистрирует все события о блокировании трафика в журнале безопасности (security log). Каждая запись содержит детальное описание события, включающее ID правила безопасности. Эта информация может быть использована для дальнейшего изучения инцидента или для добавления нового исключения.
Сертификация ICSA
ICSA Labs признанная независимая организация, устанавливающая стандарт для продуктов защиты электронных данных. В рамках сертификация межсетевых экранов от ICSA Labs тестируются возможности программ и проводится постоянная проверка на устойчивость к новым уязвимостям.
Сертификация по ICSA Labs укрепляет доверие и отвечает всем отечественным и зарубежным требованиям процесса тестирования.Критерии, которым должны отвечать испытания программной продукции представляемой вендорами ПО, являются промышленным стандартом. Этот стандарт создает консорциум компаний-разработчиков, конечных пользователей и сотрудников ICSA Labs.
Брандмауэр и маршрутизатор
Файрвол уровня приложенийСоздание политик контроля входящего и исходящего трафикаЗащита серверов без потребности создания ДМЗ (демилитаризованной зоны) посредством легко настраиваемого NATСтатическое отслеживание пакетов (stateful packet inspection) по указанным портамУчет входящего и исходящего трафика для последующего аудита и отладки системы, а также в целях безопасностиОграничение скачивания файлов по типу и запрещение ftp команд
Интегрированный прокси-серверМониторинг и протоколирование всей пользовательской деятельности в ИнтернетОграничение доступа к веб-узлам по URL, запрещенным словам,веб-объектам , а также по категориям веб-контентаУскорение доступа к страницам Интернет за счет кэширования веб-страницУпрощенное сетевое администрирование с помощью прозрачного прокси
МаршрутизацияУправление и общий доступ к Интернет и внутренним ресурсам с помощью DHCPОбеспечение доступа трафика VoIP и других мультимедиа служб к ИнтернетПростая настройка IPsec, PPTP или RRAS подключений посредством NATБыстрая интеграция в существующую сетевую инфраструктуру, используя переадресацию DNS запросов
Интегрированный антивирусный сканер от Sophos
Используйте интегрированную антивирусную защиту от Sophos для
- Мгновенной защиты
- Усовершенствованной технологии сканирования
- Простого обслуживания
Защита электронной почты (SMTP и POP3)Проверка входящих и исходящих почтовых сообщений, а также их вложений. Найденные во вложениях вирусы удаляются, в сообщение добавляется информационная пометка о данном действии.
Web (HTTP)Сканирование веб-страниц, скачиваемых по HTTP объектов и прочий трафик HTTP на наличие вирусов и других зловредов. Мониторинг трафика, передаваемого по защищенному каналу Kerio VPN.
Передача файлов (FTP)Проверка отдач и закачек файлов по протоколу FTP.
Фильтр веб-контента
Kerio Web FilterKerio Web Filter предотвращает посещение пользователями вебсайтов, имеющих вредоносное содержание, включая вирусы, программы-шпионы, трояны, веб-страницы которые участвуют в фишинге или краже персональных данных.
Kerio Web Filter является опционально-активируемым модулем для Kerio Control, который разделяет веб-сайты на 53 различных категории по содержанию. Системные администраторы могут блокировать или контролировать доступ пользователей, на основе определенных категорий контента.
Зачем нужна фильтрация веб-контента?
Kerio Web FilterИнтегрированный антивирус блокирует только известные вирусы. Kerio Web Filter блокирует доступ к веб-ресурсам, которые содержат вредоносное ПО, препятствуя загрузке неопознанных вирусов или других зловредов.
Этот компонент служит дополнением к антивирусному сканированию интернет-шлюза, который блокирует известные вирусы и другое вредоносное ПО, проходящее через межсетевой экран Kerio.
Защита от нежелательных ресурсовKerio Web Filter помогает недопустить просмотр веб-содержимого, которое считается нежелательным или незаконным.
Инструмент контроляКонтролируйте или ограничивайте доступ:
- Групповыми политиками
- По времени суток
- По статусу пользователя
- По местонахождению пользователя
Данные о статистике использования интернета по веб-категориям могут быть просмотрены благодаря Kerio Web Filter при помощи модуля централизованной системы анализа и отчетности Kerio Star.
Полноценный VPN сервер
Используйте возможности полноценного, легконастраемого и NAT-совместимого VPN сервера.
Site-to-site / Сервер-серверБезопасное подключение сети главного офиса с сетями филиалов.Неограниченное число подключений при создании виртуальной WAN.Доступ к жизненно важным ресурсам сети из Интернет.
Kerio VPN клиент (Клиент-Сервер)Подключение к сетевым принтерам, серверам и файлам общего доступа из дома, гостиницы или кафе.Для идентификации пользователей можно использовать сетевую учетную запись ( требуется наличие интеграции с Активным Каталогом) для VPN аутентификации.Клиент может быть установлен на Windows, Mac и Linux.Клиент запускается в качестве службы.
Kerio Clientless SSL VPNУправление папками, скачка и отдача сетевых файлов через веб-браузер.Создание закладок для доступа к наиболее часто используемых папок.Доступен в Kerio Control для Windows
Простое управление
Простая и понятная настройкаУстановка соединения сервер-сервер с помощью мастера настройки.Установка клиента Kerio VPN , подключение по защищенному каналу, указав имя или адрес Kerio Winroute Firewall, а также логин и пароль пользователя.Экономия на приобретении дорогостоящих выделенных линий.
NAT-совместимое подключениеБеспрепятственное подключение сервер-сервер и клиент-сервер по VPN туннелям даже для сетей находящихся за NAT шлюзами.Kerio VPN использует стандартные методы шифрования для обеспечения многостороннего использования VPN: SSL для контроля канала (TCP) и технологию Blowfish для передачи данных (UDP).
Гибкая система безопасностиОграничение доступа к сети, используя политики трафика в Kerio Control.
Управление пользователями
Ограничение доступа по пользователямЗащита корпоративной сети от угроз имеет жизненно важное значение, но не гарантирует высокую производительность труда сотрудников. Каждая ссылка на YouTube или мелькающий баннер отвлекают ваших сотрудников от работы. Вам необходим простой и эффективный инструмент для минимизации этих отвлекающих факторов. Kerio Control позволяет вам разрешить, запретить и собирать статистику по конкретным видам трафика для каждого пользователя или группы пользователей.
Политики доступа для отдельных пользователей или групп
- Создание политик доступа для отдельных пользователей или групп
- Мониторинг и контроль доступа в Интернет с помощью Kerio StaR и Kerio Web Filter
- Установка квот на использование пропускной полосы и скорости канала
Контроль доступа для
- Пользователей
- Групп
- VPN клиентов
- Внутренних под-сетей
Управление правами доступа к
- Веб-страницам
- VPN подключениям
- P2P сетям
- Статистике
Статистика и отчеты использования сети
Это не просто инструмент ситемного администратора. Kerio Control позволяет получать детальную статистику по использованию интернет по заданным критериям для каждого пользователя сети. Для руководителя, эта информация имеет решающее значение в обеспечении того, чтобы время, проведенное в Интернете сотрудниками, было продуктивным. Отдельных пользователей и пользовательские группы можно отслеживать в реальном времени с помощью диаграмм трафика и отчетов созданных модулем Kerio StaR. Вашим сотрудникам достаточно один раз показать подобный отчет, чтобы они поняли, что больше ни один их просмотр ролика на youtube не останется незамеченным.
Диаграммы трафикаДиаграммы трафика в реальном времени отображают сетевую активность, определяемую правилами в оснастке "Управление полосой пропускания". Применяя эти правила для пользователей или групп пользователей, вы будете иметь мгновенный доступ к информации в реальном времени о назначении и количестве используемого пользовательского трафика. Это может помочь выявить необходимость обеспечить более высокую пропускную способность для критически важных протоколов. Также, Вы сможете определить неуместную или непродуктивную деятельностью сотрудников, что позволит ограничить полосу пропускания для отдельных пользователей или групп пользователей.
Kerio StaRKerio StaR предоставляет подробные отчеты о сетевом трафике через страницу в веб-браузере, помогая выявить злоупотребления Интернетом и тенденции использования сети. Вы сможете, например, увидеть 10 самых посещаемых веб-ресурсов, детальную статистику пользователя за месяц и многое другое.
Статистика и отчеты (StaR)
Всеобъемлющие ОтчетыУстановление случаев злоупотребления доступом в Интернет. Определение, каким образом пользователи проводят рабочее время в Сети. Возможные виды статистики
- По общему объему трафика
- Топ самых посещаемых веб-сайтов
- По категориям Kerio Web Filter
- Детализированный отчет по пользователю
Удобный и безопасный доступПросмотр графических отчетов по запросу через веб-браузер. Поддерживаемые браузеры:
- Internet Explorer
- Firefox
- Safari
Гибкая настройка отчетности
- Отправка периодических отчетов на ваш email.
- Создание отчета за указанный промежуток времени
- Просмотр статистики по заданным сетевым протоколам
- Архивация данных об активности пользователей для отчетности и аудита
- Легко воспринимаемые страницы отчетов, распечатанные на принтере
Блокировщик пиринговых сетей
Что такое P2P?Пиринговая сеть (Peer-to-peer или просто P2P) - это файлообменная сеть, вроде eDonkey, Limewire или BitTorrent. Сама по себе сеть и клиенты P2P не опасны, тем не менее количество кибер преступлений, использующих пиринговые сети растет в геометрической прогрессии. Использование P2P в целях проникновения в сеть считается на сегодняшний день одним из самых часто используемых способов взламывания защиты ЛВС.
Нейтрализация P2P уязвимостей
- Препятствие попаданию шпионских программ распространяемых через P2P сети.
- Недопущение утечки конфиденциальных данных через пиринговые сети.
- Снижение вероятности нарушений, связанных с использованием незаконного ПО, загруженного из P2P сетей.
Комплексная защита от P2P сетейКак и вирусы, пиринговые сети постоянно развиваются и видоизменяются в технологическом плане в целях преодоления средств защиты периметра ЛВС.
- Блокировка различных типов пиринговых сетей с помощью ограничения доступа по определенным портам,оценки нагрузки на сеть и анализе пользовательской активности.
- Препятствование новейшим техникам скрытого пиринга, как например туннелирование шифрованного P2P трафика через порт 80.
Kerio Web Filter
Kerio Web Filter предотвращает посещение пользователями вебсайтов, имеющих вредоносное содержание, включая вирусы, программы-шпионы, трояны, веб-страницы которые участвуют в фишинге или краже персональных данных.
Kerio Web Filter является опционально-активируемым модулем для Kerio Control, который разделяет веб-сайты на 53 различных категории по содержанию. Системные администраторы могут блокировать или контролировать доступ пользователей, на основе определенных категорий контента.
Что такое QoS (Quality of Service) и шейпер?
QoS инструменты Kerio Control позволяют легко определить приоритеты и контролировать сетевой трафик, чтобы гарантировать высокую скорость для наиболее важных типов трафика. Простые в использовании инструменты управления трафиком, DSCP правила, а также гибкость балансировки нагрузки встроенные в Kerio Control предоставляет вам возможность увеличивать скорость для важных служб, таких как конференции VoIP или видео и ограничивать пропускную способность каналов YouTube используемых бездельниками. Но это больше, чем управление пропускной полосой. Благодаря наличию средств переподключения при отказе, Kerio Control предоставляет полноценный сервис доступа в Интернет с истинным качеством обслуживания.
Распределение нагрузки на сеть
Использование пропускной способности канала на всю полнотуОдновременное использование нескольких подключений к Интернет. Обеспечение доступности и продуктивности для критически важных приложений.
Возможность балансировки нагрузки на несколько каналов, реализованная в Kerio Control распределяет избыточную нагрузку на другие каналы доступа в Интернет в целях поддержки доступности и производительности приложений.
Увеличение скорости скачивания и отдачиСовмещение нескольких подключений к Интернет для создания более быстрого единого канала
Улучшение качества видео связи VoIPРаспределение Интернет трафика между несколькими подключениями
Предотвращение остановки бизнес приложений по причине нарушения связи с ИнтернетПоддержка связи с Интернет при помощи функции автоматического перенаправления трафика на активный канал при отказе одного из интернет соединений.
Сетевой шейпер
Наверное, последнее что вы бы хотели видеть в сети это как скорости интернет соединения едва хватает для обеспечения VoIP связи, в то время как несколько сотрудников тратят рабочее время и пропускную полосу канала на просмотр видео-роликов в интернете. Или, может быть ваша компания хостит несколько серверов, а пользователи жалуются на скорость соединения каждый раз, когда ваши сотрудники запускают видео-конференции? Вам необходим инструмент управления приоритетом сетевых соединений, гарантирующий необходимую пропускную полосу канала важным службам с хирургической точностью.
Kerio Control предоставляет огромные возможности для контроля работы сети благодаря инструментам для управления полосой пропускания. Сначала выберите тип трафика. Затем укажите минимальную и максимальную скорость или процент от общей полосы пропускания для загрузки и скачивания данных. И наконец, выберите сетевые интерфейсы, на которых эти правила будут применяться.
VoIP трафик становится сегодня одним из приоритетных для большинства малых и средних компаний. Kerio Control поставляется с предварительно настроенным правилом для SIP трафика, обеспечивающим оптимальную полосу пропускания для этого типа соединений. Как и любое создаваемое правило оно активируется одним кликом мыши.
Легко резервируйте или ограничивайте пропускную способность для следующих категорий трафика:
- FTP
- Instant Messaging
- Multimedia
- P2P
- Remote Access
- SIP VoIP
- VPN
- Web Browsing
Больше чем просто шейперKerio Control также позволяет легко управлять трафиком, непривязанным к конкретному протоколу. Просто создайте правила формирования трафика для передачи больших объемов данных или пакетов, маркированных кодами QoS DSCP. Можно даже зарезервировать или запретить определенную ширину полосы пропускания для отдельных пользователей или групп пользователей. Затем просмотрите диаграммы трафика пользователей и групп для уточнения параметров распределения трафика.
Мониторинг сети
Когда сетевые проблемы мешают корпоративным коммуникациям, скорейшее решение этих проблем является крайне необходимым для бизнеса. Инструмент мониторинга состояния сети, встроенный в Kerio Control, предоставляет Вам информацию, необходимую для скорейшего решения сетевых проблем и выявления узких мест Вашей сети для избежания их в будущем. Используя высокоинформативные диаграммы трафика, которые отображают информацию о параметрах сети и состоянии системы в реальном времени, Вы сможете управлять этими параметрами при помощи пользовательских и групповых политик, ограничением полосы пропускания и конфигурирацией сетевых интерфейсов.
Мониторинг состояния системыИнструмент мониторинга состояния системы отображает в режиме реального времени загрузку процессора, оперативной памяти и пространство на жестком диске в 2-х часовых и дневных промежутках. Эти графики дают четкое представление о статистике использования аппаратных средств. Анализируя эти данные Вы можете улучшать политику QoS для Вашей сети и расследовать причины сетевых проблем.
Диаграммы трафикаИспользуя наш гибкий "шейпер", доступный в оснастке "управление полосой пропускания", Вы сможете создавать правила для любого протокола или DSCP значения. После этого, Вы сможете контролировать трафик для каждого созданного правила при помощи диграмм трафика. Отображаемые в 2-х часовых и 1-о дневных промежутках отчеты в режиме реального времени, позволяют визуализировать действие созданных Вами правил по управлению полосой пропускания.
Мониторинг пользователей и Kerio StaRВам нужно быстро узнать, кто злоупотребляет доступом в интернет? Без проблем. В Kerio Control также можно просматривать статистику использования сети по отдельным пользователям в режиме реального времени.
Подключение к Интернет по резервному каналу
Автоматическое переподключение при отказе основного канала
Позволяет поддерживать соединение с Интернет для критически важных приложений.
- Возможность использования любого сетевого интерфейса, в т.ч. подключения dial-up в качестве резервного канала
- Политики для трафика продолжают применяться при использовании резервного канала доступа в Интернет
Поддержка связи с Интернет через переподключение типа "активный канал / пассивный канал" или "активный канал /активный канал".
Другие средства управления пропускной способностью канала
- Совмещение нескольких Интернет каналов с помощью распределения нагрузки на каналы.
- Контроль использования пропускной способности канала посредством ограничителя скорости.
Гибкость развертывания и администрирования
Администрирование через веб-консольПолнофункциональная веб-консоль администратора позволяет администрировать Kerio Control, вне зависимости от того на какой системе он развернут. Веб-интерфейс администрирования - удобный инструмент, который позволяет вам быстро менять настройки безопасности, управлять профилями пользователей, просматривать статистику и т.д. Благодаря веб-консоли, вы можете администрировать Kerio Control через веб-браузер практически с любого настольного компьютера. В последнюю версию консоли добавлена поддержка iPad - теперь, администрируя наш продукт, вы будете выглядеть не только умным но и модным.
Поддержка IPv4 и IPv6Переход с IPv4 на IPv6 неизбежен. Переход на новую версию IP не произойдет за один день, но тенденция очевидна: начиная с 2009 года количество IPv6 адресов выросло на 500%, и дальше использование данного протокола будет только расти. Перед организациями встала необходимость тщательного планирования перехода на новый протокол и тестирования IPv6, чтобы быть готовыми к тому моменту, когда интернет-провайдеры начнут распределять новые адреса. Kerio Control позволит вам быть готовым к переменам: кроме полной поддержки IPv4 в новую версию продукта включена поддержка серверов с IPv6 адресацией.
Kerio Control Software Appliance
Программный комплекс(Software Appliance) Kerio Control - самый быстрый и простой способ установки Kerio Control. Программный комплекс Kerio Control представляет собой легко развертываемый ISO-образ в состав которого входят UTM-сервер Kerio Control и оптимизированная ОС семейства Linux.
Данный продукт позволяет системным интеграторам продавать клиенту готовое решение, установив Программный комплекс Kerio Control на свое оборудование. Kerio Control Software Appliance избавлен от сложностей при установке и потенциальных уязвимостей, которые возникают при использовании дополнительный ОС.
Преимущества Software Appliance
- Возможность выбора наиболее удобной вам аппаратной платформы
- Удобство масштабирования/апгрейда оборудования по мере роста вашей сети
- Низкие системные требования и высокая производительность интегрированной ОС
- Никаких уязвимых системных служб
- Никаких программных конфликтов
Виртуальный модуль Kerio Controlдля VMware и Parallels
Виртуальный модуль (Virtual Appliance) Kerio Control - решение похожее на Программный комплекс(Software Appliance) Kerio Control. Программный комплекс(Software Appliance) Kerio Control - версия продукта, которая включает интегрированную и оптимизированную ОС семейства Linux. Виртуальный модуль Kerio Contol также содержит в своем составе оптимизированную ОС, кроме этого он специально настроен для быстрого развертывания в виртуальных средах VMware и Parallels.
Виртуальный модуль Kerio Control - единственное UTM-решение оптимизированное и настроенное как для гипервизоров VMware, так и для гипервизоров Parallels. Это делает Kerio Control самым гибким и универсальным продуктом среди UTM систем.
Преимущества виртуального модуля.
- Просто установить в существующую ИТ-инфраструктуру, без необходимости покупки нового оборудования
- Легко установить несколько UTM-серверов и критичных приложений на одном физическом сервере.
- При необходимости, к вашей виртуальной машине можно легко подключит дополнительное оборудование и другие ресурсы.
- Оптимизированная ОС дает наилучшую производительность при минимальной нагрузке на ситему
- Никаких уязвимых системных служб
- Никаких программных конфликтов
la.by
Зойкин Максим Валерьевич - Настройка Kerio Control
Kerio Control относится к той категории программного обеспечения, в которых широкий спектр функциональных возможностей сочетается с простотой внедрения и эксплуатации. Сегодня мы разберем, как с помощью этой программы можно организовать групповую работу сотрудников в Интернете, а также надежно защитить локальную сеть от внешних угроз.Kerio Control относится к той категории продуктов, в которых широкий спектр функциональных возможностей сочетается с простотой внедрения и эксплуатации. Сегодня мы разберем, как с помощью этой программы можно организовать групповую работу сотрудников в Интернете, а также надежно защитить локальную сеть от внешних угроз.
Внедрение продукта Kerio Control начинается с его инсталляции на компьютере, играющем роль интернет-шлюза. Эта процедура ничем не отличается от инсталляции любого другого ПО, а поэтому останавливаться на ней мы не будем. Отметим только, что в ходе нее будут отключены некоторые службы Windows, препятствующие работе программы. После завершения установки можно переходить к настройке системы. Это можно сделать как локально, прямо на интернет-шлюзе, так и удаленно, с любого компьютера, подключенного к корпоративной сети.
В первую очередь запускаем через стандартное меню "Пуск" консоль управления. С ее помощью и осуществляется настройка рассматриваемого продукта. Для удобства можно создать соединение, которое в будущем позволит быстро подключаться к Kerio Control. Для этого дважды кликните на пункт "Новое соединение", укажите в открывшемся окне продукт (Kerio Control), хост, на котором он установлен, а также имя пользователя, после чего нажмите на кнопку "Сохранить как" и введите имя подключения. После этого можно установить соединение с Kerio Control. Для этого дважды кликните на созданном подключении и введите свой пароль.
Базовая настройка Kerio ControlВ принципе, все параметры работы Kerio Control можно настраивать вручную. Однако для первоначального внедрения гораздо удобнее воспользоваться специальным мастером, который запускается автоматически. На первом его шаге предлагается ознакомиться с основной информацией о системе. Также здесь есть напоминание о том, что компьютер, на котором запущен Kerio Control, должен быть подключен к локальной сети и иметь работающее подключение к Интернету.
Второй этап – выбор типа подключения к Интернету. Всего здесь доступно четыре варианта, из которых необходимо выбрать наиболее подходящий для конкретной локальной сети. Постоянный доступ – интернет-шлюз имеет постоянное подключение к Интернету. Дозвон по запросу - Kerio Control будет самостоятельно устанавливать подключение к Интернету по мере необходимости (при наличии интерфейса RAS).Переподключение при отказе – при разрыве связи с Интернетом Kerio Control будет автоматически переключаться на другой канал (нужно два подключения к Интернету). Распределение нагрузки на каналы - Kerio Control будет одновременно использовать несколько каналов связи, распределяя нагрузку между ними (необходимо два или более подключений к Интернету).
На третьем шаге нужно указать сетевые интерфейс или интерфейсы, подключенные к Интернету. Программа сама обнаруживает и выводит все доступные интерфейсы в виде списка. Так что администратору остается только выбрать подходящий вариант. Стоит отметить, что в первых двух типах подключений нужно устанавливать только один интерфейс, а в третьем – два. Настройка четвертого варианта несколько отличается от остальных. В нем предусмотрена возможность добавления любого количества сетевых интерфейсов, для каждого из которых необходимо установить максимально возможную нагрузку.
Четвертый этап заключается в выборе сетевых служб, которые будут доступны пользователям. В принципе, можно выбрать вариант "Без ограничений". Однако в большинстве случаев это будет не совсем разумно. Лучше отметить "галочками" те службы, которые действительно нужны: HTTP и HTTPS для просмотра сайтов, POP3, SMTP и IMAP для работы с почтой и т.п.
Следующий шаг – настройка правил для VPN-подключений. Для этого используется всего два чекбокса. Первый определяет, какие клиенты будут использовать пользователи для подключения к серверу. Если "родные", то есть выпущенные Kerio, то чекбокс должен быть активирован. В противном случае, например, при использовании встроенных в Windows средств, его нужно отключить. Второй чекбокс определяет возможность использования функции Kerio Clientless SSL VPN (управление файлами, папками скачивание и загрузка через веб-браузер).
Шестой этап заключается в создании правил для служб, которые работают в локальной сети, но должны быть доступны и из Интернета. Если на предыдущем шаге вы включили Kerio VPN Server или технологию Kerio Clientless SSL VPN, то все необходимое для них будет настроено автоматически. Если же вам нужно обеспечить доступность других служб (корпоративного почтового сервера, FTP-сервера и пр.), то для каждой из них нажмите на кнопку "Добавить", выберите название сервиса (будут открываться стандартные для выбранного сервиса порты) и при необходимости укажите IP-адрес.
Наконец, последний экран мастера настройки представляет собой предупреждение перед началом процесса генерации правил. Просто прочитайте его и нажмите на кнопку "Завершить". Естественно, в будущем все созданные правила и настройки можно менять. Причем можно как повторно запустить описанный мастер, так и отредактировать параметры вручную.
В принципе, после завершения работы мастера Kerio Control уже находится в рабочем состоянии. Однако имеет смысл немного подкорректировать некоторые параметры. В частности, можно установить ограничения на использование полосы пропускания. Больше всего она "забивается" при передаче больших, объемных файлов. Поэтому можно ограничить скорость загрузки и/или выгрузки таких объектов. Для этого в разделе "Конфигурация" нужно открыть раздел "Ограничение полосы пропускания", включить фильтрацию и ввести доступную для объемных файлов полосу пропускания. При необходимости можно сделать ограничение более гибким. Для этого необходимо нажать на кнопку "Дополнительно" и указать в открывшемся окне службы, адреса, а также временные интервалы действия фильтров. Кроме того, тут же можно установить размер файлов, которые считаются объемными.
Пользователи и группыПосле первоначальной настройки системы можно приступать к внесению в нее пользователей. Однако удобнее сначала разбить их на группы. В этом случае в будущем ими будет легче управлять. Для создания новой группы перейдите в раздел "Пользователи и группы->Группы" и нажмите на кнопку "Добавить". При этом будет открыт специальный мастер, состоящий из трех шагов. На первом нужно ввести имя и описание группы. На втором можно сразу добавить в нее пользователей, если, конечно, они уже созданы. На третьем этапе необходимо определить права группы: доступ к администрированию системы, возможность отключения различных правил, разрешение на использование VPN, просмотр статистики и пр.
После создания групп можно переходить к добавлению пользователей. Проще всего это сделать, если в корпоративной сети развернут домен. В этом случае достаточно перейти в раздел "Пользователи и группы->Пользователи", открыть вкладку Active Directory, включить чекбокс "Использовать базу данных пользователей домена" и ввести логин и пароль учетной записи, имеющей право на доступ к этой базе. При этом Kerio Control будет использовать учетные записи домена, что, конечно же, очень удобно.
В противном случае нужно будет ввести пользователей вручную. Для этого предусмотрена первая вкладка рассматриваемого раздела. Создание учетной записи состоит из трех шагов. На первом необходимо задать логин, имя, описание, адрес электронной почты, а также параметры аутентификации: логин и пароль или данные из Active Directory. На втором шаге можно добавить пользователя в одну или несколько групп. На третьем этапе есть возможность автоматической регистрации учетной записи для доступа к межсетевому экрану и определенным IP-адресам.
Настраиваем систему безопасностиВ Kerio Control реализованы широкие возможности по обеспечению безопасности корпоративной сети. В принципе, защищаться от внешних угроз мы уже начали, когда настроили работу файрвола. Кроме того, в рассматриваемом продукте реализована система предотвращения вторжений. Она по умолчанию включена и настроена на оптимальную работу. Так что ее можно не трогать.
Следующий шаг – антивирус. Тут стоит отметить, что он есть не во всех версиях программы. Для использования защиты от вредоносного ПО Kerio Control должен быть приобретен со встроенным антивирусом, либо на интернет-шлюзе должен быть установлен внешний модуль антивируса. Для включения антивирусной защиты необходимо открыть раздел "Конфигурация->Фильтрация содержимого->Антивирус". В нем нужно активировать используемый модуль и отметить с помощью чекбоксов проверяемые протоколы (рекомендуется включить все). Если у вас используется встроенный антивирус, то необходимо включить обновление антивирусных баз и установить интервал выполнения этой процедуры.
Далее необходимо настроить систему фильтрации HTTP-трафика. Сделать это можно в разделе "Конфигурация->Фильтрация содержимого->Политика HTTP". Самым простым вариантом фильтрации является безусловная блокировка сайтов, на которых встречаются слова из "черного" списка. Для его включения перейдите на вкладку "Запрещенные слова" и заполните список выражений. Однако в Kerio Control есть и более гибкая и надежная система фильтрации. Она основана на правилах, в которых описываются условия блокировки доступа пользователей к тем или иным сайтам.
Для создания нового правила перейдите на вкладку "Правила URL", кликните правой кнопкой мыши на поле и выберите в контекстном меню пункт "Добавить". Окно добавления правила состоит из трех вкладок. На первой задаются условия, при которых оно будет срабатывать. Сначала нужно выбрать, на кого распространяется правило: на всех пользователей или только на конкретные учетные записи. После этого необходимо задать критерий соответствия URL запрашиваемого сайта. Для этого может использоваться строка, которая входит в адрес, группа адресов или рейтинг веб-проекта в системе Kerio Web Filter (по сути, категория, к которой относится сайт). В завершении стоит указать реакцию системы на выполнение условий – разрешить или запретить доступ к сайту.
На второй вкладке можно указать интервал, в течение которого будет действовать правило (по умолчанию всегда), а также группу IP-адресов, на которые оно распространяется (по умолчанию на все). Для этого необходимо просто выбрать соответствующие пункты в выпадающих списках предварительно заданных значений. Если временные интервалы и группы IP-адресов еще не задавались, то с помощью кнопок "Правка" можно открыть нужный редактор и добавить их. Также на данной вкладке можно задать действие программы в случае блокировки сайта. Это можно быть выдача страницы с заданным текстом отказа, отображение пустой страницы или же перенаправление пользователя на заданный адрес (например, на корпоративный сайт).
В том случае, если в корпоративной сети используются беспроводные технологии, имеет смысл включить фильтр по MAC-адресу. Это позволит существенно снизить риск несанкционированного подключения различных устройств. Для реализации данной задачи откройте раздел "Конфигурация->Политика трафика->Параметры безопасности". В нем активируйте чекбокс "Фильтр MAC-адресов включен", затем выберите сетевой интерфейс, на который он будет распространяться, переключите список MAC-адресов в режим "Разрешить доступ к сети только перечисленным компьютерам" и заполните его, внеся данные беспроводных устройств, принадлежащих компании.
zojkin.moy.su
Контроль интернет-трафика Kerio Control
Kerio предоставляет простые и безопасные бизнес-решения для более чем 60 000 предприятий и миллионов пользователей во всем мире. Решения Kerio — электронная почта, комплексная защита от угроз/межсетевой экран (файервол), IP-телефония и совместная работа — распространяются через сеть, состоящую из более чем 6 000 партнеров по продажам. Kerio — это прибыльная и быстро развивающаяся компания-лидер в области технологий, расположенная в Сан-Хосе, Калифорния, с офисами в Великобритании, Чехии, России, Австралии и Бразилии.
Защитите вашу сеть от вирусов, вредоносных программ и вредоносных действий при помощи Kerio Control — простого в администрировании и мощного универсального решения для обеспечения безопасности.
Kerio Control — это комплексное решение в области безопасности, объединяющее несколько функций — в том числе межсетевой экран (файервол) и маршрутизатор, систему обнаружения и предотвращения вторжений (IPS), антивирус, VPN и фильтр содержимого. Эти широкие возможности и непревзойденная гибкость в развертывании делают Kerio Control идеальным выбором для малых и средних предприятий.
Kerio Control может быть рассмотрен в качестве альтернативы Microsoft Forefront TMG.
Функции Kerio Control:
Межсетевой экран (файервол) и маршрутизатор:
- Корпоративный межсетевой экран, получивший сертификат ICSA Labs и ФСТЭК*.
- Deep packet inspection — глубокая проверка пакетов.
- Инспектирование протоколов.
- Проверка пакетов с отслеживанием состояния.
- DHCP сервер.
- Сервер пересылки DNS.
- Публикация локальных сервисов в Интернет (dNAT).
- Фильтрация по MAC.
- Переадресация запросов на обнаружение сервисов (Service Discovery forwarding) (Новая функция в версии 8.5).
- Антиспуфинг.
- Гостевая сеть с порталом авторизации.
- Поддержка 802.1Q VLAN.
- Мастер настройки правил трафика.
- Временные условия.
- Контроль HTTPS.
- Возможность добавлять исключения из правил.
- Ограничения количества подключений.
- Несколько IP-адресов на одном сетевом интерфейсе.
- Динамические DNS.
- Настраиваемые таблицы маршрутизации.
- Обратный прокси-сервер.
- Одновременная поддержка протоколов IPv4 и IPv6.
- Поддержка трансляции префикса сети для протокола IPv6.
- Объявления маршрутизаторов IPv6.
*Сертификат соответствия №3351
VPN:
- Аутентификация пользователя через службу каталогов (Новая функция версии 8.5).
- Поддержка раздельного или принудительного туннелирования.
- Одновременное установление множества туннелей сеть-к- сети.
- Kerio VPN клиент-сервер и сервер-сервер.
- IPsec клиент-сервер и сервер-сервер.
- Kerio VPN-клиенты для Windows, Mac и Linux.
- Возможность создания постоянного подключения.
- История VPN-подключений.
- Надежное шифрование SSL.
- Резервные подключения для VPN туннелей.
- Поддержка NAT.
- Проверка подлинности пользователя при помощи AD, OD или локального каталога.
- Подключение мобильных устройств через протокол L2TP через IPsec.
- Поддержка автоматической и настраиваемой маршрутизации.
Отчеты и мониторинг:
- Интерфейс пользовательской статистики Kerio Control.
- Подробные отчеты об использовании: веб-сайтов, протоколов, пропускной способности.
- Отчеты можно фильтровать по отдельным пользователям, группам и всей сети.
- Автоматически отправляемые по электронной почте суточные/недельные/месячные отчеты.
- Наиболее часто посещаемые веб-сайты и наиболее активные пользователи по веб-категориям.
- Почасовой трафик по пользователям.
- Поисковые запросы Google.
- Отчеты по фильтрации контента Kerio Control Web Filter.
- Оповещения по электронной почте (Новая функция в версии 8.5).
- Ведение внешнего системного журнала.
- Мониторинг SNMP.
- Монитор работоспособности системы.
- Диаграммы трафика.
- Панель администратора.
- Классификация трафика по категориям (мультимедиа, обмен сообщениями, передача больших файлов...).
- Мониторинг активности хостов в реальном времени.
Управление балансировкой нагрузки и пропускной способностью:
- Балансировка нагрузки между несколькими интернет-каналами.
- Управление потоками трафика через внешние интернет-соединения.
- Автоматическое переключение активного интернет канала при отказе (активный/активный и активный/пассивный).
- Правила передачи трафика на основе пользователя и\или группы пользователей.
- Квотирование объёма передаваемых данных пользователями.
- Регулируемые квоты ограничения для полосы пропускания и ограничения для скорости передачи данных.
- Гарантия скорости передачи данных для трафика с высокой важностью (качество обслуживания QoS).
- Ограничение скорости передачи данных для трафика низкой важности.
- Правила на основе интервала времени, типа трафика, пользователей, служб, значений DSCP.
- Мониторинг пропускной способности при помощи диаграмм, стоящихся в режиме реального времени.
- Мониторинг использования пропускной способности интерфейса в реальном времени.
- Применение правил управления полосой пропускания к VPN-траффику.
Администрирование:
- Веб-интерфейс администрирования с удобной панелью мониторинга состояния сервера.
- Регулируемый уровень административных прав.
- Обновление вресии программного обеспечения одним щелчком мыши.
- Удобные средства отладки.
- Экспорт/импорт конфигурации.
- Резервное копирование конфигурации на Samepage или на FTP-сервер.
- Проверка подлинности пользователя с использованием Active Directory, Open Directory, локального каталога.
- Доменный шаблон для настройки пользователя по умолчанию.
- Автоматическое завершение сеанса пользователей по времени ожидания.
- Настраиваемые диапазоны времени для групп.
- Локализация на множество языков, в том числе на русский язык.
Контент-фильтр:
- Ограничение по интервалу времени.
- Блокировщик P2P.
- Категории URL (Kerio Control веб-фильтр).
- Настраиваемая страница отказа в доступе.
- Административные оповещения.
- Настраиваемые URL.
- Поддержка регулярных выражений в правилах URL.
- Запрещенные слова.
- Политика FTP.
- Прокси-сервер.
- "Белые" списки URL.
- Антивирус Sophos.
- Типы файлов.
Аутентификация пользователей:
- Интеграция с Active Directory/Open Directory.
- 2-факторная проверка пользователя для удаленного доступа (Новая функция в версии 8.5).
- Аутентификация терминальных пользователей на прокси-сервере.
- Проверка подлинности Kerberos/NTLM.
- RADIUS-сервер.
- Защита от подбора пароля.
- Домен NT.
- Веб-аутентификация пользователей.
Система обнаружения и предотвращения атак (IPS):
- Анализ поведения на основе Snort.
- База данных правил Emerging Threats.
- "Черный" список IP-адресов.
- Три уровня безопасности.
- Обработчик исключений ложных срабатываний.
- Применяется к трафику IPv4 и IPv6.
Система обнаружения и предотвращения вторжений (IPS)
IPS в Kerio Control Kerio Control, комплексное решение в области управления защитой от угроз, включает в себя архитектуру анализа пакетов на основе сигнатур. Эта архитектура также известна как система обнаружения и предотвращения вторжений (IPS). Система прозрачно контролирует входящий и исходящий сетевой трафик для выявления подозрительных действий. В зависимости от степени потенциальной опасности подозрительных действий, Kerio Control может регистрировать и блокировать обмен данными. Для защиты от возникающих угроз в базу данных правил регулярно добавляются новые сигнатуры.
Система предназначена для защиты серверов, находящихся за межсетевым экраном (файерволом), от несанкционированных подключений, как правило, инициируемых интернет-ботами или хакерами, пытающимися использовать доступные службы. Система IPS также предназначена для защиты пользователей сети от непреднамеренной загрузки вредоносного контента и вредоносных программ, или смягчения последствий в скомпрометированной системе.
Безопасность сервера На многих предприятиях серверы размещаются за межсетевым экраном (файерволом), и подключения могут принимать только размещенные на них службы. В зависимости от типа размещенной службы (например, сервер SQL) межсетевой экран может не иметь возможности для проверки содержимого пакетов, которыми обмениваются клиент и сервер. Межсетевой экран (файервол) несет основную ответственность за установление соединения, не оставляя лазейки для подключения к другим службам, имеющимся на сервере. Этот тип конфигурации не может устранить потенциальной угрозы подачи запроса или команды, использующей уязвимость в программном обеспечении сервера.
Пожалуй, самый известный случай атаки этого типа произошел в 2001 году. Был разработан червь, атакующий системы, работающие под управлением программного обеспечения Microsoft Internet and Information Server. Получивший кодовое название "Красный код", пользуясь службой HTTP, этот червь мог отправить последовательность команд, способную вызвать переполнение буфера в памяти, зарезервированной для серверного программного обеспечения. Это позволяло злоумышленнику внедрить произвольный код на сервер и выполнить его. Часть этого кода включала возможность быстрого распространения, переходя на другие серверы, работающие под управлением программного обеспечения Microsoft IIS. Этот конкретный тип атаки приводил к отказу в обслуживании на соответствующем сервере.
Добавление слоя IPS Вовремя обновленное серверное программное обеспечение имеет решающее значение для защиты серверных приложений от этого типа угрозы. Поставщики приложений регулярно обновляют свое программное обеспечение для закрытия уязвимостей в системе безопасности. Однако в некоторых случаях обновление версии программного обеспечения невозможно, или поставщик, вероятно, еще не разработал исправления для возникшей угрозы. Добавление системы предотвращения вторжений обеспечивает дополнительный уровень безопасности для защиты от угроз, таких как червь "Красный код".
Система IPS содержит локальную базу данных сигнатур, которые используются для выявления известных типов атак. Без интерпретации данных обмена между клиентом и сервером система IPS может выделять сигнатуру из сетевого соединения и осуществлять поиск этой сигнатуры в локальной базе данных. Этот тип архитектуры является весьма эффективным в борьбе с червями и другими атаками на серверные системы.
Другие типы атак на серверы включают подбор или угадывание пароля методом перебора, распределенную атаку типа "отказ в обслуживании", сканирование портов или перехват сеанса связи. Эти типы атак обычно включают попытки получить информацию о программном обеспечении сервера, например, номере версии и разработчике. Обладая этой информацией, злоумышленник может исследовать уязвимости в программном обеспечении сервера, пытаться получить несанкционированный доступ к системе или выполнить вредоносные действия для нарушения нормального функционирования сервера. Во всех этих случаях система IPS уведомляет администратора об этой подозрительной активности и блокирует любой обмен данными, если известно, что такой обмен может причинить вред серверам, защищенным межсетевым экраном.
Смягчение последствий воздействия троянских и шпионских программ, червей и других вредоносных программ Помимо использования уязвимых служб и приложений, существуют и другие эксплойты операционной системы. Одним из наиболее распространенных подходов, используемых злоумышленниками, является внедрение приложения в свободное программное обеспечение. Пользователь вводится в заблуждение и устанавливает вредоносное ПО в ходе установки другого приложения, или просто открыв веб-сайт, на котором работает клиентский сценарий для установки вредоносных программ. Эти типы приложений могут быть невидимы для пользователей, но при этом могут получать доступ к конфиденциальной корпоративной информации, найденной на зараженном компьютере. Такие приложения также могут снизить производительность компьютера или привести к отказу других приложений. Так как эти программы могут устанавливаться по согласию пользователя, они могут не идентифицироваться антивирусным программным обеспечением.
Система предотвращения вторжений играет важную роль в определении систем, зараженных приложениями этого типа. Система IPS может определить, что пользователь пытается загрузить нежелательные приложения, и может закрыть соединение, предотвращая доставку файла на компьютер конечного пользователя. В случае, если к сети подключается ранее инфицированный компьютер, система IPS может также определить и блокировать активность установленных вредоносных программ. Таким образом, система IPS в Kerio Control работает в тандеме с межсетевым экраном и фильтром содержимого с тем, чтобы предотвратить распространение вредоносных программ в сети.
Архитектура
- Размещение. Как правило, система обнаружения вторжений располагается в точке сети, получающей данные всей сетевой активности. Система IPS должна находиться на маршрутизаторе шлюза или брандмауэре, который отвечает за транспортировку IP трафика между различными сегментами сети и Интернет. В качестве внешнего межсетевого экрана, Kerio Control реализует предотвращение "сетевых" вторжений. Другими словами, любой трафик, направляемый через брандмауэр, между защищенными сетями и Интернетом, будет защищен системой IPS Kerio Control.
- Анализ пакетов. В основе технологии сканирования Kerio Control лежит анализатор пакетов на основе Snort. Snort является системой IDS/IPS с открытым исходным кодом, которая прозрачно сканирует весь сетевой обмен данными, и обеспечивает основу для добавления пользовательских правил. Более подробная информация имеется на веб-сайте.
- База данных. Kerio Control реализует набор правил, поддерживаемых сообществом спонсоров проекта под названием Emerging Threats. Каждое правило имеет цифровую подпись с тем, чтобы гарантировать подлинность обновлений и препятствовать любым фальсификациям. Правила основаны на многолетнем вкладе профессионалов отрасли и постоянно обновляются. Более подробная информация имеется на веб-сайте www.emergingthreats.net.
Система предотвращения вторжений Kerio Control предлагает три различных действия в зависимости от опасности потенциальной атаки:
- Низкий уровень серьезности угрозы: (нет действия)
- Средний уровень серьезности угрозы: (только регистрация)
- Высокий уровень серьезности угрозы: (регистрация и разрыв подключения)
Это настройки по умолчанию, однако действия могут быть скорректированы в соответствии с потребностями организации. Степень серьезности угрозы основана на квалификаторах, встроенных в правило. Активизация правила угрозы высокого уровня серьезности наиболее вероятно означает реальную атаку в сети. Примером может служить обнаружение сетевой активности троянского приложения. События средней степени серьезности определяются как подозрительные и потенциально опасные, но могут быть и допустимой активностью, например, подключение через стандартный порт, с использованием нестандартного протокола. События низкой степени серьезности считаются подозрительной активностью, которая не несет немедленного вреда, например, сканирование сетевого порта.
"Черные" списки IP-адресов В дополнение к базе данных правил, состоящих из сигнатур сетевого поведения, Kerio Control содержит обновляемую базу данных IP-адресов, доступ к которым через брандмауэр явно запрещен. IP-адреса, включенные в эту базу данных, ранее являлись источником атаки в той или иной форме. Во многих случаях, эти IP-адреса принадлежат законно действующим компаниям, но из-за действий злоумышленника стали источником незаконной деятельности, такой, как рассылки спама. Эта база данных IP-адресов составляется из различных интернет-источников. Базу данных поддерживают такие организации, как Dshield и Spamhaus. Эти списки хранятся локально и обновляются автоматически.
Ложные срабатывания и исключения Технология обнаружения вторжений не идеальна. Подобно системам антиспама, в ней имеется небольшой процент ложных срабатываний. Другими словами, законный сетевой трафик может ошибочно совпасть с сигнатурой подозрительной активности. Поэтому необходимо обеспечить простой способ добавления исключений в базу данных сигнатур.
Точная настройка системы IPS:
- Проверьте записи в журнале безопасности. Любой заблокированный процессором IPS обмен данными регистрируется в журнале "Безопасность". В журнале регистрируются подробности для каждого события, в том числе "идентификатор правила". Если пользователь сообщает о проблеме подключения в определенном приложении, которое использует разрешенный протокол, стоит пересмотреть журнал безопасности на наличие ошибочно определенного потенциального вторжения.
- Убедитесь, что приложение не скомпрометировано. Если обмен данными приложения блокируется IPS, приложение должно быть проверено на предмет незаконной активности.
- Создание исключений. Если исключение необходимо внести в базу данных сигнатур, идентификатор правила из журнала событий можно добавить в диалоге "Отклоняемые сигнатуры" в дополнительных настройках интерфейса управления IPS.
Управление обновлениями Так же, как вирусы, новые угрозы появляются ежедневно. Поэтому необходимо обеспечить регулярное обновление базы данных сигнатур. Процессор системы IPS Kerio Control проверяет наличие обновлений один раз в день, но также может быть настроен на ежечасные проверки.
Сообщество пользователей emergingthreats.net способствует добавлению новых правил или сигнатур. Kerio помогает выполнять текущее обслуживание этих сигнатур, стимулируя администраторов, использующих систему IPS в Kerio Control к участию в усилиях сообщества по выявлению новых атак и оказанию помощи в разработке новых правил. Более подробную информацию можно найти на веб-сайте.
Внутренние правила IPS Встроенная система глубокого анализа пакетов в Kerio Control выступает в качестве дополнительного уровня защиты. Она осуществляет прозрачный мониторинг конкретных протоколов с целью обнаружения возможных нарушений спецификаций. Она также блокирует вредоносное содержимое, которое может быть опознано благодаря базе данных сигнатур. В дополнение к "черным" спискам и базам данных сигнатур, Kerio Control предлагает ряд автоматических функций, призванных усилить возможности системы предотвращения вторжений:
- Блокировщик одноранговых подключений. Если эта функция включена, межсетевой экран (файервол) будет контролировать подключения через определенные порты для идентификации активности известных P2P-приложений, вносящих значительный вклад в распространение вредоносных программ, и их блокирования.
- Блокировка несанкционированных двоичных данных в протоколе HTTP. В рамках проверки пакетов, межсетевой экран предотвратит несанкционированное использование двоичных данных в HTTP-подключениях.
- Фильтр уязвимости GDI+JPEG. Специально обработанный графический файл JPEG может вызвать переполнение буфера в не содержащих соответствующих исправлений операционных системах Windows, что позволяет выполнить произвольный код (MS04-028). Kerio Control определяет и блокирует передачу такого конкретного файла по электронной почте и веб-протоколу.
- Периодические сертификационные испытания ICSA Labs. В рамках сертификации ICSA Labs (Международная ассоциация Computer Security) Kerio Control периодически проходит ряд проверок безопасности, таких как TCP SYN-флуд, обход брандмауэра, атака "злоумышленник в середине" и других появляющихся угроз.
Предотвращение вторжений требует весьма сложной технологии, работающей на основе большого набора различных правил. Каждая сеть уникальна, и так называемый "несанкционированный доступ" может быть предметом дискуссий. Система IPS, встроенная в Kerio Control, предназначена для выявления и блокирования атак с максимально возможной точностью, сохраняя при этом оптимальный уровень производительности сети.
Kerio Control Web Filter Kerio Control Web Filter — это служба обеспечения безопасности, позволяющая администраторам ограничить доступ пользователей к веб-сайтам и службам интернета. Мощный фильтр:
Защищает пользователей и инфраструктуру, предотвращая возможность посещения известных веб-сайтов, содержащих вредоносное ПО, занимающихся фишингом или кражей личных данных.
Блокирует нежелательные веб-сайты с целью выполнения нормативных требований и устранения потенциальных юридических рисков.
Повышает производительность работы персонала, ограничивая доступ к узлам с определенным содержимым в определенное время дня, доступ избранных пользователей и доступ по местоположению пользователей.
Kerio Control Web Filter позволяет блокировать или давать доступ к веб-сайтам по категории их содержимого, а не по конкретным URL-адресам. Список адресов Kerio Control Web Filter содержит более 6 миллиардов веб-страниц и регулярно пополняется, распределяя их по более чем 141 категории — вам не придется непрерывно добавлять новые узлы или изменять существующие.
Kerio Control Web Filter доступен в виде надстройки, если Kerio Control развернут как программное обеспечение или виртуальный модуль.
Kerio Control Web Filter позволяет эффективно блокировать доступ к интернет-ресурсам по более чем 141 категории содержимого.
Непревзойденное качество обслуживания Легко устанавливайте приоритеты и осуществляйте мониторинг сетевого трафика с тем, чтобы гарантировать высокую скорость передачи для наиболее важных типов передаваемых данных. Балансировка нагрузки интернет-подключения оптимизирует доступ в Интернет, распределяя трафик по нескольким соединениям. Kerio Control контролирует доступность канала соединения и автоматически отключает или повторно включает соединение с тем, чтобы обеспечить непрерывный доступ в интернет. Поддержка QoS в Kerio Control позволяет точно установить объем для каждого типа сетевого трафика. Сдерживайте трафик с низким приоритетом, установив максимальную пропускную способность, или назначьте трафику с высоким приоритетом гарантированный минимум. Kerio Control также использует балансировку нагрузки интернет-подключения по нескольким соединениям; Kerio Control контролирует доступность канала соединения и автоматически отключает или повторно включает соединение с тем, чтобы обеспечить непрерывный доступ в Интернет.
Отчеты об использовании, повышающие производительность Создавайте подробные отчеты об использовании сети при помощи Kerio Control Statistics. Этот компонент позволяет руководителям и администраторам просматривать сведения об интернет-активности отдельных пользователей — начиная со списка и времени посещения сайтов, и заканчивая конкретными поисковыми запросами пользователей в поисковых системах и на обычных сайтах с возможностями поиска. Используйте эти высоко детализированные данные об использовании, чтобы уточнить правила формирования трафика, для наблюдения за работой сотрудника и многих других целей. А самое главное это то, что составление этих подробных отчетов можно автоматически запускать по расписанию, и отправлять их вам по электронной почте для просмотра — нет необходимости самостоятельно создавать отчеты каждую неделю.
Безопасный VPN Устанавливайте связь головного офиса с удаленными пользователями и филиалами легко и надежно. Cобственное VPN туннелирование обладает простой настройкой, требует минимальной конфигурации и обеспечивает высокопроизводительное сетевое подключение. Или используйте IPsec/L2TP для подключения с мобильных устройств или сторонних производителей межсетевых экранов (файерволов). Для дополнительной защиты любой формы удаленного доступа, добавьте 2-факторную проверку пользователя.
Непревзойденная простота Выполняйте все задачи администрирования и настройки с настраиваемой веб-консоли — независимо от выбранного вами варианта развертывания.
Управление в любое время, в любом месте, с настольного или планшетного компьютера. Мониторинг работоспособности системы и сетевого трафика. Быстро и надежно получайте доступ к настройкам безопасности, управлению пользователями и пропускной способностью, устанавливайте политики трафика при помощи интуитивно понятного интерфейса. Автоматически создавайте резервные копии пользовательских настроек для хранения в облаке благодаря интеграции с Samepage или на FTP.
Варианты развертывания Kerio Control Kerio Control предлагает самый широкий выбор вариантов развертывания среди систем, имеющихся на рынке, — и легко интегрируется в существующую IT-среду.
Kerio Control можно развернуть, используя:
- Программный модуль на собственных аппаратных ресурсах предприятия.
- Виртуальный модуль в существующей среде виртуализации от VMware и Microsoft.
Программный модуль Kerio Control Программное обеспечение Kerio Control упаковано вместе с безопасной операционной системой в единый ISO образ. Преимущества? Возможность использовать собственное оборудование, выбираемое на основе желаемой производительности. Отсутствие конфликтов приложений и уязвимости системных служб. Улучшенную защиту и возможности управления дают Sophos Antivirus и Kerio Control Web Filter, доступные в виде модулей расширения.
Виртуальный модуль Kerio Control Поместите виртуальную машину вместе с предустановленным программным обеспечением Kerio Control и безопасной ОС в среду VMware или Hyper-V. Повысьте уровень безопасности до максимума без необходимости приобретения нового оборудования. Объедините нескольких специализированных серверов и приложений в одном устройстве. Интегрируйте ресурсы и сетевые адаптеры в виртуальные машины по мере необходимости.
Улучшенную защиту и возможности управления дают Sophos Antivirus и Kerio Control Web Filter, доступные в виде модулей расширения.
Подробнее о Kerio Control
О других продуктах Kerio можно прочитать
www.safetek.ru
Программы
|
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
dprogu.ru
