Баги в продуктах Kerio Control могут привести к полной компрометации организации. Керио контрол
Баги в продуктах Kerio Control могут привести к полной компрометации организации
Эксперты консалтинговой компании SEC Consult опубликовали детальный отчет об изучении продуктов компании Kerio Technologies, которая выпускает различные защитные программные решения, для малого и среднего бизнеса. Согласно официальному сайту компании, ее продукцией пользуются более 60 000 компаний по всему миру.
Специалисты SEC Consult обнаружили множество уязвимостей в Kerio Control, UTM-решении компании, которое объединяет в себе функции брандмауэра, маршрутизатора, IDS/IPS, шлюзового антивируса, VPN и так далее. Исследователи описали два сценария атак, которые позволяют злоумышленнику не только перехватить контроль над Kerio Control, но и над корпоративной сетью, которую продукт должен защищать. Хотя разработчики уже выпустили исправления для большей части обнаруженных багов, исследователи отмечают, что реализовать один из сценариев атак по-прежнему возможно.
По словам исследователей, решения Kerio Control уязвимы в силу небезопасного использования PHP функции unserialize, а также из-за использования старой версии PHP (5.2.13), в которой ранее уже были обнаружены серьезные проблемы. Также эксперты обнаружили ряд уязвимых PHP-скриптов, которые позволяют осуществить XSS и CSRF атаки и обход защиты ASLR. Кроме того, по словам SEC Consult, веб-сервер работает с root-привилегиями и не имеет защиты от брутфорс-атак и нарушения целостности информации в памяти.
Схема первого сценария атакиПервый описанный экспертами сценарий атаки подразумевает эксплуатацию сразу нескольких уязвимостей. Атакующему понадобится применить социальную инженерию и заманить жертву на вредоносный сайт, на котором будет размещен скрипт, позволяющий выяснить внутренний IP-адрес Kerio Control. Затем злоумышленник должен эксплуатировать баг CSRF. Если же жертва не залогинена в панели управления Kerio Control, атакующий может применить обычный брутфорс для подбора учетных данных. Для этого понадобится уязвимость XSS, которая позволит обойти защиту SOP. После этого можно переходить к обходу ASLR и воспользоваться старым багом в PHP (CVE-2014-3515), чтобы запустить шелл с root-правами. По сути, после этого атакующий получает полный доступ к сети организации. Видеоролик ниже демонстрирует атаку в действии.
Второй сценарий атаки включает в себя эксплуатацию RCE-уязвимости, которая связана с функцией обновления Kerio Control и была обнаружена более года назад одним из сотрудников SEC Consult. Эксперты предлагают использовать этот баг, допускающий удаленное исполнение произвольного кода, в сочетании с XSS-уязвимостью, которая позволяет расширить функциональность атаки.
Специалистов Kerio Technologies уведомили о проблемах еще в конце августа 2016 года. На данный момент компания выпустила Kerio Control 9.1.3, где большинство уязвимостей устранены. Однако компания решила оставить веб-серверу root-привилегии, а также без исправления пока остается RCE-баг, связанный с функцией обновления.
xakep.ru
Новое в релизе Kerio Control 8.3 / Блог компании Kerio Technologies / Хабр
Представляем вашему вниманию Kerio Control 8.3 – новый релиз нашего UTM-решения.
В Kerio Control 8.3 появились такие возможности, как обратный прокси-сервер, блокировка нераспознанных IP-адресов и управление полосой пропускания внутри VPN-туннелей. Упростился и значительно улучшился процесс создания и управления правилами трафика, а система аутентификации пользователей и управления устройствами стала более гибкой.
Обратный прокси-сервер.
Что это? Встроенный обратный прокси-сервер позволяет размещать за межсетевым экраном (файрволлом) Kerio Control несколько веб-узлов и веб-серверов одновременно, и при этом использовать единый маршрутизируемый IP-адрес. IPS (система предотвращения вторжений) и система фильтрации антивирусной программы работают с обратным прокси-сервером.
Правила управления полосой пропускания могут применяться к каждому физическому или виртуальному серверу, но не могут быть применены к правилам обратного прокси.
Для чего? Обратный прокси является единой точкой входа для любого веб-узла или файлового сервера, размещенного за межсетевым экраном. Это дает следующие преимущества:
• Повышенную безопасность – бэк-энд серверная типология и сетевые характеристики спрятаны от внешнего мира. • Упрощенную аутентификацию – единая точка аутентификации для всех сервисов, расположенных за межсетевым экраном (файрволлом). • Простое управление SSL-сертификатами веб-сайтов, размещенных с использованием HTTPS – отпадает необходимость в сертификатах для каждого веб-сервера, снижая нагрузку на веб-сервера при шифровании.
Дополнительные преимущества: • Кэширование содержимого для экономии пропускной способности. • Балансировка нагрузки. • Поддержка IPv6.
Для кого? Для системного администратора.
Улучшения правил трафика.
Что это? Были сделаны улучшения в окне «Правила трафика»: • При добавлении нового правила запускается мастер настройки, отвечая на несложные вопросы которого, можно определить параметры создаваемого правила трафика. • Теперь при наличии большого списка правил, задача поиска нужного правила упрощается благодаря функции поиска и подсвечивания текста, совпадающего с критерием поиска. • Для лучшего управления и обзора правил трафика, службы можно собирать в группы. Например, службы Kerio Connect, включая POP3, SMTP, IMAP, HTTP и другие, можно собрать в группу под названием «Службы Kerio Connect». • Узнаваемость правил улучшилась благодаря расширенной палитре цветов, которые можно присваивать правилам. • Правила трафика можно тестировать, указав условие (источник/назначение/порт). При этом отобразятся все правила, соответствующие заданному условию. • Столбец «Последнее использование» позволяет узнать время последней обработки правила. Это помогает локализовать ненужные правила и удалить их из списка.
Для чего? Новое окно «Правила трафика» в интерфейсе веб-администрирования Kerio Control значительно упрощает создание и управление правилами трафика. Он имеет очень интуитивно-понятный интерфейс и сокращает время, необходимое для конфигурации и управления этими правилами.
Для кого? Для системного администратора.
Улучшения системы аутентификации пользователей и управления устройствами.
Что это? Для улучшения управления устройствами и пользователями в сети были добавлены новые возможности: • Теперь пользователи могут автоматически входить в систему при помощи аппаратного адреса (MAC-адреса) устройств. • Теперь в окне администратора «Активные узлы» имеется параметр «Выполнять вход пользователя автоматически». Ранее устройства можно было назначать пользователям только путем ручного ввода IP-адреса устройства. • Журнал «Hosts» поможет администратору увидеть время входа/выхода пользователей из брандмауэра. • В окне «Активные узлы» перечислены MAC-адреса, что позволяет более точно определить устройства в сети.
Для чего? Главное преимущество данной функции в том, что при включении автоматического входа пользователям не нужно вводить логин и пароль каждый день при доступе через проводную или беспроводную сеть. Устройства пользователей теперь идентифицируются по MAC-адресу, что избавляет пользователей от ручного ввода логинов и паролей.
Для кого? Для пользователей и системного администратора.
Остальные новые функции
Блокировка IP-адресов, не присвоенных DHCP-сервером (в меню Конфигурация -> Параметры безопасности). Эта функция гарантирует, что все устройства в сети управляются вами, а также упрощает идентификацию устройств. Эта опция также добавлена в пункте меню «Фильтр MAC адресов».
К трафику внутри туннелей VPN можно применять правила управления полосой пропускания. (Не относится к VPN-клиентам). Например, при маршрутизации трафика VoIP через туннель VPN, теперь можно установить повышенный приоритет голосовой связи. Использовавшийся ранее алгоритм обработки туннелей VPN не позволял применять правила управления полосой пропускания к трафику, передаваемому внутри VPN туннеля.
Обновление ОС до последней версии Debian. Благодаря этому расширился список поддерживаемого оборудования, и повысилась производительность.
Множественные имена узлов в SSL-сертификатах (с использованием альтернативных имен субъектов). Это позволяет нескольким доменам использовать один SSL-сертификат. Данная функция особенно полезна при работе с обратным прокси-сервером при необходимости размещения нескольких безопасных веб-узлов.
Автоматическое резервное копирование конфигурации на FTP-сервер. Теперь резервное копирование можно выполнять как на Samepage.io, так и на FTP-сервер. Резервные копии можно также сохранять вручную при помощи помощника конфигурирования.
Система предотвращения вторжений (IPS) теперь может сканировать трафик IPv6.
В функции использования динамических DNS имён включены дополнительные возможности для обнаружения IP адресов интернет шлюза. До версии 8.3, Kerio Control мог обновлять записи служб динамических DNS имён только для указанных сетевых интерфейсов. Теперь можно обновлять записи теми IP-адресами интернет шлюза, которые могут быть назначены любому сетевому интерфейсу, входящему в состав группы Интернет-интерфейсов в Kerio Control. Это повышает надежность удаленного доступа к опубликованным службам, в которых подключение к Интернету регулярно переключается (например, морские суда). Kerio Control включает следующие службы динамических DNS: ChangeIP, DynDNS и No-IP.
16 мая состоялся вебинар, посвященный данному релизу. Запись данного вебинара можно посмотреть здесь.
habr.com
GFI » Программное обеспечение » Сетевая безопасность » Kerio Control » Описание |
|
Межсетевой экран и маршрутизатор, система обнаружения и предотвращения вторжений (IPS), антивирус, VPN, веб-фильтр и фильтрация приложений. GFI Kerio Control Сетевая безопасность 0 Описание Kerio Control Описание Kerio ControlМежсетевой экран, маршрутизатор и защита от вторженийKerio Control проводит глубокий анализ сетевых пакетов, обладает расширенными возможностям для маршрутизации в сети, поддерживает IPv4 и IPv6. Тонкая настройка позволяет управлять входящим и исходящим трафиком, разрешать соединения только с заданными URL, приложениями, типом трафика, категориями данных и в указанное время суток. Современный антивирус на шлюзеНе позволяйте вирусам, червям, троянским и шпионским программам засорять вашу сеть — используйте встроенный Kerio антивирус.Сканируются все веб-страницы, FTP-трафик, электронная почта, вложенные файлы и загрузки. Новейшие сигнатуры угроз регулярно загружаются из сети. Надежная фильтрация интернет-контента и приложенийВы сможете выборочно блокировать, разрешать или протоколировать доступ к 141 категории веб-сайтов и приложений. Защитите вашу сеть от паразитного трафика, потокового видео или P2P загрузок. Ваши пользователи больше не пострадают от посещения вредоносных сайтов, которые содержат вирусы и шпионские программы. Тонкое управление трафикомНастройка приоритетов для сетевого трафика гарантирует высокую скорость передачи для наиболее важных бизнес-приложений, например, телефонии. При наличии нескольких интернет-соединений Kerio Control будет контролировать доступность каналов связи и автоматически отключит или повторно включит соединение с тем, чтобы обеспечить непрерывный доступ в интернет. Подробная отчетностьСведения об использовании интернета и приложений отдельными пользователями — начиная от списка и времени посещения сайтов, и заканчивая конкретными поисковыми запросами пользователей в поисковых системах и на веб-сайтах. Безопасный VPNФункции VPN для связи ваших пользователей с головным офисом уже встроены в продукт! VPN требует минимальной настройки и обеспечивает высокопроизводительное подключение. Для подключения мобильных и прочих устройств есть поддержка IPsec/L2TP, а также двухфакторная проверка пользователя. Удаленное управление и мониторингМониторинг и настройка возможна как с компьютера, так и с планшета. Вы можете управлять настройками безопасности, пользователями, пропускной способностью и политиками при помощи интуитивно понятного интерфейса из любой точки сети. Варианты установкиKerio Control может быть установлен в виде программного обеспечения или виртуальной машины на Windows, Linux и MacOS. Kerio Control полностью поддерживает IPv6, IPv4, а также одновременное использование обоих протоколов. Для мониторинга состояния Kerio Control можно использовать любые инструменты работы с SNMP. Демонстрация работы продуктов онлайнНаш специалист покажет вам любой продукт: интерфейс в работе, функции, возможности. Подать заявкуОнлайн демоМы покажем вам продукт "живьем" онлайн, бесплатно установим и настроим. Оставить заявку |
Представлены рекомендованные цены в рублях для территории Росии и стран СНГ. Цены не не включают в себя возможные налоги и «роялти». |
gfi-software.ru
Kerio Control — установка и некоторые базовые настройки.
Для организации контроля в локальной сети нашей организации был выбран Kerio Control Software Appliance 9.2.4. Раньше эта программа называлась Kerio WinRoute Firewall. Рассматривать плюсы и минусы мы не будем, и почему выбран Керио, тоже, переходим сразу к делу. Программа версии 7 и выше устанавливается на голое железо без какой-либо операционной системы. В связи с этим подготовлен отдельный ПК (не виртуальная машина) со следующими параметрами:
-процессор AMD 3200+;
-ОЗУ 2 Гб;
-HDD 500Гб; (необходимо гораздо меньше)
— Сетевая карта – 2 шт.
Собираем ПК, вставляем 2 сетевых карты.
Для установки линукс-подобной системы нужно создать загрузочный носитель – флэшку или диск. В нашем случае флэшка создана с помощью программы UNetbootin.
Скачиваем Unetbootin.
Скачиваем Kerio Control Software Appliance. (можно купить лицензию или скачивать образ с встроенным активатором)
Объем образа Керио не превышает 300Мб, размер флэшки соответствующий.
Вставляем флэшку в USB разъем ПК или ноут-бука.
Форматируем в FAT32 средствами Windows.
Запускаем UNetbootin и выбираем следующие настройки.
Дистрибутив – не трогаем.
Образ – Стандарт ISO, указываем путь к скаченному образу Керио.
Тип – Устройство USB, выбираем нужную флэшку. ОК.
После некоторого времени создания, загрузочная флэшка готова. Жмем выход.
Вставляем загрузочную флэшку в подготовленный ПК, включаем его и в Boot menu выбираем загрузку с USB-HDD. В начавшейся загрузке выбираем linux.
Начнется установка Kerio Control Software Appliance 9.2.4. Выбираем язык.
Читаем лицензионное соглашение.
Принимаем его, нажав F8.
Вводим код 135. Программа предупреждает о том, что жесткий диск будет отформатирован.
Ждем пока идет установка.
Система перезагрузится.
Снова ждем.
Наконец дождались. Сообщение на экране говорит о том, что нужно в любом ПК, который подключен в одну сеть вместе с Керио перейти в браузере по написанному адресу.
Мы пока этого делать не будем, а переходим в Конфигурацию сети в самом Керио.
Конфигурация сетевого интерфейса Ethernet. Отмечаем пробелом – Назначить статический IP-адрес.
И назначаем его.
IP-адрес: 192.168.1.250
Маска подсети: 255.255.255.0
Если до установки ПО в сетевые карты были подключены два необходимых сетевых провода для внешней и внутренней сети, то об этом компьютере можно забыть. Я поставил его в уголок и даже забрал монитор.
Теперь в браузере того ноут-бука, в котором создавалась загрузочная флэшка, я перехожу по адресу:
https://192.168.1.250:4081/admin. Браузер может сообщить что Возникла проблема с сертификатом безопасности этого сайта. Нажимаем ниже – Продолжить открытие этого веб сайта и попадаем в мастер активации.
Анонимную статистику, конечно же, не передаем, убираем галочку.
Вводим новый пароль администратора.
Выполняем авторизацию.
Вот и всё. Здравствуй Керио.
Нужно отметить, что выбранный IP-адрес 192.168.1.250 для сетевой карты внутренней сети решено было изменить на адрес 192.168.1.1 для того, чтоб не перенастраивать много оборудования. Сеть существовала долгое время без контроля и Керио пришлось в неё добавить методом встраивания. После смены IP чтоб попасть в интерфейс нужно вводить https://192.168.1.1:4081/admin. Ниже на рисунке структурная схема подключения.
Первоначально, все функции маршрутизации и DNS выполнял модем с IP –адресом 192.168.1.1. При установке Керио модему назначили адрес 192.168.0.1 и он обращается к внешней сетевой карте Керио с адресом 192.168.0.250. Адреса в одной подсети. Внутренняя сетевая карта получила адрес, который раньше был у модема. Всё оборудование в сети со статическими IP-адресами и прописанным шлюзом (а это почти вся наша сеть) увидело новый шлюз как старый и даже, не заподозрило подмены : )
При первом запуске Керио, мастер предлагает настроить интерфейсы. Можно настраивать не через мастера. Рассмотрим подробнее всё, что описано выше.
Во вкладке интерфейсы выбираем пункт Интернет-интерфейсы.
Придумываем название типа Внешняя сеть или Интернет, по умолчанию написано WAN. Вводим вручную данные IP адреса, маску, шлюз и DNS, всё в одной подсети с модемом. ОК.
Далее выбираем следующее подключение в пункте Доверенные/локальные интерфейсы – наша внутренняя сеть. Эти пункты в зависимости от версии Керио могут называться по другому. Придумываем имя и вносим данные как на картинке ниже. Внешняя и внутренняя сеть не могут находится в одной подсети. Это не нужно забывать. DNS от Керио. Шлюз не пишем. ОК.
Нажимаем кнопку Применить в нижней правой части экрана, настройки активируются. Проверим подключение к Интернету. Интернет работает.
Можно переходить к созданию правил трафика, фильтрации содержимого, посмотреть, кто скачивает торренты и перегружает сеть, ограничить скорость или заблокировать. Короче, Керео полноценно работает и в нем есть множество настроек. Тут каждый настраивает что кому нужно.
Рассмотрим еще один важный момент – это открытие портов. До установки Керео в модеме были проброшены порты на сервер. Так же изначально необходимые порты были открыты в самом сервере. Без этих портов спец. софт сервера не может нормально работать. Рассмотрим открытие порта 4443.
Модем HUAWEI HG532e, заходим в него, для этого в адресной строке браузера вводим 192.168.0.1. Переходим по вкладкам Advanced—>NAT—> Port Mapping и вносим данные как на картинке ниже.
Интерфейс – наше подключение (в режиме роута кстати).
Протокол – TCP/UDP.
Remote host – ничего.
External start port/end port – 4443 (внешний порт).
Internal host – 192.168.0.250 (адрес внешней сетевой карты Керео).
Internal port – 4443 (внутренний порт).
Mapping name – любое понятное имя.
Принцип действия таков, что обращение из интернета на внешний статический IP-адрес к порту 4443 будет переадресовано к внешней сетевой карте Керио. Теперь нужно сделать так, чтоб запрос с внешней сетевой карты перенаправлялся на внутреннюю сетевую карту и далее к нашему серверу на порт 4443. Это делается с помощью создания двух правил. Первой правило разрешает доступ извне, второе правило разрешает доступ изнутри.
Создаем эти два правила на вкладке Правила трафика. Разница в пунктах источник и назначения. Служба – наш порт 4443. см. картинку выше.
В пункте Трансляция делаем настройки как на картинке ниже. Отмечаем галочкой — Адрес назначения NAT и пишем там IP-адрес сервера назначения и нужный порт. ОК.
Нажимаем применить. Проверяем, открылся ли порт в он-лайн сервисе. Порт открыт.
Проверяем службы сервера, для которых всё это делалось – они заработали. Аналогичным способом можно открыть любой порт.
О прочих настройках Kerio Control Software Appliance возможно будет написано в других статьях.
www.pc360.ru
Kerio Control - это... Что такое Kerio Control?
Kerio Control (ранее назывался Kerio WinRoute Firewall и WinRoute Pro) — это программный межсетевой экран, разработанный компаниями Kerio Technologies и Tiny Software. Основными функциями программы являются: организация безопасного пользовательского доступа в Интернет, надежная сетевая защита ЛВС, экономия трафика и рабочего времени сотрудников за счет ограничения нецелевого доступа к различным категориям веб-контента. Продукт очень популярен среди российских системных администраторов. [источник не указан 264 дня]
Особенности программы
- Многоязычный интерфейс (16 языков, включая русский)
- Встроенный прокси-сервер
- Интегрированный антивирус от Sophos
- Возможность подключения дополнительных антивирусных модулей
- Контроль пропускной полосы канала
- Балансировка нагрузки на каналы
- Реализован собственный VPN
- Мониторинг и протоколирование пользовательской активности в Интернет
- Интеграция с Active Directory
Версии
С 3 до 4.x | 1998 | Winroute Pro версия 3 и 4, работающая на Windows 98 и Windows NT. |
4.x | 1 Февраля 2002 | Компания Kerio Technologies была сформирована из экс-сотрудников компании Tiny Software.[1] |
5.0 | 21 Февраля 2003 | Первая версия продукта под брендом Kerio. Поддержка DOS-версий Windows была остановлена. |
5.1 | 25 августа 2003 | Усовершенствован инструмент мониторинга пользовательской активности, поддержка функции переподключения при отказе, протокол инспектор для SIP — прозрачная работа SIP через NAT, расширенные опции протоколирования — поддержка утилит log rotation и syslog, настраиваемая DNS переадресация, настройка страниц переадресации для сайтов запрещенных правилами HTTP, определение использования P2P сетей пользователями, функция автоматического обновления, возможность использования DNS-имен в Политиках Трафика, поддержка NTLM аутентификации через веб-браузер Mozilla (Mozilla 1.4 и выше). |
6.0 | 7 Июля 2004 | Встроенный VPN, работающий в режимах клиент-сервер и сервер-сервер, система предупреждений и напоминаний, антивирусная проверка электронной почты (протоколов POP3 и SMTP), усовершенствованная система мониторинга пользовательской активности в реальном времени и статистики использования трафика, блокировщик пиринговых(P2P) сетей, поддержка антивируса VisNetic — написан плагин для интеграции. |
6.1 | 23 июня 2005 | Прозрачная аутентификация пользователей посредством Active Directory, поддержка нескольких доменов Active Directory, реализация Kerio Clientless SSL-VPN (бесклиентское приложение VPN, доступ к открытым ресурсам локальной сети через любой веб-браузер, в том числе и с мобильного устройства), настраиваемая маршрутизация VPN туннелей |
6.2 | 3 марта 2006 | Контроль пропускной полосы канала, двойная антивирусная проверка, регистрация продукта через консоль администрирования, возможность установки VPN клиента на 64-битные платформы Windows |
6.3 | 29 Марта 2007 | Модуль статистики и отчетности (Kerio StaR), поддержка 64-битных ОС-ем, поддержка Windows Vista, улучшенный блокировщик P2P сетей. |
6.4 | 17 сентября 2007 | Улучшенный модуль отчетности пользования интернет, распечатываемые отчеты, улучшенная производительность, поддержка технологии Динамический DNS |
6.5 | 9 сентября 2008 | Балансировка нагрузки на интернет-каналы, добавлены локальные версии на 11 языках. |
6.6 | 31 марта 2009 | VPN клиент для Mac и Linux, VPN клиент теперь работает как служба, улучшен просмотр сетевого окружения. |
7.0 | 1 июня 2010 | Продукт переименован в Kerio Control. Добавлен веб-интерфейс для администрирования. |
Ссылки
dic.academic.ru
Kerio Control 9.1 открывает новые возможности межсетевого экрана следующего поколения (NGFW) для СМБ компаний
Дорогие читатели, мы решили исправить несправедливость по отношению к нашему любимому продукту Kerio Control, релиз мажорной версии которого был несправедливо лишен должного внимания в нашем блоге. Надеюсь, то малое, что Вы сможете прочитать ниже, поможет Вам лучше узнать о тех новшествах, которые были добавлены в рамках данного релиза.
Милости просим под кат
Новый выпуск решения в области сетевой безопасности представляет новые возможности межсетевого экрана следующего поколения(NGFW), упрощение развертывания и улучшение системы мониторинга и уведомлений.
14 июня 2016 года компания Kerio Technologies выпустила Kerio Control 9.1, дополнив свое комплексное решение в области сетевой безопасности для малых и средних компаний возможностями межсетевого экрана следующего поколения (NGFW), среди которых — контроль приложений и безопасная фильтрация контента. Данные функции намного упростили управление сетевым трафиком.
«Мы помогаем предприятиям малого и среднего бизнеса повышать производительность труда и безопасность на рабочем месте,» — сказала Хезер Поне (Heather Paunet), вице-президент по продуктам. «Наши новые возможности контроля приложений обеспечивают более эффективный обзор работы сети, позволяют проще ограничивать использование приложений, отнимающих рабочее время, при этом обеспечивая доступ к приложениям и инструментам необходимых предприятию».
Последний выпуск также упрощает обновление и развертывание программных продуктов за счет функций автоматического обновления версииПО межсетевого экрана. При включении в сеть устройства Kerio Control, оно самостоятельно и немедленно устанавливает обновленную версию управляющей программы и начинает защищать сеть, пользователей и данные.
В Kerio Control 9.1 также предлагается приложение MyKerio для iPhone и Apple Watch, обеспечивающее мониторинг и уведомления в реальном времени для всех подключенных устройств. При изменении состояния немедленно подается уведомление, что позволяет быстро устранить любые проблемы.
Для тех кто интересуется темой более подробно, можно ознакомится со следующими материалами:
Так же мы предлагаем Вашему вниманию новый вебинар в рамках которого будут детально рассмотрены все новшества данной версии с проведением живой демонстрации работы продукта.
Для регистрации на участие в вебинаре, а так же получении его записи и презентации, перейдите по ссылке.
habr.com
|
Известный программный продукт Kerio Control представляет собой комплекс приложений для полноценной защиты вашей компьютерной сети. Функционально ПО способно заменить собой антивирус, программу администрирования пользователей, Web-фильтр и виртуальный UTM. ПО разворачивается на любых платформах и переносится без переустановки, так как выпускается для виртуальных сред VMware. У нас вы можете купить лицензию Kerio Control для государственных и образовательных учреждений, а также коммерческих организаций. Новые версии программы выпускаются для установки на ОС Linux и не требуют сложной установки. Можно установить Керио Контроль, разворачивая систему с ISO-образа, либо инициализировав виртуальную машину. Чтобы детально разобраться, как устанавливать Kerio Control и настраивать его в виртуальной среде, рекомендуем ознакомиться с основными принципами разворачивания ПО. |
Kerio Control: как установитьKerio Control может быть установлен с использованием Software Appliance или путем инициализации на сервере. Если применять первый способ, то для установки не понадобится выполнять все шаги по загрузке программы поэтапно. Установка будет выполнена быстро и с минимальным участием администратора. Если осуществлять инсталляцию ПО путем инициализации на сервере, вам нужно будет обозначить характеристики вашей виртуальной машины, такие как объем оперативки и количество процессоров. |
|
Kerio Control: настройкаПосле успешной установки программы вам будет доступна панель управления, на которой вы сможете настроить сетевую конфигурацию. После получения IP-адресов, можно легко подключиться к программе по локальной сети. Для настройки параметров нужно будет работать через веб-интерфейс. Есть возможность отрегулировать интерфейс в соответствии с актуальными функциями. Задайте правила трафика, настройте определения и выберите нужные параметры во вкладке "Кэш". Благодаря защищенному протоколу HTTPS/SSL вся деятельность по отладке параметров будет безопасной. Первой на консоли идет панель мониторинга. Используя ее, можно наблюдать активность пользователей, подключения и многое другое. |
|
Kerio Control VPN: настройкаЧтобы обеспечить безопасную передачу данных в программе используется VPN. Таким образом, в Kerio Control реализована возможность объединять удаленные локальные сети, при этом сотрудники имею доступ к корпоративным ресурсам, где бы они ни находились. Чтобы настроить VPN, необходимо вначале отрегулировать параметры на панели управления. Перейдя во кладку «Интерфейсы», нужно выбрать VPN-сервер, и в настройках включить функцию «Включить сервер Kerio VPN». В окне, где указаны свойства VPN-сервера, нужно также ввести название сертификата, указать предопределённый ключ (если вы будете его использовать). |
|
|
Kerio Control: настройка VPN-туннеляДля того чтобы выполнить настройку VPN-туннеля между двумя офисами, например, необходимо произвести базовую настройку в главном офисе через панель управления администратора. Вам необходимо установить доступ к серверу VPN через Интернет, создав правило для этого. После того как правило, разрешающее трафик, будет установлено, VPN-сервер будет доступен через внешнюю сеть. Настроив DNS и активировав VPN-сервер, можно будет создавать непосредственно туннель. Для этого необходимо будет кликнуть на кнопке «Добавить VPN-туннель». Задайте имя и способ подключения к удаленному офису. В завершение настройте правила, с помощью которых будет возможно подключение по локальной сети в обе стороны (главного офиса и удаленного). В филиале необходимо будет произвести те же шаги по настройке. |
Kerio Control IPSec: настройкаДля обеспечения соединения между двумя удаленными точками, например, главным офисом и филиалом, можно использовать не подключение не только по VPN-протоколу, но и IPSec. С помощью программы, находящейся в центральном офисе, нужно создать новый туннель IPSec. В параметрах задайте ip-адрес, предопределенный ключ, локальный и удаленный ID, а также другие необходимые настройки. Далее добавьте правила фаервола, политики шифрования и поработайте с настройками Peers. Так как в программе задана возможность автоматической генерации политик, при установке соединения они будут сразу же созданы. На роутере в удаленном офисе также появится политика для подсети, и туннель будет создан. |
|
|
Kerio Control: установка и настройка в WindowsВсе новые версии UTM-решения ориентированы на установку на ОС Linux в целях повышения производительности и сохранения безопасности сетей. Начиная с Kerio Control, версия 8.0.0 программа не выпускается в виде Windows-приложения. В программах для ОС Linux реализована поддержка виртуальных локальных сетей. Поэтому производители настоятельно рекомендуют использовать программные или виртуальные версии ПО. |
Kerio Control Software Appliance: настройкаSoftware Appliance дает возможность установить UTM на компьютер без операционной системы, либо в виртуальную среду. Таким образом, вы имеете возможность максимально легко внедрить программное обеспечение в компании. Software Appliance можно установить в виде образа с диска. Программный модуль обладает простым интерфейсом и не содержит возможных вирусных угроз. Для установки модуля не нужны специальные знания, а установку можно произвести как с диска, так и с флешки. После установки программы необходимо выбрать сетевой интерфейс и задать ip-адрес. Выполнив базовые настройки, необходимо будет указать номер лицензии, чтобы активировать UTM. Через интерфейс модуля вы можете создать VLAN интерфейсы и настроить их в режиме PPPoE. |
|
|
Kerio Control: настройка DNSНастройка DNS необходима для того чтобы сотрудники из филиала, например, имели доступ к ресурсам центрального офиса, а значит могли подключаться к их сети. Выполнив настройку, можно будет использовать DNS-сервер. На консоли администрирования нужно выбрать вкладку «Конфигурация» и кликнуть на параметре «DNS». Чтобы служба переадресации работала корректно, активируйте функцию «Использовать пользовательскую переадресацию». Правильно указав переадресацию, все запросы с домена не главного офиса будут перенаправляться на внутренний интерфейс программы, который связан с локальной сетью. |
www.softmagazin.ru