O proučavanju proizvoda tvrtke Kerio Technologies, koja proizvodi različita sigurnosna softverska rješenja za male i srednje tvrtke. Prema službenoj web stranici tvrtke, njene proizvode koristi više od 60.000 tvrtki diljem svijeta.
Stručnjaci SEC Consulta otkrili su mnoge ranjivosti u Kerio Controlu, tvrtkinom UTM rješenju, koje kombinira funkcije vatrozida, usmjerivača, IDS/IPS-a, antivirusnog pristupnika, VPN-a i tako dalje. Istraživači su opisali dva scenarija napada koji omogućuju napadaču ne samo preuzimanje kontrole nad Kerio Controlom, već i nad korporativnom mrežom koju bi proizvod trebao štititi. Iako su programeri već objavili popravke za većinu otkrivenih grešaka, istraživači napominju da je još uvijek moguće implementirati jedan od scenarija napada.
Prema istraživačima, Kerio Control rješenja su ranjiva zbog nesigurnog korištenja PHP-ove unserialize funkcije, kao i zbog korištenja stare verzije PHP-a (5.2.13), u kojoj su već ranije otkriveni ozbiljni problemi. Stručnjaci su također otkrili brojne ranjive PHP skripte koje omogućuju XSS i CSRF napade i zaobilaze ASLR zaštitu. Osim toga, prema SEC Consultu, web poslužitelj radi s root privilegijama i nema zaštitu od brutalnih napada i oštećenja memorije.
Dijagram scenarija prvog napada
Prvi scenarij napada koji su opisali stručnjaci uključuje iskorištavanje nekoliko ranjivosti odjednom. Napadač će morati upotrijebiti društveni inženjering i namamiti žrtvu na zlonamjernu stranicu koja će ugostiti skriptu koja će mu omogućiti da sazna internu IP adresu Kerio Control-a. Napadač tada mora iskoristiti CSRF bug. Ako žrtva nije prijavljena na kontrolnu ploču Kerio Control, napadač može upotrijebiti redovnu grubu silu za odabir vjerodajnica. To bi zahtijevalo XSS ranjivost da se zaobiđe SOP zaštita. Nakon toga možete prijeći na zaobilaženje ASLR-a i iskoristiti staru pogrešku u PHP-u (CVE-2014-3515) za pokretanje ljuske s root pravima. U biti, napadač tada dobiva puni pristup mreži organizacije. Video u nastavku prikazuje napad na djelu.
Drugi scenarij napada uključuje iskorištavanje RCE ranjivosti, koja je povezana s Kerio Control funkcijom ažuriranja i koju je prije više od godinu dana otkrio jedan od zaposlenika SEC Consulta. Stručnjaci predlažu korištenje ovog buga, koji omogućuje daljinsko izvršavanje proizvoljnog koda, u kombinaciji s XSS ranjivošću, koja omogućuje proširenje funkcionalnosti napada.
Stručnjaci tvrtke Kerio Technologies o problemima su obaviješteni krajem kolovoza 2016. Trenutno je tvrtka izdala Kerio Control 9.1.3, gdje je većina ranjivosti eliminirana. Međutim, tvrtka je odlučila web poslužitelju ostaviti root privilegije, a RCE bug povezan s funkcijom ažuriranja i dalje ostaje bez popravka.
Mnogi ljudi koriste vatrozid Kerio Control. Ima najširu funkcionalnost, pouzdanost i jednostavnost korištenja. Danas ćemo govoriti o tome kako postaviti pravila za upravljanje propusnošću. Jednostavno rečeno, pokušajmo ograničiti brzinu pristupa internetu za korisnike i grupe.
Kako ograničiti brzinu interneta za korisnike i grupe u Kerio Control
I tako idemo na Kerio Control administrativnu ploču. S lijeve strane tražimo stavku Upravljanje propusnošću. Prvo, naznačimo brzinu vaše internetske veze. Pri dnu, u polju Propusnost internetske veze, kliknite na promjenu i unesite brzinu preuzimanja i slanja. Ovi podaci su potrebni za ispravan rad samog Kerio Control-a.
Sada dodajte novo pravilo, kliknite dodaj i unesite naziv.
Zatim u polju Promet trebate naznačiti za koga će se ovo ograničenje odnositi. Postoji mnogo opcija, ali nas zanimaju određene grupe i korisnici, pa kliknite na Korisnici i grupe. U prozoru koji se otvori odaberite potrebne korisnike ili grupu. Možete odmah odabrati i grupu i korisnike.
Sada postavite ograničenje brzine preuzimanja. Označavamo koliki dio ukupne brzine treba rezervirati za te grupe i korisnike te sam limit. Isto označavamo za stavku preuzimanja.
Ostavljamo sučelje i dostupno vrijeme kao zadane i primjenjujemo ovo pravilo.
Maksim Afanasjev
Kerio Technologies od 1997. godine razvija i izdaje jedinstvena softverska rješenja u području računalne sigurnosti za zaštitu internih mreža tvrtke od vanjskih napada te stvara sustave za suradnju i elektroničku komunikaciju. Proizvodi tvrtke Kerio Technologies namijenjeni su srednjim i malim tvrtkama, ali se mogu uspješno koristiti iu velikim tvrtkama. Vrijedno je napomenuti da je softver razvijen uzimajući u obzir svjetske trendove u području informacijske sigurnosti, a sama tvrtka je inovator u ovom području.
Prototip programskog paketa Kerio Control, o kojem će biti riječi u ovom članku, bio je softverski pristupnik Winroute Pro, čija je prva verzija objavljena 1997. godine. Softver Winroute Pro bio je napredni proxy poslužitelj dizajniran da lokalnim računalima omogući pristup internetu putem jednog vanjskog internetskog kanala. Ovaj je proizvod gotovo odmah stekao popularnost i vrlo brzo postao konkurent jednom od najrasprostranjenijih proxy poslužitelja u to vrijeme, WinGateu. Već tada su se Kerio proizvodi odlikovali jasnim sučeljem i praktičnom konfiguracijom, a također, što je još važnije, pouzdanošću i sigurnošću. Od tada se Kerio Winroute stalno modernizirao, dodane su mu mnoge korisne značajke i mogućnosti. Na početku svog puta zvao se Winroute Pro, potom je naziv promijenjen u Winroute Firewall, a od verzije 7 proizvod je dobio sadašnji naziv - Kerio Control.
Kerio je vrlo brzo uvidio mogućnosti virtualizacije i krenuo putem maksimalne integracije s virtualnim okruženjima koja se danas aktivno razvijaju zahvaljujući pojavi višejezgrenih procesora i značajnom napretku u području IT-a. Svi novi Kerio proizvodi sada su dostupni za VMware i Hyper-V virtualizacijska okruženja, omogućujući vam da implementirate softver na bilo kojoj platformi i migrirate proizvod bez potrebe da ga ponovno instalirate na novu hardversku platformu. Osim toga, ovaj pristup mrežnim administratorima tvrtke nudi veći izbor pri izgradnji mrežne infrastrukture. U početku su Kerio proizvodi bili isporučeni kao Windows aplikacija, ali nakon izdavanja verzije za virtualizacijske sustave, tvrtka je odlučila potpuno apstrahirati od operativnog sustava i više ne izdavati Kerio Control kao zasebnu aplikaciju. Počevši od verzije 8, Kerio Control dolazi u samo tri verzije: Software Appliance, VMware Virtual Appliance i Hyper-V Virtual Appliance. Sve opcije koriste modernizirani Linux operativni sustav temeljen na Debianu (koristi se SMP verzija sa smanjenom funkcionalnošću), koji ne zahtijeva dodatno dugotrajno postavljanje i održavanje. Firewall Software Appliance dostupan je kao ISO slika veličine nešto više od 250 MB i može se jednostavno instalirati na namjenski hardver bez potrebe za instalacijom operativnog sustava. VMware Virtual Appliance dolazi u OVF i VMX paketima za VMware okruženja, a Hyper-V Virtual Appliance dizajniran je za Microsoftove virtualizacijske sustave, a svi su unaprijed postavljeni s konfigurabilnim opcijama. Prema programeru, OVF verzija ovog softvera, u načelu, može se instalirati na druge virtualizacijske sustave. Ovakav pristup omogućuje fleksibilniji pristup implementaciji mreže tvrtke i odustaje od korištenja hardverskih rješenja koja se često ne mogu hardverski nadograditi jer to iziskuje značajne troškove ili su njihove mogućnosti strogo ograničene.
Pogledajmo glavne značajke softvera Kerio Control, kao i niz inovacija koje su nedostajale u prethodnim verzijama. Podsjetimo, osma verzija Kerio Controla prvi put je objavljena u ožujku ove godine. U vrijeme pisanja, osim malog ažuriranja, Kerio je u lipnju objavio ažuriranje Kerio Control 8.1, koje je također donijelo neke dodatne funkcionalnosti.
Instalacija Kerio Controla može se izvršiti ili korištenjem softverskog uređaja, to jest postavljanjem sustava iz zasebne ISO slike, ili inicijalizacijom virtualnog stroja na virtualizacijskom poslužitelju. Potonja metoda uključuje nekoliko instalacijskih putova, uključujući mogućnost automatskog preuzimanja najnovije verzije Kerio Controla s web stranice proizvođača putem Vmware VA Marketplacea. Prilikom instalacije s ISO slike, svi koraci za postavljanje Kerio Controla uključuju administratora koji odgovara na nekoliko jednostavnih pitanja čarobnjaka za instalaciju. Inicijalizacija virtualnog stroja Kerio Control omogućuje preskakanje glavne faze instalacije, a administrator treba samo postaviti početne parametre virtualnog stroja: broj procesora, količinu RAM-a, broj mrežnih adaptera i veličinu diskovni podsustav. U osnovnoj verziji, Kerio Control virtualni stroj ima minimalne parametre, međutim, za daljnju administraciju potreban je barem jedan mrežni adapter, naveden u svojstvima stroja.
Nakon instalacije sustava na ovaj ili onaj način i uspješne inicijalizacije Kerio Controla, korisnik će imati pristup osnovnim postavkama mrežne konfiguracije putem upravljačke konzole (slika 1). Prema zadanim postavkama, mrežni adapteri spojeni na Kerio Control pokušavaju dobiti IP adrese pomoću DHCP-a. Ako je dobivanje IP adrese bilo uspješno, administrator se može spojiti na Kerio Control putem lokalne mreže unosom IP adrese prikazane u upravljačkoj konzoli. Osnovna upravljačka konzola omogućuje konfiguriranje postavki mrežnog adaptera, vraćanje Kerio kontrole na osnovne postavke, ponovno pokretanje ili onemogućavanje Kerio kontrole. Vrijedno je napomenuti da, ako je potrebno, možete izaći na punu bash naredbenu ljusku operativnog sustava pritiskom na kombinaciju tipki Alt + F2-F3. Da biste se prijavili, morat ćete unijeti root prijavu i administratorsku lozinku navedene prilikom instalacije Kerio Control. Dodatne informacije o otklanjanju pogrešaka mogu se pozvati pritiskom na Alt + F4-F5. Daljnja konfiguracija parametara odvija se putem web administracijske konzole preko SSL šifriranog kanala.
Riža. 1. Upravljačka konzola
Svi parametri mogu se podesiti putem upravljačke ploče koja radi preko sigurnog web sučelja (slika 2). Rad s takvim sučeljem odvija se putem sigurnog HTTPS/SSL protokola. Administrativna konzola omogućuje vam upravljanje svim postavkama vatrozida. U usporedbi s prethodnim verzijama temeljenim na verziji 7 Kerio Controla, dizajn ove upravljačke ploče je doživio značajne promjene. Dakle, prva stranica upravljačke ploče ima popločano, prilagodljivo sučelje ("Nadzorna ploča"), na koje možete dodati ili ukloniti potrebne elemente za brzo dijagnosticiranje statusa Kerio Control. Ovo je vrlo zgodno, budući da administrator odmah vidi opterećenje komunikacijskih kanala, aktivnosti korisnika, status sustava, VPN veze itd.
Riža. 2. Upravljačka ploča
Ažuriranoj verziji Kerio Control 8.1 dodane su sljedeće opcije: spremanje konfiguracije i postavki u uslugu oblaka Samepage.io u automatskom načinu rada, praćenje parametara putem SNMP protokola, mogućnost korištenja alata za uklanjanje pogrešaka Ping, Traceroute, DNS Lookup, Tko je u ime pristupnika Kerio Control u web sučelju administracije. Osim toga, Kerio Control sada podržava regularne izraze za URL-ove, automatsko podizanje VPN tunela, brute force zaštitu lozinkom i naprednije mogućnosti analize paketa. Također treba napomenuti da je najnovija verzija Kerio Control Software Appliance dodala podršku za više RAID kontrolera, što će proširiti mogućnost postavljanja ovog sustava na pojedinačne hardverske platforme.
Kerio Control web sučelje za upravljanje ima ne samo administrativnu ploču, već i zasebno korisničko sučelje (slika 3). Administrativna ploča nema mogućnost mijenjanja bilo čega u Kerio Controlu, ali vam omogućuje praćenje korisnika ili korisničke statistike u različitim vremenskim razdobljima. Statistika pruža podatke o posjećenim resursima, količini prenesenih podataka i druge informacije. Ukoliko korisnik ima administrativni račun u Kerio Control sustavu, preko ove upravljačke ploče može dobiti statističke podatke o drugim korisnicima sustava. Precizna i dobro promišljena statistika pomaže administratoru da sazna korisničke preferencije pri radu na Internetu, pronađe kritične elemente i probleme. Ploča generira detaljan histogram korištenja prometa za svakog korisnika na mreži. Administrator može odabrati razdoblje za koje želi pratiti korištenje prometa: dva sata, dan, tjedan i mjesec. Osim toga, Kerio Control prikazuje statistiku o stvarnom korištenju prometa prema vrsti: HTTP, FTP, e-pošta, streaming multimedijski protokoli, razmjena podataka izravno između računala ili proxyja.
Riža. 3. Korisnička ploča
Za modernu tvrtku, čije se podružnice mogu nalaziti po cijelom svijetu, sigurna veza s korporativnom mrežom nužan je uvjet, jer se outsourcing danas aktivno razvija. Uz Kerio Control, postavljanje VPN-a gotovo je jednostavno. VPN poslužitelj i klijenti dio su sigurnog daljinskog pristupa Kerio Control mreži tvrtke. Korištenje Kerio VPN virtualne mreže omogućuje korisnicima daljinsko povezivanje s bilo kojim resursima na korporativnoj mreži i rad s mrežom organizacije kao da je to njihova vlastita lokalna mreža. VPN poslužitelj ugrađen u proizvod Kerio Control omogućuje organiziranje VPN mreža u dva različita scenarija: “poslužitelj - poslužitelj” i “klijent - poslužitelj” (koristi ga Kerio VPN klijent za Windows, Mac i Linux). Način rada "poslužitelj na poslužitelj" koriste tvrtke koje žele povezati udaljeni ured putem sigurnog kanala za dijeljenje zajedničkih resursa. Ovaj scenarij zahtijeva Kerio Control na svakoj od spojenih strana za uspostavljanje sigurnog kanala preko otvorenog Interneta. Način rada klijent-poslužitelj omogućuje udaljenom korisniku sigurno povezivanje prijenosnog ili kućnog računala na korporativnu mrežu. Kao što mnogi administratori sustava znaju, VPN i NAT (Network Address Translation) protokoli ne rade uvijek zajedno. Kerio VPN dizajniran je za pouzdan rad preko NAT-a, pa čak i niza NAT pristupnika. Kerio VPN koristi standardne algoritme za šifriranje SSL kanala (TCP) i Blowfish (UDP), a također podržava IPSec.
Kerio Control Gateway ima ugrađenu zaštitu od virusa, koja se osigurava skeniranjem dolaznog i odlaznog prometa. Ako je ranije Kerio Control koristio ugrađeni antivirusni program od McAfeeja, najnovije verzije koriste antivirusni program od Sophosa. Administrator može postaviti pravila nadzora za promet preko različitih protokola: SMTP i POP3, WEB (HTTP) i prijenos datoteka (FTP). Ugrađeni antivirus vatrozida instaliran na pristupniku pruža potpunu zaštitu za promet koji prolazi kroz pristupnik. Budući da integrirani antivirus može primati ažuriranja s novim bazama virusa u stvarnom vremenu, to značajno povećava razinu sigurnosti mreže, uz korištenje antivirusnih programa na svakom računalu u lokalnoj mreži. Antivirus skenira dolazne i odlazne poruke, kao i sve privitke. Ako se u privitku otkrije virus, cijeli se privitak briše i e-poruci se dodaje obavijest. Osim toga, Kerio Control skenira sav mrežni promet, uključujući HTML stranice, na ugrađene viruse. Datoteke preuzete putem HTTP-a i datoteke prenesene putem FTP-a također se skeniraju na viruse. Osim toga, treba napomenuti da za organizacije i institucije poput škola koje ne žele da njihovi zaposlenici i klijenti posjećuju određene stranice, Kerio Control s ugrađenim Kerio Control Web Filter (dostupan kao opcija uz nadoplatu) omogućuje dodatne opcije za blokiranje stranica na internetu.
Kerio Control omogućuje administratorima ne samo stvaranje cjelokupne prometne strategije, već i postavljanje i provedbu ograničenja za svakog korisnika. Svaki se korisnik prije pristupa internetu mora prijaviti na Kerio Control. Korisnički računi pohranjuju se u zasebnu internu korisničku bazu podataka ili se preuzimaju iz korporativnog Microsoft Active Directoryja ili Apple Open Directoryja. Moguća je paralelna uporaba lokalnih i domenskih korisničkih baza podataka. Kada koristite integraciju s Microsoft Active Directoryjem, autorizacija klijenta može se transparentno dogoditi korisnicima domene putem NTLM provjere autentičnosti. Kao dio Windows 2008/2012 Servera, Active Directory omogućuje administratorima centralno upravljanje korisničkim računima i podacima o mrežnim resursima. Active Directory omogućuje pristup korisničkim informacijama s jednog računala. Active Directory/Open Directory podrška daje Kerio Control pristup korisničkoj bazi podataka u stvarnom vremenu i omogućuje vam postavljanje korisnika na lokalnoj mreži bez spremanja lozinke. Na ovaj način nema potrebe sinkronizirati lozinke za svakog korisnika. Sve promjene u Microsoft Active Directory/Open Directory automatski se odražavaju u Kerio Control.
Administrator može postaviti različita ograničenja prava pristupa za svakog korisnika. Ta se pravila mogu postaviti da vrijede za određena vremenska razdoblja i postaviti različita ograničenja korištenja prometa. Kada se dosegne ograničenje, Kerio Control šalje e-mail upozorenje korisniku i administratoru ili administrator blokira tog korisnika do kraja dana ili mjeseca.
Zaključno, vrijedi napomenuti da je Kerio Control vrlo popularan proizvod među sistemskim administratorima zbog svojih neporecivih prednosti koje ima u usporedbi, primjerice, sa sličnim rješenjima uključenim u standardni paket operativnih sustava temeljenih na Linuxu (primjerice, iptables ). Brzo postavljanje, široke mogućnosti i visok stupanj zaštite - sve to čini ovaj softverski proizvod privlačnim za male tvrtke.
Kerio Control spada u tu kategoriju softver, koji kombiniraju širok raspon funkcionalnosti s jednostavnošću implementacije i rada. Danas ćemo pogledati kako se ovaj program može koristiti za organiziranje grupnog rada među zaposlenicima na Internetu, kao i pouzdanu zaštitu lokalne mreže od vanjskih prijetnji.
spada u kategoriju proizvoda u kojima je širok raspon funkcionalnosti spojen s jednostavnošću implementacije i rada. Danas ćemo pogledati kako se ovaj program može koristiti za organiziranje grupnog rada među zaposlenicima na Internetu, kao i pouzdanu zaštitu lokalne mreže od vanjskih prijetnji.
Implementacija proizvoda započinje njegovom instalacijom na računalo koje ima ulogu internetskog pristupnika. Ovaj se postupak ne razlikuje od instaliranja bilo kojeg drugog softvera i stoga se nećemo zadržavati na njemu. Napominjemo samo da će tijekom ovog procesa biti onemogućene neke Windows usluge koje ometaju rad programa. Nakon dovršetka instalacije možete nastaviti s konfiguracijom sustava. To se može učiniti lokalno, izravno na internetskom pristupniku ili daljinski, s bilo kojeg računala spojenog na korporativnu mrežu.
Prije svega, pokrećemo kroz standardni izbornik " Početak"upravljačka konzola. Koristi se za konfiguriranje dotičnog proizvoda. Radi praktičnosti možete stvoriti vezu koja će vam u budućnosti omogućiti brzo povezivanje. Da biste to učinili, dvaput kliknite na stavku" Nova veza", označite u prozoru koji otvara proizvod (Kerio Control), host na kojem je instaliran, kao i korisničko ime, zatim kliknite na gumb " Spremi kao" i unesite naziv veze. Nakon toga možete uspostaviti vezu s. Da biste to učinili, dvaput kliknite na stvorenu vezu i unesite svoju lozinku.
Osnovno postavljanje Kerio Control
U principu, svi radni parametri mogu se konfigurirati ručno. Međutim, za početnu implementaciju mnogo je prikladnije koristiti poseban čarobnjak koji se automatski pokreće. Na prvom koraku od vas se traži da se upoznate s osnovnim informacijama o sustavu. Ovdje također postoji podsjetnik da računalo na kojem je pokrenut Kerio Control mora biti spojeno na lokalnu mrežu i imati ispravnu internetsku vezu.
Druga faza je odabir vrste internetske veze. Ovdje su dostupne četiri opcije među kojima trebate odabrati najprikladniju za vašu lokalnu mrežu.
- Stalni pristup – internetski pristupnik ima stalnu vezu s internetom.
- Dial-on-demand - po potrebi će samostalno uspostaviti internetsku vezu (ako je dostupno RAS sučelje).
- Ponovno povezivanje u slučaju kvara – kada se internetska veza izgubi, automatski će se prebaciti na drugi kanal (potrebne su dvije internetske veze).
- Balansiranje opterećenja kanala - istovremeno će koristiti nekoliko komunikacijskih kanala, raspoređujući opterećenje između njih (potrebne su dvije ili više internetskih veza).
U trećem koraku potrebno je odrediti mrežno sučelje ili sučelja spojena na Internet. Program sam detektira i prikazuje sva dostupna sučelja u obliku popisa. Dakle, administrator može samo odabrati odgovarajuću opciju. Vrijedno je napomenuti da u prve dvije vrste veza morate instalirati samo jedno sučelje, au trećoj - dva. Postavka četvrte opcije malo se razlikuje od ostalih. Omogućuje dodavanje bilo kojeg broja mrežnih sučelja, za svako od kojih morate postaviti maksimalno moguće opterećenje.
Četvrti korak je odabir mrežnih usluga koje će biti dostupne korisnicima. U principu, možete odabrati opciju " Bez granica". Međutim, u većini slučajeva to neće biti sasvim razumno. Bolje je označiti one usluge koje su stvarno potrebne: HTTP i HTTPS za pregledavanje web stranica, POP3, SMTP i IMAP za rad s poštom itd.
Sljedeći korak je konfiguracija pravila za VPN veze. Za to se koriste samo dva potvrdna okvira. Prvi određuje koje klijente će korisnici koristiti za povezivanje s poslužiteljem. Ako su "izvorni", to jest, izdao ih je Kerio, potvrdni okvir mora biti aktiviran. Inače, na primjer, kada koristite ugrađene Windows alate, mora biti onemogućen. Drugi potvrdni okvir određuje mogućnost korištenja Kerio Clientless SSL VPN funkcije (upravljanje datotekama, mapama, preuzimanje i učitavanje putem web preglednika).
Šesti korak je kreiranje pravila za usluge koje rade na lokalnoj mreži, ali moraju biti dostupne i s interneta. Ako ste omogućili Kerio VPN Server ili Kerio Clientless SSL VPN tehnologiju u prethodnom koraku, tada će sve što je potrebno za njih biti automatski konfigurirano. Ako trebate osigurati dostupnost drugih usluga (poslužitelj korporativne pošte, FTP poslužitelj itd.), tada za svaku od njih kliknite gumb " Dodati", odaberite naziv usluge (otvorit će se standardni portovi za odabranu uslugu) i po potrebi navedite IP adresu.
Konačno, posljednji zaslon čarobnjaka za postavljanje je upozorenje prije početka procesa generiranja pravila. Samo ga pročitajte i kliknite na " Kompletan". Naravno, u budućnosti se sva stvorena pravila i postavke mogu promijeniti. Štoviše, možete ponovno pokrenuti opisani čarobnjak ili ručno urediti parametre.
U principu, nakon završetka rada čarobnjak je već u radnom stanju. Međutim, ima smisla malo prilagoditi neke parametre. Konkretno, možete postaviti ograničenja za korištenje propusnosti. Najviše se začepi kod prijenosa velikih, voluminoznih datoteka. Stoga možete ograničiti brzinu preuzimanja i/ili slanja takvih objekata. Da biste to učinili, u odjeljku " Konfiguracija"treba otvoriti odjeljak" Ograničenje propusnosti", omogućite filtriranje i unesite propusnost dostupnu za velike datoteke. Ako je potrebno, možete učiniti ograničenje fleksibilnijim. Da biste to učinili, kliknite na " Dodatno" i navedite u prozoru koji otvara usluge, adrese i vremenske intervale za filtre. Osim toga, možete odmah postaviti veličinu datoteka koje se smatraju velikima.
Korisnici i grupe
Nakon početnog postavljanja sustava, možete početi dodavati korisnike u njega. Međutim, prikladnije je prvo ih podijeliti u skupine. To će olakšati upravljanje njima u budućnosti. Da biste stvorili novu grupu, idite na " Korisnici i grupe->Grupe" i kliknite na gumb " Dodati". Ovo će otvoriti poseban čarobnjak koji se sastoji od tri koraka. U prvom koraku morate unijeti naziv i opis grupe. U drugom možete odmah dodati korisnike u nju, ako su, naravno, već U trećem koraku morate definirati prava grupe: pristup administraciji sustava, mogućnost onemogućavanja raznih pravila, dopuštenje za korištenje VPN-a, pregled statistike itd.
Nakon stvaranja grupa, možete nastaviti s dodavanjem korisnika. Najlakši način da to učinite je ako je domena raspoređena na korporativnoj mreži. U tom slučaju samo idite na odjeljak " Korisnici i grupe->Korisnici", otvorite karticu Active Directory, uključite potvrdni okvir " Koristi bazu podataka korisnika domene" i unesite prijavu i lozinku računa koji ima pravo pristupa ovoj bazi podataka. U ovom slučaju koristit će se računi domene, što je, naravno, vrlo zgodno.
U protivnom ćete morati ručno unijeti korisnike. U tu svrhu predviđena je prva kartica dotičnog odjeljka. Izrada računa sastoji se od tri koraka. Na prvom morate navesti prijavu, ime, opis, adresu e-pošte, kao i parametre provjere autentičnosti: prijavu i lozinku ili podatke iz Active Directoryja. U drugom koraku možete dodati korisnika u jednu ili više grupa. U trećoj fazi moguće je automatski registrirati račun za pristup vatrozidu i određenim IP adresama.
Postavljanje sigurnosnog sustava
Implementira široke mogućnosti za osiguranje sigurnosti korporativne mreže. U principu, već smo se počeli štititi od vanjskih prijetnji kada smo postavili firewall. Osim toga, predmetni proizvod implementira sustav za sprječavanje upada. Omogućeno je prema zadanim postavkama i konfigurirano za optimalan rad. Dakle, ne morate ga dirati.
Sljedeći korak je antivirus. Vrijedno je napomenuti da nije dostupan u svim verzijama programa. Da biste koristili zaštitu od zlonamjernog softvera, potrebno ju je kupiti s ugrađenim antivirusom ili na internetskom pristupniku morate instalirati vanjski antivirusni modul. Da biste omogućili antivirusnu zaštitu, morate otvoriti odjeljak " Konfiguracija->Filtriranje sadržaja->Antivirus". U njemu morate aktivirati modul koji se koristi i potvrditi okvire za protokole koji se provjeravaju (preporuča se omogućiti sve). Ako koristite ugrađeni antivirusni program, morate omogućiti ažuriranje antivirusnog programa baze podataka virusa i postavite interval za izvođenje ovog postupka.
Zatim trebate konfigurirati sustav za filtriranje HTTP prometa. To se može učiniti u odjeljku " Konfiguracija->Filtriranje sadržaja->HTTP Pravila". Najjednostavnija opcija filtriranja je bezuvjetno blokiranje stranica koje sadrže riječi s crne liste. Da biste je omogućili, idite na karticu " Zabranjene riječi" i ispunite popis izraza. Međutim, postoji fleksibilniji i pouzdaniji sustav filtriranja. Temelji se na pravilima koja opisuju uvjete za blokiranje pristupa korisnika određenim stranicama.
Za izradu novog pravila idite na karticu " URL pravila", desnom tipkom miša kliknite polje i odaberite " iz kontekstnog izbornika Dodati". Prozor za dodavanje pravila sastoji se od tri kartice. Prva određuje uvjete pod kojima će se aktivirati. Prvo morate odabrati na koga se pravilo odnosi: na sve korisnike ili samo na određene račune. Nakon toga trebate za postavljanje kriterija za podudaranje URL-a tražene stranice. Da biste to učinili, možete koristiti niz koji je uključen u adresu, grupu adresa ili ocjenu web projekta u sustavu Kerio Web Filter (u biti kategorija. kojoj stranica pripada). Na kraju treba naznačiti reakciju sustava na ispunjenje uvjeta – dopustiti ili zabraniti pristup web stranici.
Na drugoj kartici možete odrediti interval u kojem će se pravilo primjenjivati (prema zadanim postavkama, uvijek), kao i grupu IP adresa na koje se primjenjuje (prema zadanim postavkama, sve). Da biste to učinili, jednostavno trebate odabrati odgovarajuće stavke na padajućim popisima unaprijed postavljenih vrijednosti. Ako vremenski intervali i grupe IP adresa još nisu postavljeni, pomoću gumba "Uredi" možete otvoriti željeni uređivač i dodati ih. Također na ovoj kartici možete postaviti radnju programa ako je web mjesto blokirano. To može biti izdavanjem stranice s danim tekstom odbijanja, prikazivanjem prazne stranice ili preusmjeravanjem korisnika na danu adresu (na primjer, na web stranicu tvrtke).
Ako korporativna mreža koristi bežične tehnologije, ima smisla omogućiti filter MAC adrese. To će značajno smanjiti rizik od neovlaštenog povezivanja različitih uređaja. Da biste implementirali ovaj zadatak, otvorite odjeljak " Konfiguracija->Prometna pravila->Sigurnosne postavke". U njemu aktivirajte potvrdni okvir " Filtar MAC adrese omogućen", zatim odaberite mrežno sučelje na koje će se distribuirati, prebacite popis MAC adresa na " Dopusti pristup mreži samo navedenim računalima" i ispunite ga podacima o bežičnim uređajima u vlasništvu tvrtke.
Idemo napraviti računicu
Dakle, kao što vidimo, unatoč širokoj funkcionalnosti, vrlo je jednostavno organizirati grupni rad korisnika korporativne mreže na Internetu uz njegovu pomoć. Jasno je da smo pokrili samo osnovne postavke ovog proizvoda.
Dobar dan, dragi čitatelji i gosti blog stranice, u bilo kojoj organizaciji uvijek postoje ljudi koji ne žele raditi i koji koriste korporativne resurse u druge svrhe, dat ću jednostavan primjer: imate mali ured, recimo 50 zaposlenika i internetskog kanala s propusnošću od 20 megabita i mjesečnim ograničenjem prometa od 50 GB, to je dovoljno za ured za normalno korištenje interneta i poslovni rad u zgradi, ali postoje ljudi koji možda žele preuzeti film za večer ili novi glazbeni album, a za to najčešće koriste terrent trackere, dopustite mi da vam pokažem kako u Kerio Control 8 možete zabraniti p2p promet i postaviti dnevno ograničenje prometa za zaposlenika.
Blokiranje p2p prometa u Kerio Control 8
I tako ste izgradili lokalnu mrežu u kojoj se pojavio zlonamjerni downloader, mislim da ćete ga odmah identificirati iz statističkih zapisa, filtrirati po stupcima. Osim opomene koja će uslijediti od strane uprave, Vi kao administrator sustava morate spriječiti daljnje pokušaje preuzimanja sadržaja putem p2p prometa.
Imate dvije opcije:
- Omogućite potpuno blokiranje p2p prometa
- Postavite dnevno ograničenje po korisniku
Započnimo s blokiranjem peer-to-peer prometa, idimo na filtar sadržaja i stvorimo novo pravilo. Kliknite dodaj i odaberite "Aplikacije i kategorije web sadržaja"
Pronađite odjeljak za preuzimanje i označite potvrdni okvir peer-to-peer mreže.
Na djelu, postavite pravila za brisanje.
U teoriji, za potpunu blokadu p2p prometa dovoljno je kreirano pravilo, ali također savjetujem da odredite kvote za korisnike ako imate Internet limit, kako biste ih naučili da ga koriste isključivo za poslovne potrebe. Da biste to učinili, idite na karticu Korisnici i u svojstvima bilo kojeg na kartici "Kvota" odredite dnevno ograničenje u megabajtima.
