Шағын және орта бизнес үшін әртүрлі қауіпсіздік бағдарламалық шешімдерін шығаратын Kerio Technologies өнімдерін зерттеу туралы. Компанияның ресми сайтындағы мәліметке қарағанда, оның өнімдерін дүние жүзінде 60 мыңнан астам компания пайдаланады.
SEC Consult мамандары брандмауэр, маршрутизатор, IDS/IPS, антивирус шлюзі, VPN және т.б. функцияларын біріктіретін компанияның UTM шешімі болып табылатын Kerio Control бағдарламасында көптеген осалдықтарды анықтады. Зерттеушілер шабуылдаушыға Kerio Control бақылауын ғана емес, сонымен қатар өнім қорғауы тиіс корпоративтік желіні де басып алуға мүмкіндік беретін екі шабуыл сценарийін сипаттады. Әзірлеушілер анықталған қателердің көпшілігі үшін түзетулерді шығарғанымен, зерттеушілер әлі де шабуыл сценарийлерінің бірін жүзеге асыру мүмкін екенін атап өтеді.
Зерттеушілердің пікірінше, Kerio Control шешімдері PHP сериясынан шығару функциясын қауіпті пайдалану, сондай-ақ бұрын күрделі мәселелер анықталған PHP ескі нұсқасын (5.2.13) пайдалану салдарынан осал. Сарапшылар сонымен қатар XSS және CSRF шабуылдарына мүмкіндік беретін және ASLR қорғанысын айналып өтетін бірқатар осал PHP сценарийлерін тапты. Сонымен қатар, SEC Consult мәліметтері бойынша, веб-сервер түбірлік артықшылықтармен жұмыс істейді және дөрекі күш шабуылдарынан және жадтың бүлінуінен қорғанысы жоқ.
Бірінші шабуыл сценарийінің диаграммасы
Сарапшылар сипаттаған бірінші шабуыл сценарийі бірден бірнеше осалдықтарды пайдалануды қамтиды. Шабуылдаушы әлеуметтік инженерияны қолдануы керек және құрбанды Kerio Control ішкі IP мекенжайын табуға мүмкіндік беретін сценарийді орналастыратын зиянды сайтқа тартуы керек. Содан кейін шабуылдаушы CSRF қатесін пайдалануы керек. Егер жәбірленуші Kerio басқару тақтасына кірмеген болса, шабуылдаушы тіркелгі деректерін таңдау үшін кәдімгі дөрекі күш қолдана алады. Бұл SOP қорғауын айналып өту үшін XSS осалдығын қажет етеді. Осыдан кейін ASLR-ді айналып өтуге және түбірлік құқықтары бар қабықты іске қосу үшін PHP-дегі ескі қатені (CVE-2014-3515) пайдалануға болады. Негізінде, шабуылдаушы ұйымның желісіне толық рұқсат алады. Төмендегі бейнеде шабуыл әрекеті көрсетілген.
Екінші шабуыл сценарийі Kerio Control жаңарту функциясымен байланысты және бір жылдан астам бұрын SEC Consult қызметкерлерінің бірі тапқан RCE осалдығын пайдалануды қамтиды. Сарапшылар ерікті кодты қашықтан орындауға мүмкіндік беретін бұл қатені шабуылдың функционалдығын кеңейтуге мүмкіндік беретін XSS осалдығымен бірге пайдалануды ұсынады.
Kerio Technologies мамандары проблемалар туралы 2016 жылдың тамыз айының соңында хабардар етілді. Қазіргі уақытта компания Kerio Control 9.1.3 шығарды, онда осалдықтардың көпшілігі жойылады. Дегенмен, компания веб-серверге түбірлік артықшылықтарды қалдыру туралы шешім қабылдады және жаңарту функциясымен байланысты RCE қатесі әлі де түзетілмей қалады.
Көптеген адамдар Kerio Control брандмауэрін пайдаланады. Ол ең кең функционалдылыққа, сенімділікке және пайдаланудың қарапайымдылығына ие. Бүгін біз өткізу қабілеттілігін басқару ережелерін орнату туралы сөйлесеміз. Қарапайым тілмен айтқанда, пайдаланушылар мен топтар үшін Интернетке кіру жылдамдығын шектеуге тырысайық.
Kerio Control жүйесінде пайдаланушылар мен топтар үшін Интернет жылдамдығын қалай шектеуге болады
Сонымен, Kerio Control басқару тақтасына барайық. Сол жақта біз Bandwidth Management элементін іздейміз. Алдымен интернетке қосылу жылдамдығын көрсетейік. Төменгі жағындағы Интернет қосылымының өткізу қабілеті өрісінде өзгерту түймесін басып, жүктеу және жүктеп салу жылдамдығын енгізіңіз. Бұл деректер Kerio Control құралының дұрыс жұмыс істеуі үшін қажет.
Енді жаңа ереже қосыңыз, қосу түймесін басып, атауды енгізіңіз.
Әрі қарай, «Трафик» өрісінде бұл шектеу кімге қолданылатынын көрсету керек. Опциялар көп, бірақ бізді белгілі бір топтар мен пайдаланушылар қызықтырады, сондықтан «Пайдаланушылар мен топтар» түймесін басыңыз. Ашылған терезеде қажетті пайдаланушыларды немесе топты таңдаңыз. Топты да, пайдаланушыларды да бірден таңдауға болады.
Енді жүктеу жылдамдығының шегін орнатыңыз. Біз осы топтар мен пайдаланушылар үшін жалпы жылдамдықтың қанша бөлігін сақтау керектігін және шектеудің өзін көрсетеміз. Жүктеп алу элементі үшін де солай көрсетеміз.
Біз интерфейсті және қолжетімді уақытты әдепкі ретінде қалдырамыз және осы ережені қолданамыз.
Максим Афанасьев
1997 жылдан бастап Kerio Technologies компаниясы компанияның ішкі желілерін сыртқы шабуылдардан қорғау үшін компьютерлік қауіпсіздік саласындағы бірегей бағдарламалық шешімдерді әзірлеп, шығарады және ынтымақтастық пен электрондық байланыс жүйелерін жасайды. Kerio Technologies өнімдері орта және шағын бизнеске бағытталған, бірақ оны ірі компанияларда да сәтті пайдалануға болады. Айта кету керек, бағдарламалық қамтамасыз ету ақпараттық қауіпсіздік саласындағы жаһандық үрдістерді ескере отырып әзірленген және компанияның өзі осы саладағы жаңашыл болып табылады.
Осы мақалада талқыланатын Kerio Control бағдарламалық пакетінің прототипі Winroute Pro бағдарламалық шлюзі болды, оның бірінші нұсқасы 1997 жылы шығарылды. Winroute Pro бағдарламалық құралы жергілікті компьютерлерді бір сыртқы Интернет арнасы арқылы Интернетке кіруді қамтамасыз етуге арналған жетілдірілген прокси сервер болды. Бұл өнім бірден танымал болды және тез арада сол кездегі ең кең таралған прокси-серверлердің бірі WinGate-тің бәсекелесі болды. Сол кездің өзінде Kerio өнімдері айқын интерфейспен және ыңғайлы конфигурациямен, сонымен қатар, ең бастысы, сенімділік пен қауіпсіздікпен ерекшеленді. Содан бері Kerio Winroute үнемі жаңартылып отырады, оған көптеген пайдалы мүмкіндіктер мен мүмкіндіктер қосылды. Саяхаттың басында ол Winroute Pro деп аталды, содан кейін атауы Winroute Firewall болып өзгертілді, ал 7-нұсқадан бастап өнім өзінің қазіргі атауын алды - Kerio Control.
Керио виртуализация мүмкіндіктерін тез іске асырды және бүгінде көп ядролы процессорлардың пайда болуы мен IT саласындағы елеулі прогрестің арқасында белсенді түрде дамып келе жатқан виртуалды орталармен максималды интеграция жолына түсті. Барлық жаңа Kerio өнімдері енді VMware және Hyper-V виртуалдандыру орталары үшін қол жетімді, бұл бағдарламалық жасақтаманы кез келген платформаға орналастыруға және өнімді жаңа аппараттық платформаға қайта орнатпай-ақ тасымалдауға мүмкіндік береді. Бұған қоса, бұл тәсіл компанияның желі әкімшілеріне өздерінің желілік инфрақұрылымын құру кезінде үлкен таңдауды ұсынады. Бастапқыда Kerio өнімдері Windows қосымшасы ретінде жеткізілді, бірақ виртуалдандыру жүйелеріне арналған нұсқа шығарылғаннан кейін компания операциялық жүйеден толығымен абстракциялауды шешті және енді Kerio Control жеке қосымша ретінде шығармайды. 8-нұсқадан бастап Kerio Control тек үш нұсқада келеді: Software Appliance, VMware Virtual Appliance және Hyper-V Virtual Appliance. Барлық опциялар қосымша ұзақ орнатуды және техникалық қызмет көрсетуді қажет етпейтін Debian негізіндегі жаңартылған Linux операциялық жүйесін пайдаланады (қызметі төмендетілген SMP нұсқасы пайдаланылады). Брандмауэр бағдарламалық құралының өлшемі 250 МБ-тан сәл асатын ISO кескіні ретінде қол жетімді және операциялық жүйені орнатуды қажет етпестен арнайы жабдыққа оңай орнатуға болады. VMware Virtual Appliance VMware орталарына арналған OVF және VMX бумаларында келеді, ал Hyper-V виртуалды құралы Microsoft виртуалдандыру жүйелеріне арналған, барлығы конфигурацияланатын опциялармен алдын ала орналастырылған. Әзірлеушінің айтуынша, бұл бағдарламалық жасақтаманың OVF нұсқасы, негізінен, басқа виртуалдандыру жүйелеріне орнатылуы мүмкін. Бұл тәсіл компания желісін іске асыруға икемді көзқарасқа мүмкіндік береді және аппараттық құралдарда жиі жаңартуға болмайтын аппараттық шешімдерді пайдаланудан бас тартады, өйткені бұл айтарлықтай шығындарды талап етеді немесе олардың мүмкіндіктері қатаң шектеулі.
Kerio Control бағдарламалық жасақтамасының негізгі мүмкіндіктерін, сондай-ақ алдыңғы нұсқаларда жетіспейтін бірқатар жаңалықтарды қарастырайық. Естеріңізге сала кетейік, Kerio Control-тың 8-ші нұсқасы алғаш рет осы жылдың наурыз айында шыққан болатын. Жазу кезінде, шағын жаңартудан басқа, Kerio маусым айында Kerio Control 8.1 жаңартуын шығарды, ол сонымен қатар кейбір қосымша функцияларды әкелді.
Kerio Control орнату бағдарламалық құралды пайдалану арқылы, яғни жүйені бөлек ISO кескінінен орналастыру арқылы немесе виртуалдандыру серверінде виртуалды машинаны инициализациялау арқылы орындалуы мүмкін. Соңғы әдіс бірнеше орнату жолдарын қамтиды, соның ішінде Kerio Control бағдарламасының соңғы нұсқасын өндірушінің веб-сайтынан Vmware VA Marketplace арқылы автоматты түрде жүктеп алу мүмкіндігі. ISO кескінінен орнату кезінде Kerio Control қолданбасын қолданудың барлық қадамдары әкімшінің орнату шеберінің бірнеше қарапайым сұрақтарына жауап беруін қамтиды. Kerio Control виртуалды машинасын инициализациялау негізгі орнату кезеңін өткізіп жіберуге мүмкіндік береді, ал әкімші виртуалды машинаның бастапқы параметрлерін орнатуы керек: процессорлар саны, жедел жад көлемі, желілік адаптерлердің саны және компьютердің өлшемі. дискінің ішкі жүйесі. Негізгі нұсқада Kerio Control виртуалды машинасының ең аз параметрлері бар, алайда одан әрі басқаруды орындау үшін машина сипаттарында көрсетілген кем дегенде бір желі адаптері қажет.
Жүйені бір немесе басқа жолмен орнатқаннан кейін және Kerio Control сәтті инициализациядан кейін пайдаланушы басқару консолі арқылы негізгі желі конфигурациясының параметрлеріне қол жеткізе алады (Cурет 1). Әдепкі бойынша Kerio Control жүйесіне қосылған желі адаптері DHCP арқылы IP мекенжайларын алуға әрекет жасайды. Егер IP мекенжайларын алу сәтті болса, әкімші басқару консолінде көрсетілген IP мекенжайын енгізу арқылы жергілікті желі арқылы Kerio Control жүйесіне қосыла алады. Негізгі басқару консолі желілік адаптер параметрлерін конфигурациялауға, Kerio Control құралын негізгі параметрлерге қалпына келтіруге, Kerio Control құралын қайта жүктеуге немесе өшіруге мүмкіндік береді. Айта кету керек, қажет болған жағдайда, Alt + F2-F3 пернелер тіркесімін басу арқылы операциялық жүйенің толық bash пәрмен қабығына шығуға болады. Жүйеге кіру үшін Kerio Control орнату кезінде көрсетілген түбірлік логин мен әкімші құпия сөзін енгізу қажет. Қосымша жөндеу ақпаратын Alt + F4-F5 пернелерін басу арқылы шақыруға болады. Параметрлерді одан әрі конфигурациялау SSL шифрланған арна арқылы веб-әкімшілік консолі арқылы жүзеге асырылады.
Күріш. 1. Басқару консолі
Барлық параметрлерді қауіпсіз веб-интерфейс арқылы жұмыс істейтін басқару тақтасы арқылы орнатуға болады (Cурет 2). Мұндай интерфейспен жұмыс қауіпсіз HTTPS/SSL протоколы арқылы жүзеге асырылады. Әкімшілік консолі брандмауэрдің барлық параметрлерін басқаруға мүмкіндік береді. Kerio Control 7-нұсқасына негізделген алдыңғы нұсқалармен салыстырғанда, бұл басқару панелінің дизайны айтарлықтай өзгерістерге ұшырады. Осылайша, басқару панелінің бірінші бетінде плиткалы, теңшелетін интерфейс («Бақылау тақтасы») бар, оған Kerio Control күйін жылдам диагностикалау үшін қажетті элементтерді қосуға немесе жоюға болады. Бұл өте ыңғайлы, өйткені әкімші байланыс арналарына, пайдаланушы белсенділігіне, жүйе күйіне, VPN қосылымдарына және т.б. жүктемені бірден көреді.
Күріш. 2. Басқару тақтасы
Kerio Control 8.1 жаңартылған нұсқасына келесі опциялар қосылды: конфигурация мен параметрлерді Samepage.io бұлттық қызметінде автоматты режимде сақтау, SNMP протоколы арқылы параметрлерді бақылау, Ping, Traceroute, DNS іздеу құралдарын жөндеу, пайдалану мүмкіндігі, Әкімшілік веб-интерфейсіндегі Kerio Control шлюзі атынан Whois. Бұған қоса, Kerio Control енді URL мекенжайлары үшін тұрақты өрнектерді, VPN туннельдерін автоматты түрде көтеруді, құпия сөзді қатал күшпен қорғауды және кеңейтілген пакетті талдау мүмкіндіктерін қолдайды. Сондай-ақ, Kerio Control Software Appliance бағдарламасының соңғы нұсқасы осы жүйені жеке аппараттық платформаларда орналастыру мүмкіндігін кеңейтетін қосымша RAID контроллерлеріне қолдауды қосқанын атап өткен жөн.
Kerio Control веб-басқару интерфейсінде тек әкімшілік панель ғана емес, сонымен қатар жеке пайдаланушы интерфейсі де бар (Cурет 3). Әкімшілік панелінің Kerio Control жүйесінде ештеңені өзгерту мүмкіндігі жоқ, бірақ әртүрлі уақыт кезеңдері бойынша пайдаланушы немесе пайдаланушы статистикасын қадағалауға мүмкіндік береді. Статистика кірген ресурстар, жіберілген деректер көлемі және басқа ақпарат туралы деректерді береді. Егер пайдаланушының Kerio Control жүйесінде әкімшілік тіркелгісі болса, ол осы басқару тақтасы арқылы жүйенің басқа пайдаланушылары туралы статистикалық деректерді ала алады. Нақты және мұқият ойластырылған статистика әкімшіге Интернетте жұмыс істегенде пайдаланушы қалауларын білуге, маңызды элементтер мен мәселелерді табуға көмектеседі. Панель желідегі әрбір пайдаланушы үшін трафикті пайдаланудың егжей-тегжейлі гистограммасын жасайды. Әкімші трафикті пайдалануды бақылайтын кезеңді таңдай алады: екі сағат, күн, апта және ай. Сонымен қатар, Kerio Control түрі бойынша нақты трафикті пайдалану статистикасын көрсетеді: HTTP, FTP, электрондық пошта, ағынды мультимедиялық протоколдар, компьютерлер немесе проксилер арасында тікелей деректер алмасу.
Күріш. 3. Пайдаланушы тақтасы
Филиалдары бүкіл әлемде орналаса алатын заманауи компания үшін корпоративтік желіге қауіпсіз қосылу қажетті шарт болып табылады, өйткені аутсорсинг бүгінде белсенді түрде дамып келеді. Kerio Control көмегімен VPN орнату іс жүзінде оңай емес. VPN сервері мен клиенттері Kerio Control компаниясының корпоративтік желіге қауіпсіз қашықтан қол жеткізуінің бөлігі болып табылады. Kerio VPN виртуалды желісін пайдалану пайдаланушыларға корпоративтік желідегі кез келген ресурстарға қашықтан қосылуға және ұйымның желісімен өздерінің жергілікті желісі сияқты жұмыс істеуге мүмкіндік береді. Kerio Control өніміне енгізілген VPN сервері VPN желілерін екі түрлі сценарийде ұйымдастыруға мүмкіндік береді: «сервер - сервер» және «клиент - сервер» (Windows, Mac және Linux үшін Kerio VPN клиенті пайдаланады). «Серверден серверге» режимін ортақ ресурстарды ортақ пайдалану үшін қауіпсіз арна арқылы қашықтағы кеңсені қосқысы келетін компаниялар пайдаланады. Бұл сценарий ашық Интернет арқылы қауіпсіз арнаны орнату үшін байланыстырушы тараптардың әрқайсысында Kerio бақылауын қажет етеді. Клиент-сервер режимі қашықтағы пайдаланушыға ноутбукты немесе үйдегі компьютерді корпоративтік желіге қауіпсіз қосуға мүмкіндік береді. Көптеген жүйелік әкімшілер білетіндей, VPN және NAT (Network Address Translation) протоколдары әрқашан бірге жұмыс істей бермейді. Kerio VPN NAT және тіпті NAT шлюздері ауқымында сенімді жұмыс істеуге арналған. Kerio VPN стандартты SSL арнасын басқару (TCP) және Blowfish (UDP) шифрлау алгоритмдерін пайдаланады, сонымен қатар IPSec жүйесін қолдайды.
Kerio Control Gateway кіріс және шығыс трафикті сканерлеу арқылы қамтамасыз етілген кірістірілген вирустан қорғауға ие. Егер бұрын Kerio Control McAfee кіріктірілген антивирусын пайдаланса, соңғы нұсқалары Sophos антивирусын пайдаланады. Әкімші әртүрлі протоколдар бойынша трафикті тексеру ережелерін орната алады: SMTP және POP3, WEB (HTTP) және файлдарды тасымалдау (FTP). Шлюзге орнатылған брандмауэрдің кірістірілген антивирусы шлюз арқылы өтетін трафикті толық қорғауды қамтамасыз етеді. Біріктірілген антивирус нақты уақытта жаңа вирус дерекқорларымен жаңартуларды ала алатындықтан, бұл жергілікті желідегі әрбір компьютерде антивирустық бағдарламаларды қолданумен қатар желілік қауіпсіздік деңгейін айтарлықтай арттырады. Антивирус кіріс және шығыс хабарламаларды, сондай-ақ барлық тіркемелерді сканерлейді. Тіркемеде вирус анықталса, бүкіл тіркеме жойылады және электрондық поштаға хабарландыру қосылады. Сонымен қатар, Kerio Control барлық желілік трафикті, соның ішінде HTML беттерін ендірілген вирустарға сканерлейді. HTTP арқылы жүктелген файлдар мен FTP арқылы тасымалданатын файлдар да вирустарға тексеріледі. Бұған қоса, қызметкерлері мен клиенттерінің белгілі бір беттерге кіруін қаламайтын мектептер сияқты ұйымдар мен мекемелер үшін кіріктірілген Kerio Control веб-сүзгісі бар Kerio Control (қосымша ақыға опция ретінде қолжетімді) қамтамасыз ететінін атап өткен жөн. Интернеттегі беттерді блоктаудың қосымша опциялары.
Kerio Control әкімшілерге жалпы трафик стратегиясын жасауға ғана емес, сонымен қатар әрбір пайдаланушы үшін шектеулерді орнатуға және орындауға мүмкіндік береді. Әрбір пайдаланушы Интернетке кірмес бұрын Kerio Control жүйесіне кіруі керек. Пайдаланушы тіркелгілері жеке ішкі пайдаланушы дерекқорында сақталады немесе корпоративтік Microsoft Active Directory немесе Apple Open Directory каталогынан алынады. Жергілікті және домен пайдаланушысының дерекқорларын қатар пайдалану мүмкін. Microsoft Active Directory көмегімен біріктіруді пайдаланған кезде, клиент авторизациясы NTLM аутентификациясы арқылы домен пайдаланушылары үшін мөлдір болуы мүмкін. Windows 2008/2012 серверінің бөлігі ретінде Active Directory әкімшілерге пайдаланушы тіркелгілерін және желілік ресурс деректерін орталықтан басқаруға мүмкіндік береді. Active Directory бір компьютерден пайдаланушы ақпаратына қол жеткізуді қамтамасыз етеді. Active Directory/Open Directory қолдауы Kerio Control бағдарламасына нақты уақытта пайдаланушы дерекқорына қол жеткізуге мүмкіндік береді және құпия сөзді сақтамай жергілікті желіде пайдаланушыны орнатуға мүмкіндік береді. Осылайша, әрбір пайдаланушы үшін құпия сөздерді синхрондаудың қажеті жоқ. Microsoft Active Directory/Open Directory ішіндегі барлық өзгерістер Kerio Control жүйесінде автоматты түрде көрсетіледі.
Әкімші әр пайдаланушы үшін әртүрлі кіру құқықтарына шектеулер қоя алады. Бұл ережелер белгілі бір уақыт аралығында жұмыс істейтін етіп орнатылуы және трафикті пайдаланудың әртүрлі шектеулерін орнатуы мүмкін. Шектеуге жеткенде, Kerio Control пайдаланушыға және әкімшіге электрондық пошта ескертуін жібереді немесе әкімші сол пайдаланушыны қалған күн немесе ай бойы блоктайды.
Қорытындылай келе, Kerio Control жүйелік әкімшілер арасында өте танымал өнім екенін атап өткен жөн, оның даусыз артықшылықтары, мысалы, Linux негізіндегі операциялық жүйелердің стандартты пакетіне енгізілген ұқсас шешімдермен (мысалы, iptables) салыстырған. ). Жылдам орнату, кең мүмкіндіктер және қорғаудың жоғары дәрежесі - мұның бәрі бұл бағдарламалық өнімді шағын компаниялар үшін тартымды етеді.
Kerio Control осы санатқа жатады бағдарламалық қамтамасыз ету, олар іске асыру мен пайдаланудың қарапайымдылығымен кең ауқымды функционалдылықты біріктіреді. Бүгін біз бұл бағдарламаны Интернетте қызметкерлер арасында топтық жұмысты ұйымдастыруға, сондай-ақ жергілікті желіні сыртқы қауіптерден сенімді қорғауға қалай пайдалануға болатынын қарастырамыз.
функционалдық мүмкіндіктерінің кең спектрі іске асыру және пайдалану оңайлығымен біріктірілген өнімдер санатына жатады. Бүгін біз бұл бағдарламаны Интернетте қызметкерлер арасында топтық жұмысты ұйымдастыруға, сондай-ақ жергілікті желіні сыртқы қауіптерден сенімді қорғауға қалай пайдалануға болатынын қарастырамыз.
Өнімді іске асыру оны Интернет шлюзі рөлін атқаратын компьютерге орнатудан басталады. Бұл процедура басқа бағдарламалық жасақтаманы орнатудан еш айырмашылығы жоқ, сондықтан біз оған тоқталмаймыз. Бұл процесс барысында бағдарламаның жұмысына кедергі келтіретін кейбір Windows қызметтері өшірілетінін ғана ескереміз. Орнату аяқталғаннан кейін жүйені конфигурациялауға кірісуге болады. Мұны жергілікті түрде, тікелей Интернет шлюзінде немесе корпоративтік желіге қосылған кез келген компьютерден қашықтан орындауға болады.
Ең алдымен, біз стандартты мәзір арқылы іске қосамыз « Бастау"басқару консолі. Ол қарастырылып отырған өнімді конфигурациялау үшін пайдаланылады. Ыңғайлы болу үшін болашақта жылдам қосылуға мүмкіндік беретін қосылым жасауға болады. Мұны істеу үшін элементті екі рет басыңыз" Жаңа байланыс", өнімді ашатын терезеде (Kerio Control), ол орнатылған хостты, сондай-ақ пайдаланушы атын көрсетіңіз, содан кейін " түймесін басыңыз. Басқаша сақтау" және қосылымның атын енгізіңіз. Осыдан кейін сіз байланыс орнатуға болады. Ол үшін құрылған қосылымды екі рет басып, құпия сөзіңізді енгізіңіз.
Kerio Control негізгі орнату
Негізінде, барлық жұмыс параметрлерін қолмен конфигурациялауға болады. Дегенмен, бастапқы іске асыру үшін автоматты түрде басталатын арнайы шеберді пайдалану әлдеқайда ыңғайлы. Оның бірінші қадамында сізден жүйе туралы негізгі ақпаратпен танысу сұралады. Сондай-ақ мұнда Kerio Control жұмыс істейтін компьютер жергілікті желіге қосылған және жұмыс істейтін Интернет қосылымы болуы керек екенін еске салады.
Екінші кезең - Интернетке қосылу түрін таңдау. Мұнда төрт опция бар, олардың ішінен нақты жергілікті желіге ең қолайлысын таңдау керек.
- Тұрақты қол жеткізу – Интернет шлюзінде Интернетке тұрақты қосылым бар.
- Сұраныс бойынша теру - қажет болған жағдайда Интернет байланысын дербес орнатады (RAS интерфейсі бар болса).
- Сәтсіздікке қайта қосылу – Интернет байланысы жоғалған кезде ол автоматты түрде басқа арнаға ауысады (екі интернет қосылымы қажет).
- Арна жүктемесін теңестіру - бір уақытта бірнеше байланыс арналарын пайдалана отырып, олардың арасында жүктемені бөледі (екі немесе одан да көп Интернет қосылымы қажет).
Үшінші қадамда желі интерфейсін немесе Интернетке қосылған интерфейстерді көрсету керек. Бағдарламаның өзі барлық қол жетімді интерфейстерді тізім түрінде анықтайды және көрсетеді. Сондықтан әкімші тек сәйкес опцияны таңдай алады. Айта кету керек, қосылымдардың алғашқы екі түрінде тек бір интерфейсті орнату керек, ал үшіншіде - екі. Төртінші опцияның параметрі басқалардан біршама ерекшеленеді. Ол желі интерфейстерінің кез келген санын қосу мүмкіндігін қамтамасыз етеді, олардың әрқайсысы үшін максималды мүмкін жүктемені орнату қажет.
Төртінші қадам - пайдаланушыларға қолжетімді желі қызметтерін таңдау. Негізінде, сіз опцияны таңдай аласыз « Шектеусіз". Дегенмен, көп жағдайда бұл мүлдем ақылға қонымды болмайды. Шынында да қажет қызметтерді белгілеген дұрыс: веб-сайттарды шолу үшін HTTP және HTTPS, поштамен жұмыс істеу үшін POP3, SMTP және IMAP және т.б.
Келесі қадам VPN қосылымдары үшін ережелерді конфигурациялау болып табылады. Ол үшін тек екі құсбелгі қолданылады. Біріншісі пайдаланушылар серверге қосылу үшін қандай клиенттерді пайдаланатынын анықтайды. Егер олар «туған» болса, яғни Kerio шығарған болса, құсбелгіні қосу керек. Әйтпесе, мысалы, кірістірілген Windows құралдарын пайдаланған кезде оны өшіру керек. Екінші құсбелгі Kerio Clientless SSL VPN функциясын пайдалану мүмкіндігін анықтайды (файлдарды, қалталарды басқару, веб-шолғыш арқылы жүктеу және жүктеу).
Алтыншы қадам - жергілікті желіде жұмыс істейтін, бірақ Интернеттен де қолжетімді болуы керек қызметтерге арналған ережелерді жасау. Алдыңғы қадамда Kerio VPN Server немесе Kerio Clientless SSL VPN технологиясын қоссаңыз, олар үшін қажеттінің бәрі автоматты түрде конфигурацияланады. Егер сізге басқа қызметтердің (корпоративтік пошта сервері, FTP сервері және т.б.) қолжетімділігін қамтамасыз ету қажет болса, олардың әрқайсысы үшін « түймесін басыңыз. қосу", қызмет атауын таңдаңыз (таңдалған қызмет үшін стандартты порттар ашылады) және қажет болса, IP мекенжайын көрсетіңіз.
Соңында, орнату шеберінің соңғы экраны ережені құру процесі басталар алдында ескерту болып табылады. Оны оқып шығыңыз және « Аяқталды". Әрине, болашақта барлық жасалған ережелер мен параметрлерді өзгертуге болады. Сонымен қатар, сипатталған шеберді қайта іске қосуға немесе параметрлерді қолмен өңдеуге болады.
Негізінде, жұмыс аяқталғаннан кейін шебер жұмыс тәртібінде. Дегенмен, кейбір параметрлерді аздап реттеу мағынасы бар. Атап айтқанда, өткізу қабілеттілігін пайдалану шектеулерін орнатуға болады. Ол үлкен, көлемді файлдарды тасымалдау кезінде ең көп бітеліп қалады. Сондықтан мұндай нысандарды жүктеу және/немесе жүктеу жылдамдығын шектеуге болады. Ол үшін « бөлімінде Конфигурация«бөлімді ашу керек» Өткізу қабілетінің шегі", сүзуді қосыңыз және үлкен файлдар үшін қолжетімді өткізу қабілеттілігін енгізіңіз. Қажет болса, шектеуді икемді ете аласыз. Мұны істеу үшін " түймесін басыңыз. Қосымша" және сүзгілер үшін қызметтерді, мекенжайларды және уақыт аралығын ашатын терезеде көрсетіңіз. Сонымен қатар, үлкен деп саналатын файлдардың өлшемін бірден орнатуға болады.
Пайдаланушылар мен топтар
Жүйені бастапқы орнатудан кейін оған пайдаланушыларды қосуды бастауға болады. Дегенмен, алдымен оларды топтарға бөлу ыңғайлы. Бұл болашақта оларды басқаруды жеңілдетеді. Жаңа топ құру үшін « Пайдаланушылар мен топтар->Топтар« және « түймесін басыңыз қосу". Бұл үш қадамнан тұратын арнайы шеберді ашады. Бірінші қадамда топтың атын және сипаттамасын енгізу керек. Екіншіден, оған пайдаланушыларды бірден қосуға болады, егер олар, әрине, бұрыннан бар болса. жасалды.Үшінші қадамда топтың құқықтарын анықтау керек: жүйелік әкімшілендіруге қол жеткізу, әртүрлі ережелерді өшіру мүмкіндігі, VPN пайдалану рұқсаты, статистиканы қарау және т.б.
Топтарды жасағаннан кейін пайдаланушыларды қосуды жалғастыруға болады. Мұны істеудің ең оңай жолы, егер домен корпоративтік желіде қолданылса. Бұл жағдайда жай ғана « бөліміне өтіңіз. Пайдаланушылар және топтар->Пайдаланушылар", Active Directory қойындысын ашыңыз, құсбелгіні қойыңыз " Домен пайдаланушысының дерекқорын пайдаланыңыз" және осы дерекқорға кіру құқығы бар тіркелгінің логин мен құпия сөзін енгізіңіз. Бұл жағдайда домен тіркелгілері пайдаланылады, бұл, әрине, өте ыңғайлы.
Әйтпесе, пайдаланушыларды қолмен енгізу қажет болады. Осы мақсатта қарастырылып отырған бөлімнің бірінші қойындысы берілген. Тіркелгі жасау үш қадамнан тұрады. Біріншісінде логинді, атын, сипаттамасын, электрондық пошта мекенжайын, сондай-ақ аутентификация параметрлерін: логин мен құпия сөзді немесе Active Directory деректерін көрсету керек. Екінші қадамда пайдаланушыны бір немесе бірнеше топқа қосуға болады. Үшінші кезеңде желіаралық қалқанға және белгілі бір IP мекенжайларына қол жеткізу үшін тіркелгіні автоматты түрде тіркеуге болады.
Қауіпсіздік жүйесін орнату
Ол корпоративтік желінің қауіпсіздігін қамтамасыз ету үшін мол мүмкіндіктерді жүзеге асырады. Негізінде, брандмауэрді орнатқан кезде біз өзімізді сыртқы қауіптерден қорғай бастадық. Сонымен қатар, қарастырылып отырған өнім интрузияның алдын алу жүйесін жүзеге асырады. Ол әдепкі бойынша қосылған және оңтайлы жұмыс істеу үшін конфигурацияланған. Сондықтан оған қол тигізудің қажеті жоқ.
Келесі қадам - антивирус. Айта кету керек, ол бағдарламаның барлық нұсқаларында қол жетімді емес. Зиянды бағдарламадан қорғауды пайдалану үшін оны кірістірілген антивируспен сатып алу керек немесе Интернет шлюзінде сыртқы антивирус модулін орнату қажет. Вирусқа қарсы қорғанысты қосу үшін сіз « бөлімін ашуыңыз керек. Конфигурация->Мазмұнды сүзу->Антивирус". Онда пайдаланылатын модульді белсендіру керек және тексерілетін хаттамаларды белгілеу үшін құсбелгілерді пайдалану керек (барлығын қосу ұсынылады). Егер сіз кірістірілген антивирусты пайдалансаңыз, онда антивирусты жаңартуды қосу керек. дерекқорларды орнатыңыз және осы процедураны орындау үшін аралықты орнатыңыз.
Әрі қарай, HTTP трафикті сүзу жүйесін конфигурациялау қажет. Мұны » бөлімінде жасауға болады. Конфигурация->Мазмұнды сүзу->HTTP саясаты". Сүзудің ең қарапайым опциясы - "қара" тізімдегі сөздерді қамтитын сайттарды сөзсіз блоктау. Оны қосу үшін " қойындысына өтіңіз. Тыйым салынған сөздер" және өрнектер тізімін толтырыңыз. Дегенмен, анағұрлым икемді және сенімді сүзгілеу жүйесі бар. Ол белгілі бір сайттарға пайдаланушының кіруіне тыйым салу шарттарын сипаттайтын ережелерге негізделген.
Жаңа ереже жасау үшін « қойындысына өтіңіз URL ережелері«, өрісті тінтуірдің оң жақ түймешігімен басып, контекстік мәзірден « тармағын таңдаңыз қосу". Ережені қосу терезесі үш қойындыдан тұрады. Біріншісі оның іске қосылатын шарттарын көрсетеді. Алдымен ереженің кімге қолданылатынын таңдау керек: барлық пайдаланушыларға немесе тек белгілі бір тіркелгілерге. Осыдан кейін сізге қажет. сұралған сайттың URL мекенжайына сәйкестік критерийін орнату үшін.Ол үшін Kerio Web Filter жүйесіндегі веб-жобаның мекенжайына, мекенжайлар тобына немесе рейтингіне кіретін жолды пайдалануға болады (негізінен, санат Соңында, жүйенің шарттарды орындауға реакциясын көрсету керек - веб-сайтқа кіруге рұқсат беру немесе тыйым салу.
Екінші қойындыда ереже қолданылатын аралықты (әдепкі бойынша, әрқашан), сондай-ақ ол қолданылатын IP мекенжайлар тобын (әдепкі бойынша, барлығы) көрсетуге болады. Мұны істеу үшін алдын ала орнатылған мәндердің ашылмалы тізімдерінен сәйкес элементтерді таңдау керек. Уақыт интервалдары мен IP мекенжайларының топтары әлі орнатылмаған болса, «Өңдеу» түймелерін пайдаланып, қажетті редакторды ашып, оларды қосуға болады. Сондай-ақ, бұл қойындыда сайт бұғатталған болса, бағдарламаның әрекетін орнатуға болады. Бұл берілген бас тарту мәтіні бар бетті шығару, бос бетті көрсету немесе пайдаланушыны берілген мекенжайға (мысалы, корпоративтік веб-сайтқа) қайта бағыттау арқылы болуы мүмкін.
Корпоративтік желі сымсыз технологияларды пайдаланса, MAC мекенжай сүзгісін қосу орынды болады. Бұл әртүрлі құрылғыларды рұқсатсыз қосу қаупін айтарлықтай азайтады. Бұл тапсырманы орындау үшін бөлімді ашыңыз « Конфигурация->Трафик саясаты->Қауіпсіздік параметрлері". Онда құсбелгіні қойыңыз " MAC мекенжай сүзгісі қосулы", содан кейін ол таратылатын желі интерфейсін таңдап, MAC мекенжайларының тізімін " күйіне ауыстырыңыз. Тек тізімдегі компьютерлерге желіге кіруге рұқсат беріңіз" және оны компанияға тиесілі сымсыз құрылғылардың мәліметтерімен толтырыңыз.
Түгенделейік
Сонымен, көріп отырғанымыздай, кең функционалдылыққа қарамастан, оның көмегімен Интернетте корпоративтік желі пайдаланушыларының топтық жұмысын ұйымдастыру өте қарапайым. Біз бұл өнімнің негізгі параметрлерін ғана қарастырғанымыз анық.
Қайырлы күн, құрметті блог сайтының оқырмандары және қонақтары, кез келген ұйымда әрқашан жұмыс істегісі келмейтін және корпоративтік ресурстарды басқа мақсаттарға пайдаланатын адамдар болады, мен қарапайым мысал келтіремін: сізде шағын кеңсе бар, айталық 50 қызметкерлер мен өткізу қабілеттілігі 20 мегабит және ай сайынғы трафик лимиті 50 ГБ болатын Интернет арнасы Интернетті қалыпты пайдалану және бизнесті құру үшін кеңсе үшін жеткілікті, бірақ кешке немесе кешке фильм жүктеп алғысы келетін адамдар бар. жаңа музыкалық альбом және бұл үшін олар көбінесе террент трекерлерін пайдаланады, мен сізге Kerio Control 8 жүйесінде p2p трафигіне қалай тыйым салуға және қызметкер үшін күнделікті трафик шегін орнатуға болатынын көрсетуге рұқсат етіңіз.
Kerio Control 8 жүйесінде p2p трафикті блоктау
Сонымен, сіз зиянды жүктеуші пайда болған жергілікті желіні құрдыңыз, оны статистикалық журналдардан бірден анықтап, бағандар бойынша сүзгіден өткізесіз деп ойлаймын. Басшылықтан келетін сөгістерден басқа, сіз жүйелік әкімші ретінде p2p трафигі арқылы мазмұнды жүктеп алу әрекеттеріне жол бермеуіңіз керек.
Сізде екі нұсқа бар:
- p2p трафигін толық блоктауды қосыңыз
- Әр пайдаланушыға күнделікті шектеу қойыңыз
Бір-теңімен трафикті блоктаудан бастайық, мазмұн сүзгісіне өтіп, жаңа ереже жасаңыз. Қосу түймесін басып, «Қолданбалар және веб-мазмұн санаттары» тармағын таңдаңыз.
Жүктеп алу бөлімін тауып, тең дәрежелі желі құсбелгісін қойыңыз.
Әрекетте жойылатын ережелерді орнатыңыз.
Теориялық тұрғыдан алғанда, p2p трафигін толығымен блоктау үшін жасалған ереже жеткілікті, бірақ мен сізге Интернет шектеуі болса, пайдаланушыларға оны тек жұмыс мәселелерінде пайдалануды үйрету үшін квота орнатуға кеңес беремін. Мұны істеу үшін «Пайдаланушылар» қойындысына өтіп, «Квота» қойындысындағы кез келгенінің сипаттарында мегабайттағы күнделікті шектеуді көрсетіңіз.
