Apie Kerio Technologies, gaminančios įvairius saugos programinės įrangos sprendimus smulkiam ir vidutiniam verslui, produktų studijas. Remiantis oficialia įmonės svetaine, jos produktus naudoja daugiau nei 60 000 įmonių visame pasaulyje.
SEC Consult specialistai aptiko daug spragų įmonės UTM sprendime Kerio Control, kuris apjungia ugniasienės, maršrutizatoriaus, IDS/IPS, šliuzo antivirusinės, VPN ir pan. Tyrėjai aprašė du atakos scenarijus, leidžiančius užpuolikui ne tik perimti „Kerio Control“, bet ir per įmonės tinklą, kurį produktas turėtų apsaugoti. Nors kūrėjai jau išleido daugumos rastų klaidų pataisymus, mokslininkai pastebi, kad vis dar įmanoma įgyvendinti vieną iš atakos scenarijų.
Tyrėjų teigimu, „Kerio Control“ sprendimai yra pažeidžiami dėl nesaugaus PHP unserialize funkcijos naudojimo, taip pat dėl senos PHP versijos (5.2.13), kurioje jau buvo rasta rimtų problemų. Ekspertai taip pat rado keletą pažeidžiamų PHP scenarijų, leidžiančių XSS ir CSRF atakas ir apeiti ASLR apsaugą. Be to, pasak SEC Consult, žiniatinklio serveris veikia su root teisėmis ir neturi apsaugos nuo žiaurios jėgos atakų ir informacijos atmintyje vientisumo pažeidimo.
Pirmojo puolimo scenarijaus schema
Pirmasis ekspertų aprašytas atakos scenarijus apima kelių pažeidžiamumų išnaudojimą vienu metu. Užpuolikas turės panaudoti socialinę inžineriją ir privilioti auką į kenkėjišką svetainę, kurioje bus scenarijus, leidžiantis sužinoti vidinį Kerio Control IP adresą. Tada užpuolikas turi išnaudoti CSRF klaidą. Jei auka nėra prisijungusi prie „Kerio Control“ valdymo pulto, užpuolikas gali naudoti įprastą žiaurią jėgą kredencialams pasirinkti. Tam reikės XSS pažeidžiamumo, kad būtų galima apeiti SOP apsaugą. Po to galite pereiti prie ASLR ir naudoti seną PHP klaidą (CVE-2014-3515), kad paleistumėte apvalkalą kaip root. Tiesą sakant, po to užpuolikas gauna visišką prieigą prie organizacijos tinklo. Žemiau esančiame vaizdo įraše parodyta, kaip ataka veikia.
Antrasis atakos scenarijus apima RCE pažeidžiamumo išnaudojimą, kuris yra susijęs su Kerio Control atnaujinimo funkcija ir kurį daugiau nei prieš metus atrado vienas iš SEC Consult darbuotojų. Ekspertai siūlo naudoti šią klaidą, leidžiančią nuotoliniu būdu vykdyti savavališką kodą, kartu su XSS pažeidžiamumu, leidžiančiu išplėsti atakos funkcionalumą.
Apie iškilusias problemas „Kerio Technologies“ ekspertai buvo informuoti 2016 m. rugpjūčio pabaigoje. Šiuo metu įmonė išleido „Kerio Control 9.1.3“, kurioje buvo ištaisyta dauguma spragų. Tačiau bendrovė nusprendė palikti žiniatinklio serverio root teises, o kol kas su atnaujinimo funkcija susijusi RCE klaida lieka nepataisyta.
Daugelis naudoja „Kerio Control“ užkardą. Jis pasižymi plačiausiu funkcionalumu, patikimumu ir naudojimo paprastumu. Šiandien kalbėsime apie tai, kaip nustatyti pralaidumo valdymo taisykles. Paprasčiau tariant, pabandykime apriboti interneto prieigos greitį vartotojams ir grupėms.
Kaip apriboti interneto greitį vartotojams ir grupėms „Kerio Control“.
Taigi eikime į „Kerio Control“ administravimo skydelį. Kairėje ieškokite elemento Bandwidth Management. Pirmiausia nurodykime interneto ryšio greitį. Žemiau esančiame lauke Prisijungimo prie interneto juostos plotis spustelėkite Keisti ir įveskite atsisiuntimo ir įkėlimo greitį. Šie duomenys reikalingi, kad pati Kerio Control veiktų teisingai.
Dabar pridėkite naują taisyklę, spustelėkite pridėti ir įveskite pavadinimą.
Kitas Lauke Eismas turite nurodyti, kam bus taikomas šis apribojimas. Pasirinkimų yra daug, bet mus domina konkrečios grupės ir vartotojai, todėl spaudžiame elementą Vartotojai ir grupės. Atsidariusiame lange pasirinkite reikiamus vartotojus arba grupę. Galite iš karto pasirinkti ir grupę, ir vartotojus.
Dabar nustatykite atsisiuntimo greičio apribojimą. Nurodykite, kiek reikia rezervuoti šioms grupėms ir vartotojams iš bendro greičio ir paties limito. Tas pats nurodyta ir atsisiunčiamam elementui.
Pagal numatytuosius nustatymus paliekame sąsają ir turimą laiką, taikykite šią taisyklę.
Maksimas Afanasjevas
Nuo 1997 m. Kerio Technologies kuria ir išleidžia unikalius programinės įrangos sprendimus kompiuterių saugumo srityje, skirtus apsaugoti įmonių vidinius tinklus nuo išorinių atakų bei kurti bendradarbiavimo ir elektroninio ryšio sistemas. „Kerio Technologies“ produktai yra skirti vidutiniam ir mažam verslui, tačiau gali būti sėkmingai naudojami ir didelėse įmonėse. Verta paminėti, kad programinė įranga kuriama atsižvelgiant į pasaulines tendencijas informacijos saugumo srityje, o pati įmonė šioje srityje yra novatorė.
„Kerio Control“ programinės įrangos paketo prototipas, apie kurį bus kalbama šiame straipsnyje, buvo „Winroute Pro“ programinės įrangos šliuzas, kurio pirmoji versija buvo išleista 1997 m. „Winroute Pro“ programinė įranga buvo pažangus tarpinis serveris, skirtas leisti vietiniams kompiuteriams pasiekti internetą per vieną išorinį interneto kanalą. Šis produktas išpopuliarėjo beveik iš karto ir greitai tapo vieno iš labiausiai paplitusių tuo metu WinGate tarpinių serverių konkurentu. Jau tada Kerio produktai išsiskyrė aiškia sąsaja ir lengva konfigūracija, o svarbiausia – patikimumu ir saugumu. Nuo to laiko Kerio Winroute buvo nuolat atnaujinamas, į jį įtraukta daug naudingų funkcijų ir galimybių. Kelionės pradžioje jis vadinosi Winroute Pro, vėliau pavadinimas pakeistas į Winroute Firewall, o nuo 7 versijos gaminys gavo dabartinį pavadinimą – Kerio Control.
„Kerio“ greitai suprato virtualizacijos galimybes ir žengė į maksimalios integracijos su virtualiomis aplinkomis kelią, kuris dabar aktyviai vystosi dėl kelių branduolių procesorių atsiradimo ir reikšmingos IT pažangos. Visus naujus „Kerio“ produktus dabar galima naudoti „VMware“ ir „Hyper-V“ virtualizacijos aplinkoms, todėl šią programinę įrangą galima įdiegti bet kurioje platformoje ir perkelti gaminį nereikalaujant jo iš naujo įdiegti naujoje aparatinės įrangos platformoje. Be to, šis metodas suteikia įmonių tinklo administratoriams didesnį pasirinkimą kuriant tinklo infrastruktūrą. Iš pradžių „Kerio“ produktai buvo pristatomi kaip „Windows“ programa, tačiau pristačius virtualizavimo sistemoms skirtą versiją, įmonė nusprendė visiškai abstrahuotis nuo operacinės sistemos ir nebeleisti „Kerio Control“ kaip atskiros programos. Pradedant nuo 8 versijos, „Kerio Control“ yra tik trijų versijų: „Software Appliance“, „VMware Virtual Appliance“ ir „Hyper-V Virtual Appliance“. Visose versijose naudojama modernizuota Debian pagrindu sukurta Linux operacinė sistema (naudojama SMP versija su sumažintu funkcionalumu), kuriai nereikia papildomo ilgo konfigūravimo ir priežiūros. Firewall Software Appliance galima įsigyti kaip šiek tiek daugiau nei 250 MB ISO atvaizdą ir jį lengva įdiegti specialioje aparatinėje įrangoje, nereikalaujant operacinės sistemos. „VMware Virtual Appliance“ pateikiamas kaip OVF ir VMX paketai, skirti „VMware“ aplinkoms, o „Hyper-V Virtual Appliance“ skirtas „Microsoft“ virtualizacijos sistemoms, kurios visos yra iš anksto įdiegtos ir pritaikomos. Kūrėjo teigimu, šios programinės įrangos OVF versija iš esmės gali būti įdiegta ir kitose virtualizacijos sistemose. Toks požiūris leidžia lanksčiau žiūrėti į įmonės tinklo diegimą ir atsisako naudoti techninės įrangos sprendimus, kurių dažnai nepavyksta atnaujinti į techninę įrangą, nes tam reikia didelių išlaidų arba jų galimybės yra labai apribotos.
Apsvarstykite pagrindines Kerio Control programinės įrangos savybes, taip pat daugybę naujovių, kurių nebuvo ankstesnėse versijose. Prisiminkite, kad pirmą kartą 8-oji Kerio Control versija buvo išleista šių metų kovą. Rašymo metu, be nedidelio atnaujinimo, „Kerio“ birželį išleido „Kerio Control 8.1“ naujinimą, kuris taip pat suteikė papildomų funkcijų.
„Kerio Control“ galima įdiegti naudojant „Software Appliance“, tai yra, diegiant sistemą iš atskiro ISO atvaizdo arba inicijuojant virtualią mašiną virtualizacijos serveryje. Pastarasis metodas apima keletą diegimo būdų, tarp kurių yra galimybė automatiškai atsisiųsti naujausią „Kerio Control“ versiją iš gamintojo svetainės per „Vmware VA Marketplace“. Diegiant iš ISO atvaizdo, visi „Kerio Control“ diegimo veiksmai yra administratoriaus atsakymai į kelis paprastus diegimo proceso vedlio klausimus. „Kerio Control“ virtualios mašinos inicijavimas leidžia praleisti pagrindinį diegimo veiksmą, o administratoriui tereikia nustatyti pradinius virtualios mašinos parametrus: procesorių skaičių, RAM kiekį, tinklo adapterių skaičių ir dydį. disko posistemis. Bazinėje versijoje Kerio Control virtuali mašina turi minimaliausius nustatymus, tačiau tolimesniam administravimui atlikti reikalingas bent vienas tinklo adapteris, kuris nurodytas mašinos ypatybėse.
Vienaip ar kitaip įdiegęs sistemą ir sėkmingai inicijavęs Kerio Control, vartotojas turės prieigą prie pagrindinės tinklo konfigūracijos per valdymo pultą (1 pav.). Pagal numatytuosius nustatymus tinklo adapteriai, prijungti prie „Kerio Control“, bando gauti IP adresus naudodami DHCP. Jei IP adresų gavimas buvo sėkmingas, administratorius gali prisijungti prie Kerio Control per vietinį tinklą, įvesdamas valdymo pulte rodomą IP adresą. Pagrindinė valdymo konsolė leidžia konfigūruoti adapterių tinklo nustatymus, iš naujo nustatyti „Kerio Control“ pagrindinius nustatymus, paleisti iš naujo arba išjungti „Kerio Control“. Verta paminėti, kad prireikus galima išeiti į visavertį operacinės sistemos bash komandų apvalkalą paspaudus klavišų kombinaciją Alt + F2-F3. Norėdami prisijungti, turėsite įvesti root prisijungimo vardą ir administratoriaus slaptažodį, nustatytą diegiant Kerio Control. Papildomą derinimo informaciją galima iškviesti paspaudus Alt + F4-F5. Kiti nustatymai konfigūruojami administravimo žiniatinklio konsolėje per užšifruotą SSL kanalą.
Ryžiai. 1. Valdymo pultas
Visus parametrus galima nustatyti naudojant valdymo pultą, kuris veikia per saugią žiniatinklio sąsają (2 pav.). Ši sąsaja valdoma per saugų HTTPS/SSL protokolą. Administravimo konsolė leidžia valdyti visus ugniasienės nustatymus. Palyginti su ankstesnėmis versijomis, pagrįstomis 7-ąja „Kerio Control“ versija, šio valdymo pulto dizainas buvo gerokai pakeistas. Taigi, pirmame valdymo skydelio puslapyje yra tinkinama sąsaja („Monitoring Panel“), kurioje galite pridėti arba pašalinti reikiamus elementus, kad galėtumėte greitai diagnozuoti „Kerio Control“ būseną. Tai labai patogu, nes administratorius iš karto mato ryšio kanalų apkrovą, vartotojų aktyvumą, sistemos būseną, VPN ryšius ir kt.
Ryžiai. 2. Valdymo skydelis
Prie atnaujintos Kerio Control 8.1 versijos buvo pridėtos šios parinktys: konfigūracijos ir nustatymų išsaugojimas debesies tarnyboje Samepage.io automatiniu režimu, parametrų stebėjimas per SNMP protokolą, galimybė naudoti Ping, Traceroute, DNS Lookup, Whois derinimą įrankiai Kerio Control šliuzo vardu administravimo žiniatinklio sąsajoje . Be to, „Kerio Control“ dabar palaiko reguliarias URL išraiškas, automatinį VPN tunelių panaikinimą, apsaugą nuo žiaurios jėgos slaptažodžių ir pažangesnes paketų žvalgymo galimybes. Taip pat reikėtų pažymėti, kad naujausia Kerio Control Software Appliance versija papildo palaikymą daugiau RAID valdiklių, o tai išplės galimybes diegti šią sistemą atskirose aparatinės įrangos platformose.
Kerio Control žiniatinklio valdymo sąsaja turi ne tik administracinį skydelį, bet ir atskirą vartotojo sąsają (3 pav.). Administracinis skydelis neturi galimybės nieko keisti Kerio Control, tačiau leidžia sekti vartotojų ar vartotojų statistiką įvairiais laikotarpiais. Statistikoje pateikiami duomenys apie aplankytus išteklius, perduotų duomenų kiekį ir kitą informaciją. Jei vartotojas turi administracinę paskyrą Kerio Control sistemoje, per šį valdymo pultą jis gali gauti statistinius duomenis apie kitus sistemos vartotojus. Tiksli ir apgalvota statistika padeda administratoriui išsiaiškinti vartotojų pageidavimus dirbant internete, rasti kritinius elementus ir problemas. Skydelis sukuria išsamią srauto naudojimo histogramą kiekvienam tinklo vartotojui. Administratorius gali pasirinkti laikotarpį, kuriam jis nori sekti srautą: dvi valandas, dieną, savaitę ir mėnesį. Be to, „Kerio Control“ rodo faktinio srauto naudojimo statistiką pagal jo tipus: HTTP, FTP, el. paštas, srautinio daugialypės terpės protokolai, duomenų mainai tiesiogiai tarp kompiuterių ar tarpinių serverių.
Ryžiai. 3. Vartotojo skydelis
Šiuolaikinei įmonei, kurios filialai gali būti visame pasaulyje, būtina sąlyga yra saugus ryšys su įmonės tinklu, nes šiandien aktyviai plėtojama užsakomųjų paslaugų veikla. Naudojant „Kerio Control“, virtualaus privataus tinklo nustatymas yra beveik nesunkus. VPN serveris ir klientai yra „Kerio Control“ saugios nuotolinės prieigos prie įmonės tinklo dalis. Naudodami Kerio VPN virtualų tinklą vartotojai gali nuotoliniu būdu prisijungti prie bet kokių įmonės tinklo išteklių ir dirbti su organizacijos tinklu taip, lyg tai būtų jų pačių vietinis tinklas. Į Kerio Control produktą įmontuotas VPN serveris leidžia organizuoti VPN tinklus pagal du skirtingus scenarijus: „serveris – serveris“ ir „klientas – serveris“ (naudojamas „Kerio VPN Client“, skirtas Windows, Mac ir Linux). Režimą „serveris – serveris“ naudoja įmonės, norinčios saugiu kanalu prijungti nuotolinį biurą, kad galėtų dalytis bendrais ištekliais. Šis scenarijus reikalauja, kad „Kerio Control“ kiekvienoje iš besijungiančių šalių sukurtų saugų kanalą per atvirą internetą. Režimas „klientas – serveris“ leidžia nuotoliniam vartotojui saugiai prijungti nešiojamąjį ar namų kompiuterį prie įmonės tinklo. Kaip žino daugelis sistemos administratorių, VPN ir NAT (tinklo adresų vertimo) protokolai ne visada veikia kartu. „Kerio VPN“ sukurtas taip, kad veiktų patikimai per NAT ir net per įvairius NAT šliuzus. „Kerio VPN“ naudoja standartinius SSL šifravimo algoritmus nuorodų valdymui (TCP) ir Blowfish duomenų perdavimui (UDP), taip pat palaiko IPSec.
Kerio Control Gateway turi integruotą apsaugą nuo virusų, kuri užtikrinama tikrinant tiek įeinantį, tiek išeinantį srautą. Jei anksčiau „Kerio Control“ naudojo įmontuotą „McAfee“ antivirusinę programą, tai naujausiose versijose naudojama „Sophos“ antivirusinė programa. Administratorius gali nustatyti srauto tikrinimo taisykles naudodamas įvairius protokolus: SMTP ir POP3, WEB (HTTP) ir failų perdavimą (FTP). Į užkardą integruota antivirusinė programa, įdiegta šliuze, užtikrina visišką srauto, einančio per šliuzą, apsaugą. Kadangi integruota antivirusinė programa gali gauti naujinimus su naujomis virusų duomenų bazėmis realiu laiku, tai žymiai padidina tinklo saugumo lygį, kartu su antivirusinių programų naudojimu kiekviename vietinio tinklo kompiuteryje. Antivirusinė programa nuskaito gaunamus ir siunčiamus pranešimus, taip pat visus priedus. Kai priede aptinkamas virusas, visas priedas ištrinamas ir prie pranešimo pridedamas pranešimas. Be to, Kerio Control patikrina visą tinklo srautą, įskaitant HTML puslapius, ar nėra integruotų virusų. Failai, atsisiųsti per HTTP ir failai, perkelti per FTP, taip pat nuskaitomi, ar nėra virusų. Be to, reikia pažymėti, kad organizacijoms ir įstaigoms, pavyzdžiui, mokykloms, kurios nenori, kad jų darbuotojai ir klientai lankytųsi tam tikruose puslapiuose, „Kerio Control“ su integruotu „Kerio Control“ žiniatinklio filtru (galima įsigyti už papildomą mokestį) suteikia galimybę. papildomų parinkčių blokuoti puslapius internete.
„Kerio Control“ leidžia administratoriams ne tik sukurti bendrą srauto naudojimo strategiją, bet ir nustatyti bei taikyti apribojimus kiekvienam vartotojui. Prieš prisijungdamas prie interneto, kiekvienas vartotojas turi prisijungti prie „Kerio Control“. Vartotojų paskyros saugomos atskiroje vidinėje vartotojų duomenų bazėje arba paimtos iš įmonės Microsoft Active Directory arba Apple Open Directory. Galima lygiagrečiai naudoti tiek vietinę, tiek domeno vartotojų bazę. Naudojant integraciją su Microsoft Active Directory, domeno naudotojams kliento autorizacija gali vykti skaidriai naudojant NTLM autentifikavimą. Kaip „Windows 2008/2012 Server“ dalis, „Active Directory“ leidžia administratoriams centralizuotai valdyti vartotojų paskyras ir tinklo išteklių duomenis. „Active Directory“ suteikia prieigą prie vartotojo informacijos iš vieno kompiuterio. „Active Directory“ / „Open Directory“ palaikymas suteikia „Kerio Control“ prieigą prie vartotojų duomenų bazės realiuoju laiku ir leidžia įdiegti vartotoją vietiniame tinkle neišsaugant slaptažodžio. Taigi nereikia sinchronizuoti kiekvieno vartotojo slaptažodžių. Visi „Microsoft Active Directory“ / „Open Directory“ pakeitimai automatiškai atsispindi „Kerio Control“.
Kiekvienam vartotojui administratorius gali nustatyti skirtingus prieigos apribojimus. Šios taisyklės gali būti nustatytos tam tikram laikotarpiui ir nustatyti įvairius eismo naudojimo apribojimus. Pasiekus limitą, Kerio Control el. paštu siunčia įspėjimą vartotojui ir administratoriui arba administratorius blokuoja vartotoją likusiai dienos ar mėnesio daliai.
Apibendrinant verta paminėti, kad „Kerio Control“ yra labai populiarus produktas tarp sistemų administratorių dėl savo neabejotinų pranašumų, kuriuos jis turi, palyginti, pavyzdžiui, su panašiais sprendimais, įtrauktais į standartinį Linux pagrindu veikiančių operacinių sistemų paketą (pvz., iptables). Greita sąranka, plačios galimybės ir aukštas apsaugos lygis – visa tai daro šį programinės įrangos produktą patrauklų mažoms įmonėms.
„Kerio Control“ priklauso tai kategorijai programinė įranga, kurios sujungia platų funkcijų spektrą su paprastu diegimu ir valdymu. Šiandien analizuosime, kaip šia programa galima organizuoti grupinį darbuotojų darbą internete, taip pat patikimai apsaugoti vietinį tinklą nuo išorinių grėsmių.
priklauso produktų kategorijai, kurioje platus funkcionalumas derinamas su diegimo ir veikimo paprastumu. Šiandien analizuosime, kaip šia programa galima organizuoti grupinį darbuotojų darbą internete, taip pat patikimai apsaugoti vietinį tinklą nuo išorinių grėsmių.
Produkto pristatymas prasideda jo įdiegimu kompiuteryje, kuris atlieka interneto šliuzo vaidmenį. Ši procedūra niekuo nesiskiria nuo bet kokios kitos programinės įrangos diegimo, todėl prie jos nesigilinsime. Atkreipiame dėmesį tik į tai, kad jos metu kai kurios „Windows“ paslaugos, neleidžiančios programai veikti, bus išjungtos. Baigę diegti, galite pereiti prie sistemos konfigūracijos. Tai galima padaryti tiek vietoje, tiesiogiai per interneto šliuzą, tiek nuotoliniu būdu, iš bet kurio kompiuterio, prijungto prie įmonės tinklo.
Pirmiausia paleidžiame per standartinį meniu " Pradėti"valdymo konsolė. Jos pagalba sukonfigūruojamas aptariamas produktas. Patogumui galite sukurti ryšį, prie kurio ateityje galėsite greitai prisijungti. Norėdami tai padaryti, dukart spustelėkite" Naujas ryšys", lange, kuriame atidaromas produktas (Kerio Control), nurodykite pagrindinį kompiuterį, kuriame jis įdiegtas, ir vartotojo vardą, tada spustelėkite " Išsaugoti kaip“ ir įveskite ryšio pavadinimą. Po to galėsite užmegzti ryšį su. Norėdami tai padaryti, dukart spustelėkite sukurtą ryšį ir įveskite slaptažodį.
Pagrindinė Kerio Control konfigūracija
Iš esmės visus veikimo parametrus galima reguliuoti rankiniu būdu. Tačiau pradiniam diegimui daug patogiau naudoti specialų vedlį, kuris paleidžiamas automatiškai. Pirmajame etape siūloma susipažinti su pagrindine informacija apie sistemą. Čia taip pat yra priminimas, kad kompiuteris, kuriame veikia Kerio Control, turi būti prijungtas prie vietinio tinklo ir turėti veikiantį interneto ryšį.
Antrasis etapas – interneto ryšio tipo pasirinkimas. Iš viso čia galimi keturi variantai, iš kurių reikia pasirinkti tinkamiausią konkrečiam vietiniam tinklui.
- Nuolatinė prieiga – interneto vartai turi nuolatinį ryšį su internetu.
- Dial-on-demand – automatiškai užmegs interneto ryšį pagal poreikį (jei yra RAS sąsaja).
- Gedus prisijungti iš naujo – nutrūkus ryšiui su internetu automatiškai persijungs į kitą kanalą (reikia dviejų interneto jungčių).
- Kanalų apkrovos balansavimas – vienu metu naudos kelis ryšio kanalus, paskirstydamas apkrovą tarp jų (reikia dviejų ar daugiau interneto jungčių).
Trečias žingsnis – nurodyti tinklo sąsają ar sąsajas, prijungtas prie interneto. Pati programa aptinka ir rodo visas galimas sąsajas sąrašo pavidalu. Taigi administratorius gali pasirinkti tik tinkamą variantą. Verta paminėti, kad pirmuosiuose dviejų tipų jungtyse reikia įdiegti tik vieną sąsają, o trečiajame - dvi. Ketvirtosios parinkties nustatymas šiek tiek skiriasi nuo kitų. Tai suteikia galimybę pridėti bet kokį tinklo sąsajų skaičių, kiekvienai iš jų reikia nustatyti maksimalią įmanomą apkrovą.
Ketvirtasis žingsnis – pasirinkti tinklo paslaugas, kurios bus prieinamos vartotojams. Iš esmės galima pasirinkti variantą " Be limitų". Tačiau daugeliu atvejų tai nebus visiškai pagrįsta. Geriau pažymėkite tas paslaugas, kurių jums tikrai reikia: HTTP ir HTTPS naršymui svetainėse, POP3, SMTP ir IMAP darbui su paštu ir kt.
Kitas žingsnis yra VPN ryšių taisyklių nustatymas. Tam naudojami tik du žymės langeliai. Pirmasis apibrėžia, kuriuos klientus vartotojai naudos prisijungdami prie serverio. Jei „native“, tai yra, išleido „Kerio“, tada žymimąjį laukelį reikia suaktyvinti. Priešingu atveju, pavyzdžiui, naudojant „Windows“ įtaisytus įrankius, jis turi būti išjungtas. Antrasis žymės langelis nustato galimybę naudoti Kerio Clientless SSL VPN funkciją (tvarkyti failus, aplankus, atsisiųsti ir įkelti per interneto naršyklę).
Šeštas žingsnis – sukurti taisykles paslaugoms, kurios veikia vietiniame tinkle, bet turi būti pasiekiamos ir iš interneto. Jei ankstesniame žingsnyje įjungėte Kerio VPN Server arba Kerio Clientless SSL VPN technologiją, tada viskas, kas jiems reikalinga, bus sukonfigūruota automatiškai. Jei reikia užtikrinti kitų paslaugų (įmonės pašto serverio, FTP serverio ir kt.) prieinamumą, spustelėkite kiekvieną iš jų. Papildyti“, pasirinkite paslaugos pavadinimą (bus atidaromi standartiniai pasirinktai paslaugai skirti prievadai) ir, jei reikia, nurodykite IP adresą.
Galiausiai paskutinis sąrankos vedlio ekranas yra įspėjimas prieš pradedant taisyklių generavimo procesą. Tiesiog perskaitykite jį ir spustelėkite " Užbaigti"
Iš esmės, baigus vedlį, jis jau veikia. Tačiau prasminga šiek tiek pakoreguoti kai kuriuos parametrus. Visų pirma, galite nustatyti pralaidumo ribas. Labiausiai „užkemša“ perkeliant didelius, didelės apimties failus. Todėl galima apriboti tokių objektų pakrovimo ir/ar iškrovimo greitį. Norėdami tai padaryti, skyriuje Konfigūracija"reikia atidaryti skaidinį" Pralaidumo apribojimas", įjunkite filtravimą ir įveskite pralaidumą dideliems failams. Jei reikia, galite padaryti apribojimą lankstesnį. Norėdami tai padaryti, spustelėkite " Papildomai" ir atsidariusiame lange nurodykite filtrų paslaugas, adresus ir laiko intervalus. Be to, galite iš karto nustatyti failų, kurie laikomi dideliais, dydį.
Vartotojai ir grupės
Atlikę pradinę sistemos sąranką, galite pradėti prie jos pridėti vartotojų. Tačiau patogiau pirmiausia juos suskirstyti į grupes. Tokiu atveju ateityje juos bus lengviau valdyti. Norėdami sukurti naują grupę, eikite į " Vartotojai ir grupės -> Grupės"ir spustelėkite mygtuką" Papildyti". Bus atidarytas specialus vedlys, susidedantis iš trijų žingsnių. Pirmajame turite įvesti grupės pavadinimą ir aprašymą. Antrajame galite iš karto pridėti prie jos vartotojų, jei, žinoma, jie jau buvo sukurtas Trečiame etape reikia apibrėžti grupės teises: prieiga prie sistemos administravimo, galimybė išjungti įvairias taisykles, leidimas naudoti VPN, peržiūrėti statistiką ir kt.
Sukūrę grupes, galite tęsti vartotojų įtraukimą. Lengviausias būdas tai padaryti, jei domenas yra įdiegtas įmonės tinkle. Tokiu atveju tiesiog eikite į skyrių " Vartotojai ir grupės -> Vartotojai", atidarykite Active Directory skirtuką, įjunkite žymimąjį laukelį " Naudokite domeno vartotojų duomenų bazę“ ir įveskite paskyros, turinčios teisę pasiekti šią duomenų bazę, prisijungimo vardą ir slaptažodį. Šiuo atveju ji naudos domenų paskyras, o tai, žinoma, labai patogu.
Kitu atveju vartotojus turėsite įvesti rankiniu būdu. Tam pateikiamas pirmasis nagrinėjamo skyriaus skirtukas. Paskyros sukūrimas susideda iš trijų žingsnių. Pirmajame reikia nustatyti prisijungimo vardą, vardą, aprašymą, el. pašto adresą, taip pat autentifikavimo parametrus: prisijungimo vardą ir slaptažodį arba duomenis iš Active Directory. Antrame žingsnyje vartotoją galite įtraukti į vieną ar daugiau grupių. Trečiame etape yra galimybė automatiškai užregistruoti paskyrą, kad būtų galima pasiekti užkardą ir tam tikrus IP adresus.
Apsaugos sistemos nustatymas
Įdiegtos plačios galimybės užtikrinti įmonės tinklo saugumą. Iš esmės mes jau pradėjome apsisaugoti nuo išorinių grėsmių, kai nustatome užkardą. Be to, aptariamas gaminys turi apsaugos nuo įsibrovimo sistemą. Jis įjungtas pagal numatytuosius nustatymus ir sukonfigūruotas optimaliam veikimui. Taigi jūs negalite jo liesti.
Kitas žingsnis yra antivirusinė. Čia verta paminėti, kad jis prieinamas ne visose programos versijose. Norint naudoti apsaugą nuo kenkėjiškų programų, ją reikia įsigyti su integruota antivirusine programa arba interneto šliuze turi būti įdiegtas išorinis antivirusinis modulis. Norėdami įjungti antivirusinę apsaugą, atidarykite " Konfigūracija -> Turinio filtravimas -> Antivirusinė". Jame reikia suaktyvinti naudojamą modulį ir pažymėti tikrintinus protokolus naudodami žymimuosius langelius (rekomenduojama įjungti visus). Jei naudojate integruotą antivirusinę, turite įjungti antivirusinių duomenų bazių atnaujinimą ir nustatyti šios procedūros atlikimo intervalas.
Tada turite sukonfigūruoti HTTP srauto filtravimo sistemą. Tai galite padaryti „ Konfigūracija->Turinio filtravimas->HTTP politika". Paprasčiausia filtravimo parinktis yra besąlyginis svetainių, kuriose yra žodžių iš "juodojo" sąrašo, blokavimas. Norėdami tai įjungti, eikite į skirtuką " Draudžiami žodžiai" ir užpildykite posakių sąrašą. Tačiau yra ir lankstesnė bei patikimesnė filtravimo sistema. Ji paremta taisyklėmis, kurios aprašo vartotojo prieigos prie tam tikrų svetainių blokavimo sąlygas.
Norėdami sukurti naują taisyklę, eikite į " URL taisyklės“, dešiniuoju pelės mygtuku spustelėkite lauką ir pasirinkite „ Papildyti". Taisyklės pridėjimo langas susideda iš trijų skirtukų. Pirmajame nustatomos sąlygos, kuriomis ji veiks. Pirmiausia turite pasirinkti, kam taisyklė taikoma: visiems vartotojams ar tik konkrečioms paskyroms. Po to turite nustatyti pageidaujamos svetainės URL atitikimo kriterijų. Tam galima naudoti eilutę, kuri yra įtraukta į adresą, adresų grupę arba žiniatinklio projekto įvertinimą Kerio Web Filter sistemoje (iš tikrųjų kategoriją svetainė priklauso).
Antrame skirtuke galite nurodyti intervalą, per kurį taisyklė galios (visada pagal numatytuosius nustatymus), taip pat IP adresų grupę, kuriai ji taikoma (pagal numatytuosius nustatymus, visus). Norėdami tai padaryti, tiesiog pasirinkite atitinkamus elementus iš anksto nustatytų reikšmių išskleidžiamajame sąraše. Jei laiko intervalai ir IP adresų grupės dar nenustatyti, tada mygtukais „Redaguoti“ galite atidaryti norimą redaktorių ir juos pridėti. Taip pat šiame skirtuke galite nustatyti programos veiksmą užblokavus svetainę. Tai gali būti puslapio su nurodytu atmetimo tekstu leidimas, tuščio puslapio rodymas arba vartotojo nukreipimas nurodytu adresu (pavyzdžiui, į įmonės svetainę).
Jei įmonės tinkle naudojamos belaidės technologijos, prasminga įjungti filtrą pagal MAC adresą. Tai žymiai sumažins neteisėto įvairių įrenginių prijungimo riziką. Norėdami atlikti šią užduotį, atidarykite skyrių " Konfigūracija -> Eismo politika -> Saugos nustatymai". Jame suaktyvinkite žymimąjį laukelį " MAC adreso filtras įjungtas“, tada pasirinkite tinklo sąsają, kuriai ji bus platinama, perjunkite MAC adresų sąrašą į „ Leisti tik išvardytiems kompiuteriams pasiekti tinklą“ ir užpildykite įvesdami įmonei priklausančių belaidžių įrenginių duomenis.
Apibendrinant
Taigi, kaip matome, nepaisant plataus funkcionalumo, organizuoti įmonių tinklo vartotojų grupinį darbą internete su juo yra gana paprasta. Akivaizdu, kad mes apsvarstėme tik pagrindinę šio gaminio sąranką.
Laba diena, mieli skaitytojai ir tinklaraščio svetainės svečiai, bet kurioje organizacijoje visada yra žmonių, kurie nenori dirbti ir kurie naudoja įmonės išteklius kitiems tikslams, pateiksiu paprastą pavyzdį, jūs turite nedidelį biurą, tarkime, 50 darbuotojų ir interneto kanalo su 20 megabitų pralaidumu ir 50 GB mėnesio srauto limitu normaliam interneto naudojimui ir verslo darbams biure to pakanka, tačiau yra žmonių, kurie gali norėti atsisiųsti filmą vakarą ar naują muzikos albumą, o dažniausiai tam naudoja terrent trackerius, parodysiu kaip Kerio Control 8 galima išjungti p2p srautą ir nustatyti darbuotojo dienos srauto limitą.
P2p srauto blokavimas „Kerio Control 8“.
Taigi jūs turite pastatytą vietinį tinklą, kuriame atsirado kenkėjiškas rokeris, manau, kad iš karto jį atpažinsite iš statistikos žurnalų, filtruosite pagal stulpelius. Be priekaištų, kurie bus pateikti iš vadovybės, jūs, kaip sistemos administratorius, turite užkirsti kelią tolesniems bandymams atsisiųsti turinį per p2p srautą.
Turite dvi parinktis:
- Įgalinti visišką p2p srauto blokavimą
- Nustatykite dienos limitą vienam vartotojui
Pradėkime blokuodami lygiavertį srautą, eikite į turinio filtrą ir sukurkite naują taisyklę. Spustelėkite Pridėti ir pasirinkite „Programos ir žiniatinklio turinio kategorijos“.
Raskite atsisiuntimo skyrių ir pažymėkite „Peer-to-peer“ tinklą.
Vykdant taisyklę, buvo pašalinta.
Teoriškai norint visiškai blokuoti p2p srautą, pakanka sukurtos taisyklės, tačiau taip pat patariu nustatyti kvotas vartotojams, jei turite limitą internete, kad išmokytumėte juos naudoti tik darbo reikalams. Norėdami tai padaryti, eikite į vartotojų skirtuką ir bet kurio skirtuko „Kvota“ ypatybėse nurodykite dienos limitą megabaitais.
