Kerio Control - комплексна безпека мережі. Kerio Control Детальне налаштування основних функцій Правило = формалізоване обмеження

Добрий день шановні читачі і гості блогу сайт, в будь-якій організації завжди знаходяться люди, хто не хоче працювати і хто використовує корпоративні ресурси не за призначенням, наведу простий приклад у вас є невеликий офіс, скажімо так співробітників 50 і інтернет канал з пропускною спроможністю 20 мегабіт і місячним лімітом трафіку в 50 гб, для звичайного використання інтернету і побудови бізнес роботи офісу цього вистачає, але бувають такі люди, хто може захотіти скачати собі фільм на вечір або новий альбом музики, і найчастіше вони використовують для цього террент трекери, давайте я покажу як в Kerio Control 8, можна заборонити p2p трафік і поставити щоденний ліміт для співробітника по трафіку.

Блокуємо p2p трафік в Kerio Control 8

І так у вас є побудована локальна мережа в якій з'явився злісний качальщік, думаю ви його виявите відразу з логів статистики, отфильтруете за стовпцями. По мимо догани, який піде з боку керівництва, ви як системний адміністратор повинні запобігти подальшим спробам завантажити контент через p2p трафік.

У вас два варіанти:

• Включити повне блокування p2p трафіку
• Встановити денний ліміт на кожного користувача

Почнемо з блокування пирингового трафіку, переходимо в фільтр вмісту і створюємо нове правило. Натискаємо додати і вибираємо "Програми та категорії web-вмісту"

Знаходьте розділ завантаження і відзначаєте галкою пірінгова мережу.

У дії правила ставите видалити.

За ідеєю для повного блокування p2p трафіку, досить створеного правила, але я вам ще раджу виставляти квоти користувачам, якщо у вас є ліміт у інтернету, щоб привчити їх використовувати його виключно по робочих питаннях. Для цього перейдіть на вкладку користувачі і у властивостях будь-якого на вкладці "Квота" вкажіть денний ліміт в мегабайтах.

Kerio Control відноситься до тієї категорії програмного забезпечення, В яких широкий спектр функціональних можливостей поєднується з простотою впровадження і експлуатації. Сьогодні ми розберемо, як за допомогою цієї програми можна організувати групову роботу співробітників в Інтернеті, а також надійно захистити локальну мережу від зовнішніх погроз.

відноситься до тієї категорії продуктів, в яких широкий спектр функціональних можливостей поєднується з простотою впровадження і експлуатації. Сьогодні ми розберемо, як за допомогою цієї програми можна організувати групову роботу співробітників в Інтернеті, а також надійно захистити локальну мережу від зовнішніх погроз.

Впровадження продукту починається з його інсталяції на комп'ютері, який відіграє роль інтернет-шлюзу. Ця процедура нічим не відрізняється від інсталяції будь-якого іншого ПО, а тому зупинятися на ній ми не будемо. Відзначимо тільки, що в ході її будуть відключені деякі служби Windows, що перешкоджають роботі програми. Після завершення установки можна переходити до налаштування системи. Це можна зробити як локально, прямо на інтернет-шлюзі, так і віддалено, з будь-якого комп'ютера, підключеного до корпоративної мережі.

В першу чергу запускаємо через стандартне меню " Пуск"Консоль управління. З її допомогою і здійснюється настройка розглянутого продукту. Для зручності можна створити з'єднання, яке в майбутньому дозволить швидко підключатися до. Для цього двічі клацніть на пункт" нове з'єднання", Вкажіть у вікні продукт (Kerio Control), хост, на якому він встановлений, а також ім'я користувача, після чого натисніть на кнопку" Зберегти як"І введіть ім'я підключення. Після цього можна встановити з'єднання з. Для цього двічі клацніть на створеному підключенні і введіть свій пароль.

Базова настройка Kerio Control

В принципі, всі параметри роботи можна налаштовувати вручну. Однак для початкового впровадження набагато зручніше скористатися спеціальним майстром, який запускається автоматично. На першому його етапі пропонується ознайомитися з основною інформацією про систему. Також тут є нагадування про те, що комп'ютер, на якому запущено Kerio Control, повинен бути підключений до локальної мережі і мати працює підключення до Інтернету.

Другий етап - вибір типу підключення до Інтернету. Всього тут є чотири варіанти, з яких необхідно вибрати найбільш підходящий для конкретної локальної мережі.

• Постійний доступ - інтернет-шлюз має постійне підключення до Інтернету.
• Дозвон за запитом - буде самостійно встановлювати підключення до Інтернету в міру необхідності (за наявності інтерфейсу RAS).
• Перепідключення при відмові - при розриві зв'язку з Інтернетом буде автоматично перемикатися на інший канал (потрібно два підключення до Інтернету).
• Розподіл навантаження на канали - буде одночасно використовувати кілька каналів зв'язку, розподіляючи навантаження між ними (необхідно два або більше підключень до Інтернету).

На третьому етапі необхідно вказати мережеві інтерфейс або інтерфейси, підключені до Інтернету. Програма сама виявляє і виводить всі доступні інтерфейси у вигляді списку. Так що адміністратору залишається тільки вибрати підходящий варіант. Варто відзначити, що в перших двох типах підключень потрібно встановлювати тільки один інтерфейс, а в третьому - два. Налаштування четвертого варіанту дещо відрізняється від інших. У ньому передбачена можливість додавання будь-якої кількості мережевих інтерфейсів, для кожного з яких необхідно встановити максимально можливе навантаження.

Четвертий етап полягає у виборі мережевих служб, які будуть доступні користувачам. В принципі, можна вибрати варіант " Без обмежень". Однак в більшості випадків це буде не зовсім розумно. Краще відзначити" галочками "ті служби, які дійсно потрібні: HTTP і HTTPS для перегляду сайтів, POP3, SMTP і IMAP для роботи з поштою і т.п.

Наступний крок - настройка правил для VPN-підключень. Для цього використовується всього два чекбокса. Перший визначає, які клієнти будуть використовувати користувачі для підключення до сервера. Якщо "рідні", тобто випущені Kerio, то чекбокс її потрібно активувати. В іншому випадку, наприклад, при використанні вбудованих в Windows засобів, його потрібно відключити. Другий чекбокс визначає можливість використання функції Kerio Clientless SSL VPN (управління файлами, папками скачування і завантаження через веб-браузер).

Шостий етап полягає в створенні правил для служб, які працюють в локальній мережі, але повинні бути доступні і з Інтернету. Якщо на попередньому кроці ви включили Kerio VPN Server або технологію Kerio Clientless SSL VPN, то все необхідне для них буде налаштоване автоматично. Якщо ж вам потрібно забезпечити доступність інших служб (корпоративного поштового сервера, FTP-сервера та ін.), То для кожної з них натисніть на кнопку " Додати", Виберіть назву сервісу (будуть відкриватися стандартні для обраного сервісу порти) і при необхідності вкажіть IP-адреса.

Нарешті, останній екран майстра налаштування являє собою попередження перед початком процесу генерації правил. Просто прочитайте його і натисніть на кнопку " завершити". Природно, в майбутньому все створені правила і налаштування можна змінювати. Причому можна як повторно запустити описаний майстер, так і відредагувати параметри вручну.

В принципі, після завершення роботи майстра вже знаходиться в робочому стані. Однак має сенс трохи підкоригувати деякі параметри. Зокрема, можна встановити обмеження на використання смуги пропускання. Найбільше вона "забивається" при передачі великих, об'ємних файлів. Тому можна обмежити швидкість завантаження і / або вивантаження таких об'єктів. Для цього в розділі " конфігурація"Потрібно відкрити розділ" Обмеження смуги пропускання", Включити фільтрацію і ввести доступну для об'ємних файлів смугу пропускання. При необхідності можна зробити обмеження більш гнучким. Для цього необхідно натиснути на кнопку" додатково"І вказати у вікні служби, адреси, а також тимчасові інтервали дії фільтрів. Крім того, тут же можна встановити розмір файлів, які вважаються об'ємними.

Користувачі і групи

Після початкового налаштування системи можна приступати до внесення в неї користувачів. Однак зручніше спочатку розбити їх на групи. В цьому випадку в майбутньому ними буде легше управляти. Щоб створити нову групу перейдіть в розділ " Користувачі і групи-> Групи"І натисніть на кнопку" Додати". При цьому буде відкрито спеціальний майстер, що складається з трьох кроків. На першому потрібно ввести ім'я та опис групи. На другому можна відразу додати в неї користувачів, якщо, звичайно, вони вже створені. На третьому етапі необхідно визначити права групи: доступ до адміністрування системи, можливість відключення різних правил, дозвіл на використання VPN, перегляд статистики та ін.

Створивши групу можна переходити до додавання користувачів. Найпростіше це зробити, якщо в корпоративній мережі розгорнуть домен. У цьому випадку досить перейти в розділ " Користувачі і групи-> Учасники", Відкрити вкладку Active Directory, включити чекбокс" Використовувати базу даних користувачів домену"І ввести логін і пароль облікового запису, що має право на доступ до цієї бази. При цьому буде використовувати облікові записи домену, що, звичайно ж, дуже зручно.

В іншому випадку потрібно буде ввести користувачів вручну. Для цього передбачена перша вкладка розглянутого розділу. Створення облікового запису складається з трьох кроків. На першому необхідно задати логін, ім'я, адреса електронної пошти, а також параметри аутентифікації: логін і пароль або дані з Active Directory. На другому кроці можна додати користувача в одну або кілька груп. На третьому етапі є можливість автоматичної реєстрації облікового запису для доступу до міжмережевий екран і тією чи іншою IP-адресами.

Налаштовуємо систему безпеки

У реалізовано широкі можливості щодо забезпечення безпеки корпоративної мережі. В принципі, захищатися від зовнішніх загроз ми вже почали, коли налаштували роботу файрвола. Крім того, в даному продукті реалізована система запобігання вторгнень. Вона за замовчуванням включена і налаштована на оптимальну роботу. Так що її можна не чіпати.

Наступний крок - антивірус. Тут варто зазначити, що він є не у всіх версіях програми. Для використання захисту від шкідливого ПО повинен бути придбаний з вбудованим антивірусом, або на інтернет-шлюзі повинен бути встановлений зовнішній модуль антивіруса. Для включення антивірусного захисту необхідно відкрити розділ " Конфігурація-> Фільтрація содержімого-> Антивірус". У ньому потрібно активувати використовуваний модуль і відзначити з допомогою чекбоксів перевіряються протоколи (рекомендується включити всі). Якщо у вас використовується вбудований антивірус, то необхідно включити оновлення антивірусних баз і встановити інтервал виконання цієї процедури.

Далі необхідно налаштувати систему фільтрації HTTP-трафіку. Зробити це можна в розділі " Конфігурація-> Фільтрація содержімого-> Політика HTTP". Найпростішим варіантом фільтрації є безумовне блокування сайтів, на яких зустрічаються слова з" чорного "списку. Для його включення перейдіть на вкладку" заборонені слова"І заповніть список виразів. Однак в є і більш гнучка і надійна система фільтрації. Вона заснована на правилах, в яких описуються умови блокування доступу користувачів до тих чи інших сайтів.

Для створення нового правила перейдіть на вкладку " Правила URL", Правою кнопкою миші на поле і виберіть в контекстному меню пункт" Додати". Вікно додавання правила складається з трьох вкладок. На першій задаються умови, при яких воно буде спрацьовувати. Спочатку потрібно вибрати, на кого поширюється правило: на всіх користувачів або тільки на конкретні облікові записи. Після цього необхідно задати критерій відповідності URL запитуваної сайту. для цього може використовуватися рядок, яка входить в адресу, група адрес або рейтинг веб-проекту в системі Kerio Web Filter (по суті, категорія, до якої відноситься сайт). на завершення варто зазначити реакцію системи на виконання умов - дозволити або заборонити доступ до сайту.

На другій вкладці можна вказати інтервал, протягом якого буде діяти правило (за замовчуванням завжди), а також групу IP-адрес, на які воно поширюється (за замовчуванням на все). Для цього необхідно просто вибрати відповідні пункти в випадних списках попередньо заданих значень. Якщо тимчасові інтервали і групи IP-адрес ще не задавалися, то за допомогою кнопок "Правка" можна відкрити потрібний редактор і додати їх. Також на даній вкладці можна задати дію програми в разі блокування сайту. Це можна бути видача сторінки із заданим текстом відмови, відображення порожній сторінки або ж перенаправлення користувача на задану адресу (наприклад, на корпоративний сайт).

У тому випадку, якщо в корпоративній мережі використовуються бездротові технології, має сенс включити фільтр по MAC-адресу. Це дозволить суттєво знизити ризик несанкціонованого підключення різних пристроїв. Для реалізації даного завдання відкрийте розділ " Конфігурація-> Політика трафіка-> Параметри безпеки". У ньому активуйте чекбокс" Фільтр MAC-адрес включений", Потім виберіть мережевий інтерфейс, на який він буде поширюватися, переведіть список MAC-адрес в режим" Дозволити доступ до мережі тільки перерахованим комп'ютерів"І заповніть його, внісши дані бездротових пристроїв, що належать компанії.

поводимо підсумки

Отже, як ми бачимо, не дивлячись на широкі функціональні можливості, організувати з його допомогою групову роботу користувачів корпоративної мережі в Інтернеті досить просто. Зрозуміло, що ми розглянули тільки базову настройку цього продукту.

Приступимо до налаштування безпеки нашого UTM шлюзу на платформі Kerio Control 7.4.1

Насамперед перейдемо до налаштування IDS / IPS системи і встановимо графік оновлень 1 годину замість дефолтних 24 годин. Оновлення зовсім не "вантажить» с-му, але значно підвищує шанси відловити зловреда.

Тепер встановимо дії, для Високої серйозності «Записати в журнал і видалити», для Середньої «Записати в журнал і видалити», для Низькою «Записати в журнал»:

Такі установки можуть істотно вплинути на «нормальну» роботу «проблемних» ПК, що власне нам і належить почути через Help Desk і побачити в Журналі Security:

Що ж, тепер переходимо до розділу «Параметри безпеки»і дозволимо доступ до локальної мережі по MAC адрксу тільки перерахованим комп'ютерів, для цього заздалегідь підготуємо список MAC адрес, які іспользуються в організації.

При додаванні в мережу нового прилади, будемо додавати його МАС, це незручно і тому логічно доручити це службі Help Desk. Але в такому разі, їм доведеться виділити адміністративні права до UTM, що неприпустимо тому руйнує будь-яку безпеку 🙂

Коли-небудь Kerio застосує RBAC в своїх продуктах, а поки для гостей організації ми виділимо гостьову мережу і фільтрувати по МАС там не будемо.

Переходимо до підрозділу «Різне» і збільшуємо Заборонити з'єднання на один хост до 6000. Це може бути необхідно для усіляких додатків на зразок клієнт-банків і т.п.

Також переконаємося що модуль антіспуфінга включений, і події записуються в журнал:

Перейдемо до розділу «Політика HTTP» і першим ділом включимо «Remove advertisement and banners», а для можливості налагодження включимо журнал цього правила.

Тепер ми врахувавши можливості зливу інформації через соц.сети заборонимо їх використання, для цього створимо нове правило «Social», виберемо дію «Відмовити», введемо текст « Відповідно до політики інформаційної безпеки використання соціальних мереж заборонено.», Але так як в нашому випадку це не заборона, а скоріше рекомендація, включимо можливість для користувачів розблокувати це правило.

У качкестве URL ми не будемо перераховувати всілякі http://vk.com і https://facebook.com, а вкажемо URL, оцінений системою рейтингів Kerio Control Web Filter (і звичайно ж будемо фільтрувати в т.ч. https).

Правило у нас буде діяти для всіх користувачів, в будь-який час, а події будуть записуватися в Журнал.

У реальних умовах, найчастіше буває так що для всіх користувачів створюється забороняє правило на робочий час за винятком обіду (тобто вранці, в обід і після роботи улюблені вконтактік працювати буде).

А для групи VIP (в яку можуть входити керівники, топи та інші привілейовані співробітники) в будь-який час доступ буде заборонений, але з можливістю розблокування.

Я залишу без коментарів таке рішення Замовника, просто покажу як це виглядає:

Аналогічним чином можна дуже гнучко управляти всім Інтернеіт трафіком, адже Kerio Web Filter диво як хороший.

Заборонені слова я не використовую, залишаю настройки за замовчуванням, зате в налаштуваннях Kerio Control Web Filter дозволю користувачам повідомляти про передбачувані помилки, адже всі системи по-своєму недосконалі, і підтвердження тому блокування Хабра «з коробки»:

Що стосується фільтрації FTP, користувачі його практично не використовують, тому я включу лише два стандартних правила та свої писати не стану до появи інцидентів:

Перейдемо до налаштувань Антивірусу. Насамперед встановимо графік оновлення в одну годину, тому що практика говорить про те, що сигнатури оновлюються частіше 8 годин.

Оскільки захищати електронну пошту на рівні шлюзу мені представляеться не дуже хорошою ідеєю, сканування SMTP і POP3 я відключу, також я відключу FTP тому практика говорить про те, що цей протокол використовується частіше адміністраторами, а користувачі про нього вже успішно забули.

А на вкладці «Сканування ел. пошти »я про всяк випадок дозволю передачу вкладень, навіть якщо вони будь-яким чином були прийняті за шкідливі.

Звичайно, в питанні безпеки моніторинг найважливіша умова, тому налаштуємо Kerio Star відповідно до потреб.

З метою зниження адміністративного навантаження, налаштуємо виключення для деякого трафіку і для VIP співробітників, до трафіку яких не повинні мати доступи навіть адміністратори системи:

У підрозділі «Доступ до системи» дозволимо користувачам доступ до власної статистикою, і більш того, будемо автоматично відправляти їм цю саму статистику щотижня.

Для деякого відповідальної особи (в даному випадку цією особою виступаю я) є можливість доступу і отримання щоденних звітів про діяльність всіх співробітників.

Також для адміністратора системи є можливість отримання сповіщень про таких системних події:

Звичайно, для нормальної роботи всіх цих функцій Kerio Control повинен мати налаштований SMTP relay, а в профілі кожного користувача повинен бути вказаний валідний email.

У Додаткових опціях, в підрозділі «Обмежувач P2P» можна заблокувати Торрето, які напевно шкідливі в корпоративній мережі.

При цьому користувач буде повідомлений по email (адміністратор також може бути повідомлений по email) і заблокований на 20 хв.

UPDІснує можливість відключати Java, ActiveX і т.п. як для окремих користувачів, так і для всієї організації:

Ну і звичайно ж регулярно переглядати всі журнали, як цей процес зробити зручним я розповім наступного разу.

Неправильне керування смугою пропускання в офісній мережі (або відсутність такого управління) призводить до відчутних перебоїв: інтернет працює повільно, знижується якість голосового і відеозв'язку і т. Д. Допоможе правильно розставити пріоритети і гарантувати достатню пропускну здатність важливого трафіку.

Про можливості Kerio Control

Програмне рішення Kerio Control відноситься до продуктів класу UTM (Unified Threat Management) і забезпечує комплектну захист робочих станцій і серверів при роботі в інтернеті. Рішення орієнтоване на корпоративні мережі середніх розмірів і веде родовід від добре відомого продукту WinRoute. Слова «комплексний захист» означають, що Kerio Control складається з безлічі модулів, що відповідають за різні аспекти безпеки, а саме:

• міжмережевий екран;
• маршрутизатор;
• система виявлення і запобігання вторгнень (IPS / IDS);
• антивірусний захист трафіку;
• контент-фільтрація трафіку;
• моніторинг і аналіз активності користувачів в інтернеті;
• два VPN сервера - один на базі власного протоколу і другий на базі відкритого стандарту IPSec VPN;
• управління смугою пропускання і підтримка QoS.

У статті ми поговоримо про останній пункт в цьому переліку, але далеко не останній за важливістю.

Проблеми оптимізації доступу в інтернет

Розглянемо кілька типових сценаріїв.

перший:керівнику потрібен необмежений доступ до смуги пропускання, краще, ніж у інших. До речі, необов'язково керівнику - гарантовано широка смуга буде потрібно сервера, який реплицирует базу з віддаленим дата-центром.

другий:менеджери скаржаться на погану чутність і обриви дзвінків. Або платіжний термінал приймає платіж по карті за третім разом, тому що не може зв'язатися з банком.

третій:несподівано впала швидкість у всього офісу. Пора перевірити, хто качає на роботі торренти.

Всі ці сценарії вимагають управляти смугою пропускання, а саме визначати пріоритети і виявляти аномальні явища. Завдання управління будуть виглядати приблизно так:

• для VoIP потрібно пропускна здатність 10 Мбіт / сек, що не менше, в будь-який час;
• потокові дані не повинні споживати більше 100 кбіт / сек;
• гостьовий трафік треба відокремлювати від робочого і не перемикати на резервний канал в разі збою основного;
• привілейований трафік важливіше звичайного в робочі години.

Щоб формалізувати кожну з цих задач, потрібно визначити, для чого і за якими критеріями ми розставляємо пріоритети.

Типи трафіку.На першому місці онлайн-відеоконференції, телефонія, передача відеосигналу, VPN, тут смуга пропускання дуже важлива. На другому - звичайний доступ до сайтів, файлів, пошта. Найнижчий пріоритет можна встановити для доступу до розважальним сайтам, шопінгу і т. Д.

Час доступу.Різні пріоритети можна встановлювати для робочих годин і неробочих. Можна дати високий пріоритет сервера для періоду реплікації даних і обмежити інших.

Правило = формалізоване обмеження

Коли перераховані критерії визначені, можна перейти до правил обмеження смуги. Пояснимо на прикладі рішення Kerio для транспорту, що використовується, наприклад, на судах. Якщо на судні є супутниковий канал з дорогим трафіком і вузькою смугою і є широкий канал, доступний в портах, зрозуміло як треба розставити пріоритети. Наприклад, так:

Власне, це вже цілком правило в Kerio Control.

Тепер повернемося з корабля в офіс і подивимося на приклад з IP-телефонією. Якщо смуга перевантажена, це знижує якість голосового зв'язку, а значить пріоритети розставимо так:

І це теж три правила в Kerio Control.

Аналогічно через правила вирішуються завдання гарантовано широкої смуги для керівництва і обладнання, обмежень на гостьові підключення і т.д.

Управління смугою пропускання в Kerio Control

На панелі управління Kerio Control зверху можна бачити перелік доступних інтернет-інтерфейсів. Наприклад, швидкий канал і повільний. Під ним - локальні мережі, наприклад, основна і гостьова.

Тепер належить зіставити локальних мереж інтернет-інтерфейси, що і виконаємо на вкладці «Правила трафіку». Наприклад, гостьовий мережі відводимо свій інтерфейс (найдешевший), і гості не забивають основну офісну мережу. Тут же налаштовуємо обмеження за типами трафіку, наприклад, тільки web-доступ для гостей і будь-який трафік для своїх.

А тепер, коли маршрутизація інтерфейсів налаштована, пора розставити пріоритети щодо використання смуги пропускання. Йдемо на вкладку Управління смугою пропускання і QoS, створюємо правило для VIP-користувачів, додаємо в нього заздалегідь створені групи Власники (ті самі VIP-користувачі) і Устаткування (якому обов'язково потрібно гарне підключення), і встановлюємо, наприклад, резервування 20% смуги.

Важливий момент - ці 20% вважаються від смуги, зазначеної в настройках! Тут важливо поставити не заявлені провайдером цифру, а фактичну пропускну здатність.

Тепер створюємо правило для критичного трафіку і додаємо в нього типи трафіку: SIP VoIP, VPN, миттєві повідомлення та віддалений доступ.

І зарезервуємо йому, наприклад, по 3 Мбіт на скачування і завантаження.

Потім створимо правило для важливого трафіку і включимо в нього такі типи трафіку, як перегляд веб-сторінок, пошту, мультимедіа та FTP. І поставимо йому обмеження на споживання не більше 50% смуги, причому тільки в робочі години.

А тепер створимо правило для шкідливого трафіку. Якщо при виборі типу трафіку натиснути в меню «Підключення, яке задовольняє правилу вмісту», можна скористатися контент фільтром і вибрати соцмережі, магазини, трафік, ігри і т. Д. Також можна обмежити P2P. Поставити їм суворе обмеження 256 кбіт і нехай качають.

Тепер подивимося на гостьових користувачів. На вкладці Active Hosts неважко побачити, що відбувається прямо зараз. Цілком ймовірно, що ви виявите гостя, накачати вже гігабайт і продовжує з пристойною швидкістю користуватися вашим інтернетом.

Тому робимо правило для гостей. Наприклад, не перевищувати 5% від смуги.

І ще. Як ви пам'ятаєте, гостей ми направляємо на певний мережевий інтерфейс. Правило обмеження смуги можна налаштувати або так, щоб обмеження стосувалося тільки одного конкретного мережевого інтерфейсу, або всіх мережевих інтерфейсів. В останньому випадку, якщо ми поміняємо інтерфейс, прив'язаний до гостьової мережі, правило продовжить діяти.

І важливий момент. Правила працюють в порядку розташування в списку, зверху вниз. Тому правила, які відсівають багато запитів на доступ, має сенс ставити на початку.

У подробицях все це описано в статтях на knowledge base компанії Kerio.

• Setting the speed of the link (KB +1373)
• Configuring bandwidth management (KB 1334)
• Configuring policy routing (KB 1314)
• Monitoring active hosts (KB 1593)

До і після оптимізації

До.Весь трафік проходив на рівних, без пріоритетів. У разі «пробки» страждає весь трафік, в тому числі критично важливий.

Після.Важливого трафіку відданий пріоритет. Механізми обмеження і резервування настроюються за типом користувача, типу трафіку, часу.

замість висновку

Ми переконалися, що розмежувати доступ до смуги пропускання за допомогою настроюваних правил зовсім нескладно. Саме простоту використання своїх продуктів компанія Kerio вважає своїм найважливішим перевагою і зберігає протягом років, незважаючи на їх зростаючу складність і функціональність.

Максим Афанасьєв

Починаючи з 1997 року компанія Kerio Technologies розробляє і випускає унікальні програмні рішення в області комп'ютерної безпеки для захисту внутрішніх мереж компаній від атак ззовні і створює системи для спільної роботи і електронних комунікацій. Продукти від Kerio Technologies орієнтовані на середній і малий бізнес, але з успіхом можуть використовуватися і в великих компаніях. Варто зазначити, що програмне забезпечення розробляється з урахуванням світових тенденцій в області захисту інформації, а сама компанія є новатором в цій області.

Прототипом програмного комплексу Kerio Control, про який піде мова в цій статті, був програмний шлюз Winroute Pro, перша версія якого була випущена в 1997 році. Програмне забезпечення Winroute Pro представляло собою вдосконалений проксі-сервер, призначений для забезпечення доступу локальних комп'ютерів в Інтернет через один зовнішній інтернет-канал. Цей продукт практично відразу придбав популярність і досить швидко став конкурентом одного з найпоширеніших на той момент проксі-серверів WinGate. Уже тоді продукти компанії Kerio відрізнялися зрозумілим інтерфейсом і зручною налаштуванням, а також, що важливо, надійністю і безпекою. З тих пір Kerio Winroute постійно модернізувався, в нього було додано безліч корисних функцій і можливостей. На початку свого шляху він називався Winroute Pro, потім назва була змінена на Winroute Firewall, а починаючи з 7-ї версії продукт отримав свою нинішню назву - Kerio Control.

Компанія Kerio досить швидко усвідомила можливості віртуалізації і встала на шлях максимальної інтеграції з віртуальними середовищами, які сьогодні активно розвиваються завдяки появі багатоядерних процесорів і суттєвого прогресу в області ІТ. Всі нові продукти Kerio тепер випускаються для середовищ віртуалізації VMware і Hyper-V, що дозволяє розгортати це програмне забезпечення на будь-яких платформах і переносити продукт без необхідності його перевстановлення на нову апаратну платформу. Крім того, такий підхід пропонує мережевим адміністраторам компаній можливість більш широкого вибору при побудові мережевої інфраструктури. Спочатку продукти Kerio поставлялися у вигляді додатку Windows, але після появи версії для систем віртуалізації компанія вирішила повністю абстрагуватися від операційної системи і більш не випускати Kerio Control як окремий додаток. Починаючи з 8-ї версії Kerio Control поставляється тільки в трьох варіантах: Software Appliance, VMware Virtual Appliance і Hyper-V Virtual Appliance. У всіх випадках застосовується модернізована операційна система Linux на базі Debian (використовується SMP-версія з урізаним функціоналом), яка не потребує додаткової тривалої настоянки і обслуговування. Варіант Software Appliance брандмауера представлений у вигляді ISO-образу розміром трохи більше 250 Мбайт і легко встановлюється на виділеному обладнанні, не вимагаючи при цьому установки операційної системи. Варіант VMware Virtual Appliance поставляється у вигляді пакетів OVF і VMX для середовища VMware, а Hyper-V Virtual Appliance призначений для систем віртуалізації від Microsoft, при цьому всі вони представляють собою вже розгорнуту систему з налаштованим параметрами. Як заявляє розробник, OVF-версія цього програмного забезпечення, в принципі, може бути встановлена ​​і на інші системи віртуалізації. Подібний підхід дозволяє більш гнучко підходити до реалізації мережі компанії і відмовитися від застосування апаратних рішень, які часто не можуть бути модернізовані в апаратної частини, так як це вимагає істотних витрат, або їх можливості жорстко обмежені.

Розглянемо основні можливості програмного забезпечення Kerio Control, а також ряд нововведень, які були відсутні в попередніх версіях. Нагадаємо, що вперше 8-я версія Kerio Control була випущена в березні цього року. На момент написання статті крім невеликого оновлення компанія Kerio випустила в червні оновлення Kerio Control 8.1, яке також привнесло деякі додаткові функціональні можливості.

Установка Kerio Control може проводитися як за допомогою Software Appliance, тобто розгортання системи з окремого ISO-образу, так і за допомогою ініціалізації віртуальний машини на сервері віртуалізації. Останній спосіб передбачає кілька шляхів установки, серед яких - можливість автоматичного завантаження останньої версії Kerio Control з сайту виробника через Vmware VA Marketplace. При установці з ISO-образу всі кроки по розгортанню Kerio Control полягають у відповідях адміністратора на кілька простих запитань майстра установчого процесу. Ініціалізація віртуальної машини Kerio Control дозволяє пропустити основний етап установки, а адміністратору потрібно тільки задати початкові параметри віртуальної машини: кількість процесорів, обсяг оперативної пам'яті, кількість мережевих адаптерів і розмір дискової підсистеми. У базовій версії віртуальна машина Kerio Control має самі мінімальні параметри, проте для виконання подальшого адміністрування необхідний як мінімум один мережевий адаптер вказаний у властивостях машини.

Після установки системи той чи інший спосіб і успішної ініціалізації Kerio Control користувачеві буде доступна базова настройка конфігурації мережі через консоль управління (рис. 1). За замовчуванням мережеві адаптери, підключені до Kerio Control, намагаються отримати IP-адреси за допомогою DHCP. Якщо отримання IP-адрес пройшло успішно, адміністратор може підключитися до Kerio Control через локальну мережу, ввівши відображений в консолі управління IP-адреса. Базова консоль управління дозволяє настроїти мережеві настройки адаптерів, скинути Kerio Control на базові параметри, перевантажити або вимкнути Kerio Control. Варто відзначити, що при необхідності можливий вихід в повноцінну командну оболонку bash операційної системи шляхом натискання клавіш Alt + F2-F3. Для входу в систему потрібно ввести логін root і пароль адміністратора, заданий при установці Kerio Control. Додаткова налагоджувальна інформація може бути викликана за допомогою натискання клавіш Alt + F4-F5. Подальша настройка параметрів відбувається через вебконсоль адміністрування по шифрованому каналу SSL.

Мал. 1. Консоль управління

Всі параметри можна встановити за допомогою панелі управління, яка працює через захищений вебінтерфейс (рис. 2). Робота з таким інтерфейсом здійснюється через захищений протокол HTTPS / SSL. Консоль адміністрування дозволяє управляти всіма параметрами брандмауера. У порівнянні з попередніми версіями, заснованими на 7-й версії Kerio Control, дизайн цієї панелі управління зазнав істотних змін. Так, перша сторінка панелі керування має плитковий інтерфейс, що настроюється ( «Панель моніторингу»), в який можна додавати або видаляти необхідні елементи для швидкої діагностики стану Kerio Control. Це дуже зручно, оскільки адміністратор відразу бачить завантаження каналів зв'язку, активність користувачів, стан системи, VPN-підключення і т.д.

Мал. 2. Панель управління

В оновлену версію Kerio Control 8.1 додані наступні опції: збереження конфігурації і налаштувань в хмарному сервісі Samepage.io в автоматичному режимі, моніторинг параметрів за допомогою протоколу SNMP, можливість використання інструментів налагодження Ping, Traceroute, DNS Lookup, Whois від імені шлюзу Kerio Control в вебінтерфейсе адміністрування . Крім того, тепер Kerio Control підтримує регулярні вирази для URL-адрес, автоматичне підняття VPN-тунелів, захист від перебору паролів і більш розширені можливості по аналізу пакетів. Необхідно також відзначити, що в останній версії Kerio Control Software Appliance додана підтримка більшої кількості RAID-контролерів, що дозволить розширити можливості по розгортанню цієї системи на окремих апаратних платформах.

Веб-інтерфейс управління Kerio Control має не тільки адміністративну панель, а й окремий призначений для користувача інтерфейс (рис. 3). Адміністративна панель не має можливості щось змінювати в Kerio Control, але дозволяє відстежувати статистику користувачів або користувача протягом різних проміжків часу. Статистика надає дані про відвідуваних ресурсах, було передано і як іншої інформації. Якщо користувач має адміністративний акаунт в системі Kerio Control, він може отримувати статистичні дані та про інших користувачів системи через цю панель управління. Точна і продумана статистика допомагає адміністратору з'ясувати переваги користувачів при роботі в Інтернеті, знаходити критичні елементи і проблеми. Панель формує детальну гистограмму використання трафіку для кожного користувача в мережі. Адміністратор може вибрати період, за який він хоче відстежити використання трафіку: дві години, день, тиждень і місяць. Крім того, Kerio Control показує статистику фактичного використання трафіку по його типам: HTTP, FTP, електронна пошта, потокові мультимедійні протоколи, обмін даними безпосередньо між комп'ютерами або проксі.

Мал. 3. Панель користувача

Для сучасної компанії, філії якої можуть бути розташовані по всьому світу, захищене підключення до корпоративної мережі є необхідною умовою, оскільки сьогодні активно розвинений аутсорсинг. За допомогою Kerio Control установка віртуальної приватної мережі практично не вимагає зусиль. Сервер і клієнти VPN є складовою частиною можливостей Kerio Control з безпечного віддаленого доступу до корпоративної мережі. Використання віртуальної мережі Kerio VPN дозволяє користувачам віддалено підключатися до будь-яких ресурсів корпоративної мережі і працювати з мережею організації, як ніби це їх власна локальна мережа. Вбудований в продукт Kerio Control сервер VPN дозволяє організувати VPN-мережі за двома різними сценаріями: «сервер - сервер» і «клієнт - сервер» (використовується Kerio VPN Client для Windows, Mac і Linux). Режим «сервер - сервер» застосовується компаніями, які бажають підключити по захищеному каналу віддалений офіс для спільного використання загальних ресурсів. Даний сценарій вимагає наявності Kerio Control на кожній з з'єднуються сторін для установки захищеного каналу через відкриту мережу Інтернет. Режим «клієнт - сервер» дозволяє віддаленому користувачеві безпечно підключити до корпоративної мережі ноутбук або домашній комп'ютер. Як відомо багатьом системним адміністраторам, протоколи VPN і NAT (трансляція мережевих адрес) не завжди підтримують спільну роботу. Рішення Kerio VPN створено з метою надійної роботи через NAT і навіть через ряд шлюзів NAT. Kerio VPN застосовує стандартні алгоритми шифрування SSL для управління каналом (TCP) і Blowfish при передачі даних (UDP), а також підтримує IPSec.

Шлюз Kerio Control має вбудований захист від вірусів, яка забезпечується шляхом перевірки як вхідного, так і вихідного трафіку. Якщо раніше в Kerio Control застосовувався вбудований антивірус від компанії McAfee, то в останніх версіях використовується антивірус фірми Sophos. Адміністратор може встановлювати правила перевірки для трафіку по різних протоколах: SMTP і POP3, WEB (HTTP) і пересилання файлів (FTP). Вбудований в брандмауер антивірус, встановлений на шлюзі, забезпечує повний захист проходить через шлюз трафіку. Оскільки інтегрований антивірус може отримувати оновлення з новими базами вірусів в реальному часі, це значно підвищує рівень безпеки мережі, поряд із застосуванням антивірусних програм на кожному комп'ютері локальної мережі. Антивірус перевіряє вхідні і вихідні повідомлення, а також всі вкладення. При виявленні вірусу у вкладенні видаляється все вкладення, а до листа додається повідомлення. Крім того, Kerio Control перевіряє весь мережевий трафік, включаючи HTML-сторінки, на вбудовані віруси. На віруси також перевіряються файли, завантажені через HTTP, і файли, передані по FTP-протоколу. Крім того, слід зазначити, що для організацій і таких установ, як, наприклад, школи, які не хочуть, щоб їх співробітники і клієнти відвідували певні сторінки, Kerio Control з вбудованим фільтром Kerio Control Web Filter (поставляється як опція за додаткову плату) надає додаткові можливості по блокуванню сторінок в Інтернеті.

Kerio Control дозволяє адміністраторам не тільки створювати загальну стратегію використання трафіку, а й встановлювати і застосовувати обмеження для кожного користувача. Перед тим як отримати доступ в Інтернет, кожен користувач повинен авторизуватися в Kerio Control. Облікові записи користувачів зберігаються в окремій внутрішній базі даних користувачів або беруться з корпоративної бази Microsoft Active Directory або Apple Open Directory. Можливо паралельне використання як локальної, так і доменної баз користувачів. У разі використання інтеграції з Microsoft Active Directory авторизація клієнтів може відбуватися прозоро для користувачів домену за рахунок NTLM-аутентифікації. Будучи частиною Windows 2008/2012 Server, Active Directory дозволяє адміністраторам централізовано керувати обліковими записами користувачів та даними про мережевих ресурсах. Active Directory забезпечує доступ до інформації про користувачів з одного комп'ютера. Підтримка Active Directory / Open Directory відкриває Kerio Control доступ до бази даних користувачів в режимі реального часу і дозволяє встановлювати користувача в локальній мережі без збереження пароля. Таким чином, не потрібно синхронізувати паролі для кожного користувача. Всі зміни в Microsoft Active Directory / Open Directory автоматично відбиваються і в Kerio Control.

Адміністратор може встановити різні обмеження на права доступу для кожного користувача. Дія цих правил можна задати для певних проміжків часу і встановити різні обмеження на використання трафіку. Коли межа досягнута, Kerio Control відправляє по електронній пошті попередження користувачеві та адміністратору або адміністратор блокує цього користувача до кінця дня або місяця.

На закінчення варто відзначити, що Kerio Control є вельми популярним продуктом серед системних адміністраторів завдяки його незаперечних переваг, які він має в порівнянні, наприклад, з аналогічними рішеннями, що входять в стандартний пакет операційних систем на базі Linux (наприклад, iptables). Швидка настройка, широкі можливості і високий ступінь захисту - все це робить даний програмний продукт привабливим для невеликих компаній.