მაქსიმ აფანასიევი
1997 წლიდან, Kerio Technologies ვითარდება და აწარმოებს უნიკალური კომპიუტერული უსაფრთხოების პროგრამული გადაწყვეტილებებს, რათა დაიცვას კომპანიების შიდა ქსელების გარედან და ქმნის სისტემებს თანამშრომლობისა და ელექტრონული კომუნიკაციებისათვის. Kerio Technologies- ის პროდუქცია ორიენტირებულია საშუალო და მცირე ბიზნესზე, მაგრამ წარმატებით შეიძლება გამოყენებულ იქნას მსხვილი კომპანიებში. აღსანიშნავია, რომ პროგრამული უზრუნველყოფა შემუშავებულია გლობალური საინფორმაციო დაცვის ტენდენციების გათვალისწინებით და კომპანია თავად არის ინოვატორი ამ სფეროში.
Kerio კონტროლის პროგრამული კომპლექსის პროტოტიპი, რომელიც ამ სტატიაში განიხილება, იყო WinRoute Pro პროგრამული უზრუნველყოფა, რომელიც პირველი ვერსია 1997 წელს გამოვიდა. WinRoute Pro პროგრამული უზრუნველყოფა იყო მოწინავე პროქსი სერვერი, რომელიც შექმნილია ადგილობრივი ინტერნეტ კომპიუტერების წვდომისათვის ერთი გარე ინტერნეტ არხით. ეს პროდუქტი თითქმის დაუყოვნებლივ შეიძინა პოპულარობა და სწრაფად გახდა ერთ-ერთი ყველაზე გავრცელებული მარიონეტული სერვერების კონკურენტი იმ დროს. უკვე, მაშინ კერიოს პროდუქცია გამოირჩეოდა გასაგები ინტერფეისი და მოსახერხებელი კონფიგურაციით, ასევე, რაც მნიშვნელოვანია, საიმედოობა და უსაფრთხოება. მას შემდეგ, Kerio Winroute მუდმივად განახლდა, \u200b\u200bბევრი სასარგებლო თვისებები და თვისებები დაემატა მას. თავდაპირველად, მას ეწოდა WinRoute Pro, მაშინ სახელი შეიცვალა WinRoute firewall, და დაწყებული მე -7 ვერსია პროდუქტი მიიღო მისი ამჟამინდელი სახელი - Kerio კონტროლი.
Kerio სწრაფად მიხვდა შესაძლებლობები ვირტუალიზაციის და იდგა გზაზე მაქსიმალური ინტეგრაციის ვირტუალური გარემოში, რომელიც დღეს აქტიურად ვითარდება გამო მრავალმხრივი პროცესორების გაჩენისა და მნიშვნელოვანი პროგრესის სფეროში. ყველა ახალი Kerio პროდუქცია ახლა ხელმისაწვდომია VMware და Hyper-V ვირტუალიზაციის გარემოში, რომელიც საშუალებას გაძლევთ განათავსოთ ეს პროგრამული უზრუნველყოფა ნებისმიერ პლატფორმებზე და გადარიცხოს პროდუქტი გარეშე საჭიროება გადააყენოთ მას ახალი ტექნიკის პლატფორმა. გარდა ამისა, ეს მიდგომა კომპანიების ქსელის ადმინისტრატორებს სთავაზობს ქსელის ინფრასტრუქტურის აშენებისას ფართო შერჩევის შესაძლებლობას. თავდაპირველად, Kerio პროდუქცია მიეწოდება როგორც Windows განაცხადის, მაგრამ მას შემდეგ, რაც ვერსია გამოჩნდება ვირტუალიზაციის სისტემები, კომპანიამ გადაწყვიტა სრულიად აბსტრაქტული ოპერაციული სისტემა და აღარ გაათავისუფლოს Kerio კონტროლის როგორც ცალკე განაცხადის. დაწყებული მე -8 ვერსია Kerio კონტროლის, მხოლოდ სამი ვერსია მიეწოდება: პროგრამული უზრუნველყოფა მოწყობილობის, VMware ვირტუალური ელექტრო და ჰიპერ-V ვირტუალური მოწყობილობის. ყველა embodiments, განახლებული Linux ოპერაციული სისტემა დაფუძნებული Debian გამოიყენება (SMP ვერსია დამსხვრეული ფუნქციონალური გამოიყენება), რომელიც არ საჭიროებს დამატებით გრძელვადიანი tincture და შენარჩუნება. პროგრამული მოწყობილობის პროგრამული უზრუნველყოფის ვერსია წარმოდგენილია ISO იმიჯის სახით ოდნავ მეტი 250 MB და ადვილად დამონტაჟებული ფუნქციონირებადი აღჭურვილობა, რომელიც მოითხოვს ოპერაციული სისტემის დამონტაჟებას. VMware ვირტუალური მოწყობილობის ვერსია მოდის OVF და VMX პაკეტების სახით VMware გარემოში, ხოლო Hyper-V ვირტუალური მოწყობილობის განკუთვნილია Microsoft ვირტუალიზაციის სისტემები, ხოლო ყველა მათგანი უკვე განლაგებული სისტემა საბაჟო პარამეტრებით. როგორც დეველოპერი აცხადებს, ამ პროგრამული უზრუნველყოფის OVF ვერსია, პრინციპში, შეიძლება დამონტაჟდეს სხვა ვირტუალიზაციის სისტემებზე. ეს მიდგომა საშუალებას გაძლევთ უფრო მოქნილად მიუახლოვდეთ კომპანიის ქსელის განხორციელებას და აპარატურის გადაწყვეტილებების გამოყენებას, რომელიც ვერ ახერხებს ტექნიკურ ტექნიკას, რადგან ეს მოითხოვს მნიშვნელოვან ხარჯებს, ან მათი უნარი მკაცრად შეზღუდულია.
განვიხილოთ Kerio Control Software- ის ძირითადი მახასიათებლები, ისევე როგორც რამდენიმე ინოვაცია, რომელიც არ იყო წინა ვერსიებში. შეგახსენებთ, რომ პირველად Kerio Control- ის მე -8 ვერსია ამ წლის მარტში გაათავისუფლეს. ამ წერის დროს, მცირე განახლების გარდა, Kerio გაათავისუფლეს Kerio Control 8.1 განახლება ივნისში, რომელიც ასევე მოუტანა რამდენიმე დამატებითი ფუნქციონირება.
Kerio კონტროლის ინსტალაცია შეიძლება გაკეთდეს როგორც პროგრამული უზრუნველყოფის საშუალებით, ანუ სისტემის განლაგება ცალკე ISO გამოსახულებისგან და ვირტუალიზაციის სერვერზე ვირტუალური მანქანების ინიციალიზაციის გზით. ბოლო მეთოდი მოიცავს რამდენიმე სამონტაჟო ბილიკებს, რომელთა შორის არის ავტომატურად ჩამოტვირთოთ Kerio კონტროლის უახლესი ვერსია მწარმოებლის ვებგვერდზე VMware VA ბაზარზე. ISO Image- ის ინსტალაციისას, Kerio კონტროლის განლაგების ყველა ნაბიჯი ადმინისტრატორის რეაგირებაში ინსტალაციის პროცესის ოსტატის რამდენიმე მარტივი საკითხია. Kerio Control- ის ინიციალიზაცია ვირტუალური მანქანა საშუალებას გაძლევთ გამოტოვოთ ძირითადი სამონტაჟო ნაბიჯი, ხოლო ადმინისტრატორს მხოლოდ ვირტუალური მანქანების თავდაპირველი პარამეტრების დასადგენად: პროცესორების რაოდენობა, RAM- ის რაოდენობა, ქსელის ადაპტერების რაოდენობა და ზომა დისკის ქვესისტემის. ძირითადი ვერსიით, Kerio Control ვირტუალური მანქანა აქვს ყველაზე მინიმალური პარამეტრების, თუმცა, მინიმუმ ერთი ქსელური ადაპტერი მითითებული მანქანა უნდა შეასრულოს შემდგომი ადმინისტრაციის.
სისტემის ინსტალაციის შემდეგ ერთი გზა ან სხვა და წარმატებული ინიციალიზაცია, Kerio Control მომხმარებელი ხელმისაწვდომი იქნება ქსელის კონფიგურაციის ძირითადი პარამეტრების კონტროლის კონსოლიდან (ნახ. 1). ჩვეულებრივ, Kerio- სთან დაკავშირებულ ქსელური ადაპტერები DHCP- ის გამოყენებით IP მისამართების მისაღებად ცდილობენ. თუ IP მისამართების მიღება წარმატებით გაიარა, ადმინისტრატორს შეუძლია კერიოს კონტროლს აკავშირებს ლოკალური ქსელის მეშვეობით, რომელიც შედის საკონტროლო კონსოლში ნაჩვენები IP მისამართით. ძირითადი კონტროლის კონსოლი საშუალებას გაძლევთ კონფიგურაცია ქსელის ადაპტერის პარამეტრების, აღადგინოთ Kerio კონტროლის ძირითადი პარამეტრების, გადატვირთვის ან გამორთვა Kerio კონტროლის. აღსანიშნავია, რომ საჭიროების შემთხვევაში, შესაძლებელია, რომ შეძლონ სრულფასოვანი ბრძანების ჭურვი ოპერაციული სისტემის Bash- ის Alt + F2-F3 გასაღები კომბინაციის დაჭერით. შესასვლელად, თქვენ უნდა შეიტანოთ root შესვლა და ადმინისტრატორის პაროლი მითითებული, როდესაც ინსტალაცია Kerio კონტროლის. დამატებითი გამართვის ინფორმაცია შეიძლება გამოწვეული იყოს Alt + F4-F5 ძირითადი კომბინაციის დაჭერით. პარამეტრების შემდგომი პარამეტრი ხდება ადმინისტრაციის ვებ-გვერდებზე SSL დაშიფრული არხის მეშვეობით.
ნახაზი. 1. მართვის კონსოლი
ყველა პარამეტრი შეიძლება დამონტაჟდეს საკონტროლო პანელის საშუალებით, რომელიც მუშაობს დაცული vengeryface- ის მეშვეობით (ნახ. 2). ამ ინტერფეისთან მუშაობა ხორციელდება დაცული HTTPS / SSL პროტოკოლის მეშვეობით. ადმინისტრაციის კონსოლი საშუალებას გაძლევთ მართოთ ყველა პარამეტრების firewall. წინა ვერსიებთან შედარებით Kerio Control- ის მე -7 ვერსიით, ამ პანელის დიზაინს მნიშვნელოვანი ცვლილებები განიცადა. ამრიგად, პანელის პირველი გვერდი აქვს კრამიტის კონფიგურირებულ ინტერფეისს ("მონიტორინგის პანელი"), რომელშიც შეგიძლიათ დაამატოთ ან წაშალოთ საჭირო ნივთები, რათა სწრაფად დიაგნოსტიკა Kerio Control State. ძალიან მოსახერხებელია, რადგან ადმინისტრატორს დაუყოვნებლივ ხედავს საკომუნიკაციო არხების ჩამოტვირთვა, მომხმარებლის აქტივობა, სისტემის სტატუსი, VPN კავშირი და ა.შ.
ნახაზი. 2. პანელი
Kerio Control 8.1- ის განახლებული ვერსიით დაემატება შემდეგი პარამეტრების 8.1: Samepage- ის კონფიგურაციისა და პარამეტრების შენახვა ავტომატურ რეჟიმში, მონიტორინგის პარამეტრების მეშვეობით SNMP პროტოკოლის საშუალებით, Ping Debugging Tools- ის გამოყენების უნარი, Traceroute, DNS Lookup, Whois on Kerio კონტროლის კარიბჭე ადმინისტრაციული ბრენდის. გარდა ამისა, ახლა Kerio Control მხარს უჭერს რეგულარული გამონათქვამები URLs, VPN- გვირაბების ავტომატური მოხსნას, პაროლების დაცვას და უფრო მოწინავე პაკეტის ანალიზის შესაძლებლობებს. ასევე უნდა აღინიშნოს, რომ Kerio Control Control Software- ის უახლესი ვერსიაში დაემატა მეტი RAID კონტროლერების მხარდაჭერა, რომელიც საშუალებას მისცემს გაფართოებას ამ სისტემის განლაგების შესაძლებლობების გაფართოების შესაძლებლობას ცალკე აპარატურის პლატფორმებზე.
Kerio კონტროლის ვებ ინტერფეისი არა მხოლოდ ადმინისტრაციული პანელი, არამედ ცალკე ინტერფეისი (ნახ. 3). ადმინისტრაციული პანელის არ გააჩნია უნარი შეცვალოს რაღაც Kerio კონტროლის, მაგრამ გაძლევთ საშუალებას აკონტროლოთ მომხმარებლის სტატისტიკა ან მომხმარებლის სხვადასხვა დრო ინტერვალით. სტატისტიკა უზრუნველყოფს მონაცემების შესახებ მონაცემებს, რომლებიც გადაცემულ მონაცემებს და სხვა ინფორმაციას აწვდიან. თუ მომხმარებელს აქვს ადმინისტრაციული ანგარიში Kerio კონტროლის სისტემაში, მას შეუძლია მიიღოს სტატისტიკური მონაცემები და სხვა სისტემის მომხმარებლებს ამ პანელი. ზუსტი და გააზრებული სტატისტიკა ხელს უწყობს ადმინისტრატორს ინტერნეტში მუშაობისას მომხმარებელთა პრეფერენციებს, კრიტიკულ ელემენტებსა და პრობლემებს. პანელი ხელს უწყობს დეტალური ტრაქტორის utilogram თითოეული მომხმარებლის ქსელში. ადმინისტრატორს შეუძლია აირჩიოს პერიოდი, რომლისთვისაც მას სურს ტრაფიკის გამოყენება: ორი საათი, დღე, კვირა და თვე. გარდა ამისა, Kerio Control- მა აჩვენებს მისი ტიპების ფაქტობრივი გამოყენების სტატისტიკას: HTTP, FTP, Email, Streaming მულტიმედიური ოქმები, მონაცემთა გაცვლა პირდაპირ კომპიუტერებს ან მარიონეტებს შორის.
ნახაზი. 3. მომხმარებელი პანელი
თანამედროვე კომპანიისთვის, რომლის ფილიალებიც შესაძლებელია მსოფლიოს მასშტაბით, კორპორატიული ქსელის უსაფრთხო კავშირი წინაპირობაა, რადგან აუთსორსინგი აქტიურად განვითარდა დღეს. Kerio კონტროლის დახმარებით, ვირტუალური კერძო ქსელის ინსტალაცია პრაქტიკულად არ საჭიროებს ძალისხმევას. VPN სერვერი და კლიენტები არიან Kerio კონტროლის შესაძლებლობების ნაწილი უსაფრთხოდ დისტანციური წვდომის კორპორატიული ქსელი. Kerio VPN ვირტუალური ქსელის გამოყენება საშუალებას აძლევს მომხმარებლებს დისტანციურად შეუერთდეს კორპორატიული ქსელის ნებისმიერ რესურსს და ორგანიზაციის ქსელთან მუშაობას, თითქოს ისინი საკუთარი ადგილობრივი ქსელია. VPN სერვერი აშენდა Kerio Control Product- ში, რომელიც საშუალებას გაძლევთ ორგანიზება VPN ქსელის ორი განსხვავებული სცენარი: "სერვერი-სერვერი" და "კლიენტი-სერვერი" (გამოყენებული Kerio VPN კლიენტი Windows, Mac და Linux). სერვერზე სერვერის რეჟიმი გამოიყენება იმ კომპანიების მიერ, რომელთაც სურთ დისტანციური ოფისის დაკავშირება უსაფრთხო არხის გასაზიარებლად საერთო რესურსების გაზიარებისთვის. ეს სკრიპტი მოითხოვს კერიოს კონტროლს თითოეულ დამაკავშირებელ მხარეს, რათა უზრუნველყოს უსაფრთხო არხის გახსნა ღია ინტერნეტით. "კლიენტი-სერვერი" რეჟიმი საშუალებას აძლევს დისტანციურ მომხმარებელს უსაფრთხოდ დაკავშირება ლეპტოპი ან სახლის კომპიუტერი კორპორატიული ქსელისთვის. როგორც ცნობილია მრავალი სისტემის ადმინისტრატორების, VPN და NAT პროტოკოლების (ქსელის მისამართი თარგმანი) ოქმები ყოველთვის არ უჭერს მხარს თანამშრომლობას. Kerio VPN გადაწყვეტა შეიქმნა იმისათვის, რომ საიმედოდ მუშაობა NAT და თუნდაც მეშვეობით NAT გეითვეი. Kerio VPN ვრცელდება სტანდარტული SSL შიფრაცია ალგორითმები არხის კონტროლის (TCP) და Blowfish დროს მონაცემთა გადაცემის (UDP), და ასევე მხარს უჭერს ipsec.
Kerio Control Gateway აქვს ჩაშენებული ვირუსის დაცვა, რომელიც უზრუნველყოფილია როგორც შემომავალი და გამავალი ტრაფიკის შემოწმება. თუ Kerio Control- ში გამოყენებული იყო McAfee- ის ჩამონტაჟებული ანტივირუსული, მაშინ Sophos Anti-Virus გამოიყენება უახლესი ვერსიით. ადმინისტრატორს შეუძლია შექმნას სხვადასხვა პროტოკოლების მოძრაობის შემოწმების წესები: SMTP და POP3, ვებ (HTTP) და ფაილების გაგზავნა (FTP). კარიბჭეზე დამონტაჟებული საწინააღმდეგო ვირუსი უზრუნველყოფს სატრანსპორტო კარიბჭის გავლით სრულ დაცვას. მას შემდეგ, რაც ინტეგრირებული ანტივირუსული შეუძლია მიიღოს განახლებები რეალურ დროში ვირუსების ახალი მონაცემთა ბაზებით, მნიშვნელოვნად ზრდის ქსელის უსაფრთხოების დონეს, თითოეულ ლან კომპიუტერზე ანტივირუსული პროგრამების გამოყენებას. ანტივირუსული ამოწმებს შემომავალი და გამავალი შეტყობინებები, ისევე როგორც ყველა attachments. როდესაც ვირუსი გამოვლინდა, ყველა მიმაგრება წაშლილია დანართში და წერილში შეტყობინება დაემატება. გარდა ამისა, Kerio კონტროლის ამოწმებს ყველა ქსელის ტრაფიკი, მათ შორის HTML გვერდები, ჩადგმული ვირუსების. ვირუსები ასევე შეამოწმეთ ფაილები HTTP- ის მეშვეობით და FTP პროტოკოლის მეშვეობით გადაცემული ფაილები. გარდა ამისა, უნდა აღინიშნოს, რომ ორგანიზაციებსა და ასეთ ინსტიტუტებს, როგორიცაა, მაგალითად, სკოლები, რომლებსაც არ სურთ თავიანთი თანამშრომლები და მომხმარებლები, რომ მოინახულონ გარკვეული გვერდები, კერიოს კონტროლი Kerio Control Web Filter- ში ჩაშენებული ფილტრით (დამატებითი საფასური ვარიანტი) უზრუნველყოფს დამატებითი ფუნქციების დაბლოკვის გვერდებზე ხაზზე.
Kerio Control საშუალებას აძლევს ადმინისტრატორებს არა მარტო შექმნას საერთო სტრატეგია მოძრაობის გამოყენებისათვის, არამედ თითოეული მომხმარებლისათვის შეზღუდვების შესაქმნელად. ინტერნეტში წვდომისას, თითოეული მომხმარებელი უნდა შეხვიდეთ კერიოს კონტროლში. მომხმარებლის ანგარიშები ინახება ცალკე შიდა მომხმარებლის მონაცემთა ბაზაში ან მიიღება Microsoft Active Directory Corporate Database ან Apple Opple დირექტორია. მომხმარებელთა ადგილობრივი და დომენის მონაცემთა ბაზების შესაძლო პარალელური გამოყენება. Microsoft Active Directory- თან ინტეგრაციის გამოყენების შემთხვევაში მომხმარებელთა ავტორიზაცია შეიძლება მოხდეს NTLM ავთენტიფიკაციის გამო დომენური მომხმარებლებისთვის გამჭვირვალე. როგორც Windows 2008/2012 სერვერიდან, აქტიური დირექტორია საშუალებას აძლევს ადმინისტრატორებს ცენტრალურ ანგარიშებს და ქსელური რესურსების მონაცემებს. აქტიური დირექტორია უზრუნველყოფს მომხმარებლის ინფორმაციას ერთი კომპიუტერიდან. აქტიური დირექტორია / ღია დირექტორია იხსნება Kerio კონტროლის ხელმისაწვდომობა რეალურ დროში მომხმარებლის მონაცემთა ბაზაში და საშუალებას გაძლევთ დააყენოთ მომხმარებლის ადგილობრივი ქსელის გარეშე გადარჩენის პაროლი. ამდენად, თქვენ არ გჭირდებათ პაროლების სინქრონიზაცია თითოეული მომხმარებლისათვის. ყველა ცვლილება Microsoft Active Directory / Open დირექტორია ავტომატურად აისახება Kerio Control- ში.
ადმინისტრატორს შეუძლია შექმნას სხვადასხვა შეზღუდვები თითოეული მომხმარებლისათვის ხელმისაწვდომობის უფლებებზე. ამ წესების მოქმედება შეიძლება გარკვეული დროის ინტერვალით შეიქმნას და მოძრაობის გამოყენების გამოყენების შესახებ სხვადასხვა შეზღუდვები დააყენოთ. როდესაც ლიმიტი მიღწეულია, Kerio Control აგზავნის გაფრთხილებას მომხმარებლისთვის და ადმინისტრატორს ან ადმინისტრატორს ამ მომხმარებლის ბლოკავს დღის ბოლომდე ან თვის ბოლომდე.
დასასრულს, აღსანიშნავია, რომ Kerio Control არის ძალიან პოპულარული პროდუქტი სისტემაში ადმინისტრატორებს შორის, იმის გამო, რომ მას შედარებით, მაგალითად, მსგავსი გადაწყვეტილებები, რომლებიც შედის სტანდარტული Linux ოპერაციული სისტემის პაკეტში (მაგალითად, IPTables) . სწრაფი პარამეტრი, საკმარისი შესაძლებლობები და მაღალი ხარისხის დაცვა - ყველაფერი ეს ქმნის ამ პროგრამული პროდუქტს მცირე კომპანიებისთვის.
ჩვენ გავაგრძელებთ Kerio Control- ზე ჩვენი UTM Gateway- ის უსაფრთხოების შექმნას 7.4.1 პლატფორმაზე
უპირველეს ყოვლისა, ჩვენ გავაგრძელებთ პირადობის მოწმობის / IPS სისტემის კონფიგურაციას და განსაზღვრავს 24 საათის ნაცვლად 1 საათის განახლების გრაფიკს. განახლება არ არის "გემი" mu, მაგრამ მნიშვნელოვნად ზრდის შანსები დაჭერა malware.
ახლა დააინსტალირეთ ქმედებები, მაღალი სერიოზულობისთვის "დაწერეთ შესვლა და წაშლა", საშუალო "დაწერეთ ჟურნალი და წაშლა", რადგან დაბალი "დაწერეთ ჟურნალი":
ასეთი პარამეტრები მნიშვნელოვნად იმოქმედებს "ნორმალური" მუშაობის "პრობლემური" კომპიუტერების, რომელიც რეალურად მოისმენს დახმარების სამაგიერებლად და იხილეთ უსაფრთხოების ჟურნალში:
კარგად, ახლა გადადით "უსაფრთხოების პარამეტრებში" სექციაში და საშუალებას მისცემს ადგილობრივ ქსელს Mac ADRS- ზე მხოლოდ კომპიუტერებს, ამზადებს MAC მისამართების წინასწარ მომზადებულ სიას, რომლებიც გამოიყენება ორგანიზაციაში.
ქსელში ახალი აპარატის დამატება, ჩვენ დავამატებთ მას MAS- ს, ეს არის უხერხული და ამიტომ ლოგიკურია ამ დახმარების სამაგიდო მომსახურების მინიჭება. მაგრამ ამ შემთხვევაში მათ ექნებათ ადმინისტრაციული უფლებების გამოყოფა UTM- სთვის, რაც მიუღებელია, რადგან Roshit ნებისმიერი უსაფრთხოების 🙂
ხანდახან კერიო თავის პროდუქტებს RBAC- ს გამოიყენებს, მაგრამ ახლა ორგანიზაციის სტუმრებისთვის, ჩვენ ხაზს უსვამს სტუმარს და ფილტრს MAS- ზე ჩვენ არ ვიქნებით.
გადადით "სხვა" ქვედანაყოფში და გაზარდოს კავშირების შეზღუდვა 6000-მდე. ეს შეიძლება იყოს საჭირო ყველა განაცხადისთვის კლიენტის ბანკების მსგავსად.
თქვენ ასევე დარწმუნდით, რომ ანტი- spoofing მოდული ჩართულია, და მოვლენები სისტემაში ხართ:
მოდით მივმართოთ "HTTP პოლიტიკის" განყოფილებას და პირველ რიგში, რომ შეიცავდეს "სარეკლამო და ბანერების წაშლა" და გამართვის შესაძლებლობას, ჩვენ ამ წესის ჟურნალს მოიცავს.
ახლა ჩვენ გავითვალისწინებთ სოციალური ქსელების მეშვეობით ინფორმაციის გადინების შესაძლებლობას, რადგან ამისათვის შევქმნით ახალ წესს "სოციალურ", აირჩიეთ აქცია "უარი", ჩვენ ვამზადებთ ტექსტს " ინფორმაციული უსაფრთხოების პოლიტიკის თანახმად, აკრძალულია სოციალური ქსელების გამოყენება. "მაგრამ მას შემდეგ, რაც ჩვენს შემთხვევაში ეს არ არის აკრძალვა, არამედ რეკომენდაცია, ჩვენ შევძლებთ მომხმარებლების შესაძლებლობას ამ წესის განბლოკვას.
In URL Kaccher, ჩვენ არ ჩამოვთვალოთ ყველა სახის http://vk.com და https://facebook.com, და მიუთითეთ URL, სავარაუდო Kerio კონტროლის ვებ ფილტრაციის სისტემა (და რა თქმა უნდა იქნება გაფილტრული ჩათვლით https ).
წესი უნდა იმოქმედოს ყველა მომხმარებლისთვის, ნებისმიერ დროს, და მოვლენები შესული იქნება ჟურნალში.
რეალურ პირობებში, ყველაზე ხშირად ხდება, რომ ყველა მომხმარებლისთვის აკრძალვის წესი მუშაობს სამუშაო საათებში, გარდა ლანჩის გარდა (მაგ., დილით, ლანჩზე, ლანჩზე და მუშაობის შემდეგ, ეს იქნება მუშაობა სამუშაოდ).
და VIP ჯგუფისთვის (სადაც მენეჯერები, დაპყრობა და სხვა ინფორმირებული თანამშრომლები შეიძლება შეიცავდეს ნებისმიერ დროს ხელმისაწვდომობას, მაგრამ გახსნის შესაძლებლობას.
მე დავტოვებ კლიენტის ასეთი გადაწყვეტილების გარეშე კომენტარს, უბრალოდ აჩვენებს, თუ როგორ გამოიყურება:
ანალოგიურად, თქვენ შეგიძლიათ ძალიან მოქნილად გააკონტროლონ მთელი ინტერნეტ ტრაფიკი, რადგან Kerio Web Filter არის სასწაული, როგორც კარგი.
აკრძალული სიტყვები არ ვიყენებ, დატოვონ ნაგულისხმევი პარამეტრები, მაგრამ კერიოს კონტროლის ვებ ფილტრის პარამეტრებში, ჩვენ საშუალებას მოგვცემს მომხმარებლებს სავარაუდო შეცდომების შესახებ ანგარიშს დავუშვებთ, რადგან ყველა სისტემა არასრულყოფილია საკუთარი გზით, და ჰაბრას დაბლოკვის დადასტურება "ყუთიდან":
რაც შეეხება FTP ფილტრაციას, მომხმარებლებს პრაქტიკულად არ იყენებენ მას, ამიტომ მე შედის მხოლოდ ორი სტანდარტული წესები და დაწერე საკუთარი ინციდენტების გამოჩენა:
მოძრავი პარამეტრების ანტივირუსული. უპირველეს ყოვლისა, განახლებული გრაფიკი ერთ დროს, რადგან პრაქტიკა ვარაუდობს, რომ ხელმოწერები უფრო ხშირად განახლდება 8 საათის განმავლობაში.
იმიტომ რომ დაიცავით ელფოსტა კარიბჭე დონეზე ჩემთვის არ არის ძალიან კარგი იდეა, სკანირება SMTP და POP3 მე გამორთე, მე ასევე გამორთეთ FTP. პრაქტიკა ვარაუდობს, რომ ეს ოქმი უფრო ხშირად გამოიყენება ადმინისტრატორებით, ხოლო მომხმარებლები უკვე წარმატებით დავიწყებულნი არიან.
და "სკანირების ელ. ფოსტა "მე მხოლოდ იმ შემთხვევაში, თუ ჩვენ დავუშვებთ ინვესტიციების გადაცემას, მაშინაც კი, თუ ისინი არ იყვნენ მუქარისთვის.
რა თქმა უნდა, უსაფრთხოების საკითხში, მონიტორინგი არის ყველაზე მნიშვნელოვანი პირობა, ამიტომ ჩვენ კონფიგურაცია Kerio Star- ს საჭიროებების შესაბამისად.
ადმინისტრაციული დატვირთვის შესამცირებლად, ჩვენ კონფიგურირებას მოახდენს ზოგიერთი საგზაო და VIP თანამშრომლებისთვის, სისტემის ადმინისტრატორებს არ უნდა ჰქონდეთ შუქნიშნები:
ქვესექციის "სისტემის ხელმისაწვდომობა", რომელიც საშუალებას აძლევს მომხმარებლებს საკუთარი სტატისტიკის წვდომისათვის და უფრო მეტიც, ჩვენ ავტომატურად გამოგიგზავნით ამ სტატისტიკას ყოველკვირეულად.
ზოგიერთი პასუხისმგებელი პირისათვის (ამ შემთხვევაში, მე ვასრულებ ამ სახეზე), შესაძლებელია ყოველდღიური ანგარიშების ხელმისაწვდომობა და მიიღოს ყველა თანამშრომლის საქმიანობაზე.
ასევე, სისტემის ადმინისტრატორს აქვს უნარი მიიღოს შეტყობინებები ასეთი სისტემის მოვლენებზე:
რა თქმა უნდა, ყველა ამ ფუნქციის ნორმალური ოპერაციისთვის, Kerio Control უნდა ჰქონდეს კონფიგურირებული SMTP სარელეო, და სწორი ელფოსტა უნდა იყოს მითითებული თითოეული მომხმარებლის პროფილი.
დამატებითი პარამეტრები, ქვეპუნქტში "P2P Limiter" თქვენ შეგიძლიათ დაბლოკოთ ტანჯვა, რომლებიც საზიანოა კორპორატიული ქსელისთვის.
ამავდროულად, მომხმარებელს ეცნობება ელ-ფოსტით (ადმინისტრატორს ასევე შეუძლია ეცნობოს ელ-ფოსტით) და 20 წუთის განმავლობაში დაბლოკა.
Გააწერეთ. შესაძლებელია ჯავის, ActiveX და ა.შ. როგორც ინდივიდუალური მომხმარებლებისთვის და მთელი ორგანიზაციისთვის:
და რა თქმა უნდა, რეგულარულად იხილავთ ყველა ჟურნალს, რადგან ეს პროცესი შეიძლება კომფორტულად გაკეთდეს, მომავალ დროს მე ვამბობ.
Kerio ტექნოლოგიების პროდუქციის შესწავლა, რომელიც აწარმოებს მცირე და საშუალო ბიზნესის სხვადასხვა დამცავ პროგრამებს. კომპანიის ოფიციალური ვებ-გვერდის მიხედვით, მსოფლიოს 60 000-ზე მეტ კომპანიას იყენებს თავისი პროდუქციით.
საკომუნიკაციო სპეციალისტებმა Kerio Control- ში ბევრი ხარვეზი აღმოაჩინეს, კომპანიის UTM გადაწყვეტა, რომელიც აერთიანებს firewall ფუნქციები, როუტერი, IDS / IPS, Gateway Antivirus, VPN და ასე შემდეგ. მკვლევარებმა აღნიშნეს, რომ თავდასხმების ორი სცენარი, რომელიც თავდამსხმელს საშუალებას აძლევს არა მხოლოდ კერიოს კონტროლის კონტროლს, არამედ კორპორატიულ ქსელზე, რომ პროდუქტი უნდა დაიცვას. მიუხედავად იმისა, რომ დეველოპერებმა უკვე გაცემული შეცდომების უმრავლესობისთვის შესწორებები, მკვლევარებმა აღნიშნავენ, რომ ჯერ კიდევ შესაძლებელია ერთ-ერთი თავდასხმის სცენარის განხორციელება.
მკვლევარების აზრით, კერიოს კონტროლის გადაწყვეტილებები სოციალურად დაუცველია PHP- ის სახელის გამოყენების გამო, აგრეთვე ძველი PHP- ის ვერსიის (5.2.13) გამოყენების გამო, რომელშიც სერიოზული პრობლემები უკვე აღმოაჩინეს. გარდა ამისა, ექსპერტებმა აღმოაჩინეს რიგი დაუცველი PHP სკრიპტები, რომლებიც საშუალებას გაძლევთ განახორციელოთ XSS და CSRF თავდასხმები და ASLR დაცვის გვერდის ავლით. გარდა ამისა, SEC- ის კონსულტაციის თანახმად, ვებ-სერვერი მუშაობს ძირეული პრივილეგიებით და არ გააჩნია დაცვა BRUTHET- ის თავდასხმებისგან და მეხსიერების ინფორმაციის მთლიანობის დარღვევით.
პირველი თავდასხმის სცენარის სქემა
ექსპერტთა მიერ აღწერილი პირველი ექსპერტები გულისხმობენ რამდენიმე ხარვეზების ოპერაციას ერთდროულად. თავდასხმაში უნდა გამოიყენოს სოციალური საინჟინრო და გააფართოვოს მსხვერპლი მუქარის საიტზე, რომელიც განთავსდება სკრიპტი, რომელიც საშუალებას გაძლევთ გაარკვიოთ შიდა IP მისამართი Kerio Control. შემდეგ თავდამსხმელმა უნდა იმოქმედოს CSRF Bug. თუ დაზარალებული არ არის შესული კარიო კონტროლის პანელში, თავდამსხმელმა შეიძლება გამოიყენოს ჩვეულებრივი ბრწყინვალება რწმუნებათა სიგელების შერჩევისთვის. ამისათვის თქვენ უნდა XSS მოწყვლადობა, რომელიც გვერდის ავლით Sop დაცვის. ამის შემდეგ, თქვენ შეგიძლიათ გააგრძელოთ შემოვლითი ASLR და გამოიყენოთ ძველი შეცდომა PHP- ში (CVE-2014-3515), რათა გაატარონ ჭურვი root უფლებებით. სინამდვილეში, ამის შემდეგ თავდამსხმელი იღებს ორგანიზაციის ქსელში სრულ ხელმისაწვდომობას. ქვემოთ მოცემული ვიდეო აჩვენებს თავდასხმას მოქმედებაში.
მეორე თავდასხმის სცენარი მოიცავს RCE- ს დაუცველობის ექსპლუატაციას, რომელიც დაკავშირებულია Kerio კონტროლის განახლების ფუნქციასთან და ერთი წლის წინ გამოვლინდა ერთ-ერთი უსკოს კონსულტაციის თანამშრომლების მიერ. ექსპერტები სთავაზობენ ამ შეცდომას, რომლებიც აღიარებენ თვითნებური კოდექსის დისტანციურ შესრულებას, XSS მოწყვლადობასთან ერთად, რომელიც საშუალებას გაძლევთ გააფართოვოთ თავდასხმის ფუნქციონირება.
Kerio ტექნოლოგიების სპეციალისტებმა შეატყობინეს პრობლემების შესახებ 2016 წლის აგვისტოს ბოლოს. ამ დროისთვის კომპანიამ გაათავისუფლა კერიოს კონტროლი 9.1.3, სადაც ყველაზე მოწყვლადობა აღმოიფხვრა. თუმცა, კომპანიამ გადაწყვიტა დატოვოს root-privilege ვებ სერვერი, ისევე როგორც კორექტირების გარეშე, Rce-Bug რჩება ასოცირდება განახლების ფუნქცია.
ბევრი გამოიყენოთ Kerio კონტროლის firewall. მას აქვს ფართო ფუნქციონირება, საიმედოობა და მარტივად გამოყენება. დღეს ჩვენ ვისაუბრებთ იმაზე, თუ როგორ უნდა დააკონფიგურიროთ გამტარუნარიანობის მართვის წესები. მარტივად რომ ვცადოთ, შევეცადოთ ინტერნეტში ხელმისაწვდომობის სიჩქარის შეზღუდვა მომხმარებლებისა და ჯგუფებისთვის.
როგორც Kerio Control, ზღუდავს სიჩქარე ინტერნეტის მომხმარებლებს და ჯგუფებს
და ასე გაგრძელდება წასვლა Kerio კონტროლის ადმინისტრაციის პანელი. მარცხენა ეძებს სიჩქარის კონტროლი. დასაწყისისთვის, მიუთითეთ კავშირის სიჩქარე ინტერნეტში. საწყისი bandwidth სფეროში კომუნიკაციის ინტერნეტთან დააწკაპუნეთ შეცვლას და შეიყვანოთ სიჩქარე ჩამოტვირთვისა და ჩამოტვირთვისთვის. ეს მონაცემები საჭიროა Kerio კონტროლის სწორი მუშაობისთვის.
ახლა დაამატეთ ახალი წესი დააჭირეთ დაამატეთ და შეიყვანეთ სახელი.
შემდეგი, ტრეფიკინის სფეროში, თქვენ უნდა მიუთითოთ ეს შეზღუდვა, ვისთვისაც. ვარიანტი ძალიან ბევრია, მაგრამ ჩვენ ვართ დაინტერესებული კონკრეტული ჯგუფებისა და მომხმარებლებისთვის, ამ პუნქტზე მომხმარებლებისა და ჯგუფების შესახებ. ფანჯარაში, რომელიც ხსნის, აირჩიეთ საჭირო მომხმარებლები ან ჯგუფი. თქვენ შეგიძლიათ დაუყოვნებლივ აირჩიოთ ორივე ჯგუფი და მომხმარებელი.
ახლა ჩამოტვირთვის სიჩქარის ლიმიტის კონფიგურაცია. ჩვენ მიუთითეთ, თუ რამდენად გჭირდებათ ამ ჯგუფებისა და მომხმარებლებისთვის მთლიანი სიჩქარისა და პირდაპირ შეზღუდვა. მე ასევე მიუთითეთ იგივე წერტილი ჩამოტვირთოთ.
ინტერფეისი და ხელმისაწვდომი დრო, ჩვენ დავტოვებთ default, ვრცელდება ეს წესი.
კარგი შუადღისას ძვირფასო მკითხველს და სტუმრებს ბლოგის ვებ-გვერდს, ნებისმიერ ორგანიზაციაში ყოველთვის არიან ადამიანები, რომლებსაც არ სურთ მუშაობა და ვინ იყენებენ კორპორატიულ რესურსებს, არ არის დანიშნულ მაგალითს, მე მოგცემთ მარტივი მაგალითს. თქვენ გაქვთ პატარა ოფისი, ასე რომ, თანამშრომლები 50 და ინტერნეტით. არხი Bandwidth 20 Megabit და ყოველთვიური საგზაო ლიმიტი 50 გბ, ინტერნეტის ჩვეულებრივი გამოყენებისათვის და ამ საკმარისად საკმარისი ბიზნეს ოფისის მშენებლობას, მაგრამ არსებობს ისეთი ადამიანები, რომლებსაც სურთ, რომ საღამოს ან ახალი მუსიკა ალბომი, და ყველაზე ხშირად ისინი იყენებენ აშენებულ ტრეკერს, ნება მომეცი, მე გიჩვენებ, როგორც კერიოს კონტროლი 8-ში, შეგიძლიათ დააჭიროთ P2P ტრაფიკის აკრძალვას და ტრანსპორტის თანამშრომლის ყოველდღიური ლიმიტის მიწოდებას.
ბლოკ P2P Traffic Kerio Control 8
ასე რომ თქვენ გაქვთ აშენებული ადგილობრივი ქსელი, რომელშიც მუქარის swinger გამოჩნდა, მე ვფიქრობ, თქვენ გამოვლენა ეს დაუყოვნებლივ სტატისტიკა ჟურნალი, ფილტრი სვეტების. ჯილდოს მიერ, რომელიც ხელმძღვანელობს ხელმძღვანელობას, თქვენ, როგორც სისტემის ადმინისტრატორს, უნდა შეაჩეროს შემდგომი მცდელობები P2P ტრაფიკის საშუალებით.
თქვენ გაქვთ ორი ვარიანტი:
- სრული ბლოკირების P2P ტრაფიკის ჩართვა
- თითოეული მომხმარებლისთვის დღის ლიმიტის დამონტაჟება
დავიწყოთ peering ტრაფიკის დაბლოკვა, გადადით შინაარსის ფილტრზე და ახალი წესის შექმნა. დაწკაპეთ დამატება და აირჩიეთ "აპლიკაციები და ვებ-შინაარსის კატეგორიები"
იპოვეთ ჩამოტვირთვა განყოფილება და აღსანიშნავად Pyring ქსელი.
მოქმედებაში, წაშლა წაშლა.
თეორიულად, სრულად დაბლოკოს P2P Traffic, საკმაოდ შექმნილი წესი, მაგრამ მე მაინც ვურჩევ, რომ მომხმარებელთა კვოტების მითითება, თუ ინტერნეტით სარგებლობენ, რათა მათ გამოიყენონ ისინი მხოლოდ მუშაკებზე. ამის გაკეთება, წასვლა მომხმარებლებს tab და თვისებები ნებისმიერი tab in "კვოტა" tab, მიუთითეთ Daegabyte Day Limit.
