Maxim Afanasiev
Sredinom februara, Kerio Technologies je objavio ažuriranje svog vodećeg proizvoda, Kerio Control. Nova verzija Kerio Control 8.5 pruža povećana sigurnost korisnicima integracijom verifikacije u dva koraka, kao i brojnim poboljšanjima za praktičnost korištenja proizvoda. Kerio Control 8.5 je opremljen sa novi sistem Service Discovery preusmjeravanje, što proces postavljanja mreže čini fleksibilnim i lakim. Sad udaljeni korisnici može vidjeti, otkriti i povezati se s uređajima kao što su štampači, serveri datoteka i skeneri unutra razne mreže ili Kerio VPN tuneli. Osim toga, u novoj verziji, Kerio je pojednostavio proces instaliranja i ažuriranja takvih važna komponenta sisteme kao što je Kerio VPN klijent. Uz pomoć novih instalacioni paket moguće ga je implementirati putem alata proizvođači trećih strana, kao što je Apple Remote Desktop ili FileWave. Nova verzija Kerio Control dobila je prošireni set sistemska obaveštenja, što će vam omogućiti da brže informišete sistem administratore o tome moguće greške i probleme. Ali prvo stvari.
Podsjetimo da je Kerio Control kompletno rješenje u oblasti sigurnosti, kombinujući nekoliko funkcija, uključujući firewall(firewall) i ruter, sistem za detekciju i prevenciju upada (IPS), antivirus, VPN i filter sadržaja. Ove široke mogućnosti i fleksibilnost implementacije bez premca čine Kerio Control savršen izbor za mala i srednja preduzeća. Pošto smo o ovom proizvodu već govorili prije dvije godine u članku „Kerio Control – Sveobuhvatna mrežna sigurnost“, u ovoj recenziji ćemo se fokusirati na inovacije koje su napravljene na ovom proizvodu od Kerio Control 8.5.
Posebno ističemo da je Kerio odavno krenuo putem maksimalne integracije sa virtuelna okruženja, tako da se novi proizvod Kerio Control 8.5 isporučuje kao zasebno okruženje: Software Appliance, VMwareVirtual Appliance (OVF/VMX) i Hyper-V Virtual Appliance. Za pisanje ovu recenziju koristili smo VMware Virtual Appliance sliku u OVF kontejneru za sistem virtuelizacije VMware ESXi. Deployment ovu slikučini se da to nije težak zadatak: najvažnije je da dobijete link do OVF paketa registracijom na Kerio web stranici. Za pregled, administratorima se daje 30-dnevna verzija proizvoda bez ikakvih funkcionalnih ograničenja. A sada nazad na funkcionalnost nova verzija Kerio Control 8.5.
Autorizacija u dva koraka
“Nastavljamo da poboljšavamo sigurnost bez žrtvovanja jednostavnosti,” rekao je Mirek Kren, izvršni direktor i izvršni direktor Kerio Technologies. "Novo izdanje dodaje važne i efikasne sigurnosne karakteristike koje se lako mogu primijeniti na bilo koju mrežu bez značajnih smetnji u poslovanju."
Dakle, Kerio je integrirao autorizaciju u dva koraka u novi proizvod, što će korisnicima omogućiti da povećaju sigurnost podataka, a administratore uštede od dodatni problemi vezano za sigurnost autentifikacije korisnika. Kerio Control 8.5 dobio je identifikaciju korisnika u dva koraka, koja je veoma tražena u svijetu, a koja se zasniva na zahtjevu jednokratni kod pristup iz ograničeno vrijeme akcije (TOTP). Ovaj kod ne zamjenjuje osnovnu autorizaciju korisnika u Kerio Control sistemu, već je samo dopunjuje, tako da vlasnici preduzeća mogu biti sigurni da će mrežni resursi ostanite sigurni čak i ako lozinke padnu u pogrešne ruke.
Smatrajte implementirani sistem uključenim tipičan primjer. Da bi aktivirao ovu funkciju, administrator mora označiti odgovarajući okvir u meniju "Domeni i autentifikacija". Istovremeno, onemogućivanjem opcije daljinske konfiguracije, administrator će spriječiti korisnike da konfigurišu verifikaciju u dva koraka izvana, odnosno sa eksternog interfejsa.
Nakon aktiviranja potvrde korisnika u dva koraka, sljedeći put kada pristupite internetu ili pogledate statistiku, korisniku će biti dato informativni prozor i link za postavljanje autorizacije u dva koraka.
Ako korisnik pristupi zaštitnom zidu s onemogućenom funkcijom daljinske konfiguracije, eksternu mrežu, biće mu prikazan malo drugačiji prozor sa informacijama koji ne predviđa mogućnost prelaska na postavku verifikacije u dva koraka.
Nakon što korisnik uđe u ekran za podešavanje za ovu funkciju, vidjet će odgovarajući QR kod i polje u koje trebate unijeti šifriranu šifru u ovaj QR kod. Vrijedi napomenuti da je alfanumerički kod ispod QR koda identifikator i ne biste trebali obraćati pažnju na njega. Da biste pročitali QR kod, trebate koristiti jednu od odgovarajućih aplikacija opisanih na stranici s opisom ove funkcije. Kao eksperiment smo koristili google app Autentifikator za Android, koji je povezan sa skenerom bar kodova (također ga treba instalirati).
Nakon što se QR kod pročita sa ekrana računara, Google Authenticator će automatski generisati odgovarajući kod. U suštini, QR kod sadrži jedinstveni link na odgovarajući kod.
Zatim se kod primljen u ovoj aplikaciji mora unijeti u odgovarajuće polje na stranici za autorizaciju Kerio Control. Treba napomenuti da se kod stalno mijenja prilično kratko vrijeme, tako da ga ne morate pamtiti. Sve je vrlo jednostavno i brzo. Problemi mogu nastati samo pri radu sa Windows aplikacijom, ali WinAuth program koji Kerio preporučuje radi odličan posao i samo se povezuje sa slikom.
Administratori imaju mogućnost resetiranja verifikacije u dva koraka za sve korisnike odjednom ili za svakog korisnika pojedinačno. U ovom slučaju, on će ponovo morati proći cijeli gore opisani postupak. Ako se resetiranje ne dogodi, sljedeći put kada korisnik zatraži kod, samo otvara odgovarajuću aplikaciju i unosi primljenu šifru. Skeniranje QR koda više nije potrebno.
Općenito, provjera korisnika u dva koraka je još jedan pokušaj zaštite korisnika od raznih uljeza, jer su svi ljudi različiti, a mnogi pokušavaju sačuvati lozinke ne mareći za sigurnost. Ako se koristi ova funkcija, administrator može biti siguran da čak ni krađa korisničke lozinke neće dozvoliti pristup internoj korporativnoj mreži ili kritičnim podacima kompanije.
Service Discovery sistem za prosljeđivanje poziva
Nova verzija Kerio Control 8.5 uvela je sistem preusmjeravanja Service Discovery, koji proces mrežne konfiguracije čini fleksibilnim i jednostavnim. Pomoću njega udaljeni korisnici mogu vidjeti, otkriti i povezati se s uređajima kao što su pisači, serveri datoteka i skeneri na različitim mrežama ili Kerio VPN tunelima. Service Discovery podržava popularne protokole kao što su mDNS (Apple uređaji), NetBIOS (Microsoft mreža) i SSDP (UPnP). Podešavanje ove funkcije je vrlo jednostavno, samo odaberite potrebne mreže između kojih će se multicast prosljeđivati i aktivirajte ovu funkciju. Dodatni unos u datoteku dnevnika dostupan je administratoru za kontrolu rada Service Discovery. Treba napomenuti da je Service Discovery dostupan samo za Kerio VPN, a rutiranje unutar IPsec VPN-a nije podržano, baš kao između vanjske i interne mreže. Ovo se objašnjava sa datu funkciju fokusiran na stvaranje kompletnog interna mreža preduzeća distribuirana širom sveta.
Kerio VPN
Treba napomenuti da Kerio konstantno nastoji ispuniti nove standarde, stoga su za tako važnu komponentu sustava kao što je Kerio VPN, uz ažuriranje 8.5, objavljeni i novi klijenti za Windows, Mac i Linux. Novi Kerio VPN instalacioni paket za računare koji koriste Mac OS X omogućava implementaciju putem alata treće strane kao što su Apple Remote Desktop ili FileWave.
Promjena MAC adrese
Treba napomenuti malu, ali prilično važnu funkciju za neke sistemske administratore. Sada u svojstvima Ethernet adaptera na administrativnom panelu možete promijeniti MAC adresu odgovarajućeg adaptera. Ova funkcionalnost vam omogućava da brzo promijenite MAC adresu ako, na primjer, vanjski mrežni provajder ima čvrstu MAC vezu.
Osim toga, u ovom snap-in-u, administrator može postaviti MTU za adapter, što je također ponekad potrebno za određene mreže.
Ažurirana funkcija obavještenja
Uz pomoć proširenog skupa obavještenja uključenih e-mail u Kerio Control 8.5, administratori će biti obaviješteni o važnim mrežnim događajima i statusu sistema. Treba napomenuti da se za ovu funkciju pojavio poseban dodatak koji vam omogućava da vrlo detaljno postavite parametre potrebnih upozorenja.
Tako, na primjer, možete konfigurirati da se obavijesti šalju ne samo administratorima, već i njima obični korisnici. Možda će ova funkcija biti vrlo korisna za praćenje korištenja korporativne mreže od strane menadžmenta ili analitičara koji nemaju administratorska prava. Također je vrijedno napomenuti mogućnost pretraživanja događaja u bilo kojem dnevniku koristeći regularni izraz ili obrazac, što će vam omogućiti da brzo identifikujete mogući problemi kod kojih je teško dijagnosticirati velika mreža. Podržava slanje poruka ne samo određenim korisnicima, već i pojedincima poštanski sandučići, koji ni na koji način ne može biti vezan za korporativne korisnike. Implementirana je i funkcija odlaganja slanja poruka i podešavanja rasporeda. Generalno, ova inovacija treba da ima pozitivan uticaj na efikasnost rešavanja različitih problema.
zaključci
Kerio je, kao i uvijek, obradovao administratore novim funkcijama u svom vodećem proizvodu Kerio Control 8.5. Imajte na umu da je ovaj proizvod jednostavno za korištenje, sveobuhvatno rješenje za upravljanje zaštitom od prijetnji za korporativnu mrežu. Mogućnosti Kerio Control 8.5 su veoma široke i omogućavaju mu da se koristi kako u malim institucijama tako iu velikim i srednjim kompanijama sa distribuiranom mrežom kancelarija širom sveta. Administratori širom svijeta cijene ovaj proizvod zbog njegovog intuitivnog interfejsa za upravljanje i pouzdanosti. Kerio Control 8.5 implementira jedan od najbolji sistemi Filtriranje internetskog sadržaja, koje vam omogućava da selektivno blokirate, dozvolite ili prijavite pristup 141 kategoriji web sadržaja pomoću Kerio Control Web filtera. Tako administrator može brzo i efikasno zaštititi korisnike od posjeta zlonamjernim stranicama za koje se zna da sadrže viruse i špijunski softver baviti se phishingom ili krađom identiteta.
Put do arhive prikazan je na sljedećim slikama:
Pretpostavimo da prelazite sa najnovije verzije KWF 6.7.1, vaša meta je radna verzija Kerio Control Appliance 8.3 (trenutna verzija aplikacije je april 2014.)
Glavna "složenost" tranzicije na ovaj slučaj je potreba da se izvrši ne direktna nadogradnja sa KWF 6.7.1 na Kerio Control 8.3, već postepeni prelazak na neke "veće" verzije. Ova potreba zbog uključivanja u konfiguracijske datoteke ovih "glavnih" verzija nekih funkcija koje zahtijevaju naknadnu obradu nakon instaliranja aplikacije.
Da biste prešli sa KWF 6.7.1 na Kerio Control 8.3, morate pokrenuti sljedeći koraci ažuriranja:
1. Nadogradite na Kerio Control 7.0.0
2. Nadogradite na Kerio Control 7.1.0
3. Ažurirajte na Kerio Control 7.4.2 ( Finalna verzija za Windows)
Možete preuzeti potrebne distribucije iz naše arhive izdanja.
Proces ažuriranja sa verzije na verziju je normalna instalacija nova verzija "na vrhu" stare. Instalater će automatski izaći sistemski servis Kerio Control (Kerio Winroute Firewall) će odrediti instalacijski direktorij trenutna verzija Kerio Control (Kerio Win-route Firewall) i zamijenit će datoteke aplikacije koje je potrebno ažurirati; Datoteke dnevnika aplikacije i konfiguracijske datoteke korisnika ostaju nepromijenjene. Konfiguracijske datoteke će biti sačuvane u posebnom direktoriju "UpgradeBackups" koji se nalazi u korijenu direktorija %programmfiles%\Kerio\.
Video snimak redovnog procesa ažuriranja:
Idi najnovija verzija windowsa Kerio Control 7.4.2 će biti posljednji korak nadogradnje ove platforme. Sljedeće faze tranzicije su priprema platforme Appliancea, prijenos konfiguracije, baza podataka dnevnika i korisničke statistike.
Prelazak na platformu uređaja.
U ovom odjeljku ćemo pogledati opcije implementacije za različite distribucije uređaja Kerio Control.
Instalacija softverskog uređaja
Ova verzija instalacionog paketa može se implementirati na sljedeće načine:
- ISO slika se može zapisati na fizički CD ili DVD medij, koji se kasnije mora koristiti za instaliranje Kerio Control na fizički ili virtualni host.
- U slučaju korišćenja virtuelnih računara, ISO slika se može montirati kao virtuelni CD/DVD-ROM da bi se izvršila instalacija sa njega, bez potrebe da se narezuje na fizički medij.
- ISO slika se može narezati USB fleš disk i instalirajte sa njega. Za detaljna uputstva pogledajte odgovarajući članak (kb.kerio.com/928) u našoj bazi znanja.
Instalacija VMware virtuelnog uređaja
Da biste instalirali Kerio Control VMware Virtual Appliance na različite VMware alate za virtualizaciju, koristite odgovarajuću verziju distribucije Kerio Control VMware Virtual Appliance:
Za VMware Server, Workstation, Player, Fusion, koristite zip (*.zip) VMX datoteku:
Instaliranje virtuelnog modula u VMware player 
- Za VMware ESX/ESXi/vSphere Hypervisor, koristite posebnu OVF vezu za uvoz virtuelnog modula, koji izgleda ovako:
VMware ESX/ESXi će automatski preuzeti OVF konfiguracijski fajl i odgovarajući virtuelni tvrdi disk(.vmdk)
Kada koristite OVF format, potrebno je uzeti u obzir sljedeće aspekte:
- U virtuelnoj jedinici Kerio Control, vremenska sinhronizacija sa serverom za virtuelizaciju je onemogućena. Međutim, Kerio Control ima ugrađene alate za sinhronizaciju vremena sa javnim mrežnim izvorima Internet vremena. Dakle, upotreba sinhronizacije između virtuelne mašine i virtuelizacionog servera je opciona.
- Zadaci "gašenja" i "ponovnog pokretanja" virtuelne mašine biće postavljeni na "podrazumevane" vrednosti. Mogućnost postavljanja ovih vrijednosti na "prisilno" isključivanje i "prisilno" ponovno pokretanje je očuvana, međutim, ove opcije isključivanja i ponovnog pokretanja mogu uzrokovati gubitak podataka u virtualnom modulu Kerio Control. Virtuelni modul Kerio Control podržava tzv. Soft Shutdown i Soft Reboot vam omogućavaju da isključite ili ponovo pokrenete gostujući OS na ispravan način, pa se preporučuje korištenje zadanih vrijednosti.
Instaliranje virtuelnog uređaja (ovf) u VMware vSphere 
Instalacija virtuelnog uređaja za Hyper-V
- Preuzmite arhivirani (*.zip) distributivni komplet, raspakujte ga u željeni folder.
- Kreirajte novi virtuelna mašina, odaberite opciju "Koristi postojeći virtuelni HDD“, navodeći kao sliku diska datoteku raspakiranu iz preuzete arhive
Instaliranje virtuelnog uređaja u MS Hyper-V
Sljedeći važna tačka priprema za prelazak na platformu Appliance, je ispravno podešavanje mrežna sučelja na odabranoj platformi uređaja.
Konfiguriranje mrežnih sučelja u softverskom uređaju
U pseudo-grafičkom interfejsu Kerio Control Software Appliancea, možete konfigurisati IP adresu/više adresa u statičkom ili dinamičkom režimu, kreirati VLAN interfejse i konfigurisati interfejs u PPPoE režimu.
Bilješka: Početno podešavanje mrežna sučelja u samoj distribuciji Kerio Control Software Appliancea su identična za sve sklopove Kerio Control Appliancea, razlike postoje samo kod konfigurisanja virtualnih mrežnih sučelja u različitim virtuelizacijskim okruženjima gdje se Kerio Control može koristiti.
Omogućavanje virtualnih mrežnih sučelja u Hyper-V
Za izvođenje korektno i minimalno neophodna podešavanja Hyper-V virtualni prekidač, morat ćete dovršiti sljedeće korake:
Mapiranje fizičkih i virtuelnih mrežnih interfejsa 
Provjera prisutnosti usluge virtuelnog mosta na fizičkim mrežnim sučeljima servera 
Za opciju brzo podešavanje Kerio Control mrežna sučelja Hyper-V virtuelno Uređaj pogledajte sljedeći video klip:
Omogućavanje virtualnih mrežnih sučelja u VMware vSphere
Približno isti lanac akcija je u slučaju pripreme virtualnih mrežnih sučelja u vSphere.
Kreiranje nekoliko virtuelnih prekidača, broj zavisi od vaših potreba za virtuelnim mrežnim komunikacijama. 
Kreiranje virtuelnog prekidača u VMware vSphere 
Kreiranje virtuelnog prekidača u VMware vSphere 
Dodavanje odgovarajućih fizičkih mrežnih interfejsa virtuelnim prekidačima tako da fizički LAN preduzeća može da komunicira sa njima 
Mapiranje kreiranih virtuelnih prekidača na virtuelna mrežna sučelja Kerio Control VMware Virtual Appliance 
Nakon što je sklop uređaja raspoređen i mrežna sučelja konfigurirana, možete nastaviti s prijenosom glavne korisničke konfiguracije sa vašeg Windows verzije Kerio Control.
Sam proces prijenosa konfiguracije sastoji se od dva koraka:
Čuvanje trenutne konfiguracije pomoću pomoćnika za konfiguraciju
Prilikom pohranjivanja konfiguracije, preporučljivo je zapamtiti, odnosno zapisati, MAC adrese vaših trenutnih mrežnih sučelja i njihovu korespondenciju sa korištenim IP adresama. Ovo će biti potrebno prilikom vraćanja konfiguracije na nova instalacija Kerio Control Appliance.
Proces spremanja konfiguracije prikazan je na slikama ispod:
Nakon ovog koraka, spremili ste arhivu koja uključuje sve korisničke konfiguracijske datoteke trenutne verzije Kerio Control.
Sljedeći korak je vraćanje prethodno spremljene konfiguracije na uređaj. Prilikom vraćanja konfiguracije, pomoćnik za konfiguraciju će ponuditi usklađivanje konfiguracije starih mrežnih sučelja s novim koji se koriste na Kerio Control Appliance serveru.
Bilješka: Upravo je to trenutak kada su vam potrebne informacije o MAC i IP adresama sa starog servera koje ste zapisali ili zapamtili kada ste konfiguraciju sačuvali na starom.
Proces vraćanja konfiguracije prikazan je na slikama ispod:
Za spremanje konfiguracije, Kerio Control Appliance server će se izvršiti automatsko ponovno pokretanje, nakon čega se može koristiti.
I tu zabava počinje! Ono što ćete pročitati u nastavku nije opisano ni u jednoj zvaničnoj, pa čak ni u nezvaničnoj dokumentaciji, tj. ovdje će biti postavljeni neki prihvatljivi "hackovi uživo", čija upotreba će vam pomoći u tome važan proces, prelazak na platformu Kerio Control Appliance.
I kao i obično, prije nego što pređemo na direktan opis s vama, uobičajeno "odricanje od odgovornosti":
BITAN: Dolje opisani postupak nije dokumentirana mogućnost, stoga, kako biste izbjegli neželjene posljedice, prije nego što počnete s migracijom podataka, napravite njihovu potpunu sigurnosnu kopiju kopiranjem podataka u sigurno skladište.
I tako mi prestupimo! Prvo, spremimo trenutnu bazu podataka protokola aplikacije. Da biste to učinili, morate sačuvati datoteke protokola koje se nalaze na navedenoj putanji.
%programfiles%\kerio\winroute firewall\logs\*
Za najbolju sigurnost ovih podataka, preporučuje se da ih napravite sigurnosnu kopiju u dostupnoj sigurnoj pohrani prije izvođenja migracije.
Zatim pohranjujemo trenutnu bazu podataka statistike korisnika. Sve ove informacije su koncentrisane u datoteci baze podataka Firebird, koja se nalazi u fascikli
%programfiles%\kerio\winroute firewall\star\data\
Odatle, sve što nam treba je datoteka star.fdb. Za najbolju sigurnost ovih podataka, preporučuje se da napravite sigurnosnu kopiju na dostupnoj sigurnoj pohrani prije izvođenja migracije.
Nakon što smo pronašli i sačuvali sve potrebne informacije, moramo ih prenijeti na novi server radi pod Kerio Control Appliance, za ovo, prva stvar koju trebate učiniti da učitate prethodno spremljene podatke na Kerio Control Appliance je da omogućite SSH server za obavljanje SFTP pristupa. Da biste to učinili, u web sučelju administracije Kerio Control idite na izbornik Status -> Status sistema, pritisnite i držite tipku “Shift” i kliknite na “ Akcije". Na padajućoj listi odaberite " Omogući SSH“, potvrdite svoje radnje tako što ćete se složiti s pitanjem u prozoru koji se pojavi.
Nakon toga, morate se uvjeriti da ste u prometnim pravilima Kerio Control dozvolili pristup hostu Kerio Control Appliancea tako da SSH protokol sa lokacije koju želite.
Nakon što ste omogućili SSH i omogućili odgovarajući pristup, potrebno je da se povežete sa Kerio Control Appliance serverom kako biste na njega preuzeli potrebne podatke dnevnika i korisničku statistiku. Da bismo to učinili, koristit ćemo WinSCP aplikaciju, koja vam omogućava povezivanje pomoću SFTP protokola.
Da biste se povezali sa Kerio Control Appliance serverom, morate navesti korisničko ime i pristupnu lozinku, navesti ime “root” (bez navodnika) kao korisničko ime; kao lozinku navedite lozinku ugrađene Kerio Control račun"Admin".
Parametri sFTP veze sa Kerio Control serverom 
Nakon uspostavljanja veze, potrebno je da svoje podatke postavite u određene serverske fascikle. Log fajlovi se moraju kopirati u fasciklu /var/winroute/logs, i datoteku korisničke statistike u fasciklu /var/winroute/star/data, dok se stare datoteke moraju ili izbrisati ili preimenovati.
Bilješka: Bolje je preimenovati stare fajlove da ih sačuvate backup trenutni podaci. U slučaju datoteka dnevnika aplikacije, potrebno je preimenovati samo stare *.log datoteke
Nakon što je kopiranje završeno, morate ponovo pokrenuti Kerio Control uslugu. Da biste to učinili, morate dobiti direktan pristup serveru Kerio Control Appliance. U slučaju softverskog uređaja, pristup je preko monitora i tastature samog servera na kojem je instaliran Kerio Control Software Appliance. U slučaju Kerio Control virtuelnog modula, pristup je preko konzole odgovarajućeg okruženja virtuelizacije. U svim ostalim aspektima, radnje će biti iste.
Za prebacivanje sa pseudo-grafičke konzole na interfejs komandna linija, pritisnite kombinaciju tastera “Alt-F2”. U upitu za unos korisničkog imena navedite ime “root” (bez navodnika), pritisnite “enter”, u polje za lozinku unesite lozinku “Admin” naloga ugrađenog u Kerio Control.
Bilješka: Mora se uzeti u obzir da OS Linux porodice unos lozinke se ne prikazuje čak ni sa ikonama zvjezdice, a ako pogriješite, neće biti moguće ispraviti je - morat ćete ponovo unijeti lozinku.
Na komandnoj liniji unesite sljedeće:
/etc/boxinit.d/60winroute restart
Ova naredba će ponovo pokrenuti Kerio Control demon (uslugu), nakon čega će Kerio Control "spojiti" prethodno kopirane podatke protokola aplikacije i korisničku statistiku.
Nakon pokretanja Kerio Control demona, potrebno je provjeriti integritet prenesenih podataka, za to možete koristiti web sučelje korisničke statistike i/ili web sučelje administracije aplikacije Kerio Control.
Ako je sve u redu sa svim podacima, onda možemo razmotriti prelazak na nova platforma Kerio Control Appliance je završen i ostaje samo da se izvrši redovna procedura za ažuriranje Kerio Control na trenutnu verziju. Ako s nekim dijelom podataka "nije sve u redu", postoje dvije opcije:
1) uverite se da su podaci preuzeti sa originalnog Kerio Control (KWF) servera u početku bili u redu;)
2) ako je sve u redu sa početnim podacima, onda je potrebno ponoviti postupak za prenos onog dela podataka sa kojim je bilo problema.
3) ako su rješenja iz st. 1 i 2 nisu pomogli, onda ostavite komentar ovdje, hajde da pokušamo to shvatiti zajedno :)
Sada kada su svi važni podaci na mjestu, možete "povući" verziju Kerio Control Appliancea na trenutnu. Proces redovnog ažuriranja može se odvijati na dva načina, u automatskom i ručnom režimu.
Način automatskog ažuriranja verzije.
Kerio Control može automatski provjeriti ima li novih verzija na Kerio lokaciji za ažuriranje.
- Dodatne opcije “, na karticu “ provjeravanje ažuriranja»
- Uključite opciju " Povremeno provjeravajte da li postoje nove verzije". Kerio Control će provjeravati da li postoje nove verzije svaka 24 sata. Čim se utvrdi prisustvo nove verzije, na kartici " provjeravanje ažuriranja” će prikazati link za preuzimanje ažuriranja. Da biste odmah provjerili ima li ažuriranja, kliknite na " Provjerite sada»
- Ako želite da preuzmete ažurirane verzije čim se otkriju, omogućite opciju " Automatski preuzimajte nove verzije". Čim se nova verzija učita, dobit ćete obavijest u web administracijskom interfejsu.
- Nakon preuzimanja ažuriranja, kliknite na " Ažurirati sada»
- Potvrdite svoju namjeru da ažurirate i izvršite naknadno automatsko ponovno pokretanje Kerio Control
- Pričekajte da se instalacija nove verzije završi i ponovo pokrenite Kerio Control.
- Ažuriranje je završeno.
Ručni način rada ažuriranja verzije.
Ovaj način ažuriranja može biti koristan u sljedećim okolnostima:
- Vratite se na prethodnu verziju Kerio Control
- Nadogradnja na srednju ili ne-tekuću verziju (na primjer, zatvoreno Beta izdanje).
- Gateway ažuriranje ako je dostupno maksimalna ograničenja za ITU za pristup Internet resursima.
Za ručnu nadogradnju morate preuzeti posebnu sliku (Upgrade Image) sa stranice za preuzimanje Kerio Control (http://www.kerio.ru/support/kerio-control).
Nakon preuzimanja, slijedite ove korake:
- U web interfejsu administracije idite na stavku menija " Dodatne opcije“, na karticu “ provjeravanje ažuriranja»
- Kliknite na dugme " Izbor»
- Odredite lokaciju datoteke slike nadogradnje (kerio-control-upgrade.img)
- Kliknite na dugme " Preuzmite datoteku za ažuriranje verzije»
- Nakon preuzimanja kliknite na dugme Pokreni nadogradnju verzije»
- Pričekajte ažuriranje verzije i ponovo pokrenite Kerio Control
- Ažuriranje je završeno.
Voila, imate potpuni Internet gateway baziran na Kerio Control Applianceu! Čestitamo na završetku prelaska na UTM Kerio Control!
Samo registrovani korisnici mogu učestvovati u anketi.
O proučavanju proizvoda Kerio Technologies, koji proizvodi razne zaštitne softverska rješenja, za mala i srednja preduzeća. Prema zvaničnom sajtu kompanije, više od 60.000 kompanija širom sveta koristi njene proizvode.
Stručnjaci SEC Consult-a otkrili su mnoge ranjivosti u Kerio Control-u, UTM rješenju kompanije, koje kombinuje funkcije firewall-a, rutera, IDS/IPS-a, gateway antivirusa, VPN-a i tako dalje. Istraživači su opisali dva scenarija napada koji omogućavaju napadaču ne samo da preuzme kontrolu nad Kerio Control-om, već i da ga preuzme korporativna mreža koje proizvod mora zaštititi. Iako su programeri već objavili ispravke za većinu pronađenih grešaka, istraživači napominju da je još uvijek moguće implementirati jedan od scenarija napada.
Prema istraživačima, Kerio Control rješenja su ranjiva zbog nesigurnosti Upotreba PHP-a unserialize funkcije, kao i zbog upotrebe stara verzija PHP (5.2.13), za koji je već utvrđeno da ima ozbiljnih problema. Stručnjaci su takođe pronašli brojne ranjive PHP skripte koje omogućavaju XSS i CSRF napade i zaobilaze ASLR zaštitu. Osim toga, prema SEC Consult-u, web server radi sa root privilegijama i nema zaštitu od brute-force napada i kršenja integriteta informacija u memoriji.
Šema prvog scenarija napada
Prvi scenario napada koji su opisali stručnjaci uključuje iskorištavanje nekoliko ranjivosti odjednom. Napadač će morati koristiti društveni inženjering i namamiti žrtvu na zlonamjernu stranicu koja će ugostiti skriptu koja vam omogućava da saznate internu IP adresu Kerio Control. Napadač tada treba da iskoristi CSRF bug. Ako žrtva nije prijavljena na Kerio Control panel, napadač može koristiti uobičajenu grubu silu da odabere vjerodajnice. Ovo bi zahtijevalo XSS ranjivost da bi se zaobišla SOP zaštita. Nakon toga, možete nastaviti da zaobiđete ASLR i koristite staru PHP grešku (CVE-2014-3515) da pokrenete ljusku kao root. U suštini, nakon toga napadač dobija pun pristup na mrežu organizacije. Video ispod prikazuje napad u akciji.
Drugi scenario napada uključuje iskorištavanje RCE ranjivosti, koja je povezana s funkcijom ažuriranja Kerio Control i koju je prije više od godinu dana otkrio jedan od zaposlenika SEC Consult-a. Stručnjaci predlažu korištenje ove greške, koja omogućava daljinsko izvršavanje proizvoljnog koda, u kombinaciji sa XSS ranjivosti koja omogućava proširenje funkcionalnosti napada.
Stručnjaci Kerio Technologiesa o problemima su obaviješteni krajem avgusta 2016. godine. Na ovog trenutka kompanija je objavila Kerio Control 9.1.3, gdje je većina ranjivosti popravljena. Međutim, kompanija je odlučila da ostavi root privilegije web servera, a za sada, RCE greška povezana sa funkcijom ažuriranja ostaje neispravljena.
Zašto je to potrebno?
Kerio verzija 7 proizvodi sadrže nekoliko dodatnih (novih) modula: ugrađeni antivirus Sophos umjesto uobičajenog McAfee , modul za sprečavanje upada Hrkni . Osim toga, ima ih dodatne funkcije- korištenje vanjskih antivirusnih dodataka, na primjer. Sve ovo zahtijeva redovna ažuriranja, a proizvođač ne pruža takvu priliku :)
Postoji samo jedan način - da sami ažurirate sve ove module i potrebne informacije za njih, stavljajući obrađene podatke na odgovarajući način u Kerio proizvode. Problem nije pronaći izvore za takve informacije, već osigurati da format njihove prezentacije bude u skladu sa određenim standardima definiranim bilo Kerio proizvodima ili načinom obrade primljenih podataka. Pošto apsolutno svi moduli koriste protokol za svoje ažuriranje http (https ), potrebno je kreirati web stranicu strukturiranu na određeni način, s koje će Kerio proizvod pripremljen za to primati ažuriranja.
Šta je za to potrebno?
Zapravo, web server bilo koje konfiguracije, tipa i lokacije - svi zahtjevi za njega su tipični, bez obzira na OS. Mi pojednostavljujemo zadatak što je više moguće - koristimo ugrađene mogućnosti operativnog sistema Windows, tj. IIS bilo koja verzija ( razmatrano ovde IIS7).
Izradićemo ogledalo za sledeće proizvode: WebFilter, McAfee, Sophos, Snort i ClamAV.
Nekoliko pojašnjenja - Ažuriranja antivirusa McAfee i ClamAV nalaze se na stabilnim vezama i, u principu, ogledalo im nije toliko potrebno. Međutim, postoje zatvoreni sistemi u kojima pristup nije omogućen svim internetskim resursima, ali za takve sisteme je ogledalo neophodno - može se napuniti sa USB fleš diska.
Bilo je moguće uključiti antivirus među proizvode u ogledalu Avast! -- to se ne radi samo zato što upotreba ovog antivirusa implicira prisustvo serverska licenca, a takav program se ažurira samostalno. Tehnički napraviti ogledalo za Avast! lako i m. uskoro će to biti urađeno.
Ažuriranja za Snort - su besplatni i uvijek dostupni, jedini problem je što se ova ažuriranja moraju obraditi prema pravilima koja Kerio koristi.
Ažuriranja za Sophos potrebno je tražiti na internetu i takvi izvori postoje, ali su nestabilni u pogledu formata prezentacije podataka, ažuriranja i integriteta.
Gdje da počnemo?
Od kreiranja potrebne strukture datoteka za pohranjivanje podataka. Kreirajmo ga na fizičkom (ili virtuelnom) računaru koji će ugostiti naš web server.
Ova struktura je jednostavna (opet, radi jednostavnosti, koristimo opis dat u jednom od uslužnih programa, koji ćemo kasnije primijeniti,):
Osim toga, napravimo folder za postavljanje naših skripti i međurezultata - c:\autoit .
Sada postavimo web server (pod pretpostavkom da ga je čitač lako instalirati). Koristimo zadanu lokaciju kreiranu tokom instalacije, koja će se nalaziti na c:\inetpub\wwwroot . Šta mijenjamo u postavkama:
1. Dodajte tri imena vezama stranice(sva imena su uslovna, njihov format je važan) za http protokol - updater, antivirus-updater.MyLocalDomain.ru i kao ime - IP adresa računara 172.16.101.1, kojoj će pristupiti klijenti koji slušaju ažuriranja na svim mrežnim adresama.
Zašto: adresa po imenu updater zahtijeva prisustvo odgovarajućeg DNS zapisa, što nije uvijek moguće. Osim toga, 64-bitne verzije Kerio-a pogrešno obrađuju DNS odgovore za kratka imena, tako da ćemo koristiti gdje je to moguće kao ime IP adresa web servera. dugo Ime domena mora se koristiti u verzijama KCONTROL 7.1.1 i KCONNECT 7.1.4 - Dužina imena mora biti 23 znaka, uključujući tačke, ili više. Naravno, imena se mogu birati prema vlastitom ukusu.
Za ažuriranja Kerio proizvoda koristi se protokol https . Zakrpa može ukloniti takvo vezivanje kada je protokol direktno specificiran, na primjer za WebFilter - http://updater,međutim, za biblioteku Sophos autor nije predvideo takvu priliku, ostavljajući samo nama HTTPS je protokol, stoga ćemo ga u vezama stranice označiti bilo kojim certifikatom koji nam sistem ponudi.
2. Dodajte MIME- vrste sajtova. Sve dodate vrijednosti moraju biti tipa text\plain.
Morate dodati sljedeće vrijednosti:
McAfee: .log .bof .gem .msc .ini .pdb .so .nrc
Snort: .rules .db
Sophos: .ver .vdb .dat .ide .list .php
ClamAv: .cvd .cld
3. Dodajte mapiranje modula za datoteke u rukovaoce događajima na lokaciji.pravila slično kao što je navedeno za događaj
statički fajl - StaticFileModule,DefaultDocumentModule,DirectoryListingModule,
obavezno uključite ograničenje zahtjeva za fajl\direktorij. Zovemo to kako god želimo.
4. U filtriranju zahtjeva za web lokaciju, izbrišite unos za tip datoteke*.pravila.
5. Kreirajte virtuelne direktorije na web mjestu s referencom na onaj koji je ranije kreiran strukturu fajla i omogućavaju pregled sadržaja direktorija (lakše, ali netačnije - cijela stranica):
To je to - napravljena je web stranica za ažuriranje Kerio proizvoda. Provjeravamo njegovu dostupnost preko mreže otvaranjem potrebnih direktorija u pretraživaču - http://updater/snort ili http://172.16.101.1/sophos ili http://antivirus-updater.MyLocalDomain.ru/clamav
Trebali bi se otvoriti prazni direktoriji.
Još jednom o nazivu stranice: za svaki proizvod se može koristiti različito ime, izbor ovisi o verziji proizvoda, bitnosti OS-a, DNS postavkama. Naziv se bira prilikom zakrpanja određenog proizvoda i ne zavisi od web servera i njegovih postavki – mora se uzeti u obzir u vezama.
Sada je na popunjavanju stranice. Svaki od proizvoda će se ažurirati prema vlastitoj shemi. c korištenjem nezavisnih softverskih alata i skripti koje automatiziraju ovaj proces, pa ćemo ih razmotriti zasebno.
Ova tehnika je osnova trenutnog servera za ažuriranje -.
Server je u potpunosti konfiguriran da se koristi kao izvor ažuriranja za sve komponente Kerio Control i Kerio Connect: Sophos, McAfee
