Maxim Afanasiev
Sredinom veljače Kerio Technologies je objavio ažuriranje svog vodećeg proizvoda, Kerio Control. Nova verzija Kerio Control 8.5 pruža povećana sigurnost korisnicima kroz integraciju provjere u dva koraka i brojna poboljšanja upotrebljivosti proizvoda. Kerio Control 8.5 je opremljen sa novi sustav Service Discovery preusmjeravanje, što mrežnu konfiguraciju čini fleksibilnom i jednostavnom. Sada udaljenih korisnika može vidjeti, otkriti i povezati se s uređajima kao što su pisači, poslužitelji datoteka i skeneri unutra različite mreže ili Kerio VPN tuneli. Osim toga, u novoj verziji Kerio je pojednostavio proces instaliranja i ažuriranja takvih važna komponenta sustava kao Kerio VPN klijent. S novim instalacijski paket moguće ga je implementirati putem alata proizvođači trećih strana kao što je Apple Remote Desktop ili FileWave. Nova verzija Kerio Control dobila je prošireni set obavijesti sustava, što će vam omogućiti brže informiranje administratora sustava o moguće pogreške i problemi. Ali prije svega.
Podsjetimo da je Kerio Control kompleksno rješenje u području sigurnosti, kombinirajući nekoliko funkcija, uključujući vatrozida(vatrozid) i usmjerivač, sustav za otkrivanje i sprječavanje upada (IPS), antivirus, VPN i filter sadržaja. Ove široke mogućnosti i neusporediva fleksibilnost implementacije čine Kerio Control savršen izbor za mala i srednja poduzeća. Budući da smo prije dvije godine već govorili o ovom proizvodu u članku "Kerio Control - Sveobuhvatna mrežna sigurnost", u ovoj recenziji ćemo se fokusirati na inovacije koje su napravljene na ovom proizvodu od Kerio Control 8.5.
Posebno napominjemo da je Kerio već dugo na putu maksimalne integracije sa virtualna okruženja stoga se novi Kerio Control 8.5 isporučuje kao zasebno okruženje: Software Appliance, VMware Virtual Appliance (OVF / VMX) i Hyper-V Virtual Appliance. Za pisanje ovog pregleda koristili smo VMware Virtual Appliance sliku u OVF spremniku za virtualizacijski sustav VMware ESXi... Razmještaj ova slika nije težak zadatak: najvažnije je dobiti poveznicu na OVF paket registracijom na Kerio web stranici. Za pregled, administratori dobivaju 30-dnevnu verziju proizvoda bez ikakvih funkcionalnih ograničenja. Sada se vratimo na funkcionalnost nova verzija Kerio Control 8.5.
Autorizacija u dva koraka
"Nastavljamo poboljšavati sigurnost bez žrtvovanja jednostavnosti", rekao je COO i izvršni direktor Kerio Technologies. "Novo izdanje dodaje važne i moćne sigurnosne značajke koje se lako mogu primijeniti na bilo koju mrežu bez značajnih poremećaja u poslovanju."
Dakle, Kerio je u novi proizvod integrirao autorizaciju u dva koraka, što će korisnicima omogućiti povećanje sigurnosti podataka, a administratore osloboditi dodatni problemi vezano za sigurnost provjere autentičnosti korisnika. Kerio Control 8.5 dobio je vrlo traženu identifikaciju korisnika u dva koraka u svijetu, koja se temelji na zahtjevu jednokratni kod pristup sa ograničeno vrijeme radnje (TOTP). Ovaj kod ne zamjenjuje osnovnu autorizaciju korisnika u Kerio Control sustavu, već je samo nadopunjuje, tako da vlasnici poduzeća mogu biti sigurni da mrežni resursi ostat će siguran čak i ako su lozinke u pogrešnim rukama.
Razmotrite implementirani sustav na tipičan primjer... Da bi aktivirao ovu funkciju, administrator mora označiti odgovarajući okvir u izborniku Domains and Authentication. Istovremeno, onemogućivanjem opcije daljinske konfiguracije, administrator će spriječiti korisnike da konfiguriraju provjeru u dva koraka izvana, odnosno s vanjskog sučelja.
Nakon aktiviranja potvrde korisnika u dva koraka, sljedeći put kada se prijavi na Internet ili prilikom pregleda statistike, korisniku će se dati informativni prozor i poveznicu za konfiguriranje autorizacije u dva koraka.
Ako se korisnik prijavljuje na vatrozid s onemogućenom funkcijom daljinske konfiguracije dok je funkcija daljinske konfiguracije onemogućena vanjska mreža, prikazat će se malo drugačiji informacijski prozor koji ne predviđa mogućnost prelaska na postavku provjere u dva koraka.
Nakon što korisnik uđe u ekran za podešavanje ove funkcije, vidjet će mu odgovarajući QR kod i polje u koje je potrebno unijeti kod "šifriran" u ovaj QR kod. Vrijedi napomenuti da je alfanumerički kod ispod QR koda identifikator i ne treba ga zanemariti. Za čitanje QR koda morate koristiti jednu od odgovarajućih aplikacija opisanih na stranici s opisom za ovu funkciju. Kao eksperiment koristili smo google aplikacija Autentifikator za Android, koji je u paketu sa skenerom crtičnog koda (također treba biti instaliran).
Nakon što se QR kod pročita sa zaslona računala, Google Authenticator će automatski generirati odgovarajući kod. Zapravo, QR kod sadrži jedinstvena poveznica na odgovarajući kod.
Zatim se kod dobiven u ovoj aplikaciji mora unijeti u odgovarajuće polje na stranici za autorizaciju Kerio Control. Valja napomenuti da se kod stalno mijenja prilično kratko vrijeme, pa ga nema potrebe za pamćenjem. Sve je vrlo jednostavno i brzo. Problemi mogu nastati samo pri radu s aplikacijom iz Windowsa, ali program WinAuth, koji Kerio preporučuje, odlično radi samo s linkom na sliku.
Za administratore, opcija poništavanja potvrde u dva koraka dostupna je za sve korisnike odjednom ili za svakog korisnika pojedinačno. U tom će slučaju ponovno morati proći cijeli gore opisani postupak. Ako se resetiranje nije dogodilo, korisnik pri sljedećem zahtjevu za kodom samo otvara odgovarajuću aplikaciju i upisuje primljeni kod. Više nema potrebe za skeniranjem QR koda.
Općenito, provjera korisnika u dva koraka je još jedan pokušaj zaštite korisnika od raznih uljeza, jer su svi različiti, a mnogi pokušavaju spremiti lozinke bez brige o sigurnosti. Koristeći ovu funkciju, administrator može biti siguran da čak ni krađa korisničke lozinke neće pružiti priliku za pristup internoj korporativnoj mreži ili kritičnim podacima tvrtke.
Sustav za prosljeđivanje poziva usluge Discovery
Nova verzija Kerio Control 8.5 uvodi sustav preusmjeravanja Service Discovery, koji proces postavljanja mreže čini fleksibilnim i jednostavnim. Omogućuje udaljenim korisnicima pregled, otkrivanje i povezivanje s uređajima kao što su pisači, poslužitelji datoteka i skeneri na različitim mrežama ili Kerio VPN tunelima. Service Discovery podržava popularne protokole kao što su mDNS (Apple uređaji), NetBIOS (Microsoft mreža) i SSDP (UPnP). Postavljanje ove funkcije je vrlo jednostavno, samo odaberite potrebne mreže između kojih će se multicast prosljeđivati i aktivirajte ovu funkciju. Za kontrolu rada Service Discovery, administratoru je dostupan dodatni unos u log datoteci. Treba napomenuti da je Service Discovery dostupno samo za Kerio VPN, a usmjeravanje unutar IPsec VPN-a nije podržano, na isti način kao između vanjskih i internih mreža. Ovo se objašnjava ovu funkciju usmjerena na stvaranje cjelovite interna mreža poduzeća raspoređena diljem svijeta.
Kerio VPN
Treba napomenuti da Kerio neprestano nastoji zadovoljiti nove standarde, stoga su za tako važnu komponentu sustava kao što je Kerio VPN, uz ažuriranje 8.5, objavljeni i novi klijenti za Windows, Mac i Linux. Novi Kerio VPN instalacijski program za Mac OS X računala omogućuje implementaciju putem alata trećih strana kao što su Apple Remote Desktop ili FileWave.
Promijenite MAC adresu
Treba napomenuti malu, ali prilično važnu funkciju za neke administratore sustava. Sada, u svojstvima Ethernet adaptera na administrativnoj ploči, možete promijeniti MAC adresu odgovarajućeg adaptera. Ova vam funkcija omogućuje brzu promjenu MAC adrese ako, na primjer, vanjski mrežni davatelj usluga ima čvrstu MAC vezu.
Osim toga, u ovom dodatku administrator može postaviti MTU za adapter, što je također ponekad potrebno za određene mreže.
Ažurirana funkcija obavijesti
Uz pomoć proširenog skupa obavijesti za e-mail u Kerio Control 8.5, administratori će biti obaviješteni o važnim mrežnim događajima i stanju sustava. Valja napomenuti da se za ovu funkciju pojavio zaseban dodatak koji vam omogućuje vrlo detaljno postavljanje parametara potrebnih obavijesti.
Tako, na primjer, možete konfigurirati slanje obavijesti ne samo administratorima, već i obični korisnici... Možda će ova značajka biti vrlo korisna za praćenje korištenja korporativne mreže od strane menadžmenta ili analitičara koji nemaju administratorska prava. Također je vrijedno napomenuti mogućnost pretraživanja događaja u bilo kojem zapisniku pomoću regularnog izraza ili uzorka, što će vam omogućiti da brzo identificirate mogući problemi koje je teško dijagnosticirati velika mreža... Podržava slanje poruka ne samo određenim korisnicima, već i pojedincima poštanski sandučići koji ne smiju biti ni na koji način vezan uz korporativne korisnike. Također implementirana funkcija odgode slanja poruka i postavljanja rasporeda. Općenito, ova bi inovacija trebala imati pozitivan učinak na učinkovitost rješavanja različitih problema.
zaključke
Kerio je, kao i uvijek, oduševio administratore novim značajkama u svom vodećem proizvodu Kerio Control 8.5. Imajte na umu da je ovaj proizvod jednostavno za korištenje, sveobuhvatno rješenje za upravljanje zaštitom od prijetnji korporativnoj mreži. Mogućnosti Kerio Control 8.5 su vrlo široke i omogućuju vam da ga koristite kako u malim ustanovama tako iu velikim i srednjim tvrtkama s distribuiranom mrežom ureda diljem svijeta. Administratori diljem svijeta cijene ovaj proizvod zbog njegovog intuitivnog sučelja za upravljanje i pouzdanosti. Kerio Control 8.5 implementira jedan od bolji sustavi filtriranje internetskog sadržaja, što vam omogućuje da selektivno blokirate, dopustite ili prijavite pristup 141 kategoriji web sadržaja pomoću Kerio Control Web Filter. Na taj način administrator može brzo i učinkovito zaštititi korisnike od posjećivanja zlonamjernih stranica za koje se zna da sadrže viruse i špijunski softver sudjeluju u krađi identiteta ili krađi identiteta.
Put do arhive prikazan je na sljedećim slikama:
Pretpostavimo da prelazite s najnovije verzije KWF 6.7.1, vaš cilj je radna verzija Kerio Control Appliance 8.3 (trenutna verzija aplikacije od travnja 2014.)
Glavna "poteškoća" prijelaza na u ovom slučaju postoji potreba za izvođenjem ne izravne nadogradnje s KWF 6.7.1 na Kerio Control 8.3, već uzastopnog prijelaza na neke "glavne" verzije. Ova potreba zbog uključivanja u konfiguracijske datoteke ovih "glavnih" verzija nekih značajki koje zahtijevaju naknadnu obradu nakon instaliranja aplikacije.
Da biste prešli s KWF 6.7.1 na Kerio Control 8.3, morate učiniti Sljedeći koraci nadopune:
1. Nadogradite na verziju Kerio Control 7.0.0
2. Nadogradite na verziju Kerio Control 7.1.0
3. Nadogradite na verziju Kerio Control 7.4.2 ( Završna verzija za Windows)
Potrebne distribucije možete preuzeti iz naše arhive izdanja.
Stvarni proces nadogradnje od verzije do verzije je normalna instalacija nova verzija je "na vrhu" stare. Instalater će se automatski isključiti usluga sustava Kerio Control (Kerio Winroute Firewall), odredit će instalacijski direktorij Trenutna verzija Kerio Control (Kerio Win-route Firewall) i zamijenit će datoteke aplikacija koje zahtijevaju ažuriranje; Datoteke dnevnika aplikacije i korisničke konfiguracijske datoteke ostaju nepromijenjene. Konfiguracijske datoteke bit će spremljene u poseban direktorij "UpgradeBackups" koji se nalazi u korijenu% programmfiles% \ Kerio \ direktorija.
Video isječak redovnog procesa ažuriranja:
Ići najnoviju verziju sustava Windows Kerio Control 7.4.2 bit će posljednji korak ažuriranja unutar ove platforme. Sljedeće faze tranzicije su priprema platforme Appliance, migracija konfiguracije, baze podataka dnevnika i korisničke statistike.
Prelazak na platformu uređaja.
U ovom ćemo odjeljku razmotriti opcije za implementaciju različitih distribucija Kerio Control Appliancea.
Instaliranje softverskog uređaja
Ova verzija instalacijskog paketa može se implementirati na sljedeće načine:
- ISO slika može se snimiti na fizički CD ili DVD medij, koji se kasnije mora koristiti za instalaciju Kerio Control na fizički ili virtualni host.
- U slučaju korištenja virtualnih računala, ISO slika se može spojiti kao virtualni CD/DVD-ROM za instalaciju s njega, bez potrebe za pisanjem na fizički medij.
- ISO slika se može snimiti USB flash pogon i instalirajte iz njega. Za upute pogledajte povezani članak (kb.kerio.com/928) u našoj bazi znanja.
Instalacija VMware virtualnog uređaja
Da biste instalirali Kerio Control VMware Virtual Appliance na razne alate za virtualizaciju iz VMwarea, koristite odgovarajuću verziju distribucijskog kompleta Kerio Control VMware Virtual Appliance:
Za VMware Server, Workstation, Player, Fusion koristite komprimiranu (*. Zip) VMX datoteku:
Instalacija virtualnog modula u VMware player 
- Za VMware ESX / ESXi / vSphere Hypervisor upotrijebite posebnu OVF vezu za uvoz virtualnog modula, koji izgleda ovako:
VMware ESX / ESXi automatski će učitati OVF konfiguracijsku datoteku i odgovarajuću virtualnu sliku tvrdi disk(.vmdk)
Prilikom korištenja OVF formata potrebno je uzeti u obzir sljedeće aspekte:
- Vremenska sinkronizacija s virtualizacijskim poslužiteljem onemogućena je u virtualnom modulu Kerio Control. Međutim, Kerio Control ima ugrađene alate za sinkronizaciju vremena s javnim mrežnim izvorima vremena na internetu. Stoga je korištenje sinkronizacije između virtualnog stroja i virtualizacijskog poslužitelja neobavezno.
- Zadaci "gašenje" i "ponovno pokretanje" virtualnog stroja bit će postavljeni na "zadane" vrijednosti. Mogućnost postavljanja ovih vrijednosti na način rada "prisilno" isključivanje i "prisilno" ponovno pokretanje je sačuvana, međutim, ove opcije isključivanja i ponovnog pokretanja mogu uzrokovati gubitak podataka u virtualnom modulu Kerio Control. Virtualni modul Kerio Control podržava tzv. "Soft" shutdown i "soft" reboot, koji omogućuju isključivanje ili ponovno pokretanje gostujućeg OS-a na ispravan način, stoga se preporučuje korištenje zadanih vrijednosti.
Instaliranje virtualnog uređaja (ovf) u VMware vSphere 
Instalacija virtualnog uređaja za Hyper-V
- Preuzmite komprimirani (*.zip) distribucijski kit, raspakirajte ga u željenu mapu.
- Napravite novi virtualni stroj, odaberite opciju "Koristi postojeći virtual HDD", Određivanje datoteke raspakirane iz preuzete arhive kao slike diska
Instalacija virtualnog modula u MS Hyper-V
Sljedeći važna točka priprema za prijelaz na platformu Appliance je ispravna postavka mrežna sučelja na platformi po vašem izboru.
Konfiguriranje mrežnih sučelja u softverskom uređaju
Pseudografsko sučelje Kerio Control Software Appliancea pruža mogućnost konfiguriranja IP adresa / više adresa u statičkom ili dinamičkom načinu rada, kreiranja VLAN sučelja i konfiguriranja sučelja u PPPoE načinu.
Bilješka: Početno postavljanje mrežna sučelja u samoj distribuciji Kerio Control Software Appliancea identična je za sve sklopove Kerio Control Appliancea, jedine razlike su u konfiguriranju virtualnih mrežnih sučelja u raznim virtualizacijskim okruženjima gdje se Kerio Control može koristiti.
Priprema virtualnih mrežnih sučelja u Hyper-V
Raditi ispravno i minimalno potrebno podešavanje virtualnog prekidača Hyper-V, morat ćete dovršiti sljedeće korake:
Mapiranje fizičkih i virtualnih mrežnih sučelja 
Provjera prisutnosti usluge virtualnog mosta na fizičkim mrežnim sučeljima poslužitelja 
Za upoznavanje s opcijom brzo postavljanje mrežna sučelja Kerio Control Hyper-V virtualno Uređaj pogledajte sljedeći video:
Omogućavanje virtualnih mrežnih sučelja u VMware vSphere
Približno isti lanac radnji je i u slučaju pripreme virtualnih mrežnih sučelja u vSphere.
Napravite više virtualnih prekidača, broj ovisi o vašim komunikacijskim potrebama virtualne mreže. 
Stvaranje virtualnog prekidača u VMware vSphere 
Stvaranje virtualnog prekidača u VMware vSphere 
Dodavanje odgovarajućih fizičkih mrežnih sučelja virtualnim prekidačima tako da fizički LAN poduzeća može komunicirati s njima 
Mapiranje kreiranih virtualnih prekidača s virtualnim mrežnim sučeljima Kerio Control VMware Virtual Appliance 
Nakon što je sklop uređaja postavljen i konfigurirana su mrežna sučelja, možete nastaviti s prijenosom glavne korisničke konfiguracije sa svog Windows verzija Kerio Control.
Sam proces prijenosa konfiguracije sastoji se od dva koraka:
Spremanje trenutne konfiguracije pomoću pomoćnika za konfiguraciju
Prilikom spremanja konfiguracije preporuča se zapamtiti ili bolje zapisati MAC adrese vaših trenutnih mrežnih sučelja i njihovu korespondenciju s korištenim IP adresama. To će biti potrebno prilikom vraćanja konfiguracije na nova instalacija Kerio kontrolni uređaj.
Proces spremanja konfiguracije prikazan je na slikama ispod:
Nakon ovog koraka, spremili ste arhivu koja uključuje sve korisničke konfiguracijske datoteke trenutne verzije Kerio Controla.
Sljedeći korak je vraćanje prethodno spremljene konfiguracije na uređaj. Prilikom vraćanja konfiguracije, pomoćnik za konfiguraciju će ponuditi mapiranje konfiguracije starih mrežnih sučelja na nova koja se koriste na poslužitelju Kerio Control Appliance.
Bilješka: Upravo je to trenutak kada trebate informacije o MAC i IP adresama sa starog poslužitelja, koje ste zapisali ili zapamtili prilikom spremanja konfiguracije na stari.
Proces vraćanja konfiguracije prikazan je na slikama ispod:
Za spremanje konfiguracije izvršit će se poslužitelj Kerio Control Appliance automatsko ponovno pokretanje, nakon čega se može koristiti.
I tu zabava počinje! Ono što ćete pročitati u nastavku nije opisano ni u jednoj službenoj ili neslužbenoj dokumentaciji, t.j. ovdje će biti postavljeno nekoliko prihvatljivih "live hackova", čija će vam upotreba pomoći u tome važan proces, prijelaz na platformu Appliance Kerio Control.
I kao i obično, prije nego što prijeđemo na izravan opis, uobičajeno "odricanje od odgovornosti":
VAŽNO: Dolje opisani postupak nije dokumentirana opcija, stoga, kako biste izbjegli neželjene posljedice, prije nego što počnete s prijenosom podataka, napravite potpunu sigurnosnu kopiju kopiranjem podataka u sigurnu pohranu.
I tako idemo! Prvo, spremimo trenutnu bazu podataka aplikacijskih protokola. Da biste to učinili, morate spremiti datoteke dnevnika koje se nalaze na navedenom putu.
% programskih datoteka% \ kerio \ winroute firewall \ zapisi \ *
Za bolju sigurnost ovih podataka, preporuča se napraviti sigurnosnu kopiju u pristupačnoj sigurnoj pohrani prije izvođenja prijenosa.
Zatim spremamo trenutnu bazu podataka statistike korisnika. Sve ove informacije koncentrirane su u datoteci baze podataka Firebird koja se nalazi u mapi
% programskih datoteka% \ kerio \ winroute firewall \ zvijezda \ podaci \
Odatle nam treba samo datoteka star.fdb. Za najbolje očuvanje ovih podataka, preporuča se da napravite sigurnosnu kopiju u pristupačnoj sigurnoj pohrani prije izvođenja prijenosa.
Nakon što smo pronašli i spremili sve potrebne podatke, moramo ih prenijeti na novi poslužitelj pokrenuti Kerio Control Appliance, za to, prva stvar koju trebate učiniti za prijenos prethodno spremljenih podataka u Kerio Control Appliance je omogućiti SSH poslužitelj za obavljanje SFTP pristupa. Da biste to učinili, u web sučelju administracije Kerio Control idite na izbornik Status -> Status sustava, pritisnite i držite tipku “Shift” i kliknite na “ Radnje". Na padajućem popisu odaberite stavku " Omogućite SSH", Potvrdite svoje radnje slaganjem s pitanjem u prozoru koji se pojavi.
Nakon toga morate biti sigurni da ste u prometnim pravilima Kerio Control dopustili pristup hostu Kerio Control Appliancea tako da SSH protokol s lokacije koju želite.
Nakon što ste omogućili SSH i omogućili odgovarajući pristup, trebate se spojiti na poslužitelj Kerio Control Appliance kako biste na njega preuzeli potrebne podatke protokola i korisničku statistiku. Za to ćemo koristiti WinSCP aplikaciju koja omogućuje SFTP veze.
Da biste se spojili na poslužitelj Kerio Control Appliance, morate navesti korisničko ime i lozinku za pristup, jer korisničko ime specificira naziv “root” (bez navodnika); kao lozinku navedite lozinku ugrađene Kerio Control račun"Admin".
Parametri sFTP veze s Kerio Control poslužiteljem 
Nakon uspostavljanja veze, svoje podatke trebate smjestiti u određene mape poslužitelja. Datoteke dnevnika moraju se kopirati u mapu / var / winroute / logs, i datoteku korisničke statistike u mapu / var / winroute / zvijezda / podaci, dok se stare datoteke moraju ili izbrisati ili preimenovati.
Bilješka: Bolje je preimenovati stare datoteke za spremanje sigurnosna kopija trenutni podaci. U slučaju datoteka dnevnika aplikacije, trebate samo preimenovati stare datoteke s nastavkom * .log
Nakon dovršetka kopiranja, morate ponovno pokrenuti uslugu Kerio Control. Da biste to učinili, morate dobiti izravan pristup poslužitelju Kerio Control Appliance. U slučaju Softverskog uređaja, pristup je putem monitora i tipkovnice samog poslužitelja na kojem je instaliran Kerio Control Software Appliance. U slučaju virtualnog modula Kerio Control, pristup je putem konzole odgovarajućeg virtualizacijskog okruženja. U svim ostalim aspektima radnje će biti iste.
Za prebacivanje s pseudografske konzole na sučelje naredbeni redak, pritisnite kombinaciju tipki "Alt-F2". U pozivu za unos korisničkog imena unesite naziv “root” (bez navodnika), pritisnite “enter”, u polje za lozinku unesite lozinku za “Admin” račun ugrađen u Kerio Control.
Bilješka: potrebno je uzeti u obzir da u OS-u Linux obitelj unos lozinke se ne prikazuje čak ni ikonama zvjezdice, a ako ste pogriješili, neće se moći ispraviti - morat ćete ponovno unijeti lozinku.
U naredbenom retku unesite sljedeće:
/etc/boxinit.d/60winroute ponovno pokretanje
Ova naredba će ponovno pokrenuti Kerio Control demon (uslugu), nakon čega će Kerio Control "pokupiti" prethodno kopirane zapisnike aplikacije i podatke korisničke statistike.
Nakon pokretanja Kerio Control demona, trebate provjeriti integritet prenesenih podataka, za to možete koristiti web sučelje korisničke statistike i/ili web sučelje administracije aplikacije Kerio Control.
Ako je sve u redu sa svim podacima, onda prijelaz na nova platforma Kerio Control Appliance je završen i preostaje samo dovršiti redovitu proceduru ažuriranja Kerio Controla na trenutnu verziju. Ako s nekim dijelom podataka "nije sve u redu", postoje dvije mogućnosti:
1) provjerite jesu li podaci preuzeti s izvornog Kerio Control (KWF) poslužitelja u početku bili u redu;)
2) ako je sve u redu s početnim podacima, onda je potrebno ponoviti postupak prijenosa onog dijela podataka s kojim je bilo problema.
3) ako su rješenja iz st. 1 i 2 nisu pomogli, onda ostavite komentar ovdje, pokušajmo zajedno shvatiti :)
Sada kada su svi važni podaci na mjestu, možete "povući" verziju Kerio Control Appliancea na trenutnu. Proces redovitog ažuriranja može se odvijati na dva načina, u automatskom i ručnom načinu rada.
Način automatskog ažuriranja verzije.
Kerio Control može automatski provjeriti ima li novih verzija na Kerio mjestu ažuriranja.
- Dodatne opcije ", u" provjeravanje ažuriranja»
- Omogući opciju " Povremeno provjeravajte nove verzije". Kerio Control će provjeravati ima li novih verzija svaka 24 sata. Čim se utvrdi dostupnost nove verzije, na kartici " provjeravanje ažuriranja“Bit će prikazana poveznica za preuzimanje ažuriranja. Da biste odmah provjerili ima li ažuriranja, kliknite na " Provjeri sada»
- Ako želite preuzeti ažurirane verzije odmah nakon što se pronađu, omogućite opciju “ Automatski preuzimajte nove verzije". Čim se nova verzija učita, primit ćete odgovarajuću obavijest u web sučelju administracije.
- Nakon preuzimanja ažuriranja kliknite na " Ažurirati sada»
- Potvrdite svoju namjeru da ažurirate i izvršite naknadno automatsko ponovno pokretanje Kerio Controla
- Pričekajte dok se instalacija nove verzije ne završi i Kerio Control se ponovno pokrene.
- Ažuriranje je završeno.
Ručni mod ažuriranja verzije.
Ovaj način ažuriranja može biti koristan u sljedećim okolnostima:
- Vratite se na prethodnu verziju Kerio Controla
- Nadogradite na srednju ili neobičnu verziju (na primjer, zatvoreno Beta izdanje).
- Ažurirajte pristupnik ako je dostupan maksimalna ograničenja kako bi ITU pristupio internetskim resursima.
Da biste izvršili ažuriranje u ručnom načinu rada, morate preuzeti posebnu sliku (Upgrade Image) sa stranice za preuzimanje Kerio Control (http://www.kerio.ru/support/kerio-control).
Nakon preuzimanja, slijedite ove korake:
- U web sučelju administracije idite na stavku izbornika " Dodatne opcije", u" provjeravanje ažuriranja»
- Klikni na " Izbor»
- Odredite mjesto datoteke slike nadogradnje (kerio-control-upgrade.img)
- Klikni na " Preuzmite datoteku za ažuriranje verzije»
- Nakon preuzimanja kliknite na " Pokreni ažuriranje verzije»
- Pričekajte ažuriranje verzije i ponovno pokretanje Kerio Controla
- Ažuriranje je završeno.
Voila, imate potpuni internetski pristupnik baziran na Kerio Control Applianceu! Čestitamo na završetku migracije na UTM Kerio Control!
U anketi mogu sudjelovati samo registrirani korisnici.
O proučavanju proizvoda tvrtke Kerio Technologies, koja proizvodi razne zaštitne softverska rješenja, za mala i srednja poduzeća. Prema službenim stranicama tvrtke, njezine proizvode koristi više od 60.000 tvrtki diljem svijeta.
SEC Consult je otkrio mnoge ranjivosti u Kerio Controlu, UTM rješenju tvrtke koje kombinira funkcije vatrozida, usmjerivača, IDS/IPS, antivirusnog pristupnika, VPN-a i još mnogo toga. Istraživači su opisali dva scenarija napada koji omogućavaju napadaču ne samo da preuzme kontrolu nad Kerio Controlom, već i korporativna mreža da proizvod mora štititi. Iako su programeri već objavili popravke za većinu pronađenih bugova, istraživači napominju da je još uvijek moguće implementirati jedan od scenarija napada.
Prema istraživačima, Kerio Control rješenja su ranjiva zbog nesigurnosti koristeći PHP unserialize funkcije i također zbog upotrebe stara verzija PHP (5.2.13), u kojem su već otkriveni ozbiljni problemi. Stručnjaci su također otkrili niz ranjivih PHP skripti koje omogućuju XSS i CSRF napade i zaobilaze ASLR zaštitu. Osim toga, prema SEC Consultu, web poslužitelj radi s root privilegijama i nedostaje mu zaštita od brute-force napada i kršenja integriteta informacija u memoriji.
Dijagram prvog scenarija napada
Prvi scenarij napada koji su opisali stručnjaci uključuje iskorištavanje nekoliko ranjivosti odjednom. Napadač će morati koristiti društveni inženjering i namamiti žrtvu na zlonamjernu stranicu koja će ugostiti skriptu koja mu omogućuje da sazna internu IP adresu Kerio Controla. Napadač tada mora iskoristiti CSRF bug. Ako žrtva nije prijavljena na Kerio Control Control Panel, napadač može koristiti uobičajenu grubu silu za bruteforce vjerodajnice. To zahtijeva XSS ranjivost kako bi se zaobišla SOP zaštita. Zatim možete zaobići ASLR i upotrijebiti stari PHP bug (CVE-2014-3515) za pokretanje ljuske kao root. Zapravo, napadač tada prima puni pristup na mrežu organizacije. Video ispod prikazuje napad na djelu.
Drugi scenarij napada uključuje iskorištavanje RCE ranjivosti koja je povezana s funkcijom ažuriranja Kerio Control i koju je prije više od godinu dana otkrio jedan od zaposlenika SEC Consulta. Stručnjaci predlažu korištenje ovog buga, koji omogućuje daljinsko izvršavanje proizvoljnog koda, u kombinaciji s XSS ranjivosti, što vam omogućuje proširenje funkcionalnosti napada.
Stručnjaci Kerio Technologies obaviješteni su o problemima krajem kolovoza 2016. Na ovaj trenutak tvrtka je objavila Kerio Control 9.1.3, gdje je većina ranjivosti popravljena. Međutim, tvrtka je odlučila ostaviti root privilegije web poslužitelju, i to bez popravljanja, dok RCE bug povezan s funkcijom ažuriranja ostaje.
Zašto je to potrebno?
Proizvodi Kerio verzije 7 sadrže nekoliko dodatnih (novih) modula: ugrađeni antivirusni program Sophos umjesto uobičajenog McAfee Modul za sprječavanje upada frkni ... Osim toga, ima ih dodatne mogućnosti- korištenjem vanjskih antivirusnih dodataka, na primjer. Sve to zahtijeva redovita ažuriranja, a proizvođač ne pruža takvu priliku :)
Postoji samo jedan način - da sami ažurirate sve ove module i potrebne informacije za njih, dodajući odgovarajuće obrađene podatke u Kerio proizvode. Problem nije u pronalaženju izvora za takve informacije, već u tome što format njihove prezentacije odgovara nekim standardima definiranim ili Kerio proizvodima, ili načinom obrade primljenih podataka. Budući da apsolutno svi moduli koriste protokol za svoje ažuriranje http (https ), trebate izraditi web stranicu strukturiranu na određeni način, s koje će Kerio proizvod pripremljen za to dobiti ažuriranje.
Što je za to potrebno?
Zapravo, web poslužitelj, bilo koje konfiguracije, vrste i lokacije - svi zahtjevi za njega su tipični, bez obzira na OS. Pojednostavit ćemo zadatak što je više moguće - koristimo ugrađene mogućnosti operativnog sustava Windows, tj. IIS bilo koje verzije ( ovdje se razmatra IIS7).
Izradit ćemo ogledalo za sljedeće proizvode: WebFilter, McAfee, Sophos, Snort i ClamAV.
Nekoliko pojašnjenja - ažuriranja za antivirus McAfee i ClamAV nalaze se na stabilnim vezama i u principu im zrcalo nije toliko potrebno. Međutim, postoje zatvoreni sustavi u kojima pristup nije omogućen svim internetskim resursima, za takve je sustave ogledalo neophodno - može se napuniti s USB flash pogona.
Bilo je moguće uključiti antivirusni program u broj proizvoda u ogledalu Avast! - to se ne radi samo zato što korištenje ovog antivirusa pretpostavlja prisutnost poslužiteljska licenca, a takav se program ažurira samostalno. Tehnički napraviti ogledalo za Avast! lako i m. bit će učinjeno uskoro.
Snort ažuriranja - besplatni su i uvijek dostupni, jedini problem je što se ta ažuriranja moraju obraditi prema pravilima koja Kerio koristi.
Ažuriranja za Sophos potrebno je tražiti na internetu i takvi izvori postoje, ali su nestabilni u pogledu formata prikaza podataka, ažuriranja i integriteta.
Gdje da počnemo?
Uz stvaranje potrebne strukture datoteka za pohranjivanje podataka. Kreirajmo ga na fizičkom (ili virtualnom) računalu koje će ugostiti naš web poslužitelj.
Ova struktura je jednostavna (opet, radi jednostavnosti, koristimo opis dat u jednom od uslužnih programa, koji ćemo kasnije koristiti,):
Osim toga, napravit ćemo mapu za smještaj naših skripti i međurezultata - c: \ autoit.
Sada postavimo web poslužitelj (pretpostavlja se da je njegova instalacija za čitatelja jednostavna). Koristimo zadanu stranicu kreiranu tijekom instalacije, koja će se nalaziti na c: \ inetpub \ wwwroot. Što mijenjamo u postavkama:
1. Dodajte tri imena vezama web-mjesta(sva imena su uvjetna, važan je njihov format) za http protokol - updater, antivirus-updater.MyLocalDomain.ru i kao ime - IP- adresa računala je 172.16.101.1, koju će klijenti koristiti za ažuriranje na svim mrežnim adresama.
Zašto tako: adresa imenom program za ažuriranje zahtijeva odgovarajući DNS zapis, što nije uvijek moguće. Osim toga, 64-bitne verzije Kerio ne obrađuju ispravno DNS odgovore kratkim nazivima, pa ćemo, gdje je to moguće, koristiti kao naziv IP- adresa web poslužitelja. dugo Naziv domene mora se koristiti u verzijama KCONTROL 7.1.1 i KCONNECT 7.1.4 - naziv mora imati 23 znaka, uključujući točke, ili više. Naravno, imena se mogu birati prema vlastitom ukusu.
Za ažuriranja Kerio proizvoda koristi se protokol https ... Zakrpa može ukloniti takvo vezanje kada se izravno specificira protokol, na primjer za WebFilter - http: // ažuriranje,međutim za knjižnicu Sophos autor nije predvidio takvu priliku, ostavljajući samo nama HTTPS je protokol, stoga ćemo ga u vezama stranice naznačiti bilo kojim certifikatom koji nam sustav ponudi.
2. Dodajte MIME- vrste za stranicu. Sve dodane vrijednosti moraju biti tipa tekst \ običan.
Morate dodati sljedeće vrijednosti:
McAfee: .log .bof .gem .msc .ini .pdb .so .nrc
Šmrkati: .pravila .db
Sophos: .ver .vdb .dat .ide .list .php
ClamAv: .cvd .cld
3. Dodajte mapiranje modula za datoteke rukovaocima događaja web-mjesta.pravila sličan onom određenom za događaj
StaticFile - StaticFileModule, DefaultDocumentModule, DirectoryListingModule,
svakako uključite ograničenje zahtjeva za datoteku \ direktorij. Zovemo to kako god želimo.
4. U filtriranju zahtjeva za web mjesto izbrišite unos za vrstu datoteke* .pravila.
5. Na stranici stvaramo virtualne direktorije s vezom na prethodno kreirane strukturu datoteke i omogućiti pregled sadržaja direktorija (lakše, ali netočnije - cijela stranica):
Sve - kreirana je stranica za ažuriranje Kerio proizvoda. Provjeravamo njegovu dostupnost preko mreže otvaranjem potrebnih direktorija u pregledniku - http: // updater / snort ili http://172.16.101.1/sophos ili http://antivirus-updater.MyLocalDomain.ru/clamav
Trebali bi se otvoriti prazni imenici.
Još jednom o nazivu stranice: za svaki proizvod može se koristiti vlastiti naziv, izbor ovisi o verziji proizvoda, bitnosti OS-a, postavkama DNS-a. Naziv se bira prilikom krpanja određenog proizvoda i ne ovisi o web poslužitelju i njegovim postavkama - mora se uzeti u obzir u vezama.
Sada se radi o popunjavanju stranice. Svaki od proizvoda bit će ažuriran prema vlastitoj shemi. c korištenjem neovisnih softverskih alata i skripti koje automatiziraju ovaj proces, pa ćemo ih razmotriti zasebno.
Ova tehnika je osnova trenutnog poslužitelja ažuriranja -.
Poslužitelj je u potpunosti konfiguriran za korištenje kao izvor ažuriranja za sve komponente Kerio Control i Kerio Connect: Sophos, McAfee
