Zašto je to potrebno?
Proizvodi Kerio verzije 7 sadrže nekoliko dodatnih (novih) modula: ugrađeni antivirusni program Sophos umjesto uobičajenog McAfee Modul za sprječavanje upada frkni ... Osim toga, tu su i neke dodatne značajke - korištenje vanjskih antivirusnih dodataka, na primjer. Sve to zahtijeva redovita ažuriranja, a proizvođač ne pruža takvu priliku :)
Postoji samo jedan način - da sami ažurirate sve ove module i potrebne informacije za njih, dodajući odgovarajuće obrađene podatke u Kerio proizvode. Problem nije u pronalaženju izvora za takve informacije, već u tome što format njihove prezentacije odgovara nekim standardima definiranim ili Kerio proizvodima, ili načinom obrade primljenih podataka. Budući da apsolutno svi moduli koriste protokol za svoje ažuriranje http (https ), trebate izraditi web stranicu strukturiranu na određeni način, s koje će Kerio proizvod pripremljen za to dobiti ažuriranje.
Što je za to potrebno?
Zapravo, web poslužitelj, bilo koje konfiguracije, vrste i lokacije - svi zahtjevi za njega su tipični, bez obzira na OS. Pojednostavit ćemo zadatak što je više moguće - koristimo ugrađene mogućnosti operativnog sustava Windows, tj. IIS bilo koje verzije ( ovdje se razmatra IIS7).
Izradit ćemo ogledalo za sljedeće proizvode: WebFilter, McAfee, Sophos, Snort i ClamAV.
Nekoliko pojašnjenja - ažuriranja za antivirus McAfee i ClamAV nalaze se na stabilnim vezama i u principu im zrcalo nije toliko potrebno. Međutim, postoje zatvoreni sustavi u kojima pristup nije omogućen svim internetskim resursima, za takve je sustave ogledalo neophodno - može se napuniti s USB flash pogona.
Bilo je moguće uključiti antivirusni program u broj proizvoda u ogledalu Avast! - to se ne radi samo zato što korištenje ovog antivirusa pretpostavlja prisutnost poslužiteljska licenca, a takav se program ažurira samostalno. Tehnički napraviti ogledalo za Avast! lako i m. bit će učinjeno uskoro.
Snort ažuriranja - besplatni su i uvijek dostupni, jedini problem je što se ta ažuriranja moraju obraditi prema pravilima koja Kerio koristi.
Ažuriranja za Sophos potrebno je tražiti na internetu i takvi izvori postoje, ali su nestabilni u pogledu formata prikaza podataka, ažuriranja i integriteta.
Gdje da počnemo?
Uz stvaranje potrebne strukture datoteka za pohranjivanje podataka. Kreirajmo ga na fizičkom (ili virtualnom) računalu koje će ugostiti naš web poslužitelj.
Ova struktura je jednostavna (opet, radi jednostavnosti, koristimo opis dat u jednom od uslužnih programa, koji ćemo kasnije koristiti,):
Osim toga, napravit ćemo mapu za smještaj naših skripti i međurezultata - c: \ autoit.
Sada postavimo web poslužitelj (pretpostavlja se da je njegova instalacija za čitatelja jednostavna). Koristimo zadanu stranicu kreiranu tijekom instalacije, koja će se nalaziti na c: \ inetpub \ wwwroot. Što mijenjamo u postavkama:
1. Dodajte tri imena vezama web-mjesta(sva imena su uvjetna, važan je njihov format) za http protokol - updater, antivirus-updater.MyLocalDomain.ru i kao ime - IP- adresa računala je 172.16.101.1, koju će klijenti koristiti za ažuriranje na svim mrežnim adresama.
Zašto tako: adresa imenom program za ažuriranje zahtijeva odgovarajući DNS zapis, što nije uvijek moguće. Osim toga, 64-bitne verzije Kerio ne obrađuju ispravno DNS odgovore kratkim nazivima, pa ćemo, gdje je to moguće, koristiti kao naziv IP- adresa web poslužitelja. Dugi naziv domene mora se koristiti u verzijama KCONTROL 7.1.1 i KCONNECT 7.1.4 - naziv mora imati 23 znaka, uključujući točke, ili više. Naravno, imena se mogu birati prema vlastitom ukusu.
Za ažuriranja Kerio proizvoda koristi se protokol https ... Zakrpa može ukloniti takvo vezanje kada se izravno specificira protokol, na primjer za WebFilter - http: // ažuriranje,međutim za knjižnicu Sophos autor nije predvidio takvu priliku, ostavljajući samo nama HTTPS je protokol, stoga ćemo ga u vezama stranice naznačiti bilo kojim certifikatom koji nam sustav ponudi.
2. Dodajte MIME- vrste za stranicu. Sve dodane vrijednosti moraju biti tipa tekst \ običan.
Morate dodati sljedeće vrijednosti:
McAfee: .log .bof .gem .msc .ini .pdb .so .nrc
Šmrkati: .pravila .db
Sophos: .ver .vdb .dat .ide .list .php
ClamAv: .cvd .cld
3. Dodajte mapiranje modula za datoteke rukovaocima događaja web-mjesta.pravila sličan onom određenom za događaj
StaticFile - StaticFileModule, DefaultDocumentModule, DirectoryListingModule,
svakako uključite ograničenje zahtjeva za datoteku \ direktorij. Zovemo to kako god želimo.
4. U filtriranju zahtjeva za web mjesto izbrišite unos za vrstu datoteke* .pravila.
5. Na stranici stvaramo virtualne direktorije s vezom na prethodno kreirane strukturu datoteke i omogućiti pregled sadržaja direktorija (lakše, ali netočnije - cijela stranica):
Sve - kreirana je stranica za ažuriranje Kerio proizvoda. Provjeravamo njegovu dostupnost preko mreže otvaranjem potrebnih direktorija u pregledniku - http: // updater / snort ili http://172.16.101.1/sophos ili http://antivirus-updater.MyLocalDomain.ru/clamav
Trebali bi se otvoriti prazni imenici.
Još jednom o nazivu stranice: za svaki proizvod može se koristiti vlastiti naziv, izbor ovisi o verziji proizvoda, bitnosti OS-a, postavkama DNS-a. Naziv se bira prilikom krpanja određenog proizvoda i ne ovisi o web poslužitelju i njegovim postavkama - mora se uzeti u obzir u vezama.
Sada se radi o popunjavanju stranice. Svaki od proizvoda bit će ažuriran prema vlastitoj shemi. c koristeći samostalne softverski alati i skripte koje automatiziraju ovaj proces, pa ćemo ih razmotriti zasebno.
Ova tehnika je osnova trenutnog poslužitelja ažuriranja -.
Poslužitelj je u potpunosti konfiguriran za korištenje kao izvor ažuriranja za sve komponente Kerio Control i Kerio Connect: Sophos, McAfee
Put do arhive prikazan je na sljedećim slikama:
Pretpostavimo da prelazite s najnovijeg KWF 6.7.1, a vaš cilj je pokrenuti Kerio Control Appliance 8.3 ( Trenutna verzija prijave za travanj 2014.)
Glavna "poteškoća" prijelaza na u ovom slučaju postoji potreba za izvođenjem ne izravne nadogradnje s KWF 6.7.1 na Kerio Control 8.3, već uzastopnog prijelaza na neke "glavne" verzije. Ova potreba zbog uključivanja u konfiguracijske datoteke ove "glavne" verzije nekih značajki koje zahtijevaju naknadnu obradu nakon instaliranja aplikacije.
Za nadogradnju s KWF 6.7.1 na Kerio Control 8.3, morat ćete dovršiti sljedeće korake nadogradnje:
1. Nadogradite na verziju Kerio Control 7.0.0
2. Nadogradite na verziju Kerio Control 7.1.0
3. Nadogradite na verziju Kerio Control 7.4.2 ( Završna verzija za Windows)
Potrebne distribucije možete preuzeti iz naše arhive izdanja.
Sam proces nadogradnje od verzije do verzije je normalna instalacija nova verzija"Preko" starog. Instalater će se automatski isključiti usluga sustava Kerio Control (Kerio Winroute Firewall), odredit će instalacijski direktorij Trenutna verzija Kerio Control (Kerio Win-route Firewall) i zamijenit će datoteke aplikacija koje zahtijevaju ažuriranje; Datoteke dnevnika aplikacije i korisničke konfiguracijske datoteke ostaju nepromijenjene. Konfiguracijske datoteke bit će spremljene u poseban direktorij "UpgradeBackups" koji se nalazi u korijenu% programmfiles% \ Kerio \ direktorija.
Video isječak redovnog procesa ažuriranja:
Ići najnoviju verziju sustava Windows Kerio Control 7.4.2 bit će posljednji korak ažuriranja unutar ove platforme. Sljedeće faze tranzicije su priprema platforme Appliance, migracija konfiguracije, baze podataka dnevnika i korisničke statistike.
Prelazak na platformu uređaja.
U ovom ćemo odjeljku razmotriti opcije za implementaciju različitih distribucija Kerio Control Appliancea.
Instaliranje softvera Aparat
Ova verzija instalacijskog paketa može se implementirati na sljedeće načine:
- ISO slika može se snimiti na fizički CD ili DVD medij, koji se kasnije mora koristiti za instalaciju Kerio Control na fizički ili virtualni host.
- U slučaju korištenja virtualnih računala, ISO slika se može spojiti kao virtualni CD/DVD-ROM za instalaciju s njega, bez potrebe za pisanjem na fizički medij.
- ISO slika se može snimiti USB flash pogon i instalirajte iz njega. Za upute pogledajte povezani članak (kb.kerio.com/928) u našoj bazi znanja.
Instalacija VMware virtualnog uređaja
Da biste instalirali Kerio Control VMware Virtual Appliance na razne alate za virtualizaciju iz VMwarea, koristite odgovarajuću verziju distribucijskog kompleta Kerio Control VMware Virtual Appliance:
Za VMware Server, Workstation, Player, Fusion koristite komprimiranu (*. Zip) VMX datoteku:
Instalacija virtualnog modula u VMware player 
- Za VMware ESX / ESXi / vSphere Hypervisor upotrijebite posebnu OVF vezu za uvoz virtualnog modula, koji izgleda ovako:
VMware ESX / ESXi automatski će učitati OVF konfiguracijsku datoteku i odgovarajuću sliku virtualnog tvrdog diska (.vmdk)
Prilikom korištenja OVF formata potrebno je uzeti u obzir sljedeće aspekte:
- Vremenska sinkronizacija s virtualizacijskim poslužiteljem onemogućena je u virtualnom modulu Kerio Control. Međutim, Kerio Control ima ugrađene alate za sinkronizaciju vremena s javnim mrežnim izvorima vremena na internetu. Stoga je korištenje sinkronizacije između virtualnog stroja i virtualizacijskog poslužitelja neobavezno.
- Zadaci "gašenje" i "ponovno pokretanje" virtualnog stroja bit će postavljeni na "zadane" vrijednosti. Mogućnost postavljanja ovih vrijednosti na način rada "prisilno" isključivanje i "prisilno" ponovno pokretanje je sačuvana, međutim, ove opcije isključivanja i ponovnog pokretanja mogu uzrokovati gubitak podataka u virtualnom modulu Kerio Control. Virtualni modul Kerio Control podržava tzv. "Soft" shutdown i "soft" reboot, koji omogućuju isključivanje ili ponovno pokretanje gostujućeg OS-a na ispravan način, stoga se preporučuje korištenje zadanih vrijednosti.
Instaliranje virtualnog uređaja (ovf) u VMware vSphere 
Instalacija Virtual Uređaj za Hyper-V
- Preuzmite komprimirani (*.zip) distribucijski kit, raspakirajte ga u željenu mapu.
- Napravite novi virtualni stroj, odaberite opciju "Koristi postojeći virtualni tvrdi disk", navodeći datoteku koja je raspakirana iz preuzete arhive kao sliku diska
Instalacija virtualnog modula u MS Hyper-V
Sljedeći važna točka priprema za prijelaz na platformu Appliance, ispravna konfiguracija je mrežna sučelja na platformi po vašem izboru.
Konfiguriranje mrežnih sučelja u softverskom uređaju
Pseudografsko sučelje Kerio Control Software Appliancea pruža mogućnost konfiguriranja IP adresa / više adresa u statičkom ili dinamičkom načinu rada, kreiranja VLAN sučelja i konfiguriranja sučelja u PPPoE načinu.
Bilješka: Početna konfiguracija mrežnih sučelja u samoj distribuciji Kerio Control Software Appliance identična je za sve sklopove Kerio Control Appliancea, jedine razlike su u konfiguraciji virtualnih mrežnih sučelja u raznim virtualizacijskim okruženjima gdje se Kerio Control može koristiti.
Priprema virtualnih mrežnih sučelja u Hyper-V
Da biste dovršili ispravnu i minimalno potrebnu konfiguraciju Hyper-V virtualnog prekidača, morat ćete dovršiti sljedeće korake:
Mapiranje fizičkih i virtualnih mrežnih sučelja 
Provjera prisutnosti usluge virtualnog mosta na fizičkim mrežnim sučeljima poslužitelja 
Za upoznavanje s opcijom brzo postavljanje mrežna sučelja Virtualni uređaj Kerio Control Hyper-V pogledajte sljedeći videoisječak:
Omogućavanje virtualnih mrežnih sučelja u VMware vSphere
Približno isti lanac radnji je i u slučaju pripreme virtualnih mrežnih sučelja u vSphere.
Napravite više virtualnih prekidača, broj ovisi o vašim komunikacijskim potrebama virtualne mreže. 
Stvaranje virtualnog prekidača u VMware vSphere 
Stvaranje virtualnog prekidača u VMware vSphere 
Dodavanje odgovarajućih fizičkih mrežnih sučelja virtualnim prekidačima tako da fizički LAN poduzeća može komunicirati s njima 
Mapiranje kreiranih virtualnih prekidača s virtualnim mrežnim sučeljima Kerio Control VMware Virtual Appliance 
Nakon što je sklop uređaja postavljen i konfigurirana su mrežna sučelja, možete nastaviti s prijenosom glavne korisničke konfiguracije sa svog Windows verzija Kerio Control.
Sam proces prijenosa konfiguracije sastoji se od dva koraka:
Spremanje trenutne konfiguracije pomoću pomoćnika za konfiguraciju
Prilikom spremanja konfiguracije preporuča se zapamtiti ili bolje zapisati MAC adrese vaših trenutnih mrežnih sučelja i njihovu korespondenciju s korištenim IP adresama. To će biti potrebno prilikom vraćanja konfiguracije na nova instalacija Kerio kontrolni uređaj.
Proces spremanja konfiguracije prikazan je na slikama ispod:
Nakon ovog koraka, spremili ste arhivu koja uključuje sve korisničke konfiguracijske datoteke trenutne verzije Kerio Controla.
Sljedeći korak je vraćanje prethodno spremljene konfiguracije na uređaj. Prilikom vraćanja konfiguracije, pomoćnik za konfiguraciju će ponuditi mapiranje konfiguracije starih mrežnih sučelja na nova koja se koriste na poslužitelju Kerio Control Appliance.
Bilješka: Upravo je to trenutak kada trebate informacije o MAC i IP adresama sa starog poslužitelja, koje ste zapisali ili zapamtili prilikom spremanja konfiguracije na stari.
Proces vraćanja konfiguracije prikazan je na slikama ispod:
Za spremanje konfiguracije izvršit će se poslužitelj Kerio Control Appliance automatsko ponovno pokretanje, nakon čega se može koristiti.
I tu zabava počinje! Ono što ćete pročitati u nastavku nije opisano ni u jednoj službenoj ili neslužbenoj dokumentaciji, t.j. ovdje će biti postavljeno nekoliko prihvatljivih "live hackova", čija će vam upotreba pomoći u tome važan proces, prijelaz na platformu Appliance Kerio Control.
I kao i obično, prije nego što prijeđemo na izravan opis, uobičajeno "odricanje od odgovornosti":
VAŽNO: Dolje opisani postupak nije dokumentirana opcija, stoga, kako biste izbjegli neželjene posljedice, prije nego što počnete s prijenosom podataka, napravite potpunu sigurnosnu kopiju kopiranjem podataka u sigurnu pohranu.
I tako idemo! Prvo, spremimo trenutnu bazu podataka aplikacijskih protokola. Da biste to učinili, morate spremiti datoteke dnevnika koje se nalaze na navedenom putu.
% programskih datoteka% \ kerio \ winroute firewall \ zapisi \ *
Za bolju sigurnost ovih podataka, preporuča se napraviti sigurnosnu kopiju u pristupačnoj sigurnoj pohrani prije izvođenja prijenosa.
Zatim spremamo trenutnu bazu podataka statistike korisnika. Sve te informacije koncentrirane su u datoteci baze podataka podaci o vatrenoj ptici nalazi u mapi
% programskih datoteka% \ kerio \ winroute firewall \ zvijezda \ podaci \
Odatle nam treba samo datoteka star.fdb. Za najbolje očuvanje ovih podataka, preporuča se da napravite sigurnosnu kopiju u pristupačnoj sigurnoj pohrani prije izvođenja prijenosa.
Nakon što smo pronašli i spremili sve potrebne informacije, moramo ih prenijeti na novi poslužitelj na kojem radi Kerio Control Appliance, a za to prvo što trebate učiniti za prijenos prethodno spremljenih podataka u Kerio Control Appliance je omogućiti SSH poslužitelj za obavljanje SFTP pristupa. Da biste to učinili, u web sučelju administracije Kerio Control idite na izbornik Status -> Status sustava, pritisnite i držite tipku “Shift” i kliknite na “ Radnje". Na padajućem popisu odaberite stavku " Omogućite SSH", Potvrdite svoje radnje slaganjem s pitanjem u prozoru koji se pojavi.
Nakon toga morate biti sigurni da ste u prometnim pravilima Kerio Control dopustili pristup hostu Kerio Control Appliancea tako da SSH protokol s lokacije koju želite.
Nakon što ste omogućili SSH i omogućili odgovarajući pristup, trebate se spojiti na poslužitelj Kerio Control Appliance kako biste na njega preuzeli potrebne podatke protokola i korisničku statistiku. Za to ćemo koristiti WinSCP aplikaciju koja omogućuje SFTP veze.
Da biste se spojili na poslužitelj Kerio Control Appliance, morate navesti korisničko ime i lozinku za pristup, jer korisničko ime specificira naziv “root” (bez navodnika); kao lozinku navedite lozinku ugrađene Kerio Control račun"Admin".
Parametri sFTP veze na Kerio Control poslužitelj 
Nakon uspostavljanja veze, svoje podatke trebate smjestiti u određene mape poslužitelja. Datoteke dnevnika moraju se kopirati u mapu / var / winroute / logs, i datoteku korisničke statistike u mapu / var / winroute / zvijezda / podaci, dok se stare datoteke moraju ili izbrisati ili preimenovati.
Bilješka: Bolje je preimenovati stare datoteke kako biste zadržali sigurnosnu kopiju trenutnih podataka. U slučaju datoteka dnevnika aplikacije, trebate samo preimenovati stare datoteke s nastavkom * .log
Nakon dovršetka kopiranja, morate ponovno pokrenuti uslugu Kerio Control. Da biste to učinili, morate dobiti izravan pristup poslužitelju Kerio Control Appliance. U slučaju Softverskog uređaja, pristup je putem monitora i tipkovnice samog poslužitelja na kojem je instaliran Kerio Control Software Appliance. U slučaju virtualnog modula Kerio Control, pristup je putem konzole odgovarajućeg virtualizacijskog okruženja. U svim ostalim aspektima radnje će biti iste.
Za prebacivanje s pseudografske konzole na sučelje naredbeni redak, pritisnite kombinaciju tipki "Alt-F2". U pozivu za unos korisničkog imena unesite naziv “root” (bez navodnika), pritisnite “enter”, u polje za lozinku unesite lozinku za “Admin” račun ugrađen u Kerio Control.
Bilješka: potrebno je uzeti u obzir da se u operacijskom sustavu Linux unos lozinke ne prikazuje čak ni ikonama zvjezdice, a ako ste pogriješili, to neće biti moguće ispraviti - morat ćete ponovno unijeti lozinku.
U naredbenom retku unesite sljedeće:
/etc/boxinit.d/60winroute ponovno pokretanje
Ova naredba će ponovno pokrenuti Kerio Control demon (uslugu), nakon čega će Kerio Control "pokupiti" prethodno kopirane zapisnike aplikacije i podatke korisničke statistike.
Nakon pokretanja Kerio Control demona, trebate provjeriti integritet prenesenih podataka, za to možete koristiti web sučelje korisničke statistike i/ili web sučelje administracije aplikacije Kerio Control.
Ako je sve u redu sa svim podacima, onda se prijelaz na novu Kerio Control Appliance platformu može smatrati završenim i preostaje samo dovršiti redovitu proceduru Kerio ažuriranja Kontrolirajte trenutnu verziju. Ako s nekim dijelom podataka "nije sve u redu", postoje dvije mogućnosti:
1) provjerite jesu li podaci preuzeti s izvornog Kerio Control (KWF) poslužitelja u početku bili u redu;)
2) ako je sve u redu s početnim podacima, onda je potrebno ponoviti postupak prijenosa onog dijela podataka s kojim je bilo problema.
3) ako su rješenja iz st. 1 i 2 nisu pomogli, onda ostavite komentar ovdje, pokušajmo zajedno shvatiti :)
Sada kada su svi važni podaci na mjestu, možete "povući" verziju Kerio Control Appliancea na trenutnu. Proces redovitog ažuriranja može se odvijati na dva načina, u automatskom i ručnom načinu rada.
Način automatskog ažuriranja verzije.
Kerio Control može raditi automatska provjera dostupnost novih verzija na Kerio mjestu ažuriranja.
- Dodatne opcije ", u" provjeravanje ažuriranja»
- Omogući opciju " Povremeno provjeravajte nove verzije". Kerio Control će provjeravati ima li novih verzija svaka 24 sata. Čim se utvrdi dostupnost nove verzije, na kartici " provjeravanje ažuriranja“Bit će prikazana poveznica za preuzimanje ažuriranja. Da biste odmah provjerili ima li ažuriranja, kliknite na " Provjeri sada»
- Ako želite preuzeti ažurirane verzije odmah nakon što se pronađu, omogućite opciju “ Automatski preuzimajte nove verzije". Čim se nova verzija učita, primit ćete odgovarajuću obavijest u web sučelju administracije.
- Nakon preuzimanja ažuriranja kliknite na " Ažurirati sada»
- Potvrdite svoju namjeru da ažurirate i izvršite naknadno automatsko ponovno pokretanje Kerio Controla
- Pričekajte dok se instalacija nove verzije ne završi i Kerio Control se ponovno pokrene.
- Ažuriranje je završeno.
Ručni način ažuriranja verzije.
Ovaj način ažuriranja može biti koristan u sljedećim okolnostima:
- Vratite se na prethodna verzija Kerio kontrola
- Nadogradite na srednju ili neobičnu verziju (na primjer, zatvoreno Beta izdanje).
- Ažurirajte pristupnik ako je dostupan maksimalna ograničenja kako bi ITU pristupio internetskim resursima.
Za izvođenje ažuriranja u ručni mod Morate preuzeti posebna slika(Slika za nadogradnju) sa stranice za preuzimanje Kerio Control (http://www.kerio.ru/support/kerio-control).
Nakon preuzimanja, slijedite ove korake:
- U web sučelju administracije idite na stavku izbornika " Dodatne opcije", u" provjeravanje ažuriranja»
- Klikni na " Izbor»
- Odredite mjesto datoteke slike nadogradnje (kerio-control-upgrade.img)
- Klikni na " Preuzmite datoteku za ažuriranje verzije»
- Nakon preuzimanja kliknite na " Pokreni ažuriranje verzije»
- Pričekajte ažuriranje verzije i ponovno pokretanje Kerio Controla
- Ažuriranje je završeno.
Voila, imate potpuni internetski pristupnik baziran na Kerio Control Applianceu! Čestitamo na završetku migracije na UTM Kerio Control!
U anketi mogu sudjelovati samo registrirani korisnici.
O proučavanju proizvoda tvrtke Kerio Technologies, koja proizvodi razna sigurnosna softverska rješenja za mala i srednja poduzeća. Prema službenim stranicama tvrtke, njezine proizvode koristi više od 60.000 tvrtki diljem svijeta.
SEC Consult je otkrio mnoge ranjivosti u Kerio Controlu, UTM rješenju tvrtke koje kombinira funkcije vatrozida, usmjerivača, IDS/IPS, antivirusnog pristupnika, VPN-a i još mnogo toga. Istraživači su opisali dva scenarija napada koji omogućavaju napadaču ne samo da preuzme kontrolu nad Kerio Controlom, već i nad korporativnom mrežom koju bi proizvod trebao štititi. Iako su programeri već objavili popravke za većinu pronađenih bugova, istraživači napominju da je još uvijek moguće implementirati jedan od scenarija napada.
Prema istraživačima, Kerio Control rješenja su ranjiva zbog nesigurnosti koristeći PHP unserialize funkcije i također zbog upotrebe stara verzija PHP (5.2.13), u kojem su već otkriveni ozbiljni problemi. Stručnjaci su također otkrili niz ranjivih PHP skripti koje omogućuju XSS i CSRF napade i zaobilaze ASLR zaštitu. Osim toga, prema SEC Consultu, web poslužitelj radi s root privilegijama i nedostaje mu zaštita od brute-force napada i kršenja integriteta informacija u memoriji.
Dijagram prvog scenarija napada
Prvi scenarij napada koji su opisali stručnjaci uključuje iskorištavanje nekoliko ranjivosti odjednom. Napadač će morati koristiti društveni inženjering i namamiti žrtvu na zlonamjernu stranicu koja će ugostiti skriptu koja mu omogućuje da sazna internu IP adresu Kerio Controla. Napadač tada mora iskoristiti CSRF bug. Ako žrtva nije prijavljena na Kerio Control Control Panel, napadač može koristiti uobičajenu grubu silu za bruteforce vjerodajnice. To zahtijeva XSS ranjivost kako bi se zaobišla SOP zaštita. Zatim možete zaobići ASLR i upotrijebiti stari PHP bug (CVE-2014-3515) za pokretanje ljuske kao root. Zapravo, napadač tada prima puni pristup na mrežu organizacije. Video ispod prikazuje napad na djelu.
Drugi scenarij napada uključuje iskorištavanje RCE ranjivosti koja je povezana s funkcijom ažuriranja Kerio Control i koju je prije više od godinu dana otkrio jedan od zaposlenika SEC Consulta. Stručnjaci predlažu korištenje ovog buga, koji omogućuje daljinsko izvršavanje proizvoljnog koda, u kombinaciji s XSS ranjivosti, što vam omogućuje proširenje funkcionalnosti napada.
Stručnjaci Kerio Technologies obaviješteni su o problemima krajem kolovoza 2016. Na ovaj trenutak tvrtka je objavila Kerio Control 9.1.3, gdje je većina ranjivosti popravljena. Međutim, tvrtka je odlučila ostaviti root privilegije web poslužitelju, i to bez popravljanja, dok RCE bug povezan s funkcijom ažuriranja ostaje.
Maxim Afanasiev
Sredinom veljače Kerio Technologies je objavio ažuriranje svog vodećeg proizvoda, Kerio Control. Nova verzija Kerio Control 8.5 pruža povećanu sigurnost korisnika kroz integraciju provjere u dva koraka, kao i brojna poboljšanja upotrebljivosti proizvoda. Kerio Control 8.5 ima novi sustav za prosljeđivanje usluge Discovery koji čini mrežnu konfiguraciju fleksibilnom i jednostavnom. Sada udaljenih korisnika može vidjeti, otkriti i povezati se s uređajima kao što su pisači, poslužitelji datoteka i skeneri različite mreže ili Kerio VPN tuneli. Osim toga, u novoj verziji, Kerio je pojednostavio proces instaliranja i ažuriranja tako važne komponente sustava kao što je Kerio VPN klijent. Uz pomoć novog instalacijskog paketa moguće ga je implementirati putem alata proizvođači trećih strana kao što je Apple Remote Desktop ili FileWave. Nova verzija Kerio Control dobila je prošireni skup obavijesti sustava, što će omogućiti brže informiranje administratori sustava O moguće pogreške i problemi. Ali prije svega.
Podsjetimo, Kerio Control je sveobuhvatno sigurnosno rješenje koje kombinira nekoliko funkcija, uključujući vatrozida(vatrozid) i usmjerivač, sustav za otkrivanje i sprječavanje upada (IPS), antivirus, VPN i filter sadržaja. Ove široke mogućnosti i neusporediva fleksibilnost implementacije čine Kerio Control savršen izbor za mala i srednja poduzeća. Budući da smo prije dvije godine već govorili o ovom proizvodu u članku "Kerio Control - Sveobuhvatna mrežna sigurnost", u ovoj recenziji ćemo se fokusirati na inovacije koje su napravljene na ovom proizvodu od Kerio Control 8.5.
Posebno napominjemo da je Kerio već dugo na putu maksimalne integracije sa virtualna okruženja, Zato Novi proizvod Kerio Control 8.5 isporučuje se kao samostalno okruženje: Software Appliance, VMware Virtual Appliance (OVF / VMX) i Hyper-V Virtual Aparat. Za ovu recenziju koristili smo sliku VMware virtualnog uređaja u OVF spremniku za sustav VMware virtualizacija ESXi. Postavljanje ove slike se ne pojavljuje izazovan zadatak: Najvažnije je dobiti link na OVF paket registracijom na Kerio web stranici. Za pregled, administratori dobivaju 30-dnevnu verziju proizvoda bez ikakvih funkcionalnih ograničenja. Vratimo se sada funkcionalnosti nove verzije Kerio Control 8.5.
Autorizacija u dva koraka
"Nastavljamo poboljšavati sigurnost bez žrtvovanja jednostavnosti", rekao je COO i izvršni direktor Kerio Technologies. "Novo izdanje dodaje važne i moćne sigurnosne značajke koje se lako mogu primijeniti na bilo koju mrežu bez značajnih poremećaja u poslovanju."
Dakle, Kerio je u novi proizvod integrirao autorizaciju u dva koraka, što će korisnicima omogućiti povećanje sigurnosti podataka, a administratore osloboditi dodatni problemi vezano za sigurnost provjere autentičnosti korisnika. Kerio Control 8.5 dobio je vrlo traženu identifikaciju korisnika u dva koraka u svijetu, koja se temelji na zahtjevu jednokratni kod pristup sa ograničeno vrijeme radnje (TOTP). Ovaj kod ne zamjenjuje osnovnu autorizaciju korisnika u Kerio Control sustavu, već je samo nadopunjuje, tako da vlasnici poduzeća mogu biti sigurni da mrežni resursi ostat će siguran čak i ako su lozinke u pogrešnim rukama.
Razmotrite implementirani sustav na tipičan primjer... Da bi aktivirao ovu funkciju, administrator mora označiti odgovarajući okvir u izborniku Domains and Authentication. Istovremeno, onemogućivanjem opcije daljinske konfiguracije, administrator će spriječiti korisnike da konfiguriraju provjeru u dva koraka izvana, odnosno s vanjskog sučelja.
Nakon aktiviranja potvrde korisnika u dva koraka, sljedeći put kada se prijavi na Internet ili prilikom pregleda statistike, korisniku će se dati informativni prozor i poveznicu za konfiguriranje autorizacije u dva koraka.
Ako se korisnik prijavljuje na vatrozid s onemogućenom funkcijom daljinske konfiguracije dok je funkcija daljinske konfiguracije onemogućena vanjska mreža, prikazat će se malo drugačiji informacijski prozor koji ne predviđa mogućnost prelaska na postavku provjere u dva koraka.
Nakon što korisnik uđe u ekran za podešavanje ove funkcije, vidjet će mu odgovarajući QR kod i polje u koje je potrebno unijeti kod "šifriran" u ovaj QR kod. Vrijedi napomenuti da je alfanumerički kod ispod QR koda identifikator i ne treba ga zanemariti. Za čitanje QR koda morate koristiti jednu od odgovarajućih aplikacija opisanih na stranici s opisom za ovu funkciju. Kao eksperiment koristili smo aplikaciju Google Authenticator za Android koja je međusobno povezana sa skenerom crtičnog koda (i nju je potrebno instalirati).
Nakon što se QR kod pročita sa zaslona računala, Google Authenticator će automatski generirati odgovarajući kod. U suštini, QR kod sadrži jedinstvenu vezu na odgovarajući kod.
Zatim se kod dobiven u ovoj aplikaciji mora unijeti u odgovarajuće polje na stranici za autorizaciju Kerio Control. Valja napomenuti da se kod stalno mijenja prilično kratko vrijeme, pa ga nema potrebe za pamćenjem. Sve je vrlo jednostavno i brzo. Problemi mogu nastati samo pri radu s aplikacijom iz Windowsa, ali program WinAuth, koji Kerio preporučuje, odlično radi samo s linkom na sliku.
Za administratore, opcija poništavanja potvrde u dva koraka dostupna je za sve korisnike odjednom ili za svakog korisnika pojedinačno. U tom će slučaju ponovno morati proći cijeli gore opisani postupak. Ako se resetiranje nije dogodilo, korisnik pri sljedećem zahtjevu za kodom samo otvara odgovarajuću aplikaciju i upisuje primljeni kod. Više nema potrebe za skeniranjem QR koda.
Općenito, provjera korisnika u dva koraka je još jedan pokušaj zaštite korisnika od raznih uljeza, jer su svi različiti, a mnogi pokušavaju spremiti lozinke bez brige o sigurnosti. Koristeći ovu funkciju, administrator može biti siguran da čak ni krađa korisničke lozinke neće pružiti priliku za pristup internoj korporativnoj mreži ili kritičnim podacima tvrtke.
Sustav za prosljeđivanje poziva usluge Discovery
Nova verzija Kerio Control 8.5 uvodi sustav preusmjeravanja Service Discovery, koji proces postavljanja mreže čini fleksibilnim i jednostavnim. Omogućuje udaljenim korisnicima pregled, otkrivanje i povezivanje s uređajima kao što su pisači, poslužitelji datoteka i skeneri na različitim mrežama ili Kerio VPN tunelima. Service Discovery podržava popularne protokole kao što su mDNS (Apple uređaji), NetBIOS (Microsoft mreža) i SSDP (UPnP). Postavljanje ove funkcije je vrlo jednostavno, samo odaberite potrebne mreže između kojih će se multicast prosljeđivati i aktivirajte ovu funkciju. Da bi kontrolirao rad Service Discovery, administrator ima pristup dodatni unos u datoteku dnevnika. Treba napomenuti da je Service Discovery dostupno samo za Kerio VPN, a usmjeravanje unutar IPsec VPN-a nije podržano, na isti način kao između vanjskih i internih mreža. To je zbog činjenice da je ova funkcija usmjerena na stvaranje punopravne interne mreže poduzeća, distribuirane diljem svijeta.
Kerio VPN
Treba napomenuti da Kerio neprestano nastoji zadovoljiti nove standarde, stoga su za tako važnu komponentu sustava kao što je Kerio VPN, uz ažuriranje 8.5, objavljeni i novi klijenti za Windows, Mac i Linux. Novi instalacijski paket Kerio VPN za Mac OS X računala omogućuje implementaciju putem alata trećih strana kao što su Apple Remote Desktop ili FileWave.
Promijenite MAC adresu
Treba napomenuti malu, ali prilično važnu funkciju za neke administratore sustava. Sada, u svojstvima Ethernet adaptera na administrativnoj ploči, možete promijeniti MAC adresu odgovarajućeg adaptera. Ova vam funkcija omogućuje brzu promjenu MAC adrese ako, na primjer, vanjski mrežni davatelj usluga ima čvrstu MAC vezu.
Osim toga, u ovom dodatku administrator može postaviti MTU za adapter, što je također ponekad potrebno za određene mreže.
Ažurirana funkcija obavijesti
Uz prošireni skup obavijesti putem e-pošte u Kerio Control 8.5, administratori će biti obaviješteni o važnim mrežnim događajima i stanju sustava. Valja napomenuti da se za ovu funkciju pojavio zaseban dodatak koji vam omogućuje vrlo detaljno postavljanje parametara potrebnih obavijesti.
Tako, na primjer, možete konfigurirati slanje obavijesti ne samo administratorima, već i običnim korisnicima. Možda će ova značajka biti vrlo korisna za praćenje korištenja korporativne mreže od strane menadžmenta ili analitičara koji nemaju administratorska prava. Također je vrijedno napomenuti mogućnost pretraživanja događaja u bilo kojem zapisniku pomoću regularnog izraza ili uzorka, što će vam omogućiti da brzo identificirate moguće probleme koje je teško dijagnosticirati u velikoj mreži. Podržano slanje poruka ne samo određene korisnike, ali i na odvojenim poštanski sandučići koji ne smiju biti ni na koji način vezan uz korporativne korisnike. Također implementirana funkcija odgode slanja poruka i postavljanja rasporeda. Općenito, ova bi inovacija trebala imati pozitivan učinak na učinkovitost rješavanja različitih problema.
zaključke
Kerio je, kao i uvijek, oduševio administratore novim značajkama u svom vodećem proizvodu Kerio Control 8.5. Imajte na umu da je ovaj proizvod jednostavno za korištenje, sveobuhvatno rješenje za upravljanje zaštitom od prijetnji korporativnoj mreži. Mogućnosti Kerio Control 8.5 su vrlo široke i omogućuju vam da ga koristite kako u malim ustanovama tako iu velikim i srednjim tvrtkama s distribuiranom mrežom ureda diljem svijeta. Administratori diljem svijeta cijene ovaj proizvod zbog njegovog intuitivnog sučelja za upravljanje i pouzdanosti. Kerio Control 8.5 implementira jedan od bolji sustavi filtriranje internetskog sadržaja, što vam omogućuje da selektivno blokirate, dopustite ili prijavite pristup 141 kategoriji web sadržaja pomoću Kerio Control Web Filter. Na taj način administrator može brzo i učinkovito zaštititi korisnike od posjećivanja zlonamjernih stranica za koje se zna da sadrže viruse i špijunski softver sudjeluju u krađi identiteta ili krađi identiteta.
Licence za glavne Kerio proizvode - Kerio Control i Kerio Connect - nemaju datum isteka. Odnosno, ove proizvode možete koristiti neograničeno vrijeme, ali samo onakvima kakvi su bili u trenutku kupnje. Za primanje ažuriranja verzija, izdanja, antivirusnih baza podataka, kao i za pristup tehničkoj podršci, morate imati ažurnu pretplatu na održavanje softvera (SWM).Cijena nove licence uključuje 1 godinu SWM-a. Nakon godinu dana morat ćete obnoviti SWM pretplatu ili, jednostavnije, obnoviti Kerio licencu. Trošak obnavljanja SWM-a za 1 godinu iznosi 33% trenutne cijene za novi proizvod.
Pozicije u imeniku (imajte riječ SUB u nazivu):
- Kerio Control Server License 5 korisnika SUB 1 godina - SWM obnova za licencu Kerio Control poslužitelja + 5 korisnika
- Dodatak Kerio Control 5 korisnika SUB 1 godina - SWM obnova za dodatnu licencu Kerio Control za 5 korisnika
- Kerio Connect Server License 5 korisnika SUB 1 godina - SWM obnova za Kerio Connect poslužiteljsku licencu + 5 korisnika
- Dodatak za Kerio Connect 5 korisnika SUB 1 godina - SWM obnova za dodatnu korisničku licencu za Kerio Connect 5
Što se tiče dodatnih modula - Sofos antivirus i Web Filter - nakon njihovog isteka, trebate samo kupiti dodatna licenca za potreban broj korisnika još 1 godinu. Za obnovu ovih modula nema popusta.
Često postavljana pitanja o održavanju softvera
Licenca za Kerio softversku podršku daje pristup ažuriranjima proizvoda i sigurnosnim ažuriranjima. Uz valjanu SWM licencu, korisnik može instalirati bilo koju izdanu zakrpu ili verziju Kerio proizvoda.
1. Zašto kupiti SWM licencu?
- Trajna odredba najnovije verzije proizvod.
- Proizvod pruža zaštitu od novootkrivenih sigurnosnih prijetnji.
- Sposobnost korištenja najnovije tehnologije.
- Nema neočekivanih financijskih troškova prilikom objavljivanja novih verzija.
2. Kako funkcionira SWM licenca?
- Nakon prve kupnje licence, SWM licenca se daje na 12 mjeseci od datuma registracije.
- Uz valjanu SWM licencu, nadogradnje verzije proizvoda su besplatne.
- Svoju SWM licencu možete obnoviti na 1 ili 2 godine u bilo kojem trenutku. (FSTEC možda neće certificirati ažuriranja za FSTEC verziju proizvoda.)
- SWM licenca mora biti kupljena i registrirana prije isteka.
- Ako je SWM licenca registrirana nakon njezina isteka, razdoblje SWM-a se produljuje za točno 1 godinu od dana isteka.
- Datum početka SWM licence je datum kada je proizvod izvorno registriran na Kerio web stranici ili putem konzole za administraciju proizvoda.
3. Što se događa ako moja SWM licenca istekne?
- Moći ćete nastaviti koristiti proizvod, ali nećete moći instalirati ažuriranja koja su objavljena nakon isteka vaše SWM licence.
- Sophos antivirus ugrađen u Kerio Connect i Kerio Control proizvode prestat će raditi 60 dana nakon isteka licence za softversku podršku.
- Kerio Web Filter prestat će raditi.
- Mehanizam za otkrivanje upada/sustavi za otkrivanje upada (IPS/IDS) u Kerio Controlu neće primati ažuriranja potpisa pravila.
- Exchange ActiveSync u Kerio Connectu prestat će raditi. (Od 1. svibnja 2013. Kerio Connect će naplaćivati podršku za Exchange ActiveSync.)
- Pristup tehničkoj podršci neće biti omogućen.
- Istekle SWM licence mogu se obnoviti plaćanjem za propuštene godine. Za zaštitu od svih vrsta kibernetičkih prijetnji, uključujući najnovije i najveće zlonamjernog softvera i hakerskih napada, preporučujemo da pravovremeno ažurirate svoju SWM licencu.
- Kada se broj korisnika u licenci poveća, za njih se dobiva SWM licenca dodatni korisnici prije isteka licence SWM poslužitelja.
5. Kako registrirati SWM licencu?
- Nakon kupnje SWM licence, dobit ćete registracijski ključ(i). Ovi ključ(ovi) moraju biti registrirani putem konzole proizvoda ili putem naše web stranice (link). Ako primite jedan registracijski ključ koji odgovara originalu registracijski ključ, unesite ga na prvu stranicu procesa registracije i prođite kroz cijeli proces. Ako primite skup ključeva (od kojih nijedan ne odgovara izvornom ključu), unesite originalni ključ na prvoj stranici procesa registracije i na sljedeća stranica dodajte novokupljene registracijske ključeve.
6. Mogu li prenijeti registriranu licencu na drugi sustav?
- Ponekad je potrebno ažurirati hardver ili promijeniti operativni sustav. Postojeća licenca može se ponovno registrirati na drugom sustavu, a sve potrebne promjene (npr. promjena OS-a) izvršit će se tijekom procesa ponovne registracije. Prije registracije proizvoda na drugom sustavu, morate ili deinstalirati proizvod s prethodnog poslužitelja ili trajno odspojiti sustav s mreže.
