De ce este necesar acest lucru?
Produsele Kerio versiunea 7 conțin mai multe module suplimentare (noi): antivirus încorporat Sophos în loc de cele obişnuite McAfee Modul de prevenire a intruziunilor Sforâie ... În plus, există câteva caracteristici suplimentare - utilizarea de pluginuri antivirus externe, de exemplu. Toate acestea necesită actualizări regulate, iar producătorul nu oferă o astfel de oportunitate :)
Există o singură modalitate - să actualizați singur toate aceste module și informațiile necesare pentru ele, adăugând date procesate corespunzător produselor Kerio. Problema nu constă în găsirea surselor pentru astfel de informații, ci în faptul că formatul de prezentare a acesteia corespunde unor standarde definite fie de produsele Kerio, fie de modul în care sunt prelucrate datele primite. Deoarece absolut toate modulele folosesc protocolul pentru actualizarea lor http (https ), trebuie să creați un site web structurat într-un anumit mod, din care produsul Kerio pregătit pentru aceasta să primească actualizarea.
Ce este nevoie pentru asta?
De fapt, un server web, de orice configurație, tip și locație - toate cerințele pentru acesta sunt tipice, indiferent de sistemul de operare. Vom simplifica sarcina cât mai mult posibil - folosim capabilitățile încorporate ale sistemului de operare Windows, adică IIS din orice versiune ( este considerat aici IIS7).
Vom crea o oglindă pentru următoarele produse: WebFilter, McAfee, Sophos, Snort și ClamAV.
Câteva precizări - actualizări pentru antivirus McAfee și ClamAV sunt situate pe legături stabile și, în principiu, o oglindă nu este atât de necesară pentru ele. Cu toate acestea, există sisteme închise în care accesul nu este oferit la toate resursele de internet; pentru astfel de sisteme, o oglindă este indispensabilă - poate fi completată de pe o unitate flash USB.
A fost posibilă includerea unui antivirus în numărul de produse din oglindă Avast! - acest lucru nu se face doar pentru că utilizarea acestui antivirus presupune prezența licență de server, iar un astfel de program este actualizat independent. Tehnic face o oglindă pentru Avast! usor si m. se va face in curand.
Actualizări Snort - sunt gratuite și întotdeauna disponibile, singura problemă este că aceste actualizări trebuie procesate conform regulilor pe care le folosește Kerio.
Actualizări pentru Sophos este necesar să căutați pe Internet și astfel de surse există, dar sunt instabile în ceea ce privește formatul de prezentare a datelor, actualizarea și integritatea.
De unde începem?
Odată cu crearea structurii de fișiere necesare pentru stocarea datelor. Să-l creăm pe computerul fizic (sau virtual) care va găzdui serverul nostru web.
Această structură este simplă (din nou, pentru simplitate, folosim descrierea dată într-una dintre utilitare, pe care o vom folosi ulterior,):
În plus, vom crea un folder pentru a găzdui scripturile noastre și rezultatele intermediare - c: \ autoit.
Acum să setăm serverul web (se presupune că instalarea acestuia este simplă pentru cititor). Folosim site-ul implicit creat în timpul instalării, care va fi localizat la c: \ inetpub \ wwwroot. Ce schimbăm în setări:
1. Adăugați trei nume la legăturile site-ului(toate numele sunt condiționate, formatul lor este important) pentru protocolul http - updater, antivirus-updater.MyLocalDomain.ru și ca nume - IP- adresa computerului este 172.16.101.1, care va fi folosită de clienții care ascultă pe toate adresele de rețea pentru actualizări.
De ce așa: adresa după nume actualizator necesită o înregistrare DNS corespunzătoare, ceea ce nu este întotdeauna posibil. În plus, versiunile pe 64 de biți ale Kerio nu procesează corect răspunsurile DNS prin nume scurte, așa că vom folosi acolo unde este posibil ca nume IP- adresa serverului web. Numele de domeniu lung trebuie folosit în versiuni KCONTROL 7.1.1 și KCONNECT 7.1.4 - numele trebuie să aibă 23 de caractere, inclusiv puncte, sau mai mult. Desigur, numele pot fi alese după propriul gust.
Pentru actualizările produselor Kerio, se utilizează protocolul https ... Patch-ul poate elimina o astfel de legare atunci când specifică direct protocolul, de exemplu, pentru WebFilter - http:// updater,totuşi pentru bibliotecă Sophos autorul nu a prevăzut o asemenea oportunitate, lăsându-ne doar pe noi HTTPS este un protocol, prin urmare, în legăturile site-ului, îl vom indica cu orice certificat pe care ni-l va oferi sistemul.
2. Adăugați MIME- tipuri pentru site. Toate valorile adăugate trebuie să fie de tip text \ simplu.
Trebuie să adăugați următoarele valori:
McAfee: .log .bof .gem .msc .ini .pdb .so .nrc
Snort: .reguli .db
Sophos: .ver .vdb .dat .ide .list .php
ClamAv: .cvd .cld
3. Adăugați maparea modulelor pentru fișiere la gestionatorii de evenimente ale site-ului.reguli similar cu cel specificat pentru eveniment
StaticFile - StaticFileModule, DefaultDocumentModule, DirectoryListingModule,
asigurați-vă că includeți limitarea cererii pentru fișierul \ director. Îi spunem cum vrem.
4. În filtrarea solicitărilor de site, ștergeți intrarea pentru tipul de fișier* .reguli.
5. Creăm directoare virtuale pe site cu un link către cele create anterior structura fișieruluiși permite vizualizarea conținutului directoarelor (mai ușoară, dar mai incorectă - întregul site):
Toate - a fost creat un site pentru actualizarea produselor Kerio. Verificăm disponibilitatea acestuia în rețea prin deschiderea directoarelor necesare în browser - http: // updater / snort sau http://172.16.101.1/sophos sau http://antivirus-updater.MyLocalDomain.ru/clamav
Ar trebui să se deschidă directoarele goale.
Încă o dată despre numele site-ului: pentru fiecare produs se poate folosi propriul nume, alegerea depinde de versiunea produsului, bitness-ul sistemului de operare, setările DNS. Numele este ales la corecțiile unui anumit produs și nu depinde de serverul web și de setările acestuia - trebuie luat în considerare în legături.
Acum este vorba de completarea site-ului. Fiecare dintre produse va fi actualizat conform propriei scheme. c folosind de sine stătător instrumente softwareși scripturi care automatizează acest proces, așa că le vom lua în considerare separat.
Această tehnică stă la baza actualului server de actualizare -.
Serverul este complet configurat pentru a fi utilizat ca sursă de actualizare pentru toate componentele Kerio Control și Kerio Connect: Sophos, McAfee
Calea către arhivă este afișată în următoarele imagini:
Să presupunem că migrați de la cel mai recent KWF 6.7.1, ținta dvs. este un dispozitiv Kerio Control Appliance 8.3 ( Versiune curentă aplicații pentru aprilie 2014)
Principala „dificultate” a trecerii la în acest caz este necesar să se efectueze nu o actualizare directă de la KWF 6.7.1 la Kerio Control 8.3, ci o tranziție secvențială la unele versiuni „mare”. Această nevoie datorită includerii în fișiere de configurare aceste versiuni „mare” ale unor caracteristici care necesită post-procesare după instalarea aplicației.
Pentru a migra de la KWF 6.7.1 la Kerio Control 8.3, va trebui să parcurgeți următorii pași de actualizare:
1. Faceți upgrade la versiunea Kerio Control 7.0.0
2. Faceți upgrade la versiunea Kerio Control 7.1.0
3. Faceți upgrade la versiunea Kerio Control 7.4.2 ( Versiunea finala pentru Windows)
Puteți descărca distribuțiile necesare din arhiva noastră de lansări.
Procesul de actualizare în sine de la versiune la versiune este o instalare normală versiune noua„Peste” cel vechi. Programul de instalare se va închide automat serviciul de sistem Kerio Control (Kerio Winroute Firewall), va determina directorul de instalare Versiune curentă Kerio Control (Kerio Win-route Firewall) și va înlocui fișierele aplicației care necesită actualizare; fișierele jurnal ale aplicației și fișierele de configurare a utilizatorului sunt păstrate neschimbate. Fișierele de configurare vor fi salvate într-un director special „UpgradeBackups” situat la rădăcina directorului% programfiles% \ Kerio \.
Clip video al procesului obișnuit de actualizare:
Mergi la cea mai recentă versiune de Windows Kerio Control 7.4.2 va fi pasul final al actualizării în cadrul acestei platforme. Următoarele etape ale tranziției sunt pregătirea platformei Appliance, migrarea configurației, baza de date de loguri și statistici utilizatori.
Trecerea la platforma Appliance.
În această secțiune, vom lua în considerare opțiunile de implementare a diferitelor distribuții Kerio Control Appliance.
Instalarea software-ului Aparat
Această versiune a pachetului de instalare poate fi implementată în următoarele moduri:
- Imaginea ISO poate fi inscripționată pe un CD sau DVD fizic, care trebuie utilizat ulterior pentru a instala Kerio Control pe o gazdă fizică sau virtuală.
- În cazul utilizării PC-urilor virtuale, imaginea ISO poate fi conectată ca CD/DVD-ROM virtual pentru instalare de pe acesta, fără a fi nevoie să scrieți pe suport fizic.
- Imaginea ISO poate fi inscripționată Flash Drive USBși instalați din el. Pentru instrucțiuni, consultați articolul aferent (kb.kerio.com/928) din baza noastră de cunoștințe.
Instalarea VMware Virtual Appliance
Pentru a instala Kerio Control VMware Virtual Appliance pe diverse instrumente de virtualizare de la VMware, utilizați versiunea corespunzătoare a kitului de distribuție Kerio Control VMware Virtual Appliance:
Pentru VMware Server, Workstation, Player, Fusion, utilizați fișierul VMX arhivat (*. Zip):
Instalarea unui modul virtual în VMware player 
- Pentru VMware ESX / ESXi / vSphere Hypervisor, utilizați un link special OVF pentru a importa modulul virtual, care arată astfel:
VMware ESX / ESXi va încărca automat fișierul de configurare OVF și imaginea de hard disk virtuală corespunzătoare (.vmdk)
Atunci când utilizați formatul OVF, trebuie luate în considerare următoarele aspecte:
- Sincronizarea timpului cu serverul de virtualizare este dezactivată în modulul virtual Kerio Control. Cu toate acestea, Kerio Control are instrumente încorporate pentru sincronizarea orei cu sursele de timp ale rețelei publice de pe Internet. Astfel, utilizarea sincronizării între mașina virtuală și serverul de virtualizare este opțională.
- Sarcinile „oprire” și „repornire” ale mașinii virtuale vor fi setate la valorile „implicite”. Capacitatea de a seta aceste valori în modul de oprire „forțată” și de repornire „forțată” este păstrată, cu toate acestea, aceste opțiuni de oprire și repornire pot provoca pierderi de date în modulul virtual Kerio Control. Modulul virtual Kerio Control acceptă așa-numitul. Oprire „soft” și repornire „soft”, care permit închiderea sau repornirea sistemului de operare invitat în mod corect, de aceea se recomandă utilizarea valorilor implicite.
Instalarea unui dispozitiv virtual (ovf) în VMware vSphere 
Instalarea Virtual Dispozitiv pentru Hyper-V
- Descărcați kitul de distribuție arhivat (* .zip), despachetați-l în folderul dorit.
- Creați o nouă mașină virtuală, selectați opțiunea „Utilizați hard disk virtual existent”, specificând un fișier dezambalat din arhiva descărcată ca imagine de disc
Instalarea unui modul virtual în MS Hyper-V
Urmatorul punct important pregătirea pentru tranziția la platforma Appliance, configurația corectă este interfețe de rețea pe platforma la alegere.
Configurarea interfețelor de rețea în dispozitivul software
Interfața pseudografică a Kerio Control Software Appliance oferă posibilitatea de a configura adrese IP/adrese multiple în mod static sau dinamic, de a crea interfețe VLAN și de a configura interfața în modul PPPoE.
Notă: Configurația inițială a interfețelor de rețea în distribuția Kerio Control Software Appliance în sine este identică pentru toate ansamblurile Kerio Control Appliance, singurele diferențe sunt la configurarea interfețelor de rețea virtuală în diferite medii de virtualizare unde Kerio Control poate fi utilizat.
Pregătirea interfețelor de rețea virtuală în Hyper-V
Pentru a finaliza configurația corectă și minimă necesară a comutatorului virtual Hyper-V, va trebui să parcurgeți următorii pași:
Maparea interfețelor de rețea fizice și virtuale 
Verificarea prezenței serviciului de punte virtuală pe interfețele de rețea fizice ale serverului 
Pentru a face cunoștință cu opțiunea instalare rapida interfețe de rețea Dispozitivul virtual Kerio Control Hyper-V urmăriți următorul videoclip:
Asigurarea interfețelor de rețea virtuală în VMware vSphere
Aproximativ același lanț de acțiuni este și în cazul pregătirii interfețelor de rețea virtuală în vSphere.
Creați mai multe comutatoare virtuale, numărul depinde de nevoile dvs. de comunicații în rețeaua virtuală. 
Crearea unui comutator virtual în VMware vSphere 
Crearea unui comutator virtual în VMware vSphere 
Adăugarea de interfețe de rețea fizice adecvate la comutatoarele virtuale, astfel încât LAN-ul fizic al întreprinderii să poată interacționa cu acestea 
Maparea a creat comutatoare virtuale cu interfețe de rețea virtuală Kerio Control VMware Virtual Appliance 
După ce ansamblul aparatului a fost implementat și interfețele de rețea au fost configurate, puteți continua să transferați configurația principală a utilizatorului de pe dvs. Versiunea Windows Kerio Control.
Procesul de transfer al configurației în sine constă din doi pași:
Salvarea configurației curente utilizând Asistentul de configurare
Când salvați configurația, este recomandat să vă amintiți, sau mai bine să notați, adresele MAC ale interfețelor de rețea curente și corespondența acestora cu adresele IP utilizate. Acest lucru va fi necesar la restaurarea configurației în instalatie noua Aparatul de control Kerio.
Procesul de salvare a configurației este prezentat în imaginile de mai jos:
După acest pas, ați salvat o arhivă care include toate fișierele de configurare a utilizatorului din versiunea curentă a Kerio Control.
Următorul pas este să restabiliți configurația salvată anterior în dispozitiv. La restabilirea configurației, asistentul de configurare va oferi să mapați configurația vechilor interfețe de rețea la cele noi utilizate pe serverul Kerio Control Appliance.
Notă: Acesta este exact momentul în care aveți nevoie de informații despre adresele MAC și IP de pe vechiul server, pe care le-ați notat sau le-ați amintit când ați salvat configurația pe cel vechi.
Procesul de restaurare a configurației este prezentat în imaginile de mai jos:
Pentru a salva configurația, se va executa serverul Kerio Control Appliance repornire automată, după care poate fi folosit.
Și de aici începe distracția! Ceea ce veți citi mai jos nu este descris în nicio documentație oficială sau neoficială, de exemplu. vor exista mai multe „hack-uri live” acceptabile plasate aici, a căror utilizare vă va ajuta să efectuați astfel de hack-uri proces important, trecerea la platforma Appliance Kerio Control.
Și, ca de obicei, înainte de a trece la descrierea directă, obișnuita „declinare a răspunderii”:
IMPORTANT: Procedura descrisă mai jos nu este o opțiune documentată, prin urmare, pentru a evita consecințele nedorite, înainte de a începe transferul de date, creați o copie de rezervă completă prin copierea datelor într-o stocare securizată.
Și deci hai să mergem! Mai întâi, să salvăm baza de date curentă a protocoalelor aplicației. Pentru a face acest lucru, trebuie să salvați fișierele jurnal, care se află pe calea specificată.
% programfiles% \ kerio \ firewall winroute \ jurnal \ *
Pentru o mai bună siguranță a acestor date, se recomandă să le faceți o copie de rezervă într-un spațiu de stocare securizat accesibil înainte de a efectua transferul.
Apoi, salvăm baza de date curentă cu statistici utilizator. Toate aceste informații sunt concentrate în fișierul bazei de date date firebird aflat în folder
% programfiles% \ kerio \ firewall winroute \ stea \ date \
De acolo avem nevoie doar de fișierul star.fdb. Pentru cea mai bună conservare a acestor date, se recomandă să faceți o copie de rezervă într-un spațiu de stocare securizat accesibil înainte de a efectua transferul.
După ce am găsit și am salvat toate informațiile necesare, trebuie să le transferăm pe un nou server care rulează Kerio Control Appliance, pentru aceasta, primul lucru pe care trebuie să-l faceți pentru a încărca datele salvate anterior în Kerio Control Appliance este să activați Server SSH pentru a efectua accesul SFTP. Pentru a face acest lucru, în interfața web de administrare Kerio Control, accesați meniul Stare -> Stare sistem, apăsați și mențineți apăsată tasta „Shift” și faceți clic pe „ Acțiuni". În lista derulantă, selectați elementul " Activați SSH", Confirmați acțiunile dvs. fiind de acord cu întrebarea din fereastra care apare.
După aceea, trebuie să vă asigurați că în regulile de trafic Kerio Control ați permis accesul la gazda Kerio Control Appliance prin Protocolul SSH din locația dorită.
După ce ați activat SSH și ați permis accesul corespunzător, trebuie să vă conectați la serverul Kerio Control Appliance pentru a descărca datele de protocol necesare și baza de date cu statistici utilizator. Pentru a face acest lucru, vom folosi aplicația WinSCP, care permite conexiuni SFTP.
Pentru a vă conecta la serverul Kerio Control Appliance, trebuie să specificați numele de utilizator și parola pentru acces, deoarece numele de utilizator specifică numele „rădăcină” (fără ghilimele); ca parolă, specificați parola controlului Kerio încorporat cont„Admin”.
Opțiuni conexiuni sFTP la serverul Kerio Control 
După stabilirea unei conexiuni, trebuie să vă plasați datele în anumite foldere de server. Fișierele jurnal trebuie copiate în folder / var / winroute / jurnalele, iar fișierul cu statistici utilizator în folder / var / winroute / stea / date, în timp ce fișierele vechi trebuie fie șterse, fie redenumite.
Notă: Este mai bine să redenumiți fișierele vechi pentru a păstra o copie de rezervă a datelor curente. În cazul fișierelor jurnal de aplicații, trebuie doar să redenumiți fișierele vechi cu extensia * .log
După finalizarea copierii, trebuie să reporniți serviciul Kerio Control. Pentru a face acest lucru, trebuie să obțineți acces direct la serverul Kerio Control Appliance. În cazul aplicației software, accesul se face prin monitorul și tastatura serverului însuși pe care este instalat dispozitivul software Kerio Control. În cazul modulului virtual Kerio Control, accesul se face prin consola mediului de virtualizare corespunzător. În toate celelalte privințe, acțiunile vor fi aceleași.
Pentru a comuta de la consola pseudografică la interfață Linie de comanda, apăsați combinația de taste „Alt-F2”. În invitația de a introduce un nume de utilizator, introduceți numele „rădăcină” (fără ghilimele), apăsați „enter”, în câmpul pentru parolă, introduceți parola pentru contul „Admin” încorporat în Kerio Control.
Notă: este necesar să țineți cont de faptul că în sistemul de operare Linux, introducerea parolei nu este afișată nici măcar prin pictograme asterisc, iar dacă ați greșit, nu va putea fi corectată - va trebui să introduceți parola din nou.
La promptul de comandă, introduceți următoarele:
/etc/boxinit.d/60winroute reporniți
Această comandă va reporni demonul (serviciul) Kerio Control, după care Kerio Control va „prelua” jurnalele de aplicație copiate anterior și datele statisticilor utilizatorului.
După pornirea demonului Kerio Control, trebuie să verificați integritatea datelor transferate, pentru aceasta puteți utiliza interfața web de statistici utilizator și/sau interfața web de administrare a aplicației Kerio Control.
Dacă totul este în regulă cu toate datele, atunci trecerea la noua platformă Kerio Control Appliance poate fi considerată finalizată și nu mai rămâne decât să finalizați procedura obișnuită Actualizări Kerio Control la versiunea curentă. Dacă cu o parte din date „nu totul este în ordine”, atunci există două opțiuni:
1) asigurați-vă că datele preluate de pe serverul original Kerio Control (KWF) au fost inițial în ordine;)
2) dacă totul este în regulă cu datele inițiale, atunci este necesar să repetați procedura de transfer a acelei părți a datelor cu care au existat probleme.
3) dacă soluţiile de la paragrafe. 1 și 2 nu au ajutat, atunci lăsați un comentariu aici, să încercăm să ne dăm seama împreună :)
Acum că toate datele importante sunt la locul lor, puteți „trage în sus” versiunea Kerio Control Appliance la cea actuală. Procesul obișnuit de actualizare poate avea loc în două moduri, în mod automat și manual.
Mod de actualizare automată a versiunii.
Kerio Control poate funcționa verificare automată disponibilitatea versiunilor noi pe site-ul de actualizare Kerio.
- Opțiuni suplimentare ", În" verificând actualizările»
- Activați opțiunea " Verificați periodic pentru versiuni noi". Kerio Control va verifica dacă există versiuni noi la fiecare 24 de ore. De îndată ce disponibilitatea unei noi versiuni este stabilită, în fila „ verificând actualizările„Va fi afișat un link pentru a descărca actualizarea. Pentru a verifica imediat dacă există o actualizare, faceți clic pe „ Verifica acum»
- Dacă doriți să descărcați versiuni actualizate imediat după ce au fost găsite, activați opțiunea „ Descărcați automat versiuni noi". De îndată ce noua versiune este încărcată, veți primi o notificare corespunzătoare în interfața web de administrare.
- După descărcarea actualizării, faceți clic pe „ Actualizează acum»
- Confirmați intenția de a actualiza și de a efectua repornirea automată ulterioară a Kerio Control
- Așteptați până când instalarea noii versiuni este finalizată și Kerio Control este repornit.
- Actualizarea este completă.
Mod de actualizare manuală a versiunii.
Acest mod de actualizare poate fi util în următoarele circumstanțe:
- Rollback la versiunea anterioara Controlul Kerio
- Faceți upgrade la o versiune intermediară sau neobișnuită (de exemplu, o versiune beta închisă).
- Actualizați gateway-ul dacă este disponibil restrictii maxime pentru ca ITU să acceseze resursele de internet.
Pentru a efectua o actualizare în mod manual Trebuie să descărcați imagine specială(Imagine de upgrade) de pe pagina de descărcare a Kerio Control (http://www.kerio.ru/support/kerio-control).
După descărcare, urmați acești pași:
- În interfața web de administrare, accesați elementul de meniu „ Opțiuni suplimentare", În" verificând actualizările»
- Faceți clic pe " Alegere»
- Specificați locația fișierului imagine de actualizare (kerio-control-upgrade.img)
- Faceți clic pe " Descărcați fișierul de actualizare a versiunii»
- După descărcare, faceți clic pe „ Începeți actualizarea versiunii»
- Așteptați actualizarea versiunii și reporniți Kerio Control
- Actualizarea este completă.
Voila, aveți un gateway de internet complet bazat pe aparatul de control Kerio! Felicitări pentru finalizarea migrării la UTM Kerio Control!
Numai utilizatorii înregistrați pot participa la sondaj.
Despre studiul produselor Kerio Technologies, care produce diverse soluții software de securitate pentru întreprinderile mici și mijlocii. Potrivit site-ului oficial al companiei, produsele sale sunt folosite de peste 60.000 de companii din întreaga lume.
SEC Consult a descoperit multe vulnerabilități în Kerio Control, soluția UTM a companiei care combină funcțiile unui firewall, router, IDS/IPS, antivirus gateway, VPN și așa mai departe. Cercetătorii au descris două scenarii de atac care permit unui atacator nu numai să preia controlul asupra Kerio Control, ci și asupra rețelei corporative pe care produsul ar trebui să o protejeze. Deși dezvoltatorii au lansat deja remedieri pentru majoritatea erorilor găsite, cercetătorii notează că este încă posibil să se implementeze unul dintre scenariile de atac.
Potrivit cercetătorilor, soluțiile Kerio Control sunt vulnerabile din cauza nesigurării folosind PHP deserializați funcțiile și, de asemenea, din cauza utilizării versiune veche PHP (5.2.13), în care au fost deja descoperite probleme serioase. Experții au descoperit, de asemenea, o serie de scripturi PHP vulnerabile care permit atacurile XSS și CSRF și ocolesc protecția ASLR. În plus, conform SEC Consult, serverul web rulează cu privilegii root și nu are protecție împotriva atacurilor de forță brută și a încălcării integrității informațiilor din memorie.
Diagrama primului scenariu de atac
Primul scenariu de atac descris de experți presupune exploatarea mai multor vulnerabilități simultan. Atacatorul va trebui să folosească ingineria socială și să atragă victima către un site rău intenționat care va găzdui un script care îi va permite să afle adresa IP internă a Kerio Control. Atacatorul trebuie apoi să exploateze bug-ul CSRF. Dacă victima nu este conectată la panoul de control Kerio Control, atacatorul poate folosi acreditările obișnuite de forță brută la forța brută. Acest lucru necesită o vulnerabilitate XSS pentru a ocoli protecția SOP. Puteți apoi să ocoliți ASLR și să utilizați vechiul bug PHP (CVE-2014-3515) pentru a rula shell-ul ca root. De fapt, atacatorul primește atunci acces complet către rețeaua organizației. Videoclipul de mai jos demonstrează atacul în acțiune.
Al doilea scenariu de atac implică exploatarea unei vulnerabilități RCE care este asociată cu funcția de actualizare Kerio Control și a fost descoperită cu mai bine de un an în urmă de unul dintre angajații SEC Consult. Experții sugerează utilizarea acestui bug, care permite executarea de la distanță a codului arbitrar, în combinație cu o vulnerabilitate XSS, care vă permite să extindeți funcționalitatea atacului.
Specialiștii Kerio Technologies au fost anunțați despre probleme la sfârșitul lunii august 2016. Pe acest moment compania a lansat Kerio Control 9.1.3, unde majoritatea vulnerabilităților sunt remediate. Cu toate acestea, compania a decis să lase privilegiile root serverului web și, de asemenea, fără a remedia, în timp ce bug-ul RCE asociat cu funcția de actualizare rămâne.
Maxim Afanasiev
La mijlocul lunii februarie, Kerio Technologies a lansat o actualizare a produsului său emblematic, Kerio Control. Noua versiune a Kerio Control 8.5 oferă securitate sporită a utilizatorilor prin integrarea verificării în doi pași, precum și numeroase îmbunătățiri pentru gradul de utilizare a produsului. Kerio Control 8.5 dispune de un nou sistem de redirecționare Service Discovery care face configurarea rețelei flexibilă și ușoară. Acum utilizatori la distanță poate vizualiza, descoperi și conecta la dispozitive precum imprimante, servere de fișiere și scanere diferite rețele sau tuneluri VPN Kerio. În plus, în noua versiune, Kerio a simplificat procesul de instalare și actualizare a unei componente de sistem atât de importantă precum clientul Kerio VPN. Cu ajutorul unui nou pachet de instalare, este posibil să îl implementați prin instrumente producători terți cum ar fi Apple Remote Desktop sau FileWave. Noua versiune de Kerio Control a primit un set extins de notificări de sistem, care va permite informarea mai promptă administratorii de sistem O posibile greșeli si probleme. Dar mai întâi lucrurile.
Ca o reamintire, Kerio Control este o soluție cuprinzătoare de securitate care combină mai multe funcții, inclusiv firewall(firewall) și router, sistem de detectare și prevenire a intruziunilor (IPS), antivirus, VPN și filtru de conținut. Aceste capabilități largi și flexibilitate de implementare de neegalat fac Kerio Control alegerea perfecta pentru intreprinderile mici si mijlocii. De acum doi ani am vorbit deja despre acest produs în articolul „Kerio Control - Comprehensive Network Security”, în această recenzie ne vom concentra asupra inovațiilor care au fost aduse acestui produs de la Kerio Control 8.5.
Remarcăm în special că Kerio a fost de mult pe calea integrării maxime cu medii virtuale, prin urmare Produs nou Kerio Control 8.5 este livrat ca mediu de sine stătător: Software Appliance, VMware Virtual Appliance (OVF / VMX) și Hyper-V Virtual Aparat. Pentru această revizuire, am folosit o imagine VMware Virtual Appliance într-un container OVF pentru sistem Virtualizare VMware ESXi. Implementarea acestei imagini nu apare sarcina dificila: Cel mai important lucru este să obțineți un link către pachetul OVF înregistrându-vă pe site-ul Kerio. Pentru revizuire, administratorilor li se oferă o versiune de 30 de zile a produsului fără restricții funcționale. Acum să revenim la funcționalitatea noii versiuni de Kerio Control 8.5.
Autorizare în două etape
„Continuăm să îmbunătățim securitatea fără a sacrifica simplitatea”, a spus COO și CEO Kerio Technologies. „Noua versiune adaugă funcții de securitate importante și puternice care pot fi implementate cu ușurință în orice rețea fără întreruperi semnificative ale afacerii.”
Deci, Kerio a integrat autorizarea în doi pași în noul produs, ceea ce va permite utilizatorilor să sporească securitatea datelor și să scutească administratorii de probleme suplimentare legate de securitatea autentificării utilizatorilor. Kerio Control 8.5 a primit identificarea utilizatorului în doi pași foarte solicitată în lume, care se bazează pe cerere cod unic acces cu timp limitat acțiuni (TOTP). Acest cod nu înlocuiește autorizația de bază a utilizatorului în sistemul Kerio Control, ci doar o completează, astfel încât proprietarii întreprinderii pot fi siguri că resursele rețelei va rămâne în siguranță chiar dacă parolele sunt în mâini greșite.
Luați în considerare sistemul implementat activat un exemplu tipic... Pentru a activa această funcție, administratorul trebuie să bifeze caseta corespunzătoare din meniul Domenii și autentificare. În același timp, prin dezactivarea opțiunii de configurare la distanță, administratorul va împiedica utilizatorii să configureze verificarea în doi pași din exterior, adică din interfața externă.
După activarea verificării în doi pași a utilizatorului, data viitoare când acesta se conectează la Internet sau la vizualizarea statisticilor, utilizatorului i se va oferi fereastra de informareși un link pentru a configura autorizarea în doi pași.
Dacă utilizatorul se conectează la firewall cu funcția de configurare la distanță dezactivată în timp ce funcția de configurare la distanță este dezactivată rețea externă, se va afișa o fereastră de informații ușor diferită, care nu prevede posibilitatea de a trece la setarea de verificare în doi pași.
După ce utilizatorul intră în ecranul de setare pentru această funcție, va vedea codul QR corespunzător și câmpul în care este necesară introducerea codului „criptat” în acest cod QR. Este de remarcat faptul că codul alfanumeric de sub codul QR este un identificator și nu trebuie ignorat. Pentru a citi codul QR, trebuie să utilizați una dintre aplicațiile adecvate descrise în pagina de descriere pentru această funcție. Ca experiment, am folosit aplicația Google Authenticator pentru Android, care este interconectată cu un scaner de coduri de bare (trebuie și instalat).
După ce codul QR este citit de pe ecranul computerului, Google Authenticator va genera automat codul corespunzător. În esență, un cod QR conține o legătură unică către codul corespunzător.
Apoi codul obținut în această aplicație trebuie introdus în câmpul corespunzător din pagina de autorizare Kerio Control. Trebuie remarcat faptul că codul se schimbă constant pentru un timp destul de scurt, deci nu este nevoie să-l memorați. Totul este foarte simplu și rapid. Problemele pot apărea doar atunci când lucrați cu o aplicație de sub Windows, dar programul WinAuth, pe care îl recomandă Kerio, face o treabă excelentă doar cu un link către o imagine.
Pentru administratori, opțiunea de a reseta verificarea în doi pași este disponibilă pentru toți utilizatorii simultan sau pentru fiecare utilizator în parte. În acest caz, va trebui din nou să treacă prin întreaga procedură descrisă mai sus. Dacă resetarea nu a avut loc, utilizatorul la următoarea solicitare a unui cod deschide doar aplicația corespunzătoare și introduce codul primit. Nu mai este nevoie să scanați codul QR.
În general, verificarea utilizatorului în doi pași este o altă încercare de a proteja utilizatorul de diferiți intruși, deoarece toată lumea este diferită și mulți încearcă să salveze parolele fără a-și face griji cu privire la securitate. Când folosește această funcție, administratorul poate fi sigur că nici măcar furtul parolei utilizatorului nu va oferi o oportunitate de a obține acces la rețeaua internă corporativă sau la datele critice ale companiei.
Sistem de redirecționare a apelurilor Service Discovery
Noua versiune a Kerio Control 8.5 introduce sistemul de redirecționare Service Discovery, care face ca procesul de configurare a rețelei să fie flexibil și simplu. Permite utilizatorilor de la distanță să vadă, să descopere și să se conecteze la dispozitive precum imprimante, servere de fișiere și scanere din diferite rețele sau tuneluri Kerio VPN. Service Discovery acceptă protocoale populare, cum ar fi mDNS (dispozitive Apple), NetBIOS (rețea Microsoft) și SSDP (UPnP). Configurarea acestei funcții este foarte simplă, doar selectați rețelele necesare între care va fi redirecționat multicast și activați această funcție. Pentru a controla activitatea Service Discovery, administratorul are acces la intrare suplimentară la fișierul jurnal. Trebuie remarcat faptul că Service Discovery este disponibilă numai pentru Kerio VPN, iar rutarea în IPsec VPN nu este acceptată, la fel ca între rețelele externe și interne. Acest lucru se datorează faptului că această funcție se concentrează pe crearea unei rețele interne cu drepturi depline a întreprinderii, distribuită pe tot globul.
Kerio VPN
Trebuie remarcat faptul că Kerio se străduiește în mod constant să îndeplinească noi standarde, prin urmare, pentru o componentă atât de importantă a sistemului precum Kerio VPN, împreună cu actualizarea 8.5, au fost lansate noi clienți pentru Windows, Mac și Linux. Nou pachet de instalare Kerio VPN pentru computerele Mac OS X permite implementarea prin instrumente terțe, cum ar fi Apple Remote Desktop sau FileWave.
Schimbați adresa MAC
Trebuie remarcată o funcție mică, dar destul de importantă pentru unii administratori de sistem. Acum, în proprietățile adaptoarelor Ethernet din panoul de administrare, puteți modifica adresa MAC a adaptorului corespunzător. Această funcționalitate vă permite să schimbați rapid adresa MAC dacă, de exemplu, un furnizor de rețea extern are o legătură MAC rigidă.
În plus, în acest snap-in, administratorul poate seta MTU-ul pentru adaptor, care este uneori necesar și pentru anumite rețele.
Funcție de notificare actualizată
Cu setul extins de notificări prin e-mail din Kerio Control 8.5, administratorii vor fi informați despre evenimentele importante din rețea și despre starea sistemului. Trebuie remarcat faptul că a apărut un snap-in separat pentru această funcție, care vă permite să setați parametrii notificărilor necesare în detaliu.
Deci, de exemplu, puteți configura trimiterea de notificări nu numai către administratori, ci și către utilizatorii obișnuiți. Poate că această caracteristică va fi foarte utilă pentru monitorizarea utilizării rețelei corporative de către management sau analiști care nu au drepturi de administrator. De asemenea, merită remarcată capacitatea de a căuta un eveniment în oricare dintre jurnalele folosind o expresie regulată sau un model, ceea ce vă va permite să identificați rapid posibilele probleme care sunt dificil de diagnosticat într-o rețea mare. A acceptat trimiterea de mesaje nu numai utilizatori specifici, dar și pe separat cutiile poştale care s-ar putea să nu fie legate în niciun fel de utilizatorii corporativi. De asemenea, a implementat funcția de întârziere a trimiterii mesajelor și setarea programului. În general, această inovație ar trebui să aibă un efect pozitiv asupra eficienței rezolvării diferitelor probleme.
concluzii
Kerio, ca întotdeauna, a încântat administratorii cu funcții noi în produsul său emblematic Kerio Control 8.5. Rețineți că acest produs este o soluție cuprinzătoare și ușor de utilizat pentru gestionarea protecției împotriva amenințărilor la adresa unei rețele corporative. Capacitățile Kerio Control 8.5 sunt foarte largi și vă permit să îl utilizați atât în instituții mici, cât și în companii mari și mijlocii cu o rețea distribuită de birouri în întreaga lume. Administratorii din întreaga lume apreciază acest produs pentru interfața de gestionare intuitivă și fiabilitatea sa. Kerio Control 8.5 implementează unul dintre sisteme mai bune filtrarea conținutului de internet, care vă permite să blocați, să permiteți sau să înregistrați în mod selectiv accesul la 141 de categorii de conținut web folosind filtrul web Kerio Control. Astfel, administratorul poate proteja rapid și eficient utilizatorii de vizitarea site-urilor rău intenționate despre care se știe că conțin viruși și spyware sunt implicați în phishing sau furt de identitate.
Licențele pentru principalele produse Kerio - Kerio Control și Kerio Connect - nu au o dată de expirare. Adică puteți folosi aceste produse pe o perioadă nelimitată, dar doar așa cum erau la momentul achiziției. Pentru a primi actualizări ale versiunilor, versiunilor, bazelor de date antivirus, precum și pentru a accesa suportul tehnic, trebuie să aveți un abonament actualizat pentru Întreținere software (SWM).Costul noii licențe include 1 an de SWM. După un an, va trebui să vă reînnoiți abonamentul SWM sau, mai simplu, să vă reînnoiți licența Kerio. Costul reînnoirii SWM pentru 1 an este de 33% din prețul curent pentru un produs nou.
Poziții în director (au cuvântul SUB în nume):
- Licență de server Kerio Control 5 utilizatori SUB 1 an - reînnoire SWM pentru licență de server Kerio Control + 5 utilizatori
- Supliment Kerio Control 5 utilizatori SUB 1 an - reînnoire SWM pentru licență Kerio Control suplimentară pentru 5 utilizatori
- Licență de server Kerio Connect 5 utilizatori SUB 1 an - reînnoire SWM pentru licență de server Kerio Connect + 5 utilizatori
- Supliment Kerio Connect 5 utilizatori SUB 1 an - reînnoire SWM pentru licență suplimentară de utilizator Kerio Connect 5
În ceea ce privește modulele suplimentare - Sofos antivirus și Web Filter - după expirarea acestora, trebuie doar să cumpărați licență suplimentară pentru numărul necesar de utilizatori pentru încă 1 an. Nu există reduceri pentru reînnoirea acestor module.
Întrebări frecvente despre întreținerea software-ului
Licența de asistență software Kerio oferă acces la actualizări de produs și de securitate. Cu o licență SWM validă, utilizatorul poate instala orice patch sau versiune lansată de produse Kerio.
1. De ce să cumpărați o licență SWM?
- Furnizare permanentă ultimele versiuni produs.
- Produsul oferă protecție împotriva amenințărilor de securitate nou descoperite.
- Capacitatea de a utiliza cea mai recentă tehnologie.
- Fără costuri financiare neașteptate la lansarea de noi versiuni.
2. Cum funcționează licența SWM?
- La achiziționarea inițială a unei licențe, o licență SWM este furnizată pentru 12 luni de la data înregistrării.
- Cu o licență SWM validă, upgrade-urile versiunii de produs sunt gratuite.
- Vă puteți reînnoi oricând licența SWM pentru 1 sau 2 ani. (Actualizările pentru versiunea FSTEC a produsului pot să nu fie certificate de FSTEC.)
- Licența SWM trebuie achiziționată și înregistrată înainte de expirare.
- Dacă licența SWM este înregistrată după expirarea acesteia, perioada SWM se prelungește cu exact 1 an de la data expirării.
- Data de începere a licenței SWM este data la care produsul a fost înregistrat inițial prin site-ul web Kerio sau prin consola de administrare a produsului.
3. Ce se întâmplă dacă licența mea SWM expiră?
- Veți putea continua să utilizați produsul, dar nu veți putea instala actualizări care au fost lansate după expirarea licenței dvs. SWM.
- Antivirusul Sophos integrat în produsele Kerio Connect și Kerio Control nu va mai funcționa la 60 de zile după expirarea licenței de asistență software.
- Kerio Web Filter nu va mai funcționa.
- Motorul sistemelor de detectare/detecție a intruziunilor (IPS/IDS) din Kerio Control nu va primi actualizări ale semnăturii regulilor.
- Exchange ActiveSync în Kerio Connect nu va mai funcționa. (Începând cu 1 mai 2013, Kerio Connect va taxa pentru suportul Exchange ActiveSync.)
- Accesul la suport tehnic nu va fi oferit.
- Licențele SWM expirate pot fi reînnoite prin plata pentru anii ratați. Pentru a vă proteja împotriva tuturor tipurilor de amenințări cibernetice, inclusiv cele mai recente și mai mari malwareși atacurile hackerilor, vă recomandăm insistent să vă actualizați licența SWM în timp util.
- Atunci când numărul utilizatorilor din licență crește, pentru aceștia se oferă o licență SWM utilizatori suplimentariînainte ca licența serverului SWM să expire.
5. Cum se înregistrează o licență SWM?
- După achiziționarea unei licențe SWM, vi se va furniza o cheie (chei) de înregistrare. Aceste chei trebuie înregistrate prin consola produsului sau prin site-ul nostru web (link). Dacă primiți o singură cheie de înregistrare care se potrivește cu originalul Codul de inregistrare, introduceți-l pe prima pagină a procesului de înregistrare și parcurgeți întregul proces. Dacă primiți un set de chei (niciuna dintre ele nu se potrivește cu cheia originală), introduceți cheia originală pe prima pagină a procesului de înregistrare și pe pagina următoare adăugați cheile de înregistrare nou achiziționate.
6. Pot transfera o licență înregistrată pe alt sistem?
- Uneori devine necesară actualizarea hardware-ului sau schimbarea sistemului de operare. O licență existentă poate fi reînregistrată pe alt sistem și toate modificările necesare (de exemplu, schimbarea sistemului de operare) vor fi efectuate în timpul procesului de reînregistrare. Înainte de a înregistra un produs pe alt sistem, trebuie fie să dezinstalați produsul de pe serverul anterior, fie să deconectați permanent sistemul de la rețea.
