Maksim Afanasiev
Në mes të shkurtit, Kerio Technologies lëshoi një përditësim për produktin e saj kryesor, Kerio Control. Versioni i ri i Kerio Control 8.5 ofron siguria e rritur përdoruesit duke integruar verifikimin me dy hapa, si dhe përmirësime të shumta për lehtësinë e përdorimit të produktit. Kerio Control 8.5 është i pajisur me sistemi i ri Ridrejtimi i zbulimit të shërbimit, i cili e bën procesin e konfigurimit të rrjetit fleksibël dhe të lehtë. Tani përdoruesit e largët mund të shikojë, zbulojë dhe lidhet me pajisje të tilla si printera, serverët e skedarëve dhe skanerët në rrjete të ndryshme ose tunelet Kerio VPN. Përveç kësaj, në versionin e ri, Kerio ka thjeshtuar procesin e instalimit dhe përditësimit të tyre komponent i rëndësishëm sisteme si klienti Kerio VPN. Me ndihmën e të rejave paketën e instalimitështë e mundur vendosja e tij përmes mjeteve prodhuesit e palëve të treta, të tilla si Apple Remote Desktop ose FileWave. Versioni i ri i Kerio Control mori një grup të zgjeruar njoftimet e sistemit, e cila do t'ju lejojë të informoni më shpejt administratorët e sistemit rreth gabimet e mundshme dhe probleme. Por gjërat e para së pari.
Kujtojmë se Kerio Control është zgjidhje e plotë në fushën e sigurisë, duke kombinuar disa funksione, duke përfshirë muri i zjarrit(firewall) dhe ruteri, sistemi i zbulimit dhe parandalimit të ndërhyrjeve (IPS), antivirus, VPN dhe filtri i përmbajtjes. Këto aftësi të gjera dhe fleksibilitet i pakrahasueshëm i vendosjes e bëjnë Kerio Control zgjedhje perfekte për ndërmarrjet e vogla dhe të mesme. Meqenëse kemi folur tashmë për këtë produkt dy vjet më parë në artikullin "Kerio Control - Siguria e Rrjetit Gjithëpërfshirëse", në këtë përmbledhje do të fokusohemi në risitë që i janë bërë këtij produkti që nga Kerio Control 8.5.
Vëmë re në veçanti se Kerio prej kohësh ka nisur rrugën e integrimit maksimal me mjedise virtuale, kështu që produkti i ri Kerio Control 8.5 shpërndahet si një mjedis i veçantë: Appliance Software, VMwareVirtual Appliance (OVF/VMX) dhe Hyper-V Virtual Appliance. Për të shkruar këtë rishikim ne përdorëm një imazh të pajisjes virtuale VMware në një kontejner OVF për një sistem virtualizimi VMware ESXi. Vendosja ky imazh nuk duket të jetë një detyrë e vështirë: gjëja më e rëndësishme është të merrni një lidhje me paketën OVF duke u regjistruar në faqen e internetit të Kerio. Për rishikim, administratorët pajisen me një version 30-ditor të produktit pa asnjë kufizim funksional. Dhe tani kthehemi në funksionalitetin versioni i ri i Kerio Control 8.5.
Autorizim me dy hapa
"Ne vazhdojmë të përmirësojmë sigurinë pa sakrifikuar thjeshtësinë," tha Mirek Kren, COO dhe CEO i Kerio Technologies. "Lëshimi i ri shton veçori të rëndësishme dhe të fuqishme të sigurisë që mund të vendosen lehtësisht në çdo rrjet pa ndërprerje të konsiderueshme në biznes."
Pra, Kerio ka integruar autorizimin me dy hapa në produktin e ri, i cili do t'i lejojë përdoruesit të rrisin sigurinë e të dhënave dhe të shpëtojnë administratorët nga probleme shtesë lidhur me sigurinë e vërtetimit të përdoruesit. Kerio Control 8.5 mori identifikimin e përdoruesit me dy hapa, i cili është shumë i kërkuar në botë, i cili bazohet në një kërkesë kod një herë akses nga kohe e Kufizuar veprimet (TOTP). Ky kod nuk zëvendëson autorizimin bazë të përdoruesve në sistemin Kerio Control, por vetëm e plotëson atë, kështu që pronarët e ndërmarrjes mund të jenë të sigurt se burimet e rrjetit mbeten të sigurt edhe nëse fjalëkalimet bien në duar të gabuara.
Konsideroni sistemin e implementuar në shembull tipik. Për të aktivizuar këtë funksion, administratori duhet të kontrollojë kutinë e duhur në menynë "Domains and Authentication". Në të njëjtën kohë, duke çaktivizuar opsionin e konfigurimit në distancë, administratori do të parandalojë përdoruesit të konfigurojnë verifikimin me dy hapa nga jashtë, domethënë nga ndërfaqja e jashtme.
Pas aktivizimit të verifikimit me dy hapa të një përdoruesi, herën tjetër që të hyni në internet ose të shikoni statistikat, përdoruesit do t'i jepet dritare informacioni dhe një lidhje për konfigurimin e autorizimit me dy hapa.
Nëse një përdorues hyn në murin e zjarrit me funksionin e konfigurimit në distancë të çaktivizuar, rrjeti i jashtëm, atij do t'i shfaqet një dritare informacioni paksa e ndryshme që nuk parashikon mundësinë e kalimit në cilësimin e verifikimit me dy hapa.
Pasi përdoruesi të hyjë në ekranin e konfigurimit për këtë funksion, ai do të shohë kodin QR përkatës dhe një fushë ku duhet të futni kodin "të enkriptuar" në këtë kod QR. Vlen të përmendet se kodi alfanumerik poshtë kodit QR është një identifikues dhe nuk duhet t'i kushtoni vëmendje. Për të lexuar një kod QR, duhet të përdorni një nga aplikacionet përkatëse të përshkruara në faqen e përshkrimit të këtij funksioni. Si një eksperiment, ne kemi përdorur aplikacioni google Authenticator për Android, i cili është i lidhur me skanerin e barkodit (ai gjithashtu duhet të instalohet).
Pasi të lexohet kodi QR nga ekrani i kompjuterit, Google Authenticator do të gjenerojë automatikisht kodin përkatës. Në thelb, një kod QR përmban lidhje unike në kodin përkatës.
Më pas kodi i marrë në këtë aplikacion duhet të futet në fushën përkatëse në faqen e autorizimit të Kerio Control. Duhet të theksohet se kodi po ndryshon vazhdimisht për një kohë mjaft të shkurtër, kështu që nuk keni nevojë ta mbani mend atë. Gjithçka është shumë e thjeshtë dhe e shpejtë. Problemet mund të lindin vetëm kur punoni me një aplikacion Windows, por programi WinAuth që rekomandon Kerio bën një punë të shkëlqyer dhe thjesht lidhet me imazhin.
Administratorët kanë mundësinë të rivendosin verifikimin me dy hapa për të gjithë përdoruesit menjëherë ose për secilin përdorues individualisht. Në këtë rast, ai do të duhet të kalojë përsëri të gjithë procedurën e përshkruar më sipër. Nëse rivendosja nuk ndodh, përdoruesi, në kërkesën tjetër të kodit, hap vetëm aplikacionin përkatës dhe fut kodin e marrë. Skanimi i një kodi QR nuk është më i nevojshëm.
Në përgjithësi, verifikimi me dy hapa i përdoruesit është një përpjekje tjetër për të mbrojtur përdoruesin nga ndërhyrës të ndryshëm, sepse të gjithë njerëzit janë të ndryshëm dhe shumë përpiqen të ruajnë fjalëkalimet pa u kujdesur për sigurinë. Nëse përdoret ky funksion, administratori mund të jetë i sigurt se edhe vjedhja e fjalëkalimit të përdoruesit nuk do të lejojë hyrjen në rrjetin e brendshëm të korporatës ose në të dhënat kritike të kompanisë.
Sistemi i përcjelljes së thirrjeve të zbulimit të shërbimit
Versioni i ri i Kerio Control 8.5 prezantoi sistemin e ridrejtimit të Service Discovery, i cili e bën procesin e konfigurimit të rrjetit fleksibël dhe të thjeshtë. Me të, përdoruesit në distancë mund të shikojnë, zbulojnë dhe lidhen me pajisje të tilla si printera, serverë skedarësh dhe skanerë në rrjete të ndryshme ose tunele Kerio VPN. Service Discovery mbështet protokollet e njohura si mDNS (pajisjet Apple), NetBIOS (rrjeti Microsoft) dhe SSDP (UPnP). Vendosja e këtij funksioni është shumë e thjeshtë, thjesht zgjidhni rrjetet e nevojshme ndërmjet të cilave do të përcillet multicast dhe aktivizoni këtë funksion. Një hyrje shtesë në skedarin e regjistrit është në dispozicion të administratorit për të kontrolluar funksionimin e Shërbimit Discovery. Duhet të theksohet se Service Discovery është i disponueshëm vetëm për Kerio VPN dhe rrugëtimi brenda IPsec VPN nuk mbështetet, ashtu si midis rrjeteve të jashtme dhe të brendshme. Kjo shpjegohet me funksioni i dhënë fokusuar në krijimin e një komplete rrjeti i brendshëm ndërmarrje të shpërndara në mbarë globin.
Kerio VPN
Duhet të theksohet se Kerio po përpiqet vazhdimisht të përmbushë standarde të reja, prandaj, për një komponent kaq të rëndësishëm të sistemit si Kerio VPN, së bashku me përditësimin 8.5, janë lëshuar edhe klientë të rinj për Windows, Mac dhe Linux. Paketa e re e instalimit Kerio VPN për kompjuterët me Mac OS X lejon vendosjen përmes mjeteve të palëve të treta, si p.sh. Apple Remote Desktop ose FileWave.
Ndryshimi i adresës MAC
Duhet të theksohet një funksion i vogël, por mjaft i rëndësishëm për disa administratorë të sistemit. Tani në vetitë e përshtatësve Ethernet në panelin e administrimit, mund të ndryshoni adresën MAC të përshtatësit përkatës. Ky funksion ju lejon të ndryshoni shpejt adresën MAC nëse, për shembull, ofruesi i rrjetit të jashtëm ka një lidhje të fortë MAC.
Përveç kësaj, në këtë snap-in, administratori mund të vendosë MTU për përshtatësin, i cili ndonjëherë është gjithashtu i nevojshëm për rrjete specifike.
Funksioni i përditësuar i njoftimit
Me ndihmën e një grupi të zgjeruar njoftimesh në e-mail në Kerio Control 8.5, administratorët do të informohen për ngjarjet e rëndësishme të rrjetit dhe statusin e sistemit. Duhet të theksohet se për këtë funksion është shfaqur një snap-in i veçantë, i cili ju lejon të vendosni parametrat e sinjalizimeve të nevojshme në detaje.
Kështu, për shembull, mund të konfiguroni njoftimet që t'u dërgohen jo vetëm administratorëve, por edhe përdoruesit e zakonshëm. Ndoshta kjo veçori do të jetë shumë e dobishme për monitorimin e përdorimit të rrjetit të korporatës nga menaxhmenti ose analistët që nuk kanë të drejta administrative. Vlen gjithashtu të përmendet aftësia për të kërkuar një ngjarje në cilindo prej regjistrave duke përdorur një shprehje ose model të rregullt, i cili do t'ju lejojë të identifikoni shpejt problemet e mundshme të cilat janë të vështira për t'u diagnostikuar në rrjet i madh. Ai mbështet dërgimin e mesazheve jo vetëm për përdorues të veçantë, por edhe për individë kuti postare, e cila mund të mos jetë e lidhur në asnjë mënyrë me përdoruesit e korporatave. Zbatohet edhe funksioni i vonesës së dërgimit të mesazheve dhe përcaktimit të orarit. Në përgjithësi, kjo risi duhet të ketë një ndikim pozitiv në efikasitetin e zgjidhjes së problemeve të ndryshme.
konkluzionet
Kerio, si gjithmonë, i kënaqi administratorët me veçori të reja në produktin e tij kryesor Kerio Control 8.5. Vini re se ky produkt është një zgjidhje gjithëpërfshirëse e lehtë për t'u përdorur për menaxhimin e mbrojtjes nga kërcënimet për një rrjet të korporatës. Aftësitë e Kerio Control 8.5 janë shumë të gjera dhe e lejojnë atë të përdoret si në institucione të vogla ashtu edhe në kompani të mëdha dhe të mesme me një rrjet të shpërndarë zyrash në të gjithë botën. Administratorët në mbarë botën e vlerësojnë këtë produkt për ndërfaqen e tij intuitive të menaxhimit dhe besueshmërinë. Kerio Control 8.5 zbaton një nga sistemet më të mira Filtrimi i përmbajtjes në internet, i cili ju lejon të bllokoni në mënyrë selektive, të lejoni ose të regjistroni hyrjen në 141 kategori të përmbajtjes në ueb duke përdorur filtrin e uebit Kerio Control. Kështu, administratori mund t'i mbrojë shpejt dhe me efikasitet përdoruesit nga vizitimi i faqeve me qëllim të keq që dihet se përmbajnë viruse dhe spyware përfshihen në phishing ose vjedhje identiteti.
Rruga për në arkiv tregohet në imazhet e mëposhtme:
Supozoni se po migroni nga versioni më i fundit i KWF 6.7.1, objektivi juaj është një version funksional i Kerio Control Appliance 8.3 (versioni aktual i aplikacionit është prill 2014)
"Kompleksiteti" kryesor i kalimit në këtë rastështë nevoja për të kryer jo një përmirësim të drejtpërdrejtë nga KWF 6.7.1 në Kerio Control 8.3, por një kalim gradual në disa versione "të mëdha". Kjo nevojë për shkak të përfshirjes në skedarët e konfigurimit të këtyre versioneve "madhore" të disa veçorive që kërkojnë përpunim pas instalimit të aplikacionit.
Për të migruar nga KWF 6.7.1 në Kerio Control 8.3, duhet të ekzekutoni hapat e ardhshëm përditësime:
1. Përmirëso në Kerio Control 7.0.0
2. Përmirëso në Kerio Control 7.1.0
3. Përditëso në Kerio Control 7.4.2 ( Versioni perfundimtar për Windows)
Ju mund të shkarkoni shpërndarjet e nevojshme nga arkivi ynë i lëshimit.
Procesi i përditësimit nga versioni në version është instalim normal versioni i ri "në krye" të atij të vjetër. Instaluesi do të dalë automatikisht shërbimi i sistemit Kerio Control (Kerio Winroute Firewall), do të përcaktojë direktorinë e instalimit versioni aktual Kerio Control (Kerio Win-route Firewall) dhe do të zëvendësojë skedarët e aplikacionit që duhet të përditësohen; skedarët e regjistrit të aplikacionit dhe skedarët e konfigurimit të përdoruesit ruhen të pandryshuar. Skedarët e konfigurimit do të ruhen në një direktori të veçantë "UpgradeBackups" që ndodhet në rrënjën e drejtorisë %programmfiles%\Kerio\.
Videoklipi i procesit të përditësimit të rregullt:
Shkoni në versioni më i fundit i Windows Kerio Control 7.4.2 do të jetë hapi i fundit i përmirësimit brenda kësaj platforme. Fazat e ardhshme të tranzicionit janë përgatitja e platformës së aplikacionit, transferimi i konfigurimit, baza e të dhënave të regjistrave dhe statistikat e përdoruesve.
Kalimi në platformën e aplikacionit.
Në këtë seksion, ne do të shikojmë opsionet e vendosjes për shpërndarje të ndryshme të aplikacionit të Kerio Control.
Instalimi i pajisjes softuerike
Ky version i paketës së instalimit mund të vendoset në mënyrat e mëposhtme:
- Një imazh ISO mund të shkruhet në një media fizike CD ose DVD, e cila më vonë duhet të përdoret për të instaluar Kerio Control në një host fizik ose virtual.
- Në rastin e përdorimit të kompjuterëve virtualë, imazhi ISO mund të montohet si një CD/DVD-ROM virtual për të kryer instalimin prej tij, pa qenë nevoja ta digjni atë në media fizike.
- Imazhi ISO mund të digjet në USB flash drive dhe instaloni prej tij. Për udhëzime të hollësishme, ju lutemi referojuni artikullit përkatës (kb.kerio.com/928) në bazën tonë të njohurive.
Instalimi i pajisjes virtuale VMware
Për të instaluar Kerio Control VMware Virtual Appliance në mjete të ndryshme virtualizimi nga VMware, përdorni versionin e duhur të shpërndarjes Kerio Control VMware Virtual Appliance:
Për VMware Server, Workstation, Player, Fusion, përdorni skedarin zip (*.zip) VMX:
Instalimi i një moduli virtual në luajtësin VMware 
- Për VMware ESX/ESXi/vSphere Hypervisor, përdorni lidhjen speciale OVF për të importuar modulin virtual, i cili duket si ky:
VMware ESX/ESXi do të shkarkojë automatikisht skedarin e konfigurimit OVF dhe virtualin përkatës hard disk(.vmdk)
Kur përdorni formatin OVF, duhet të merren parasysh aspektet e mëposhtme:
- Në njësinë virtuale Kerio Control, sinkronizimi i kohës me serverin e virtualizimit është i çaktivizuar. Megjithatë, Kerio Control ka mjete të integruara për të sinkronizuar kohën me burimet e rrjetit publik të kohës së internetit. Kështu, përdorimi i sinkronizimit midis makinës virtuale dhe serverit të virtualizimit është opsional.
- Detyrat e "fikjes" dhe "rinisjes" së makinës virtuale do të vendosen në vlerat "default". Mundësia për të vendosur këto vlera në mbyllje "të detyruar" dhe rinisje "të detyruar" ruhet, megjithatë, këto opsione të mbylljes dhe rinisjes mund të shkaktojnë humbje të të dhënave në modulin virtual Kerio Control. Moduli virtual Kerio Control mbështet të ashtuquajturat. Soft Shutdown dhe Soft Reboot ju lejojnë të mbyllni ose rindizni sistemin operativ të ftuar në mënyrën e duhur, kështu që rekomandohet të përdorni vlerat e paracaktuara.
Instalimi i një pajisjeje virtuale (ovf) në VMware vSphere 
Instalimi i pajisjes virtuale për Hyper-V
- Shkarkoni paketën e shpërndarjes të arkivuar (*.zip), zbërthejeni atë në dosjen e dëshiruar.
- Krijo një të re Makine virtuale, zgjidhni opsionin "Përdor një virtual ekzistues HDD”, duke specifikuar si imazh të diskut skedarin e zbërthyer nga arkivi i shkarkuar
Instalimi i një pajisjeje virtuale në MS Hyper-V
Tjetra pikë e rëndësishme përgatitja për kalimin në platformën Appliance, është vendosjen e duhur ndërfaqet e rrjetit në platformën e zgjedhur të pajisjes.
Konfigurimi i ndërfaqeve të rrjetit në aplikacionin softuerik
Në ndërfaqen pseudografike të aplikacionit Kerio Control Software, mund të konfiguroni adresën IP/adresat e shumta në modalitetin statik ose dinamik, të krijoni ndërfaqe VLAN dhe të konfiguroni ndërfaqen në modalitetin PPPoE.
Shënim: Konfigurimi fillestar ndërfaqet e rrjetit në vetë shpërndarjen e aplikacionit Kerio Control Software janë identike për të gjitha asambletë e Kerio Control Appliance, ka dallime vetëm kur konfiguroni ndërfaqet e rrjetit virtual në mjedise të ndryshme virtualizimi ku mund të përdoret Kerio Control.
Sigurimi i ndërfaqeve të rrjetit virtual në Hyper-V
Për të kryer korrekt dhe minimal cilësimet e nevojshme Ndërprerës virtual Hyper-V, do t'ju duhet të përfundoni hapat e mëposhtëm:
Harta e ndërfaqeve fizike dhe virtuale të rrjetit 
Kontrollimi i pranisë së shërbimit të urës virtuale në ndërfaqet fizike të rrjetit të serverit 
Për një opsion konfigurim i shpejtë Ndërfaqet e rrjetit Kerio Control Hyper-V virtuale Pajisja shikoni videoklipin e mëposhtëm:
Sigurimi i ndërfaqeve të rrjetit virtual në VMware vSphere
Përafërsisht i njëjti zinxhir veprimesh është në rastin e përgatitjes së ndërfaqeve të rrjetit virtual në vSphere.
Krijimi i disa ndërprerësve virtualë, numri varet nga nevojat tuaja për komunikime të rrjetit virtual. 
Krijimi i një ndërprerës virtual në VMware vSphere 
Krijimi i një ndërprerës virtual në VMware vSphere 
Shtimi i ndërfaqeve të duhura të rrjetit fizik në çelësat virtualë në mënyrë që LAN-i fizik i ndërmarrjes të mund të ndërveprojë me ta 
Harta e ndërprerësve virtualë të krijuar në ndërfaqet virtuale të rrjetit të Kerio Control VMware Virtual Appliance 
Pasi të jetë vendosur montimi i pajisjes dhe të jenë konfiguruar ndërfaqet e rrjetit, mund të vazhdoni të transferoni konfigurimin kryesor të përdoruesit nga versionet e Windows Kerio Control.
Vetë procesi i transferimit të konfigurimit përbëhet nga dy hapa:
Ruajtja e konfigurimit aktual duke përdorur Asistentin e konfigurimit
Kur ruani konfigurimin, rekomandohet të mbani mend, ose më mirë të shkruani, adresat MAC të ndërfaqeve tuaja aktuale të rrjetit dhe korrespondencën e tyre me adresat IP të përdorura. Kjo do të nevojitet kur të rivendosni konfigurimin në instalim i ri Pajisja e kontrollit Kerio.
Procesi i ruajtjes së konfigurimit tregohet në imazhet më poshtë:
Pas këtij hapi, ju keni ruajtur një arkiv që përfshin të gjithë skedarët e konfigurimit të përdoruesit të versionit aktual të Kerio Control.
Hapi tjetër është të rivendosni konfigurimin e ruajtur më parë në pajisje. Gjatë rivendosjes së konfigurimit, ndihmësi i konfigurimit do të ofrojë të përputhet me konfigurimin e ndërfaqeve të vjetra të rrjetit me ato të reja të përdorura në serverin Kerio Control Appliance.
Shënim: Ky është pikërisht momenti kur keni nevojë për informacione në lidhje me adresat MAC dhe IP nga serveri i vjetër, të cilin e keni shkruar ose mbajtur mend kur keni ruajtur konfigurimin në atë të vjetër.
Procesi i rivendosjes së konfigurimit tregohet në imazhet më poshtë:
Për të ruajtur konfigurimin, serveri Kerio Control Appliance do të ekzekutohet rindezje automatike, pas së cilës mund të përdoret.
Dhe këtu fillon argëtimi! Ajo që do të lexoni më poshtë nuk përshkruhet në asnjë dokument zyrtar, madje as në dokumentacion jozyrtar, d.m.th. këtu do të vendosen disa "hake të drejtpërdrejta" të pranueshme, përdorimi i të cilave do t'ju ndihmojë për ta bërë këtë proces i rëndësishëm, kalimi në platformën Kerio Control Appliance.
Dhe si zakonisht, përpara se të kalojmë në një përshkrim të drejtpërdrejtë me ju, "mohimi" i zakonshëm:
E RËNDËSISHME: Procedura e përshkruar më poshtë nuk është një mundësi e dokumentuar, prandaj, për të shmangur pasojat e padëshiruara, para se të filloni të migroni të dhënat, krijoni një kopje rezervë të plotë të tyre duke i kopjuar të dhënat në një ruajtje të sigurt.
Dhe kështu ne shkelim! Së pari, le të ruajmë bazën e të dhënave aktuale të protokollit të aplikacionit. Për ta bërë këtë, duhet të ruani skedarët e protokollit, të cilët ndodhen në shtegun e specifikuar.
%programfiles%\kerio\winroute firewall\logs\*
Për sigurinë më të mirë të këtyre të dhënave, rekomandohet që t'i rezervoni ato në një hapësirë ruajtëse të sigurt të disponueshme përpara se të kryeni migrimin.
Pastaj, ruajmë bazën aktuale të të dhënave të statistikave të përdoruesve. I gjithë ky informacion është i përqendruar në skedarin e bazës së të dhënave firebird, i vendosur në dosje
%programfiles%\kerio\winroute firewall\star\data\
Nga atje, gjithçka që na nevojitet është skedari star.fdb. Për sigurinë më të mirë të këtyre të dhënave, rekomandohet të bëni kopje rezervë në një hapësirë ruajtëse të sigurt të disponueshme përpara se të kryeni migrimin.
Pasi të kemi gjetur dhe ruajtur të gjithë informacionin e nevojshëm, duhet ta transferojmë në server i ri funksionon nën Kerio Control Appliance, për këtë gjëja e parë që duhet të bëni për të ngarkuar të dhënat e ruajtura më parë në Kerio Control Appliance është të aktivizoni Serveri SSH për të kryer aksesin SFTP. Për ta bërë këtë, në ndërfaqen në internet të administratës Kerio Control, shkoni te menyja Statusi -> Statusi i Sistemit, shtypni dhe mbani tastin "Shift" dhe klikoni " Veprimet". Në listën rënëse, zgjidhni " Aktivizo SSH”, konfirmoni veprimet tuaja duke rënë dakord me pyetjen në dritaren që shfaqet.
Pas kësaj, duhet të siguroheni që në rregullat e trafikut të Kerio Control të keni lejuar hyrjen në hostin e Kerio Control Appliance nga Protokolli SSH nga vendi që dëshironi.
Pasi të keni aktivizuar SSH dhe të keni lejuar aksesin e duhur, duhet të lidheni me serverin Kerio Control Appliance në mënyrë që të shkarkoni në të të dhënat e nevojshme të regjistrit dhe të dhënat e statistikave të përdoruesve. Për ta bërë këtë, ne do të përdorim aplikacionin WinSCP, i cili ju lejon të bëni lidhje duke përdorur protokollin SFTP.
Për t'u lidhur me serverin Kerio Control Appliance, duhet të specifikoni emrin e përdoruesit dhe fjalëkalimin e hyrjes, të specifikoni emrin "root" (pa thonjëza) si emër përdoruesi; si fjalëkalim, specifikoni fjalëkalimin e Kerio Control-it të integruar llogari"admin".
Parametrat e lidhjes sFTP me serverin Kerio Control 
Pas vendosjes së një lidhjeje, duhet t'i vendosni të dhënat tuaja në dosje të caktuara të serverit. Skedarët e regjistrit duhet të kopjohen në dosje /var/winroute/logs, dhe skedari i statistikave të përdoruesit në dosje /var/winroute/star/data, ndërsa skedarët e vjetër ose duhet të fshihen ose të riemërohen.
Shënim:Është më mirë të riemërtoni skedarët e vjetër për t'i ruajtur rezervë të dhënat aktuale. Në rastin e skedarëve të regjistrit të aplikacionit, vetëm skedarët e vjetër *.log duhet të riemërohen
Pas përfundimit të kopjimit, duhet të rinisni shërbimin Kerio Control. Për ta bërë këtë, duhet të keni akses të drejtpërdrejtë në serverin e pajisjes së kontrollit Kerio. Në rastin e aplikacionit softuerik, qasja bëhet përmes monitorit dhe tastierës së vetë serverit në të cilin është instaluar aplikacioni softuerik Kerio Control. Në rastin e modulit virtual Kerio Control, qasja bëhet përmes tastierës së mjedisit përkatës të virtualizimit. Në të gjitha aspektet e tjera, veprimet do të jenë të njëjta.
Për të kaluar nga tastiera pseudografike në ndërfaqe linja e komandës, shtypni kombinimin e tastit “Alt-F2”. Në kërkesën për të futur një emër përdoruesi, specifikoni emrin "root" (pa thonjëza), shtypni "enter", në fushën e fjalëkalimit futni fjalëkalimin e llogarisë "Admin" të integruar në Kerio Control.
Shënim: Duhet pasur parasysh se OS Familje Linux futja e një fjalëkalimi nuk shfaqet as me ikona me yll, dhe nëse bëni një gabim, nuk do të jetë e mundur ta korrigjoni atë - do të duhet të vendosni përsëri fjalëkalimin.
Në vijën e komandës, shkruani sa vijon:
/etc/boxinit.d/60winroute rinisje
Kjo komandë do të rifillojë daemonin (shërbimin) Kerio Control, pas së cilës Kerio Control do të "lidhë" të dhënat e protokollit të aplikacionit të kopjuara më parë dhe statistikat e përdoruesit.
Pas fillimit të demonit Kerio Control, duhet të kontrolloni integritetin e të dhënave të transferuara, për këtë ju mund të përdorni ndërfaqen në internet të statistikave të përdoruesit dhe / ose ndërfaqen në internet të administrimit të aplikacionit Kerio Control.
Nëse gjithçka është në rregull me të gjitha të dhënat, atëherë mund të shqyrtojmë kalimin në platformë e re Kerio Control Appliance është i kompletuar dhe mbetet vetëm për të kryer procedurën e rregullt për përditësimin e Kerio Control në versionin aktual për momentin. Nëse me një pjesë të të dhënave "jo gjithçka është në rregull", atëherë ekzistojnë dy mundësi:
1) sigurohuni që të dhënat e marra nga serveri origjinal Kerio Control (KWF) të ishin fillimisht në rregull;)
2) nëse gjithçka është në rregull me të dhënat fillestare, atëherë është e nevojshme të përsëritet procedura për transferimin e asaj pjese të të dhënave me të cilën ka pasur probleme.
3) nëse zgjidhjet nga paragrafët. 1 dhe 2 nuk ndihmuan, atëherë lini një koment këtu, le të përpiqemi ta kuptojmë së bashku :)
Tani që të gjitha të dhënat e rëndësishme janë vendosur, ju mund të "tërheqni" versionin e Kerio Control Appliance në versionin aktual. Procesi i përditësimit të rregullt mund të kryhet në dy mënyra, në modalitetin automatik dhe manual.
Modaliteti i përditësimit automatik të versionit.
Kerio Control mund të kontrollojë automatikisht për versione të reja në faqen e përditësimit të Kerio.
- Opsione shtesë ", te skeda " duke kontrolluar për përditësime»
- Aktivizo opsionin " Kontrolloni periodikisht për versione të reja". Kerio Control do të kontrollojë për versione të reja çdo 24 orë. Sapo të krijohet prania e një versioni të ri, në skedën " duke kontrolluar për përditësime" do të shfaqë një lidhje për të shkarkuar përditësimin. Për të kontrolluar menjëherë për një përditësim, klikoni " Kontrolloje tani»
- Nëse dëshironi të shkarkoni versionet e përditësuara sapo të zbulohen, aktivizoni opsionin " Shkarkoni automatikisht versionet e reja". Sapo të ngarkohet versioni i ri, do të merrni një njoftim në ndërfaqen e administrimit të uebit.
- Pasi të keni shkarkuar përditësimin, klikoni " Përditëso tani»
- Konfirmoni qëllimin tuaj për të përditësuar dhe kryer rindezjen automatike pasuese të Kerio Control
- Prisni që instalimi i versionit të ri të përfundojë dhe rinisni Kerio Control.
- Përditësimi përfundoi.
Modaliteti manual përditësimet e versionit.
Ky modalitet përditësimi mund të jetë i dobishëm në rrethanat e mëposhtme:
- Rikthim në një version të mëparshëm të Kerio Control
- Përmirësimi në një version të ndërmjetëm ose jo aktual (për shembull, një version i mbyllur Beta).
- Përditësimi i portës nëse është i disponueshëm kufizimet maksimale për ITU për akses në burimet e internetit.
Për ta përmirësuar manualisht, duhet të shkarkoni një imazh të veçantë (Përmirëso imazhin) nga faqja e shkarkimit të Kerio Control (http://www.kerio.ru/support/kerio-control).
Pas shkarkimit, ndiqni këto hapa:
- Në ndërfaqen në internet të administratës, shkoni te artikulli i menysë " Opsione shtesë", te skeda " duke kontrolluar për përditësime»
- Klikoni në butonin " Zgjedhja»
- Specifikoni vendndodhjen e skedarit të imazhit të përditësimit (kerio-control-upgrade.img)
- Klikoni në butonin " Shkarko skedarin e përditësimit të versionit»
- Pas shkarkimit, klikoni në butonin Filloni përmirësimin e versionit»
- Prisni për përditësimin e versionit dhe rinisni Kerio Control
- Përditësimi përfundoi.
Voila, ju keni një portë interneti të plotë të bazuar në Kerio Control Appliance! Urime për përfundimin e kalimit në UTM Kerio Control!
Vetëm përdoruesit e regjistruar mund të marrin pjesë në sondazh.
Rreth studimit të produkteve të Kerio Technologies, e cila prodhon mbrojtje të ndryshme zgjidhje softuerike, per bizneset e vogla dhe te mesme. Sipas faqes zyrtare të kompanisë, më shumë se 60,000 kompani në mbarë botën përdorin produktet e saj.
Specialistët e SEC Consult kanë zbuluar shumë dobësi në Kerio Control, zgjidhja UTM e kompanisë, e cila kombinon funksionet e një muri zjarri, ruteri, IDS/IPS, antivirus i portës, VPN, etj. Studiuesit përshkruan dy skenarë sulmi që lejojnë një sulmues jo vetëm të marrë kontrollin e Kerio Control, por edhe mbi rrjeti i korporatës të cilat produkti duhet të mbrojë. Edhe pse zhvilluesit kanë lëshuar tashmë rregullime për shumicën e gabimeve të gjetura, studiuesit vërejnë se është ende e mundur të zbatohet një nga skenarët e sulmit.
Sipas studiuesve, zgjidhjet Kerio Control janë të cenueshme për shkak të pasigurisë Përdorimi i PHP unserialize funksionet, dhe gjithashtu për shkak të përdorimit version i vjeter PHP (5.2.13), i cili tashmë është konstatuar se ka probleme serioze. Ekspertët gjetën gjithashtu një numër të skripteve të cenueshme PHP që lejojnë sulmet XSS dhe CSRF dhe anashkalojnë mbrojtjen ASLR. Për më tepër, sipas SEC Consult, serveri në internet funksionon me privilegje rrënjësore dhe nuk ka mbrojtje kundër sulmeve me forcë brutale dhe shkeljes së integritetit të informacionit në memorie.
Skema e skenarit të sulmit të parë
Skenari i parë i sulmit i përshkruar nga ekspertët përfshin shfrytëzimin e disa dobësive në të njëjtën kohë. Sulmuesi do të duhet të përdorë inxhinierinë sociale dhe të joshë viktimën në një faqe me qëllim të keq që do të presë një skript që ju lejon të zbuloni adresën e brendshme IP të Kerio Control. Më pas, sulmuesi duhet të shfrytëzojë defektin CSRF. Nëse viktima nuk është regjistruar në panelin e kontrollit të Kerio Control, sulmuesi mund të përdorë forcën e zakonshme brutale për të zgjedhur kredencialet. Kjo do të kërkonte një cenueshmëri XSS për të anashkaluar mbrojtjen SOP. Pas kësaj, mund të vazhdoni të anashkaloni ASLR dhe të përdorni një gabim të vjetër PHP (CVE-2014-3515) për të ekzekutuar guaskën si rrënjë. Në thelb, pas kësaj, sulmuesi merr akses të plotë në rrjetin e organizatës. Videoja e mëposhtme tregon sulmin në veprim.
Skenari i dytë i sulmit përfshin shfrytëzimin e një cenueshmërie RCE, e cila lidhet me funksionin e përditësimit të Kerio Control dhe u zbulua më shumë se një vit më parë nga një prej punonjësve të SEC Consult. Ekspertët sugjerojnë përdorimin e këtij gabimi, i cili lejon ekzekutimin në distancë të kodit arbitrar, në kombinim me një dobësi XSS që lejon zgjerimin e funksionalitetit të sulmit.
Ekspertët e Kerio Technologies u njoftuan për problemet në fund të gushtit 2016. Në ky moment kompania ka lëshuar Kerio Control 9.1.3, ku shumica e dobësive janë rregulluar. Sidoqoftë, kompania vendosi të linte privilegjet rrënjësore të serverit të uebit dhe tani për tani, defekti RCE i lidhur me funksionin e përditësimit mbetet i parregulluar.
Pse është e nevojshme?
Produktet e versionit 7 të Kerio përmbajnë disa module shtesë (të reja): antivirus të integruar Sophos në vend të të zakonshmes McAfee , moduli i parandalimit të ndërhyrjeve Gërhitje . Përveç kësaj, ka disa veçori shtesë- përdorimi i shtojcave të jashtme antivirus, për shembull. E gjithë kjo kërkon përditësime të rregullta, dhe prodhuesi nuk ofron një mundësi të tillë :)
Ekziston vetëm një mënyrë - të përditësoni vetë të gjitha këto module dhe informacionin e nevojshëm për to, duke i vendosur të dhënat e përpunuara në mënyrën e duhur në produktet Kerio. Problemi nuk është të gjesh burime për një informacion të tillë, por të sigurohesh që formati i prezantimit të tij të përputhet me disa standarde, të përcaktuara qoftë nga produktet Kerio, qoftë nga mënyra se si përpunohen të dhënat e marra. Meqenëse absolutisht të gjitha modulet përdorin protokollin për përditësimin e tyre http (https ), ju duhet të krijoni një faqe interneti të strukturuar në një mënyrë të caktuar, nga e cila produkti Kerio i përgatitur për këtë do të marrë përditësime.
Çfarë nevojitet për këtë?
Në fakt, një server në internet i çdo konfigurimi, lloji dhe vendndodhjeje - të gjitha kërkesat për të janë tipike, pavarësisht nga OS. Ne e thjeshtojmë detyrën sa më shumë që të jetë e mundur - ne përdorim aftësitë e integruara të sistemit operativ Windows, d.m.th. IIS çdo version ( konsiderohen këtu IIS7).
Ne do të krijojmë një pasqyrë për produktet e mëposhtme: WebFilter, McAfee, Sophos, Snort dhe ClamAV.
Disa sqarime - Përditësime antivirus McAfee dhe ClamAV janë të vendosura në lidhje të qëndrueshme dhe, në parim, një pasqyrë nuk është aq e nevojshme për ta. Sidoqoftë, ka sisteme të mbyllura në të cilat qasja nuk ofrohet në të gjitha burimet e Internetit, por për sisteme të tilla një pasqyrë është e domosdoshme - mund të mbushet nga një USB flash drive.
Ishte e mundur të përfshihej antivirus midis produkteve në pasqyrë Avast! -- kjo nuk bëhet vetëm sepse përdorimi i këtij antivirusi nënkupton praninë licencë serveri, dhe një program i tillë përditësohet në mënyrë të pavarur. Bëni teknikisht një pasqyrë për Avast! lehtë dhe m. së shpejti do të bëhet.
Përditësimet për Snort - janë falas dhe gjithmonë të disponueshme, problemi i vetëm është se këto përditësime duhet të përpunohen sipas rregullave që përdor Kerio.
Përditësimet për Sophos Kërkohet në internet dhe burime të tilla ekzistojnë, por ato janë të paqëndrueshme për sa i përket formatit të paraqitjes së të dhënave, përditësimit dhe integritetit.
Ku të fillojmë?
Nga krijimi i strukturës së nevojshme të skedarit për ruajtjen e të dhënave. Le ta krijojmë atë në kompjuterin fizik (ose virtual) që do të presë serverin tonë të internetit.
Kjo strukturë është e thjeshtë (përsëri, për thjeshtësi, ne përdorim përshkrimin e dhënë në një nga shërbimet, të cilat do ta zbatojmë më vonë,):
Përveç kësaj, le të krijojmë një dosje për të vendosur skriptet tona dhe rezultatet e ndërmjetme - c:\autoit .
Tani le të konfigurojmë serverin në internet (duke supozuar se është e lehtë për lexuesin që ta instalojë). Ne përdorim sitin e paracaktuar të krijuar gjatë instalimit, i cili do të vendoset në c:\inetpub\wwwroot. Çfarë ndryshojmë në cilësimet:
1. Shtoni tre emra në lidhjet e faqes(të gjithë emrat janë të kushtëzuar, formati i tyre është i rëndësishëm) për protokollin http - përditësues, antivirus-updater.MyLocalDomain.ru dhe si emër - IP adresa e kompjuterit 172.16.101.1, e cila do të aksesohet nga klientët që dëgjojnë në të gjitha adresat e rrjetit për përditësime.
Pse kështu: adresa me emër përditësues kërkon praninë e një regjistrimi të duhur DNS, i cili nuk është gjithmonë i mundur. Përveç kësaj, versionet 64-bit të Kerio përpunojnë gabimisht përgjigjet DNS për emrat e shkurtër, kështu që ne do të përdorim, ku është e mundur, si emër IP adresa e serverit në internet. E gjatë Emri i domenit duhet të përdoret në versione KCONTROL 7.1.1 dhe KCONNECT 7.1.4 - Gjatësia e emrit duhet të jetë 23 karaktere, duke përfshirë pikat, ose më shumë. Natyrisht, emrat mund të zgjidhen sipas shijes tuaj.
Për përditësimet e produkteve Kerio, përdoret protokolli https . Patch-i mund të heqë një lidhje të tillë kur protokolli specifikohet drejtpërdrejt, për shembull, për WebFilter - http://updater,megjithatë, për bibliotekën Sophos autori nuk e ka parashikuar një mundësi të tillë, duke na lënë vetëm neve HTTPS është një protokoll, prandaj në lidhjet e faqes do ta tregojmë edhe me çdo certifikatë që na ofron sistemi.
2. Shto MIME- llojet e faqeve. Të gjitha vlerat e shtuara duhet të jenë të llojit tekst\e thjeshtë.
Ju duhet të shtoni vlerat e mëposhtme:
McAfee: .log .bof .gem .msc .ini .pdb .so .nrc
Gërhitja: .rregullon .db
Sophos: .ver .vdb .dat .ide .list .php
ClamAv: .cvd .cld
3. Shto hartën e modulit për skedarët te mbajtësit e ngjarjeve të sajtit.rregullat të ngjashme me atë të specifikuar për ngjarjen
skedar statik - StaticFileModule,DefaultDocumentModule,DirectoryListingModule,
sigurohuni që të përfshini një kufi të kërkesës në një skedar\direktori. Ne e quajmë si të duam.
4. Në filtrimin e kërkesave për faqe, fshini hyrjen për llojin e skedarit*.rregullat.
5. Krijoni direktori virtuale në sajt duke iu referuar asaj të krijuar më parë strukturën e skedarit dhe lejoni shikimin e përmbajtjes së drejtorive (më e lehtë, por më e pasaktë - e gjithë siti):
Kjo është e gjitha - është krijuar një faqe interneti për përditësimin e produkteve Kerio. Ne kontrollojmë disponueshmërinë e tij në rrjet duke hapur drejtoritë e nevojshme në shfletues - http://updater/snort ose http://172.16.101.1/sophos ose http://antivirus-updater.MyLocalDomain.ru/clamav
Drejtoritë boshe duhet të hapen.
Edhe një herë në lidhje me emrin e faqes: për secilin produkt, mund të përdoret emri i tij, zgjedhja varet nga versioni i produktit, bitness e OS, cilësimet DNS. Emri zgjidhet kur rregulloni një produkt specifik dhe nuk varet nga serveri në internet dhe cilësimet e tij - duhet të merret parasysh në lidhjet.
Tani mbetet për të mbushur faqen. Secili prej produkteve do të përditësohet sipas skemës së tij. c duke përdorur mjete të pavarura softuerike dhe skripta që automatizojnë këtë proces, kështu që ne do t'i shqyrtojmë ato veçmas.
Kjo teknikë është baza e serverit aktual të përditësimit -.
Serveri është konfiguruar plotësisht për t'u përdorur si një burim përditësimi për të gjithë komponentët Kerio Control dhe Kerio Connect: Sophos, McAfee
