Maksim Afanasyev
1997 yildan beri Kerio Technologies kompaniyaning ichki tarmoqlarini tashqi hujumlardan himoya qilish va hamkorlik va elektron aloqa tizimlarini yaratish uchun kompyuter xavfsizligi sohasida noyob dasturiy yechimlarni ishlab chiqmoqda va chiqarmoqda. Kerio Technologies kompaniyasining mahsulotlari o'rta va kichik biznesga qaratilgan, ammo yirik kompaniyalarda ham muvaffaqiyatli qo'llanilishi mumkin. Ta'kidlash joizki, dasturiy ta'minot axborot xavfsizligi sohasidagi global tendentsiyalarni hisobga olgan holda ishlab chiqilgan va kompaniyaning o'zi bu sohada innovator hisoblanadi.
Ushbu maqolada muhokama qilinadigan Kerio Control dasturiy paketining prototipi Winroute Pro dasturiy shlyuzi bo'lib, uning birinchi versiyasi 1997 yilda chiqarilgan. Winroute Pro dasturi mahalliy kompyuterlarni yagona tashqi Internet kanali orqali Internetga kirishni ta'minlash uchun mo'ljallangan rivojlangan proksi-server edi. Ushbu mahsulot deyarli darhol mashhurlikka erishdi va tezda o'sha paytdagi eng keng tarqalgan proksi-serverlardan biri WinGate-ga raqobatchi bo'ldi. Shunga qaramay, Kerio mahsulotlari aniq interfeys va qulay konfiguratsiya, shuningdek, eng muhimi, ishonchlilik va xavfsizlik bilan ajralib turardi. O'shandan beri Kerio Winroute doimiy ravishda modernizatsiya qilindi, unga ko'plab foydali xususiyatlar va imkoniyatlar qo'shildi. Sayohatining boshida u Winroute Pro deb nomlangan, keyin nomi Winroute Firewall ga o'zgartirildi va 7-versiyadan boshlab mahsulot hozirgi nomini oldi - Kerio Control.
Kerio virtualizatsiya imkoniyatlarini tezda anglab etdi va bugungi kunda ko'p yadroli protsessorlarning paydo bo'lishi va IT sohasidagi sezilarli yutuqlar tufayli faol rivojlanayotgan virtual muhitlar bilan maksimal integratsiya yo'liga tushdi. Barcha yangi Kerio mahsulotlari endi VMware va Hyper-V virtualizatsiya muhitlari uchun mavjud bo'lib, bu sizga dasturiy ta'minotni istalgan platformada joylashtirish va mahsulotni yangi apparat platformasiga qayta o'rnatmasdan ko'chirish imkonini beradi. Bundan tashqari, ushbu yondashuv kompaniya tarmoq ma'murlariga tarmoq infratuzilmasini qurishda kengroq tanlovni taklif qiladi. Dastlab, Kerio mahsulotlari Windows ilovasi sifatida yetkazib berilgan, biroq virtualizatsiya tizimlari uchun versiya chiqarilgandan so'ng kompaniya operatsion tizimdan butunlay abstraktsiya qilishga qaror qildi va endi Kerio Controlni alohida dastur sifatida chiqarmaydi. 8-versiyadan boshlab, Kerio Control faqat uchta xilda keladi: Software Appliance, VMware Virtual Appliance va Hyper-V Virtual Appliance. Barcha variantlar Debian-ga asoslangan modernizatsiya qilingan Linux operatsion tizimidan foydalanadi (funktsionalligi kamaytirilgan SMP versiyasi ishlatiladi), bu qo'shimcha uzoq sozlash va texnik xizmat ko'rsatishni talab qilmaydi. Xavfsizlik devori dasturiy ta'minot qurilmasi hajmi 250 MB dan salgina ko'proq bo'lgan ISO tasviri sifatida mavjud va operatsion tizimni o'rnatishni talab qilmasdan, maxsus uskunaga osongina o'rnatilishi mumkin. VMware Virtual Appliance VMware muhitlari uchun OVF va VMX paketlarida keladi va Hyper-V Virtual Appliance Microsoft virtualizatsiya tizimlari uchun moʻljallangan boʻlib, barchasi oldindan sozlanishi mumkin boʻlgan opsiyalarga ega. Ishlab chiquvchining fikriga ko'ra, ushbu dasturiy ta'minotning OVF versiyasi, qoida tariqasida, boshqa virtualizatsiya tizimlariga o'rnatilishi mumkin. Ushbu yondashuv kompaniya tarmog'ini amalga oshirishga yanada moslashuvchan yondashuvga imkon beradi va ko'pincha apparatda yangilanib bo'lmaydigan apparat echimlaridan foydalanishdan voz kechadi, chunki bu katta xarajatlarni talab qiladi yoki ularning imkoniyatlari qat'iy cheklangan.
Keling, Kerio Control dasturining asosiy xususiyatlarini, shuningdek, oldingi versiyalarda etishmayotgan bir qator yangiliklarni ko'rib chiqaylik. Eslatib o‘tamiz, Kerio Control’ning 8-versiyasi ilk bor joriy yilning mart oyida chiqarilgan edi. Yozish paytida, kichik yangilanishdan tashqari, Kerio iyun oyida Kerio Control 8.1 yangilanishini chiqardi, bu esa qo'shimcha funktsiyalarni ham olib keldi.
Kerio Control-ni o'rnatish Software Appliance yordamida, ya'ni tizimni alohida ISO tasviridan joylashtirish yoki virtualizatsiya serverida virtual mashinani ishga tushirish orqali amalga oshirilishi mumkin. Oxirgi usul bir nechta o'rnatish yo'llarini o'z ichiga oladi, jumladan, Kerio Controlning so'nggi versiyasini Vmware VA Marketplace orqali ishlab chiqaruvchining veb-saytidan avtomatik ravishda yuklab olish imkoniyati. ISO tasviridan o'rnatishda Kerio Control-ni o'rnatish bo'yicha barcha qadamlar administratorning o'rnatish ustasidan bir nechta oddiy savollarga javob berishini o'z ichiga oladi. Kerio Control virtual mashinasini ishga tushirish sizga asosiy o'rnatish bosqichini o'tkazib yuborishga imkon beradi va administrator virtual mashinaning dastlabki parametrlarini o'rnatishi kerak: protsessorlar soni, operativ xotira miqdori, tarmoq adapterlari soni va o'lchami. disk quyi tizimi. Asosiy versiyada Kerio Control virtual mashinasi eng minimal parametrlarga ega, ammo keyingi boshqaruvni amalga oshirish uchun mashina xususiyatlarida ko'rsatilgan kamida bitta tarmoq adapteri kerak bo'ladi.
Tizimni u yoki bu tarzda o'rnatgandan so'ng va Kerio Control-ni muvaffaqiyatli ishga tushirgandan so'ng, foydalanuvchi boshqaruv konsoli orqali asosiy tarmoq konfiguratsiyasi sozlamalariga kirish huquqiga ega bo'ladi (1-rasm). Odatiy bo'lib, Kerio Control-ga ulangan tarmoq adapterlari DHCP yordamida IP-manzillarni olishga harakat qiladi. Agar IP manzillarini olish muvaffaqiyatli bo'lsa, administrator boshqaruv konsolida ko'rsatilgan IP manzilni kiritish orqali mahalliy tarmoq orqali Kerio Control-ga ulanishi mumkin. Asosiy boshqaruv konsoli sizga tarmoq adapteri sozlamalarini sozlash, Kerio Control-ni asosiy sozlamalarga qaytarish, Kerio Control-ni qayta ishga tushirish yoki o'chirish imkonini beradi. Shuni ta'kidlash kerakki, agar kerak bo'lsa, Alt + F2-F3 tugmalar birikmasini bosish orqali operatsion tizimning to'liq bash buyruqlar qobig'iga chiqishingiz mumkin. Tizimga kirish uchun Kerio Control-ni o'rnatishda ko'rsatilgan root login va administrator parolini kiritishingiz kerak bo'ladi. Qo'shimcha disk raskadrovka ma'lumotlarini Alt + F4-F5 tugmalarini bosish orqali chaqirish mumkin. Parametrlarning keyingi konfiguratsiyasi SSL shifrlangan kanal orqali veb-ma'muriyat konsoli orqali amalga oshiriladi.
Guruch. 1. Boshqaruv konsoli
Barcha parametrlar xavfsiz veb-interfeys orqali ishlaydigan boshqaruv paneli orqali o'rnatilishi mumkin (2-rasm). Bunday interfeys bilan ishlash xavfsiz HTTPS/SSL protokoli orqali amalga oshiriladi. Boshqaruv konsoli barcha xavfsizlik devori sozlamalarini boshqarish imkonini beradi. Kerio Control-ning 7-versiyasiga asoslangan oldingi versiyalar bilan taqqoslaganda, ushbu boshqaruv panelining dizayni sezilarli o'zgarishlarga duch keldi. Shunday qilib, boshqaruv panelining birinchi sahifasida plitkali, sozlanishi interfeys ("Boshqaruv paneli") mavjud bo'lib, unga Kerio Control holatini tezda tashxislash uchun kerakli elementlarni qo'shishingiz yoki olib tashlashingiz mumkin. Bu juda qulay, chunki ma'mur darhol aloqa kanallari, foydalanuvchi faoliyati, tizim holati, VPN ulanishlari va boshqalardagi yukni ko'radi.
Guruch. 2. Boshqaruv paneli
Kerio Control 8.1 ning yangilangan versiyasiga quyidagi variantlar qo'shildi: Samepage.io bulut xizmatida konfiguratsiya va sozlamalarni avtomatik rejimda saqlash, SNMP protokoli orqali parametrlarni kuzatish, Ping, Traceroute, DNS qidiruvi, disk raskadrovka vositalaridan foydalanish imkoniyati, Ma'muriyat veb-interfeysida Kerio Control shlyuzi nomidan Whois. Bundan tashqari, Kerio Control endi URL-manzillar uchun oddiy iboralarni, VPN tunnellarini avtomatik ko'tarishni, parolni qo'pol kuchdan himoya qilishni va yanada rivojlangan paketlarni tahlil qilish imkoniyatlarini qo'llab-quvvatlaydi. Shuni ham ta'kidlash kerakki, Kerio Control Software Appliance-ning so'nggi versiyasi ko'proq RAID kontrollerlarini qo'llab-quvvatladi, bu esa ushbu tizimni individual apparat platformalarida joylashtirish imkoniyatini kengaytiradi.
Kerio Control veb-boshqaruv interfeysi nafaqat ma'muriy panelga, balki alohida foydalanuvchi interfeysiga ham ega (3-rasm). Boshqaruv paneli Kerio Control-da biror narsani o'zgartirish imkoniyatiga ega emas, lekin foydalanuvchi yoki foydalanuvchi statistikasini turli vaqt oralig'ida kuzatish imkonini beradi. Statistik ma'lumotlar tashrif buyurilgan resurslar, uzatilgan ma'lumotlar miqdori va boshqa ma'lumotlarni taqdim etadi. Agar foydalanuvchi Kerio Control tizimida ma'muriy hisob qaydnomasiga ega bo'lsa, u ushbu boshqaruv paneli orqali tizimning boshqa foydalanuvchilari haqidagi statistik ma'lumotlarni olishi mumkin. To'g'ri va puxta o'ylangan statistika ma'murga Internetda ishlashda foydalanuvchining afzalliklarini aniqlashga, muhim elementlar va muammolarni topishga yordam beradi. Panel tarmoqdagi har bir foydalanuvchi uchun trafikdan foydalanishning batafsil histogrammasini yaratadi. Administrator trafikdan foydalanishni kuzatmoqchi bo'lgan davrni tanlashi mumkin: ikki soat, bir kun, bir hafta va bir oy. Bundan tashqari, Kerio Control turi bo'yicha haqiqiy trafikdan foydalanish statistikasini ko'rsatadi: HTTP, FTP, elektron pochta, oqimli multimedia protokollari, to'g'ridan-to'g'ri kompyuterlar yoki proksi-serverlar o'rtasida ma'lumotlar almashinuvi.
Guruch. 3. Foydalanuvchi paneli
Filiallari butun dunyoda joylashgan bo'lishi mumkin bo'lgan zamonaviy kompaniya uchun korporativ tarmoqqa xavfsiz ulanish zaruriy shartdir, chunki bugungi kunda autsorsing faol rivojlanmoqda. Kerio Control bilan VPN-ni sozlash deyarli oson emas. VPN serveri va mijozlari Kerio Control-ning korporativ tarmoqqa xavfsiz masofaviy kirishining bir qismidir. Kerio VPN virtual tarmog'idan foydalanish foydalanuvchilarga korporativ tarmoqdagi istalgan resurslarga masofadan ulanish va tashkilot tarmog'i bilan xuddi o'zlarining mahalliy tarmog'i kabi ishlash imkonini beradi. Kerio Control mahsulotiga o'rnatilgan VPN serveri VPN tarmoqlarini ikki xil stsenariyda tashkil qilish imkonini beradi: "server - server" va "mijoz - server" (Windows, Mac va Linux uchun Kerio VPN Client tomonidan qo'llaniladi). "Serverdan serverga" rejimi umumiy resurslarni almashish uchun xavfsiz kanal orqali masofaviy ofisni ulashni xohlaydigan kompaniyalar tomonidan qo'llaniladi. Ushbu stsenariy ochiq Internet orqali xavfsiz kanalni o'rnatish uchun ulanuvchi tomonlarning har birida Kerio Controlni talab qiladi. Mijoz-server rejimi masofaviy foydalanuvchiga noutbuk yoki uy kompyuterini korporativ tarmoqqa xavfsiz ulash imkonini beradi. Ko'pgina tizim ma'murlariga ma'lumki, VPN va NAT (Tarmoq manzili tarjimasi) protokollari har doim ham birga ishlamaydi. Kerio VPN NAT va hatto bir qator NAT shlyuzlarida ishonchli ishlash uchun mo'ljallangan. Kerio VPN standart SSL kanal boshqaruvi (TCP) va Blowfish (UDP) shifrlash algoritmlaridan foydalanadi, shuningdek, IPSec-ni qo'llab-quvvatlaydi.
Kerio Control Gateway o'rnatilgan virusdan himoyaga ega, u kiruvchi va chiquvchi trafikni skanerlash orqali ta'minlanadi. Agar ilgari Kerio Control McAfee-dan o'rnatilgan antivirusdan foydalangan bo'lsa, so'nggi versiyalar Sophos antivirusidan foydalanadi. Administrator turli xil protokollar bo'yicha trafikni tekshirish qoidalarini o'rnatishi mumkin: SMTP va POP3, WEB (HTTP) va fayllarni uzatish (FTP). Shlyuzga o'rnatilgan xavfsizlik devorining o'rnatilgan antivirusi shlyuz orqali o'tadigan trafikni to'liq himoya qiladi. Integratsiyalashgan antivirus real vaqtda yangi virus ma'lumotlar bazalari bilan yangilanishlarni olishi mumkinligi sababli, bu mahalliy tarmoqdagi har bir kompyuterda antivirus dasturlarini qo'llash bilan birga tarmoq xavfsizligi darajasini sezilarli darajada oshiradi. Antivirus kiruvchi va chiquvchi xabarlarni, shuningdek, barcha biriktirmalarni skanerlaydi. Agar qo'shimchada virus aniqlansa, butun biriktirma o'chiriladi va elektron pochtaga bildirishnoma qo'shiladi. Bundan tashqari, Kerio Control barcha tarmoq trafigini, jumladan HTML-sahifalarni o'rnatilgan viruslar uchun tekshiradi. HTTP orqali yuklangan fayllar va FTP orqali uzatiladigan fayllar ham viruslarga tekshiriladi. Bundan tashqari, shuni ta'kidlash kerakki, maktablar kabi o'z xodimlari va mijozlarining ma'lum sahifalarga kirishini istamaydigan tashkilot va muassasalar uchun Kerio Control o'rnatilgan Kerio Control veb-filtri bilan (qo'shimcha haq evaziga variant sifatida mavjud) taqdim etadi. Internetdagi sahifalarni blokirovka qilish uchun qo'shimcha imkoniyatlar.
Kerio Control administratorlarga nafaqat umumiy trafik strategiyasini yaratish, balki har bir foydalanuvchi uchun cheklovlarni o'rnatish va amalga oshirish imkonini beradi. Har bir foydalanuvchi Internetga kirishdan oldin Kerio Control tizimiga kirishi kerak. Foydalanuvchi hisoblari alohida ichki foydalanuvchi ma'lumotlar bazasida saqlanadi yoki korporativ Microsoft Active Directory yoki Apple Open Directory'dan olinadi. Mahalliy va domen foydalanuvchilari ma'lumotlar bazalaridan parallel foydalanish mumkin. Microsoft Active Directory bilan integratsiyadan foydalanilganda, mijozning avtorizatsiyasi NTLM autentifikatsiyasi orqali domen foydalanuvchilari uchun shaffof bo'lishi mumkin. Windows 2008/2012 Serverning bir qismi sifatida Active Directory ma'murlarga foydalanuvchi hisoblari va tarmoq resurslari ma'lumotlarini markazlashtirilgan holda boshqarish imkonini beradi. Active Directory foydalanuvchi ma'lumotlariga bitta kompyuterdan kirishni ta'minlaydi. Active Directory/Open Directory yordami Kerio Control-ga real vaqtda foydalanuvchi ma'lumotlar bazasiga kirish imkonini beradi va parolni saqlamasdan foydalanuvchini mahalliy tarmoqda sozlash imkonini beradi. Shunday qilib, har bir foydalanuvchi uchun parollarni sinxronlashtirishning hojati yo'q. Microsoft Active Directory/Ochiq katalogidagi barcha o'zgarishlar Kerio Control-da avtomatik ravishda aks ettiriladi.
Administrator har bir foydalanuvchi uchun turli xil kirish huquqlari cheklovlarini o'rnatishi mumkin. Ushbu qoidalar muayyan vaqt oralig'ida ishlash uchun o'rnatilishi va trafikdan foydalanishga turli cheklovlar o'rnatishi mumkin. Cheklovga erishilganda, Kerio Control foydalanuvchi va administratorga elektron pochta orqali ogohlantirish yuboradi yoki administrator ushbu foydalanuvchini kun yoki oyning qolgan qismida bloklaydi.
Xulosa qilib shuni ta'kidlash kerakki, Kerio Control tizim ma'murlari orasida juda mashhur mahsulot bo'lib, u o'zining inkor etilmaydigan afzalliklari tufayli, masalan, Linux-ga asoslangan operatsion tizimlarning standart paketiga kiritilgan shunga o'xshash echimlar (masalan, iptables) bilan solishtirgan. ). Tez sozlash, keng imkoniyatlar va yuqori darajadagi himoya - bularning barchasi ushbu dasturiy mahsulotni kichik kompaniyalar uchun jozibador qiladi.
Ko'p odamlar Kerio Control xavfsizlik devoridan foydalanadilar. U eng keng funksionallik, ishonchlilik va foydalanish qulayligiga ega. Bugun biz tarmoqli kengligini boshqarish qoidalarini qanday o'rnatish haqida gapiramiz. Oddiy qilib aytganda, foydalanuvchilar va guruhlar uchun Internetga kirish tezligini cheklashga harakat qilaylik.
Kerio Control-da foydalanuvchilar va guruhlar uchun Internet tezligini qanday cheklash mumkin
Shunday qilib, keling, Kerio Control boshqaruv paneliga o'tamiz. Chapda biz bandwidth Management bandini qidiramiz. Birinchidan, Internetga ulanish tezligini ko'rsatamiz. Pastki qismida, Internetga ulanishning tarmoqli kengligi maydonida o'zgartirish tugmasini bosing va yuklab olish va yuklash tezligini kiriting. Ushbu ma'lumotlar Kerio Control-ning to'g'ri ishlashi uchun kerak.
Endi yangi qoida qo'shing, qo'shish tugmasini bosing va nom kiriting.
Keyinchalik, "Traffic" maydonida ushbu cheklov kimga nisbatan qo'llanilishini ko'rsatishingiz kerak. Variantlar juda ko'p, lekin bizni ma'lum guruhlar va foydalanuvchilar qiziqtiradi, shuning uchun "Foydalanuvchilar va guruhlar" tugmasini bosing. Ochilgan oynada kerakli foydalanuvchilar yoki guruhni tanlang. Siz darhol guruh va foydalanuvchilarni tanlashingiz mumkin.
Endi yuklab olish tezligi chegarasini o'rnating. Biz ushbu guruhlar va foydalanuvchilar uchun jami tezlikning qancha qismini va chegaraning o'zi uchun ajratilishi kerakligini ko'rsatamiz. Yuklab olish elementi uchun biz xuddi shu narsani ko'rsatamiz.
Biz interfeys va mavjud vaqtni sukut bo'yicha qoldiramiz va ushbu qoidani qo'llaymiz.
Xayrli kun, aziz o'quvchilar va blog sayti mehmonlari, har qanday tashkilotda har doim ishlashni istamaydigan va korporativ resurslardan boshqa maqsadlarda foydalanadigan odamlar bo'ladi, men oddiy misol keltiraman: sizning kichik ofisingiz bor, deylik 50 xodimlar va tarmoqli kengligi 20 megabit va oylik trafik chegarasi 50 GB bo'lgan Internet-kanal, bu oddiy Internetdan foydalanish va biznesni qurish uchun ofis uchun etarli, ammo kechqurun yoki filmni yuklab olishni xohlaydigan odamlar bor. yangi musiqa albomi va ular ko'pincha buning uchun terrent trekerlardan foydalanadilar, men sizga Kerio Control 8-da qanday qilib p2p trafigini taqiqlashingiz va xodim uchun kunlik trafik chegarasini belgilashingiz mumkinligini ko'rsataman.
Kerio Control 8 da p2p trafigini bloklash
Shunday qilib, siz zararli yuklab oluvchi paydo bo'lgan mahalliy tarmoqni qurdingiz, menimcha, uni darhol statistika jurnallaridan aniqlaysiz, ustunlar bo'yicha filtrlaysiz. Rahbariyatdan keladigan tanbehdan tashqari, siz tizim administratori sifatida p2p trafiki orqali kontentni yuklab olishga keyingi urinishlarning oldini olishingiz kerak.
Sizda ikkita variant bor:
- P2p trafigini to'liq bloklashni yoqing
- Har bir foydalanuvchi uchun kunlik limitni belgilang
Tengdoshli trafikni bloklashdan boshlaylik, kontent filtriga o'ting va yangi qoida yarating. Qo'shish tugmasini bosing va "Ilovalar va veb-kontent toifalari" ni tanlang.
Yuklab olish bo'limini toping va "peer-to-peer tarmoq" katagiga belgi qo'ying.
Amalda, o'chirish uchun qoidalarni o'rnating.
Nazariy jihatdan, p2p trafigini to'liq blokirovka qilish uchun yaratilgan qoida kifoya qiladi, lekin men sizga Internet chegarasi bo'lsa, foydalanuvchilarga undan faqat ish uchun foydalanishni o'rgatish uchun kvotalarni belgilashni maslahat beraman. Buni amalga oshirish uchun foydalanuvchilar yorlig'iga o'ting va "Kvota" yorlig'idagi har qanday xususiyatlarda megabaytlarda kunlik chegarani belgilang.
Kerio xavfsizlik devoridan foydalanib, siz mahalliy tarmoqqa xavfsiz kompyuter ulanishini ta'minlashingiz mumkin. Shunday qilib, agar kerak bo'lsa, siz uzoq ofisdagi ba'zi xodimlar uchun hech qanday harakat qilmasdan Internetga kirishni yaratishingiz mumkin. Buni amalga oshirish uchun siz uzoq ofisdan mahalliy tarmog'ingizda VPN ulanishini yaratishingiz kerak bo'ladi. Internetga ulanish uchun interfeyslarni o'rnating va sozlang. Boshqaruv panelidagi "Yo'l harakati siyosati" yorlig'ida mahalliy trafikka ruxsat beruvchi qoida yarating.
Manbada barcha kerakli ob'ektlarni ko'rsatishni unutmang. Bundan tashqari, mahalliy foydalanuvchilarga Internetga kirishga ruxsat beruvchi qoida yaratishingiz kerak bo'ladi. Endi siz to'g'ridan-to'g'ri NAT-ni sozlashingiz kerak, chunki yaratilgan qoidalarga qaramay, ushbu funktsiyani yoqmasdan Internetga kirish imkoni bo'lmaydi. "Yo'l harakati siyosati" yorlig'ida "Eshittirish" bo'limini tanlang va "NAT manbasini yoqish" katagiga belgi qo'ying. Agar kerak bo'lsa, muvozanat yo'lini ko'rsating.