Kerio Control — комплексная безопасность сети

Максим Афанасьев

Начиная с 1997 года компания Kerio Technologies разрабатывает и выпускает уникальные программные решения в области компьютерной безопасности для защиты внутренних сетей компаний от атак извне и создает системы для совместной работы и электронных коммуникаций. Продукты от Kerio Technologies ориентированы на средний и малый бизнес, но с успехом могут использоваться и в крупных компаниях. Стоит отметить, что программное обеспечение разрабатывается с учетом мировых тенденций в области защиты информации, а сама компания является новатором в этой области.

Прототипом программного комплекса Kerio Control, о котором пойдет речь в этой статье, был программный шлюз Winroute Pro, первая версия которого была выпущена в 1997 году. Программное обеспечение Winroute Pro представляло собой усовершенствованный прокси-сервер, предназначенный для обеспечения доступа локальных компьютеров в Интернет через один внешний интернет-канал. Этот продукт практически сразу приобрел популярность и довольно быстро стал конкурентом одного из самых распространенных на тот момент прокси-серверов WinGate. Уже тогда продукты компании Kerio отличались понятным интерфейсом и удобной настройкой, а также, что немаловажно, надежностью и безопасностью. С тех пор Kerio Winroute постоянно модернизировался, в него было добавлено множество полезных функций и возможностей. В начале своего пути он назывался Winroute Pro, затем название было изменено на Winroute Firewall, а начиная с 7-й версии продукт получил свое нынешнее название — Kerio Control.

Компания Kerio достаточно быстро осознала возможности виртуализации и встала на путь максимальной интеграции с виртуальными средами, которые сегодня активно развиваются благодаря появлению многоядерных процессоров и существенному прогрессу в области ИT. Все новые продукты Kerio теперь выпускаются для сред виртуализации VMware и Hyper-V, что позволяет разворачивать это программное обеспечение на любых платформах и переносить продукт без необходимости его переустановки на новую аппаратную платформу. Кроме того, такой подход предлагает сетевым администраторам компаний возможность более широкого выбора при построении сетевой инфраструктуры. Первоначально продукты Kerio поставлялись в виде приложения Windows, но после появления версии для систем виртуализации компания решила полностью абстрагироваться от операционной системы и более не выпускать Kerio Control как отдельное приложение. Начиная с 8-й версии Kerio Control поставляется только в трех вариантах: Software Appliance, VMware Virtual Appliance и Hyper-V Virtual Appliance. Во всех вариантах применяется модернизированная операционная система Linux на базе Debian (используется SMP-версия с урезанным функционалом), которая не требует дополнительной длительной настойки и обслуживания. Вариант Software Appliance межсетевого экрана представлен в виде ISO-образа размером чуть более 250 Мбайт и легко устанавливается на выделенном оборудовании, не требуя при этом установки операционной системы. Вариант VMware Virtual Appliance поставляется в виде пакетов OVF и VMX для среды VMware, а Hyper-V Virtual Appliance предназначен для систем виртуализации от Microsoft, при этом все они представляют собой уже развернутую систему с настраиваемыми параметрами. Как заявляет разработчик, OVF-версия этого программного обеспечения, в принципе, может быть установлена и на другие системы виртуализации. Подобный подход позволяет более гибко подходить к реализации сети компании и отказаться от применения аппаратных решений, которые зачастую не могут быть модернизированы в аппаратной части, так как это требует существенных затрат, либо их возможности жестко ограничены.

Рассмотрим основные возможности программного обеспечения Kerio Control, а также ряд нововведений, отсутствовавших в предыдущих версиях. Напомним, что впервые 8-я версия Kerio Control была выпущена в марте этого года. На момент написания статьи помимо небольшого обновления компания Kerio выпустила в июне обновление Kerio Control 8.1, которое также привнесло некоторые дополнительные функциональные возможности.

Установка Kerio Control может производиться как с помощью Software Appliance, то есть развертывания системы с отдельного ISO-образа, так и посредством инициализации виртуальный машины на сервере виртуализации. Последний способ предполагает несколько путей установки, среди которых — возможность автоматической загрузки последней версии Kerio Control с сайта производителя через Vmware VA Marketplace. При установке с ISO-образа все шаги по развертыванию Kerio Control заключаются в ответах администратора на несколько простых вопросов мастера установочного процесса. Инициализация виртуальной машины Kerio Control позволяет пропустить основной этап установки, а администратору требуется только задать первоначальные параметры виртуальной машины: количество процессоров, объем оперативной памяти, количество сетевых адаптеров и размер дисковой подсистемы. В базовой версии виртуальная машина Kerio Control имеет самые минимальные параметры, однако для выполнения дальнейшего администрирования необходим как минимум один сетевой адаптер указанный в свойствах машины.

После установки системы тем или иным способом и успешной инициализации Kerio Control пользователю будет доступна базовая настройка сетевой конфигурации через консоль управления (рис. 1). По умолчанию сетевые адаптеры, подключенные к Kerio Control, пытаются получить IP-адреса с помощью DHCP. Если получение IP-адресов прошло успешно, администратор может подключиться к Kerio Control через локальную сеть, введя отображенный в консоли управления IP-адрес. Базовая консоль управления позволяет настроить сетевые настройки адаптеров, сбросить Kerio Control на базовые параметры, перегрузить или выключить Kerio Control. Стоит отметить, что при необходимости возможен выход в полноценную командную оболочку bash операционной системы путем нажатия сочетания клавиш Alt + F2-F3. Для входа в систему потребуется ввести логин root и пароль администратора, заданный при установке Kerio Control. Дополнительная отладочная информация может быть вызвана посредством нажатия сочетания клавиш Alt + F4-F5. Дальнейшая настройка параметров происходит через веб­консоль администрирования по шифрованному каналу SSL.

 

Рис. 1. Консоль управления

Все параметры можно установить посредством панели управления, которая работает через защищенный веб­интерфейс (рис. 2). Работа с таким интерфейсом осуществляется через защищенный протокол HTTPS/SSL. Консоль администрирования позволяет управлять всеми настройками межсетевого экрана. По сравнению с предыдущими версиями, основанными на 7-й версии Kerio Control, дизайн этой панели управления претерпел существенные изменения. Так, первая страница панели управления имеет плиточный настраиваемый интерфейс («Панель мониторинга»), в который можно добавлять или удалять необходимые элементы для быстрой диагностики состояния Kerio Control. Это очень удобно, поскольку администратор сразу видит загрузку каналов связи, активность пользователей, состояние системы, VPN-подключения и т.д.

 

Рис. 2. Панель управления

В обновленную версию Kerio Control 8.1 добавлены следующие опции: сохранение конфигурации и настроек в облачном сервисе Samepage.io в автоматическом режиме, мониторинг параметров посредством протокола SNMP, возможность использования инструментов отладки Ping, Traceroute, DNS Lookup, Whois от имени шлюза Kerio Control в веб­интерфейсе администрирования. Кроме того, теперь Kerio Control поддерживает регулярные выражения для URL-адресов, автоматическое поднятие VPN-туннелей, защиту от перебора паролей и более расширенные возможности по анализу пакетов. Необходимо также отметить, что в последней версии Kerio Control Software Appliance добавлена поддержка большего количества RAID-контроллеров, что позволит расширить возможности по развертыванию этой системы на отдельных аппаратных платформах.

Веб-интерфейс управления Kerio Control имеет не только административную панель, но и отдельный пользовательский интерфейс (рис. 3). Административная панель не имеет возможности что­то изменять в Kerio Control, но позволяет отслеживать статистику пользователей или пользователя в течение различных промежутков времени. Статистика предоставляет данные о посещаемых ресурсах, объеме переданных данных и прочей информации. Если пользователь имеет административный аккаунт в системе Kerio Control, он может получать статистические данные и о других пользователях системы через эту панель управления. Точная и продуманная статистика помогает администратору выяснить предпочтения пользователей при работе в Интернете, находить критические элементы и проблемы. Панель формирует подробную гистограмму использования трафика для каждого пользователя в сети. Администратор может выбрать период, за который он хочет отследить использование трафика: два часа, день, неделя и месяц. Кроме того, Kerio Control показывает статистику фактического использования трафика по его типам: HTTP, FTP, электронная почта, потоковые мультимедийные протоколы, обмен данными напрямую между компьютерами или прокси.

 

Рис. 3. Панель пользователя

Для современной компании, филиалы которой могут быть расположены по всему миру, защищенное подключение к корпоративной сети является необходимым условием, поскольку сегодня активно развит аутсорсинг. С помощью Kerio Control установка виртуальной частной сети практически не требует усилий. Сервер и клиенты VPN являются составляющей частью возможностей Kerio Control по безопасному удаленному доступу к корпоративной сети. Использование виртуальной сети Kerio VPN позволяет пользователям удаленно подключаться к любым ресурсам корпоративной сети и работать с сетью организации, как будто это их собственная локальная сеть. Встроенный в продукт Kerio Control сервер VPN позволяет организовать VPN-сети по двум различным сценариям: «сервер — сервер» и «клиент — сервер» (используется Kerio VPN Client для Windows, Mac и Linux). Режим «сервер — сервер» применяется компаниями, которые желают подключить по защищенному каналу удаленный офис для совместного использования общих ресурсов. Данный сценарий требует наличия Kerio Control на каждой из соединяющихся сторон для установки защищенного канала через открытую сеть Интернет. Режим «клиент — сервер» позволяет удаленному пользователю безопасно подключить к корпоративной сети ноутбук или домашний компьютер. Как известно многим системным администраторам, протоколы VPN и NAT (трансляция сетевых адресов) не всегда поддерживают совместную работу. Решение Kerio VPN создано с целью надежной работы через NAT и даже через ряд шлюзов NAT. Kerio VPN применяет стандартные алгоритмы шифрования SSL для управления каналом (TCP) и Blowfish при передаче данных (UDP), а также поддерживает IPSec.

Шлюз Kerio Control имеет встроенную защиту от вирусов, которая обеспечивается путем проверки как входящего, так и исходящего трафика. Если ранее в Kerio Control применялся встроенный антивирус от компании McAfee, то в последних версиях используется антивирус фирмы Sophos. Администратор может устанавливать правила проверки для трафика по различным протоколам: SMTP и POP3, WEB (HTTP) и пересылку файлов (FTP). Встроенный в брандмауэр антивирус, установленный на шлюзе, обеспечивает полную защиту проходящего через шлюз трафика. Поскольку интегрированный антивирус может получать обновления с новыми базами вирусов в реальном времени, это значительно повышает уровень безопасности сети, наряду с применением антивирусных программ на каждом компьютере локальной сети. Антивирус проверяет входящие и исходящие сообщения, а также все вложения. При обнаружении вируса во вложении удаляется всё вложение, а к письму добавляется уведомление. Кроме того, Kerio Control проверяет весь сетевой трафик, включая HTML-страницы, на встроенные вирусы. На вирусы также проверяются файлы, загруженные через HTTP, и файлы, переданные по FTP-протоколу. Кроме того, следует отметить, что для организаций и таких учреждений, как, например, школы, которые не хотят, чтобы их сотрудники и клиенты посещали определенные страницы, Kerio Control со встроенным фильтром Kerio Control Web Filter (поставляется как опция за дополнительную плату) предоставляет дополнительные возможности по блокированию страниц в Интернете.

Kerio Control позволяет администраторам не только создавать общую стратегию использования трафика, но и устанавливать и применять ограничения для каждого пользователя. Перед тем как получить доступ в Интернет, каждый пользователь должен авторизоваться в Kerio Control. Учетные записи пользователей хранятся в отдельной внутренней базе данных пользователей либо берутся из корпоративной базы Microsoft Active Directory или Apple Open Directory. Возможно параллельное использование как локальной, так и доменной баз пользователей. В случае использования интеграции с Microsoft Active Directory авторизация клиентов может происходить прозрачно для пользователей домена за счет NTLM-аутентификации. Являясь частью Windows 2008/2012 Server, Active Directory позволяет администраторам централизованно управлять учетными записями пользователей и данными о сетевых ресурсах. Active Directory обеспечивает доступ к информации о пользователях с одного компьютера. Поддержка Active Directory/Open Directory открывает Kerio Control доступ к базе данных пользователей в режиме реального времени и позволяет устанавливать пользователя в локальной сети без сохранения пароля. Таким образом, не нужно синхронизировать пароли для каждого пользователя. Все изменения в Microsoft Active Directory/Open Directory автоматически отражаются и в Kerio Control.

Администратор может установить различные ограничения на права доступа для каждого пользователя. Действие этих правил можно задать для определенных промежутков времени и установить различные ограничения на использование трафика. Когда предел достигнут, Kerio Control отправляет по электронной почте предупреждение пользователю и администратору либо администратор блокирует этого пользователя до конца дня либо месяца.

В заключение стоит отметить, что Kerio Control является весьма популярным продуктом среди системных администраторов благодаря его неоспоримым преимуществам, которые он имеет по сравнению, например, с аналогичными решениями, входящими в стандартный пакет операционных систем на базе Linux (к примеру, iptables). Быстрая настройка, широкие возможности и высокая степень защиты — всё это делает данный программный продукт привлекательным для небольших компаний.

 

В начало В начало

КомпьютерПресс 07'2013