Новая версия Kerio Control 8.5 улучшает безопасность сети и удобство для пользователей
В середине февраля компания Kerio Technologies выпустила обновление своего флагманского продукта Kerio Control. В новой версии Kerio Control 8.5 предусмотрена повышенная безопасность пользователей за счет интегрирования двухшаговой проверки, а также многочисленные улучшения для удобства пользования продуктом. Kerio Control 8.5 снабжена новой системой переадресации Service Discovery, которая делает процесс настройки сети гибким и простым. Теперь удаленные пользователи могут просматривать, обнаруживать и соединяться с устройствами, такими как принтеры, файловые серверы и сканеры в различных сетях или Kerio VPN-туннелях. Кроме того, в новой версии Kerio упростила процесс установки и обновления такого важного компонента системы, как клиент Kerio VPN. При помощи нового установочного пакета возможно развертывание его через инструменты сторонних производителей, таких как Apple Remote Desktop или FileWave. Новая версия Kerio Control получила расширенный набор системных уведомлений, что позволит более оперативно информировать системных администраторов о возможных ошибках и проблемах. Но обо всем по порядку.
Напомним, что Kerio Control — это комплексное решение в области безопасности, объединяющее несколько функций, в том числе межсетевой экран (файервол) и маршрутизатор, систему обнаружения и предотвращения вторжений (IPS), антивирус, VPN и фильтр содержимого. Эти широкие возможности и непревзойденная гибкость в развертывании делают Kerio Control идеальным выбором для малых и средних предприятий. Поскольку два года назад мы уже рассказывали об этом продукте в статье «Kerio Control — комплексная безопасность сети», в этом обзоре мы основное внимание уделим нововведениям, которые были внесены в этот продукт начиная с версии Kerio Control 8.5.
Особо отметим, что компания Kerio уже давно встала на путь максимальной интеграции с виртуальными средами, поэтому новый продукт Kerio Control 8.5 поставляется как отдельная среда: Software Appliance, VMwareVirtual Appliance (OVF/VMX) и Hyper-V Virtual Appliance. Для написания данного обзора мы использовали образ VMware Virtual Appliance в контейнере OVF для системы виртуализации VMware ESXi. Развертывание данного образа не представляется сложной задачей: самое главное — получить ссылку на OVF-пакет, зарегистрировавшись на сайте Kerio. Для ознакомления администраторам предоставляется 30-дневная версия продукта без каких-либо ограничений функционала. А теперь вернемся к функциональным возможностям новой версии Kerio Control 8.5.
Двухшаговая авторизация
«Мы продолжаем улучшать безопасность, не жертвуя при этом простотой, —Мирек Крен, заявил главный операционный директор и главный управляющий компании Kerio Technologies. —В новом релизе добавлены важные и эффективные функции безопасности, которые можно легко внедрить в любую сеть без значительного нарушения работы предприятия».
Итак, компания Kerio интегрировала в новый продукт двухшаговую авторизацию, которая позволит пользователям повысить безопасность данных, а администраторов избавит от дополнительных проблем, связанных с безопасностью аутентификации пользователей. Kerio Control 8.5 получила весьма востребованную в мире двухшаговую идентификацию пользователей, которая основана на запросе одноразового кода доступа с ограниченным сроком действия (TOTP). Этот код не заменяет основную авторизацию пользователей в системе Kerio Control, а лишь дополняет ее, поэтому владельцы предприятия могут быть уверены, что сетевые ресурсы останутся в безопасности, даже если пароли окажутся в чужих руках.
Рассмотрим внедренную систему на типовом примере. Для активации данной функции администратор должен установить соответствующую галочку в меню «Домены и аутентификация». При этом, отключив возможность удаленной настройки, администратор запретит пользователям настраивать двухшаговую проверку извне, то есть с внешнего интерфейса.
После активации двухшаговой проверки пользователя при следующем выходе в Интернет либо просмотре статистики пользователю будет выдано информационное окно и ссылка на настройку двухшаговой авторизации.
Если пользователь при отключенной функции удаленной настройки зайдет на межсетевой экран с внешней сети, ему будет показано несколько иное информационное окно, не предусматривающее возможности перехода на настройку двухшаговой проверки.
После того как пользователь попадает на экран настройки этой функции, он увидит соответствующий QR-код и поле, куда необходимо ввести код, «зашифрованный» в этом QR-коде. Стоит отметить, что цифробуквенный код под QR-кодом — это идентификатор, и на него не стоит обращать внимания. Чтобы прочесть QR-код, необходимо воспользоваться одним из соответствующих приложений, описанных на странице описания данной функции. В качестве эксперимента мы использовали приложение Google Authenticator для Android, которое взаимосвязано со сканером штрихкодов (его также необходимо установить).
После того как QR-код прочтен с экрана компьютера, Google Authenticator автоматически сгенерирует соответствующий код. По сути, QR-код содержит в себе уникальную ссылку на соответствующий код.
Затем полученный в этом приложении код необходимо ввести в соответствующее поле на странице авторизации Kerio Control. Нельзя не отметить, что код постоянно меняется в течение достаточно короткого времени, поэтому запоминать его не нужно. Все очень просто и быстро. Проблемы могут возникнуть только при работе с приложением из под Windows, однако программа WinAuth, которую рекомендует Kerio, отлично справляется и просто со ссылкой на изображение.
Для администраторов доступна функция сброса двухшаговой проверки для всех пользователей сразу или для каждого пользователя по отдельности. В этом случае ему снова придется пройти всю вышеописанную процедуру. Если сброса не произошло, пользователь при следующем запросе кода лишь открывает соответствующее приложение и вводит полученный код. Сканировать QR-код уже нет необходимости.
В целом двухшаговая проверка пользователя — это еще одна попытка оградить пользователя от различных злоумышленников, ведь все люди разные, и многие стараются сохранять пароли, не заботясь о безопасности. В случае использования данной функции администратор может быть уверен, что даже кража пароля пользователя не даст возможности получить доступ к внутренней корпоративной сети или к критически важным данным компании.
Система переадресации Service Discovery
В новой версии Kerio Control 8.5 появилась система переадресации Service Discovery, которая делает процесс настройки сети гибким и простым. С ее помощью удаленные пользователи могут просматривать, обнаруживать и соединяться с устройствами, такими как принтеры, файловые серверы и сканеры в различных сетях или Kerio VPN-туннелях. Функция Service Discovery поддерживает такие популярные протоколы, как mDNS (Apple devices), NetBIOS (Microsoft network) и SSDP (UPnP). Настройка этой функции очень проста, достаточно выбрать необходимые сети, между которыми будет осуществляться проброс мультикаста, и активировать эту функцию. Для контроля работы Service Discovery администратору доступна дополнительная запись в лог-файл. Следует отметить, что Service Discovery доступна только для Kerio VPN, а маршрутизация в рамках IPsec VPN не поддерживается, точно так же, как и между внешней и внутренней сетью. Это объясняется тем, что данная функция ориентирована на создание полноценной внутренней сети предприятия, распределенной по земному шару.
Kerio VPN
Нельзя не отметить, что компания Kerio постоянно стремится соответствовать новым стандартам, поэтому для такого важного компонента системы, как Kerio VPN, вместе с обновлением 8.5 вышли и новые клиенты под Windows, Mac и Linux. Новый установочный пакет Kerio VPN для компьютеров под управлением Mac OS X позволяет развертывание через инструменты сторонних производителей, таких как Apple Remote Desktop или FileWave.
Смена MAC-адреса
Нельзя не отметить маленькую, но достаточно важную для некоторых системных администраторов функцию. Теперь в свойствах Ethernet-адаптеров в панели администрирования можно изменить MAC-адрес соответствующего адаптера. Этот функционал позволяет оперативно поменять MAC-адрес, если, например, провайдер внешней сети имеет жесткую привязку по MAC.
Кроме того, в этой оснастке администратор может задать MTU для адаптера, что также иногда необходимо для специфических сетей.
Обновленная функция уведомлений
При помощи расширенного набора уведомлений по электронной почте в Kerio Control 8.5 администраторы будут информированы о важных сетевых событиях и состоянии системы. Нельзя не отметить, что для этой функции появилась отдельная оснастка, которая позволяет очень подробно выставить параметры необходимых оповещений.
Так, например, можно настроить отсылку оповещений не только администраторам, но и обычным пользователям. Возможно, эта функция будет очень удобна для мониторинга использования корпоративной сети руководством или аналитиками, не имеющими администраторских прав. Также стоит отметить возможность поиска события в любом из журналов по регулярному выражению или паттерну, что позволит оперативно выявлять возможные проблемы, которые трудно диагностировать в большой сети. Поддерживается отправка сообщений не только конкретным пользователям, но и на отдельные почтовые ящики, которые могут быть никак не привязаны к корпоративным пользователям. Также реализована функция задержки отправки сообщений и установка расписания. В целом, данное нововведение должно положительно сказаться на оперативности решения различных проблем.
Выводы
Компания Kerio, как всегда, порадовала администраторов новыми возможностями в своем флагманском продукте Kerio Control 8.5. Отметим, что данный продукт — простое в применении комплексное решение для управления защитой от угроз корпоративной сети. Возможности Kerio Control 8.5 весьма широки и позволяют использовать его как в небольших учреждениях, так и в крупных и средних компаниях с распределенной сетью офисов по всему миру. Администраторы всего мира ценят данный продукт за интуитивно-понятный интерфейс управления и надежность. В Kerio Control 8.5 реализована одна из лучших систем фильтрации интернет-содержимого, которая позволяет выборочно блокировать, разрешить или протоколировать доступ к 141 категории веб-контента при помощи фильтра Kerio Control Web Filter. Таким образом, администратор может быстро и оперативно защитить пользователей от посещения вредоносных сайтов, которые, как известно, содержат вирусы и шпионские программы, занимаются фишингом или кражей личных данных.