Kerio control как вылечить

Кейс: «Защита сети, контроль и учет трафика на примере KERIO control»

Что такое KERIO Control ?

KERIO Control -это простое в управлении решение включает в себя сетевой файервол и маршрутизатор,систему обнаружения и предотвращения вторжений (IPS), антивирус, VPN и фильтр содержимого. Широкие возможности и непревзойденная гибкость делают Kerio Control хорошим выбором для малых и средних предприятий.

Сразу хочется подчеркнуть, что KERIO Control дороже чем рассмотренный нами в другом кейсе Traffic Inspector.

 Для чего нужен KERIO Control?

•  Обеспечение безопасного доступа в интернет;
• Экономит затраты на трафик позволяя вводить ограничения по скорости а так же разрешая доступ только к нужным ресурсам (Например можно разрешить доступ только к одному сайту — остальные сайты пользователь не сможет посетить);
• Повышение эффективности работы сотрудников за счет контроля пользования интернетом (Например в конце месяца Вы можете получить отчет по лидерам посещения сайта одноклассники и «премировать» особенно отличившихся;
• Есть функционал фильтрации рекламы, спама и вирусов (соответствующие плагины включаются и настраиваются дополнительно);

Давайте теперь посчитаем стоимость данного кейса:

Условия задачи: Допустим у нас в организации работают 15 сотрудников, есть оборудование на которое мы будем устанавливать KERIO Control

Требуется: Защитить сеть, а так же контролировать использование рабочего времени сотрудниками (что они делают в интернете), иметь возможность объединения офисов через защищенный канал VPN, а так же что бы мобильные сотрудники могли легко и безопасно подключаться к сети офиса через VPN.

Решение: KERIO Control на 15 пользователей на 01.05.2015 г. стоит 32661 рублей, как ранее упоминалось — получается дороже чем у Traffic Inspector.

Что же мы получаем кроме большей стоимости?:

• Очень, ооочень! крутой функционал по настройке и мониторингу сети;
• Отчеты по пользователям — кто и на что тратил свое рабочее время;
• Простая организация подключения через VPN к офисной сети и офисов между собой;
• Чуть не забыл упомянуть — что есть KERIO Control с сертификатом ФСТЭК — оно немного дороже;

Ниже, я подробнее опишу все плюшки данного решения т.к. их много а в данном разделе не всем будет эта информация интересна, лучше посмотрите на скриншот с правилами для трафика и проникнитесь уважением:

Дальнейшая информация будет интересна больше для технических специалистов:

Преимущества: Очень большой функционал с достаточно простой настройкой.

Рекомендации по настройке:

• Хорошо бы понимать структуру сетей, маршрутизацию и назначения сетевых протоколов на хорошем уровне, здесь есть помощники по настройке но из за большего функционала настроек больше и они сложнее чем например в Traffic Inspector;
• Мы бы рекомендовали ставить подумать, стоит ли устанавливать программу под Windows или сэкономить на лицензии и обойтись без ненужной прослойки;
• Не изобретайте велосипед — посмотрите агент KERIO Control — очень удобное решение для безопасного подключения к офисной сети!;
• Не забудьте настроить правильно логи пакетов — рекомендуем для ленивых включать циклическую перезапись логов;

Подводные камни:

• Перед выбором решения — посмотрите отчеты по пользователям, на дату публикации этого кейса отчеты нам больше нравились в Traffic Inspector чем в KERIO Connect — если это критичный момент — возможно стоит присмотреться к Тraffic Inspector;
• Не забудьте что у Вас есть встроенный DHCP сервер при планировании сети и развертывании VPN;

Как и обещали, подробнее по функционалу т.к. он действительно заслуживает упоминания:

Межсетевой экран (файервол) и маршрутизатор:

• Корпоративный межсетевой экран, получивший сертификат ICSA Labs и ФСТЭК*.
• Deep packet inspection — глубокая проверка пакетов.
• Инспектирование протоколов, проверка пакетов с отслеживанием состояния.
• DHCP сервер и сервер пересылки DNS.
• Публикация локальных сервисов в Интернет (dNAT).
• Фильтрация по MAC, антиспуфинг.
• Переадресация запросов на обнаружение сервисов (Service Discovery forwarding)
• Гостевая сеть с порталом авторизации.
• Поддержка 802.1Q VLAN.
• Мастер настройки правил трафика; временные условия и контроль HTTPS.
• Возможность добавлять исключения из правил, ограничения количества подключений.
• Несколько IP-адресов на одном сетевом интерфейсе, динамические DNS.
• Настраиваемые таблицы маршрутизации, обратный прокси-сервер.
• Одновременная поддержка протоколов IPv4 и IPv6, поддержка трансляции префикса сети для протокола IPv6, объявления маршрутизаторов IPv6.

 VPN:

Для организации контроля в локальной сети нашей организации был выбран Kerio Control Software Appliance 9.2.4. Раньше эта программа называлась Kerio WinRoute Firewall.  Рассматривать плюсы и минусы мы не будем, и почему выбран Керио, тоже, переходим сразу к делу. Программа версии 7 и выше устанавливается на голое железо без какой-либо операционной системы. В связи с этим подготовлен отдельный ПК (не виртуальная машина) со следующими параметрами:

-процессор AMD 3200+;

-ОЗУ 2 Гб;

-HDD 500Гб; (необходимо гораздо меньше)

— Сетевая карта – 2 шт.

Собираем ПК, вставляем 2 сетевых карты.

Для  установки линукс-подобной системы нужно создать загрузочный носитель – флэшку или диск. В нашем случае флэшка создана с помощью программы UNetbootin.

Скачиваем Unetbootin.

Скачиваем Kerio Control Software Appliance. (можно купить лицензию или скачивать образ с встроенным  активатором)

Объем образа  Керио не превышает 300Мб, размер флэшки соответствующий.

Вставляем флэшку в USB разъем ПК или ноут-бука.

Форматируем в FAT32 средствами Windows.

Запускаем UNetbootin и выбираем следующие настройки.

Дистрибутив – не трогаем.

Образ – Стандарт ISO, указываем путь к скаченному образу Керио.

Тип – Устройство USB, выбираем нужную флэшку. ОК.

После некоторого времени создания, загрузочная флэшка готова. Жмем выход.

Вставляем загрузочную флэшку в подготовленный ПК, включаем его и в Boot menu выбираем загрузку с USB-HDD. В начавшейся загрузке выбираем linux.

Начнется установка Kerio Control Software Appliance 9.2.4. Выбираем язык.

Читаем лицензионное соглашение.

Принимаем его, нажав F8.

Вводим код 135. Программа предупреждает о том, что жесткий диск будет отформатирован.

Ждем  пока идет установка.

Система перезагрузится.

Снова ждем.

Наконец дождались. Сообщение на экране говорит о том, что нужно в любом ПК, который подключен в одну сеть вместе с Керио перейти в браузере по написанному  адресу.

Мы пока этого делать не будем, а переходим в Конфигурацию сети в самом Керио.

Конфигурация сетевого интерфейса Ethernet. Отмечаем пробелом – Назначить статический IP-адрес.

И назначаем его.

IP-адрес: 192.168.1.250

Маска подсети: 255.255.255.0

Если до установки ПО в сетевые карты  были подключены два необходимых сетевых провода для внешней и внутренней сети, то об этом компьютере можно забыть. Я поставил его в уголок и даже забрал монитор.

Теперь в браузере того ноут-бука, в котором создавалась загрузочная флэшка, я перехожу по адресу:

https://192.168.1.250:4081/admin. Браузер может сообщить что Возникла проблема с сертификатом безопасности этого сайта. Нажимаем ниже – Продолжить открытие этого веб сайта и попадаем в мастер активации.

Анонимную статистику, конечно же, не передаем, убираем галочку.

Вводим новый пароль администратора.

Выполняем авторизацию.

Вот и всё. Здравствуй Керио.

Нужно отметить, что выбранный IP-адрес 192.168.1.250 для сетевой карты внутренней сети решено было изменить на адрес 192.168.1.1 для того, чтоб не перенастраивать много оборудования. Сеть существовала долгое время без контроля и Керио пришлось в неё добавить методом встраивания. После смены IP чтоб попасть в интерфейс нужно вводить https://192.168.1.1:4081/admin. Ниже на рисунке структурная схема подключения.

Первоначально, все функции маршрутизации и DNS выполнял модем с IP –адресом 192.168.1.1. При установке Керио модему назначили адрес 192.168.0.1 и он обращается к внешней сетевой карте Керио с адресом 192.168.0.250. Адреса в одной подсети. Внутренняя сетевая карта получила адрес, который раньше был у модема. Всё оборудование в сети со статическими IP-адресами и прописанным шлюзом (а это почти вся наша сеть) увидело новый шлюз как старый и даже,  не заподозрило подмены : )

При первом запуске Керио, мастер предлагает настроить интерфейсы. Можно настраивать не через мастера. Рассмотрим подробнее всё, что описано выше.

Во вкладке интерфейсы выбираем пункт Интернет-интерфейсы.

Придумываем название типа Внешняя сеть или Интернет, по умолчанию написано WAN. Вводим вручную данные IP адреса, маску, шлюз и DNS, всё в одной подсети с модемом. ОК.

Далее выбираем следующее подключение в пункте Доверенные/локальные интерфейсы – наша внутренняя сеть. Эти пункты в зависимости от версии Керио могут называться по другому. Придумываем имя и вносим данные как на картинке ниже. Внешняя и внутренняя сеть не могут находится в одной подсети. Это не нужно забывать. DNS от Керио. Шлюз не пишем. ОК.

Нажимаем кнопку Применить в нижней правой части экрана, настройки активируются. Проверим подключение к Интернету. Интернет работает.

Можно переходить к созданию правил трафика, фильтрации содержимого, посмотреть, кто скачивает торренты и перегружает сеть, ограничить скорость или заблокировать. Короче, Керео полноценно работает и в нем есть множество настроек. Тут каждый настраивает что кому нужно.

Рассмотрим еще один важный момент – это открытие портов. До установки Керео в модеме были проброшены порты на сервер. Так же изначально необходимые порты были открыты в самом сервере. Без этих портов спец. софт сервера не может  нормально работать. Рассмотрим открытие порта 4443.

Модем HUAWEI HG532e, заходим в него, для этого в адресной строке браузера вводим 192.168.0.1. Переходим по вкладкам Advanced—>NAT—> Port Mapping и вносим данные как на картинке ниже.

Интерфейс – наше подключение (в режиме роута кстати).

Протокол – TCP/UDP.

Remote host – ничего.

External start port/end port – 4443 (внешний порт).

Internal host – 192.168.0.250 (адрес внешней сетевой карты Керео).

Internal port – 4443 (внутренний порт).

Mapping name – любое понятное имя.

Принцип действия таков, что обращение из интернета на внешний статический IP-адрес к порту 4443 будет переадресовано к внешней сетевой карте Керио. Теперь нужно сделать так, чтоб запрос с внешней сетевой карты перенаправлялся на внутреннюю сетевую карту и далее к нашему серверу на порт 4443. Это делается с помощью создания двух правил. Первое правило разрешает доступ извне, второе правило разрешает доступ изнутри.

Создаем эти два правила на вкладке Правила трафика. Разница в пунктах источник и назначения. Служба – наш порт 4443. см. картинку выше.

В пункте Трансляция делаем настройки как на картинке ниже. Отмечаем галочкой  — Адрес назначения NAT и пишем там IP-адрес сервера назначения и нужный порт. ОК.

Нажимаем применить. Проверяем, открылся ли порт в он-лайн сервисе. Порт открыт.

Проверяем службы сервера, для которых всё это делалось – они заработали. Аналогичным способом можно открыть любой порт.

О прочих настройках Kerio Control Software Appliance возможно будет написано в других статьях.

Настройка Kerio Control Часть 2 (подключение по оптике)