Kerio Control Tarmoq xavfsizligi. Kerio Control -da Kerio Control tarmoqli kengligini boshqarishning asosiy funktsiyalarining batafsil konfiguratsiyasi




Download 376.56 Kb.
bet1/2
Sana24.12.2022
Hajmi376.56 Kb.
#37021
  1   2
Bog'liq
Kerio Control Tarmoq xavfsizligi. Kerio Control -da Kerio Contro
aliyaapa, atrabotka, Adilbek taza tayin, Atabek tarmaq, 1-mavzu, Kurs ishi Janubiy Sharqiy osiyo, 1 hujum turi, 12212, blankresume, Сайлов кодекси, AMIR TEMUR, tursun, 3. Арабов У., oOTN7yHd9cDpbT4Gzy5WO8q15U02UmfOpM2lfAFB, Цифровая обработка сигналов на Python

Kerio Control - Tarmoq xavfsizligi. Kerio Control -da Kerio Control tarmoqli kengligini boshqarishning asosiy funktsiyalarining batafsil konfiguratsiyasi
Maksim Afanasiev


1997 yildan beri Kerio Technologies kompaniyalarning ichki tarmoqlarini tashqi hujumlardan himoya qilish uchun kompyuter xavfsizligi sohasida noyob dasturiy echimlarni ishlab chiqadi va ishlab chiqaradi va hamkorlik va elektron aloqa tizimini yaratadi. Kerio Technologies mahsulotlari o'rta va kichik biznesga mo'ljallangan, lekin ularni yirik kompaniyalarda ham muvaffaqiyatli ishlatish mumkin. Ta'kidlash joizki, dasturiy ta'minot axborot xavfsizligi sohasidagi global tendentsiyalarni hisobga olgan holda ishlab chiqilmoqda va kompaniyaning o'zi bu sohada innovator hisoblanadi.


Ushbu maqolada muhokama qilinadigan Kerio Control dasturiy kompleksining prototipi Winroute Pro dasturiy shlyuzi bo'lib, uning birinchi versiyasi 1997 yilda chiqarilgan. Winroute Pro dasturi mahalliy kompyuterlarga bitta tashqi Internet kanali orqali Internetga kirishga ruxsat berish uchun ishlab chiqilgan ilg'or proksi -server edi. Bu mahsulot deyarli darhol mashhurlikka erishdi va tezda o'sha paytdagi eng keng tarqalgan WinGate proksi -serverlarining raqobatchisiga aylandi. Hatto o'sha paytda Kerio mahsulotlari aniq interfeys va qulay konfiguratsiya, shuningdek, ishonchliligi va xavfsizligi bilan ajralib turardi. O'shandan beri Kerio Winroute ko'plab foydali funktsiyalar va imkoniyatlar bilan doimiy ravishda yangilanib turadi. Sayohatining boshida u Winroute Pro deb nomlandi, keyin uning nomi Winroute Firewallga o'zgartirildi va 7 -versiyadan boshlab mahsulot hozirgi nomini oldi - Kerio Control.


Kerio virtualizatsiya imkoniyatlarini tezda anglab etdi va ko'p yadroli protsessorlarning paydo bo'lishi va IT sohasida sezilarli yutuqlar tufayli faol rivojlanayotgan virtual muhit bilan maksimal integratsiyalashuv yo'lini boshladi. Kerio-ning barcha yangi mahsulotlari hozirda VMware va Hyper-V virtualizatsiya muhitida mavjud bo'lib, bu sizga ushbu dasturiy ta'minotni istalgan platformada joylashtirish va mahsulotni yangi apparat platformasiga qayta o'rnatmasdan yuklash imkonini beradi. Bundan tashqari, bu yondashuv tarmoq ma'murlariga tarmoq infratuzilmasini qurishda kengroq imkoniyatni taklif etadi. Dastlab, Kerio mahsulotlari Windows ilovasi sifatida etkazib berilgandi, lekin virtualizatsiya tizimlari uchun versiya paydo bo'lgandan so'ng, kompaniya operatsion tizimdan butunlay abstrakt qilib, Kerio Controlni alohida dastur sifatida chiqarmaslikka qaror qildi. 8-versiyadan boshlab, Kerio Control faqat uchta ta'mga ega: Software Appliance, VMware Virtual Appliance va Hyper-V Virtual Appliance. Barcha variantlar Debianga asoslangan modernizatsiya qilingan Linux operatsion tizimidan foydalanadi (funksionalligi pasaytirilgan SMP versiyasi ishlatiladi), bu qo'shimcha vaqt talab qiladigan konfiguratsiya va texnik xizmatni talab qilmaydi. Firewall Software Appliance 250MB dan oshiq ISO tasviri sifatida mavjud va uni operatsion tizim talab qilmasdan ajratilgan qo'shimcha qurilmalarga osongina o'rnatish mumkin. VMware Virtual Appliance VMware muhiti uchun OVF va VMX paketlari sifatida etkazib beriladi va Hyper-V Virtual Appliance Microsoft-ning virtualizatsiya tizimlari uchun mo'ljallangan bo'lib, ularning hammasi oldindan joylashtirilgan va sozlanishi mumkin. Ishlab chiquvchining so'zlariga ko'ra, ushbu dasturiy ta'minotning OVF versiyasi, asosan, boshqa virtualizatsiya tizimlariga o'rnatilishi mumkin. Bu yondashuv kompaniyaning tarmog'ini amalga oshirishga yanada moslashuvchan yondashish imkonini beradi va apparat qismlarini tez -tez yangilab bo'lmaydigan apparat echimlaridan voz kechadi, chunki bu katta xarajatlarni talab qiladi yoki ularning imkoniyatlari keskin cheklangan.


Keling, Kerio Control dasturiy ta'minotining asosiy xususiyatlarini, shuningdek, oldingi versiyalarda bo'lmagan bir qator yangiliklarni ko'rib chiqaylik. Eslatib o'tamiz, birinchi marta Kerio Control -ning 8 -versiyasi shu yilning mart oyida chiqarilgan edi. Bu yozilgan vaqtda, kichik yangilanishdan tashqari, Kerio iyun oyida Kerio Control 8.1 ni chiqardi, bu ham qo'shimcha funktsiyalarni olib keladi.
Kerio Control dasturiy ta'minoti yordamida o'rnatilishi mumkin, ya'ni tizimni alohida ISO tasviridan yoki virtual mashinani virtualizatsiya serverida ishga tushirish orqali. Oxirgi usul bir nechta o'rnatish yo'llarini o'z ichiga oladi, shu jumladan Vmware VA Marketplace orqali ishlab chiqaruvchining veb -saytidan Kerio Control -ning so'nggi versiyasini avtomatik ravishda yuklab olish imkoniyati. ISO tasviridan o'rnatishda Kerio Control -ni joylashtirish bo'yicha barcha qadamlar administratorning o'rnatish jarayonining ustasi tomonidan berilgan bir nechta oddiy savollarga javobida bo'ladi. Kerio Control virtual mashinasini ishga tushirish o'rnatishning asosiy bosqichini o'tkazib yuborishga imkon beradi va administrator faqat virtual mashinaning dastlabki parametrlarini o'rnatishi kerak: protsessorlar soni, operativ xotira miqdori, tarmoq adapterlari soni va hajmi. disk quyi tizimi. Asosiy versiyada Kerio Control virtual mashinasi minimal parametrlarga ega, ammo keyingi boshqaruvni amalga oshirish uchun mashina xususiyatlarida ko'rsatilgan kamida bitta tarmoq adapteri talab qilinadi. Tizimni u yoki bu tarzda o'rnatgandan va Kerio Controlni muvaffaqiyatli ishga tushirgandan so'ng, foydalanuvchi boshqaruv konsoli orqali tarmoq konfiguratsiyasining asosiy sozlamalariga kira oladi (1 -rasm). Odatiy bo'lib, Kerio Control -ga ulangan tarmoq adapterlari DHCP yordamida IP -manzillarni olishga harakat qilishadi. Agar IP -manzillar muvaffaqiyatli olingan bo'lsa, administrator boshqaruv konsolida ko'rsatilgan IP -manzilni kiritish orqali mahalliy tarmoq orqali Kerio Control -ga ulanishi mumkin. Asosiy boshqaruv konsoli sizga adapterlarning tarmoq sozlamalarini sozlash, Kerio Control -ni asosiy parametrlarga qaytarish, Kerio Control -ni qayta yuklash yoki o'chirish imkonini beradi. Shuni ta'kidlash kerakki, agar kerak bo'lsa, Alt + F2-F3 tugmalar birikmasini bosib, operatsion tizimning to'liq bash buyruq qobig'iga o'tishingiz mumkin. Tizimga kirish uchun siz Kerio Control -ni o'rnatishda ko'rsatilgan foydalanuvchi nomi va administrator parolini kiritishingiz kerak bo'ladi. Qo'shimcha disk raskadrovka ma'lumotlarini Alt + F4-F5 klaviatura yorliqlarini bosish orqali chaqirish mumkin. Boshqa sozlamalar shifrlangan SSL kanali orqali veb -boshqaruv konsoli orqali tuziladi.


Guruch. 1. Boshqaruv konsoli


Barcha parametrlar xavfsiz veb -interfeysi orqali ishlaydigan boshqaruv paneli yordamida o'rnatilishi mumkin (2 -rasm). Bunday interfeys bilan ishlash xavfsiz HTTPS / SSL protokoli orqali amalga oshiriladi. Ma'muriy konsoli barcha xavfsizlik devori sozlamalarini boshqarishga imkon beradi. Kerio Control -ning 7 -chi versiyasiga asoslangan oldingi versiyalar bilan taqqoslaganda, bu boshqaruv paneli dizaynida jiddiy o'zgarishlar ro'y berdi. Shunday qilib, boshqaruv panelining birinchi sahifasida Kerio Control holatini tezkor diagnostika qilish uchun kerakli elementlarni qo'shish yoki olib tashlash mumkin bo'lgan maxsus plitkali interfeys ("Boshqaruv paneli") mavjud. Bu juda qulay, chunki administrator aloqa kanallarining yukini, foydalanuvchi faolligini, tizim holatini, VPN ulanishlarini va boshqalarni darhol ko'radi.


Guruch. 2. Boshqaruv paneli Kerio Control 8.1 -ning yangilangan versiyasiga quyidagi variantlar qo'shildi: Samepage.io bulutli xizmatidagi konfiguratsiya va sozlamalarni avtomatik rejimda saqlash, SNMP protokoli orqali parametrlarni kuzatish, Ping, Traceroute, DNS Lookup disk raskadrovka vositalarini ishlatish qobiliyati, Whois ma'muriyat veb -interfeysida Kerio Control shlyuzi nomidan ... Bundan tashqari, Kerio Control endi oddiy URL-iboralarni, VPN tunnellarini avtomatik aniqlashni, parolni qo'pol himoyalashni va paketlarni tahlil qilishning yanada rivojlangan imkoniyatlarini qo'llab-quvvatlaydi. Shuni ham ta'kidlash kerakki, Kerio Control Software Appliance -ning so'nggi versiyasi ko'proq RAID kontrollerlarini qo'llab -quvvatlaydi, bu esa ushbu tizimni alohida apparat platformalarida joylashtirish imkoniyatlarini kengaytiradi. Kerio Control veb -boshqaruv interfeysi nafaqat ma'muriy panelga, balki alohida foydalanuvchi interfeysiga ham ega (3 -rasm). Ma'muriy panel Kerio Control -da biror narsani o'zgartirish imkoniyatiga ega emas, lekin u har xil vaqt oralig'ida foydalanuvchi yoki foydalanuvchi statistikasini kuzatish imkonini beradi. Statistika tashrif buyurilgan manbalar, uzatilgan ma'lumotlar miqdori va boshqa ma'lumotlarni o'z ichiga oladi. Agar foydalanuvchining Kerio Control tizimida ma'muriy hisobi bo'lsa, u ushbu boshqaruv paneli orqali tizimning boshqa foydalanuvchilari haqidagi statistik ma'lumotlarni olishi mumkin. Aniq va puxta o'ylangan statistika ma'murga Internetdan foydalanishda foydalanuvchilarning xohish -istaklarini aniqlashga, muhim elementlar va muammolarni topishga yordam beradi. Panel tarmoqdagi har bir foydalanuvchi uchun trafikdan foydalanishning batafsil gistogrammasini yaratadi. Administrator trafikdan foydalanishni kuzatmoqchi bo'lgan vaqtni tanlashi mumkin: ikki soat, bir kun, bir hafta va bir oy. Bundan tashqari, Kerio Control o'z turlariga ko'ra trafikni real ishlatish statistikasini ko'rsatadi: HTTP, FTP, elektron pochta, translyatsion media protokollari, kompyuterlar yoki proksi -serverlar o'rtasida to'g'ridan -to'g'ri ma'lumotlar almashinuvi.


Guruch. 3. Foydalanuvchilar paneli Filiallari butun dunyoda joylashgan bo'lishi mumkin bo'lgan zamonaviy kompaniya uchun korporativ tarmoqqa xavfsiz ulanish zarur shartdir, chunki bugungi kunda autsorsing faol rivojlanmoqda. Kerio Control yordamida VPNni o'rnatish deyarli oson emas. VPN -server va mijozlar Kerio Control -ning korporativ tarmog'iga xavfsiz masofadan kirishning bir qismidir. Kerio VPN virtual tarmog'idan foydalanish foydalanuvchilarga korporativ tarmoqning istalgan manbalariga masofadan ulanish va o'z tarmog'i kabi o'z tarmog'i bilan ishlash imkonini beradi. Kerio Control mahsulotiga o'rnatilgan VPN -server VPN tarmoqlarini ikki xil stsenariyda tashkil qilish imkonini beradi: "server - server" va "mijoz - server" (Windows, Mac va Linux uchun Kerio VPN Client tomonidan ishlatiladi). Serverdan servergacha bo'lgan rejim umumiy resurslarni bo'lishish uchun uzoqdan ofisni xavfsiz kanal orqali ulashmoqchi bo'lgan kompaniyalar tomonidan qo'llaniladi. Ushbu stsenariy, ochiq Internet orqali xavfsiz kanal yaratish uchun ulanuvchi tomonlarning har birida Kerio Control -ni talab qiladi. Mijoz-server rejimi masofali foydalanuvchiga noutbuk yoki uy kompyuterini korporativ tarmoqqa ishonchli ulash imkonini beradi. Ko'pgina tizim ma'murlari bilganidek, VPN va NAT (Tarmoq manzili tarjimasi) har doim ham birgalikda ishlamaydi. Kerio VPN NAT orqali va hatto NAT shlyuzlari orqali ishonchli ishlashga mo'ljallangan. Kerio VPN kanallarni boshqarish (TCP) va ma'lumotlarni uzatish uchun Blowfish (UDP) uchun standart SSL shifrlash algoritmlaridan foydalanadi, shuningdek IPSec -ni qo'llab -quvvatlaydi. Kerio Control shlyuzida o'rnatilgan va chiquvchi trafikni skanerlash orqali ta'minlanadigan o'rnatilgan virus himoyasi mavjud. Agar ilgari Kerio Control McAfee-dan o'rnatilgan antivirusdan foydalangan bo'lsa, so'nggi versiyalarda Sophos antivirusi ishlatiladi. Administrator har xil protokollar orqali trafikni tekshirish qoidalarini o'rnatishi mumkin: SMTP va POP3, WEB (HTTP) va fayl uzatish (FTP). Shlyuzga o'rnatilgan xavfsizlik devoriga o'rnatilgan antivirus shlyuz orqali o'tadigan trafikni to'liq himoya qiladi. Integratsiyalashgan antivirus real vaqtda yangi viruslar ma'lumotlar bazasi bilan yangilanishlarni olishi mumkinligi sababli, bu tarmoq xavfsizligi darajasini sezilarli darajada oshiradi, shuningdek, mahalliy tarmoqdagi har bir kompyuterda antivirus dasturlarini qo'llaydi. Antivirus kiruvchi va chiquvchi xabarlarni, shuningdek barcha qo'shimchalarni tekshiradi. Qachonki, qo'shimchada virus aniqlansa, barcha biriktirma o'chiriladi va xabarga bildirishnoma qo'shiladi. Bundan tashqari, Kerio Control barcha tarmoq trafigini, shu jumladan HTML -sahifalarni, o'rnatilgan viruslarni tekshiradi. HTTP orqali yuklangan fayllar va FTP orqali uzatiladigan fayllar ham viruslarga tekshiriladi. Shuni ta'kidlash kerakki, masalan, o'z xodimlari va mijozlari ma'lum sahifalarga kirishni istamaydigan maktablar kabi tashkilot va muassasalar uchun, Kerio Control o'rnatilgan Kerio Control veb-filtri bilan. qo'shimcha haq) Internetdagi sahifalarni blokirovka qilish uchun qo'shimcha imkoniyatlarni taqdim etadi. Kerio Control administratorlarga nafaqat umumiy trafik strategiyasini tuzishga, balki har bir foydalanuvchi uchun cheklovlarni o'rnatishga va bajarishga imkon beradi. Internetga kirishdan oldin har bir foydalanuvchi Kerio Control tizimiga kirishi kerak. Foydalanuvchi hisoblari alohida ichki foydalanuvchi ma'lumotlar bazasida saqlanadi yoki korporativ Microsoft Active Directory yoki Apple Open Directory -dan olinadi. Ham mahalliy, ham domen foydalanuvchi bazalaridan parallel foydalanish mumkin. Microsoft Active Directory bilan integratsiya qilingan taqdirda, mijozlarni avtorizatsiya qilish NTLM autentifikatsiyasi orqali domen foydalanuvchilari uchun ochiq bo'lishi mumkin. Windows 2008/2012 Serverning bir qismi bo'lgan Active Directory ma'murlarga foydalanuvchi hisoblari va tarmoq manbalari ma'lumotlarini markazlashtirilgan tarzda boshqarishga imkon beradi. Active Directory foydalanuvchi ma'lumotlariga bitta kompyuterdan kirishni ta'minlaydi. Active Directory / Open Directory -ni qo'llab -quvvatlashi Kerio Control -ning foydalanuvchi ma'lumotlar bazasiga kirishini real vaqtda ochadi va parolni saqlamasdan foydalanuvchini mahalliy tarmoqqa o'rnatish imkonini beradi. Shunday qilib, har bir foydalanuvchi uchun parollarni sinxronlashtirishning hojati yo'q. Microsoft Active Directory / Open Directory -dagi barcha o'zgarishlar avtomatik ravishda Kerio Control -da aks etadi. Administrator har bir foydalanuvchi uchun kirish huquqlariga har xil cheklovlar qo'yishi mumkin. Ushbu qoidalarning ta'siri ma'lum vaqt oralig'ida o'rnatilishi va trafikdan foydalanishda turli cheklovlar o'rnatilishi mumkin. Belgilangan chegaraga yetganda, Kerio Control foydalanuvchiga va administratorga elektron pochta orqali ogohlantirish yuboradi yoki ma'mur bu foydalanuvchini kun yoki oy oxirigacha bloklaydi. Xulosa qilib shuni ta'kidlash joizki, Kerio Control o'zining inkor etilmaydigan afzalliklari tufayli tizim ma'murlari orasida juda mashhur mahsulotdir, masalan, Linux-ga asoslangan operatsion tizimlarning standart paketiga o'xshash echimlar bilan solishtirganda. , iptables). Tez sozlash, keng imkoniyatlar va yuqori darajadagi himoya - bularning barchasi ushbu dasturiy mahsulotni kichik kompaniyalar uchun jozibador qiladi. Keling, Kerio Control 7.4.1 platformasida UTM shlyuzimiz xavfsizligini sozlashni boshlaymiz Birinchidan, IDS / IPS tizimini o'rnatishga o'tamiz va yangilanish jadvalini standart 24 soat o'rniga 1 soatga o'rnatamiz. Yangilanish tizimni umuman "yuklamaydi", lekin u zararli dasturlarni ushlash ehtimolini sezilarli darajada oshiradi. Keling, "Kirish va o'chirish", "O'rnatish va o'chirish", "Kirish va o'chirish", "Kirish va o'chirish" darajalari uchun harakatlarni belgilaymiz: Bunday sozlamalar "muammoli" shaxsiy kompyuterlarning "normal" ishlashiga sezilarli ta'sir ko'rsatishi mumkin, ularni biz yordam paneli orqali eshitishimiz va Xavfsizlik jurnalida ko'rishimiz kerak: Xo'sh, hozir "Xavfsizlik sozlamalari" bo'limiga o'ting. va mahalliy tarmoqqa MAC -manzil orqali faqat sanab o'tilgan kompyuterlar uchun kirishga ruxsat bering, buning uchun biz tashkilotda ishlatiladigan MAC -manzillar ro'yxatini oldindan tayyorlaymiz. Tarmoqqa yangi qurilma qo'shganda, biz uning MAC -ni qo'shamiz, bu noqulay, shuning uchun buni Help Desk xizmatiga ishonib topshirish mantiqan to'g'ri. Ammo bu holda, ular UTMga ma'muriy huquqlarni ajratishlari kerak bo'ladi, chunki bu qabul qilinishi mumkin emas har qanday xavfsizlikni buzadi Bir vaqtlar Kerio o'z mahsulotlarida RBACdan foydalanadi, lekin hozircha biz tashkilot mehmonlari uchun mehmonlar tarmog'ini ajratamiz va u erda MAC tomonidan filtrlanmaymiz. "Har xil" bo'limiga o'ting va bitta xost uchun ulanish chegarasini 6000 ga oshiring. Bu mijoz -banklar va boshqalar kabi barcha turdagi ilovalar uchun zarur bo'lishi mumkin. Shuningdek, firibgarlikka qarshi modul yoqilganligiga va voqealar qayd etilganligiga ishonch hosil qiling: Keling, "HTTP siyosati" bo'limiga o'tamiz va birinchi navbatda "Reklama va bannerlarni o'chirish" ni yoqamiz va disk raskadrovka maqsadida ushbu qoidani jurnalga yozishni yoqamiz. Endi, ijtimoiy tarmoqlar orqali ma'lumot tarqalishi mumkinligini hisobga olib, biz ulardan foydalanishni taqiqlaymiz, buning uchun biz yangi "Ijtimoiy" qoidasini tuzamiz, "Rad etish" harakatini tanlang, matnni kiriting " Axborot xavfsizligi siyosatiga ko'ra, ijtimoiy tarmoqlardan foydalanish taqiqlangan.", Ammo bizning holatimizda bu taqiq emas, balki tavsiya, biz foydalanuvchilarga ushbu qoidani blokdan chiqarish imkoniyatini beramiz. URL sifatida biz har xil http://vk.com va https://facebook.com turlarini sanab o'tmaymiz, lekin biz Kerio Control Web Filter reyting tizimi tomonidan baholangan URLni ko'rsatamiz (va, albatta, biz filtrlaymiz, shu jumladan https). Bizning qoidamiz istalgan vaqtda barcha foydalanuvchilar uchun amal qiladi va voqealar jurnalda qayd etiladi. Haqiqiy sharoitda, hamma foydalanuvchilar uchun ish vaqtiga tushlikdan tashqari (masalan, ertalab, tushlikda va ishdan keyin, yaqinlari aloqada ishlaydi) taqiqlovchi qoida yaratiladi. Va VIP guruhi uchun (menejerlar, yuqori lavozimdagi xodimlar va boshqa imtiyozli xodimlar bo'lishi mumkin) kirish istalgan vaqtda rad etiladi, lekin blokdan chiqarish imkoniyati bilan. Men xaridorning bunday qarorini izohsiz qoldiraman, men faqat uning ko'rinishini ko'rsataman: Xuddi shu tarzda, siz barcha Internet -trafikni juda moslashuvchan tarzda boshqarishingiz mumkin, chunki Kerio veb -filtri ham mo''jizadir. Men taqiqlangan so'zlarni ishlatmayman, standart sozlamalarni qoldiraman, lekin Kerio Control Web Filter sozlamalarida men foydalanuvchilarga taxmin qilingan xatolar haqida xabar berishga ruxsat beraman, chunki barcha tizimlar o'zicha nomukammal va buni tasdiqlash Habr tomonidan blokirovka qilingan. quti: FTP filtrlashiga kelsak, foydalanuvchilar uni deyarli ishlatmaydilar, shuning uchun men faqat ikkita standart qoidalarni o'z ichiga olaman va hodisalar paydo bo'lmaguncha o'z qoidalarimni yozmayman: Keling, antivirus sozlamalariga o'tamiz... Birinchi qadam - yangilanish jadvalini bir soatga o'rnatish, chunki amaliyot shuni ko'rsatadiki, imzo 8 soatdan ko'proq yangilanadi. Chunki Menimcha, elektron pochtani shlyuz darajasida himoya qilish yaxshi emas, men SMTP va POP3 skanerini o'chirib qo'yaman, shuningdek FTPni o'chirib qo'yaman. amaliyot shuni ko'rsatadiki, bu protokol ma'murlar tomonidan tez -tez ishlatiladi va foydalanuvchilar buni allaqachon muvaffaqiyatli unutgan. Va "Elektron pochtani skanerlash" yorlig'ida pochta ", har qanday holatda ham, agar ular qandaydir tarzda yovuzlik deb adashgan bo'lsalar ham, qo'shimchalarni o'tkazishga ruxsat beraman. Albatta, xavfsizlik nuqtai nazaridan, monitoring - bu eng muhim shart, shuning uchun biz Kerio Star -ni sizning ehtiyojlaringizga muvofiq sozlaymiz. Ma'muriy yukni kamaytirish uchun biz ba'zi trafik va VIP xodimlari uchun istisnolarni sozlaymiz, ularning trafikiga hatto tizim ma'murlari kira olmaydi: "Tizimga kirish" kichik bo'limida biz foydalanuvchilarga o'z statistik ma'lumotlariga kirishga ruxsat beramiz va bundan tashqari, biz har hafta shu statistik ma'lumotlarni avtomatik ravishda yuboramiz. Ba'zi mas'ul shaxslar uchun (bu holda, bu menman), barcha xodimlarning faoliyati to'g'risida kundalik hisobotlarga kirish va qabul qilish imkoniyati mavjud. Shuningdek, tizim ma'muri uchun bunday tizim hodisalari haqida bildirishnomalarni olish mumkin: Albatta, bu funktsiyalarning hammasi to'g'ri ishlashi uchun Kerio Control -da SMTP konfiguratsiyasi sozlangan bo'lishi va har bir foydalanuvchi profilida tegishli elektron pochta manzili ko'rsatilishi kerak. Qo'shimcha parametrlarning "P2P cheklovchisi" bo'limida siz korporativ tarmoq uchun zararli bo'lishi mumkin bo'lgan torlarni blokirovka qilishingiz mumkin. Bunday holda, foydalanuvchi elektron pochta orqali xabardor qilinadi (administratorga elektron pochta orqali ham xabar berish mumkin) va 20 daqiqaga bloklanadi. UPD Java, ActiveX va boshqalarni o'chirib qo'yish mumkin. individual foydalanuvchilar uchun ham, butun tashkilot uchun: Va, albatta, barcha jurnallarni muntazam ravishda ko'rib chiqing, men sizga keyingi safar bu jarayonni qanday qulay qilish kerakligini aytaman. Kichik va o'rta biznes uchun turli xil xavfsizlik dasturiy echimlarini ishlab chiqaruvchi Kerio Technologies mahsulotlarini o'rganish haqida. Kompaniyaning rasmiy saytida yozilishicha, uning mahsulotlaridan dunyoning 60 mingdan ortiq kompaniyasi foydalanadi. SEC Consult kompaniyasi xavfsizlik devori, yo'riqnoma, IDS / IPS, shlyuz antivirusi, VPN va boshqalarning funktsiyalarini birlashtirgan kompaniyaning UTM yechimi bo'lgan Kerio Control -da ko'plab zaifliklarni aniqladi. Tadqiqotchilar tajovuzkorga nafaqat Kerio Control -ni, balki mahsulot himoya qiladigan korporativ tarmoq orqali ham nazorat qilishiga imkon beradigan ikkita hujum ssenariysini tasvirlab berishdi. Ishlab chiquvchilar topilgan xatolarning aksariyatini tuzatgan bo'lishsa -da, tadqiqotchilar hali ham hujum ssenariylaridan birini amalga oshirish mumkinligini ta'kidlamoqda. Tadqiqotchilarning fikriga ko'ra, Kerio Control echimlari PHP -ning serializatsiya funktsiyasidan bexatar foydalanish natijasida, shuningdek PHP -ning eski versiyasi (5.2.13) ishlatilganligi sababli himoyasiz bo'lib qolmoqda. Mutaxassislar, shuningdek, XSS va CSRF hujumlariga ruxsat beruvchi va ASLR himoyasini chetlab o'tadigan PHP -ning bir qancha zaif skriptlarini topdilar. Bundan tashqari, SEC Consult ma'lumotlariga ko'ra, veb-server root imtiyozlari bilan ishlaydi va qo'pol hujumlar va xotiradagi ma'lumotlarning yaxlitligini buzishdan himoyalanmagan. Birinchi hujum ssenariysi diagrammasi Mutaxassislar tomonidan tasvirlangan birinchi hujum ssenariysi bir vaqtning o'zida bir nechta zaifliklardan foydalanishni o'z ichiga oladi. Tajovuzkor ijtimoiy muhandislikdan foydalanishi va qurbonni Kerio Control -ning ichki IP -manzilini topishga imkon beradigan skriptni joylashtiradigan zararli saytga jalb qilishi kerak bo'ladi. Keyin tajovuzkor CSRF xatosidan foydalanishi kerak. Agar jabrlanuvchi Kerio Control boshqaruv paneliga kirmagan bo'lsa, tajovuzkor qo'pol kuch ishlatishi mumkin. Bu SOP himoyasini chetlab o'tish uchun XSS zaifligini talab qiladi. Siz ASLR-ni chetlab o'tib, qobiqni ildiz sifatida ishlatish uchun eski PHP xatolarini (CVE-2014-3515) ishlatishingiz mumkin. Aslida, tajovuzkor tashkilot tarmog'iga to'liq kirish huquqiga ega bo'ladi. Quyidagi videoda hujum qanday sodir bo'lganligi ko'rsatilgan.
Ikkinchi hujum ssenariysi Kerio Controlni yangilash funktsiyasi bilan bog'liq bo'lgan va bir yildan ko'proq vaqt oldin SEC Consult xodimlaridan biri tomonidan topilgan RCE zaifligidan foydalanishni o'z ichiga oladi. Mutaxassislar, o'zboshimchalik bilan kodni masofadan turib bajarishga imkon beruvchi, bu xatoni XSS zaifligi bilan birgalikda ishlatishni taklif qiladilar, bu sizga hujumning funksional imkoniyatlarini kengaytirish imkonini beradi. Muammolar haqida Kerio Technologies mutaxassislariga 2016 yil avgust oyining oxirida xabar berilgan. Hozirgi vaqtda kompaniya Kerio Control 9.1.3 -ni chiqardi, bu erda aksariyat zaifliklar tuzatilgan. Biroq, kompaniya ildiz huquqlarini veb -serverga qoldirishga qaror qildi, shuningdek, yangilanish funktsiyasi bilan bog'liq RCE xatolarini tuzatmasdan. Ko'p odamlar Kerio Control xavfsizlik devoridan foydalanadilar. U eng keng funktsionallik, ishonchlilik va foydalanish qulayligiga ega. Bugun biz o'tish chizig'ini boshqarish qoidalarini qanday o'rnatish haqida gaplashamiz. Oddiy qilib aytganda, foydalanuvchilar va guruhlar uchun Internetga kirish tezligini cheklashga harakat qilaylik.


Download 376.56 Kb.
  1   2




Download 376.56 Kb.

Bosh sahifa
Aloqalar

    Bosh sahifa



Kerio Control Tarmoq xavfsizligi. Kerio Control -da Kerio Control tarmoqli kengligini boshqarishning asosiy funktsiyalarining batafsil konfiguratsiyasi

Download 376.56 Kb.