Tag Archive | kerio control

Kerio fixed OpenSSL Heartbleed

kerio_fixes

Все, что касается обновлений продуктов Kerio для защиты от Heartbleed уязвимости, “по полочкам” и в одном месте: OpenSSL vulnerability CVE-2014-0160

Этот пост – дополнение вчерашней заметки. Как показала практика, есть дополнительные рекомендации и особенности по обновлению того же Kerio Connect. Заказчикам, использующим продукты Kerio рекомендуется к прочтению.

http://goo.gl/filNif

Advertisements

«Разделяй и властвуй» или три рецепта по использованию VLANов

Одним из нововведений недавно вышедшей новой версии Kerio Control 7.4 является поддержка VLAN. Данная технология позволяет выполнить сегментацию сети на логическом уровне, не прибегая к кардинальным изменениям в оборудовании.

Как правило, администраторам сетей приходиться сталкиваться с решением типичного перечня задач, а именно:

  • обеспечение защиты информации;
  • оптимизация каналов для передачи больших объемов информации;
  • поддержка личных устройств пользователей, которые рано или поздно становятся узлами локальной сети, а значит и частью инфраструктуры предприятия.

Давайте рассмотрим, какую выгоду можно извлечь от задействования VLAN`ов.

Сценарий первый: Разделяя данные

Технология VLAN изначально проектировалась для обеспечения QoS путем уменьшения широковещательного (broadcast) трафика. Освободившуюся пропускную способность канала рациональнее использовать для нужд корпоративных служб и приложений.

В качестве примера возьмем VoIP трафик, доля которого постоянно возрастает за счет спроса на IP телефонию со стороны SMB.

Хорошим решением будет вынос всего VoIP оборудования в отдельный VLAN. Такой подход позволит улучшить производительность передачи голосовых пакетов. В результате мы получим улучшение качества звука, а также предотвратим возможные перебои связи.   

Сценарий второй: Разделяя пользователей

Безопасность и разграничение сетевого доступа являются нетривиальными, важными задачами. Порой физически разграничить пользователей не представляется возможным в виду ограничений, накладываемых размерами офисов SMB компаний.

Использование VLAN`ов позволяет разделить сетевой трафик пользователей, который могут находиться друг напротив друга.   Количество отдельных подсетей будет зависеть лишь от организации бизнес-процессов да фантазии ИТ-персонала.

Как правило, в целях безопасности сеть компании разделяют по отделам: отдельный VLAN для бухгалтерии, отдельный VLAN для маркетинга и т.д. Можно поступить и по-другому – выделить отдельный VLAN для систем, которые обрабатывают конфиденциальные данные.

Сценарий третий: Разделяя пользователей и данные

В некоторых случаях лучшим решением будет разделение, как пользователей, так и данных. С такой задачей чаще всего сталкиваются компании, которые имеют в составе своей сети «гостевые» точки доступа Wi-Fi. Отделить трафик важного гостя, который общается в соц. сети со своего персонального iPad, от трафика бизнес-приложений – это разумное желание, не только из соображений безопасности, но также ради лучшей производительности сети для нужд бизнеса.

Лучшей практикой в таком случае будет разделение сети на два сегмента – гостевой (внешний) и частный (внутренний). Это можно реализовать с помощью KerioControl (который будет выступать в роли VLANswitch) и двух беспроводных точек доступа. Каждая точка доступа подключается к отдельному VLAN`у. Таким образом, за счет разделения трафика между «внешним» и «внутренним» VLAN`ом, у нас появляется возможность применять разные политики к пользователям сети, в зависимости от принадлежности к конкретному VLAN`у. И поскольку это разные VLAN`ы – устройства гостей не будут иметь доступа к корпоративной сети, а значит будет в безопасности активов любого бизнеса – конфиденциальная информация.

По материалам: http://www.informationweek.com/smb/network/3-virtual-lan-tips-for-smbs/240115335

Вышла новая версия Kerio Control 7.4

Новые возможности на страже корпоративной сети.

30.10.2012 г. компания Kerio Technologies, признанный лидер в разработке решений для безопасных бизнес-коммуникаций, сообщила о выходе новой версии флагманского продукта – UTM Kerio Control 7.4.

Kerio Control – высокотехнологичное, комплексное решение, которое предоставляет функции контроля сетевого трафика, управления пользовательским доступом к ресурсам сети Интернет. Продукт позволяет обеспечить безопасность корпоративной сети, приоритезацию сетевого трафика, защищенный доступ к внутрисетевым ресурсам по средствам встроенного VPN сервера, а также многое другое. Kerio Control представляет собой программное обеспечение, которое может быть развернуто как под управлением ОС семейства Windows, так и на «голом» железе либо в виртуальной среде (Appliance на базе ОС Linux).

Новая версия содержит несколько серьезных изменений. Часть из них реализована по запросу пользователей, другая часть – в стремлении адаптировать решение под меняющиеся требования бизнеса, с учетом современных тенденций развития компьютерных сетей.

Благодаря длительному периоду бета-тестирования (напомним, что о выходе бета-версии мы сообщали ранее, 26 июня) разработчик позаботился о стабильности и надежности функционирования, как новых возможностей, так и решения в целом.

В первую очередь хотелось бы упомянуть реализацию поддержки VLAN (802.1Q) для Appliance дистрибутивов. Данную возможность по достоинству оценят ИТ специалисты, перед которыми стоит задача защиты гетерогенных, виртуализированных сред. Поддержка VLAN помимо упрощения интеграции Kerio Control в сети с различными топологиями, позволяет с одной стороны существенно усилить безопасность, за счет сегментирования сети, а с другой – повысить производительность за счет ограничения широковещательного тафика между отдельными сегментами.

С новой версией стал доступен отдельный Appliance для MicrosoftHyperV. Таким образом, разработчик позаботился об упрощении интеграции Kerio Control в Microsoft-ориентированную среду. Этот дистрибутив – идеальное решение для ИТ специалистов, которые оценили преимущества Appliance версии продукта. Hyper-V Virtual Appliance позволяет ИТ специалистам осуществить миграцию Kerio Control с Windows систем в виртуальную среду  для получения большей стабильности работы и упрощения сопровождения.

Изменения также коснулись модуля фильтрации web-контента. Количество категорий системы WebFilter было увеличено (141 категория), что позволяет более гибко ограничивать доступ к страницам с нежелательным контентом. У пользователей появилась возможность сообщать администратору о неверной категоризации страниц. Появилась возможность фильтрации HTTPSтрафика, которая позволяет усилить контроль за действиями пользователей в сети и избежать ситуаций, когда пользователи используют шифрованный протокол для просмотра запрещенных страниц.

Переработке подверглась также система сбора статистики и формирования отчетов – KerioSTaR    . В новой версии стали возможными создание и отправка регулярных отчетов как администратору (общий отчет либо по конкретным пользователям), так и отдельным пользователям.

Небольшие изменения коснулись также интерфейса консоли администрирования – была добавлена панель отображения состояния системы, что упростило мониторинг.

В соответствии со стремлениями разработчика построить единую платформу на базе решений Kerio, в новую версию UTM была добавлена поддержка аутентификации пользователей посредством Kerio Directory (которая сейчас находиться в стадии активного бета тестирования). Данная возможность позволяет получить единую точку входа, упростить сопровождение решений Kerio и повысить степень их интеграции между собой.

Желающие могут ознакомиться с полным перечнем изменений и загрузить дистрибутив Kerio Control.

Kerio Control 7.4 beta

Сегодня, 26 июня 2012, компания Kerio Technologies, лидер в разработке решений для ИТ безопасности и корпоративных коммуникаций, сообщила о начале бета тестирования новой версии флагманского продукта – Kerio Control 7.4

Kerio Control является комплексной системой, которая обеспечивает надежную защиту корпоративной сети, гибкую фильтрацию трафика, осуществляет мониторинг пользовательского доступа, и формирует детальную статистику. Основная задача этого решения – организация контролируемого защищенного доступа сотрудников компании к ресурсам Интернет.

Два года назад, когда компания Kerio представила Control, это было началом эволюции от простого корпоративного брандмауэра до полноценной UTM системы. В начале жизненного цикла Kerio Control получил систему обнаружения и предотвращения вторжений (IDS/IPS), которая существенно усилила возможности защиты; Appliance – дистрибутив на базе Linux, который упростил внедрение и сопровождение решения.

В процессе дальнейшего развития в решение был интегрирован модуль QoS, благодаря которому осуществляется гибкая настройка приоритетов для различных типов трафика; появилась базовая поддержка протокола IPv6, которая позволила использовать Kerio Control в сетях нового поколения.

Столь динамичное развитие Kerio Control не осталось без внимания – попадание в квадрант Гартнера, возросший интерес со стороны ИТ сообщества, стремительный рост количества внедрений решения, служат ярким тому подтверждением.

Новая версия Kerio Control – результат дальнейшего развития успешного, проверенного временем, решения. Версия 7.4 несет в себе много кардинальных нововведений и улучшений. Вот лишь некоторые из них:

В новой версии появится возможность фильтрации HTTPS трафика, что существенно повысит безопасность сети и позволит усилить контроль над действиями пользователей. Благодаря этой функции, можно легко избежать ситуации, когда пользователи используют шифрованный протокол для просмотра страниц с запрещенным содержанием.

Стремясь упростить маршрутизацию в больших, гетерогенных корпоративных сетях, компания Kerio внедряет в Appliance версии Kerio Control поддержку VLAN интерфейсов (802.1Q). Это также позволит облегчить коммуникацию в облачных средах и виртуализированных окружениях.

Начиная с версии 7.4, появиться отдельная версия Appliance для HyperV. Компания Kerio прилагает усилия к тому, чтобы ее решения легко интегрировались в инфраструктуру заказчика, независимо от того, на чем эта инфраструктура построена. Появление отдельного дистрибутива для гипервизоров Microsoft – это пример реакции разработчиков на запросы пользователей. Appliance дистрибутив позволяет не только максимально быстро развернуть решение в виртуальной среде, но и существенно повысить стабильность и надежность работы Kerio Control.

Поддержка аутентификации через Kerio Directory. Очередной шаг навстречу единой платформе Kerio. Наличие единой точки входа, возможность автоматической аутентификации пользователя во всех решениях, с одной стороны позволят существенно упростить сопровождение, а с другой – повысить уровень интеграции решений между собой.

Множественные изменения коснулись модуля Kerio WebFilter. В новой версии, у пользователей появиться возможность сообщить администратору о неверной категоризации прямо на странице запрета. Другое важное нововведение – возможность категоризации встроенных ссылок, для лучшего контроля за Web содержимым.

Разработчики не оставили без внимания Kerio STaR, модуль формирования отчетов и статистики. Теперь стало возможным формировать статистику по группам пользователей. Кроме того, появилась возможность отправки регулярных отчетов каждому пользователю по электронной почте.

Не смотря на то, что это лишь предварительная версия, уже сейчас, на основе перечня нововведений, желающие могут оценить динамику развития решения и стремление компании к дальнейшей экспансии на рынке UTM систем.

Ознакомиться с полным списком изменений и загрузить бета-версию Kerio Control 7.4 можно по ссылке http://www.kerio.com/betas/control

Более подробно о возможностях Kerio Control http://www.kerio.ru/ru/control/utm

Kerio Control 7.3.1

Kerio Technologies, разработчик готовых решений для коммуникации, коллективной работы и защиты бизнеса, сообщил о выходе очередного обновления флагманского продукта Kerio Control. Новая версия, получившая номер 7.3.1, помимо плановых исправлений и улучшений, несет в себе важное расширение функционала.

В новой версии клиенты Kerio VPN могут использовать VPN сервер  в качестве шлюза по умолчанию. При включении данной функции, весь сетевой трафик клиентов VPN проходит через Kerio Control. Таким образом, мы получаем возможность применять механизмы контроля, фильтрации и защиты Интернет-трафика (политики доступа HTTP/FTP, WebFilter, QoS, IDS/IPS, антивирус и др.) не только к пользователям локальной сети, но и для пользователей VPN.

Такой способ маршрутизации позволяет существенно усилить защиту пользователей VPN, ведь теперь VPN трафик не только шифруется, но и анализируется системой IDS/IPS и антивирусным модулем. Кроме того, пользователи VPN подвергаются глобальным политикам, которые могут ограничивать доступ к ресурсам с вредоносным содержимым.

Ознакомиться с полным списком изменений.

Загрузить 30-ти дневную пробную версию.

# # #

Kerio Control является комплексным решением, основными задачами которого являются:

  • Организация доступа серверов и рабочих станций из локальной сети в интернет (NAT);
  • Повышения доступности сети посредством управления полосой пропускания (QoS);
  • Управление входящим/исходящим трафиком посредством системы правил;
  • Контроль и ограничение доступа пользователей к ресурсам Интернет;
  • Фильтрация трафика (IDS/IPS, Антивирусный модуль, WebFilter, P2P);
  • Proxy, DNS, DHCP, встроенный VPN сервер и многое другое.

Основным отличием Kerio Control от подобных решений является кроссплатформенность, скорость развертывания и простота администрирования. Решение доступно как в виде windows – дистрибутивов, так и Appliance версий, которые представляют собой готовое решение, которое можно устанавливать как на “голое железо”, так и в виртуальную среду. Управление осуществляется через простой Web-интерфейс.

Контактная информация:

Группа компаний БАКОТЕК
Владислав Радецкий
Специалист по технической поддержке решений Kerio
Тел.: 044-2733333
kerio@bakotech.com
www.kerio.com

Бесплатные вебкасты по решениям Kerio

Коллеги, в среду и четверг я проведу 2 бесплатных, технических вебкаста по решениям Kerio.

11.04.2012 состоится бесплатный вебкаст, посвященный Kerio Control.

Kerio Control является комплексным решением, основными задачами которого являются: организация доступа серверов и рабочих станций из локальной сети в интернет (NAT); повышения доступности сети посредством управления полосой пропускания (QoS); управление входящим/исходящим трафиком посредством системы правил; Контроль и ограничение доступа пользователей к ресурсам Интернет; Фильтрация трафика (IDS/IPS, Антивирусный модуль, WebFilter, P2P); Proxy, DNS, DHCP, встроенный VPN сервер и многое другое.

Для получения ссылки пройдите процедуру бесплатной регистрации – Kerio Control.

#

12.04.2012 состоится бесплатный вебкаст, посвященный тройке решений – Kerio Connect, Operator, Workspace.

Kerio Connect – почтовый сервер с широким функционалом. Готовое решение для построения корпоративной почты. Возможности коллективной работы, доступ к почте с мобильных устройств. Встроенный антивирус и фильтр нежелательной почты обеспечат комфортную и безопасную работу с корреспонденцией. Встроенные механизмы архивации писем и резервного копирования всего сервера позволят повысить надежность и доступность вашей почтовой системы.

Kerio Operator – гибридная АТС. Готовое решение на базе известного продукта Asterisk. Поддержка цифровых и аналоговых линий (карты Digium) позволит легко интегрировать АТС в любую ИТ инфраструктуру. Интеграция голосовой и электронной почты. Авторегистрация SIP телефонов. Программируемый IVR (голосовой секретарь) и многое другое.

Kerio Workspace – готовое решение для коллективной работы с документами. Структурированное хранилище информации с контролем версий документов. Работа с информацией через привычный браузер. Рассылка новостей, комментарии и обсуждения при работе с файлами. Интеграция с почтовым сервером. Поддержка календарей и задач. Доступ сотрудников лишь к тем документам, которые им необходимы по работе.

Для получения ссылки пройдите процедуру бесплатной регистрации – Kerio Connect, Operator, Workspace.

#

Решения Kerio выгодно отличаются гибкостью развертывания и простотой администрирования.

Продукты являются кроссплатформенными, управление осуществляется через простой Web интерфейс.

#

Начало вебкастов – в 11:00 по Киевскому времени.

Вещание проводиться на платформеAdobe Connect.

Все что Вам необходимо – 1 час Вашего времени, доступ в Интернет и браузер с актуальной версией Adobe Flash Player.

Присоединяйтесь!

Kerio Control – трюк со встроенным VPN

I. Kerio VPN

Одним из компонентов UTM Kerio Control является встроенный VPN сервер. Он прост в настройке, но в тоже время обеспечивает построение неограниченного количества туннелей типа “сервер-сервер” – для защищенного соединения главного офиса компании с филиалами, и “клиент-сервер” – для обеспечения безопасного доступа к ресурсам корпоративной сети извне.

Клиен Kerio VPN не привязан к типу операционной системы – есть дистрибутивы под Windows, Linux и MAC OS.

В комплексе с остальными модулями Kerio Control, встроенный VPN сервер позволяет построить сложную схему коммуникации пользователей сети, которая с одной стороны будет защищена от различных кибер-угроз (шифрование трафика, IDS/IPS, антивирус, контроль доступа), а с другой стороны, поскольку это Kerio, то управлять сетью этих коммуникаций будет просто и легко.

Более подробно о встроенном VPN сервере можно прочесть в руководстве для администратора, в главе 25.

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

II. Подключение по запасному порту _ зачем ?

По-умолчанию, Kerio VPN для обмена пакетами использует порт 4090 TCP/UDP.

Но как быть, если сетевое оборудование провайдера/заказчика блокирует указанный порт? Хорошо, если у нас есть возможность изменить конфигурацию оборудования и разрешить подключения на этом порту. Но что делать пользователю, который находиться в командировке, или болеет дома? Ведь ему срочно может понадобиться доступ к корпоративной сети..

Kerio VPN сервер позволяет изменить порт. Это можно сделать в консоли администрирования, в разделе “Интерфейсы”, в свойствах VPN сервера:

Однако, это глобально изменение потребует перенастройки существующих VPN туннелей, а пользователям будет необходимо в VPN клиенте дополнительно указать нестандартный порт через двоеточие. Неудобство вроде бы небольшое и можно не обращать на него внимания..

Благо, Kerio Control позволяет гибко “жонглировать” пакетами, которые проходят через него. Именно поэтому есть возможность не изменять глобальные настройки VPN сервера – пусть большинство пользователей работают как обычно – не будем их тревожить. А те из пользователей, которые столкнуться с трудностями при попытке соединения с VPN сервером, смогут воспользоваться резервным подключением.

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

III. Подключение по запасному порту _ как ?

Суть трюка в том, чтобы “завернуть” пакеты, которые поступают извне по выбранному порту на внешний интерфейс с использованием трансляции порта. То есть из Интернета приходит к нам пакет по 443-му порту (его почти никогда не блокируют, в отличие от 4090 и других нестандартных портов с точки зрения провайдеров/политики ИБ), мы берем этот пакет и транслируем обратно на внешний интерфейс, только уже на стандартный порт 4090. Благодаря этому у нас большинство пользователей подключаются как обычно на 4090, те же из пользователей, для кого 4090 закрыт, подключаться по 443-му потру.

Важно!

Следует учесть что у этого “трюка” есть несколько особенностей:

  • Следует учесть что на 443-м порту уже может кто-то “висеть”, например OWA от Exchange, тогда следует либо взять другой порт, либо арендовать у провайдера еще один IP, чтобы подключения к OWA шли по IP1, а подключения по запасному VPN – по IP2
  • В некоторых случаях (особенности сетевого оборудования со стороны клиента) данный трюк может вызывать нарушения процесса трехстороннего рукопожатия – в этом случае подключение устанавливаться не будет. В этом случае необходимо глобально изменить порт в настройках VPN сервера.

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

IV. Настройки на стороне сервера

В данном примере в качестве “резервного” порта используется 443-й, поскольку его редко кто блокирует. Пример иллюстрирует ситуацию, когда на 443-м порту уже опубликовано какое-либо приложение, по этому в примере задействованы 2 IP адреса, которые назначены внешнему интерфейсу.

То есть у нас на шлюзе 1 внешний интерфейс, у него два IP:

– 209.85.148.100

– 209.85.148.99

На адрес 209.85.148.99 осуществляются подключения по стандартному 4090 (kerio vpn) и 443 (owa). Подключения, которые приходят из Интернета по 443-му порту на 209.85.148.100 мы транслируем на 209.85.148.99:4090 с трансляцией порта. Таким образом, если пользователь использует стандартные настройки, он указывает в VPN клиенте 209.85.148.99 и подключается по 4090. Если же со стороны пользователя порт 4090 закрыт, он в настройках VPN клиента указывает 209.85.148.100:443 и подключается по резервному порту.

Так выглядит список правил для этого примера:

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

V. Настройки на стороне клиента

Клиенту для подключения по нестандартному порту необходимо будет в поле “Server” указать выбранную администратором связку IP:port

# # # # # # # # # # # # # # # # # # # # # # # # # # # # # #

Если Вы желаете узнать больше о возможностях Kerio Control UTM, вы можете загрузить по ссылке ниже короткое описание в формате PDF:

datasheet_control_ru

Благодарю за внимание.
Следите за обновлениями.