Софт-Архив

Kerio Winroute img-1

Kerio Winroute

Рейтинг: 4.8/5.0 (1861 проголосовавших)

Категория: Windows: Firewalls

Описание

Kerio WinRoute Firewall 6

Kerio WinRoute Firewall 6.7.1 Build 6544 (от 9 марта 2010) [RUS] + VPN Client

Kerio WinRoute Firewall 6.7.1 Build 6544 (от 9 марта 2010) [RUS] + VPN Client

Год выпуска. 2010

  • Pentium III
  • 256 MB RAM
  • 10 MB свободного места на HDD
  • Общие сведения:

    Kerio WinRoute Firewall - Мощный комплекс для управления подключением локальной сети к интернету. Состоит из роутера и файрволла, есть кэширующий прокси-сервер (http, ftp, gopher), серверы DHCP и DNS, IP router, URL-фильтры, планировщик и многое другое, включая удаленное администрирование и поддержку VPN и VoIP, короче говоря, в программе имеется практически все, что требуется для организации качественного и безопасного подключения к Интернету, причем подключение локалки может быть осуществлено с помощью модема, ISDN или сетевой карты.

    (содрал в соседней ветке).

    Дополнительно:

    • Единая система безопасности:

    Защита от постоянно изменяющихся сетевых угроз с помощью файерволла уровня приложений, антивирусной защиты и блокировшика P2P.

    • Управление пользователями:

    Контроль пользовательской деятельности в Интернет и продуктивности труда сотрудников посредством политики доступа, интернет мониторинга и фильтра веб-контента.

    Увеличение эффективности и доступности пропускной полосы с распределением нагрузки на сеть, ограничителем скорости пропускной полосы, и подключением по резервному каналу.

    • VPN сервер:

    Легкое и простое подключение пользователей к сетевым ресурсам.

    - Timezone database was updated

    - Software Appliance: support for more network cards and hard drives was added

    - Fixed: NTLM authentication works if user name contains national characters

    Доп. информация.

    Состав раздачи

    kerio-kwf-whql-6.7.1-6544-win32.exe - Установочный фаил Kerio WinRoute Firewall для 32-х битных систем.

    kerio-kwf-whql-6.7.1-6544-win64.exe - Установочный фаил Kerio WinRoute Firewall для 64-х битных систем.

    kerio-kvc-whql-6.7.1-6544-win32.exe - Установочный фаил Kerio VPN Client для 32-х битных виндоус-систем.

    kerio-kvc-whql-6.7.1-6544-win64.exe - Установочный фаил Kerio VPN Client для 32-х битных виндоус-систем.

    kerio-kvc-6.7.1-6544-mac.dmg - Установочный фаил Kerio VPN Client для Mac OS X.

    kerio-kvc_6.7.1-6544.T2-1_i386.deb - Установочный фаил Kerio VPN Client для Debian и Ubuntu Linux.

    ukaip-2.2-final-vityan.zip - Патч и генератор лицензий от vityok, а так же подробная инструкция по использованию патча.

    Краткая, иллюстрированная инструкция по использованию патча:

    1) Устанавливаем KWF.

    • Для 32-х битной Виндоус:
  • Для 64-х битной Виндоус:

    Копируем ukaip64.exe из "ukaip-2.2-final-vityan\Windows (X64)" в каталог установленного KWF, генерируем фаил лицензии с помощью ukaip64.exe коммандой: ukaip86.exe -l license.key winroute.exe 4) Патчим KWF командой: ukaip86.exe winroute.exe ( или ukaip64.exe winroute.exe -для 64-х битной Виндоус)

    ukaip86.exe winroute.exe -force-trial-kwf-with-lic

  • Другие статьи, обзоры программ, новости

    Настройка Kerio WinRoute v6

    Настройка Kerio WinRoute v6.7 для раздачи интернета пользователям в локальной сет и возможности подключения VPN клиентов

    По сути, Kerio WinRoute является в первую очередь фаерволом, который может предоставить безопасное соединение рабочим станциям в локальной сети.

    У нас стоит задача, предоставить некоторым пользователям локальной сети доступ к интернету. но при этом, не совершая никаких настроек со стороны клиента. Настроить подключение VPN клиентов к нашей локальной сети.

    И так, приступим, первым делом нам нужно установить Kerio WinRoute :

    Процесс установки весьма прост, и не должен вызвать затруднений, запускаем WinRoute и выбираем язык:

    Продолжаем установку:

    Принимаем лицензионное соглашение:

    Выбираем тип установки, я выбрал «Полная », ненужные модули можно будет отключить в панели управления:

    Путь установки, если хотите, то можно поменять:

    Kerio WinRoute обнаружил службы с которыми могут быть конфликты, и предлагает отключить их, и мы конечно соглашаемся:

    Обязательно указываем логин и пароль администратора:

    Если мы выполняем установку на своём компьютере (не удалённо), просто продолжаем:

    Устанавливаем:

    Спустя минутку:

    Kerio WinRoute уже готов к работе, но только на 30 дней…, перезагружаем компьютер и останавливаем службу Kerio:

    Если вы скачали Kerio WinRoute с нашего сайта и установили x86 версию, то копируем winroute.exe (присутствует в архиве) в каталог с фаерволом, по умолчанию это c:\Program Files\Kerio\WinRoute Firewall\. с заменой исходного конечно. Теперь копируем license.key в каталог с лицензиями WinRoute, по умолчанию это c:\Program Files\Kerio\WinRoute Firewall\license\. Если вы установили x64 версию, то вам нужно будет пропатчить winroute.exe и сгенерировать license.key самостоятельно (патчи тоже присутствуют).

    Запускаем Kerio WinRoute, теперь он работает без ограничений пользователей и времени:

    Кликаем 2 раза на иконке Kerio WinRoute в трее и попадаем в окно авторизации, где нам нужно ввести логин и пароль для доступа в панель управления, этот логин и пароль мы указывали во время установки:

    После успешной авторизации, мы сразу попадаем в панель управления, откажемся от матера настройки и перейдём в раздел "Интерфейсы ". В этом разделе выберем интерфейс для подключения к интернету, нажмём на него 2 раза и укажем соответствующую группу интерфейсов:

    Теперь выбираем интерфейс для локальной сети, в моём случае их два, и я для обоих указал группу "Доверенные/локальные интерфейсы ":

    Сетевые платы, должны быть настроены средствами Windows. для одной локальной сети, я указал IP адрес 192.168.1.1 с маской 255.255.255.0. а для другой 192.168.2.1 с маской 255.255.255.0. Сетевая плата для получения интернета у меня была настроена на DHCP режим, то есть получение настроек автоматом.

    Теперь сохраним изменения и перейдём в раздел "Политика трафика " где у нас будет уже 2 правила. Первое правило разрешает WinRoute-у ходить куда угодно на любые порты, а второе правило запрещает любой трафик откуда угодно, куда угодно. Правила трафика применяются сверху вниз, таким образом, если вы создадите какое-то разрешающее правило, и оно будет стоять выше правила, которое блокирует весь трафик, то приоритет вашего правила будет выше, и путь для трафика будет открыт:

    Теперь приступим к настройкам и добавим новое правило, которое, в итоге, будет разрешать локальный трафик. Потом нажмём два раза на его названии, и укажем своё название:

    Теперь нажмем два раза на поле нового правила в колонке "Источник " и поочерёдно добавим нужные объекты, а именно фаервол, VPN клиенты, VPN туннели и локальные интерфейсы:

    Добавляем фаервол

    Добавляем VPN клиентов

    Весь список

    Вот что получилось

    Точно таким же образом, добавляем эти же объекты в раздел «Назначение», а в разделе "действие" указываем "разрешить ":

    Теперь добавляем правило для разрешения доступа локальных пользователей в интернет:

    А теперь добавляем правило для разрешения доступа для подключения VPN клиентов, если вам не нужен доступ удалённых VPN клиентов к вашей локальной сети, то можете не создавать данного правила:

    А теперь очень важный момент, правило для доступа локальных пользователей в интернет мы создали, но доступа они НЕ получат, так как мы не включили NAT, в разделе "трансляция" этого правила устанавливаем флажок на включении NAT и можем выбрать тип балансировки нагрузки (балансировка нужна лишь при нескольких подключениях к интернету):

    Сохраним изменения и перейдём в раздел "Фильтр содержимого => Политика HTTP " и выключим кеширование прозрачного HTTP прокси:

    Выключим сам прокси:

    Выключим ВЕБ фильтр:

    Выключим антифирус:

    Этими действиями мы полностью отключили фильтрацию трафика и оставили пользователей локальной сети без защиты перед загружаемыми ими данными, но нам этого и не нужно, к тому же мы снимаем большую нагрузку с нашего сервера – пусть пользователи сами беспокоятся об установке антивирусов на своём компьютере.

    Добавляем диапазон IP адресов для раздачи в нашей сети №2 (этот шаг совсем не нужен, если у вас всего один локальный интерфейс):

    Настройки DNS нас устраивают:

    Выключим Anti-Spoofing :

    Если вам нужно подключение VPN клиентов с использованием SSL оставим галочку, и если вы хотите предоставить пользователям доступ к статистике через ВЕБ интерфейс, тоже оставим соответствующие галочки. Если вы собираетесь проводить авторизацию пользователей через ВЕБ аутентификацию, то вам нужно будет оставить включенным ВЕБ интерфейс (ВЕБ авторизацию мы рассмотрим дальше):

    Отключаем проверку обновлений (ну ели вы КУПИЛИ Kerio WinRoute, то можете не отключать):

    После проведенных настроек, Kerio WinRoute раздаст сетевые настройки по протоколу DHCP всем клиентам подключенным к любому из локальных интерфейсов, и предоставит доступ к интернету.

    Клиент подключенный на интерфейс №1:

    Клиент подключенный на интерфейс №2:

    Но, если мы хотим предоставить доступ к интернету не всем пользователям, нам нужно включить HTTP авторизацию и добавить каждого пользователя. Можно конечно задать фильтр по IP адресам в политиках трафика, но что стоит клиенту сменить свой IP адрес вручную и получить доступ к интернету?

    Включаем HTTP авторизацию при доступе в ВЕБ и автоматическую аутентификацию браузерами, выставляем лимит сеанса при бездействии:

    Создаём группу:

    Устанавливаем нужные вам права (или не устанавливаем)

    Добавляем пользователей:

    Прикрепляем к группе:

    Теперь, при попытке доступа к ВЕБ странице, пользователя бросит на страницу авторизации, и только после успешной авторизации он сможет получить доступ к ВЕБ страницам:

    Корпоративные брандмауэры компании Kerio

    Корпоративные брандмауэры компании Kerio

    Сергей Кошель

    Kerio WinRoute Firewall

    erio WinRoute Firewall (далее WinRoute) — это сетевой брандмауэр, предназначенный для защиты периметра локальной сети от разрушительных и любопытствующих вторжений извне (например, из Интернета), для обеспечения доступа локальных пользователей в Интернет, фильтрации трафика, а также для предоставления всевозможной статистики. Чтобы оценить возможности продукта, интерфейс управления, логику работы программы, рассмотрим более-менее подробно его главную функцию — защиту локальной сети и управление трафиком. Затем кратко перечислим дополнительные возможности WinRoute.

    Компьютер, на который устанавливается WinRoute, должен иметь по меньшей мере два сетевых интерфейса: один подключенный к локальной сети, а второй — к общедоступной (например, к Интернету). После установки и перезагрузки компьютера следует запустить консоль управления WinRoute, которая сразу же предложит запустить сетевой мастер (Network Rules Wizard). На этом этапе запуск мастера очень важен, особенно для тех, кто устанавливает WinRoute впервые. Дело в том, что мастер создает базовый набор пакетных правил (traffic policy rules), что в дальнейшем позволит лучше понять принцип работы, способы создания и суть этих правил. Пакетные правила — это ключевой момент для сетевого брандмауэра, именно они определяют, какие потоки данных (сетевые пакеты) будут свободно проходить в (из) локальную сеть, а какие будут запрещены в целях безопасности. Рассмотрим наиболее важные шаги мастера.

    Шаг 3 — выбор сетевого интерфейса, подключенного к внешней сети, то есть к Интернету. WinRoute сам определит наиболее подходящий из имеющихся на данном хосте интерфейсов, основываясь на его IP-адресе, и предложит его в первую очередь. Если же на хосте есть несколько интерфейсов с IP-адресами внешнего диапазона, то, возможно, придется явно указать требуемый интерфейс. (Все интерфейсы WinRoute идентифицирует и отображает по именам, которые назначены им в операционной системе.)

    Шаг 4 — выбор сервисов (протоколов), которые будут доступны для пользователей локальной сети при обращении в Интернет. Здесь доступны два варианта: разрешить все сервисы (нет ограничений) или задать только определенные. Для второго случая WinRoute предоставляет список наиболее востребованных сервисов (например, HTTP, FTP, SMTP и т.д.). Необходимые сервисы нужно отметить галочкой. Для дальнейшего рассмотрения отметим первый вариант — «нет ограничений».

    Шаг 6 — выбор серверов, расположенных в локальной сети, к которым необходимо открыть доступ из Интернета (например, Web-сервер, почтовый сервер и т.п.). Даже если у вас нет таких серверов, лучше сказать, что они есть, чтобы потом рассмотреть соответствующие правила. Таким образом, предоставим мастеру возможность их создать, чтобы потом учиться у него, как это делается. Чтобы добавить сервер, необходимо указать: 1) его локальный IP-адрес или значение «Firewall» (если сервер выполняется на том же хосте, где установлен WinRoute); 2) сервис (HTTP для Web-сервера, SMTP для почтового сервера и т.д.).

    Шаг 7 — разрешить NAT (протокол трансляции сетевых адресов). Его необходимо разрешить, чтобы пользователи локальной сети могли пользоваться Интернетом (это наш выбор). Только в очень редких случаях NAT требуется запретить — если WinRoute используется исключительно как обычный маршрутизатор между двумя или более сетями (это не наш случай).

    Далее позволим мастеру завершить свою работу. Поскольку мастер может быть запущен в любое время (а не только сразу после установки WinRoute), то, чтобы избежать противоречивости пакетных правил, все старые правила уничтожаются. Итак, наш брандмауэр уже работает (!) и выполняет свою главную функцию — защиту локальной сети (в первом приближении, конечно). Теперь можно не спеша рассмотреть и, главное, понять, как работают пакетные правила.

    Пакетные правила в WinRoute собраны в одну таблицу (рис. 1) и строго упорядочены (верхнее правило — первое правило). Порядок правил можно изменять. Любой пакет, приходящий на хост Firewall (термин «Firewall» применяется в WinRoute для обозначения хоста, на котором он сам установлен), проходит проверку на соответствие какому-либо правилу, начиная с первого. Если пакет не удовлетворяет условиям текущего правила, то к нему применяется следующее и т.д. В том случае, когда пакет достиг последнего правила, которое гласит «запретить все», он будет беспощадно удален (что не разрешено, то запрещено). Последнее правило «запретить все» нельзя удалить, переместить или редактировать (за несущественным исключением). Перед заголовком каждого правила есть галочка, если она установлена — правило активно (работает), иначе правило не принимается во внимание процессором WinRoute, словно его и нет. Это очень удобно, если необходимо проводить эксперименты или время от времени включать/выключать правило по каким-нибудь соображениям, — не требуется его удалять и создавать заново. Следует отметить, что принцип «включено/выключено» применяется в WinRoute практически повсеместно — и в этом несомненное достоинство интерфейса программы.

    Рис. 1. Пакетные правила WinRoute

    Каждое пакетное правило состоит из нескольких полей: источник пакета (откуда пришел), назначение (куда он хотел идти дальше), сервис (протокол), действие, протоколирование, трансляция адресов. Источник и назначение имеют один и тот же формат — приведем впечатляющий список возможных вариантов:

    • хост;
    • IP-диапазон;
    • группа IP-адресов;
    • сеть/маска;
    • сеть, подключенная к интерфейсу;
    • VPN;
    • пользователи;
    • хост Firewall.

    Сервис указывает на протокол, в рамках которого работает пакет. В WinRoute предопределены 79 сервисов, для которых администратору даже не нужно знать номера портов (а вы помните номер порта для терминального сервиса Windows — RDP — Remote Desktop Protocol?) — достаточно выбрать его по имени из таблицы. Но в качестве сервиса можно задать и номер порта или определить свой (новый) протокол, добавить его в таблицу сервисов, а затем использовать его по имени.

    Действие определяет три варианта дальнейшей судьбы пакета: разрешить, запретить (но уведомить отправителя об этом), сбросить (без уведомления отправителя — пусть он думает, что его пакеты исчезают в черной дыре). Кстати, это один из двух параметров, которые можно изменить в последнем правиле «запретить все», — можно использовать «запретить» или «сбросить». Разработчики WinRoute рекомендуют употребление «запретить» для пакетов из локальной сети и «сбросить» — для пакетов, поступающих извне.

    Протоколирование достаточно развито в WinRoute, но не будем на этом останавливаться. Это, кстати, второй параметр, который можно менять в правиле «запретить все».

    Трансляция адресов может представлять два варианта: NAT источника (Internet sharing/IP masquerade) или NAT назначения (port mapping). Первый применяется для подмены локальных адресов выходящих в Интернет пакетов на внешний адрес одного из сетевых интерфейсов хоста Firewall. Локальный адрес подменяется на внешний (маршрутизируемый) для того, чтобы можно было получить ответы на свои сетевые запросы. Port mapping служит для того, чтобы внешние компьютеры могли обратиться к серверу, который стоит внутри локальной сети.

    Теперь рассмотрим правила, показанные на рис. 1. Некоторые из них были созданы мастером WinRoute, а другие добавлены вручную позже.

    Правило с именем «NAT» (создано мастером). В данной таблице это единственное правило, отвечающее за прохождение пакетов из локальной сети (интерфейс «Local» 10.0.0.0) в Интернет (интерфейс «M» 200.200.200.99). (Интерфейс с именем «Z» рассмотрим позже.) Поскольку в поле «Service» указано значение «Any», то разрешены пакеты любых протоколов, то есть отсутствуют ограничения для локальных пользователей на обращение к внешним сервисам. В поле трансляции адресов используется протокол NAT. Если нужно запретить обращение к каким-либо сервисам, то продублируйте (правая кнопка мыши) данное правило и в новом правиле укажите запрещаемый сервис или сразу несколько. Передвиньте новое правило так, чтобы оно расположилось выше старого, — цель достигнута. Если же необходимо, наоборот, разрешить только некоторые определенные сервисы, то по двойному щелчку мыши на слове «Any» этого правила появится окошко, где можно выбрать разрешаемые сервисы. После этого вы можете считать, что уже научились управлять выходом в Интернет локальных пользователей (применительно к WinRoute).

    Правило с именем «Firewall Traffic» (создано мастером) отличается от правила «NAT» только отсутствием трансляции адресов, поскольку хост Firewall имеет внешние IP-адреса. Обратите внимание на источник — «Firewall», то есть правило применимо только к пакетам, зарождающимся на самом хосте Firewall.

    Разрешающее правило «Local Traffic» (создано мастером) описывает все возможные комбинации источника и назначения пакетов в пределах локальной сети, включая компьютер, на котором установлен WinRoute.

    Правило «Service FTP» разрешает доступ извне к вашему FTP-серверу, а правило «Service SMTP» разрешает доступ извне к вашему почтовому серверу. Оба правила созданы мастером. Различие между ними состоит только в том, что FTP-сервер выполняется на том же компьютере, что и WinRoute, а почтовый сервер стоит на локальной машине с IP-адресом 10.0.0.51. Обратите внимание, что у правила «Service SMTP» нет галочки слева — оно не работает, это просто заглушка, которая нам пока не нужна. Итак, теперь вы умеете предоставлять доступ к своим серверам через WinRoute.

    Обратимся к правилам, которые пришлось создавать вручную. Мы хотим запретить доступ в нашу сеть, а следовательно, и к нашим серверам некоторым чересчур рьяным поклонникам нашего же FTP-сервера. Для этого создано правило с именем «Запрещено», а в поле источника указано имя группы IP-адресов, чтобы не громоздить множество адресов в само правило. Адреса в эту группу можно добавлять по мере необходимости, а можно временно отменять (галочки) действие некоторого адреса. Создается такая группа в другом месте, но для нас сейчас важен только тот факт, что ее можно создать, редактировать, а также применять в нескольких правилах. В адресную группу можно вносить отдельные IP-адреса, сеть с указанием маски или диапазон IP-адресов. Обратите внимание, что это правило стоит до других правил, разрешающих вход в локальную сеть, а следовательно, обладатели таких адресов не смогут попасть ни на один из наших серверов (если таковые есть). При необходимости закрыть доступ только к FTP-серверу в поле «Service» вместо «Any» следует указать «FTP», а затем достаточно поставить это правило перед правилом «Service FTP» — расположение его относительно других правил не имеет значения.

    Три правила, озаглавленные «Web server…», демонстрируют предоставление доступа к терминальному серверу (сервис RDP) только с определенного IP-адреса и доступ Web-разработчиков из определенной сети. Поле назначения содержит не имя интерфейса, а конкретный IP-адрес, поскольку интерфейсу M назначено несколько адресов, а употребление имени равносильно указанию только первичного адреса интерфейса.

    WinRoute обеспечивает резервирование соединения. Предположим, что есть два внешних соединения (одно из них может быть телефонным модемом) и соответственно два интерфейса (сетевые карты) в хосте Firewall. В каждый момент времени WinRoute использует только одно из них. Но если данный канал «обрывается», то WinRoute переключает весь внешний трафик на другой. Администратор определяет, какое соединение является первичным, а какое — вторичным. Первичное соединение используется всегда, когда оно физически работает. Если же возникла необходимость переключиться на вторичный интерфейс, то с этого момента WinRoute постоянно следит за первичным соединением и, как только оно придет в норму, переключает весь трафик назад — на первичное соединение. В правилах на рис. 1 интерфейс с именем «Z» как раз и обеспечивает резервный канал.

    Кратко остановимся на фильтрации трафика. Фильтрация трафика представлена в WinRoute довольно развитыми возможностями и применима только к HTTP- и FTP-трафику. Трафик можно фильтровать по именам сайтов, по указанию подстроки для имени сайта, по наличию в передаваемых данных определенных слов (списки слов можно создавать и редактировать) и т.д. Для FTP-трафика в качестве критерия фильтрации можно применять FTP-команды, например можно запретить выгрузку файлов из локальной сети на внешние FTP-серверы. В качестве критерия фильтрации могут выступать пользователи или группы пользователей.

    Антивирусная фильтрация применима к HTTP-, FTP-, SMTP- и POP3-протоколам. Настройки совершенно очевидны. Стоит отметить, что стандартно WinRoute может поставляться с антивирусным сканером McAfee, но может работать в паре с другими сканерами сторонних производителей (в списке значится семь сканеров).

    Статистика в WinRoute представлена достаточно полно. Объем трафика можно посмотреть в обоих направлениях (входной и выходной) отдельно для сетевых интерфейсов или для пользователей. Поскольку статистика представляется в табличном виде, то данные можно отсортировать по любой колонке по возрастанию или убыванию. А колонки предлагают следующие варианты: за день, за неделю, за месяц, всего (за все время после установки WinRoute). Кроме того, статистика по сетевым интерфейсам может быть представлена в графическом виде за периоды: 2 часа, 1 день, 1 неделя, 1 месяц; а статистика по пользователям покажет распределение трафика по протоколам (1 день, 1 неделя, 1 месяц, всего). Статистика по сетевым интерфейсам поможет следить за входящим трафиком от провайдера.

    В списке пользователей имеются две специальные строки: «все пользователи» и «нераспознанные пользователи». Дело в том, что пользователи либо обязаны авторизоваться в WinRoute, либо нет. Это зависит от настроек WinRoute. В первом случае статистика собирается на основе имен пользователей, а во втором — на основе IP-адресов. Если вы не требуете авторизации пользователей, то должны в базе данных пользователей WinRoute указать, с каких IP-адресов работает каждый пользователь (можно определить несколько адресов для одного пользователя.). Это не так трудно, как может показаться, даже если IP-адреса раздаются DHCP-сервером (обычная ситуация). В строку «нераспознанные пользователи» попадут, например, трафик сервера DNS, трафик обновления правовой базы и т.п. Но в БД пользователей WinRoute можно добавить специальных «пользователей», назначить им адреса соответствующих серверов, и тогда можно будет определить, сколько трафика потребляет обновление правовой базы или сервер DNS. WinRoute может оперировать смешанной базой пользователей — в этом случае одни пользователи будут импортированы из Active Directory, а другие могут быть добавлены как локальные пользователи WinRoute.

    Каждому пользователю можно назначить квоту трафика. При этом, в зависимости от настроек, при достижении пользователем лимита своей квоты WinRoute либо оборвет все соединения, либо запретит устанавливать новые, либо только предупредит пользователя. В любом случае WinRoute может известить пользователя (и/или администратора) о превышении квоты по электронной почте. А каждый пользователь может, в свою очередь, следить за своим трафиком, обратившись к WinRoute по Web-интерфейсу.

    Kerio Server Firewall (KSF)

    SF представляет собой серверный брандмауэр, то есть такой брандмауэр, который защищает только тот хост, на котором он установлен. В отличие от сетевого брандмауэра (например, от WinRoute), данный продукт не осуществляет маршрутизацию пакетов между сетями (между интерфейсами хоста), однако может защищать несколько (до 100) интерфейсов своего хоста. В первую очередь KSF предназначен для защиты серверов, установленных на площадке провайдера (услуга collocation). Соответственно KSF имеет удаленное управление (впрочем, как и большинство брандмауэров) через Web-интерфейс.

    Чем же отличается серверный брандмауэр от сетевого? Главное их различие — обеспечение защиты приложений (Application Hardening), запущенных на сервере. KSF следит не только за сетевым трафиком, но и за поведением приложений, в первую очередь серверных, которые по роду своей деятельности обязаны «прослушивать» порты и отвечать на сетевые запросы клиентов.

    На странице «Сетевой статус» (рис. 2) перечислены все запущенные в данный момент серверные приложения, которые «прослушивают» какие-либо порты, их рабочие протоколы и количество соединений, установленных в текущий момент. Кроме того, для каждого приложения указывается его полный путь в файловой системе сервера, дата последней модификации exe-файла, а также краткая справочная информация о назначении данного приложения и возможных слабых местах защиты. В отдельной панели расположены три ссылки-кнопки, позволяющие выполнить следующие действия: создать сетевое правило на основе выбранного процесса, показать все сетевые правила, имеющие отношение к данному процессу, выдать список соединений выбранного процесса.

    Рис. 2. Сетевой статус KSF

    Рассмотрим формат сетевых правил (рис. 3). Действие предусматривает два варианта: разрешить или сбросить. Направление описывает входящие соединения, исходящие соединения и трафик в обоих направлениях. Следует отметить, что указание обоих направлений обычно не имеет смысла и таит в себе потенциальную опасность. Как видно из рисунка, только правило «Default rule» реализует такой вариант, чтобы запретить все соединения, не подпадающие под предыдущие правила. Данное правило нельзя удалить, но его действие можно изменить на «разрешить» с целью отладки. Только одно правило в представленном списке разрешает исходящие соединения — самому серверу (в смысле — компьютеру) разрешено обращаться куда угодно. Все остальные правила описывают доступ только внутрь нашего хоста, естественно со всевозможными ограничениями. Так, самое верхнее правило разрешает доступ к процессу inetinfo.exe по протоколу HTTP (порт 80).

    Рис. 3. Сетевые правила KSF

    Столбец «Local» указывает, через какой локальный (расположенный на нашем хосте) интерфейс будет устанавливаться соединение. В данном случае на сервере установлено два интерфейса, один из них именуется в ОС «Internet» и подключен к внешней сети, второй подключен к локальной сети. В самом верхнем правиле указан явно только один интерфейс — все остальные правила распространяются на соединения от любого локального интерфейса. Столбец «Remote» задает адреса удаленных клиентов, обращающихся к серверу. Варианты могут быть такими: IP-адрес, диапазон IP-адресов, сеть/маска, имя адресной группы. Адресная группа может содержать сколь угодно различных адресных комбинаций, перечисленных выше. В KSF предопределены несколько адресных групп (используйте в качестве примера). Как видно из таблицы правил, доступ к Web-серверу возможен отовсюду, самому хосту разрешается идти куда угодно, и, кроме того, последнее запрещающее правило, естественно, учитывает любые внешние адреса. В остальных правилах удаленные адреса представлены именами адресных групп.

    Чтобы понять, как KSF осуществляет защиту приложений, давайте поговорим на тему «Как разрушить сервер». Допустим, атакующий хакер или сетевой червь пытается «положить» на компьютер какой-то исполняемый код, который будет выполнять разрушительные или любопытствующие действия. Для этого существуют два варианта: внедрить код в одно из запущенных приложений, например в inetinfo.exe, или положить exe-файл на диск. В первом случае вредоносный код будет работать в любое время, когда выполняется зараженное приложение. Во втором случае необходимо иметь способ запуска паразита. Один из способов состоит в том, чтобы внедрить код запуска в выполняемое приложение, например в inetinfo.exe, а второй — в изменении системных настроек, касающихся запуска приложений при старте системы или при наступлении некоторого события.

    Теперь перечислим три составные части защиты приложений в KSF.

    1. Запрет запуска задачи из выполняемой задачи (Process spawning).

    2. Запрет на изменение exe-файла сетевого процесса хоста, включая изменение пути запуска (то есть невозможно обмануть KSF, пытаясь запустить процесс с тем же именем из другого каталога, поскольку это уже подмененный exe-файл).

    3. Запрет изменения важных системных данных (System tampering). Для примера на рис. 5 показан список таких данных.

    На рис. 4 представлены правила защиты приложений. Одно из них (для srvfw.exe) создано автоматически в процессе установки KSF, и его можно использовать в качестве примера для обучения. В правилах можно задавать исключения, например позволяя некоторому процессу запускать другие, если имеется такая необходимость. Определить такие исключения, оказывается, очень просто. Создайте правило, которое только протоколирует действия интересующего вас процесса, а через некоторое время просмотрите журнал (Logs/Hardening), чтобы определить, будет ли то или иное приложение в нормальном (незараженном) состоянии еще что-нибудь запускать.

    Рис. 4. Правила защиты приложений KSF

    Рис. 5. Защищаемые системные данные

    И еще одна особенность KSF — определение возможных вторжений. Собственно, настраивать здесь ничего не нужно, однако необходимо регулярно проверять соответствующий журнал протоколирования. KSF предоставляет описание некоторых наиболее распространенных видов вторжения с указанием их серьезности. Просмотр списка соединений определенного процесса также может помочь администратору заметить угрозу — слишком большое количество соединений с одного IP-адреса или огромный объем переданных данных в рамках одного соединения. К сожалению, в окне списка соединений невозможно отсортировать данные по удаленному IP-адресу или по объему данных.

    Kerio Mail Server (KMS)

    MS может использоваться либо как полноценный почтовый сервер, который хранит почтовые ящики пользователей и обеспечивает доступ почтовых клиентов, либо в качестве промежуточной «почтовой станции» (в терминах Sendmail — Smart Host). В последнем случае он выполняет функции промежуточного звена между почтовым сервером, расположенным внутри локальной сети (например, MS Exchange Server), и внешним миром. Хост с установленным KMS может иметь два сетевых интерфейса, один из которых подключен к локальной сети, а второй — к внешней. Таким образом, KMS будет выполнять функции почтового брандмауэра. При этом прием всей внешней почты, которая приходит в организацию, возлагается на KMS, а отправка почты локальных пользователей наружу может выполняться как почтовым брандмауэром, так и внутренним сервером напрямую. Поскольку нас интересует режим брандмауэра, то кратко рассмотрим только эту функциональность KMS. А она в данном случае состоит из трех компонентов: отсеивание нежелательной почты на основе так называемых черных списков (Black lists), фильтрация спама и антивирусная защита.

    Черные списки содержат перечень почтовых серверов-спамеров. Подобные серверы чаще всего работают в режиме Open relay, который позволяет отправлять почту любым клиентам без какой-либо авторизации и независимо от взаимного расположения клиента и сервера. Так, спамер, находящийся в России, может воспользоваться почтовым сервером из Южной Америки для рассылки тысяч писем. Иногда в черный список попадают и нормальные серверы — из-за неосторожной рассылки деловых писем или неверной настройки почтового сервера. Серверы черных списков, или Open Relay Data Bases (ORDB), реализованы как DNS-серверы со специальным видом записи, которые и хранят списки вредных серверов. Обычно серверы ORDB администрируются серьезными людьми, а программное обеспечение этих серверов тщательно проверяет кандидатов на занесение в черный список. Но существуют и такие серверы, которые собирают свои списки по первой жалобе. Именно по этой причине многие нормальные почтовые серверы (а чаще всего целые диапазоны IP-адресов) попадают в черные списки. Так что при настройке своего почтового сервера главное не перестараться, задавая ему как можно больше серверов ORDB, иначе практически вся почта (и полезная тоже) может быть отсеяна.

    Собственно, настройка черных списков в KMS настолько проста, что вполне можно было бы ограничиться констатацией факта поддержки данной функциональности. Однако сделаем несколько замечаний. В поставке KMS уже предусмотрены пять серверов ORDB. Сервер под именем SORBS DNSBL (dnsbl.sorbs.net) отличается настолько «рьяными» списками, что вся почта из aha.ru и mail.ru отвергается. Поэтому в наших конкретных условиях лучше отменить опцию «block» для данного сервера. KMS также позволяет создать свой черный список. К великому сожалению, KMS не позволяет создать так называемый белый список, который является противоположностью черному и в идеале должен просматриваться до обработки черных списков.

    Под фильтрацией спама подразумевают процесс ограничения нежелательной почты (в дополнение к черным спискам). KMS обладает специальным процессором, который на основе некоторых правил (эти правила не подлежат редактированию) присваивает каждому входящему письму спамовый рейтинг. За ту или иную конкретную особенность письму добавляются баллы, за другую особенность — еще баллы. Сумма этих баллов в KMS может доходить до 10 для каждого письма. Администратор устанавливает порог (по умолчанию равный 5), при превышении которого письмо считается спамом. Далее KMS может сделать со спамом следующее: поставить спам-отметку в заголовке письма, или удалить письмо «не поднимая шума», или возвратить письмо отправителю (хорошая идея). В любом случае копия письма может быть направлена в какой-либо локальный почтовый ящик (на всякий случай), который необходимо время от времени чистить. Если письмо все же пропускается дальше, то в его тему может быть добавлена метка (по умолчанию предлагается «**SPAM**»). По этой метке почтовый клиент может откладывать письма в отдельную папку.

    Вторая возможность фильтрации спама позволяет создавать фильтры на основе нескольких критериев (поля From, To, Subject, Sender и т.д. и их значения «пусто», «содержит адрес», «содержит домен» и т.п.). Если письмо удовлетворяет критериям определенного фильтра, то далее возможны варианты: 1) трактовать письмо как неспам (аннулировать спамовые баллы); 2) трактовать письмо как спам и запретить его; 3) добавить к спамовым баллам еще некоторое значение (значение задается). И отдельно определяется дальнейшая судьба запрещенных писем — либо удалить без шума, либо возвратить отправителю (копия письма может быть направлена в какой-либо локальный почтовый ящик).

    Антивирусная защита в KMS осуществляется по таким же принципам и с теми же возможностями, что в WinRoute.

    Отдельно стоит отметить способность KMS противостоять хакерским атакам. Вот некоторые возможности: 1) задать максимальное число сообщений, принимаемых с одного IP-адреса за 1 час; 2) задать максимальное число одновременных SMTP-соединений с одного IP-адреса; 3) задать максимальное число несуществующих получателей и 4) задать список исключений IP-адресов для первых трех пунктов. Кроме того, можно ограничить максимальное число получателей в одном письме, максимальное число ошибочных команд в SMTP-сессии.

    Статистика и протоколирование работы KMS реализованы достаточно полно и удобно.

    В заключение хочется отметить, что все продукты компании Kerio снабжены отличной документацией, пробные версии (не имеют никаких ограничений, кроме срока работы — 1 месяц) можно скачать с сайта www.kerio.com.

    Скачать бесплатно Kerio WinRoute Firewall

    Kerio WinRoute Firewall

    Kerio WinRoute Firewall – программа для доскональной сетевой безопасности. Она блокирует различные внешние атаки и вирусы. Благодаря этому софту ограничивается доступ к вебсайтам, которые имеют сомнительное содержание. Универсальный пакет имеет в своем составе брэндмауэр (файрвол), программный маршрутизатор, прокси-сервер. Особенностью программного продукта является наличие URL filter благодаря которому на посещение некоторых Web-страниц можно наложить запрет.

    Разработчики наделили Kerio WinRoute Firewall гибкостью, поэтому вы можете самостоятельно формировать правила, на основе которых будут осуществляться проверки входящего и исходящего трафика. Скачать Kerio WinRoute Firewall на высокой скорости. Заметьте, что в процессе такого анализа обязательно учитывается состояние протокола. Вы можете рассчитывать на доскональную безопасность.

    Программный продукт проверяет входящий и исходящий HTTP и FTP трафик, выявляет в нем возможные вирусы. Кроме защиты McAffee, которая предустановлена разработчиками в этой версии, вы можете скачать Kerio WinRoute Firewall бесплатно самостоятельно выбрать любой из предложенных антивирусов.

    Kerio WinRoute Firewall от Kerio Technologies Inc

    Kerio WinRoute Firewall 6

    Kerio WinRoute Firewall 6 - это интегрированное решение, включающее брандмауэр, VPN-сервер, антивирус, контентный фильтр и обеспечивающее полную безопасность для компаний малого и среднего бизнеса. Средства управления пользователями позволяют назначить политики сетевого доступа для каждого пользователя или групп пользователей.

    Инспектирующий брандмауэр

    Kerio WinRoute Firewall, сертифицированный ICSA Labs в категории Корпоративные Брандмауэры, обеспечивает возможность определения детальных правил для проверки входящего и исходящего Интернет-трафика.

    Быстрое распределение Интернет-доступа

    Поддержка DSL, кабельных модемов, ISDN, спутниковых, коммутируемых (dial-up) или беспроводных подключений позволяет применять Kerio WinRoute Firewall в сетях любого масштаба.

    Сетевое управление на уровне пользователей

    Имеется возможность требовать от пользователя обязательной регистрации на Kerio WinRoute Firewall до получения доступа к сети Интернет. Это позволяет назначать политики безопасности на уровне отдельных пользователей, а не на уровне IP-адресов машин, подключающихся к серверу.

    Система предотвращения вторжений

    Встроенная система предотвращения вторжений обнаруживает и блокирует основные широко используемые типы атак, такие как сканирование портов. Дополнительная проверка протоколов предотвращает злоупотребления в области безопасности протоколами HTTP и FTP.

    Сервер и клиент Kerio VPN

    Встроенный VPN-сервер на базе SSL работает в режимах клиент-сервер и сервер-сервер, обеспечивая защищенный доступ удаленных офисов и отдельных работников к корпоративной локальной сети. Клиент Kerio VPN работает под управлением ОС Windows.

    Поддержка IPSec VPN

    Kerio WinRoute Firewall включает поддержку IPSec NAT Traversal и PPTP VPN, позволяя интегрировать различные решения сторонних производителей.

    Поддержка VoIP и UPnP

    Kerio WinRoute Firewall поддерживает сквозную работу протоколов H.323 и SIP, исключая необходимость публичного раскрытия внутренней инфраструктуры VoIP. Кроме того, встроенная поддержка технологии UPnP обеспечивает работу таких приложений, как MSN Messenger, без необходимости дополнительной настройки брандмауэра.

    Бесперебойное соединение

    Если Kerio WinRoute Firewall обнаруживает сбой основного Интернет-соединения, то он автоматически активизирует резервное подключение, в качестве которого может высту- пать любая сетевая карта или модем.

    Антивирусная защита

    Kerio WinRoute Firewall предоставляет возможность сканировать входящий и исходящий трафик - почтовый, FTP и HTTP. Кроме версии с интегрированным антивирусом McAfee, доступны также варианты подключения антивирусов от других производителей (Alwil, Eset, Computer Associates, Grisoft, Sophos, Symantec и Deerfield).

    Защита веб-серфинга

    С помощью веб-фильтра ISS Web Filter, Kerio WinRoute Firewall может предотвратить доступ пользователей, групп или сетей к 58 категориям веб-контента. Постоянно обновляемая база фильтра содержит более 20 миллионов адресов URL и более 2,6 миллиардов классифицированных страниц.

    Контентная фильтрация

    Kerio WinRoute Firewall включает ряд возможностей по фильтрации контента, такие как блокировка закачек музыкальных файлов MP3, фильтрация потенциально опасных исполняемых файлов, блокировка всплывающих окон. Модуль P2P Eliminator автоматически обнаруживает и блокирует доступ к пиринговым сетям, таким как Kazaa.

    Ограничение трафика пользователей

    Администраторы могут установить лимиты для пользователей, злоупотребляющих Интернет-подключением для загрузки больших файлов или прослушивания Интернет-радиостанций. Kerio WinRoute Firewall может ограничить объем данных, доступных пользователю для получения или отправки в течение дня или месяца.

    Уведомления по электронной почте

    С помощью отправки уведомлений по электронной почте Kerio WinRoute Firewall помогает администраторам быть всегда в курсе происходящих критических событий, таких как потеря соединения, превышение квоты трафика пользователем или обнаружение вируса.

    Статистика

    Удобные и информативные графики и различного рода статистические данные помогают выявить проблемы и определить тенденции использования ресурсов. С помощью авторизации пользователей трафик может быть проанализирован глобально или по каждому пользователю отдельно.

    Стать на сопровождение продукта