Путь к архиву показан на нижеследующих изображениях:
Предположим, что вы осуществляете переход с последней версии KWF 6.7.1, ваша цель - работающая версия Kerio Control Appliance 8.3 (актуальная версия приложения на Апрель 2014 года)
Основной «сложностью» перехода в данном случае является необходимость выполнять не прямое обновление с версии KWF 6.7.1 на Kerio Control 8.3, а последовательный переход на некоторые «мажорные» (major) версии. Данная необходимость обусловлена включением в конфигурационные файлы этих «мажорных» версий некоторых возможностей, которые требуют постобработки после установки приложения.
Для осуществления перехода с версии KWF 6.7.1 на версию Kerio Control 8.3 потребуется выполнить следующие шаги обновления:
1. Обновление до версии Kerio Control 7.0.0
2. Обновление до версии Kerio Control 7.1.0
3. Обновление до версии Kerio Control 7.4.2 (финальная версия для Windows)
Загрузить необходимые дистрибутивы вы сможете из нашего архива релизов .
Сам процесс обновления от версии к версии является обычной установкой новой версии «поверх» старой. Программа установки автоматически завершит работу системной службы Kerio Control (Kerio Winroute Firewall), определит директорию установки текущей версии Kerio Control (Kerio Win-route Firewall) и произведёт замену файлов приложения, требующих обновления; файлы протоколов приложения и пользовательской конфигурации сохраняются без изменений. Файлы конфигурации будут сохранены в специальной директории «UpgradeBackups», расположенной в корне директории %programmfiles%\Kerio\.
Видео ролик штатного процесса обновления:
Переход на последнюю Windows-версию Kerio Control 7.4.2 будет финальным шагом обновления в рамках данной платформы. Следующими этапами перехода является подготовка Appliance платформы, перенос конфигурации, базы журналов и пользовательской статистики.
Переход на платформу Appliance.
В данном разделе мы рассмотрим варианты разворачивания различных Appliance-дистрибутивов Kerio Control.
Установка Software Appliance
Данный вариант установочного пакета может быть развёрнут следующими способами:
- ISO образ может быть записан на физический CD или DVD носитель, который в дальнейшем необходимо использовать для установки Kerio Control на физический или виртуальный хост.
- В случае использования виртуальных ПК, ISO-образ можно подключить как виртуальный CD/DVD-ROM для совершения установки с него, без необходимости записи на физический носитель.
- ISO образ можно записать на USB-flash накопитель и произвести установку с него. Для уточнения инструкций, обратитесь к соответствующей статье (kb.kerio.com/928) в нашей базе знаний.
Установка VMware Virtual Appliance
Для установки Kerio Control VMware Virtual Appliance на различные средства виртуализации от компании VMware, используйте соответствующий вариант дистрибутива Kerio Control VMware Virtual Appliance:
Для VMware Server, Workstation, Player, Fusion используйте заархивированный(*.zip) VMX файл:
Установка виртуального модуля в VMware player
- Для VMware ESX/ESXi/vSphere Hypervisor используйте специальную OVF-ссылку для импорта виртуального модуля, имеющую вид:
VMware ESX/ESXi автоматически загрузит OVF-конфигурационный файл и соответствующий ему образ виртуального жёсткого диска (.vmdk)
При использовании OVF формата необходимо учитывать следующие аспекты:
- В виртуальном модуле Kerio Control синхронизация времени с сервером виртуализации отключена. Однако Kerio Control обладает встроенными инструментами синхронизации времени с публичными сетевыми источниками времени Интернета. Таким образом, использование синхронизации между виртуальной машиной и сервером виртуализации необязательно.
- Задачи «отключения» и «перезапуска» виртуальной машины будут выставлены в значения «по умолчанию». Возможность установления этих значений в режим «принудительного» отключения и «принудительного» перезапуска сохранена, однако данные варианты отключения и перезапуска могут стать причинами потери данных в виртуальном модуле Kerio Control. Виртуальный модуль Kerio Control поддерживает т.н. «мягкое» отключение и «мягкую» перезагрузку, позволяющие выключить или перезагрузить гостевую ОС правильным образом, поэтому рекомендуется использовать значения по умолчанию.
Установка виртуального модуля (ovf) в VMware vSphere
Установка Virtual Appliance для Hyper-V
- Загрузите заархивированный (*.zip) дистрибутив, распакуйте его в нужную папку.
- Создайте новую виртуальную машину, выберите опцию «Использовать имеющийся виртуальный жёсткий диск», указав в качестве образа диска файл, распакованный из загруженного архива
Установка виртуального модуля в MS Hyper-V
Следующим важным моментом подготовки к переходу на Appliance платформу, является корректная настройка сетевых интерфейсов на выбранной Appliance платформе.
Настройка сетевых интерфейсов в Software Appliance
В псевдографическом интерфейсе Kerio Control Software Appliance доступны возможности настройки IP адреса/множества адресов в статическом или динамическом режиме, создание VLAN интерфейсов и возможность настройки интерфейса в режиме PPPoE.
Примечание: Первоначальная настройка сетевых интерфейсов в самом дистрибутиве Kerio Control Software Appliance идентична для всех сборок Kerio Control Appliance, отличия есть только при настройке виртуальных сетевых интерфейсов в различных средах виртуализации, где может применяться Kerio Control.
Подготовка виртуальных сетевых интерфейсов в Hyper-V
Для выполнения корректной и минимально необходимой настройки виртуального коммутатора Hyper-V вам потребуется выполнить следующие шаги:
Сопоставление физических и виртуальных сетевых интерфейсов
Проверка наличия службы виртуального моста на физических сетевых интерфейсах сервера
Для ознакомления с вариантом быстрой настройки сетевых интерфейсов Kerio Control Hyper-V virtual Appliance просмотрите следующий видео ролик:
Подготовка виртуальных сетевых интерфейсов в VMware vSphere
Примерно такая же цепочка действий и в случае с подготовкой виртуальных сетевых интерфейсов в vSphere.
Создание нескольких виртуальных коммутаторов, количество зависит от ваших потребностей в виртуальных сетевых коммуникациях.
Создание виртуального коммутатора в VMware vSphere
Создание виртуального коммутатора в VMware vSphere
Добавление соответствующих физических сетевых интерфейсов к виртуальным коммутаторам, для возможности взаимодействия с ними физической ЛВС предприятия
Сопоставление созданных виртуальных коммутаторов с виртуальными сетевыми интерфейсами Kerio Control VMware Virtual Appliance
После того, как Appliance сборка была развёрнута и была произведена настройка сетевых интерфейсов, вы можете перейти к переносу основной пользовательской конфигурации с вашей Windows версии Kerio Control.
Сам процесс переноса конфигурации состоит из двух шагов:
Сохранение текущей конфигурации с использованием помощника конфигурирования
При выполнении сохранения конфигурации рекомендуется запомнить, а лучше выписать, MAC-адреса Ваших текущих сетевых интерфейсов и их соответствие используемым IP-адресам. Это понадобится при восстановлении конфигурации на новой установке Kerio Control Appliance.
Процесс сохранения конфигурации показан на приведённых ниже изображениях:
После этого шага вы сохранили архив, включающий в себя все файлы пользовательской конфигурации текущей версии Kerio Control.
Следующим шагом, является восстановление ранее сохранённой конфигурации на Appliance. При восстановлении конфигурации помощник конфигурирования предложит сопоставить конфигурацию старых сетевых интерфейсов с новыми, использующимися на сервере Kerio Control Appliance.
Примечание: Это именно тот момент, когда Вам понадобится информация о MAC и IP-адресах со старого сервера, которую Вы выписали или запомнили при сохранении конфигурации на старом.
Процесс восстановления конфигурации показан на приведённых ниже изображениях:
Для сохранения конфигурации сервер Kerio Control Appliance выполнит автоматическую перезагрузку, после чего его можно будет использовать.
И вот тут начинается самое интересное! То, что вы будете читать ниже, не описано ни в одной официальной, да и в неофициальной документации, т.е. тут будет помещено несколько приемлемых «лайв хаков», использование которых поможет вам в выполнении столь важного процесса, перехода на Appliance платформу Kerio Control.
И как обычно, прежде, чем мы перейдём с вами к непосредственному описанию, привычный «дисклэймер»:
ВАЖНО: Описанная ниже процедура не является документированной возможностью, поэтому во избежание нежелательных последствий, прежде, чем Вы начнёте выполнять перенос данных, создайте их полную резервную копию путём копирования данных на защищённое хранилище.
И так преступим! Для начала сохраним текущую базу протоколов приложения. Для этого надо сохранить файлы протоколов, которые располагаются по указанному пути
%programfiles%\kerio\winroute firewall\logs\*
Для лучшей сохранности этих данных перед выполнением переноса рекомендуется выполнить их резервную копию на доступное безопасное хранилище.
Затем, сохраняем текущую базу данных пользовательской статистики. Вся эта информация сосредоточена в файле базы данных firebird, располагающегося в папке
%programfiles%\kerio\winroute firewall\star\data\
Оттуда нам нужен лишь файл star.fdb . Для лучшей сохранности этих данных перед выполнением переноса рекомендуется выполнить резервную копию на доступное безопасное хранилище.
После того, как мы обнаружили и сохранили всю необходимую информацию, нам необходимо её перенести на новый сервер, работающий под управлением Kerio Control Appliance, для этого первое, что вам потребуется сделать для загрузки сохранённых ранее данных на Kerio Control Appliance, это включить SSH сервер для выполнения SFTP доступа. Для этого в веб-интерфейсе администрирования Kerio Control перейдите в меню Состояние -> Состояние системы , нажмите и держите клавишу “Shift” и щёлкните по кнопке «Действия ». В раскрывшемся списке выберите пункт «Включить SSH », подтвердите ваши действия, согласившись с вопросом в появившемся окне.
После этого необходимо удостовериться, что в правилах трафика Kerio Control Вы разрешили доступ к хосту Kerio Control Appliance по протоколу SSH из нужного Вам местоположения.
После того, как Вы включили SSH и разрешили соответствующий доступ, Вам необходимо выполнить подключение к серверу Kerio Control Appliance для загрузки на него необходимых данных протоколов и базы данных пользовательской статистики. Для этого мы будем использовать приложение WinSCP, которое позволяет выполнять подключения по протоколу SFTP.
Для подключения к серверу Kerio Control Appliance необходимо указать имя пользователя и пароль доступа, в качестве имени пользователя укажите имя “root” (без кавычек); в качестве пароля укажите пароль встроенной в Kerio Control учётной записи “Admin”.
Параметры sFTP подключения к серверу Kerio Control
После установления подключения необходимо разместить Ваши данные в определённых папках сервера. Файлы протоколов необходимо скопировать в папку /var/winroute/logs , а файл пользовательской статистики в папку /var/ winroute/star/data , при этом старые файлы необходимо либо удалить, либо переименовать.
Примечание: Лучше переименовать старые файлы, для сохранения резервной копии текущих данных. В случае файлов протоколов приложения переименовывать надо лишь старые файлы с расширением *.log
После того как копирование завершено, необходимо перезапустить службу Kerio Control. Для этого необходимо получить прямой доступ к серверу Kerio Control Appliance. В случае Software Appliance, доступ осуществляется через монитор и клавиатуру самого сервера, на котором установлен Kerio Control Software Appliance. В случае виртуального модуля Kerio Control, доступ осуществляется через консоль соответствующей среды виртуализации. Во всём остальном действия будут одинаковы.
Для перехода из псевдографической консоли к интерфейсу командной строки, нажмите комбинацию клавиш “Alt-F2”. В приглашении на введение имени пользователя укажите имя “root” (без кавычек), нажмите “enter”, в поле пароль введите пароль встроенной в Kerio Control учётной записи «Admin».
Примечание: необходимо учесть, что в ОС семейства Linux введение пароля не отображается даже значками астериска, и если Вы допустили ошибку, исправить её будет нельзя - придётся вводить пароль заново.
В приглашении на ввод команды введите следующее:
/etc/boxinit.d/60winroute restart
Эта команда выполнит перезапуск демона (службы) Kerio Control, после чего Kerio Control «подцепит» скопированные ранее данные протоколов приложения и пользовательской статистики.
После старта демона Kerio Control, необходимо проверить целостность перенесённых данных, для этого можно воспользоваться веб-интерфейсом пользовательской статистики и/или веб-интерфейсом администрирования приложения Kerio Control.
Если со всеми данными всё в порядке, то можно считать переход на новую платформу Kerio Control Appliance завершённым и осталось лишь выполнить штатную процедуру обновления Kerio Control до актуальной на текущий момент версии. Если же с какой-то частью данных «не всё в порядке», то есть два варианта:
1) удостовериться, что данные взятые с исходного сервера Kerio Control (KWF) были изначально в порядке;)
2) если с исходными данными всё ок, то необходимо повторить процедуру переноса той части данных с которыми были проблемы.
3) если решения из пп. 1 и 2 не помогли, то оставьте тут комментарий, попробуем разобраться вместе:)
Теперь, когда все важные данные на своих местах, можно «подтянуть» версию Kerio Control Appliance до актуальной. Штатный процесс обновления может проходить двумя способами, в автоматическом и ручном режимах.
Автоматический режим обновления версии.
Kerio Control может выполнять автоматическую проверку наличия новых версий на сайте обновления компании Kerio.
- Дополнительные опции », во вкладку «Проверка обновлений »
- Включите опцию «Периодически проверять наличие новых версий ». Kerio Control будет проверять наличие новых версий каждые 24 часа. Как только будет установлено наличие новой версии, на вкладке «Проверка обновлений » будет отображена ссылка для загрузки обновления. Для того чтобы проверить наличие обновления незамедлительно, щёлкните по кнопке «Проверить сейчас »
- Если Вы хотите загружать обновлённые версии сразу же после их обнаружения, включите опцию «Загружать новые версии автоматически ». Как только новая версия будет загружена, Вы получите соответствующее уведомление в веб-интерфейсе администрирования.
- После загрузки обновления нажмите кнопку «Обновить сейчас »
- Подтвердите Ваше намерение произвести обновление и выполнить последующую автоматическую перезагрузку Kerio Control
- Дождитесь завершения установки новой версии и перезагрузки Kerio Control.
- Обновление завершено.
Ручной режим обновления версии.
Данный режим обновления может быть полезен при следующих обстоятельствах:
- Откат на предыдущую версию Kerio Control
- Обновление на промежуточную или не очередную версию (например, закрытый Beta релиз).
- Обновление шлюза при наличии максимальных ограничений для МСЭ на доступ к ресурсам сети Интернет.
Для выполнения обновления в ручном режиме Вам необходимо загрузить специальный образ (Upgrade Image) со страницы загрузки Kerio Control (http://www.kerio.ru/support/kerio-control).
После загрузки выполните следующие шаги:
- В веб-интерфейсе администрирования перейдите в пункт меню «Дополнительные опции », во вкладку «Проверка обновлений »
- Щёлкните по кнопку «Выбор »
- Укажите местоположение файла образа обновления (kerio-control-upgrade.img)
- Щёлкните по кнопке «Загрузить файл обновления версии »
- После загрузки щёлкните по кнопке «Начать обновление версии »
- Дождитесь обновления версии и перезагрузки Kerio Control
- Обновление завершено.
Вуаля, у вас полноценный интернет шлюз на базе Kerio Control Appliance! Поздравляем вас с завершением процесса перехода на UTM Kerio Control!
Только зарегистрированные пользователи могут участвовать в опросе.
Об изучении продуктов компании Kerio Technologies, которая выпускает различные защитные программные решения, для малого и среднего бизнеса. Согласно официальному сайту компании, ее продукцией пользуются более 60 000 компаний по всему миру.
Специалисты SEC Consult обнаружили множество уязвимостей в Kerio Control, UTM-решении компании, которое объединяет в себе функции брандмауэра, маршрутизатора, IDS/IPS, шлюзового антивируса, VPN и так далее. Исследователи описали два сценария атак, которые позволяют злоумышленнику не только перехватить контроль над Kerio Control, но и над корпоративной сетью, которую продукт должен защищать. Хотя разработчики уже выпустили исправления для большей части обнаруженных багов, исследователи отмечают, что реализовать один из сценариев атак по-прежнему возможно.
По словам исследователей, решения Kerio Control уязвимы в силу небезопасного использования PHP функции unserialize, а также из-за использования старой версии PHP (5.2.13), в которой ранее уже были обнаружены серьезные проблемы. Также эксперты обнаружили ряд уязвимых PHP-скриптов, которые позволяют осуществить XSS и CSRF атаки и обход защиты ASLR. Кроме того, по словам SEC Consult, веб-сервер работает с root-привилегиями и не имеет защиты от брутфорс-атак и нарушения целостности информации в памяти.
Схема первого сценария атаки
Первый описанный экспертами сценарий атаки подразумевает эксплуатацию сразу нескольких уязвимостей. Атакующему понадобится применить социальную инженерию и заманить жертву на вредоносный сайт, на котором будет размещен скрипт, позволяющий выяснить внутренний IP-адрес Kerio Control. Затем злоумышленник должен эксплуатировать баг CSRF. Если же жертва не залогинена в панели управления Kerio Control, атакующий может применить обычный брутфорс для подбора учетных данных. Для этого понадобится уязвимость XSS, которая позволит обойти защиту SOP. После этого можно переходить к обходу ASLR и воспользоваться старым багом в PHP (CVE-2014-3515), чтобы запустить шелл с root-правами. По сути, после этого атакующий получает полный доступ к сети организации. Видеоролик ниже демонстрирует атаку в действии.
Второй сценарий атаки включает в себя эксплуатацию RCE-уязвимости , которая связана с функцией обновления Kerio Control и была обнаружена более года назад одним из сотрудников SEC Consult. Эксперты предлагают использовать этот баг, допускающий удаленное исполнение произвольного кода, в сочетании с XSS-уязвимостью, которая позволяет расширить функциональность атаки.
Специалистов Kerio Technologies уведомили о проблемах еще в конце августа 2016 года. На данный момент компания выпустила Kerio Control 9.1.3 , где большинство уязвимостей устранены. Однако компания решила оставить веб-серверу root-привилегии, а также без исправления пока остается RCE-баг, связанный с функцией обновления.
Лицензии на основные продукты Kerio - Kerio Control и Kerio Connect не имеют ограничения по сроку действия. То есть вы можете пользоваться этими продуктами неограниченное время, но только в том виде, какими они были на момент покупки. Для того чтобы получать обновления версий, релизов, антивирусных баз, а также для доступа к техподдержке вам необходимо иметь актуальную подписку Software Maintenance(SWM).В стоимость новой лицензии входит 1 год SWM. По прошествии года вам необходимо будет продлить подписку SWM, или, проще говоря, продлить лицензию Kerio. Стоимость продления SWM на 1 год составляет 33% от текущей цены на новый продукт.
Позиции в каталоге (имеют слово SUB в названии):
- Kerio Control Server License 5 user SUB 1 year - продление SWM для серверной лицензии Kerio Control + 5 пользователей
- Kerio Control add-on 5 users SUB 1 year - продление SWM для дополнительной лицензии Kerio Control на 5 пользователей
- Kerio Connect Server License 5 user SUB 1 year - продление SWM для серверной лицензии Kerio Connect + 5 пользователей
- Kerio Connect add-on 5 users SUB 1 year - продление SWM для дополнительной лицензии Kerio Connect на 5 пользователей
Что касается дополнительных модулей - антивируса Sofos и Web Filter - то по истечении их срока действия нужно просто купить дополнительную лицензию на необходимое число пользователей еще на 1 год. Скидки на продление этих модулей не предусмотрено.
Часто задаваемые вопросы о Software Maintenance
Лицензия на поддержку программного обеспечения компании Kerio дает доступ к обновленным версиям продуктов и обновлениям безопасности. При наличии действительной лицензии SWM пользователь может установить любое выпущенное исправление или версию продуктов Kerio.
1. Зачем покупать лицензию SWM?
- Постоянное предоставление последних версий продукта.
- Продукт обеспечивает защиту от новых обнаруживаемых угроз безопасности.
- Возможность пользоваться новейшими технологиями.
- Отсутствие неожиданных финансовых затрат при выпуске новых версий.
2. Как работает лицензия SWM?
- При первоначальной покупке лицензии предоставляется лицензия SWM на 12 месяцев со дня регистрации.
- При наличии действительной SWM лицензии обновления версии продукта предоставляются бесплатно.
- В любой момент вы можете продлить лицензию SWM на 1 или 2 года. (Обновления для ФСТЭК-версии продукта, могут быть не сертифицированы ФСТЭК.)
- Лицензия SWM должна быть куплена и зарегистрирована до истечения срока действия.
- В случае регистрации лицензии SWM после истечения срока ее действия, период SWM продлевается ровно на 1 год со дня истечения срока действия.
- Датой начала действия лицензии SWM является дата исходной регистрации продукта, выполненной через веб-сайт Kerio или через консоль администрирования продукта.
3. Что произойдет, если моя лицензия SWM истечет?
- Вы сможете продолжать пользоваться продуктом, но не сможете устанавливать обновления вышедшие после истечения срока действия вашей лицензии SWM.
- Встроенный в продукты Kerio Connect и Kerio Control антивирус Sophos перестанет работать через 60 дней после окончания срока действия лицензии на поддержку программ.
- Kerio Web Filter перестанет работать.
- Механизм систем противодействия вторжениям/обнаружения вторжений (IPS/IDS) в Kerio Control не будет получать обновления сигнатур правил.
- Exchange ActiveSync в Kerio Connect перестанет работать. (Начиная с 1го Мая 2013 года, поддержка протокола Exchange ActiveSync в Kerio Connect станет платной.)
- Не будет предоставляться доступ к технической поддержке.
- Истекшие лицензии SWM можно обновить, оплатив пропущенные годы. Для защиты от всех типов киберугроз, включая новейшие и наиболее вредоносные программы и хакерские атаки, мы настоятельно рекомендуем своевременно обновлять лицензию SWM.
- При увеличении в лицензии количества пользователей предоставляется лицензия SWM на этих дополнительных пользователей до истечения срока действия серверной лицензии SWM.
5. Как зарегистрировать лицензию SWM?
- После покупки лицензии SWM вам будет предоставлен регистрационный ключ (ключи). Этот ключ (ключи) необходимо зарегистрировать через консоль продукта или через наш веб-сайт (ссылка). В случае получения единственного регистрационного ключа, совпадающего с первоначальным регистрационным ключом, введите его на первой странице процесса регистрации и пройдите весь процесс. В случае получения набора ключей (ни один из которых не совпадает с первоначальным ключом), введите на первой странице процесса регистрации первоначальный ключ, а на следующей странице добавьте вновь приобретенные регистрационные ключи.
6. Могу ли я перенести зарегистрированную лицензию на другую систему?
- Иногда возникает необходимость в обновлении аппаратного обеспечения или смене операционной системы. Существующая лицензия может быть перерегистрирована на другой системе, и все необходимые изменения (например, смена ОС) будут проведены в процессе перерегистрации. Перед тем как регистрировать продукт на другой системе, вы должны либо удалить продукт с предыдущего сервера, либо навсегда отключить систему от сети.
Kerio WinRoute Firewall - это мощный комплекс для управления подключением локальной сети к интернету. Разработанный для использования в корпоративных сетях, продукт защищает от внешних атак и вирусов, обеспечивает возможность определения правил доступа для блокировки, проверки и фильтрации трафика, а также позволяет ограничивать доступ пользователей к ряду сайтов на основе анализа их содержимого. Состоит из роутера и файрволла, есть кэширующий прокси-сервер, серверы DHCP и DNS, планировщик и многое другое, включая удаленное администрирование и поддержку VPN. При ремонте компьютеров в офисе я часто вижу шлююз под Kerio.
11 ноября у меня заканчивалась годовая подписка на продукт Kerio WinRoute Firewall. Продление подписки на 20 пользователей со встроенным антивирусом McAfee стоит примерно 375 евро. Было решено продлить подписку без макафи. Стоит это приблизительно 6500 рублей. Но так как изначально приобреталась лицензия с антивирусом, перед заказом подписки обязательно нужно было изменить тип базовой лицензии, иначе после генерации нового ключевого файла он просто не подцепится к нашему продукту.
Я написал письмо на [email protected] с просьбой изменить тип базовой лицензии. На основании этого запроса лицензия была изменена и я через консоль сгенерировал новый лицензионный ключ. Подписка была успешно продлена. Теперь мне нужно было хотя бы частично решить проблему фильтрации интернет трафика от вирусов и вредоносных программ. Так как макафи больше не активен, а все другие антивирусные плагины являются платными, мой выбор пал на ClamWin антивирус. А эксперимент я поставил при ремонте компьютера в Крылатском .
ClamWin - свободный антивируcный сканер для платформ Microsoft Windows 98/Me/2000/XP/2003/Vista.
Скачав и установив последнюю версию ClamWin 0.95.3, я попытался активировать нужный плагин, но запускаться он отказался.
В логах сыпались ошибки типа:
Для начала я решил обновить Kerio. На данный момент была установлена версия 6.4.1. Последняя актуальная 6.7.1. В техподдержке посоветовали выполнить обновление в два этапа. Так я и сделал. Сначала обновился до версии 6.5.2, а уже потом до 6.7.1.
Выполнять обновление несложно. Скачиваем с сайта производителя нужную версию продукта, подключаемся к шлюзу и начинаем установку. При этом инсталлятор обнаружит предыдущую версию и выполнит ее обновление. В процессе обновления происходит обновление ядра, конфигурации и необходимых компонентов. Несмотря на то, что бекапы конфигурационных файлов при обновлении сохраняются автоматически в каталоге по умолчанию (у меня это C:\Program files\Kerio\UpgradeBackups), я все таки сделал образ жесткого диска, используя Acronis True Image.
Итак приступим. Все работы я выполняю удаленно через оснастку Remote Desktop.
1. Подключаемся на шлюз
2. Обновляемся до версии 6.5.2
3. Затем обновляемся до версии 6.7.1
Процесс поэтапного обновления занял не более 10 минут, перезагрузка системы не потребовалась. Также если Вы управляете Kerio удаленно через консоль, не забудьте обновить ее на своем рабочем месте.
После обновления антивирус ClamWin все также не запускался. Побродив по форумам, я выяснил, что такая проблема встречается довольно часто, а версия ClamWin 0.95.3 не работает как служба и не поддерживается Kerio. На сайте //clamav.net также указано, что данный продукт теперь поддерживается только под *nix платформы, а под платформу Win32 обещают возобновить поддержку, начиная с версии 0.95.6. Чтож время покажет, а пока нужно было действовать и искать пути решения.
В итоге проблема была решена при помощи антивируса ClamAV 0.95.2 , именно AV, который можно установить в качестве сервиса!
Подключение бесплатного плагина ClamAV
- скачиваем и устанавливаем ClamAV 0.95.2 в директорию по умолчанию (C:\clamav)
Качаем антивирусные базы и помещаем их в директорию C:\clamav\data
В архиве, который Вы скачали есть вложенный архив с названием runclamd.rar. Распаковываем данную утилиту в с:\clamav\runclamd\ для последующей установки сервиса.
Инсталлируем сервис. При успешной установке в консоли появится сообщение services installed.
Стартуем сервис с:\clamav\runclamd\runclamd.exe -start
Заходим в сервисы, удостоверяемся, что он запущен. Также рекомендую выставить тип запуска сервиса на авто.
В KFW в качестве плагина выбираем Clam AntiVirus 0.95, нажимаем кнопку применить и удостоверяемся, что плагин работает нормально.
Для получения обновлений открываем и правим файл freshclam.conf Обратите внимание на строчку See //www.iana.org/cctld/cctld-whois.htm for the full list. Мы можем добавить зеркала для обновления. Для этого в данный файл добавляем ниже дополнительные сервера. Вот что получилось:
Стартуем через консоль "freshclam.exe" и проверяем, что нет ошибок и все обновляется
Для автоматизации процесса автоматического обновления антивирусных баз добавляем freshclam.exe в планировщик заданий. Можно использовать , либо написать простой батник, который по расписанию будет лезть на сервер, скачивать свежие обновления и помещать их в указанную директорию.
P.S. Таким же способом данный антивирус можно прикрутить и к продукту Kerio Mail Server. Также не забывайте, что это бесплатный плагин, который сканирует только интернет трафик. На всех рабочих станциях, включая шлюз с Kerio обязательно установите антивирусное ПО. И помните, что ни один, даже платный, антивирусный продукт не дает 100% гарантии безопасности. А ClamAV также можно использовать как второй антивирус для Kerio в связке с макафи.
Максим Афанасьев
В середине февраля компания Kerio Technologies выпустила обновление своего флагманского продукта Kerio Control. В новой версии Kerio Control 8.5 предусмотрена повышенная безопасность пользователей за счет интегрирования двухшаговой проверки, а также многочисленные улучшения для удобства пользования продуктом. Kerio Control 8.5 снабжена новой системой переадресации Service Discovery, которая делает процесс настройки сети гибким и простым. Теперь удаленные пользователи могут просматривать, обнаруживать и соединяться с устройствами, такими как принтеры, файловые серверы и сканеры в различных сетях или Kerio VPN-туннелях. Кроме того, в новой версии Kerio упростила процесс установки и обновления такого важного компонента системы, как клиент Kerio VPN. При помощи нового установочного пакета возможно развертывание его через инструменты сторонних производителей, таких как Apple Remote Desktop или FileWave. Новая версия Kerio Control получила расширенный набор системных уведомлений, что позволит более оперативно информировать системных администраторов о возможных ошибках и проблемах. Но обо всем по порядку.
Напомним, что Kerio Control - это комплексное решение в области безопасности, объединяющее несколько функций, в том числе межсетевой экран (файервол) и маршрутизатор, систему обнаружения и предотвращения вторжений (IPS), антивирус, VPN и фильтр содержимого. Эти широкие возможности и непревзойденная гибкость в развертывании делают Kerio Control идеальным выбором для малых и средних предприятий. Поскольку два года назад мы уже рассказывали об этом продукте в статье «Kerio Control - комплексная безопасность сети» , в этом обзоре мы основное внимание уделим нововведениям, которые были внесены в этот продукт начиная с версии Kerio Control 8.5.
Особо отметим, что компания Kerio уже давно встала на путь максимальной интеграции с виртуальными средами, поэтому новый продукт Kerio Control 8.5 поставляется как отдельная среда: Software Appliance, VMwareVirtual Appliance (OVF/VMX) и Hyper-V Virtual Appliance. Для написания данного обзора мы использовали образ VMware Virtual Appliance в контейнере OVF для системы виртуализации VMware ESXi. Развертывание данного образа не представляется сложной задачей: самое главное - получить ссылку на OVF-пакет, зарегистрировавшись на сайте Kerio. Для ознакомления администраторам предоставляется 30-дневная версия продукта без каких-либо ограничений функционала. А теперь вернемся к функциональным возможностям новой версии Kerio Control 8.5.
Двухшаговая авторизация
«Мы продолжаем улучшать безопасность, не жертвуя при этом простотой, -Мирек Крен, заявил главный операционный директор и главный управляющий компании Kerio Technologies. -В новом релизе добавлены важные и эффективные функции безопасности, которые можно легко внедрить в любую сеть без значительного нарушения работы предприятия».
Итак, компания Kerio интегрировала в новый продукт двухшаговую авторизацию, которая позволит пользователям повысить безопасность данных, а администраторов избавит от дополнительных проблем, связанных с безопасностью аутентификации пользователей. Kerio Control 8.5 получила весьма востребованную в мире двухшаговую идентификацию пользователей, которая основана на запросе одноразового кода доступа с ограниченным сроком действия (TOTP). Этот код не заменяет основную авторизацию пользователей в системе Kerio Control, а лишь дополняет ее, поэтому владельцы предприятия могут быть уверены, что сетевые ресурсы останутся в безопасности, даже если пароли окажутся в чужих руках.
Рассмотрим внедренную систему на типовом примере. Для активации данной функции администратор должен установить соответствующую галочку в меню «Домены и аутентификация». При этом, отключив возможность удаленной настройки, администратор запретит пользователям настраивать двухшаговую проверку извне, то есть с внешнего интерфейса.
После активации двухшаговой проверки пользователя при следующем выходе в Интернет либо просмотре статистики пользователю будет выдано информационное окно и ссылка на настройку двухшаговой авторизации.
Если пользователь при отключенной функции удаленной настройки зайдет на межсетевой экран с внешней сети, ему будет показано несколько иное информационное окно, не предусматривающее возможности перехода на настройку двухшаговой проверки.
После того как пользователь попадает на экран настройки этой функции, он увидит соответствующий QR-код и поле, куда необходимо ввести код, «зашифрованный» в этом QR-коде. Стоит отметить, что цифробуквенный код под QR-кодом - это идентификатор, и на него не стоит обращать внимания. Чтобы прочесть QR-код, необходимо воспользоваться одним из соответствующих приложений, описанных на странице описания данной функции. В качестве эксперимента мы использовали приложение Google Authenticator для Android, которое взаимосвязано со сканером штрихкодов (его также необходимо установить).
После того как QR-код прочтен с экрана компьютера, Google Authenticator автоматически сгенерирует соответствующий код. По сути, QR-код содержит в себе уникальную ссылку на соответствующий код.
Затем полученный в этом приложении код необходимо ввести в соответствующее поле на странице авторизации Kerio Control. Нельзя не отметить, что код постоянно меняется в течение достаточно короткого времени, поэтому запоминать его не нужно. Все очень просто и быстро. Проблемы могут возникнуть только при работе с приложением из под Windows, однако программа WinAuth, которую рекомендует Kerio, отлично справляется и просто со ссылкой на изображение.
Для администраторов доступна функция сброса двухшаговой проверки для всех пользователей сразу или для каждого пользователя по отдельности. В этом случае ему снова придется пройти всю вышеописанную процедуру. Если сброса не произошло, пользователь при следующем запросе кода лишь открывает соответствующее приложение и вводит полученный код. Сканировать QR-код уже нет необходимости.
В целом двухшаговая проверка пользователя - это еще одна попытка оградить пользователя от различных злоумышленников, ведь все люди разные, и многие стараются сохранять пароли, не заботясь о безопасности. В случае использования данной функции администратор может быть уверен, что даже кража пароля пользователя не даст возможности получить доступ к внутренней корпоративной сети или к критически важным данным компании.
Система переадресации Service Discovery
В новой версии Kerio Control 8.5 появилась система переадресации Service Discovery, которая делает процесс настройки сети гибким и простым. С ее помощью удаленные пользователи могут просматривать, обнаруживать и соединяться с устройствами, такими как принтеры, файловые серверы и сканеры в различных сетях или Kerio VPN-туннелях. Функция Service Discovery поддерживает такие популярные протоколы, как mDNS (Apple devices), NetBIOS (Microsoft network) и SSDP (UPnP). Настройка этой функции очень проста, достаточно выбрать необходимые сети, между которыми будет осуществляться проброс мультикаста, и активировать эту функцию. Для контроля работы Service Discovery администратору доступна дополнительная запись в лог-файл. Следует отметить, что Service Discovery доступна только для Kerio VPN, а маршрутизация в рамках IPsec VPN не поддерживается, точно так же, как и между внешней и внутренней сетью. Это объясняется тем, что данная функция ориентирована на создание полноценной внутренней сети предприятия, распределенной по земному шару.
Kerio VPN
Нельзя не отметить, что компания Kerio постоянно стремится соответствовать новым стандартам, поэтому для такого важного компонента системы, как Kerio VPN, вместе с обновлением 8.5 вышли и новые клиенты под Windows, Mac и Linux. Новый установочный пакет Kerio VPN для компьютеров под управлением Mac OS X позволяет развертывание через инструменты сторонних производителей, таких как Apple Remote Desktop или FileWave.
Смена MAC-адреса
Нельзя не отметить маленькую, но достаточно важную для некоторых системных администраторов функцию. Теперь в свойствах Ethernet-адаптеров в панели администрирования можно изменить MAC-адрес соответствующего адаптера. Этот функционал позволяет оперативно поменять MAC-адрес, если, например, провайдер внешней сети имеет жесткую привязку по MAC.
Кроме того, в этой оснастке администратор может задать MTU для адаптера, что также иногда необходимо для специфических сетей.
Обновленная функция уведомлений
При помощи расширенного набора уведомлений по электронной почте в Kerio Control 8.5 администраторы будут информированы о важных сетевых событиях и состоянии системы. Нельзя не отметить, что для этой функции появилась отдельная оснастка, которая позволяет очень подробно выставить параметры необходимых оповещений.
Так, например, можно настроить отсылку оповещений не только администраторам, но и обычным пользователям. Возможно, эта функция будет очень удобна для мониторинга использования корпоративной сети руководством или аналитиками, не имеющими администраторских прав. Также стоит отметить возможность поиска события в любом из журналов по регулярному выражению или паттерну, что позволит оперативно выявлять возможные проблемы, которые трудно диагностировать в большой сети. Поддерживается отправка сообщений не только конкретным пользователям, но и на отдельные почтовые ящики, которые могут быть никак не привязаны к корпоративным пользователям. Также реализована функция задержки отправки сообщений и установка расписания. В целом, данное нововведение должно положительно сказаться на оперативности решения различных проблем.
Выводы
Компания Kerio, как всегда, порадовала администраторов новыми возможностями в своем флагманском продукте Kerio Control 8.5. Отметим, что данный продукт - простое в применении комплексное решение для управления защитой от угроз корпоративной сети. Возможности Kerio Control 8.5 весьма широки и позволяют использовать его как в небольших учреждениях, так и в крупных и средних компаниях с распределенной сетью офисов по всему миру. Администраторы всего мира ценят данный продукт за интуитивно-понятный интерфейс управления и надежность. В Kerio Control 8.5 реализована одна из лучших систем фильтрации интернет-содержимого, которая позволяет выборочно блокировать, разрешить или протоколировать доступ к 141 категории веб-контента при помощи фильтра Kerio Control Web Filter. Таким образом, администратор может быстро и оперативно защитить пользователей от посещения вредоносных сайтов, которые, как известно, содержат вирусы и шпионские программы, занимаются фишингом или кражей личных данных.
