Главная-Чем открыть-Kerio Control — комплексная безопасность сети. Kerio Control Детальная настройка основных функций До и после оптимизации

Kerio Control — комплексная безопасность сети. Kerio Control Детальная настройка основных функций До и после оптимизации

Неправильное управление полосой пропускания в офисной сети (или отсутствие такого управления) приводит к ощутимым перебоям: интернет работает медленно, снижается качество голосовой и видеосвязи и т. д. поможет правильно расставить приоритеты и гарантировать достаточную пропускную способность важному трафику.

О возможностях Kerio Control

Программное решение Kerio Control относится к продуктам класса UTM (Unified Threat Management) и обеспечивает комплектную защиту рабочих станций и серверов при работе в интернете. Решение ориентировано на корпоративные сети средних размеров и ведет родословную от хорошо известного продукта WinRoute. Слова «комплексная защита» означают, что Kerio Control состоит из множества модулей, отвечающих за разные аспекты безопасности, а именно:

  • межсетевой экран;
  • маршрутизатор;
  • система обнаружения и предотвращения вторжений (IPS/IDS);
  • антивирусная защита трафика;
  • контент-фильтрация трафика;
  • мониторинг и анализ активности пользователей в интернете;
  • два VPN сервера - один на базе собственного протокола и второй на базе открытого стандарта IPSec VPN;
  • управление полосой пропускания и поддержка QoS.

В статье мы поговорим о последнем пункте в этом перечне, но далеко не последнем по важности.

Проблемы оптимизации доступа в интернет

Рассмотрим несколько типовых сценариев.

Первый: руководителю нужен неограниченный доступ к полосе пропускания, лучше, чем у других. Кстати, необязательно руководителю - гарантированно широкая полоса потребуется серверу, который реплицирует базу с удаленным дата-центром.

Второй: менеджеры жалуются на плохую слышимость и обрывы звонков. Или платежный терминал принимает платеж по карте с третьего раза, потому что не может связаться с банком.

Третий: неожиданно упала скорость у всего офиса. Пора проверить, кто качает на работе торренты.

Все эти сценарии требуют управлять полосой пропускания, а именно определять приоритеты и обнаруживать аномальные явления. Задачи управления будут выглядеть примерно так:

  • для VoIP требуется пропускная способность 10 мбит/сек, не меньше, в любое время;
  • потоковые данные не должны потреблять больше 100 кбит/сек;
  • гостевой трафик надо отделять от рабочего и не переключать на резервный канал в случае сбоя основного;
  • привилегированный трафик важней обычного в рабочие часы.

Чтобы формализовать каждую из этих задач, нужно определить, для чего и по каким критериям мы расставляем приоритеты.

Типы трафика. На первом месте онлайн-видеоконференции, телефония, передача видеосигнала, VPN, здесь полоса пропускания очень важна. На втором - обычный доступ к сайтам, файлам, почта. Самый низкий приоритет можно установить для доступа к развлекательным сайтам, шоппингу и т. д.

Время доступа. Разные приоритеты можно устанавливать для рабочих часов и нерабочих. Можно дать высокий приоритет серверу для периода репликации данных и ограничить остальных.

Правило = формализованное ограничение

Когда перечисленные критерии определены, можно перейти к правилам ограничения полосы. Поясним на примере решения Kerio для транспорта, используемого, например, на судах. Если на судне есть спутниковый канал с дорогим трафиком и узкой полосой и есть широкий канал, доступный в портах, понятно как надо расставить приоритеты. Например, так:

Собственно, это уже вполне правило в Kerio Control.

Теперь вернемся с корабля в офис и посмотрим на пример с IP-телефонией. Если полоса перегружена, это снижает качество голосовой связи, а значит приоритеты расставим так:

И это тоже три правила в Kerio Control.

Аналогично через правила решаются задачи гарантированно широкой полосы для руководства и оборудования, ограничений на гостевые подключения и т.д.

Управление полосой пропускания в Kerio Control

На панели управления Kerio Control сверху можно видеть перечень доступных интернет-интерфейсов. Например, быстрый канал и медленный. Под ним - локальные сети, например, основная и гостевая.

Теперь предстоит сопоставить локальным сетям интернет-интерфейсы, что и проделаем на вкладке «Правила трафика». Например, гостевой сети отводим свой интерфейс (самый дешевый), и гости не забивают основную офисную сеть. Здесь же настраиваем ограничения по типам трафика, например, только web-доступ для гостей и любой трафик для своих.

А теперь, когда маршрутизация интерфейсов настроена, пора расставить приоритеты по использованию полосы пропускания. Идем на вкладку Управление полосой пропускания и QoS, создаем правило для VIP-пользователей, добавляем в него заранее созданные группы Владельцы (те самые VIP-пользователи) и Оборудование (которому обязательно нужно хорошее подключение), и устанавливаем, например, резервирование 20% полосы.

Важный момент - эти 20% считаются от полосы, указанной в настройках! Здесь важно поставить не заявленную провайдером цифру, а фактическую пропускную способность.

Теперь создаем правило для критичного трафика и добавляем в него типы трафика: SIP VoIP, VPN, мгновенные сообщения и удаленный доступ.

И зарезервируем ему, например, по 3 мбит на скачивание и загрузку.

Потом создадим правило для важного трафика и включим в него такие типы трафика, как просмотр веб-страниц, почту, мультимедиа и FTP. И поставим ему ограничение на потребление не более 50% полосы, причем только в рабочие часы.

А теперь создадим правило для вредного трафика. Если при выборе типа трафика нажать в меню «Подключение, удовлетворяющее правилу содержимого», можно воспользоваться контент фильтром и выбрать соцсети, магазины, трафик, игры и т. д. Также можно ограничить P2P. Поставить им суровое ограничение 256 кбит и пусть качают.

Теперь посмотрим на гостевых пользователей. На вкладке Active Hosts нетрудно посмотреть, что происходит прямо сейчас. Вполне вероятно, что вы обнаружите гостя, накачавшего уже гигабайт и продолжающего с приличной скоростью пользоваться вашим интернетом.

Поэтому делаем правило для гостей. Например, не превышать 5% от полосы.

И еще. Как вы помните, гостей мы направляем на определенный сетевой интерфейс. Правило ограничения полосы можно настроить либо так, чтобы ограничение касалось только одного конкретного сетевого интерфейса, либо всех сетевых интерфейсов. В последнем случае, если мы поменяем интерфейс, привязанный к гостевой сети, правило продолжит действовать.

И важный момент. Правила работают в порядке расположения в списке, сверху вниз. Поэтому правила, которые отсеивают много запросов на доступ, имеет смысл ставить в начале.

В подробностях все это описано в статьях на knowledge base компании Kerio.

  • Setting the speed of the link (KB 1373)
  • Configuring bandwidth management (KB 1334)
  • Configuring policy routing (KB 1314)
  • Monitoring active hosts (KB 1593)

До и после оптимизации

До. Весь трафик проходил на равных, без приоритетов. В случае «пробки» страдает весь трафик, в том числе критически важный.

После. Важному трафику отдан приоритет. Механизмы ограничения и резервирование настраиваются по типу пользователя, типу трафика, времени.

Вместо заключения

Мы убедились, что разграничить доступ к полосе пропускания с помощью настраиваемых правил совсем несложно. Именно простоту использования своих продуктов компания Kerio считает своим важнейшим преимуществом и сохраняет на протяжении лет, несмотря на их возрастающую сложность и функциональность.

Добрый день уважаемые читатели и гости блога сайт, в любой организации всегда находятся люди, кто не хочет работать и кто использует корпоративные ресурсы не по назначению, приведу простой пример у вас есть небольшой офис, скажем так сотрудников 50 и интернет канал с пропускной способностью 20 мегабит и месячным лимитом трафика в 50 гб, для обычного использования интернета и построения бизнес работы офису этого хватает, но бывают такие люди, кто может захотеть скачать себе фильм на вечер или новый альбом музыки, и чаще всего они используют для этого террент трекеры, давайте я покажу как в Kerio Control 8, можно запретить p2p трафик и поставить ежедневный лимит для сотрудника по трафику.

Блокируем p2p трафик в Kerio Control 8

И так у вас есть построенная локальная сеть в которой появился злостный качальщик, думаю вы его выявите сразу из логов статистики, отфильтруете по столбцам. По мимо выговора, который последует со стороны руководства, вы как системный администратор должны предотвратить дальнейшие попытки скачать контент через p2p трафик.

У вас два варианта:

  • Включить полную блокировку p2p трафика
  • Установить дневной лимит на каждого пользователя

Начнем с блокировки пирингового трафика, переходим в фильтр содержимого и создаем новое правило. Нажимаем добавить и выбираем "Приложения и категории web-содержимого"

Находите раздел загрузки и отмечаете галкой пиринговая сеть.

В действии правила ставите удалить.

По идее для полной блокировки p2p трафика, достаточно созданного правила, но я вам еще советую выставлять квоты пользователям, если у вас есть лимит у интернета, чтобы приучить их использовать его исключительно по рабочим вопросам. Для этого перейдите на вкладку пользователи и в свойствах любого на вкладке "Квота" укажите дневной лимит в мегабайтах.

Приступим к настройке безопасности нашего UTM шлюза на платформе Kerio Control 7.4.1

Первым делом перейдем к настройке IDS/IPS системы и установим график обновлений 1 час вместо дефолтных 24 часов. Обновление совсем не «грузит» с-му, но значительно повышает шансы отловить зловреда.

Теперь установим действия, для Высокой серьезности «Записать в журнал и удалить», для Средней «Записать в журнал и удалить», для Низкой «Записать в журнал»:

Такие настройки могут существенно повлиять на «нормальную» работу «проблемных» ПК, что собственно нам и предстоит услышать через Help Desk и увидеть в Журнале Security:

Что ж, теперь переходим к разделу «Параметры безопасности» и разрешим доступ к локальной сети по MAC адрксу только перечисленным компьютерам, для этого заранее подготовим список MAC адресов, которые используються в организации.

При добавлении в сеть нового устройста, будем добавлять его МАС, это неудобно и поэтому логично поручить это службе Help Desk. Но в таком случае, им придется выделить административные права к UTM, что недопустимо т.к. рушит любую безопасность 🙂

Когда-нибудь Kerio применит RBAC в своих продуктах, а пока для гостей организации мы выделим гостевую сеть и фильтровать по МАС там не будем.

Переходим к подразделу «Разное» и увеличиваем ограничение подключений на один хост до 6000. Это может быть необходимо для всяческих приложений вроде клиент-банков и т.п.

Также убедимся что модуль антиспуфинга включен, и события записываются в журнал:

Перейдем к разделу «Политика HTTP» и первым делом включим «Remove advertisement and banners» , а для возможности отладки включим журналирование этого правила.

Теперь мы учтя возможности слива информации через соц.сети запретим их использование, для этого создадим новое правило «Social», выберем действие «Отказать», введем текст «Согласно политике информационной безопасности использование социальных сетей запрещено. » , но так как в нашем случае это не запрет, а скорее рекомендация, включим возможность для пользователей разблокировать это правило.

В качкестве URL мы не будем перечислять всяческие http://vk.com и https://facebook.com , а укажем URL, оцененный системой рейтингов Kerio Control Web Filter (и конечно же будем фильтровать в т.ч. https).

Правило у нас будет действовать для всех пользователей, в любое время, а события будут записываться в Журнал.

В реальных условиях, чаще всего бывает так что для всех пользователей создается запрещающее правило на рабочее время за исключением обеда (т.е. утром, в обед и после работы любимы вконтактик работать будет).

А для группы VIP (в которую могут входить руководители, топы и прочие привелигированные сотрудники) в любое время доступ будет запрещен, но с возможностью разблокировки.

Я оставлю без комментариев такое решение Заказчика, просто покажу как это выглядит:

Аналогичным образом можно очень гибко управлять всем Интернеит трафиком, ведь Kerio Web Filter чудо как хорош.

Запрещенные слова я не использую, оставляю настройки по-умолчанию, зато в настройках Kerio Control Web Filter разрешу пользователям сообщать о предполагаемых ошибках, ведь все системы по-своему несовершенны, и подтверждение тому блокировка Хабра «из коробки»:

Что касается фильтрации FTP, пользователи его практически не используют, поэтому я включу лишь два стандартных правила и свои писать не стану до появления инцидентов:

Перейдем к настройкам Антивируса . Первым делом установим график обновления в один час, т.к. практика говорит о том, что сигнатуры обновляются чаще 8 часов.

Т.к. защищать электронную почту на уровне шлюза мне представляеться не слишком хорошей идеей, сканирование SMTP и POP3 я отключу, также я отключу FTP т.к. практика говорит о том, что этот протокол используется чаще администраторами, а пользователи о нем уже успешно забыли.

А на вкладке «Сканирование эл. почты» я на всякий случай разрешу передачу вложений, даже если они каким-либо образом были приняты за вредоносные.

Конечно, в вопросе безопасности мониторинг важнейшее условие, поэтому настроим Kerio Star в соответствии с потребностями.

С целью снижения административной нагрузки, настроим исключения для некоторого трафика и для VIP сотрудников, к трафику которых не должны иметь доступы даже администраторы системы:

В подразделе «Доступ к системе» разрешим пользователям доступ к собственной статистике, и более того, будем автоматически отправлять им эту самую статистику еженедельно.

Для некоторого ответственного лица (в данном случае этим лицом выступаю я) имеется возможность доступа и получения ежедневных отчетов о деятельности всех сотрудников.

Также для администратора системы имеется возможность получения оповещений о таких системных событиях:

Конечно, для нормальной работы всех этих функций Kerio Control должен иметь настроенный SMTP relay , а в профиле каждого пользователя должен быть указан валидный email.

В Дополнительных опциях, в подразделе «Ограничитель P2P» можно заблокировать торреты, которые наверняка вредны в корпоративной сети.

При этом пользователь будет уведомлен по email (администратор также может быть уведомлен по email) и заблокирован на 20 мин.

UPD Существует возможность отключать Java, ActiveX и т.п. как для отдельных пользователей, так и для всей организации:

Ну и конечно же регулярно просматривать все журналы, как этот процесс сделать удобным я расскажу в следующий раз.

Многие используют межсетевой экран Kerio Control. Он обладает широчайшим функционалом, надежностью и простотой в использование. Сегодня поговорим о том как настроить правила управления полосой пропуская. Проще говоря попробуем ограничить скорость доступа в интернет пользователям и группам.

Как в Kerio Control ограничить скорость интернета для пользователей и групп

И так приступим заходим в панель администрирования Kerio Control. Слева ищем пункт Управление полосой пропускания. Для начала укажем скорость подключения к интернету. Снизу в поле Полоса пропускания для связи с Интернет кликаем изменить и вводим скорость для скачивания и загрузки. Эти данные нужны для корректной работы самого Kerio Control.

Теперь добавляем новое правило жмем добавить и вводим имя.

Далее В поле Трафик нужно указать для кого будет действовать данное ограничение. Вариантом очень много но нас интересую конкретные группы и пользователи, по этому кликаем на пункт Пользователи и группы. В открывшемся окне выбираем необходимых пользователей или группу. Можно сразу выбрать и группу и пользователей.

Теперь настроить ограничение по скорости на скачивание. Указываем сколько нужно резервировать для этих групп и пользователей от общей скорости и непосредственно ограничение. Тоже самое указываем и для пункта загрузить.

Интерфейс и доступное время оставляем по умолчанию, применяем данное правило.

Для корректной настройки раздачи трафика необходимо выбрать тип подключения к Интернету.

Для каждой локальной сети настраивается наиболее подходящий. Может быть подключен постоянный доступ, при такой функции присутствует постоянной подключение к Интернету.

Вторым вариантом, может быть подключение при необходимости – программа сама установит соединение, когда это нужно.

Есть два подключения, Kerio Control при потере связи с Интернетом будет создавать переподключение на другой канал.

Имея два или несколько каналов Интернета, можно выбрать четвертый тип подключения. Нагрузка будет распределяться на все каналы равномерно.

: настройка пользователей

Надо настраивать параметры доступа пользователей, необходима базовая настройка программы. Вам необходимо указать и добавить сетевые интерфейсы, выбрать сетевые службы, доступные для пользователей. Не забудьте настроить правила для VPN-подключений и правила для служб, работающих в локальной сети. Для внести пользователей в программу, рекомендуем для начала разбить их на группы. Данную функцию можно установить во вкладке «Пользователи и группы».

В группах надо создать права доступа, например, возможность пользоваться VPN, смотреть статистику.

В сети есть домен, внести пользователей очень просто. Нужно включить функцию «Использовать базу данных пользователей домена» в меню «Пользователи». В сети домена нет, пользователей нужно добавлять вручную, задав каждому имя, адрес почты, логин и описание.

Настройка статистики в

Kerio Control показывала статистику Интернет-трафика, необходимо авторизовать пользователей.

Вам нужно мониторинг статистику пользователей, включите функцию автоматической регистрации браузером каждого пользователя.

Сотрудников в компании небольшое количество, можно для каждого компьютера настроить постоянный IP и каждого пользователя связать с ним.

: фильтрация содержимого – настройка параметров

Для настройки системы безопасности нужно перейти из вкладки «Конфигурация» в параметры «Фильтрация содержимого». В разделе «Антивирус» вы можете настроить обновление антивирусных баз и отметить с помощью флажков те протоколы, которые будут проверяться.

Для включить проверку HTTP-трафика, перейти вкладку «Политика HTTP». Активируйте «черный список» и внесите в него запрещенные слова. Используя добавленные вами ориентиры, все сайты, на которых будут встречаться данные выражения, система сразу заблокирует. Создать более гибкую систему фильтрации создайте правила с помощью подраздела «Правила URL».

: настройка правил трафика

Настройка правил трафика осуществляется через раздел «Конфигурация». Перейдите во вкладку «Политика трафика» и выберите один из трех параметров, который нужно настроить. В пункте «Правила трафика» вы создаете правила, с помощью которых и будет регулироваться доступ пользователей в Интернет, фильтрация контента и подключение из удаленного офиса.

Задайте имя правила. В графе «Источник» вы можете выбрать «Любой источник», «Доверенный источник» или перечислить конкретные источники. В графе «Назначение» нужно указать, куда будут направляться данные, в локальную сеть, VPN-туннель или Интернет. Пункт «Службы» предназначен для внесения в список всех служб и портов, с помощью которых будет реализовываться конкретное правило.

Настройка балансировки нагрузки


Контролировать сетевой трафик и рационально его распределять между наиболее важными каналами передачи необходимо настроить балансировку нагрузки. Таким образом, оптимизируется доступ в интернет пользователей. Благодаря распределению трафика на наиболее важном канале соединения для передачи важных данных всегда будет непрерывный Интернет.

Для назначения объема сетевого трафика в программе реализована поддержка QoS. Вы можете создать максимальную пропускную способность для приоритетного канала, при этом трафик с низкой степенью важности будет приостановлен. Есть возможность настроить балансировку нагрузки по нескольким соединениям.

NAT: настройка

С помощью фаервола Kerio вы можете обеспечить безопасное соединение ПК локальной сети. Создать доступ к интернету некоторым сотрудникам в удаленном офисе, при этом без каких-либо действий с их стороны. Для этого потребуется создать VPN-подключение в вашей локальной сети из удаленного офиса. Установите и настройте интерфейсы для подключения к интернету. На панели управления во вкладке «Политика трафика» создайте правило, разрешающее локальный трафик.

Не забудьте указать в источнике все нужный объекты. Также потребуется создать правило, которое разрешит локальный пользователям доступ в интернет. Нужно настроить NAT, несмотря на созданные правила доступа в интернет не будет без включения данной функции. Во вкладке «Политика трафика» выберите раздел «Трансляция» и установите флажок «Включить источник NAT». Укажите путь балансировки.

: настройка интерфейсов


Настройка интерфейсов производится непосредственно после установки программы. Уже активировали который был куплен в и выбрали тип подключения к интернету, можно заняться настройкой интерфейсов. Перейдите на консоли управления в раздел «Интерфейсы». Интерфейсы, которые подключены к интернету и доступны, программа сама обнаруживает. Все наименования будут выведены в виде списка.

При распределенной нагрузке на интерфейсы (выбор типа подключения к интернету), можно добавлять сетевые интерфейсы в неограниченном количестве. Устанавливается максимально возможная нагрузка для каждого из них.

Видео

Похожие публикации: