Программное Обеспечение Kerio Control

Контроль сети с KERIO control

Кейс: «Защита сети, контроль и учет трафика на примере KERIO control»

Что такое KERIO Control ?

KERIO Control -это простое в управлении решение включает в себя сетевой файервол и маршрутизатор,систему обнаружения и предотвращения вторжений (IPS), антивирус, VPN и фильтр содержимого. Широкие возможности и непревзойденная гибкость делают Kerio Control хорошим выбором для малых и средних предприятий.

Сразу хочется подчеркнуть, что KERIO Control дороже чем рассмотренный нами в другом кейсе

Для чего нужен KERIO Control?

• Обеспечение безопасного доступа в интернет;
• Экономит затраты на трафик позволяя вводить ограничения по скорости а так же разрешая доступ только к нужным ресурсам (Например можно разрешить доступ только к одному сайту — остальные сайты пользователь не сможет посетить);
• Повышение эффективности работы сотрудников за счет контроля пользования интернетом (Например в конце месяца Вы можете получить отчет по лидерам посещения сайта одноклассники и «премировать» особенно отличившихся;
• Есть функционал фильтрации рекламы, спама и вирусов (соответствующие плагины включаются и настраиваются дополнительно);

Давайте теперь посчитаем стоимость данного кейса:

Условия задачи: Допустим у нас в организации работают 15 сотрудников, есть оборудование на которое мы будем устанавливать KERIO Control

Требуется: Защитить сеть, а так же контролировать использование рабочего времени сотрудниками (что они делают в интернете), иметь возможность объединения офисов через защищенный канал VPN, а так же что бы мобильные сотрудники могли легко и безопасно подключаться к сети офиса через VPN.

Что же мы получаем кроме большей стоимости?:

• Очень, ооочень! крутой функционал по настройке и мониторингу сети;
• Отчеты по пользователям — кто и на что тратил свое рабочее время;
• Простая организация подключения через VPN к офисной сети и офисов между собой;
• Чуть не забыл упомянуть — что есть KERIO Control с сертификатом ФСТЭК — оно немного дороже;

Ниже, я подробнее опишу все плюшки данного решения т.к. их много а в данном разделе не всем будет эта информация интересна, лучше посмотрите на скриншот с правилами для трафика и проникнитесь уважением:

Дальнейшая информация будет интересна больше для технических специалистов:

Преимущества: Очень большой функционал с достаточно простой настройкой.

Рекомендации по настройке:

• Хорошо бы понимать структуру сетей, маршрутизацию и назначения сетевых протоколов на хорошем уровне, здесь есть помощники по настройке но из за большего функционала настроек больше и они сложнее чем например в Traffic Inspector;
• Мы бы рекомендовали ставить подумать, стоит ли устанавливать программу под Windows или сэкономить на лицензии и обойтись без ненужной прослойки;
• Не изобретайте велосипед — посмотрите агент KERIO Control — очень удобное решение для безопасного подключения к офисной сети!;
• Не забудьте настроить правильно логи пакетов — рекомендуем для ленивых включать циклическую перезапись логов;

Подводные камни:

• Перед выбором решения — посмотрите отчеты по пользователям, на дату публикации этого кейса отчеты нам больше нравились в Traffic Inspector чем в KERIO Connect — если это критичный момент — возможно стоит присмотреться к Тraffic Inspector;
• Не забудьте что у Вас есть встроенный DHCP сервер при планировании сети и развертывании VPN;

Как и обещали, подробнее по функционалу т.к. он действительно заслуживает упоминания:

Межсетевой экран (файервол) и маршрутизатор:

• Корпоративный межсетевой экран, получивший сертификат ICSA Labs и ФСТЭК*.
• Deep packet inspection — глубокая проверка пакетов.
• Инспектирование протоколов, проверка пакетов с отслеживанием состояния.
• DHCP сервер и сервер пересылки DNS.
• Публикация локальных сервисов в Интернет (dNAT).
• Фильтрация по MAC, антиспуфинг.
• Переадресация запросов на обнаружение сервисов (Service Discovery forwarding)
• Гостевая сеть с порталом авторизации.
• Поддержка 802.1Q VLAN.
• Мастер настройки правил трафика; временные условия и контроль HTTPS.
• Возможность добавлять исключения из правил, ограничения количества подключений.
• Несколько IP-адресов на одном сетевом интерфейсе, динамические DNS.
• Настраиваемые таблицы маршрутизации, обратный прокси-сервер.
• Одновременная поддержка протоколов IPv4 и IPv6, поддержка трансляции префикса сети для протокола IPv6, объявления маршрутизаторов IPv6.

VPN:

• Аутентификация пользователя через службу каталогов.
• Поддержка раздельного или принудительного туннелирования.
• Одновременное установление множества туннелей сеть-к- сети.
• Kerio VPN клиент-сервер и сервер-сервер.
• IPsec клиент-сервер и сервер-сервер.
• Kerio VPN-клиенты для Windows, Mac и Linux.
• Возможность создания постоянного подключения, история VPN-подключений.
• Надежное шифрование SSL.
• Резервные подключения для VPN туннелей.
• Поддержка NAT.
• Проверка подлинности пользователя при помощи AD, OD или локального каталога.
• Подключение мобильных устройств через протокол L2TP через IPsec.
• Поддержка автоматической и настраиваемой маршрутизации.

Отчеты и мониторинг:

• Интерфейс пользовательской статистики Kerio Control.
• Подробные отчеты об использовании: веб-сайтов, протоколов, пропускной способности.
• Отчеты можно фильтровать по отдельным пользователям, группам и всей сети.
• Автоматически отправляемые по электронной почте суточные/недельные/месячные отчеты.
• Наиболее часто посещаемые веб-сайты и наиболее активные пользователи по веб-категориям.
• Почасовой трафик по пользователям, поисковые запросы Google.
• Отчеты по фильтрации контента Kerio Control Web Filter.
• Оповещения по электронной почте, ведение внешнего системного журнала.
• Мониторинг SNMP, монитор работоспособности системы, диаграммы трафика.
• Панель администратора, мониторинг активности хостов в реальном времени.
• Классификация трафика по категориям (мультимедиа, обмен сообщениями, передача больших файлов…).

Управление балансировкой нагрузки и пропускной способностью:

• Балансировка нагрузки между несколькими интернет-каналами.
• Управление потоками трафика через внешние интернет-соединения.
• Автоматическое переключение активного интернет канала при отказе (активный/активный и активный/пассивный).
• Правила передачи трафика на основе пользователя иили группы пользователей.
• Квотирование объёма передаваемых данных пользователями.
• Регулируемые квоты ограничения для полосы пропускания и ограничения для скорости передачи данных.
• Гарантия скорости передачи данных для трафика с высокой важностью (качество обслуживания QoS).
• Ограничение скорости передачи данных для трафика низкой важности.
• Правила на основе интервала времени, типа трафика, пользователей, служб, значений DSCP.
• Мониторинг пропускной способности при помощи диаграмм, стоящихся в режиме реального времени.
• Мониторинг использования пропускной способности интерфейса в реальном времени.
• Применение правил управления полосой пропускания к VPN-траффику.

Администрирование:

• Веб-интерфейс администрирования с удобной панелью мониторинга состояния сервера.
• Регулируемый уровень административных прав.
• Обновление вресии программного обеспечения одним щелчком мыши.
• Удобные средства отладки, экспорт/импорт конфигурации.
• Резервное копирование конфигурации на Samepage или на FTP-сервер.
• Проверка подлинности пользователя с использованием Active Directory, Open Directory, локального каталога.
• Доменный шаблон для настройки пользователя по умолчанию.
• Автоматическое завершение сеанса пользователей по времени ожидания.
• Настраиваемые диапазоны времени для групп.
• Локализация на множество языков, в том числе на русский язык.

Контент-фильтр:

• Ограничение по интервалу времени.
• Блокировщик P2P.
• Категории URL (Kerio Control веб-фильтр).
• Настраиваемая страница отказа в доступе.
• Административные оповещения.
• Настраиваемые URL, запрещенные слова.
• Поддержка регулярных выражений в правилах URL.
• Политика FTP.
• Прокси-сервер.
• «Белые» списки URL, антивирус Sophos, типы файлов.

Аутентификация пользователей:

• Интеграция с Active Directory/Open Directory.
• 2-факторная проверка пользователя для удаленного доступа (Новая функция в версии 8.5).
• Аутентификация терминальных пользователей на прокси-сервере.
• Проверка подлинности Kerberos/NTLM.
• RADIUS-сервер, защита от подбора пароля.
• Домен NT, веб-аутентификация пользователей.

Система обнаружения и предотвращения атак (IPS):

• Анализ поведения на основе Snort.
• База данных правил Emerging Threats.
• «Черный» список IP-адресов.
• Три уровня безопасности.
• Обработчик исключений ложных срабатываний.
• Применяется к трафику IPv4 и IPv6.