Kerio WinRoute Firewall 6.0.11 (http://www.winroute.ru/) компании Kerio – это интегрированное решение, включающее брандмауэр, VPN-сервер, антивирус, контентный фильтр и обеспечивающее полную безопасность для компаний малого и среднего бизнеса.
Kerio WinRoute Firewall уже с самой первой версии зарекомендовал себя только с самой лучшей стороны, не только с точки зрения удобства и гибкости настроек, но и со стороны качественности противохакерской обороны. Это объясняет тот факт, что многие специалисты по всему миру используют данный продукт на уровне с UNIX системами, которые считаются передовыми в плане защитных свойств и гибкости настройки.
Установка продукта происходит в целом без особых трудностей даже для неподготовленного пользователя, а после необходимо просто запустить сервер Kerio WinRoute Firewall на машине-сервере и консоль управления. В дальнейшем управление продукта можно осуществлять удаленно с машины администратора.
Дизайн программы в целом оставляет только положительные эмоции, так как все пункты меню сделаны в виде графических значков и все цвета скомпонованы мягко, что делает данный продукт привлекательным и удобным. Меню выполнено в виде дерева с четырьмя основными пунктами и достаточным количеством подпунктов. Этот дизайнерский шаг также можно расценить, как учет плюсов других программных продуктов, которые уже завоевали рынок, удовлетворяя потребности своих клиентов в плане удобства конфигурирования.
Основными четырьмя пунктами меню являются: «Configuration», «Users and Groups», «Status», «Logs». «Configuration» представляет собой «кита», который является базой для остальных пунктов - «слонов», содержит в себе настройку интерфейсов, DHCP сервера, DNS-форвардера, настойку политик WEB, FTP и антивируса, сервисов и маршрутизаторов. Пункт «Users and Groups» знаком администраторам систем\сетей, так как без этого невозможно администрировать систему и наделять пользователей теми или иными правами. «Status» отвечает за мониторинг администрируемой системы, здесь можно заметить такие подпункты, как «Users», «Connections», «Statistics». Последним пунктом меню, но считающимся вторым по важности, является вкладка «журналы». Здесь можно увидеть одиннадцать журналов различных служб.
Рассмотрим более подробно первый пункт меню – «Configuration»
Во вкладке «Interfaces» (Интерфейсы) происходит обнаружение интерфейсов, которые будут непосредственно работать шлюзом для приёма\передачи информации.
Вкладка «Traffic Policy» (Политика трафика) задаёт настройку брандмауэра. Таблица состоит из следующих колонок:
- Name - Имя правила. Здесь можно указать произвольное название. Конечно, лучше указывать тип правил. Так ICMP - пакеты контроля и управления. NAT - Правило трансляции адресов. local - внутренний трафик и т.д. Имя Default rule - постоянное правило, используемое по умолчанию. Программа просматривает все правила сверху вниз до тех пор, пока параметры пакета не будут соответствовать критерию выбора. Default rule - всегда последнее правило, обычно оно все закрывает, но его можно и отменить. Открытие и закрытие правила осуществляется с помощью маркера в начале имени.
- Source
- адрес отправителя. Здесь указывается адрес сетевой карты (интерфейса), диапазон адресов, адрес сети с маской, отдельный пользователь или группа пользователей. - Destination
- адрес получателя. Значения такие же, как и в Source. - Service
- служба. Фактически здесь указывается тип пакета и адрес порта. По имени это может быть известные имена протоколов, такие как http, https, ftp, pop3, smtp и т.д. - Action
- применение. Означает действие правила. Permit - разрешить. Deny - запретить, Drop - отбросить. - Log
- журнал. Включить или выключить журнал записи событий по данному правилу. - Translation
- преобразование адреса.
В общем, хочется заметить, что данная вкладка является полнофункциональным брандмауэром, пользователю предлагается самому создавать правила, задавать порты и сервисы.
Для первоначальной настройки продукта очень удобно использовать специальный «мастер». Он представляет собой некий список вопросов по конфигурации сети, отвечая на которые администратор дает возможность программе самостоятельно настроить необходимые базовые правила доступа.
Вкладка «DHCP Server». Сервер DHCP - протокол службы TCP/IP, обеспечивающий динамическое распределение IP-адресов и других параметров конфигурации между клиентами сети. DHCP поддерживает безопасную, надёжную и простую конфигурацию сети TCP/IP, препятствует возникновению конфликтов адресов и помогает использованию IP-адресов клиентов. DHCP использует модель «клиент-сервер», в которой сервер DHCP осуществляет централизованное управление IP-адресами сети. В Kerio WinRoute Firewall сверка IP происходит по MAC-адресу (физический адрес сетевого интерфейса), то есть в случае, если злоумышленник произведёт подмену IP адреса, прописав не свой, администратор увидит соответствующую пиктограмму на мониторе; отдельными цветами сервер выделяет машины, получившие адрес от DHCP сервера и незарегистрированные машины.
Следующей вкладкой является «DNS Forwarder». Данная вкладка является DNS сервером - службой статических иерархических имён узлов TCP/IP. Администратор сети задаёт конфигурацию службы формирования имён узлов с помощью списка имён узлов и IP-адресов, что позволяет пользователям на рабочих станциях выполнять запросы с указанием имён узлов вместо адресов. Здесь вы можете выбрать типы отправки: отправить DNS запрос к серверу, автоматически выбранному из известных шлюзу DNS серверов, отправить запрос к указанному пользователем серверу и произвести переконфигурацию DNS сервера вручную, изменив файл «hosts».
Вкладка «Content Filtering» позволяет создавать HTTP и FTP политики.
HTTP содержит в себе дополнительные опции:
- URL правила
- разрешить автоматические обновления
- удалять баннеры
- разрешать обновления Microsoft Windows
- Содержание правил
- разрешать HTML ActiveX объекты
- разрешать HTML Java скрипты и всплывающие окна
- разрешать HTML Java-аплеты
- Кэш
Кэш используется для хранения web-страниц, которые уже открывались на данном компьютере, что приводит к уменьшению движения трафика. Объекты хранятся на жёстком диске.
- Proxy-сервер
- Создание Proxy-сервера. Proxy-сервер - это система, находящаяся между исполняемыми приложениями и Интернет соединениями, она перехватывает запросы к серверу, рассматривая возможность выполнить их самостоятельно, что увеличивает быстродействие за счёт отсечения повторных запросов одной и той же информации из Интернета. Основным действием в данном пункте считается определение порта, с которым в будущем будет работать пользователь, по умолчанию назначен порт «3128».
- URL группы
- URL группы позволяют администратору определить правила HTTP. Например, чтобы блокировать доступ к группе WEB страниц нужно всего лишь определить саму группу и установить соответствующие запреты.
- Запрещённые слова
- В этом пункте администратор назначает правила запрета слов, которые не должны встречаться и которые будут блокироваться при попытке проникнуть через данный шлюз (к примеру, через web-страницы)
FTP политики по умолчанию позволяют запрещать:
- Сканирование антивирусными пакетами.
- Запретить загрузку
- Запретить закачку музыкальных файлов
- Запретить закачку файлов .avi
В дополнение к параметрам по умолчанию администратору предоставляется возможность самому составить правила запрета\разрешения.
Вкладка «Фильтры» также содержит довольно серьёзный пункт - «Антивирусы», благодаря которому осуществляется безопасный, в плане вирусной активности, HTTP и FTP трафик.
Хочется заметить, что в стандартную поставку (при покупке соответствующей лицензии) входит антивирус McAfee, а остальные пакеты (Symantec, Avast и т.д.) требуют наличия специальных плагинов.
Отдельными опциями активному антивирусному пакету предоставляется возможность проверять протоколы SMTP (передача почты - 25 порт), POP3 (получение почты - 110 порт), HTTP (протокол гипертекста- 80 порт) и FTP (протокол передачи файлов- 21 порт). Отдельными пунктами администратор имеет возможность разрешить\запретить проверку файлов с указанным разрешением и создать правила для получения\приёма почты.
Следующей вкладкой меню «Конфигурация» является вкладка «Definitions» (Определения), все её компоненты непосредственно связаны с меню «Политика трафика» и являются вспомогательными.
- «Services» (Сервисы), необходим для определения сервисов (пример ping, telnet, ssh и другие), которые впоследствии используются для создания правил брандмауэра. Также существует возможность создавать правила вручную с указанием протоколов и портов.
- «Time Ranges» (Временные интервалы), определяет время, в которое то или иное правило должно работать. Администратор может установить время не только на необходимые дни (например, все кроме выходных или праздничных дней), но и непосредственно часы.
- «Address Groups» (Адресные группы), помогает определиться администратору в выделении групп сети (комбинации IP адресов, IP диапазоны и тд).
Вкладка
«Dial on-demand» (Набор по требованию) играет роль проводника, то есть, к примеру, если WinRoute связан с Интернетом через модемную связь, то при обращении к Интернету пользователя происходит автоматический набор номера.
Вкладка «Routing Table» (Таблица маршрутизации). Маршрутизация - это одно из самых тонких мест всего пакета, с помощью неё администратор осуществляет прокладку маршрутов для трафика. В настройке нет ничего сложного, так как интерфейс конфигурирования напоминает Windows и Unix, где всего лишь нужно заполнить несколько полей: сеть, маска, шлюз и интерфейс.
Вкладка
«Logs & Alerts» (Журналы и уведомления) - вкладка, осуществляющая управление уведомлениями и журналами. В разделе
«Logs settings» (Настройка журналов) существует возможность изменения настроек ведения журналов, а в разделе
«Alerts settings» (Настройка уведомлений) имеются довольно любопытные опции предупреждения об опасных ситуациях администратора не только по электронной почте, но и с помощью SMS-сообщений, отсылаемых на сотовый телефон.
«Advanced Options» (Дополнительные настройки) включают в себя семь вкладок:
- Security Settings
- Включает в себя опции антиспуфинга (то есть блокирует подмену IP адресации), лимит, количество подключений, настройки UPnP и IPSec.
- Web Interface
- Этот пункт считается любопытным со стороны неординарности, так как после активации данного параметра пользователям предоставляется возможность после авторизации на сервере через web-интерфейс прослеживать статистику своих учетных записей, а администраторам предоставляется возможность удалённо администрировать сервер, имея в наличии всего лишь браузер.
- ISS OrangeWeb Filter Settings
-
Встроенный классификатор контента от компании ISS Orange Filter Service, позволяющий наложить запрет на посещение некоторых видов сайтов (реклама, развлечения, сайты для взрослых) при работе в корпоративных и образовательных сетях.
- Update Checks
- Содержит параметры проверки наличия обновлений
- SMTP Relay
- Данная вкладка осуществляет настройку подключения к почтовому серверу для использования пункта «Настройка уведомлений», то есть для того, чтобы в случае опасных ситуаций, возникающих на сервере (например, при обнаружении вирусов) уведомить об этом по электронной почте администратора сети. Здесь же предоставляется возможность выполнить тестирование сервера.
- Quota / Statistics
- При обслуживании пользователей, которые осуществляют большое количество манипуляций с трафиком (приём\передача большого потока), мощность сервера с малой пропускной способностью снизится и в связи с этим требуется вести статистику по пользователям. В данном пункте вы также можете назначить квоту на расходование трафика, которую пользователь не сможет превысить.
- P2P Eliminator
- Параметры работы с P2P сетями, а точнее, возможность их блокировки. P2P - это класс приложений, совместно использующих распределенные ресурсы (дисковое пространство и файлы, вычислительные ресурсы, каналы связи и т. д.). Именно в эту категорию попадают системы распределенных вычислительных сетей (SETI@HOME), некоторые файловые обменные сети (Napster) и службы сообщений.
Следующим пунктом «глобальной» настройки является
«Users and Groups» (Пользователи и Группы). Данный пункт должен быть уже хорошо известен администраторам систем и сетей, так как является основой наладки конфиденциальности посредством раздачи ролей (прав).
Сначала администратор заводит вершину пирамиды - «группы», наделяя их соответствующими правами (права администратора или простого пользователя, использование VPN, изменение правил фильтров, выбор подключений и т.д.).
После определения групп администратор должен завести пользовательские учетные записи, которые будут помещены в уже созданные группы. Каждому аккаунту предоставляется возможность установить квоту (совместно с пунктом Quota / Statistics), дополнительные правила работы с гипертекстом (ActiveX, скрипты и аплеты). Также существует возможность автоматически авторизовать пользователя по IP адресу.
Пункт «Status» (Статус) информационный, так как несёт в себе информацию о пользователях:
- Host/Users
- Указываются активные соединения пользователей, использующих WinRoute для связи с Интернетом.
- Connections
- Указываются все соединения сети, которые могут быть обнаружены WinRoute:
- Обращения пользователя в сеть Интернет
- Связи с машиной, на которой находится WinRoute
- Связи от других компьютеров, обеспеченные машиной, на которой находится WinRoute
- Statistics
- Детальная статистика по индивидуальным пользователям. Информация в данной вкладке представляется в виде диаграмм и выводит информацию: «двадцатка самых активных пользователей», «используемые сервисы по отдельным пользователям и общая статистика» и «информация о входящем и исходящем трафике, который проходит через интерфейс».
- VPN Clients
- VPN - это безопасный канал, который подразумевает шифрование всего трафика от вашего компьютера до VPN сервера. В настоящее время защищённые виртуальные сети приобрели большую популярность. Для защиты конфиденциальных данных, передаваемых между двумя точками, были разработаны туннелирующие протоколы (tunneling protocols). Туннелирующий протокол обеспечивает шифрование данных следующих из точки их отправки в точку назначения, и, кроме того, обеспечивает контроль целостности данных и аутентификацию. Туннелирование - основа VPN. VPN - это безопасная и закрытая передача данных через сети общего доступа. VPN является обособленной виртуальной сетью вашей компании в рамках опорной сети оператора. Таким образом, для включения офиса в единую корпоративную сеть необходимо только создать канал передачи данных между ним и ближайшей точкой присутствия провайдера.
- Alert Messages
- Пункт, информирующий администратора об опасных ситуациях.
Последним и одним из самых часто используемых пунктов главного меню считается «Logs» (Журналы). Данный пункт информирует администратора обо всех действиях, происходящих на сервере:
- alert (сообщения тревоги)
- config (конфигурирования)
- connection (подключения)
- debug (отладка)
- dial (набор)
- error (ошибки)
- filter ( содержит информацию относительно web-страниц и объектов, блокируемых HTTP и FTP фильтрами)
- http (содержит в себе все запросы, которые были обработаны инспекционным модулем или прокси сервером)
- security (сообщения, информирующие о несанкционированных проникновениях)
- warning (предупреждения)
- web (страницы вэб)
Подведение итогов:
В процессе тестирования продукта возник ряд вопросов по тонкой настройке, которые были с успехом решены с помощью форума www.winroute.ru/forum, а также при поддержке специалистов официального дистрибутора Kerio - компании АВ Софт (http://www.avsoft.ru/).
Kerio WinRoute Firewall является мощным продуктом, совмещающим в себе продуманный пользовательский интерфейс, огромное количество индивидуальных разработок и внедрение серверных приложений в новом ракурсе. Данный продукт пользуется огромной популярностью среди администраторов сетей по всему миру и, по мнению многих специалистов, является лидером среди Windows-серверных пакетов, который позволяет без всяких трудностей «поднять» сеть и установить при грамотной настройке мощный барьер на пути хакеров.