Огляд Kerio WinRoute Firewall, Комп’ютерна документація від А до Я - Захист інформації

Kerio WinRoute Firewall компанії Kerio – це інтегроване рішення, що включає брандмауер, VPN-сервер, антивірус, контентний фільтр та забезпечує повну безпеку для компаній малого та середнього бізнесу.

Kerio WinRoute Firewall вже з найпершої версії зарекомендував себе тільки з найкращого боку, не лише з точки зору зручності та гнучкості налаштувань, але й з боку якісності протихакерської оборони. Це пояснює той факт, що багато фахівців по всьому світу використовують цей продукт на рівні з UNIX системами, які вважаються передовими у плані захисних властивостей та гнучкості налаштування.

Установка продукту відбувається загалом без особливих труднощів навіть для непідготовленого користувача, а після цього необхідно просто запустити сервер Kerio WinRoute Firewall на машині-сервері та консоль управління. Надалі управління продукту можна здійснювати віддалено з машини адміністратора.

Дизайн програми в цілому залишає лише позитивні емоції, тому що всі пункти меню зроблені у вигляді графічних значків і всі кольори скомпоновані м'яко, що робить цей продукт привабливим та зручним. Меню виконано у вигляді дерева з чотирма основними пунктами та достатньою кількістю підпунктів. Цей дизайнерський крок також можна розцінити як облік плюсів інших програмних продуктів, які вже завоювали ринок, задовольняючи потреби своїх клієнтів у плані зручності конфігурування.

winroute

Основними чотирма пунктами меню є: "Configuration", "Users and Groups", "Status", "Logs". "Configuration" являє собою "кита", який є базою для інших пунктів - "слонів", містить у собі налаштування інтерфейсів, DHCP сервера, DNS-форвардера, настоянку політик WEB, FTP та антивірусу, сервісів та маршрутизаторів. Пункт"Users and Groups" знайомий адміністраторам систем\мереж, тому що без цього неможливо адмініструвати систему і наділяти користувачів тими чи іншими правами. «Status» відповідає за моніторинг системи, що адмініструється, тут можна помітити такі підпункти, як «Users», «Connections», «Statistics». Останнім пунктом меню, але вважається другим за важливістю є вкладка «журнали». Тут можна побачити одинадцять журналів різних служб.

Розглянемо детальніше перший пункт меню – «Configuration»

У вкладці «Interfaces» (Інтерфейси) відбувається виявлення інтерфейсів, які безпосередньо працюватимуть шлюзом для прийому передачі інформації.

Вкладка "Traffic Policy" (Політика трафіку) задає налаштування брандмауера. Таблиця складається з наступних колонок:

Загалом, хочеться помітити, що ця вкладка є повнофункціональним брандмауером, користувачеві пропонується самому створювати правила, задавати порти та послуги.

Для початкового налаштування продукту дуже зручно використовувати спеціальний майстер. Він є певним списком питань щодо конфігурації мережі, відповідаючи на які адміністратор дає можливість програмі самостійно налаштувати необхідні базові правила доступу.

kerio

огляд

Вкладка «Content Filtering» дозволяє створювати HTTP та FTP політики.

HTTP містить додаткові опції:

  • дозволити автоматичні оновлення
  • видаляти банери
  • дозволяти оновлення Microsoft Windows

  • дозволяти HTML ActiveX об'єкти
  • дозволяти HTML Java скрипти та спливаючі вікна
  • дозволяти HTML Java-аплети

  • Кеш використовується для зберігання веб-сторінок, які вже відкривалися на цьому комп'ютері, що призводить дозменшення руху трафіку. Об'єкти зберігаються на жорсткому диску.

  • Створення Proxy-сервера. Proxy-сервер - це система, що знаходиться між додатками, що виконуються, та Інтернет з'єднаннями, вона перехоплює запити до сервера, розглядаючи можливість виконати їх самостійно, що збільшує швидкодію за рахунок відсікання повторних запитів однієї і тієї ж інформації з Інтернету. Основною дією в даному пункті вважається визначення порту, з яким у майбутньому працюватиме користувач, за умовчанням призначено порт «3128».

  • URL групи дозволяють адміністратору визначити правила HTTP. Наприклад, щоб блокувати доступ до групи WEB сторінок потрібно лише визначити саму групу та встановити відповідні заборони.

  • У цьому пункті адміністратор призначає правила заборони слів, які не повинні зустрічатися і які блокуватимуться при спробі проникнути через шлюз (наприклад, через web-сторінки)

FTP політики за промовчанням дозволяють забороняти:

  • Сканування антивірусних пакетів.
  • Заборонити завантаження
  • Заборонити завантаження музичних файлів
  • Заборонити завантаження файлів .avi

На додаток до параметрів за замовчуванням адміністратору надається можливість самому скласти правила заборони.

Вкладка «Фільтри» також містить досить серйозний пункт – «Антивіруси», завдяки якому здійснюється безпечний, у плані вірусної активності, HTTP та FTP трафік.

Хочеться зауважити, що до стандартної поставки (при купівлі відповідної ліцензії) входить антивірус McAfee, а решта пакетів (Symantec, Avast тощо) вимагають наявності спеціальних плагінів.

Окремими опціями активному антивірусному пакетунадається можливість перевіряти протоколи SMTP (передача пошти - 25 порт), POP3 (отримання пошти - 110 порт), HTTP (протокол гіпертексту-80 порт) та FTP (протокол передачі файлів-21 порт). Окремими пунктами адміністратор має можливість дозволити\заборонити перевірку файлів із зазначеною роздільною здатністю та створити правила для отримання\прийому пошти.

Наступною вкладкою меню "Конфігурація" є вкладка "Definitions" (Визначення), всі її компоненти безпосередньо пов'язані з меню "Політика трафіку" і є допоміжними.

- Services (Сервіси), необхідний для визначення сервісів (приклад ping, telnet, ssh та інші), які згодом використовуються для створення правил брандмауера. Також існує можливість створювати правила вручну із зазначенням протоколів та портів.

- "Time Ranges" (Тимчасові інтервали), визначає час, в який те чи інше правило має працювати. Адміністратор може встановити час не тільки на необхідні дні (наприклад, усі крім вихідних або святкових днів), але й годинник.

Вкладка «Dial on-demand» (Набір на вимогу) відіграє роль провідника, тобто, наприклад, якщо WinRoute пов'язаний з Інтернетом через модемний зв'язок, при зверненні до Інтернету користувача відбувається автоматичний набір номера.

Вкладка "Routing Table" (Таблиця маршрутизації). Маршрутизація – це одне з найтонших місць всього пакету, за допомогою неї адміністратор здійснює прокладання маршрутів для трафіку. У налаштуванні немає нічого складного, тому що інтерфейс конфігурування нагадує Windows і Unix, де лише потрібно заповнити кілька полів: мережа, маска, шлюз і інтерфейс.

«Advanced Options» (Додаткові налаштування) включають сім вкладок:

- ISS OrangeWeb Filter Settings

  • Містить параметри перевірки наявності оновлень

  • Ця вкладка здійснює налаштування підключення до поштового сервера для використання пункту «Налаштування повідомлень», тобто для того, щоб у разі небезпечних ситуацій, що виникають на сервері (наприклад, при виявленні вірусів) повідомити про це електронною поштою адміністратора мережі. Тут надається можливість виконати тестування сервера.

  • При обслуговуванні користувачів, які здійснюють велику кількість маніпуляцій з трафіком (прийом передачі великого потоку), потужність сервера з малою пропускною здатністю знизиться і у зв'язку з цим потрібно вести статистику по користувачах. У цьому пункті ви також можете призначити квоту на витрати трафіку, яку користувач не зможе перевищити.

Наступним пунктом глобального налаштування є Users and Groups (Користувачі та Групи). Цей пункт має бути вже добре відомий адміністраторам систем та мереж, оскільки є основою налагодження конфіденційності за допомогою роздачі ролей (прав).

Спочатку адміністратор заводить вершину піраміди – «групи», наділяючи їх відповідними правами (права адміністратора чи простого користувача, використання VPN, зміна правил фільтрів, вибір підключень тощо).

огляд

Пункт «Status» (Статус) інформаційний, оскільки несе інформацію про користувачів:

  • Вказуються активні з'єднання користувачів, які використовують WinRoute для Інтернету.

  • Вказуються всі з'єднання мережі, які можуть бути виявлені WinRoute: - Звернення користувача до мережі Інтернет - Зв'язки з машиною, на якій знаходиться WinRoute - Зв'язки від інших комп'ютерів, забезпечені машиною, на якійзнаходиться WinRoute

  • Детальна статистика щодо індивідуальних користувачів. Інформація в даній вкладці подається у вигляді діаграм і виводить інформацію: «двадцятка найактивніших користувачів», «сервіси, що використовуються за окремими користувачами і загальна статистика» і «інформація про вхідний і вихідний трафік, який проходить через інтерфейс».

  • VPN - це безпечний канал, який має на увазі шифрування всього трафіку від вашого комп'ютера до сервера VPN. В даний час захищені віртуальні мережі набули великої популярності. Для захисту конфіденційних даних, що передаються між двома точками, було розроблено тунелюючі протоколи (tunneling protocols). Тунелюючий протокол забезпечує шифрування даних наступних з точки їх відправлення в точку призначення, та, крім того, забезпечує контроль цілісності даних та автентифікацію. Тунелювання – основа VPN. VPN – це безпечна та закрита передача даних через мережі загального доступу. VPN є окремою віртуальною мережею вашої компанії в рамках опорної мережі оператора. Таким чином, для включення офісу в єдину корпоративну мережу необхідно створити канал передачі даних між ним і найближчою точкою присутності провайдера.

  • Пункт, який інформує адміністратора про небезпечні ситуації.

Останнім і одним із найчастіше використовуваних пунктів головного меню вважається «Logs» (Журнали). Цей пункт інформує адміністратора про всі дії, що відбуваються на сервері:

  • alert (повідомлення про тривогу)
  • config (конфігурування)
  • connection (підключення)
  • debug (налагодження)
  • dial (набір)
  • error (помилки)
  • filter (містить інформацію щодо web-сторінок та об'єктів, що блокуютьсяHTTP та FTP фільтрами)
  • http (містить у собі всі запити, які були оброблені інспекційним модулем або сервером проксі)
  • security (повідомлення, що інформують про несанкціоновані проникнення)
  • waring (попередження)
  • web (сторінки веб)

У процесі тестування продукту виникла низка питань щодо тонкого настроювання, які були з успіхом вирішені за допомогою форуму www.winroute.ru/forum, а також за підтримки фахівців офіційного дистриб'ютора Kerio - компанії АВ Софт (http://www.avsoft.ru/ ).

Kerio WinRoute Firewall є потужним продуктом, що поєднує в собі продуманий інтерфейс користувача, величезну кількість індивідуальних розробок і впровадження серверних додатків в новому ракурсі. Даний продукт користується величезною популярністю серед адміністраторів мереж по всьому світу і, на думку багатьох фахівців, є лідером серед Windows-серверних пакетів, який дозволяє без жодних труднощів «підняти» мережу та встановити при грамотному налаштуванні потужний бар'єр на шляху хакерів.