Сегодня: 23 мая, 2024

Защита сети, контроль и учет трафика на примере Kerio Control

Что такое KERIO Control ?

KERIO Control – это простое в управлении решение включает в себя сетевой файервол и маршрутизатор,систему обнаружения и предотвращения вторжений (IPS), антивирус, VPN и фильтр содержимого. Широкие возможности и непревзойденная гибкость делают Kerio Control хорошим выбором для малых и средних предприятий.

Сразу хочется подчеркнуть, что KERIO Control дороже чем рассмотренный нами в другом кейсе Traffic Inspector.

 Для чего нужен KERIO Control?

  •  Обеспечение безопасного доступа в интернет;
  • Экономит затраты на трафик позволяя вводить ограничения по скорости а так же разрешая доступ только к нужным ресурсам (Например можно разрешить доступ только к одному сайту – остальные сайты пользователь не сможет посетить);
  • Повышение эффективности работы сотрудников за счет контроля пользования интернетом (Например в конце месяца Вы можете получить отчет по лидерам посещения сайта одноклассники и “премировать” особенно отличившихся;
  • Есть функционал фильтрации рекламы, спама и вирусов (соответствующие плагины включаются и настраиваются дополнительно);

Давайте теперь посчитаем стоимость данного кейса:

Условия задачи: Допустим у нас в организации работают 15 сотрудников, есть оборудование на которое мы будем устанавливать KERIO Control

Требуется: Защитить сеть, а так же контролировать использование рабочего времени сотрудниками (что они делают в интернете), иметь возможность объединения офисов через защищенный канал VPN, а так же что бы мобильные сотрудники могли легко и безопасно подключаться к сети офиса через VPN.

Решение: KERIO Control на 15 пользователей на 01.05.2015 г. стоит 32661 рублей, как ранее упоминалось – получается дороже чем у Traffic Inspector.

Что же мы получаем кроме большей стоимости?:

  • Очень, ооочень! крутой функционал по настройке и мониторингу сети;
  • Отчеты по пользователям – кто и на что тратил свое рабочее время;
  • Простая организация подключения через VPN к офисной сети и офисов между собой;
  • Чуть не забыл упомянуть – что есть KERIO Control с сертификатом ФСТЭК – оно немного дороже;

Ниже, я подробнее опишу все плюшки данного решения т.к. их много а в данном разделе не всем будет эта информация интересна, лучше посмотрите на скриншот с правилами для трафика и проникнитесь уважением:

Дальнейшая информация будет интересна больше для технических специалистов:

Преимущества: Очень большой функционал с достаточно простой настройкой.

Рекомендации по настройке:

  • Хорошо бы понимать структуру сетей, маршрутизацию и назначения сетевых протоколов на хорошем уровне, здесь есть помощники по настройке но из за большего функционала настроек больше и они сложнее чем например в “Traffic Inspector”;
  • Мы бы рекомендовали ставить подумать, стоит ли устанавливать программу под Windows или сэкономить на лицензии и обойтись без ненужной прослойки;
  • Не изобретайте велосипед – посмотрите агент KERIO Control – очень удобное решение для безопасного подключения к офисной сети!;
  • Не забудьте настроить правильно логи пакетов – рекомендуем для ленивых включать циклическую перезапись логов;

Подводные камни:

  • Перед выбором решения – посмотрите отчеты по пользователям, на дату публикации этого кейса отчеты нам больше нравились в Traffic Inspector чем в KERIO Connect – если это критичный момент – возможно стоит присмотреться к “Тraffic Inspector”;
  • Не забудьте что у Вас есть встроенный DHCP сервер при планировании сети и развертывании VPN;

Как и обещали, подробнее по функционалу т.к. он действительно заслуживает упоминания:

Межсетевой экран (файервол) и маршрутизатор:
  • Корпоративный межсетевой экран, получивший сертификат ICSA Labs и ФСТЭК*.
  • Deep packet inspection — глубокая проверка пакетов.
  • Инспектирование протоколов, проверка пакетов с отслеживанием состояния.
  • DHCP сервер и сервер пересылки DNS.
  • Публикация локальных сервисов в Интернет (dNAT).
  • Фильтрация по MAC, антиспуфинг.
  • Переадресация запросов на обнаружение сервисов (Service Discovery forwarding)
  • Гостевая сеть с порталом авторизации.
  • Поддержка 802.1Q VLAN.
  • Мастер настройки правил трафика; временные условия и контроль HTTPS.
  • Возможность добавлять исключения из правил, ограничения количества подключений.
  • Несколько IP-адресов на одном сетевом интерфейсе, динамические DNS.
  • Настраиваемые таблицы маршрутизации, обратный прокси-сервер.
  • Одновременная поддержка протоколов IPv4 и IPv6, поддержка трансляции префикса сети для протокола IPv6, объявления маршрутизаторов IPv6.
 VPN:
  • Аутентификация пользователя через службу каталогов.
  • Поддержка раздельного или принудительного туннелирования.
  • Одновременное установление множества туннелей сеть-к- сети.
  • Kerio VPN клиент-сервер и сервер-сервер.
  • IPsec клиент-сервер и сервер-сервер.
  • Kerio VPN-клиенты для Windows, Mac и Linux.
  • Возможность создания постоянного подключения, история VPN-подключений.
  • Надежное шифрование SSL.
  • Резервные подключения для VPN туннелей.
  • Поддержка NAT.
  • Проверка подлинности пользователя при помощи AD, OD или локального каталога.
  • Подключение мобильных устройств через протокол L2TP через IPsec.
  • Поддержка автоматической и настраиваемой маршрутизации.
Отчеты и мониторинг:
  • Интерфейс пользовательской статистики Kerio Control.
  • Подробные отчеты об использовании: веб-сайтов, протоколов, пропускной способности.
  • Отчеты можно фильтровать по отдельным пользователям, группам и всей сети.
  • Автоматически отправляемые по электронной почте суточные/недельные/месячные отчеты.
  • Наиболее часто посещаемые веб-сайты и наиболее активные пользователи по веб-категориям.
  • Почасовой трафик по пользователям, поисковые запросы Google.
  • Отчеты по фильтрации контента Kerio Control Web Filter.
  • Оповещения по электронной почте, ведение внешнего системного журнала.
  • Мониторинг SNMP, монитор работоспособности системы, диаграммы трафика.
  • Панель администратора, мониторинг активности хостов в реальном времени.
  • Классификация трафика по категориям (мультимедиа, обмен сообщениями, передача больших файлов…).
Управление балансировкой нагрузки и пропускной способностью:
  • Балансировка нагрузки между несколькими интернет-каналами.
  • Управление потоками трафика через внешние интернет-соединения.
  • Автоматическое переключение активного интернет канала при отказе (активный/активный и активный/пассивный).
  • Правила передачи трафика на основе пользователя и\или группы пользователей.
  • Квотирование объёма передаваемых данных пользователями.
  • Регулируемые квоты ограничения для полосы пропускания и ограничения для скорости передачи данных.
  • Гарантия скорости передачи данных для трафика с высокой важностью (качество обслуживания QoS).
  • Ограничение скорости передачи данных для трафика низкой важности.
  • Правила на основе интервала времени, типа трафика, пользователей, служб, значений DSCP.
  • Мониторинг пропускной способности при помощи диаграмм, стоящихся в режиме реального времени.
  • Мониторинг использования пропускной способности интерфейса в реальном времени.
  • Применение правил управления полосой пропускания к VPN-траффику.
Администрирование:
  •  Веб-интерфейс администрирования с удобной панелью мониторинга состояния сервера.
  • Регулируемый уровень административных прав.
  • Обновление вресии программного обеспечения одним щелчком мыши.
  • Удобные средства отладки, экспорт/импорт конфигурации.
  • Резервное копирование конфигурации на Samepage или на FTP-сервер.
  • Проверка подлинности пользователя с использованием Active Directory, Open Directory, локального каталога.
  • Доменный шаблон для настройки пользователя по умолчанию.
  • Автоматическое завершение сеанса пользователей по времени ожидания.
  • Настраиваемые диапазоны времени для групп.
  • Локализация на множество языков, в том числе на русский язык.
Контент-фильтр:
  • Ограничение по интервалу времени.
  • Блокировщик P2P.
  • Категории URL (Kerio Control веб-фильтр).
  • Настраиваемая страница отказа в доступе.
  • Административные оповещения.
  • Настраиваемые URL, запрещенные слова.
  • Поддержка регулярных выражений в правилах URL.
  • Политика FTP.
  • Прокси-сервер.
  • «Белые» списки URL, антивирус Sophos, типы файлов.
 Аутентификация пользователей:
  • Интеграция с Active Directory/Open Directory.
  • 2-факторная проверка пользователя для удаленного доступа (Новая функция в версии 8.5).
  • Аутентификация терминальных пользователей на прокси-сервере.
  • Проверка подлинности Kerberos/NTLM.
  • RADIUS-сервер, защита от подбора пароля.
  • Домен NT, веб-аутентификация пользователей.
Система обнаружения и предотвращения атак (IPS):
  • Анализ поведения на основе Snort.
  • База данных правил Emerging Threats.
  • «Черный» список IP-адресов.
  • Три уровня безопасности.
  • Обработчик исключений ложных срабатываний.
  • Применяется к трафику IPv4 и IPv6.