Kerio control отключает входящий канал. Баги в продуктах Kerio Control могут привести к полной компрометации организации. настройка правил трафика
Об изучении продуктов компании Kerio Technologies, которая выпускает различные защитные программные решения, для малого и среднего бизнеса. Согласно официальному сайту компании, ее продукцией пользуются более 60 000 компаний по всему миру.
Специалисты SEC Consult обнаружили множество уязвимостей в Kerio Control, UTM-решении компании, которое объединяет в себе функции брандмауэра, маршрутизатора, IDS/IPS, шлюзового антивируса, VPN и так далее. Исследователи описали два сценария атак, которые позволяют злоумышленнику не только перехватить контроль над Kerio Control, но и над корпоративной сетью, которую продукт должен защищать. Хотя разработчики уже выпустили исправления для большей части обнаруженных багов, исследователи отмечают, что реализовать один из сценариев атак по-прежнему возможно.
По словам исследователей, решения Kerio Control уязвимы в силу небезопасного использования PHP функции unserialize, а также из-за использования старой версии PHP (5.2.13), в которой ранее уже были обнаружены серьезные проблемы. Также эксперты обнаружили ряд уязвимых PHP-скриптов, которые позволяют осуществить XSS и CSRF атаки и обход защиты ASLR. Кроме того, по словам SEC Consult, веб-сервер работает с root-привилегиями и не имеет защиты от брутфорс-атак и нарушения целостности информации в памяти.
Схема первого сценария атаки
Первый описанный экспертами сценарий атаки подразумевает эксплуатацию сразу нескольких уязвимостей. Атакующему понадобится применить социальную инженерию и заманить жертву на вредоносный сайт, на котором будет размещен скрипт, позволяющий выяснить внутренний IP-адрес Kerio Control. Затем злоумышленник должен эксплуатировать баг CSRF. Если же жертва не залогинена в панели управления Kerio Control, атакующий может применить обычный брутфорс для подбора учетных данных. Для этого понадобится уязвимость XSS, которая позволит обойти защиту SOP. После этого можно переходить к обходу ASLR и воспользоваться старым багом в PHP (CVE-2014-3515), чтобы запустить шелл с root-правами. По сути, после этого атакующий получает полный доступ к сети организации. Видеоролик ниже демонстрирует атаку в действии.
Второй сценарий атаки включает в себя эксплуатацию RCE-уязвимости , которая связана с функцией обновления Kerio Control и была обнаружена более года назад одним из сотрудников SEC Consult. Эксперты предлагают использовать этот баг, допускающий удаленное исполнение произвольного кода, в сочетании с XSS-уязвимостью, которая позволяет расширить функциональность атаки.
Специалистов Kerio Technologies уведомили о проблемах еще в конце августа 2016 года. На данный момент компания выпустила Kerio Control 9.1.3 , где большинство уязвимостей устранены. Однако компания решила оставить веб-серверу root-привилегии, а также без исправления пока остается RCE-баг, связанный с функцией обновления.
Многие используют межсетевой экран Kerio Control. Он обладает широчайшим функционалом, надежностью и простотой в использование. Сегодня поговорим о том как настроить правила управления полосой пропуская. Проще говоря попробуем ограничить скорость доступа в интернет пользователям и группам.
Как в Kerio Control ограничить скорость интернета для пользователей и групп
И так приступим заходим в панель администрирования Kerio Control. Слева ищем пункт Управление полосой пропускания. Для начала укажем скорость подключения к интернету. Снизу в поле Полоса пропускания для связи с Интернет кликаем изменить и вводим скорость для скачивания и загрузки. Эти данные нужны для корректной работы самого Kerio Control.
Теперь добавляем новое правило жмем добавить и вводим имя.
Далее В поле Трафик нужно указать для кого будет действовать данное ограничение. Вариантом очень много но нас интересую конкретные группы и пользователи, по этому кликаем на пункт Пользователи и группы. В открывшемся окне выбираем необходимых пользователей или группу. Можно сразу выбрать и группу и пользователей.
Теперь настроить ограничение по скорости на скачивание. Указываем сколько нужно резервировать для этих групп и пользователей от общей скорости и непосредственно ограничение. Тоже самое указываем и для пункта загрузить.
Интерфейс и доступное время оставляем по умолчанию, применяем данное правило.
Приступим к настройке безопасности нашего UTM шлюза на платформе Kerio Control 7.4.1
Первым делом перейдем к настройке IDS/IPS системы и установим график обновлений 1 час вместо дефолтных 24 часов. Обновление совсем не «грузит» с-му, но значительно повышает шансы отловить зловреда.
Теперь установим действия, для Высокой серьезности «Записать в журнал и удалить», для Средней «Записать в журнал и удалить», для Низкой «Записать в журнал»:
Такие настройки могут существенно повлиять на «нормальную» работу «проблемных» ПК, что собственно нам и предстоит услышать через Help Desk и увидеть в Журнале Security:
Что ж, теперь переходим к разделу «Параметры безопасности» и разрешим доступ к локальной сети по MAC адрксу только перечисленным компьютерам, для этого заранее подготовим список MAC адресов, которые используються в организации.
При добавлении в сеть нового устройста, будем добавлять его МАС, это неудобно и поэтому логично поручить это службе Help Desk. Но в таком случае, им придется выделить административные права к UTM, что недопустимо т.к. рушит любую безопасность 🙂
Когда-нибудь Kerio применит RBAC в своих продуктах, а пока для гостей организации мы выделим гостевую сеть и фильтровать по МАС там не будем.
Переходим к подразделу «Разное» и увеличиваем ограничение подключений на один хост до 6000. Это может быть необходимо для всяческих приложений вроде клиент-банков и т.п.
Также убедимся что модуль антиспуфинга включен, и события записываются в журнал:
Перейдем к разделу «Политика HTTP» и первым делом включим «Remove advertisement and banners» , а для возможности отладки включим журналирование этого правила.
Теперь мы учтя возможности слива информации через соц.сети запретим их использование, для этого создадим новое правило «Social», выберем действие «Отказать», введем текст «Согласно политике информационной безопасности использование социальных сетей запрещено. » , но так как в нашем случае это не запрет, а скорее рекомендация, включим возможность для пользователей разблокировать это правило.
В качкестве URL мы не будем перечислять всяческие http://vk.com и https://facebook.com , а укажем URL, оцененный системой рейтингов Kerio Control Web Filter (и конечно же будем фильтровать в т.ч. https).
Правило у нас будет действовать для всех пользователей, в любое время, а события будут записываться в Журнал.
В реальных условиях, чаще всего бывает так что для всех пользователей создается запрещающее правило на рабочее время за исключением обеда (т.е. утром, в обед и после работы любимы вконтактик работать будет).
А для группы VIP (в которую могут входить руководители, топы и прочие привелигированные сотрудники) в любое время доступ будет запрещен, но с возможностью разблокировки.
Я оставлю без комментариев такое решение Заказчика, просто покажу как это выглядит:
Аналогичным образом можно очень гибко управлять всем Интернеит трафиком, ведь Kerio Web Filter чудо как хорош.
Запрещенные слова я не использую, оставляю настройки по-умолчанию, зато в настройках Kerio Control Web Filter разрешу пользователям сообщать о предполагаемых ошибках, ведь все системы по-своему несовершенны, и подтверждение тому блокировка Хабра «из коробки»:
Что касается фильтрации FTP, пользователи его практически не используют, поэтому я включу лишь два стандартных правила и свои писать не стану до появления инцидентов:
Перейдем к настройкам Антивируса . Первым делом установим график обновления в один час, т.к. практика говорит о том, что сигнатуры обновляются чаще 8 часов.
Т.к. защищать электронную почту на уровне шлюза мне представляеться не слишком хорошей идеей, сканирование SMTP и POP3 я отключу, также я отключу FTP т.к. практика говорит о том, что этот протокол используется чаще администраторами, а пользователи о нем уже успешно забыли.
А на вкладке «Сканирование эл. почты» я на всякий случай разрешу передачу вложений, даже если они каким-либо образом были приняты за вредоносные.
Конечно, в вопросе безопасности мониторинг важнейшее условие, поэтому настроим Kerio Star в соответствии с потребностями.
С целью снижения административной нагрузки, настроим исключения для некоторого трафика и для VIP сотрудников, к трафику которых не должны иметь доступы даже администраторы системы:
В подразделе «Доступ к системе» разрешим пользователям доступ к собственной статистике, и более того, будем автоматически отправлять им эту самую статистику еженедельно.
Для некоторого ответственного лица (в данном случае этим лицом выступаю я) имеется возможность доступа и получения ежедневных отчетов о деятельности всех сотрудников.
Также для администратора системы имеется возможность получения оповещений о таких системных событиях:
Конечно, для нормальной работы всех этих функций Kerio Control должен иметь настроенный SMTP relay , а в профиле каждого пользователя должен быть указан валидный email.
В Дополнительных опциях, в подразделе «Ограничитель P2P» можно заблокировать торреты, которые наверняка вредны в корпоративной сети.
При этом пользователь будет уведомлен по email (администратор также может быть уведомлен по email) и заблокирован на 20 мин.
UPD Существует возможность отключать Java, ActiveX и т.п. как для отдельных пользователей, так и для всей организации:
Ну и конечно же регулярно просматривать все журналы, как этот процесс сделать удобным я расскажу в следующий раз.
С помощью фаервола Kerio вы можете обеспечить безопасное соединение ПК локальной сети. Так можно, если требуется, создать доступ к интернету некоторым сотрудникам в удаленном офисе, при этом без каких-либо действий с их стороны. Для этого потребуется создать VPN-подключение в вашей локальной сети из удаленного офиса. Установите и настройте интерфейсы для подключения к интернету. На панели управления во вкладке «Политика трафика» создайте правило, разрешающее локальный трафик.
Не забудьте указать в источнике все нужный объекты. Также потребуется создать правило, которое разрешит локальный пользователям доступ в интернет. Теперь непосредственно нужно настроить NAT, так как несмотря на созданные правила доступа в интернет не будет без включения данной функции. Во вкладке «Политика трафика» выберите раздел «Трансляция» и установите флажок «Включить источник NAT». Если необходимо, укажите путь балансировки.
Для корректной настройки раздачи трафика необходимо выбрать тип подключения к Интернету.
Для каждой локальной сети настраивается наиболее подходящий. Может быть подключен постоянный доступ, при такой функции присутствует постоянной подключение к Интернету.
Вторым вариантом, может быть подключение при необходимости – программа сама установит соединение, когда это нужно.
Есть два подключения, Kerio Control при потере связи с Интернетом будет создавать переподключение на другой канал.
Имея два или несколько каналов Интернета, можно выбрать четвертый тип подключения. Нагрузка будет распределяться на все каналы равномерно.
: настройка пользователей
Надо настраивать параметры доступа пользователей, необходима базовая настройка программы. Вам необходимо указать и добавить сетевые интерфейсы, выбрать сетевые службы, доступные для пользователей. Не забудьте настроить правила для VPN-подключений и правила для служб, работающих в локальной сети. Для внести пользователей в программу, рекомендуем для начала разбить их на группы. Данную функцию можно установить во вкладке «Пользователи и группы».
В группах надо создать права доступа, например, возможность пользоваться VPN, смотреть статистику.
В сети есть домен, внести пользователей очень просто. Нужно включить функцию «Использовать базу данных пользователей домена» в меню «Пользователи». В сети домена нет, пользователей нужно добавлять вручную, задав каждому имя, адрес почты, логин и описание.
Настройка статистики в
Kerio Control показывала статистику Интернет-трафика, необходимо авторизовать пользователей.
Вам нужно мониторинг статистику пользователей, включите функцию автоматической регистрации браузером каждого пользователя.
Сотрудников в компании небольшое количество, можно для каждого компьютера настроить постоянный IP и каждого пользователя связать с ним.
: фильтрация содержимого – настройка параметров
Для настройки системы безопасности нужно перейти из вкладки «Конфигурация» в параметры «Фильтрация содержимого». В разделе «Антивирус» вы можете настроить обновление антивирусных баз и отметить с помощью флажков те протоколы, которые будут проверяться.
Для включить проверку HTTP-трафика, перейти вкладку «Политика HTTP». Активируйте «черный список» и внесите в него запрещенные слова. Используя добавленные вами ориентиры, все сайты, на которых будут встречаться данные выражения, система сразу заблокирует. Создать более гибкую систему фильтрации создайте правила с помощью подраздела «Правила URL».
: настройка правил трафика
Настройка правил трафика осуществляется через раздел «Конфигурация». Перейдите во вкладку «Политика трафика» и выберите один из трех параметров, который нужно настроить. В пункте «Правила трафика» вы создаете правила, с помощью которых и будет регулироваться доступ пользователей в Интернет, фильтрация контента и подключение из удаленного офиса.
Задайте имя правила. В графе «Источник» вы можете выбрать «Любой источник», «Доверенный источник» или перечислить конкретные источники. В графе «Назначение» нужно указать, куда будут направляться данные, в локальную сеть, VPN-туннель или Интернет. Пункт «Службы» предназначен для внесения в список всех служб и портов, с помощью которых будет реализовываться конкретное правило.
Настройка балансировки нагрузки
Контролировать сетевой трафик и рационально его распределять между наиболее важными каналами передачи необходимо настроить балансировку нагрузки. Таким образом, оптимизируется доступ в интернет пользователей. Благодаря распределению трафика на наиболее важном канале соединения для передачи важных данных всегда будет непрерывный Интернет.
Для назначения объема сетевого трафика в программе реализована поддержка QoS. Вы можете создать максимальную пропускную способность для приоритетного канала, при этом трафик с низкой степенью важности будет приостановлен. Есть возможность настроить балансировку нагрузки по нескольким соединениям.
NAT: настройка
С помощью фаервола Kerio вы можете обеспечить безопасное соединение ПК локальной сети. Создать доступ к интернету некоторым сотрудникам в удаленном офисе, при этом без каких-либо действий с их стороны. Для этого потребуется создать VPN-подключение в вашей локальной сети из удаленного офиса. Установите и настройте интерфейсы для подключения к интернету. На панели управления во вкладке «Политика трафика» создайте правило, разрешающее локальный трафик.
Не забудьте указать в источнике все нужный объекты. Также потребуется создать правило, которое разрешит локальный пользователям доступ в интернет. Нужно настроить NAT, несмотря на созданные правила доступа в интернет не будет без включения данной функции. Во вкладке «Политика трафика» выберите раздел «Трансляция» и установите флажок «Включить источник NAT». Укажите путь балансировки.
: настройка интерфейсов
Настройка интерфейсов производится непосредственно после установки программы. Уже активировали который был куплен в и выбрали тип подключения к интернету, можно заняться настройкой интерфейсов. Перейдите на консоли управления в раздел «Интерфейсы». Интерфейсы, которые подключены к интернету и доступны, программа сама обнаруживает. Все наименования будут выведены в виде списка.
При распределенной нагрузке на интерфейсы (выбор типа подключения к интернету), можно добавлять сетевые интерфейсы в неограниченном количестве. Устанавливается максимально возможная нагрузка для каждого из них.