Онлайн сервис «Найди свою улицу

Kerio control ограничение подключения по времени. Баги в продуктах Kerio Control могут привести к полной компрометации организации. Базовая настройка Kerio Control

12.11.2021

Kerio Control относится к той категории программного обеспечения , в которых широкий спектр функциональных возможностей сочетается с простотой внедрения и эксплуатации. Сегодня мы разберем, как с помощью этой программы можно организовать групповую работу сотрудников в Интернете, а также надежно защитить локальную сеть от внешних угроз.

относится к той категории продуктов, в которых широкий спектр функциональных возможностей сочетается с простотой внедрения и эксплуатации. Сегодня мы разберем, как с помощью этой программы можно организовать групповую работу сотрудников в Интернете, а также надежно защитить локальную сеть от внешних угроз.

Внедрение продукта начинается с его инсталляции на компьютере, играющем роль интернет-шлюза. Эта процедура ничем не отличается от инсталляции любого другого ПО, а поэтому останавливаться на ней мы не будем. Отметим только, что в ходе нее будут отключены некоторые службы Windows, препятствующие работе программы. После завершения установки можно переходить к настройке системы. Это можно сделать как локально, прямо на интернет-шлюзе, так и удаленно, с любого компьютера, подключенного к корпоративной сети.

В первую очередь запускаем через стандартное меню "Пуск " консоль управления. С ее помощью и осуществляется настройка рассматриваемого продукта. Для удобства можно создать соединение, которое в будущем позволит быстро подключаться к . Для этого дважды кликните на пункт "Новое соединение ", укажите в открывшемся окне продукт (Kerio Control), хост, на котором он установлен, а также имя пользователя, после чего нажмите на кнопку "Сохранить как " и введите имя подключения. После этого можно установить соединение с . Для этого дважды кликните на созданном подключении и введите свой пароль.

Базовая настройка Kerio Control

В принципе, все параметры работы можно настраивать вручную. Однако для первоначального внедрения гораздо удобнее воспользоваться специальным мастером, который запускается автоматически. На первом его шаге предлагается ознакомиться с основной информацией о системе. Также здесь есть напоминание о том, что компьютер, на котором запущен Kerio Control, должен быть подключен к локальной сети и иметь работающее подключение к Интернету.

Второй этап - выбор типа подключения к Интернету. Всего здесь доступно четыре варианта, из которых необходимо выбрать наиболее подходящий для конкретной локальной сети.

  • Постоянный доступ – интернет-шлюз имеет постоянное подключение к Интернету.
  • Дозвон по запросу - будет самостоятельно устанавливать подключение к Интернету по мере необходимости (при наличии интерфейса RAS).
  • Переподключение при отказе – при разрыве связи с Интернетом будет автоматически переключаться на другой канал (нужно два подключения к Интернету).
  • Распределение нагрузки на каналы - будет одновременно использовать несколько каналов связи, распределяя нагрузку между ними (необходимо два или более подключений к Интернету).

На третьем шаге нужно указать сетевые интерфейс или интерфейсы, подключенные к Интернету. Программа сама обнаруживает и выводит все доступные интерфейсы в виде списка. Так что администратору остается только выбрать подходящий вариант. Стоит отметить, что в первых двух типах подключений нужно устанавливать только один интерфейс, а в третьем – два. Настройка четвертого варианта несколько отличается от остальных. В нем предусмотрена возможность добавления любого количества сетевых интерфейсов, для каждого из которых необходимо установить максимально возможную нагрузку.

Четвертый этап заключается в выборе сетевых служб, которые будут доступны пользователям. В принципе, можно выбрать вариант "Без ограничений ". Однако в большинстве случаев это будет не совсем разумно. Лучше отметить "галочками" те службы, которые действительно нужны: HTTP и HTTPS для просмотра сайтов, POP3, SMTP и IMAP для работы с почтой и т.п.

Следующий шаг – настройка правил для VPN-подключений. Для этого используется всего два чекбокса. Первый определяет, какие клиенты будут использовать пользователи для подключения к серверу. Если "родные", то есть выпущенные Kerio, то чекбокс должен быть активирован. В противном случае, например, при использовании встроенных в Windows средств, его нужно отключить. Второй чекбокс определяет возможность использования функции Kerio Clientless SSL VPN (управление файлами, папками скачивание и загрузка через веб-браузер).

Шестой этап заключается в создании правил для служб, которые работают в локальной сети, но должны быть доступны и из Интернета. Если на предыдущем шаге вы включили Kerio VPN Server или технологию Kerio Clientless SSL VPN, то все необходимое для них будет настроено автоматически. Если же вам нужно обеспечить доступность других служб (корпоративного почтового сервера, FTP-сервера и пр.), то для каждой из них нажмите на кнопку "Добавить ", выберите название сервиса (будут открываться стандартные для выбранного сервиса порты) и при необходимости укажите IP-адрес.

Наконец, последний экран мастера настройки представляет собой предупреждение перед началом процесса генерации правил. Просто прочитайте его и нажмите на кнопку "Завершить ". Естественно, в будущем все созданные правила и настройки можно менять. Причем можно как повторно запустить описанный мастер, так и отредактировать параметры вручную.

В принципе, после завершения работы мастера уже находится в рабочем состоянии. Однако имеет смысл немного подкорректировать некоторые параметры. В частности, можно установить ограничения на использование полосы пропускания. Больше всего она "забивается" при передаче больших, объемных файлов. Поэтому можно ограничить скорость загрузки и/или выгрузки таких объектов. Для этого в разделе "Конфигурация " нужно открыть раздел "Ограничение полосы пропускания ", включить фильтрацию и ввести доступную для объемных файлов полосу пропускания. При необходимости можно сделать ограничение более гибким. Для этого необходимо нажать на кнопку "Дополнительно " и указать в открывшемся окне службы, адреса, а также временные интервалы действия фильтров. Кроме того, тут же можно установить размер файлов, которые считаются объемными.

Пользователи и группы

После первоначальной настройки системы можно приступать к внесению в нее пользователей. Однако удобнее сначала разбить их на группы. В этом случае в будущем ими будет легче управлять. Для создания новой группы перейдите в раздел "Пользователи и группы->Группы " и нажмите на кнопку "Добавить ". При этом будет открыт специальный мастер, состоящий из трех шагов. На первом нужно ввести имя и описание группы. На втором можно сразу добавить в нее пользователей, если, конечно, они уже созданы. На третьем этапе необходимо определить права группы: доступ к администрированию системы, возможность отключения различных правил, разрешение на использование VPN, просмотр статистики и пр.

После создания групп можно переходить к добавлению пользователей. Проще всего это сделать, если в корпоративной сети развернут домен. В этом случае достаточно перейти в раздел "Пользователи и группы->Пользователи ", открыть вкладку Active Directory, включить чекбокс "Использовать базу данных пользователей домена " и ввести логин и пароль учетной записи, имеющей право на доступ к этой базе. При этом будет использовать учетные записи домена, что, конечно же, очень удобно.

В противном случае нужно будет ввести пользователей вручную. Для этого предусмотрена первая вкладка рассматриваемого раздела. Создание учетной записи состоит из трех шагов. На первом необходимо задать логин, имя, описание, адрес электронной почты, а также параметры аутентификации: логин и пароль или данные из Active Directory. На втором шаге можно добавить пользователя в одну или несколько групп. На третьем этапе есть возможность автоматической регистрации учетной записи для доступа к межсетевому экрану и определенным IP-адресам.

Настраиваем систему безопасности

В реализованы широкие возможности по обеспечению безопасности корпоративной сети. В принципе, защищаться от внешних угроз мы уже начали, когда настроили работу файрвола. Кроме того, в рассматриваемом продукте реализована система предотвращения вторжений. Она по умолчанию включена и настроена на оптимальную работу. Так что ее можно не трогать.

Следующий шаг – антивирус. Тут стоит отметить, что он есть не во всех версиях программы. Для использования защиты от вредоносного ПО должен быть приобретен со встроенным антивирусом, либо на интернет-шлюзе должен быть установлен внешний модуль антивируса. Для включения антивирусной защиты необходимо открыть раздел "Конфигурация->Фильтрация содержимого->Антивирус ". В нем нужно активировать используемый модуль и отметить с помощью чекбоксов проверяемые протоколы (рекомендуется включить все). Если у вас используется встроенный антивирус, то необходимо включить обновление антивирусных баз и установить интервал выполнения этой процедуры.

Далее необходимо настроить систему фильтрации HTTP-трафика. Сделать это можно в разделе "Конфигурация->Фильтрация содержимого->Политика HTTP ". Самым простым вариантом фильтрации является безусловная блокировка сайтов, на которых встречаются слова из "черного" списка. Для его включения перейдите на вкладку "Запрещенные слова " и заполните список выражений. Однако в есть и более гибкая и надежная система фильтрации. Она основана на правилах, в которых описываются условия блокировки доступа пользователей к тем или иным сайтам.

Для создания нового правила перейдите на вкладку "Правила URL ", кликните правой кнопкой мыши на поле и выберите в контекстном меню пункт "Добавить ". Окно добавления правила состоит из трех вкладок. На первой задаются условия, при которых оно будет срабатывать. Сначала нужно выбрать, на кого распространяется правило: на всех пользователей или только на конкретные учетные записи. После этого необходимо задать критерий соответствия URL запрашиваемого сайта. Для этого может использоваться строка, которая входит в адрес, группа адресов или рейтинг веб-проекта в системе Kerio Web Filter (по сути, категория, к которой относится сайт). В завершении стоит указать реакцию системы на выполнение условий – разрешить или запретить доступ к сайту.

На второй вкладке можно указать интервал, в течение которого будет действовать правило (по умолчанию всегда), а также группу IP-адресов, на которые оно распространяется (по умолчанию на все). Для этого необходимо просто выбрать соответствующие пункты в выпадающих списках предварительно заданных значений. Если временные интервалы и группы IP-адресов еще не задавались, то с помощью кнопок "Правка" можно открыть нужный редактор и добавить их. Также на данной вкладке можно задать действие программы в случае блокировки сайта. Это можно быть выдача страницы с заданным текстом отказа, отображение пустой страницы или же перенаправление пользователя на заданный адрес (например, на корпоративный сайт).

В том случае, если в корпоративной сети используются беспроводные технологии, имеет смысл включить фильтр по MAC-адресу. Это позволит существенно снизить риск несанкционированного подключения различных устройств. Для реализации данной задачи откройте раздел "Конфигурация->Политика трафика->Параметры безопасности ". В нем активируйте чекбокс "Фильтр MAC-адресов включен ", затем выберите сетевой интерфейс, на который он будет распространяться, переключите список MAC-адресов в режим "Разрешить доступ к сети только перечисленным компьютерам " и заполните его, внеся данные беспроводных устройств, принадлежащих компании.




















Поводим итоги

Итак, как мы видим, несмотря на широкие функциональные возможности , организовать с его помощью групповую работу пользователей корпоративной сети в Интернете достаточно просто. Понятно, что мы рассмотрели только базовую настройку этого продукта.

Добрый день уважаемые читатели и гости блога сайт, в любой организации всегда находятся люди, кто не хочет работать и кто использует корпоративные ресурсы не по назначению, приведу простой пример у вас есть небольшой офис, скажем так сотрудников 50 и интернет канал с пропускной способностью 20 мегабит и месячным лимитом трафика в 50 гб, для обычного использования интернета и построения бизнес работы офису этого хватает, но бывают такие люди, кто может захотеть скачать себе фильм на вечер или новый альбом музыки, и чаще всего они используют для этого террент трекеры, давайте я покажу как в Kerio Control 8, можно запретить p2p трафик и поставить ежедневный лимит для сотрудника по трафику.

Блокируем p2p трафик в Kerio Control 8

И так у вас есть построенная локальная сеть в которой появился злостный качальщик, думаю вы его выявите сразу из логов статистики, отфильтруете по столбцам. По мимо выговора, который последует со стороны руководства, вы как системный администратор должны предотвратить дальнейшие попытки скачать контент через p2p трафик.

У вас два варианта:

  • Включить полную блокировку p2p трафика
  • Установить дневной лимит на каждого пользователя

Начнем с блокировки пирингового трафика, переходим в фильтр содержимого и создаем новое правило. Нажимаем добавить и выбираем "Приложения и категории web-содержимого"

Находите раздел загрузки и отмечаете галкой пиринговая сеть.

В действии правила ставите удалить.

По идее для полной блокировки p2p трафика, достаточно созданного правила, но я вам еще советую выставлять квоты пользователям, если у вас есть лимит у интернета, чтобы приучить их использовать его исключительно по рабочим вопросам. Для этого перейдите на вкладку пользователи и в свойствах любого на вкладке "Квота" укажите дневной лимит в мегабайтах.

Неправильное управление полосой пропускания в офисной сети (или отсутствие такого управления) приводит к ощутимым перебоям: интернет работает медленно, снижается качество голосовой и видеосвязи и т. д. поможет правильно расставить приоритеты и гарантировать достаточную пропускную способность важному трафику.

О возможностях Kerio Control

Программное решение Kerio Control относится к продуктам класса UTM (Unified Threat Management) и обеспечивает комплектную защиту рабочих станций и серверов при работе в интернете. Решение ориентировано на корпоративные сети средних размеров и ведет родословную от хорошо известного продукта WinRoute. Слова «комплексная защита» означают, что Kerio Control состоит из множества модулей, отвечающих за разные аспекты безопасности, а именно:

  • межсетевой экран;
  • маршрутизатор;
  • система обнаружения и предотвращения вторжений (IPS/IDS);
  • антивирусная защита трафика;
  • контент-фильтрация трафика;
  • мониторинг и анализ активности пользователей в интернете;
  • два VPN сервера - один на базе собственного протокола и второй на базе открытого стандарта IPSec VPN;
  • управление полосой пропускания и поддержка QoS.

В статье мы поговорим о последнем пункте в этом перечне, но далеко не последнем по важности.

Проблемы оптимизации доступа в интернет

Рассмотрим несколько типовых сценариев.

Первый: руководителю нужен неограниченный доступ к полосе пропускания, лучше, чем у других. Кстати, необязательно руководителю - гарантированно широкая полоса потребуется серверу, который реплицирует базу с удаленным дата-центром.

Второй: менеджеры жалуются на плохую слышимость и обрывы звонков. Или платежный терминал принимает платеж по карте с третьего раза, потому что не может связаться с банком.

Третий: неожиданно упала скорость у всего офиса. Пора проверить, кто качает на работе торренты.

Все эти сценарии требуют управлять полосой пропускания, а именно определять приоритеты и обнаруживать аномальные явления. Задачи управления будут выглядеть примерно так:

  • для VoIP требуется пропускная способность 10 мбит/сек, не меньше, в любое время;
  • потоковые данные не должны потреблять больше 100 кбит/сек;
  • гостевой трафик надо отделять от рабочего и не переключать на резервный канал в случае сбоя основного;
  • привилегированный трафик важней обычного в рабочие часы.

Чтобы формализовать каждую из этих задач, нужно определить, для чего и по каким критериям мы расставляем приоритеты.

Типы трафика. На первом месте онлайн-видеоконференции, телефония, передача видеосигнала, VPN, здесь полоса пропускания очень важна. На втором - обычный доступ к сайтам, файлам, почта. Самый низкий приоритет можно установить для доступа к развлекательным сайтам, шоппингу и т. д.

Время доступа. Разные приоритеты можно устанавливать для рабочих часов и нерабочих. Можно дать высокий приоритет серверу для периода репликации данных и ограничить остальных.

Правило = формализованное ограничение

Когда перечисленные критерии определены, можно перейти к правилам ограничения полосы. Поясним на примере решения Kerio для транспорта, используемого, например, на судах. Если на судне есть спутниковый канал с дорогим трафиком и узкой полосой и есть широкий канал, доступный в портах, понятно как надо расставить приоритеты. Например, так:

Собственно, это уже вполне правило в Kerio Control.

Теперь вернемся с корабля в офис и посмотрим на пример с IP-телефонией. Если полоса перегружена, это снижает качество голосовой связи, а значит приоритеты расставим так:

И это тоже три правила в Kerio Control.

Аналогично через правила решаются задачи гарантированно широкой полосы для руководства и оборудования, ограничений на гостевые подключения и т.д.

Управление полосой пропускания в Kerio Control

На панели управления Kerio Control сверху можно видеть перечень доступных интернет-интерфейсов. Например, быстрый канал и медленный. Под ним - локальные сети, например, основная и гостевая.

Теперь предстоит сопоставить локальным сетям интернет-интерфейсы, что и проделаем на вкладке «Правила трафика». Например, гостевой сети отводим свой интерфейс (самый дешевый), и гости не забивают основную офисную сеть. Здесь же настраиваем ограничения по типам трафика, например, только web-доступ для гостей и любой трафик для своих.

А теперь, когда маршрутизация интерфейсов настроена, пора расставить приоритеты по использованию полосы пропускания. Идем на вкладку Управление полосой пропускания и QoS, создаем правило для VIP-пользователей, добавляем в него заранее созданные группы Владельцы (те самые VIP-пользователи) и Оборудование (которому обязательно нужно хорошее подключение), и устанавливаем, например, резервирование 20% полосы.

Важный момент - эти 20% считаются от полосы, указанной в настройках! Здесь важно поставить не заявленную провайдером цифру, а фактическую пропускную способность.

Теперь создаем правило для критичного трафика и добавляем в него типы трафика: SIP VoIP, VPN, мгновенные сообщения и удаленный доступ.

И зарезервируем ему, например, по 3 мбит на скачивание и загрузку.

Потом создадим правило для важного трафика и включим в него такие типы трафика, как просмотр веб-страниц, почту, мультимедиа и FTP. И поставим ему ограничение на потребление не более 50% полосы, причем только в рабочие часы.

А теперь создадим правило для вредного трафика. Если при выборе типа трафика нажать в меню «Подключение, удовлетворяющее правилу содержимого», можно воспользоваться контент фильтром и выбрать соцсети, магазины, трафик, игры и т. д. Также можно ограничить P2P. Поставить им суровое ограничение 256 кбит и пусть качают.

Теперь посмотрим на гостевых пользователей. На вкладке Active Hosts нетрудно посмотреть, что происходит прямо сейчас. Вполне вероятно, что вы обнаружите гостя, накачавшего уже гигабайт и продолжающего с приличной скоростью пользоваться вашим интернетом.

Поэтому делаем правило для гостей. Например, не превышать 5% от полосы.

И еще. Как вы помните, гостей мы направляем на определенный сетевой интерфейс. Правило ограничения полосы можно настроить либо так, чтобы ограничение касалось только одного конкретного сетевого интерфейса, либо всех сетевых интерфейсов. В последнем случае, если мы поменяем интерфейс, привязанный к гостевой сети, правило продолжит действовать.

И важный момент. Правила работают в порядке расположения в списке, сверху вниз. Поэтому правила, которые отсеивают много запросов на доступ, имеет смысл ставить в начале.

В подробностях все это описано в статьях на knowledge base компании Kerio.

  • Setting the speed of the link (KB 1373)
  • Configuring bandwidth management (KB 1334)
  • Configuring policy routing (KB 1314)
  • Monitoring active hosts (KB 1593)

До и после оптимизации

До. Весь трафик проходил на равных, без приоритетов. В случае «пробки» страдает весь трафик, в том числе критически важный.

После. Важному трафику отдан приоритет. Механизмы ограничения и резервирование настраиваются по типу пользователя, типу трафика, времени.

Вместо заключения

Мы убедились, что разграничить доступ к полосе пропускания с помощью настраиваемых правил совсем несложно. Именно простоту использования своих продуктов компания Kerio считает своим важнейшим преимуществом и сохраняет на протяжении лет, несмотря на их возрастающую сложность и функциональность.

Об изучении продуктов компании Kerio Technologies, которая выпускает различные защитные программные решения, для малого и среднего бизнеса. Согласно официальному сайту компании, ее продукцией пользуются более 60 000 компаний по всему миру.

Специалисты SEC Consult обнаружили множество уязвимостей в Kerio Control, UTM-решении компании, которое объединяет в себе функции брандмауэра, маршрутизатора, IDS/IPS, шлюзового антивируса, VPN и так далее. Исследователи описали два сценария атак, которые позволяют злоумышленнику не только перехватить контроль над Kerio Control, но и над корпоративной сетью, которую продукт должен защищать. Хотя разработчики уже выпустили исправления для большей части обнаруженных багов, исследователи отмечают, что реализовать один из сценариев атак по-прежнему возможно.

По словам исследователей, решения Kerio Control уязвимы в силу небезопасного использования PHP функции unserialize, а также из-за использования старой версии PHP (5.2.13), в которой ранее уже были обнаружены серьезные проблемы. Также эксперты обнаружили ряд уязвимых PHP-скриптов, которые позволяют осуществить XSS и CSRF атаки и обход защиты ASLR. Кроме того, по словам SEC Consult, веб-сервер работает с root-привилегиями и не имеет защиты от брутфорс-атак и нарушения целостности информации в памяти.

Схема первого сценария атаки

Первый описанный экспертами сценарий атаки подразумевает эксплуатацию сразу нескольких уязвимостей. Атакующему понадобится применить социальную инженерию и заманить жертву на вредоносный сайт, на котором будет размещен скрипт, позволяющий выяснить внутренний IP-адрес Kerio Control. Затем злоумышленник должен эксплуатировать баг CSRF. Если же жертва не залогинена в панели управления Kerio Control, атакующий может применить обычный брутфорс для подбора учетных данных. Для этого понадобится уязвимость XSS, которая позволит обойти защиту SOP. После этого можно переходить к обходу ASLR и воспользоваться старым багом в PHP (CVE-2014-3515), чтобы запустить шелл с root-правами. По сути, после этого атакующий получает полный доступ к сети организации. Видеоролик ниже демонстрирует атаку в действии.

Второй сценарий атаки включает в себя эксплуатацию RCE-уязвимости , которая связана с функцией обновления Kerio Control и была обнаружена более года назад одним из сотрудников SEC Consult. Эксперты предлагают использовать этот баг, допускающий удаленное исполнение произвольного кода, в сочетании с XSS-уязвимостью, которая позволяет расширить функциональность атаки.

Специалистов Kerio Technologies уведомили о проблемах еще в конце августа 2016 года. На данный момент компания выпустила Kerio Control 9.1.3 , где большинство уязвимостей устранены. Однако компания решила оставить веб-серверу root-привилегии, а также без исправления пока остается RCE-баг, связанный с функцией обновления.

Приступим к настройке безопасности нашего UTM шлюза на платформе Kerio Control 7.4.1

Первым делом перейдем к настройке IDS/IPS системы и установим график обновлений 1 час вместо дефолтных 24 часов. Обновление совсем не «грузит» с-му, но значительно повышает шансы отловить зловреда.

Теперь установим действия, для Высокой серьезности «Записать в журнал и удалить», для Средней «Записать в журнал и удалить», для Низкой «Записать в журнал»:

Такие настройки могут существенно повлиять на «нормальную» работу «проблемных» ПК, что собственно нам и предстоит услышать через Help Desk и увидеть в Журнале Security:

Что ж, теперь переходим к разделу «Параметры безопасности» и разрешим доступ к локальной сети по MAC адрксу только перечисленным компьютерам, для этого заранее подготовим список MAC адресов, которые используються в организации.

При добавлении в сеть нового устройста, будем добавлять его МАС, это неудобно и поэтому логично поручить это службе Help Desk. Но в таком случае, им придется выделить административные права к UTM, что недопустимо т.к. рушит любую безопасность 🙂

Когда-нибудь Kerio применит RBAC в своих продуктах, а пока для гостей организации мы выделим гостевую сеть и фильтровать по МАС там не будем.

Переходим к подразделу «Разное» и увеличиваем ограничение подключений на один хост до 6000. Это может быть необходимо для всяческих приложений вроде клиент-банков и т.п.

Также убедимся что модуль антиспуфинга включен, и события записываются в журнал:

Перейдем к разделу «Политика HTTP» и первым делом включим «Remove advertisement and banners» , а для возможности отладки включим журналирование этого правила.

Теперь мы учтя возможности слива информации через соц.сети запретим их использование, для этого создадим новое правило «Social», выберем действие «Отказать», введем текст «Согласно политике информационной безопасности использование социальных сетей запрещено. » , но так как в нашем случае это не запрет, а скорее рекомендация, включим возможность для пользователей разблокировать это правило.

В качкестве URL мы не будем перечислять всяческие http://vk.com и https://facebook.com , а укажем URL, оцененный системой рейтингов Kerio Control Web Filter (и конечно же будем фильтровать в т.ч. https).

Правило у нас будет действовать для всех пользователей, в любое время, а события будут записываться в Журнал.

В реальных условиях, чаще всего бывает так что для всех пользователей создается запрещающее правило на рабочее время за исключением обеда (т.е. утром, в обед и после работы любимы вконтактик работать будет).

А для группы VIP (в которую могут входить руководители, топы и прочие привелигированные сотрудники) в любое время доступ будет запрещен, но с возможностью разблокировки.

Я оставлю без комментариев такое решение Заказчика, просто покажу как это выглядит:

Аналогичным образом можно очень гибко управлять всем Интернеит трафиком, ведь Kerio Web Filter чудо как хорош.

Запрещенные слова я не использую, оставляю настройки по-умолчанию, зато в настройках Kerio Control Web Filter разрешу пользователям сообщать о предполагаемых ошибках, ведь все системы по-своему несовершенны, и подтверждение тому блокировка Хабра «из коробки»:

Что касается фильтрации FTP, пользователи его практически не используют, поэтому я включу лишь два стандартных правила и свои писать не стану до появления инцидентов:

Перейдем к настройкам Антивируса . Первым делом установим график обновления в один час, т.к. практика говорит о том, что сигнатуры обновляются чаще 8 часов.

Т.к. защищать электронную почту на уровне шлюза мне представляеться не слишком хорошей идеей, сканирование SMTP и POP3 я отключу, также я отключу FTP т.к. практика говорит о том, что этот протокол используется чаще администраторами, а пользователи о нем уже успешно забыли.

А на вкладке «Сканирование эл. почты» я на всякий случай разрешу передачу вложений, даже если они каким-либо образом были приняты за вредоносные.

Конечно, в вопросе безопасности мониторинг важнейшее условие, поэтому настроим Kerio Star в соответствии с потребностями.

С целью снижения административной нагрузки, настроим исключения для некоторого трафика и для VIP сотрудников, к трафику которых не должны иметь доступы даже администраторы системы:

В подразделе «Доступ к системе» разрешим пользователям доступ к собственной статистике, и более того, будем автоматически отправлять им эту самую статистику еженедельно.

Для некоторого ответственного лица (в данном случае этим лицом выступаю я) имеется возможность доступа и получения ежедневных отчетов о деятельности всех сотрудников.

Также для администратора системы имеется возможность получения оповещений о таких системных событиях:

Конечно, для нормальной работы всех этих функций Kerio Control должен иметь настроенный SMTP relay , а в профиле каждого пользователя должен быть указан валидный email.

В Дополнительных опциях, в подразделе «Ограничитель P2P» можно заблокировать торреты, которые наверняка вредны в корпоративной сети.

При этом пользователь будет уведомлен по email (администратор также может быть уведомлен по email) и заблокирован на 20 мин.

UPD Существует возможность отключать Java, ActiveX и т.п. как для отдельных пользователей, так и для всей организации:

Ну и конечно же регулярно просматривать все журналы, как этот процесс сделать удобным я расскажу в следующий раз.