Эта страница заблокирована системой межсетевого экрана kerio control
Для успешной атаки злоумышленникам нужно всего лишь заманить сотрудников предприятия на вредоносную web-страницу.
Эксперты компании SEC Consult обнаружили множественные уязвимости в программном комплексе Kerio Control, позволяющие злоумышленникам получить доступ к межсетевому экрану и внутренней сети целевой компании. Для этого атакующим нужно всего лишь заставить сотрудников предприятия перейти по вредоносной ссылке.
Успешная атака предполагает совместную эксплуатацию проблем и может осуществляться двумя методами. Первый способ опирается на использование социальной инженерии с целью заставить сотрудника компании посетить вредоносную web-страницу. На данной странице содержится скрипт JavaScript, который определяет внутренний IP-адрес компьютера, а затем отправляет IP-адрес межсетевого экрана на другой вредоносный модуль. В свою очередь, второй модуль при помощи метода брутфорс пытается получить учетные данные панели администратора Kerio Control. Используя компьютер жертвы, атакующий при помощи других эксплоитов загружает шелл-код, позволяющий ему получить удаленный доступ к межсетевому экрану.
Второй метод атаки предполагает эксплуатацию уязвимостей в механизме автоматического обновления Kerio Control. Первая позволяет удаленно выполнить код, вторая – осуществить XSS-атаку.
В общей сложности сотрудники SEC Consult обнаружили 9 уязвимостей в решениях Kerio Control, позволяющих удаленно выполнить код, в том числе с правами администратора, обойти CSRF-защиту, осуществить XSS-атаку, раскрыть важные данные и обойти защиту ASLR, получить доступ к учетным данным при помощи метода брутфорс. Проблемы затрагивают версии Kerio Control 9.1.0 (сборка 1087) и 9.1.1 (сборка 1324). Производитель уже устранил вышеуказанные уязвимости с выпуском корректирующего обновления 9.1.3. Что интересно, в исправленной версии продукта исследователи обнаружили еще одну XSS-уязвимость. Когда будет доступен патч для данного релиза, не сообщается.
Специалисты SEC Consult опубликовали видеоролик с демонстрацией процесса эксплуатации уязвимостей.
Kerio Control безопасного доступа в Интернет, защиты сетей и контроля трафика.
Межсетевой экран гарантирует защищенный канал.
Программа имеет встроенный прокси-сервер с дополнительный средства антивирусной защиты.
Kerio Control становится одним из лучших вариантов для обеспечения безопасности локальных сетей.
У нас на Kerio Control цена одна из лучших на рынке программного обеспечения в подписке GFI Unlimited.
Для корректной настройки раздачи трафика необходимо выбрать тип подключения к Интернету.
Для каждой локальной сети настраивается наиболее подходящий. Может быть подключен постоянный доступ, при такой функции присутствует постоянной подключение к Интернету.
Вторым вариантом, может быть подключение при необходимости – программа сама установит соединение, когда это нужно.
Есть два подключения, Kerio Control при потере связи с Интернетом будет создавать переподключение на другой канал.
Имея два или несколько каналов Интернета, можно выбрать четвертый тип подключения. Нагрузка будет распределяться на все каналы равномерно.
Kerio Control: настройка пользователей
Надо настраивать параметры доступа пользователей, необходима базовая настройка программы. Вам необходимо указать и добавить сетевые интерфейсы, выбрать сетевые службы, доступные для пользователей. Не забудьте настроить правила для VPN-подключений и правила для служб, работающих в локальной сети. Для внести пользователей в программу, рекомендуем для начала разбить их на группы. Данную функцию можно установить во вкладке «Пользователи и группы».
В группах надо создать права доступа, например, возможность пользоваться VPN, смотреть статистику.
В сети есть домен, внести пользователей очень просто. Нужно включить функцию «Использовать базу данных пользователей домена» в меню «Пользователи». В сети домена нет, пользователей нужно добавлять вручную, задав каждому имя, адрес почты, логин и описание.
Настройка статистики в Kerio Control
Kerio Control показывала статистику Интернет-трафика, необходимо авторизовать пользователей.
Вам нужно мониторинг статистику пользователей, включите функцию автоматической регистрации браузером каждого пользователя.
Сотрудников в компании небольшое количество, можно для каждого компьютера настроить постоянный IP и каждого пользователя связать с ним.
Не забудьте перед этим авторизовать всех пользователей вручную или через базу данных пользователей домена. Для каждого ПК трафик будет отображать в Kerio Control за каждым пользователем.
Kerio Control: фильтрация содержимого – настройка параметров
Для настройки системы безопасности нужно перейти из вкладки «Конфигурация» в параметры «Фильтрация содержимого». В разделе «Антивирус» вы можете настроить обновление антивирусных баз и отметить с помощью флажков те протоколы, которые будут проверяться.
Kerio Control: настройка правил трафика
Настройка правил трафика осуществляется через раздел «Конфигурация». Перейдите во вкладку «Политика трафика» и выберите один из трех параметров, который нужно настроить. В пункте «Правила трафика» вы создаете правила, с помощью которых и будет регулироваться доступ пользователей в Интернет, фильтрация контента и подключение из удаленного офиса.
Задайте имя правила. В графе «Источник» вы можете выбрать «Любой источник», «Доверенный источник» или перечислить конкретные источники. В графе «Назначение» нужно указать, куда будут направляться данные, в локальную сеть, VPN-туннель или Интернет. Пункт «Службы» предназначен для внесения в список всех служб и портов, с помощью которых будет реализовываться конкретное правило.
Настройка балансировки нагрузки Kerio Control
Контролировать сетевой трафик и рационально его распределять между наиболее важными каналами передачи необходимо настроить балансировку нагрузки. Таким образом, оптимизируется доступ в интернет пользователей. Благодаря распределению трафика на наиболее важном канале соединения для передачи важных данных всегда будет непрерывный Интернет.
Для назначения объема сетевого трафика в программе реализована поддержка QoS. Вы можете создать максимальную пропускную способность для приоритетного канала, при этом трафик с низкой степенью важности будет приостановлен. Есть возможность настроить балансировку нагрузки по нескольким соединениям.
Kerio Control NAT: настройка
С помощью фаервола Kerio вы можете обеспечить безопасное соединение ПК локальной сети. Создать доступ к интернету некоторым сотрудникам в удаленном офисе, при этом без каких-либо действий с их стороны. Для этого потребуется создать VPN-подключение в вашей локальной сети из удаленного офиса. Установите и настройте интерфейсы для подключения к интернету. На панели управления во вкладке «Политика трафика» создайте правило, разрешающее локальный трафик.
Не забудьте указать в источнике все нужный объекты. Также потребуется создать правило, которое разрешит локальный пользователям доступ в интернет. Нужно настроить NAT, несмотря на созданные правила доступа в интернет не будет без включения данной функции. Во вкладке «Политика трафика» выберите раздел «Трансляция» и установите флажок «Включить источник NAT». Укажите путь балансировки.
Kerio Control: настройка интерфейсов
Настройка интерфейсов производится непосредственно после установки программы. Уже активировали лицензию Kerio Control который был куплен в подписке GFI Unlimited и выбрали тип подключения к интернету, можно заняться настройкой интерфейсов. Перейдите на консоли управления в раздел «Интерфейсы». Интерфейсы, которые подключены к интернету и доступны, программа сама обнаруживает. Все наименования будут выведены в виде списка.
При распределенной нагрузке на интерфейсы (выбор типа подключения к интернету), можно добавлять сетевые интерфейсы в неограниченном количестве. Устанавливается максимально возможная нагрузка для каждого из них.
Видео
Система обнаружения и предотвращения вторжений в Kerio Control
Kerio Control - унифицированное решение управления угрозами, включает в себя технологию обнаружения и предотвращения вторжений, основанную на сигнатруном анализе пакетов, которая прозрачно контролирует входящие и исходящие соединения для выявления подозрительных действий. В зависимости от уровня потенциальной угрозы, Kerio Control может совершать различные действия, например записать информацию об угрозе в лог-файл, если угроза незначительна, и/или закрыть соединение, если действия будут распознаны как угроза высокого уровня. Действия для различного уровня угроз могут настраиваться в консоли администрирования. База сигнатур, при условии действующей подписки, постоянно обновляется, что обеспечивает защиту от новых видов угроз.
Система предназначена для защиты серверов расположенных за брандмауэром от несанкционированных подключений, это как правило, ботнет атака, или попытка взлома сети для несанкционированного доступа к коммерческой информации. Система обнаружения и предотвращения вторжений Kerio Control также предназначена для защиты пользователей сети от случайной загрузки вредоносного контента или вредоносных программы, для смягчения последствий подобных действий.
Во многих системах серверы находятся за брандмауэром, и подключиться можно только к опубликованными сервисам. В зависимости от типа опубликованного сервиса, например, SQL сервер, брандмауэр может не иметь возможность исследовать пакеты, которыми обмениваются клиент и сервер. Брандмауэр в первую очередь отвечает за конфиденциальность информации, не допуская несанкционированных, например сиспользованием бєкдор программ,подключений к сервисам сервера, за то что каждое конкретное соединение не несет в себе команды, использующие потенциальные узвимости в серверном программном обеспечении
Внедрение системы обнаружения и предотвращения вторжений Kerio Control
Поддержка серверного программного обеспечения в актуальном состоянии имеет решающее значение для защиты серверных приложений от этого вида угроз. Разработчики регулярно выпускают обновления для своего программное обеспечение для исправления уязвимостей. Однако, в некоторых случаях, нет возможности обновиться до последней версии, или разработчик еще не выпустил патч для исправления уязвимости. Внедренная система предотвращения вторжений Kerio Control обеспечивает дополнительный уровень безопасности для защиты от таких угроз, как червь Red Code.
Система предотвращения вторжений Kerio Control поддерживает локальную базу данных сигнатур, которые она использует для выявления известных типов атак. Когда система предотвращения вторжений Kerio Control не может анализировать соединение между клиентом и сервером, она может подписывать пакеты такого соединения, подписанные таким образом соединения считаются безопасными. Этот метод является весьма действенным в борьбе с червями и других серверными атаками.
Есть и другие типы атак на сервера - подбор пароля или брутфорс, распределенный отказ в обслуживании, сканирование портов или перехват сессии. Эти виды атак обычно связаны с попытками получить информацию о серверном программном обеспечении, например, версию и разработчика. С помощью этой информации, злоумышленник может исследовать уязвимости в серверном ПО и пытаться получить несанкционированный доступ к системе или выполнить вредоносные действия. Во всех этих случаях Kerio Control сообщит администратору об этой подозрительной активности, а также заблокиует соединение, если оно может принести вред защищенным Kerio Control серверам.
Смягчение последствий от троянских программ, червей, шпионских программ и другого вредоносного ПО
Помимо использования имеющихся уязвимостей есть и иные способы для получения контроля над операционной системой. Один из наиболее распространенных подходов, используемых злоумышленником является распространение вредоносного кода с помощью бесплатного программного обеспечения. Пользователь сам того не подозревая, устанавливает вредоносное ПО, устанавливая другое, вполне безобидное приложение, или просто зайдя на сайт, который запускает на стороне клиента скрипт для установки вредоносного ПО. Эти приложения могут не нести вред пользователю пользователю, но может быть запрограммирована на получение конфиденциальной корпоративной информации, найденной на зараженном компьютере. Они также могут снизить производительность, или вызывать зависания компьютера. Так, как эти программы могут оказаться законно установленными, зачастую, они не могут быть идентифицированы антивирусным программным обеспечением.
Система предотвращения вторжений Kerio Control играет важную роль в определении систем, инфицированных этими типами приложений. Kerio Control может определить, что пользователь случайно пытается загрузить нежелательные приложения и закрыть соединение, предотвращая загрузку файла на компьютер конечного пользователя. В случае, если в сеть попадает ранее зараженный компьютер, Kerio Control может идентифицировать и блокировать активность вредоносной программы. Система предотвращения вторжений в Kerio Control таким образом работает в тандеме с межсетевым экраном и фильтрацией содержимого, чтобы предотвратить распространение вредоносных программ в сети.
Архитектура
Kerio Controlпредлагает три различных действия, в зависимости от уровня опасности потенциальной атаки:
- Низкий уровень опасности: (без действия)
- Средний уровень опасности: (занесение в журнал)
- Высокий уровень опасности: (Журнал и закрытие соединения)
Это настройки по умолчанию, эти действия могу быть изменены в соответствии с потребностями организации. Определение уровня основано на квалификации включенную в правила квалификацию. Реальная атака на сеть наиболее вероятна при срабатывании правил, относящихся к высокому уровню опасности. Примером может служить обнаружение сетевой активности от троянских приложений. К категории среднего уровня относятся подозрительные и потенциально опасные действия, но это могут быть и вполне “законные” действя, например, соединение через стандартный порт, используя нестандартный протокол. Низким уровнем опасности принято считать подозрительную деятельность, которая не несет в себе непосредственный вред, например, проверка сетевого порта.
Черные списки IP
В дополнение к базе данных правил, Kerio Control ведет базу данных IP-адресов, для которых явно запрещен любой тип доступа через брендмауэр. IP-адреса, из этой базы данных, известны как источник той или иной формы атаки. Зачастую эти IP-адреса приндлежали легальным компаниям, но многократно использовались для незаконных видов деятельности, таких как спам рассылки. Эта база данных в IP-адреса берется из различных источников Интернета, и подерживается такими организациями, как Dshield и Spamhaus. Эти списки хранятся локально, и обновляются автоматически.
Ложные срабатывания и исключения
Технология обнаружения вторжений не является стопроцентно верной, как и Анти-Спам. Вполне нормально, если вы столкнетесь с небольшой долей ложных срабатываний. Другими словами, безопасная активность может быть случайно принята за атаку и быть заблокирована. В связи с этим необходимо обеспечить простой способ добавлять исключения в базу данных сигнатур.
- Просмотр журнала безопасности. Любая информация блокировании соединения,заносится в журнал "Безопасность" Kerio Control . В журнале сохраняется информация о каждом событии, в том числе и номер правила, которое инициировало блокировку. Если пользователь сообщает о проблеме с сетевыми соединениями в конкретных приложениях, использующих разрешенные протоколы, стоит просмотреть журнал безопасности обнаружения потенциально ошибочного вторжения.
- Убедитесь, что приложение не было заражено. Если соединение от приложения заблокировано Kerio Control, необходимо убедиться, что в код приложения не были внесены неправомерные изменения.
- Создать исключения. Если всетаки необходимо внести исключение в базу сигнатур, ID сигнатуры берется из событий добавляется в "Игнорируется Подписи". В расширенных настройках IPS Kerio Control.
Также как и вирусы, новые угрозы появляются ежедневно. В связи с этим необходимо обеспечить, чтобы база данных сигнатур регулярно обновлялась. Kerio Control проверяет наличие обновлений один раз в день. Интервал проверок обновлений может быть изменен.
Встроенная в Kerio Control глубокой проверка пакетов работает как дополнительный уровень защиты, прозрачно мониторя конкретные протоколы. Kerio Control также фильтрует вредоносный контент, который может быть не распознан базой данных сигнатур. В дополнение к черным спискам и базам сигнатур, Kerio Control объединяет ряд автоматических функций, расширяя возможности предотвращения вторжений:
Система предотвращения вторжений Kerio Control это сложная технология, основанная на оюширном наборе различных правил. Каждая сеть уникальна, и так называемые "вторжение" может быть предметом для интерпретации. Система предотвращения вторжений, встроенная в Kerio Control предназначена для обнаружения и блокирования атак с максимально возможной точностью, сохраняя при этом оптимальный уровень производительности сети.
После установки space 9 Kerio VPN Client не может установить соединение:
"Невозможно организовать туннелирование данных (возможно, заблокирован трафик UDP)".
Причём отключение брандмауэра не помогает. Как и установка всех возможных разрешений для Kerio.
Только после деинсталяции drweb 9 - нормальная работа VPN клиента восстанавливается.
Keep yourself alive
Попробовать добавить клиент в исключения SpiderGate. Гейт сейчас перехватывает весь трафик, и непонятный ему просто не пропускает.
Попробовать добавить клиент в исключения SpiderGate. Гейт сейчас перехватывает весь трафик, и непонятный ему просто не пропускает.
Так я отключаю его полностью, вместе с брандмауэром - всё равно блокировка.
Сношу web - работает.
Попробовать добавить клиент в исключения SpiderGate. Гейт сейчас перехватывает весь трафик, и непонятный ему просто не пропускает.
Так я отключаю его полностью, вместе с брандмауэром - всё равно блокировка.
Так ведь Вам и не советовали его отключать, Вам советовали добавить клиент в исключения SpiderGate.
--
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777
Keep yourself alive
menson, отключение не поможет.
menson, отключение не поможет.
т.е. после отключения компонента он продолжает работать?
menson, отключение не поможет.
т.е. после отключения компонента он продолжает работать?
Терминология компонентов уже устарела и используется разве что по привычке или для удобства изложения.
После отключения "компонента" он перестаёт анализировать проходящий через него трафик, но трафик через него всё равно проходит.
--
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777
ТС утверждает, что не проходит. maxic подтверждает. Кто прав?После отключения "компонента" он перестаёт анализировать проходящий через него трафик, но трафик через него всё равно проходит.
ТС утверждает, что не проходит. maxic подтверждает. Кто прав?После отключения "компонента" он перестаёт анализировать проходящий через него трафик, но трафик через него всё равно проходит.
maxic как раз этого не утверждает, а пишет как раз обратное - "menson, отключение не поможет".
--
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777
maxic как раз этого не утверждает, а пишет как раз обратное - "menson, отключение не поможет".
Keep yourself alive
EvgenWL, трафик через нетфильтр все равно проходит. Потому и не поможет отключение, а только добавление в исключения.
maxic как раз этого не утверждает, а пишет как раз обратное - "menson, отключение не поможет".
В нём maxic пишет тоже самое, что и я.
--
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777
Keep yourself alive
Особенно круто, когда браузер не может достучаться до соответствующей страницы и приходится добавлять его в исключения.
EvgenWL, трафик через нетфильтр все равно проходит. Потому и не поможет отключение, а только добавление в исключения.
Я и спрашиваю - почему в состоянии "отключено" компонентом над трафиком что-то делается?
Keep yourself alive
EvgenWL, такая архитектура ©
Очень надеюсь, что с этим что-то сделают. Потому что. потому что. слов нет
EvgenWL, трафик через нетфильтр все равно проходит. Потому и не поможет отключение, а только добавление в исключения.
Я и спрашиваю - почему в состоянии "отключено" компонентом над трафиком что-то делается?
И я подтверждаю слова о возможности непрохождении трафика в отключеном состоянии гейта.
--
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777
Для обеспечения безопасного доступа в Интернет, а также защиты сетей и контроля сетевого трафика был разработан программный продукт Kerio Control. Функциональный межсетевой экран гарантирует защищенный канал, используя который, сотрудники могут осуществлять веб-серфинг. Программа имеет встроенный прокси-сервер и может подключать дополнительный средства антивирусной защиты.
Учитывая универсальность ПО и надежную защиту, Kerio Control становится одним из лучших вариантов для обеспечения безопасности локальных сетей корпораций. У нас на Kerio Control цена одна из лучших на рынке программного обеспечения. Рекомендуем приобрести межсетевой экран и убедиться в его функциональности.
Kerio Control - настройка раздачи интернета
Для корректной настройки раздачи трафика необходимо выбрать тип подключения к Интернету. Для каждой локальной сети настраивается наиболее подходящий. Может быть подключен постоянный доступ, при такой функции присутствует постоянной подключение к Интернету. Вторым вариантом, может быть подключение при необходимости – программа сама установит соединение, когда это нужно.
Если есть два подключения, то Kerio Control при потере связи с Интернетом будет создавать переподключение на другой канал. Имея два или несколько каналов Интернета, можно выбрать четвертый тип подключения. В таком случае нагрузка будет распределяться на все каналы равномерно.
Kerio Control: настройка пользователей
Для того чтобы начать настраивать параметры доступа пользователей, необходима базовая настройка программы. Вам необходимо указать и добавить сетевые интерфейсы, выбрать сетевые службы, доступные для пользователей. Не забудьте настроить правила для VPN-подключений и правила для служб, работающих в локальной сети. Чтобы внести пользователей в программу, рекомендуем для начала разбить их на группы. Данную функцию можно установить во вкладке «Пользователи и группы».
Каждой группе нужно создать права доступа, например, возможность пользоваться VPN, смотреть статистику. Если есть домен, то внести пользователей очень просто. Нужно включить функцию «Использовать базу данных пользователей домена» в меню «Пользователи». Если домена нет, пользователей нужно добавлять вручную, задав каждому имя, адрес почты, логин и описание.
Настройка статистики в Kerio Control
Чтобы программа показывала статистику использования Интернет-трафика, необходимо авторизовать пользователей. Если вам нужно мониторить статистику пользователей, включите функцию автоматической регистрации браузером каждого пользователя.
Если сотрудников в компании небольшое количество, можно для каждого компьютера настроить постоянный IP и каждого пользователя связать с ним. Не забудьте перед этим авторизовать всех пользователей вручную или через базу данных пользователей домена. Для каждого ПК трафик будет отображать в Kerio Control за каждым пользователем.
Kerio Control: фильтрация содержимого – настройка параметров
Для настройки системы безопасности нужно перейти из вкладки «Конфигурация» в параметры «Фильтрация содержимого». В разделе «Антивирус» вы можете настроить обновление антивирусных баз и отметить с помощью флажков те протоколы, которые будут проверяться.
Kerio Control: настройка правил трафика
Настройка правил трафика осуществляется через раздел «Конфигурация». Перейдите во вкладку «Политика трафика» и выберите один из трех параметров, который нужно настроить. В пункте «Правила трафика» вы создаете правила, с помощью которых и будет регулироваться доступ пользователей в Интернет, фильтрация контента и подключение из удаленного офиса.
Настройка балансировки нагрузки Kerio Control
Для того чтобы контролировать сетевой трафик и рационально его распределять между наиболее важными каналами передачи необходимо настроить балансировку нагрузки. Таким образом, оптимизируется доступ в интернет пользователей. Благодаря распределению трафика на наиболее важном канале соединения для передачи важных данных всегда будет непрерывный Интернет.
Для назначения объема сетевого трафика в программе реализована поддержка QoS. Вы можете создать максимальную пропускную способность для приоритетного канала, при этом трафик с низкой степенью важности будет приостановлен. Есть возможность настроить балансировку нагрузки по нескольким соединениям.
Kerio Control NAT: настройка
С помощью фаервола Kerio вы можете обеспечить безопасное соединение ПК локальной сети. Так можно, если требуется, создать доступ к интернету некоторым сотрудникам в удаленном офисе, при этом без каких-либо действий с их стороны. Для этого потребуется создать VPN-подключение в вашей локальной сети из удаленного офиса. Установите и настройте интерфейсы для подключения к интернету. На панели управления во вкладке «Политика трафика» создайте правило, разрешающее локальный трафик.
Не забудьте указать в источнике все нужный объекты. Также потребуется создать правило, которое разрешит локальный пользователям доступ в интернет. Теперь непосредственно нужно настроить NAT, так как несмотря на созданные правила доступа в интернет не будет без включения данной функции. Во вкладке «Политика трафика» выберите раздел «Трансляция» и установите флажок «Включить источник NAT». Если необходимо, укажите путь балансировки.
Kerio Control: настройка интерфейсов
Настройка интерфейсов производится непосредственно после установки программы. Так, если вы уже активировали лицензию и выбрали тип подключения к интернету, можно заняться настройкой интерфейсов. Перейдите на консоли управления в раздел «Интерфейсы». Интерфейсы, которые подключены к интернету и доступны, программа сама обнаруживает. Все наименования будут выведены в виде списка.
При распределенной нагрузке на интерфейсы (выбор типа подключения к интернету), можно добавлять сетевые интерфейсы в неограниченном количестве. В таком случае также устанавливается максимально возможная нагрузка для каждого из них.
Читайте также: