Kerio WinRoute Firewall: комплексное решение для организации доступа в Интернет

Сергей «grinder» Яремчук (grinder@ua.fm, tux.in.ua)

Организация совместного доступа в Интернет и защита компьютерных сетей от атак хакеров – это только часть задач, возлагаемых на системного администратора. Корпоративная версия межсетевого экрана от компании Kerio Technologies, предназначенная для защиты сетей предприятий малого и среднего бизнеса, позволяет не только настроить выход в Интернет, но и обеспечить защиту от внешних атак и вирусов. Кроме того, в KWF заложена возможность ограничения доступа пользователей к веб-сайтам, что позволяет реализовать весьма жесткие политики и сэкономить трафик.

Содержание:

1. Возможности Kerio WinRoute Firewall 6
2. Установка Kerio WinRoute Firewall
3. Первый запуск
4. Сетевые настройки и политики трафика
5. Кэширование веб-страниц и DNS-запросов
6. Фильтрация контента
7. Боковые выносы: WWW

Возможности Kerio WinRoute Firewall 6

Прежде чем приступить к установке, следует кратко познакомиться с возможностями, которые предоставляет KWF. Ведь именно функциональность позволяет определить, подходит данное ПО или нет. KWF является комплексным решением с единым интерфейсом, упрощающим настройку и сопровождение, т.е. в одной упаковке мы получаем целый спектр весьма полезных возможностей, которых небольшим организациям хватает с головой.

Кроме NAT и прокси-сервера, использование которых позволяет соединять локальную сеть с Интернет через один общий IP-адрес, в его состав включен VPN-сервер, обеспечивающий соединение по двум направлениям: сервер-сервер и сервер-клиент. В последнем случае на компьютере удаленного клиента устанавливается Kerio VPN Client. Обычно VPN и NAT не очень любят друг друга, в Kerio реализована своя технология работы с каналами VPN. Использование технологии NAT Traversal обеспечивает стабильную работу VPN с NAT, в том числе и с множественными NAT-шлюзами. Кроме этого, в KWF встроена поддержка IPSec и PPTP, что позволяет создавать VPN соединения только штатными средствами Windows и KWF. Начиная с версии 6.1, в KWF появился новый веб-сервис Clientless SSL VPN, обеспечивающий доступ клиентам к сети VPN через обычный веб-браузер, без установки специального ПО.

Поддерживаются все возможные виды доступа в Интернет — dial-up, ISDN, PPPoE, WiFi и другие. Пользователи могут разделять и совместно использовать одно соединение с возможностью автоматической установки резервного канала. Очень гибко реализована работа с пользователями, для конкретной учетной записи можно устанавливать и применять различные ограничения, например, работа только с e-mail, ограничения на использование трафика за день, месяц. Возможен вариант регистрации пользователя KWF перед выходом в Интернет, при этом может использоваться как внутренняя база пользователей, так и/или Microsoft Active Directory. Опционально предоставляется возможность проверки входящего и исходящего почтового, FTP и HTTP трафика интегрированным антивирусом McAfee, хотя можно подключить антивирус от других производителей. Для блокировки трафика с нежелательных ресурсов используется контентная фильтрация и защита веб-трафика. Так в настройках фильтра ISS Orange Web Filter доступно 58 возможных категорий сайтов, P2P Eliminator автоматически обнаруживает и блокирует пиринговые сети, такие как Kazaa. Контентная фильтрация позволяет блокировать потенциально опасные или нежелательные типы файлов — исполняемые, музыка, видео и прочее, а также блокировать всплывающие окна.

Администратор после установки управляет работой различных компонентов KWF, как локально, так и удаленно через консоль Kerio Administration Console. Кроме этого, о важных событиях (отсутствие соединения, обнаружение вируса, превышение лимита и прочее) администратор получает уведомление. Разобраться в использовании трафика поможет подробная гистограмма и статистика посещения веб-страниц.
В лицензии число пользователей определяется как количество IP-адресов (не компьютеров), защищаемых файерволом, количество учетных записей пользователей, работающих с прокси-сервером, не ограничено.

Установка Kerio WinRoute Firewall

Для установки KWF потребуется компьютер класса Pentium III, работающий под управлением Windows 2000/XP/2003/Vista. Т.к. KWF будет первым встречать хакеров, должны быть установлены все доступные обновления, а система не содержать лишнего ПО. В документации приведен список программ, при наличии которых Kerio работать откажется. Здесь и прокси-серверы, сетевые и персональные межсетевые экраны, и софт для создания VPN. Также перед установкой следует настроить все сетевые интерфейсы и маршрутизацию.

В целом установка происходит без особых трудностей. В процессе предстоит сделать выбор между двумя типами установки — полной или выборочной. Последний вариант позволяет указать на устанавливаемые элементы (зачем нам хелп на чешском?). Кроме всего прочего, этот вариант следует выбирать для установки Administration Console на удаленной системе. Далее указываем пароль администратора и на следующем шаге установкой флажка «Enable Remote Access» разрешаем удаленное управление, в «Remote IP address» вводим адрес компьютера, с которого будет управляться KWF. Затем выскочит сообщение о том, что программное обеспечение для Kerio VPN Adapter проверено не было, кнопкой «Продолжить» продолжаем установку.

Рис. 1. Выбор компонентов при установке

Если в процессе установки будут обнаружены сервисы, не совместимые с KWF, поступит предложение их отключить. После инсталляции понадобится перезагрузить компьютер.

Рис. 2. Отключение конфликтующих сервисов

Первый запуск

После перезагрузки в трее появится значок монитора WinRoute, из меню которого можно запускать/останавливать сервис, устанавливать параметры запуска при загрузке системы и вызывать консоль управления. Итак, дважды щелкаем по значку и регистрируемся, введя в окне «New Connection» пароль администратора и адрес сервера. Если все правильно, после нажатия на кнопку Connect появится основное окно настроек. Интерфейс выполнен традиционно. Все настройки указаны в виде дерева с четырьмя основными пунктами: Configuration, Users and Groups, Status, Logs. Выбрав нужный подпункт, в большом окне справа получаем доступные настройки. Единственное, что может отпугнуть — отсутствие русскоязычного интерфейса и файла помощи. Хотя, поискав в Интернете, можно найти перевод документации (например, www.internetaccessmonitor.com/rus/support/docs/winroute).

После установки весь трафик заблокирован, поэтому первичная настройка может производиться локально или с компьютера с IP-адресом, указанным при установке. Начинающие администраторы сочтут удобным наличие мастера, позволяющего выполнить первоначальную настройку всего за 8 шагов. Сначала указывается тип подключения к провайдеру, в следующем окне — основные параметры соединения (логин, пароль и прочее). Четвертый шаг ключевой: здесь выбираются разрешенные сервисы, соединения для которых будут беспрепятственно проходить через брандмауэр. Большинство новичков, чтобы упростить себе жизнь, включают «Allow access to all services», разрешая таким образом все соединения. Лучшим вариантом будет выбор «Allow access to the following services only» и установка флажка напротив разрешенных протоколов. В этом окне доступны параметры, разрешающие почтовый, HTTP/HTTPS и FTP трафик, DNS запросы, а также telnet-сессии. Кроме последней, все эти службы являются востребованными в любой организации. Если чего-то не хватает, проще открыть нужный порт вручную, чем заранее подвергать свою сеть опасности. На пятом шаге разрешаем создание правил для встроенного VPN сервера и Clientless SSL VPN. Если используется внешний сервер VPN, все флажки необходимо снять. В следующем окне настраивается доступ к внутренним ресурсам сети извне. По умолчанию открыты сервисы VPN и HTTPS, расположенные на компьютере с KWF. Используя кнопки Add, Edit, Remove, можно, соответственно, добавить, отредактировать и удалить правило. В окне, которое появляется при добавлении или редактировании файла, следует выбрать сервис из списка Service и указать IP-адрес компьютера, на котором он запущен. Следующий шаг имеет всего один параметр «Enable NAT», разрешающий трансляцию адресов. После нажатия кнопки Finish будут созданы и добавлены новые правила. Теперь основные настройки созданы, и если все сделано правильно, KWF обеспечит совместный доступ пользователей в Интернет и блокировку соединений по портам, не указанным в ходе настроек. Но это далеко не все его возможности.

Сетевые настройки и политики трафика

После появления в сети KWF, телефон администратора быстро станет красным от звонков пользователей, которые будут жаловаться, что не могут подключиться к их любимой аське или другому сервису, не разрешенному при первичной настройке. Поэтому, если политика компании не запрещает использование определенных служб, их необходимо разрешить. Все основные настройки производятся в меню Configurations. Для начала переходим во вкладку Interfaces и проверяем правильность настройки всех сетевых соединений. Для удобства их можно переименовать. В контекстном меню выбираем пункт Edit и в поле «Interface name» вводим новое имя. Например, для Интернет-соединения можно использовать WAN.

Рис. 3. Настройка интерфейсов

Вкладка «Connection Failover» позволяет указать альтернативное Интернет-соединение, которое будет автоматически установлено при обнаружении обрыва основного соединения. В качестве альтернативного соединения может использоваться любой сетевой интерфейс или удаленное соединение из вкладки Interfaces. Следует помнить, что для альтернативного соединения также необходимо настраивать правила доступа и фильтрацию.

После установки KWF импортирует системную таблицу маршрутизации, если все настроено правильно, то проблем быть не должно. Просмотреть и при необходимости подправить таблицы можно, перейдя в «Routing Table». Многие методы подключения, вроде PPPoE или диалапа, после установления связи изменяют маршрут по умолчанию. В этом случае Kerio может выдавать сообщение о том, что обнаружено два default маршрута, но ничего страшного в этом нет.

Теперь переходим в «Traffic Policy». Здесь увидим все правила, созданные с помощью мастера.

Рис. 4. Политики трафика

Последним стоит «Default rule», запрещающее все соединения. Программа просматривает все правила сверху вниз. Поэтому все пакеты, не попавшие под критерии правила, стоящего выше, будут отброшены. Нажатием кнопки Add и Remove правила можно добавлять и удалять, а также менять их очередность с помощью кнопок со стрелками, или перетаскивая мышкой на нужную позицию.
Каждое правило содержит несколько полей:

1. Name – название правила, здесь лучше использовать интуитивно понятное описание, чтобы затем легче было разобраться с его назначением. Сняв флажок, находящийся рядом с именем, можно временно отключить правило, не удаляя его.
2. Source и Destination — адрес отправителя и получателя, в этом поле можно указать узел, диапазон адресов, сеть, сетевой интерфейс, пользователя или группу пользователей.
3. Service – сервис, в этом поле может указываться название сервиса, порт или диапазон портов, протокол;
4. Action – действие, здесь возможны три варианта (в Default rule два): Permit – разрешить, Deny – запретить и Drop – отбросить;
5. Log – включается ведение журнала событий по указанному правилу. При установке «Log matching packets» в журнал будут занесены все пакеты, попадающие под правило, т.е. как прошедшие брандмауэр, так и отброшенные, при «Log matching connections» — соединения, удовлетворяющие правилу.
6. Translation – активация преобразования IP-адресов источника и получателя.

Кроме этого, два поля по умолчанию скрыты. Чтобы их увидеть, следует выбрать в контекстном меню пункт «Modify Columns». В поле «Valid on» указывается интервал времени, в течение которого будет действовать правило. По умолчанию предлагается только одно значение – Always, дополнительные временные промежутки добавляются во вкладке «Definitions — Time Ranges». При создании правил можно указать временной интервал, соответствующий рабочему времени. Допустим, когда все служащие уйдут по домам, мы разрешим получение обновлений антивирусных баз и систем, а весь остальной трафик заблокируем. Поле «Protocol Inspector» позволяет указать анализатор протокола, который будет применяться ко всему трафику, удовлетворяющему правилу.

Значение Any в любом поле означает все возможные варианты. В полях Source, Destination и Service можно указывать несколько значений. Чтобы все изменения вступили в силу, необходимо нажать кнопку Apply.

Кэширование веб-страниц и DNS-запросов

Кроме фильтрации, Kerio позволяет ускорить серфинг, кэшируя информацию и запросы. Так модуль «DNS Forwarder», настраивающийся в одноименной вкладке, ускоряет ответы на повторяющиеся DNS-запросы. При этом в настройках клиентов в качестве DNS сервера можно указать адрес шлюза, на котором установлен KWF, что упрощает настройки узлов DNS в пределах локальной сети. По умолчанию этот модуль включен и настроен так, что все DNS запросы пересылаются одному из DNS серверов, указанному при настройке операционной системы, полученный ответ кэшируется. Во вкладке можно очистить кэш или добавить запись в hosts файл.

Входящий в состав HTTP-прокси по умолчанию также активирован, поэтому, помимо NAT, клиенты могут выходить в Интернет, подключаясь через 3128 порт Kerio. Его настройки расположены во вкладке «Content Filtering – HTTP Policy – Proxy Server». HTTP-прокси может понадобиться в том случае, когда нет прямого соединения, например, твой провайдер использует прокси. WinRoute умеет передавать все запросы следующему прокси-серверу, его данные достаточно указать в поле «Forward to parent proxy server».

Настройка кэширования веб-страниц производится в «HTTP Policy – Cache», по умолчанию эта функциональность отключена. Установка флажка «Enable cache on transparent proxy» разрешит кэширование страниц при прямом соединении (порты 80 и 443), а «Enable cache on proxy server» – запросов, произведенных через прокси.

Фильтрация контента

Как уже говорилось, в KWF заложены широкие возможности по фильтрации трафика по протоколам HTTP и FTP. В «Content Filtering» есть три подпункта, отвечающие за свой участок работы: HTTP Policy, FTP Policy и Antivirus.

Подпункт «FTP Rules» и вкладка «URL Rules» в «HTTP Policy» по принципу настроек несколько напоминают задание правил межсетевого экрана. Для примера остановлюсь на «URL Rules». Так в поле Conditions задается URL, маска или группа объектов, указанных во вкладке «URL Group», а в поле Action — действие, которое будет выполнено при совпадении правила. Вариантами реакции может быть разрешение (Permit) или блокировка (Drop) ресурса. Вкладка «URL Group» содержит список шаблонов, которые встречаются в определенной группе веб-страниц, например, баннеры, поисковики, серверы обновлений. Это позволяет разом установить правила для определенного типа запрашиваемых страниц.

Некоторые поля скрыты, открыв их, можно установить временной интервал (Valid Time) и указать пользователей (User List) или группу компьютеров (IP Groups), для которых будет действовать правило. Дополнительные проверки и запреты для разрешающего правила можно указать во вкладке «Content Rules» редактора свойств правил. Здесь можно разрешить (Allow) или заблокировать (Deny) активное содержимое веб-страниц (ActiveX, JavaScripts, Java, referer). При выборе варианта Default будут использованы общие настройки, взятые из одноименной вкладки в корне HTTP Policy. Установка флажка «Scan contents for viruses according to scanning rules» разрешит проверку всего трафика, попадающего под это правило антивирусной программой. А активация «Deny Web pages containing…» будет блокировать страницы, в которых содержатся слова, определенные в разделе «Forbidden Words». По умолчанию в этом разделе собраны слова, которые встречаются на порнографических и варезных ресурсах. При необходимости очень просто добавить новое слово или отредактировать уже имеющиеся, например, изменив вес слова.

Рис. 5. Настройки групп адресов

Осталась лишь одна не посещенная вкладка «ISS OrangeWeb Filter». Здесь для определения характера ресурса применяется система оценки веб-страниц ISS/Cobion. Эта система использует единую базу данных ресурсов, рассортированных по категориям. Результат работы этой системы — разрешение или запрет на посещение выбранной веб-страницы. Данный фильтр требует отдельной лицензии, но бежать выкладывать свои кровные не стоит, эффективность этой технологии вне англоязычных ресурсов крайне низка.

Как уже отмечалось ранее, WinRoute умеет проверять файлы, передаваемые по протоколам HTTP, FTP, SMTP и POP3 с помощью антивирусной программы. По умолчанию проверка производится с помощью интегрированного антивируса McAfee, поддерживается несколько других антивирусов, разрабатываемых компаниями Eset Software, Grisoft, F-Secure и другими, есть в списке и ClamAV. Во вкладке «Antivirus» выбирается сам движок и тип трафика, в поле «Enable file size limit» при необходимости можно выставить максимальный размер проверяемого файла, в «Integrated Antivirus Engine» указывается интервал обновления баз интегрированного антивируса. В «HTTP, FTP Scanning» для HTTP и FTP протоколов можно указать, какие типы файлов следует, а какие не следует сканировать на вирусы.

Рис. 6. Панель настройки антивируса

Блокировка P2P сетей вынесена в отдельную вкладку, найти ее можно, перейдя в «Advanced Options — P2P Eliminator». Учитывая распределенный характер пиринговых сетей, их разношерстность и хитрость пользователей, обнаруживать и блокировать такие соединения довольно проблематично. Если «P2P Eliminator» обнаружит попытку соединения с P2P-сетью, он полностью блокирует выход в Интернет с этих узлов (Block all traffic of the host) или разрешит соединения только с определенными сервисами (Block traffic except the predefined services). При выборе второго варианта нажатием Services следует отобрать неблокируемые протоколы. Продолжительность блокировки указывается в поле «Block traffic for … minutes», а чтобы пользователь знал, почему он не может воспользоваться любимым ослом, следует установить флажок «Inform the user by email». Нажатие на Advanced позволит установить параметры обнаружения пиринговых сетей, здесь указываются P2P-порты и в «Connection count» минимальное число одновременных соединений, при превышении которых начнется проверка на соединение с P2P.

Мы рассмотрели только самые основные параметры, позволяющие настроить соединение в Интернет, и уделили особое внимание защите сети и фильтрации трафика. За кадром остались: работа с пользователями, настройка VPN, сбор статистики и многие другие вопросы, разобраться с которыми поможет документация.

Боковые выносы

WWW

• Официальный сайт KWF — www.kerio.com/kwf
• Российское зеркало — www.winroute.ru

Статья опубликована в сентябрьском номере журнала «Xakep» за 2007 год.