Kerio control настройки безпеки, ит співтовариство України
Після успішної настройки інтерфейсів приступимо до налаштування безпеки нашого UTM шлюзу на платформі Kerio Control 7.4.1
Насамперед перейдемо до налаштування IDS / IPS системи і встановимо графік оновлень 1 годину замість дефолтних 24 годин. Оновлення зовсім не «вантажить" с-му, але значно підвищує шанси відловити зловреда.
Тепер встановимо дії, для Високої серйозності "Записати в журнал і видалити", для Середньої "Записати в журнал і видалити", для Низькою "Записати в журнал":
Такі установки можуть істотно вплинути на "нормальну" роботу "проблемних" ПК, що власне нам і належить почути через Help Desk і побачити в Журналі Security:
При додаванні в мережу нового прилади, будемо додавати його МАС, це незручно і тому логічно доручити це службі Help Desk. Але в такому разі, їм доведеться виділити адміністративні права до UTM, що неприпустимо тому руйнує будь-яку безпеку
Коли-небудь Kerio застосує RBAC в своїх продуктах, а поки для гостей організації ми виділимо гостьову мережу і фільтрувати по МАС там не будемо.
Переходимо до підрозділу "Різне" і збільшуємо Заборонити з'єднання на один хост до 6000. Це може бути необхідно для усіляких додатків на зразок клієнт-банків і т.п.
Також переконаємося що модуль антіспуфінга включений, і події записуються в журнал:
Перейдемо до розділу "Політика HTTP" і першим ділом включимо "Remove advertisement and banners". а для можливості налагодження включимо журнал цього правила.
Правило у нас буде діяти для всіх користувачів, в будь-який час, а події будуть записуватися в Журнал.
У реальних умовах, найчастіше буває так що для всіх користувачів створюється забороняє правило на робочий час за винятком обіду (тобто вранці, в обід і після роботи улюблені вконтактік працювати буде).
А для групи VIP (в яку можуть входити керівники, топи та інші привілейовані співробітники) в будь-який час доступ буде заборонений, але з можливістю розблокування.
Аналогічним чином можна дуже гнучко управляти всім Інтернеіт трафіком, адже Kerio Web Filter диво як хороший.
Заборонені слова я не використовую, залишаю настройки за замовчуванням, зате в налаштуваннях Kerio Control Web Filter дозволю користувачам повідомляти про передбачувані помилки, адже всі системи по-своєму недосконалі, і підтвердження тому блокування Хабра "з коробки":
Що стосується фільтрації FTP, користувачі його практично не використовують, тому я включу лише два стандартних правила та свої писати не стану до появи інцидентів:
Перейдемо до налаштувань Антивірусу. Насамперед встановимо графік оновлення в одну годину, тому що практика говорить про те, що сигнатури оновлюються частіше 8 годин.
Оскільки захищати електронну пошту на рівні шлюзу мені представляеться не дуже хорошою ідеєю, сканування SMTP і POP3 я відключу, також я відключу FTP тому практика говорить про те, що цей протокол використовується частіше адміністраторами, а користувачі про нього вже успішно забули.
А на вкладці "Сканування ел. пошти "я про всяк випадок дозволю передачу вкладень, навіть якщо вони будь-яким чином були прийняті за шкідливі.
Звичайно, в питанні безпеки моніторинг найважливіша умова, тому налаштуємо Kerio Star відповідно до потреб.
З метою зниження адміністративного навантаження, налаштуємо виключення для деякого трафіку і для VIP співробітників, до трафіку яких не повинні мати доступи навіть адміністратори системи:
У підрозділі "Доступ до системи" дозволимо користувачам доступ до власної статистикою, і більш того, будемо автоматично відправляти їм цю саму статистику щотижня.
Для деякого відповідальної особи (в даному випадку цією особою виступаю я) є можливість доступу і отримання щоденних звітів про діяльність всіх співробітників.
Також для адміністратора системи є можливість отримання сповіщень про таких системних події:
Звичайно, для нормальної роботи всіх цих функцій Kerio Control повинен мати налаштований SMTP relay. а в профілі кожного користувача повинен бути вказаний валідний email.
У Додаткових опціях, в підрозділі "Обмежувач P2P" можна заблокувати Торрето, які напевно шкідливі в корпоративній мережі.
При цьому користувач буде повідомлений по email (адміністратор також може бути повідомлений по email) і заблокований на 20 хв.
В якості однієї з заключних рекомендацій раджу включити в правилах Облік, і заглядати в "Діаграми трафіку":
У всіх підрозділах розділу "Стан" рекомендую включити інтервал оновлення 5 сек.
UPD Існує можливість відключати Java, ActiveX і т.п. як для окремих користувачів, так і для всієї організації:
Ну і звичайно ж регулярно переглядати всі журнали, як цей процес зробити зручним я розповім наступного разу.