После успешной настройки интерфейсов приступим к настройке безопасности нашего UTM шлюза на платформе Kerio Control 7.4.1

Первым делом перейдем к настройке IDS/IPS системы и установим график обновлений 1 час вместо дефолтных 24 часов. Обновление совсем не «грузит» с-му, но значительно повышает шансы отловить зловреда.

Теперь установим действия, для Высокой серьезности «Записать в журнал и удалить», для Средней «Записать в журнал и удалить», для Низкой «Записать в журнал»:

Такие настройки могут существенно повлиять на «нормальную» работу «проблемных» ПК, что собственно нам и предстоит услышать через Help Desk и увидеть в Журнале Security:

Что ж, теперь переходим к разделу «Параметры безопасности» и разрешим доступ к локальной сети по MAC адрксу только перечисленным компьютерам, для этого заранее подготовим список MAC адресов, которые используються в организации.

При добавлении в сеть нового устройста, будем добавлять его МАС, это неудобно и поэтому логично поручить это службе Help Desk. Но в таком случае, им придется выделить административные права к UTM, что недопустимо т.к. рушит любую безопасность 🙂

Когда-нибудь Kerio применит RBAC в своих продуктах, а пока для гостей организации мы выделим гостевую сеть и фильтровать по  МАС  там не будем.

Переходим к подразделу «Разное» и увеличиваем ограничение подключений на один хост до 6000. Это может быть необходимо для всяческих приложений вроде клиент-банков и т.п.

Также убедимся что модуль антиспуфинга включен, и события записываются в журнал:

Перейдем к разделу «Политика HTTP» и первым делом включим «Remove advertisement and banners» , а для возможности отладки включим журналирование этого правила.

Теперь мы учтя возможности слива информации через соц.сети запретим их использование, для этого создадим новое правило «Social», выберем действие «Отказать», введем текст «Согласно политике информационной безопасности использование социальных сетей запрещено. » , но так как в нашем случае это не запрет, а скорее рекомендация, включим возможность для пользователей разблокировать это правило.

В качкестве URL мы не будем перечислять всяческие http://vk.com и https://facebook.com , а укажем URL, оцененный системой рейтингов Kerio Control Web Filter (и конечно же будем фильтровать в т.ч. https).

Правило у нас будет действовать для всех пользователей, в любое время, а события будут записываться в Журнал.

В реальных условиях, чаще всего бывает так что для всех пользователей создается запрещающее правило на рабочее время за исключением обеда (т.е. утром, в обед и после работы любимы вконтактик работать будет).

А для группы VIP (в которую могут входить руководители, топы и прочие привелигированные сотрудники) в любое время доступ будет запрещен, но с возможностью разблокировки.

Я оставлю без комментариев такое решение Заказчика, просто покажу как это выглядит:

Аналогичным образом можно очень гибко управлять всем Интернеит трафиком, ведь Kerio Web Filter чудо как хорош.

Запрещенные слова я не использую, оставляю настройки по-умолчанию, зато в настройках Kerio Control Web Filter разрешу пользователям сообщать о предполагаемых ошибках, ведь все системы по-своему несовершенны, и подтверждение тому блокировка Хабра «из коробки»:

Что касается фильтрации FTP, пользователи его практически не используют, поэтому я включу лишь два стандартных правила и свои писать не стану до появления инцидентов:

Перейдем к настройкам Антивируса. Первым делом установим график обновления в один час, т.к. практика говорит о том, что сигнатуры обновляются чаще 8 часов.

Т.к. защищать электронную почту на уровне шлюза мне представляеться не слишком хорошей идеей, сканирование SMTP и POP3 я отключу, также я отключу FTP т.к. практика говорит о том, что этот протокол используется чаще администраторами, а пользователи о нем уже успешно забыли.

А на вкладке «Сканирование эл. почты» я на всякий случай разрешу передачу вложений, даже если они каким-либо образом были приняты  за вредоносные.

Конечно, в вопросе безопасности мониторинг важнейшее условие, поэтому настроим Kerio Star в соответствии с потребностями.

С целью снижения административной нагрузки, настроим исключения для некоторого трафика и для VIP сотрудников, к трафику которых не должны иметь доступы даже администраторы системы:

В подразделе «Доступ к системе» разрешим пользователям доступ к собственной статистике, и более того, будем автоматически отправлять им эту самую статистику еженедельно.

Для некоторого ответственного лица (в данном случае этим лицом выступаю я) имеется возможность доступа и получения ежедневных отчетов о деятельности всех сотрудников.

Также для администратора системы имеется возможность получения оповещений о таких системных событиях:

Конечно, для нормальной работы всех этих функций Kerio Control должен иметь настроенный SMTP relay , а в профиле каждого пользователя должен быть указан валидный email.

В Дополнительных опциях, в подразделе «Ограничитель P2P» можно заблокировать торреты, которые наверняка вредны в корпоративной сети.

При этом пользователь будет уведомлен по email (администратор также может быть уведомлен по email) и заблокирован на 20 мин.

В качестве одной из заключительных рекомендаций советую включить в правилах Учет, и заглядывать в «Диаграммы трафика»:

Во всех подразделах раздела «Состояние» рекомендую включить интервал обновления 5 сек.

UPD Существует возможность отключать Java, ActiveX и т.п. как для отдельных пользователей, так и для всей организации:

Ну и конечно же регулярно просматривать все журналы, как этот процесс сделать удобным я расскажу в следующий раз.