Ліцензії на основні продукти Kerio - Kerio Control та Kerio Connect не мають обмеження щодо терміну дії. Тобто, ви можете користуватися цими продуктами необмежений час, але тільки в тому вигляді, якими вони були на момент покупки. Для того, щоб отримувати оновлення версій, релізів, антивірусних баз, а також для доступу до техпідтримки вам необхідно мати актуальну передплату Software Maintenance (SWM).

У вартість нової ліцензіївходить 1 рік SWM. Через рік вам необхідно буде продовжити підписку SWM, або, простіше кажучи, продовжити ліцензію Kerio. Вартість продовження SWM на 1 рік становить 33% від поточної ціни новий продукт.

Позиції в каталозі (мають слово SUB у назві):

• Kerio Control Server License 5 user SUB 1 year - продовження SWM для серверної ліцензії Kerio Control + 5 користувачів
• Kerio Control add-on 5 users SUB 1 year - продовження SWM для додаткової ліцензії Kerio Control на 5 користувачів
• Kerio Connect Server License 5 user SUB 1 year - продовження SWM для серверної ліцензії Kerio Connect+ 5 користувачів
• Kerio Connect add-on 5 users SUB 1 year - продовження SWM для додаткової ліцензії Kerio Connect на 5 користувачів

Що стосується додаткових модулів - антивіруса Sofos і Web Filter - то після закінчення терміну дії потрібно просто купити додаткову ліцензіюна необхідну кількість користувачів ще 1 рік. Знижки на продовження цих модулів не передбачено.

Часті питання про Software Maintenance

Ліцензія на підтримку програмного забезпечення компанії Kerioдає доступ до оновленим версіямпродуктів та оновлень безпеки. За наявності дійсної ліцензії SWM користувач може встановити будь-яке випущене виправлення або версію Kerio.

1. Навіщо купувати ліцензію SWM?

• Постійне надання останніх версій продукту.
• Продукт забезпечує захист від нових загроз безпеки.
• Можливість користуватися найновішими технологіями.
• Відсутність несподіваних фінансових витрат під час випуску нових версій.

2. Як працює ліцензія SWM?

• При першій покупці ліцензії надається ліцензія SWM на 12 місяців з дня реєстрації.
• За наявності дійсної SWM ліцензії на оновлення версії продукту надаються безкоштовно.
• Будь-коли ви можете продовжити ліцензію SWM на 1 або 2 роки. (Оновлення для ФСТЕК-версії продукту можуть бути не сертифіковані ФСТЕК.)
• Ліцензія SWM має бути куплена та зареєстрована до закінчення терміну дії.
• У разі реєстрації ліцензії SWM після закінчення терміну її дії період SWM продовжується рівно на 1 рік з дня закінчення терміну дії.
• Датою початку дії ліцензії SWM є дата вихідної реєстрації продукту, виконана через веб-сайт Kerio або через консоль адміністрування продукту.

3. Що станеться, якщо моя SWM ліцензія закінчиться?

• Ви зможете продовжувати користуватися продуктом, але не зможете встановлювати оновлення, що вийшли після закінчення терміну дії вашої ліцензії SWM.
• Вбудований у продукти Kerio Connect та Kerio Control антивірус Sophos перестане працювати через 60 днів після закінчення терміну дії ліцензії на підтримку програм.
• Kerio Web Filter перестане працювати.
• Механізм систем протидії вторгненням/виявленню вторгнень (IPS/IDS) у Kerio Control не отримуватиме оновлення сигнатур правил.
• Exchange ActiveSync у Kerio Connect перестане працювати. (Починаючи з 1го Травня 2013 року, підтримка протоколу Exchange ActiveSync у Kerio Connect стане платною.)
• Не надаватиметься доступ до технічної підтримки.
• ліцензії SWM, що минули, можна оновити, сплативши пропущені роки. Для захисту від всіх типів кіберзагроз, включаючи новітні та найбільш шкідливі програми та атаки хакерів, ми настійно рекомендуємо своєчасно оновлювати ліцензію SWM.

4. Що відбувається з ліцензією SWM зі збільшенням кількості користувачів?

• При збільшенні в ліцензії кількості користувачів надається ліцензія SWM на цих додаткових користувачівдо закінчення терміну дії серверної ліцензії SWM.

5. Як зареєструвати ліцензію SWM?

• Після придбання ліцензії SWM вам буде надано реєстраційний ключ (ключі). Цей ключ (ключ) необхідно зареєструвати через консоль продукту або через наш веб-сайт (посилання). У разі отримання єдиного реєстраційного ключа, що збігається з первісним реєстраційним ключем, введіть його на першій сторінці процесу реєстрації та пройдіть весь процес. У разі отримання набору ключів (жоден з яких не співпадає з початковим ключем), введіть на першій сторінці процесу реєстрації початковий ключ, а на наступній сторінцідодайте нові реєстраційні ключі.

6. Чи можу я перенести зареєстровану ліцензію на іншу систему?

• Іноді виникає потреба в оновленні апаратного забезпеченняабо зміні операційної системи. Існуюча ліцензія може бути перереєстрована в іншій системі, і всі необхідні зміни (наприклад, зміна ОС) будуть проведені в процесі перереєстрації. Перед тим як реєструвати продукт на іншій системі, ви повинні видалити продукт з попереднього сервера, або назавжди відключити систему від мережі.

Kerio WinRoute Firewall- це потужний комплекс для керування підключенням локальної мережідо Інтернету. Розроблений для використання в корпоративних мережах, продукт захищає від зовнішніх атак та вірусів, забезпечує можливість визначення правил доступу для блокування, перевірки та фільтрації трафіку, а також дозволяє обмежувати доступ користувачів до низки сайтів на основі аналізу їхнього вмісту. Складається з роутера та файрволла, є проксі-сервер, що кешує, сервери DHCPта DNS, планувальник та багато іншого, включаючи віддалене адміністрування та підтримку VPN. При ремонті комп'ютерів в офісі часто бачу шлююз під Kerio.

11 листопада у мене закінчувалася річна підписка на продукт Kerio WinRoute Firewall. Продовження передплати на 20 користувачів із вбудованим антивірусом McAfee коштує приблизно 375 євро. Було вирішено продовжити передплату без макафі. Коштує приблизно 6500 рублів. Але так як спочатку купували ліцензію з антивірусом, перед замовленням передплати обов'язково потрібно було змінити тип базової ліцензії, інакше після генерації нового ключового файлувін просто не підчепиться до нашого продукту.

Я написав листа на [email protected]із проханням змінити тип базової ліцензії. На підставі цього запиту ліцензія була змінена, і я через консоль згенерував новий ліцензійний ключ. Підписку було успішно продовжено. Тепер мені потрібно було хоча б частково вирішити проблему фільтрації інтернет-трафіку від вірусів і шкідливих програм. Так як макафі більше не активний, а всі інші антивірусні плагіни є платними, мій вибір ліг на ClamWin антивірус. А експеримент я поставив під час ремонту комп'ютера в Крилатському.

ClamWin- вільний антивірусний сканер для платформ Microsoft Windows 98/Me/2000/XP/2003/Vista.

Завантаживши та встановивши останню версію ClamWin 0.95.3, я спробував активувати потрібний плагінале запускатися він відмовився.

У логах сипалися помилки типу:

Спочатку я вирішив оновити Kerio. на Наразібуло встановлено версію 6.4.1. Остання актуальна 6.7.1. У техпідтримці порадили виконати оновлення у два етапи. Так я й зробив. Спочатку оновився до версії 6.5.2, а потім до 6.7.1.

Виконувати оновлення нескладно. Завантажуємо із сайту виробника потрібну версіюпродукту, підключаємося до шлюзу та починаємо встановлення. При цьому інсталятор виявить попередня версіята виконає її оновлення. У процесі оновлення відбувається оновлення ядра, конфігурації та необхідних компонентів. Незважаючи на те, що бекапи конфігураційних файлів при оновленні зберігаються автоматично в каталозі за замовчуванням (у мене це C: Program files Kerio UpgradeBackups), я все-таки зробив образ жорсткогодиска, використовуючи Acronis True Image.

Тож приступимо. Усі роботи я виконую віддалено через оснастку Remote Desktop.

1. Підключаємось на шлюз

2. Оновлюємось до версії 6.5.2

3. Потім оновлюємось до версії 6.7.1

Процес поетапного оновлення зайняв не більше 10 хвилин, перезавантаження системи не знадобилося. Також якщо ви керуєте Kerio віддалено через консоль, не забудьте оновити її на своєму робочому місці.

Після оновлення антивірус ClamWin все також не запускався. Поблукавши по форумах, я з'ясував, що така проблема зустрічається досить часто, а версія ClamWin 0.95.3 не працює як служба і не підтримується Kerio. На сайті //clamav.net також зазначено, що даний продукт тепер підтримується тільки під платформою *nix, а під платформу Win32 обіцяють відновити підтримку, починаючи з версії 0.95.6. Що час покаже, а поки що треба було діяти і шукати шляхи вирішення.

У результаті проблема була вирішена за допомогою антивірусу ClamAV 0.95.2, саме AV, який можна встановити як сервіс!

Підключення безкоштовного плагіна ClamAV

- завантажуємо та встановлюємо ClamAV 0.95.2 у директорію за замовчуванням (C:\clamav)

Качаємо антивірусні бази і поміщаємо їх до директорії C:clamavdata

В архіві, який Ви завантажили, є вкладений архів з назвою runclamd.rar. Розпаковуємо дану утилітув з: \ clamav \ runclamd \ для подальшої установки сервісу.

Встановлюємо сервіс. При успішній установці консолі з'явиться повідомлення services installed.

Стартуємо сервіс з: \clamav\runclamd\runclamd.exe -start

Заходимо в сервіси, запевняємось, що він запущений. Також рекомендую виставити тип запуску сервісу на авто.

У KFW як плагін вибираємо Clam AntiVirus 0.95, натискаємо кнопку застосувати і засвідчуємо, що плагін працює нормально.

Для отримання оновлень відкриваємо та правимо файл freshclam.conf Зверніть увагу на рядок See //www.iana.org/cctld/cctld-whois.htm for the full List. Ми можемо додати дзеркала для оновлення. Для цього в даний файлдодаємо нижче додаткові сервери. Ось що вийшло:

Стартуємо через консоль "freshclam.exe" та перевіряємо, що немає помилок і все оновлюється

Для автоматизації процесу автоматичного оновленняантивірусних баз додаємо freshclam.exe у планувальник завдань. Можна використовувати , або написати простий батник, який за розкладом лізтиме на сервер, завантажуватиме свіжі оновлення і поміщатиме їх у вказану директорію.

P.S. У такий же спосіб цей антивірус можна прикрутити і до продукту Kerio Mail Server. Також не забувайте, що це безкоштовний плагін, який сканує лише інтернет трафік. На всіх робочих станціях, включаючи шлюз з Kerio, обов'язково встановіть антивірусне ПЗ. І пам'ятайте, що жоден, навіть платний антивірусний продукт не дає 100% гарантії безпеки. А ClamAV також можна використовувати як другий антивірус для Kerio у зв'язці з макафі.

Максим Афанасьєв

У середині лютого компанія Kerio Technologies випустила оновлення флагманського продукту Kerio Control. У новій версії Kerio Control 8.5 передбачено підвищена безпекакористувачів за рахунок інтегрування двокрокової перевірки, а також численні покращення для зручності користування продуктом. Kerio Control 8.5 забезпечена новою системою переадресації Service Discovery, яка робить процес налаштування мережі гнучким та простим. Тепер віддалені користувачіможуть переглядати, виявляти та з'єднуватися з пристроями, такими як принтери, файлові серверита сканери в різних мережахабо Kerio VPN-тунелях. Крім того, у новій версії Kerio спростила процес встановлення та оновлення такого важливого компонента системи, як клієнт Kerio VPN. За допомогою нового інсталяційного пакета можливе розгортання через інструменти сторонніх виробників, таких як Apple Remote Desktop або FileWave. Нова версія Kerio Control отримала розширений набір системних повідомлень, що дозволить більш оперативно інформувати системних адміністраторів про можливі помилкита проблемах. Але про все по порядку.

Нагадаємо, що Kerio Control - це комплексне рішення в галузі безпеки, що поєднує кілька функцій, у тому числі міжмережевий екран(файєрвол) та маршрутизатор, систему виявлення та запобігання вторгненням (IPS), антивірус, VPN та фільтр вмісту. Ці широкі можливостіі неперевершена гнучкість у розгортанні роблять Kerio Control ідеальним вибором для малих та середніх підприємств. Оскільки два роки тому ми вже розповідали про цей продукт у статті «Kerio Control - комплексна безпека мережі» , в цьому огляді ми приділимо основну увагу нововведенням, які були внесені до цього продукту починаючи з версії Kerio Control 8.5.

Особливо відзначимо, що компанія Kerio вже давно стала на шлях максимальної інтеграції з віртуальними середовищамиТому новий продукт Kerio Control 8.5 поставляється як окреме середовище: Software Appliance, VMwareVirtual Appliance (OVF/VMX) та Hyper-V Virtual Appliance. Для написання даного оглядуми використали образ VMware Virtual Appliance у контейнері OVF для системи віртуалізації VMware ESXi. Розгортання цього образу не є складним завданням: найголовніше - отримати посилання на OVF-пакет, зареєструвавшись на сайті Kerio. Для ознайомлення адміністраторам надається 30-денна версія продукту без будь-яких обмежень функціоналу. А тепер повернемося до функціональним можливостямнову версію Kerio Control 8.5.

Двокрокова авторизація

«Ми продовжуємо покращувати безпеку, не жертвуючи при цьому простотою, -Мірек Крен, заявив головний операційний директор та головний керуючий компанії Kerio Technologies. -У новому релізі додані важливі та ефективні функції безпеки, які можна легко впровадити у будь-яку мережу без значного порушення роботи підприємства».

Отже, компанія Kerio інтегрувала в новий продукт двокрокову авторизацію, яка дозволить користувачам підвищити безпеку даних, а адміністраторів позбавить додаткових проблем, пов'язаних із безпекою автентифікації користувачів. Kerio Control 8.5 отримала дуже затребувану у світі двокрокову ідентифікацію користувачів, яка базується на запит одноразового коду доступу з обмеженим терміном дії (TOTP). Цей код не замінює основну авторизацію користувачів у системі Kerio Control, а лише доповнює її, тому власники підприємства можуть бути впевнені, що мережеві ресурси залишаться у безпеці, навіть якщо паролі опиняться у чужих руках.

Розглянемо впроваджену систему на типовому прикладі. Для активації цієї функції адміністратор повинен встановити відповідну галочку в меню «Домени та автентифікація». При цьому, відключивши можливість віддаленої установки, адміністратор заборонить користувачам налаштовувати двокрокову перевірку ззовні, тобто із зовнішнього інтерфейсу.

Після активації двокрокової перевірки користувача при наступному виході в Інтернет або перегляд статистики користувачеві буде видано інформаційне вікно та посилання на налаштування двокрокової авторизації.

Якщо користувач при відключеній функції віддаленого налаштування зайде на міжмережевий екран зовнішньої мережі, йому буде показано дещо інше інформаційне вікно, яке не передбачає можливості переходу на налаштування двокрокової перевірки.

Після того, як користувач потрапляє на екран налаштування цієї функції, він побачить відповідний QR-код і поле, куди необхідно ввести код, зашифрований в цьому QR-коді. Варто зазначити, що цифробуквенний код під QR-кодом - це ідентифікатор, і на нього не варто звертати уваги. Щоб прочитати QR-код, необхідно скористатися однією з відповідних програм, описаних на сторінці опису цієї функції. Як експеримент ми використовували додаток Google Authenticatorдля Android, яке взаємопов'язане зі сканером штрих-кодів (його також необхідно встановити).

Після того, як QR-код прочитаний з екрана комп'ютера, Google Authenticator автоматично згенерує відповідний код. По суті, QR-код містить у собі унікальне посиланняна відповідний код.

Потім отриманий у цій програмі код необхідно ввести у відповідне поле на сторінці авторизації Kerio Control. Не можна не відзначити, що код змінюється протягом досить короткого часу, тому запам'ятовувати його не потрібно. Все дуже просто та швидко. Проблеми можуть виникнути тільки при роботі з додатком під Windows, проте програма WinAuth, яку рекомендує Kerio, відмінно справляється і просто з посиланням на зображення.

Для адміністраторів доступна функція скидання двокрокової перевірки для всіх користувачів одразу або для кожного користувача окремо. У цьому випадку йому знову доведеться пройти всю описану вище процедуру. Якщо скидання не відбулося, користувач при наступному запиті коду лише відкриває відповідну програму та вводить отриманий код. Сканувати QR-код вже не потрібно.

Загалом двокрокова перевірка користувача - це ще одна спроба захистити користувача від різних зловмисників, адже всі люди різні, і багато хто намагається зберігати паролі, не переймаючись безпекою. У разі використання цієї функції адміністратор може бути впевнений, що навіть крадіжка пароля користувача не дасть можливості отримати доступ до внутрішньої корпоративної мережі або критично важливих даних компанії.

Система переадресації Service Discovery

У новій версії Kerio Control 8.5 з'явилася система переадресації Service Discovery, яка робить процес налаштування мережі гнучким та простим. Віддалені користувачі можуть переглядати, виявляти та з'єднуватися з пристроями, такими як принтери, файлові сервери та сканери в різних мережах або Kerio VPN-тунелях. Функція Service Discovery підтримує такі популярні протоколи, як mDNS (Apple devices), NetBIOS (Microsoft network) та SSDP (UPnP). Налаштування цієї функції дуже просте, достатньо вибрати необхідні мережі, між якими буде здійснюватися прокидання мультикасту, та активувати цю функцію. Для контролю роботи Service Discovery адміністратору доступна додатковий запису лог-файл. Слід зазначити, що Service Discovery доступна тільки для Kerio VPN, а маршрутизація в рамках IPsec VPN не підтримується, так само, як між зовнішньою і внутрішньою мережею. Це тим, що це функція спрямовано створення повноцінної внутрішньої мережіпідприємства, розподіленої по земній кулі.

Kerio VPN

Не можна не відзначити, що компанія Kerio постійно прагне відповідати новим стандартам, тому для такого важливого компонента системи, як Kerio VPN, разом з оновленням 8.5 вийшли нові клієнти під Windows, Mac і Linux. Новий інсталяційний пакет Kerio VPN для комп'ютерів під керуванням Mac OS X дозволяє розгортатись через інструменти сторонніх виробників, таких як Apple Remote Desktop або FileWave.

Зміна MAC-адреси

Не можна не відзначити маленьку, але важливу для деяких системних адміністраторів функцію. Тепер у властивостях Ethernet-адаптерів на панелі адміністрування можна змінити MAC-адресу відповідного адаптера. Цей функціонал дозволяє оперативно поміняти MAC-адресу, якщо, наприклад, провайдер зовнішньої мережі має жорстку прив'язку MAC.

Крім того, в цій оснастці адміністратор може задати MTU для адаптера, що також іноді необхідно для специфічних мереж.

Оновлена ​​функція повідомлень

За допомогою розширеного набору повідомлень електронною поштою в Kerio Control 8.5 адміністратори будуть інформовані про важливі мережеві події та стан системи. Не можна не відзначити, що для цієї функції з'явилося окреме оснащення, яке дозволяє дуже докладно виставити параметри необхідних оповіщень.

Так, наприклад, можна налаштувати надсилання оповіщень не тільки адміністраторам, а й звичайним користувачам. Можливо, ця функція буде дуже зручною для моніторингу використання корпоративної мережі керівництвом або аналітиками, які не мають адміністраторських прав. Також варто відзначити можливість пошуку події в будь-якому журналі з регулярному виразуабо патерну, що дозволить оперативно виявляти можливі проблеми, які важко діагностувати в великої мережі. Підтримується надсилання повідомлень не лише конкретним користувачам, а й на окремі поштові ящики, які можуть бути не прив'язані до корпоративних користувачів. Також реалізовано функцію затримки надсилання повідомлень та встановлення розкладу. У цілому нині, дане нововведення має позитивно позначитися на оперативності вирішення різних проблем.

Висновки

Компанія Kerio, як завжди, порадувала адміністраторів новими можливостями у своєму флагманському продукті Kerio Control 8.5. Зазначимо, що цей продукт - просте застосування комплексне рішення для управління захистом від загроз корпоративної мережі. Можливості Kerio Control 8.5 дуже широкі і дозволяють використовувати його як у невеликих установах, так і у великих та середніх компаніях з розподіленою мережеюофісів по всьому світу. Адміністратори всього світу цінують цей продукт за інтуїтивно-зрозумілий інтерфейсуправління та надійність. У Kerio Control 8.5 реалізовано одну з найкращих систем фільтрації інтернет-вмісту, яка дозволяє вибірково блокувати, дозволити або протоколювати доступ до 141 категорії веб-контенту за допомогою фільтра Kerio Control Web Filter. Таким чином, адміністратор може швидко та оперативно захистити користувачів від відвідування шкідливих сайтів, які, як відомо, містять віруси та шпигунські програмизаймаються фішингом або крадіжкою особистих даних.

Про вивчення продуктів компанії Kerio Technologies, яка випускає різноманітні захисні програмні рішення, для малого та середнього бізнесу. Згідно з офіційним сайтом компанії, її продукцією користуються понад 60 000 компаній у всьому світі.

Фахівці SEC Consult виявили безліч вразливостей у Kerio Control, UTM-рішенні компанії, яке поєднує функції брандмауера, маршрутизатора, IDS/IPS, шлюзового антивірусу, VPN і так далі. Дослідники описали два сценарії атак, які дозволяють зловмиснику не лише перехопити контроль над Kerio Control, а й над корпоративною мережеюпродукт повинен захищати. Хоча розробники вже випустили виправлення для більшої частини виявлених багів, дослідники зазначають, що реалізувати один зі сценаріїв атак, як і раніше, можливо.

За словами дослідників, рішення Kerio Control вразливі через небезпечне використання. PHP функції unserialize, а також через використання старої версії PHP (5.2.13), у якій раніше вже було виявлено серйозні проблеми. Також експерти виявили ряд уразливих PHP-скриптів, які дозволяють здійснити XSS та CSRF атакита обхід захисту ASLR. Крім того, за словами SEC Consult, веб-сервер працює з root-привілеями та не має захисту від брутфорс-атак та порушення цілісності інформації в пам'яті.

Схема першого сценарію атаки

Перший описаний експертами сценарій атаки передбачає експлуатацію одразу кількох вразливостей. Атакуючий знадобиться застосувати соціальну інженеріюі заманити жертву на шкідливий сайт, на якому буде розміщено скрипт, що дозволяє з'ясувати внутрішню IP-адресу Kerio Control. Потім зловмисник має експлуатувати баг CSRF. Якщо жертва не залогінена в панелі управління Kerio Control, атакуючий може застосувати звичайний брутфорс для підбору облікових даних. Для цього знадобиться вразливість XSS, яка дозволить уникнути захисту SOP. Після цього можна переходити до обходу ASLR і скористатися старим багом у PHP (CVE-2014-3515), щоб запустити шелл із root-правами. По суті, після цього атакуючий отримує повний доступдо мережі організації. Відеоролик демонструє атаку в дії.

Другий сценарій атаки включає експлуатацію RCE-вразливості, яка пов'язана з функцією оновлення Kerio Control і була виявлена ​​більше року тому одним із співробітників SEC Consult. Експерти пропонують використовувати цей баг, що допускає віддалене виконання довільного коду, у поєднанні з XSS-уразливістю, що дозволяє розширити функціональність атаки.

Фахівців Kerio Technologies повідомили про проблеми ще наприкінці серпня 2016 року. На даний момент компанія випустила Kerio Control 9.1.3 де більшість уразливостей усунуті. Однак компанія вирішила залишити веб-серверу root-привілеї, а також без виправлення поки що залишається RCE-баг, пов'язаний із функцією оновлення.

Шлях до архіву показаний на нижченаведених зображеннях:

Припустимо, що ви здійснюєте перехід з останньої версії KWF 6.7.1, ваша мета – працююча версія Kerio Control Appliance 8.3 (актуальна версія програми на Квітень 2014 року)

Основною «складністю» переходу в даному випадкує необхідність виконувати не пряме оновлення з KWF 6.7.1 на Kerio Control 8.3, а послідовний перехід на деякі «мажорні» (major) версії. Ця необхідність обумовлена ​​включенням до конфігураційні файлицих «мажорних» версій деяких можливостей, які вимагають після обробки після встановлення програми.
Для переходу з версії KWF 6.7.1 на версію Kerio Control 8.3 потрібно виконати такі кроки оновлення:

1. Оновлення до Kerio Control 7.0.0
2. Оновлення до Kerio Control 7.1.0
3. Оновлення до Kerio Control 7.4.2 ( фінальна версіядля Windows)

Завантажити необхідні дистрибутиви ви зможете із нашого архіву релізів.
Сам процес оновлення від версії до версії є звичайним встановленням нової версії «поверх» старої. Програма встановлення автоматично завершить роботу системної служби Kerio Control (Kerio Winroute Firewall), визначить директорію установки поточної версії Kerio Control (Kerio Win-route Firewall) та здійснить заміну файлів програми, що вимагають оновлення; файли протоколів програми та конфігурації користувача зберігаються без змін. Файли конфігурації будуть збережені у спеціальній директорії «UpgradeBackups», розташованій у корені директорії %programmfiles%\Kerio\.

Відео ролик штатного процесу оновлення:

Перехід на останню версію Windows Kerio Control 7.4.2 буде фінальним кроком оновлення в рамках даної платформи. Наступними етапами переходу є підготовка Appliance платформи, перенесення конфігурації, бази журналів та статистики користувача.

Перехід до платформи Appliance.

У даному розділіми розглянемо варіанти розгортання різноманітних Appliance-дистрибутивів Kerio Control.

Встановлення Software Appliance

Цей варіант інсталяційного пакета може бути розгорнутий такими способами:

• ISO образ може бути записаний на фізичний CD або DVD носій, який надалі необхідно використовувати для встановлення Kerio Control на фізичний чи віртуальний хост.
• У разі використання віртуальних ПК, ISO-образ можна підключити як віртуальний CD/DVD-ROM для встановлення з нього, без необхідності запису на фізичний носій.
• ISO образ можна записати на USB-flash накопичувач та зробити установку з нього. Для уточнення інструкцій зверніться до відповідної статті (kb.kerio.com/928) у нашій базі знань.

Встановлення VMware Virtual Appliance

Для встановлення Kerio Control VMware Virtual Appliance на різні засобивіртуалізації від компанії VMware, використовуйте відповідний варіант дистрибутива Kerio Control VMware Virtual Appliance:

Для VMware Server, Workstation, Player, Fusion використовуйте заархівований (*.zip) VMX файл:

Встановлення віртуального модуля у VMware player

• Для VMware ESX/ESXi/vSphere Hypervisor використовуйте спеціальне OVF-посилання для імпорту віртуального модуля, що має вигляд:

http://download.kerio.com/en/dwn/control/kerio-control-appliance-1.2.3-4567-linux.ovf

VMware ESX/ESXi автоматично завантажить OVF-конфігураційний файл та відповідний йому образ віртуального жорсткого диска(.vmdk)
При використанні формату OVF необхідно враховувати наступні аспекти:

• У віртуальному модулі Kerio Control синхронізацію часу з сервером віртуалізації вимкнено. Проте Kerio Control має вбудовані інструменти синхронізації часу з публічними мережевими джерелами часу Інтернету. Таким чином, використання синхронізації між віртуальною машиною та сервером віртуалізації необов'язкове.
• Завдання "відключення" та "перезапуску" віртуальної машини будуть виставлені в значення "за замовчуванням". Можливість встановлення цих значень у режим «примусового» відключення та «примусового» перезапуску збережена, однак ці варіанти відключення та перезапуску можуть стати причинами втрати даних у віртуальному модулі Kerio Control. Віртуальний модуль Kerio Control підтримує т.зв. "м'яке" відключення і "м'яке" перезавантаження, що дозволяють вимкнути або перезавантажити гостьову ОС правильним чином, тому рекомендується використовувати значення за замовчуванням.

Встановлення віртуального модуля (ovf) у VMware vSphere

Встановлення Virtual Appliance для Hyper-V

• Завантажте заархівований (*.zip) дистрибутив, розпакуйте його в потрібну папку.
• Створіть нову віртуальну машину, виберіть опцію «Використовувати віртуальний жорсткий диск», вказавши як образ диска файл, розпакований із завантаженого архіву

Встановлення віртуального модуля у MS Hyper-V

Наступним важливим моментомпідготовки до переходу на Appliance платформу, є коректне налаштування мережевих інтерфейсівна вибраній Appliance платформі.

Налаштування мережевих інтерфейсів у Software Appliance

У псевдографічному інтерфейсі Kerio Control Software Appliance доступні можливості налаштування IP адреси/множини адрес у статичному або динамічному режимі, створення VLANінтерфейсів та можливість налаштування інтерфейсу в режимі PPPoE.

Примітка:Початкове налаштування мережевих інтерфейсів у самому дистрибутиві Kerio Control Software Appliance ідентичне для всіх збірок Kerio Control Appliance, відмінності є лише при налаштуванні віртуальних мережевих інтерфейсів у різних середовищах віртуалізації, де може застосовуватись Kerio Control.

Підготовка віртуальних мережевих інтерфейсів у Hyper-V

Для виконання коректної та мінімально необхідного налаштуваннявіртуального комутатора Hyper-V вам потрібно виконати такі кроки:

Зіставлення фізичних та віртуальних мережевих інтерфейсів

Перевірка наявності служби віртуального моста на фізичних мережевих інтерфейсах сервера

Для ознайомлення з варіантом швидкого налаштування мережевих інтерфейсів Kerio Control Hyper-V virtual Appliance перегляньте наступний відеоролик:

Підготовка віртуальних мережевих інтерфейсів у VMware vSphere

Приблизно такий самий ланцюжок дій і у разі підготовки віртуальних мережевих інтерфейсів в vSphere.

Створення кількох віртуальних комутаторівкількість залежить від ваших потреб у віртуальних мережевих комунікаціях.

Створення віртуального комутатора у VMware vSphere

Створення віртуального комутатора у VMware vSphere

Додавання відповідних фізичних мережевих інтерфейсів до віртуальних комутаторів для можливості взаємодії з ними фізичної ЛОМ підприємства

Зіставлення створених віртуальних комутаторів із віртуальними мережевими інтерфейсами Kerio Control VMware Virtual Appliance

Після того, як Appliance збірка була розгорнута і було здійснено налаштування мережевих інтерфейсів, ви можете перейти до перенесення основної конфігурації користувача з вашої Windows версії Kerio Control.
Сам процес перенесення конфігурації і двох кроків:

Збереження поточної конфігураціїз використанням помічника конфігурування

При виконанні збереження конфігурації рекомендується запам'ятати, а краще виписати, MAC-адреси Ваших поточних мережевих інтерфейсів та їх відповідність IP-адресам, що використовуються. Це знадобиться при відновленні конфігурації на новій установці Kerio Control Appliance.

Процес збереження конфігурації показаний на наведених нижче зображеннях:

Після цього кроку ви зберегли архів, що включає всі файли конфігурації користувача поточної версії Kerio Control.

Наступним кроком є ​​відновлення раніше збереженої конфігурації на Appliance. При відновленні конфігурації помічник конфігурації запропонує зіставити конфігурацію старих мережевих інтерфейсів з новими серверами Kerio Control Appliance.

Примітка:Це саме той момент, коли Вам знадобиться інформація про MAC та IP-адреси зі старого сервера, яку Ви виписали або запам'ятали при збереженні конфігурації на старому.

Процес відновлення конфігурації показаний на наведених нижче зображеннях:

Для збереження конфігурації сервер Kerio Control Appliance виконає автоматичне перезавантаження, після чого його можна буде використати.

І ось тут починається найцікавіше! Те, що ви читатимете нижче, не описано в жодній офіційній, та й у неофіційній документації, тобто. тут буде вміщено кілька прийнятних «лайв хаків», використання яких допоможе вам у виконанні таких важливого процесу, переходу на платформу Appliance Kerio Control.

І як завжди, перш ніж ми перейдемо з вами до безпосереднього опису, звичний «дисклеймер»:

ВАЖЛИВО:Описана нижче процедура не є документованою можливістю, тому щоб уникнути небажаних наслідків, перш ніж Ви почнете виконувати перенесення даних, створіть їх повну резервну копію шляхом копіювання даних на захищене сховище.

І так переступимо! Спочатку збережемо поточну базу протоколів програми. Для цього треба зберегти файли протоколів, які розташовуються вказаним шляхом

%programfiles%\kerio\winroute firewall\logs\*

Для кращого збереження цих даних перед виконанням перенесення рекомендується виконати їхню резервну копію на доступне безпечне сховище.

Потім, зберігаємо поточну базу даних статистики користувача. Вся ця інформація зосереджена у файлі бази даних firebird, що міститься в папці

%programfiles%\kerio\winroute firewall\star\data\

Звідти нам потрібен лише файл star.fdb. Для збереження цих даних перед виконанням перенесення рекомендується виконати резервну копію на доступне безпечне сховище.

Після того, як ми виявили та зберегли всю необхідну інформаціюнам необхідно її перенести на новий сервер, що працює під керуванням Kerio Control Appliance, для цього перше, що вам потрібно зробити для завантаження збережених раніше даних на Kerio Control Appliance, це включити сервер SSH для виконання SFTP доступу. Для цього у веб-інтерфейсі адміністрування Kerio Control перейдіть до меню Стан -> Стан системи, натисніть і тримайте клавішу Shift і клацніть по кнопці « Дії». У списку виберіть пункт « Увімкнути SSH», підтвердіть ваші дії, погодившись з питанням у вікні.

Після цього необхідно переконатися, що у правилах трафіку Kerio Control Ви дозволили доступ до хоста Kerio Control Appliance за протоколом SSH із потрібного Вам розташування.

Після того, як Ви увімкнули SSH і дозволили відповідний доступ, Вам необхідно здійснити підключення до сервера Kerio Control Appliance для завантаження на нього необхідних даних протоколів та бази даних статистики користувача. Для цього ми будемо використовувати програму WinSCP, яка дозволяє виконувати підключення за протоколом SFTP.
Для підключення до сервера Kerio Control Appliance необхідно вказати ім'я користувача та пароль доступу, як ім'я користувача вкажіть ім'я root (без лапок); як пароль вкажіть пароль вбудованого в Kerio Control облікового запису “Admin”.

Параметри sFTP підключення до Kerio Control

Після встановлення підключення необхідно розмістити Ваші дані у певних папках сервера. Файли протоколів потрібно скопіювати до папки /var/winroute/logs, а файл статистики користувача в папку /var/ winroute/star/data, у своїй старі файли потрібно або видалити, або перейменувати.

Примітка:Краще перейменувати старі файли, щоб зберегти резервну копію поточних даних. У разі файлів протоколів програми перейменовувати треба лише старі файли з розширенням *.log

Після завершення копіювання необхідно перезапустити Kerio Control. Для цього необхідно отримати прямий доступ до Kerio Control Appliance. У випадку Software Appliance доступ здійснюється через монітор і клавіатуру самого сервера, на якому встановлений Kerio Control Software Appliance. У випадку віртуального модуля Kerio Control доступ здійснюється через консоль відповідного середовища віртуалізації. У решті дії будуть однакові.

Для переходу із псевдографічної консолі до інтерфейсу командного рядка, натисніть клавішу Alt-F2. У запрошенні на введення імені користувача вкажіть ім'я “root” (без лапок), натисніть “enter”, введіть пароль вбудованого в Kerio Control облікового запису «Admin».

Примітка:необхідно врахувати, що в ОС сімейства Linuxвведення пароля не відображається навіть значками астериску, і якщо Ви припустилися помилки, виправити її буде не можна - доведеться вводити пароль заново.

У запрошенні на введення команди введіть таке:

/etc/boxinit.d/60winroute restart

Ця команда виконає перезапуск демона (служби) Kerio Control, після чого Kerio Control «підчепить» скопійовані раніше дані протоколів програми та статистики користувача.

Після старту демона Kerio Control, необхідно перевірити цілісність перенесених даних, для цього можна скористатися веб-інтерфейсом статистики користувача та/або веб-інтерфейсом адміністрування програми Kerio Control.

Якщо з усіма даними все гаразд, можна вважати перехід на нову платформу Kerio Control Appliance завершено і залишилося лише виконати штатну процедуру оновлення Kerio Control до актуальної на поточний моментверсії. Якщо ж із якоюсь частиною даних «не все гаразд», то є два варіанти:
1) упевнитися, що дані взяті з вихідного сервера Kerio Control (KWF) були спочатку в порядку;)
2) якщо з вихідними даними все ок, необхідно повторити процедуру перенесення тієї частини даних з якими були проблеми.
3) якщо рішення із пп. 1 і 2 не допомогли, то залиште коментар, спробуємо розібратися разом:)

Тепер, коли всі важливі дані на своїх місцях, можна підтягнути версію Kerio Control Appliance до актуальної. Штатний процес оновлення може проходити двома способами, в автоматичному та ручному режимах.

Автоматичний режим оновлення версії.

Kerio Control може виконувати автоматичну перевіркунаявність нових версій на сайті оновлення компанії Kerio.

1. Додаткові опції », у вкладку « Перевірка оновлень»
2. Увімкніть опцію « Періодично перевіряти наявність нових версій». Kerio Control перевірятиме наявність нових версій кожні 24 години. Як тільки буде встановлено нову версію, на вкладці « Перевірка оновлень» буде відображено посилання для завантаження оновлення. Щоб перевірити наявність оновлення негайно, клацніть на кнопці « Перевірити зараз»
3. Якщо Ви хочете завантажувати оновлені версії відразу після їх виявлення, увімкніть опцію « Завантажувати нові версії автоматично». Як тільки нову версію буде завантажено, Ви отримаєте відповідне повідомлення у веб-інтерфейсі адміністрування.
4. Після завантаження оновлення натисніть кнопку « Оновити зараз»
5. Підтвердіть Ваш намір зробити оновлення та виконати наступне автоматичне перезавантаження Kerio Control
6. Дочекайтеся завершення встановлення нової версії та перезавантаження Kerio Control.
7. Оновлення завершено.

Ручний режим оновлення версії.

Цей режим оновлення може бути корисним за таких обставин:

• Відкат на попередню версію Kerio Control
• Оновлення на проміжну чи не чергову версію (наприклад, закритий реліз Beta).
• Оновлення шлюзу за наявності максимальних обмеженьдля МСЕ на доступ до ресурсів Інтернету.

Для виконання оновлення в ручному режиміВам необхідно завантажити спеціальний образ (Upgrade Image) зі сторінки завантаження Kerio Control (http://www.kerio.ru/support/kerio-control).

Після завантаження виконайте такі дії:

• У веб-інтерфейсі адміністрування перейдіть до пункту меню « Додаткові опції», у вкладку « Перевірка оновлень»
• Клацніть на кнопку « Вибір»
• Вкажіть розташування файлу образу оновлення (kerio-control-upgrade.img)
• Клацніть на кнопку « Завантажити файл оновлення версії»
• Після завантаження клацніть на кнопку « Розпочати оновлення версії»
• Дочекайтесь оновлення версії та перезавантаження Kerio Control
• Оновлення завершено.

Вуаля, у вас повноцінний інтернет-шлюз на базі Kerio Control Appliance! Вітаємо вас із завершенням процесу переходу на UTM Kerio Control!

Тільки зареєстровані користувачі можуть брати участь в опитуванні.