Kerio Control 7.0.0 RC 1
 

Kerio Control 7.0.0 RC 1


Release notes:
Date: March 2, 2010
Copyright © Kerio Technologies s.r.o. All rights reserved.
1 Introducing Kerio Control 7
Kerio has played an active role in Internet security since 1997 with the introduction of WinRoute Pro. Originally a software Internet router, WinRoute Pro evolved into a gateway security server, helping SMB customers around the world to connect securely to the Internet.
As the team behind WinRoute continued to improve the product, WinRoute started to cater to business needs beyond perimeter protection. Gateway content filtering, multiplatform VPN, and Internet usage analytics were added not only to expand security but to improve quality of service.
WinRoute reached another milestone with the release of its virtual and software appliance editions further expanding deployment options for a new generation of IT environments. We recognize that many IT functions will go virtual, and that more and more customers will choose virtual appliances for their security needs.
As organizations and businesses worldwide continue to increase their reliance on Internet connectivity, achieving the right balance of security, performance and productivity will require greater control of the network and how and what people access.
Introducing Kerio Control, the next generation of WinRoute. We feel the new name more accurately reflects the value proposition, feature set and future direction for the product.
2 Kerio Control 7 - Unified Threat Management
Kerio has added a new IDS/IPS system. It plays an instrumental role in detecting and preventing application exploits and malicious traffic. It was developed by Kerio and is based on the industry-standard Snort project. Just like our built-in McAfee gateway antivirus, the IDS/IPS gets frequent automatic updates to ensure that networks are continuously shielded from emerging threats.

3 Changes in Kerio Control 7.0.0 RC 1 (since 7.0.0 beta 2)

• Upgrade from Kerio Control 7.0.0 beta will fail. A clean installation is required.
• User cannot change paths to Control internal directories. These values are reset to Kerio defaults on upgrade. Check warning log after upgrade
• User cannot change paths to RAS before/after dial scripts. Kerio defined script names are used. Check warning log after upgrade
• Slovak localization was removed from administration interfaces
• Fixed: Valid McAfee license was reported as expired
• Fixed: IPS false possitives caused by too deep inspection (ET TROJAN TinyPE Binary - Possibly Hostile)
• Fixed: The option 'Packets dropped for some reason' in debug log did not log packets dropped by IPS
• Fixed: NTLM authentication does not work if user name contains national characters
• Fixed: Random crash in login to Kerio Control Administration
• More descriptive names used for IPS blacklists

4 Changes in Kerio Control 7.0.0 beta 2 (since 7.0.0 beta 1)

• Re-added support for Windows 2000 and Windows XP SP1
• Syslog: User cannot change Facility and Severity. These values are reset to Kerio defaults on upgrade. Check warning log after upgrade
• StaR: Fixed: Activity log was off by several hours in some time zones
• Fixed: IPS engine did not get packets outgoing through Internet interfaces, causing some rules fail to match
• Fixed: Connection over PPPoE did not work
• Fixed: Password was not masked on PDA login page
• Software Appliance: Fixed: Crash upload always failed with error 10100
• Software Appliance: Fixed: Ctrl-C in Kerio Console can terminate Kerio Control
• Fixed: Kerio Web Filter sometimes failed to categorize long URLs
• IPS preprocessor rules severities revised
• Kerio Control Administration: Fixed: cancelling search in Log causes Unknown error
• Kerio Control Administration: Fixed logs highlighting
• Administration Console: Fixed: VPN IP Pool Dump crashes engine
• Administration Console: Fixed: It was not possible to add/edit IP Range in Traffic Rules

5 Changes in Kerio Control 7.0.0 (since 6.7.1)

• New Intrusion Prevention System (IPS/IDS)
• Added MAC Filter
• Multiple IP addresses on an adapter
• License counting and policy changed
• Rebranding
• DHCP scopes autoconfiguration (only available in Web Administration)
• VMware Virtual Appliance available in OVF format
• Increased reliability of driver installation procedure
• Kerio Control Software Appliance: Added SCSI HDD drivers
• Kerio Control Software Appliance: Added E100 network drivers
• Kerio Control Software Appliance: Fixed 'winroute blocked for more than 120 seconds' error
• Kerio Control Administration web interface: DHCP screen added
• Kerio Control Administration web interface: Advanced Options screen added
• Kerio Control Administration web interface: Logs viewer added
• Kerio Control Administration web interface: Fixed: Cannot set 0 MB/s as link bandwidth
• Kerio Control Administration web interface: Various design improvements and minor bug fixes
• Kerio Administration Console: added link to WebFilter recategorization page
• Fixed: DNS forwarder does not work when WAN IP has been changed
• VPN Client for Mac: Fixed DNS problems on Snow Leopard
• VPN Client for Mac: Fixed: It was not possible to use some strong passwords

6 Known Issues

• Upgrade from Kerio Control 7.0.0 beta will fail. A clean installation is required.
• The Kerio Control 7.0.0 RC 1 installation packages for Microsoft Windows come with new device drivers. These drivers haven't passed the WHQL signing process yet. Based on your operating system settings you may be asked for confirmation of software installation several times. It is not recommended to perform the installation via remote desktop.

Есть желание по тестировать?

ставил, ни чего интересного, мак фильтр например: список либо банить этот список или пропускать и все, мда А нельзя например в правилах использовать мак адреса как Ip? New Intrusion Prevention System (IPS/IDS) свою лицензию, м да, а нельзя было сделать просто типо как в линуксе: # Максимум 10 одновременных соединений с одного IP /sbin/iptables -A INPUT-p tcp --dport 80 -m iplimit --iplimit-above 10 -j REJECT или iptables --append lim1-m limit --limit 20/sec --jump RETURN 20 соединений в секунду, или типо того Я уж подумываю на линукс перейти, хоть и не шарю сильно. ща полно ddos атак в инете, должны же быть хоть какие-то защиты по этому вопросу. типо этого: iptables -A INPUT -p tcp --dport 80 -m string --string "GET /setting." --algo kmp -j DROP или iptables -t filter -A FORWARD -p icmp -m limit --limit 250/sec --limit-burst 500 -j Tarpit :D ну вы уловили суть :) создать динамически создаваемую группу адресов и правило бан с этим списком адресов, которое будет на верху, и туда будут заноситься Ip атакуемых машин исходя из выше указанных правил, постоянные баны или по времени, думаю если постараться под винду это можно сделать

coolman, http flood фильтр делал бабах. У него лучше чем в линуксе получилось, причем ИП номера заносятся в БД.

tihon_one, Я бы потестил, но мне пока негде, да и работа счас такая, что ничего туда не принесешь/вынесешь... По секрету скажу - СВР...

HOG,ну ты черкни если что вдруг пронесёшь 80))

а по хорошему пора разносить функции в продукте, а не наворачивать типа всё в одном флаконе, я за модульность.

Добавлено через 32 секунды
tihon_one, и ПОТЕСТИРОВАТЬ слитно пишетцо ;)

Babah22,по поводу модульности, тут вопрос тёмный, но скоро будет свет в конце тоннеля, и мы сможем вам прояснить что да как у нас теперь, но на момент выхода данного RC всё как обычно.

P.S.>>вот чиорт, да это моя ахиллесова пята, буду брать у вас уроки грамотности ;)

tihon_one, ну тада и ещё один вопросик, а с чем связано ограничение скорости на интерфейсах, обслуживаемых драйверами керио?

я канечно могу реассемблировать или декомпилировать дрова и поглядеть, хде что подправить, но если честно то лень :) может быть в этом есть какой то тайный смысл - в ограничении пропускной способности.

Babah22, вы про максимальную пропускную способность нашего сетевого драйвера? Это уже неактуально, также смотрел тесты наших разрабов, в Kerio Control максимальная пропускная способность, при отключении PI и IDS\IPS доходит до 1 Гбит\с.

tihon_one, я вот смотрю на записки по форуму и вижу удручающую картину, а именно максимальная пропускная способность драйверов 40 мб у сек, не может ПИ так влиять, если канечно ПИ - это фильтр заголовков.

Хоть бы определение ПИ написали, а то мы тут сидим и хором гадаем, шо це воно такэ и нафига нада :)

Babah22, если есть желание потереть на данную тему, то давайте по мылу пообщаемся, ибо тут тема совсем о другом.

tihon_one, могу хоть сейчас сделать тему в любом разделе и там вместе и пообщаемся, не вижу смысла скрывать наше общение от форумчан, ибо многим интересно это, а смысла в переписке по мылу я не вижу. И кстати все посты туда же и перенесу.

Babah22, да скрывать никто не собирается.
Конечно создавайте новую тему, и переносите все посты, кои к ней относятся, только тогда, раз уж вы говорите об ограничении в 40 mbit\s в последних версиях KWF, то приведите условия теста, и результаты теста в удобоворимом виде, чтобы я смог это транслировать, наиболее корректно нашим разработчикам, чтобы они смогли предоставить вам наиболее полный ответ.

все обыскал, не нашел, лишь только эта тема: [Для просмотра данной ссылки нужно зарегистрироваться] но там нету

coolman,да есть такая тема
Babah22а,читал. он с фильтром какбе замял на времемя. гдето фдрухой ветко читал.
HOG,СВР... - хуиз. ненашол

Igor Onats,
coolman, фильтр не публиковался на сайте, ибо мало кому он нужен, писался быстро когда была ддос атака на сайт и форум, использовались дрова сторонних производителей с ограничениями естественно. Воспользовался ли Налиман этим фильтром я не в курсе.

Выкладывать ли его или нет я не знаю, мало кого ддосят.

Добавлено через 1 минуту
СВР как я понимаю - Служба, а дальше фсё в аватаре Хога ;)

Babah22, Прально. :)

Выкладывай, однозначно! С удовольствием потестирую...есть машинка которую почему-то периодически "не любят"...)

Вопрос вот по этой строке Получается обновить не получиться как обычно? А когфиги хоть останутся или все заново настраивать?

Вышел второй релиз кандидат
[Для просмотра данной ссылки нужно зарегистрироваться]

Починен очень распростарненный баг, когда ВПН тунель вроде как живее всех живых но данных по нему не передается.