Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > BETA секция > Kerio Winroute Firewall

Важная информация

Ответ
 
Опции темы
Старый 23.01.2015, 15:50   #181
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,699
По умолчанию Re: Предложения по расширению функционала

Не нашел более правильной темы, поэтому скажу здесь.

Control совершенно штатно (при использовании прокси) ведет себя интересным образом криво: если пользователь аутентифицирован, то после удалении этого пользователя его соединения автоматически не рвутся.
Т.е. пользователя в базе уже нет, а в интернет он ходит и при поддержании своей регулярной активности может ходить практически вечно.
Был заведен багрепорт [#IJU-904088] и получен ответ, что "все работает корректно, так как Kerio Control имеет свою кэш (соответсвие IP-адреса и пользователя). Для выхода пользователя перейдите в раздел "Активные хосты" найдите пользователя и выберите опцию "Выход пользователя".

Если я грохнул пользователя, то я - очевидно - уже прямо сейчас не хочу, чтобы он продолжал работать в системе как ни бывало как пользователь. И система должна порвать все его соединения и осуществить его выход автоматом. А в место этого имеем дыру в безопасности.

Последний раз редактировалось exchar; 23.01.2015 в 15:55. Причина: пунктуация
exchar на форуме   Ответить с цитированием Вверх
Старый 23.01.2015, 16:06   #182
tihon_one
ExKerio RU staff
 
Аватар для tihon_one
 
Регистрация: 14.07.2009
Адрес: Kerio Russia
Сообщений: 895
По умолчанию Re: Предложения по расширению функционала

уважаемый, exchar,эта проблема известна давно, но назвать её дырой, как-то языке не поворачивается, да это такой не очень привычный by design, суть в том, что у вас, скорее всего выставленно время сессии пользователей на хостах, так что рано или поздно ваша учётка отвалится сама с хоста и больше аутентифицироваться на нём не сможет. Аутентифицироваться на другом хосте она не сможет сразу как вы её удалите\заблокируете.
tihon_one вне форума   Ответить с цитированием Вверх
Старый 23.01.2015, 16:19   #183
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,699
По умолчанию Re: Предложения по расширению функционала

Цитата
Сообщение от tihon_one Посмотреть сообщение
скорее всего выставленно время сессии пользователей на хостах
Согласен, про действие времени сессии как-то не подумал.

Цитата
Сообщение от tihon_one Посмотреть сообщение
так что рано или поздно ваша учётка отвалится сама
Бывают такие организации, где счет может идти на минуты.
Но все это, конечно, редкость.

UPD:
tihon_one, письмо об оповещении увидел, спасибо!

Последний раз редактировалось exchar; 23.01.2015 в 16:29. Причина: UPD
exchar на форуме   Ответить с цитированием Вверх
Старый 24.01.2015, 01:42   #184
Mr.Torture
Пейсатель професеонал
 
Аватар для Mr.Torture
 
Регистрация: 25.09.2009
Адрес: г. Партизанск
Сообщений: 1,139
По умолчанию Re: Предложения по расширению функционала

В продолжение предыдущего оратора - траббла явно связанная - юзаем версию ФСТЭК - может, конечно, и сам дурак и что-то не так делаю, в общем, при редактировании уже существующих юзеров имеется неприятный эффект - добавление или удаление юзера из групп, на которые распространяются различные запреты, ни какой реакции Керио даже после кика юзера и повторной авторизации - приходится останавливать и запускать заново Керио.
__________________
Welcome to the Torture chamber...
Mr.Torture вне форума   Ответить с цитированием Вверх
Старый 27.01.2015, 11:21   #185
tihon_one
ExKerio RU staff
 
Аватар для tihon_one
 
Регистрация: 14.07.2009
Адрес: Kerio Russia
Сообщений: 895
По умолчанию Re: Предложения по расширению функционала

Mr.Torture,, хз в актуальной версии не встречал, ждём новый сертификат на аплианс версию по ФСТЭК, там такого вроде не было уже.
tihon_one вне форума   Ответить с цитированием Вверх
Старый 27.01.2015, 17:08   #186
Valery12
Одменестрадор
 
Аватар для Valery12
 
Регистрация: 21.11.2006
Адрес: Владимир, Россия
Сообщений: 2,935
По умолчанию Re: Предложения по расширению функционала

Цитата
Сообщение от tihon_one Посмотреть сообщение
там такого вроде не было уже
тут вопрос как часто контрол проверяет состав группы, вряд ли при прохождении каждого пакета (слишком затратно), наверняка кеширует.
Valery12 вне форума   Ответить с цитированием Вверх
Старый 16.02.2015, 22:14   #187
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,699
По умолчанию Re: Предложения по расширению функционала

Хочется увидеть в control несколько неожиданную, но абсолютно очевидную фичу.

Иногда бывает добавлено слишком много правил, интерфейсов, маршрутов, групп и прочего, чтобы для некоего конкретного пакета можно было быстро понять, что с ним сделает control, и почему сделает именно это.

Обычно мы тратим драгоценное время шаримся по весьма разным частям админки в сочетании с маршрутами, дергаем логи, тралим wireshark, выполняем 100500 танцев с бубном, чтобы для начала понять где именно "пошло не так" всего один момент - ошибка в настройках control или где-то еще?

В винде есть отличная штука - проверка действующих разрешений для пользователя папки.
По аналогии хочется иметь инструмент в админке control, куда можно ввести реквизиты пакета и увидеть последовательно, что с ним в соответствии с отдельными правилами и другими настройками сделает control и куда пакет в итоге направит. Какие именно правила применятся и как отработают маршруты.

В плане детальности - уровня wieshark будет достаточно любой удобный вариант на первое время.
exchar на форуме   Ответить с цитированием Вверх
Старый 17.02.2015, 10:11   #188
Valery12
Одменестрадор
 
Аватар для Valery12
 
Регистрация: 21.11.2006
Адрес: Владимир, Россия
Сообщений: 2,935
По умолчанию Re: Предложения по расширению функционала

Цитата:
Сообщение от exchar Посмотреть сообщение
Хочется увидеть в control несколько неожиданную, но абсолютно очевидную фичу.

Иногда бывает добавлено слишком много правил, интерфейсов, маршрутов, групп и прочего, чтобы для некоего конкретного пакета можно было быстро понять, что с ним сделает control, и почему сделает именно это.

Обычно мы тратим драгоценное время шаримся по весьма разным частям админки в сочетании с маршрутами, дергаем логи, тралим wireshark, выполняем 100500 танцев с бубном, чтобы для начала понять где именно "пошло не так" всего один момент - ошибка в настройках control или где-то еще?

В винде есть отличная штука - проверка действующих разрешений для пользователя папки.
По аналогии хочется иметь инструмент в админке control, куда можно ввести реквизиты пакета и увидеть последовательно, что с ним в соответствии с отдельными правилами и другими настройками сделает control и куда пакет в итоге направит. Какие именно правила применятся и как отработают маршруты.

В плане детальности - уровня wieshark будет достаточно любой удобный вариант на первое время.
так это выглядит у cisco
[Для просмотра данной ссылки нужно зарегистрироваться]
Valery12 вне форума   Ответить с цитированием Вверх
Старый 17.02.2015, 11:52   #189
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,699
По умолчанию Re: Предложения по расширению функционала

Цитата
Сообщение от Valery12 Посмотреть сообщение
так это выглядит у cisco
Да, что-то подобное. Только с заданием большего количества параметров пакета и времени его "отправки".
exchar на форуме   Ответить с цитированием Вверх
Старый 18.02.2015, 13:30   #190
tihon_one
ExKerio RU staff
 
Аватар для tihon_one
 
Регистрация: 14.07.2009
Адрес: Kerio Russia
Сообщений: 895
По умолчанию Re: Предложения по расширению функционала

Так в контрол есть:

1) тест правил трафика(по заданным(простым) параметрам)
2) встроенный снифер, условия работы которого можете задавать какие угодно, если вы в теме wireshark то составить какое-нибудь правило вам фильтрации не сложно, если с правилами сложно, но понимание детализации WS есть, просто ANY и вперёд.
tihon_one вне форума   Ответить с цитированием Вверх
Старый 18.02.2015, 14:19   #191
exchar
Администратор
 
Аватар для exchar
 
Регистрация: 21.04.2008
Сообщений: 3,699
По умолчанию Re: Предложения по расширению функционала

Цитата
Сообщение от tihon_one Посмотреть сообщение
Так в контрол есть:
1) тест правил трафика(по заданным(простым) параметрам)
Есть, но:
а) всего три параметра (смотрел в 8.4.2). Даже порт назначения не разбивается на tcp/udp.

б) обрабатываются только правила трафика, остальные настройки control, непосредственно влияющие на действия с пакетом - не учитываются. А хорошо бы.

Цитата
Сообщение от tihon_one Посмотреть сообщение
2) встроенный снифер, условия работы которого можете задавать какие угодно, если вы в теме wireshark то составить какое-нибудь правило вам фильтрации не сложно, если с правилами сложно, но понимание детализации WS есть, просто ANY и вперёд.
Не всегда есть возможность заранее физически сгенерировать пакет, чтобы ловить его потом сниффером.
Допустим у нас куча правил и т.п., нужно в пятницу прокинуть некие порты на сервер в dmz, чтобы в субботу фирма-контрагент X настроила некое оборудование Y (которого мы в руках не держали) на доступ через них. Возникает нехилое желание заранее проверить полную отработку control по этому вопросу, чтобы не получить утром в субботу звонок от X: "не работает, может у вас IPS лочит". Или что-то в этом духе.
exchar на форуме   Ответить с цитированием Вверх
Старый 18.03.2015, 13:39   #192
lext89
 
Аватар для lext89
 
Регистрация: 28.05.2013
Сообщений: 12
По умолчанию Re: Предложения по расширению функционала

а что на счет работы с API от яндекса или гугла, для встроенного безопасного поиска? Я тут подумал, было бы неплохо добавить в функционал керио фильтра, что-то вроде "встроенной учетной записи google или яндекс" для фильтрации https результатов по умолчанию типа "безопасного (семейного) поиска". Или такое уже обсуждалось ?
lext89 вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 09:31. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях