|
FAQ Kerio Control - DNS and Sophos/WebFilter/McAfee: как активировать без патча эти компоненты в аплянсе. |
Мы установили какой-либо продукт Kerio и не желаем платить несуразную сумму жадным капиталистам. Что же нам делать в этом случае? Для начала подумать, а как этот продукт распознает, что ему можно работать или нет? Ответ давно известен - этот продукт задает вопросы своему производителю через Интернет.
А что запрашивается у Kerio?
- подтверждение актуальности номера лицензии этого продукта;
- номер действующего для данной лицензии ключа для WebFilter;
- возможность получения обновлений антивируса Sophos для этой лицензии;
- возможность получения обновлений Snort для этой лицензии;
- возможность получения обновлений антивируса McAfee для старых продуктов;
- наличие новых версий продукта, если такая опция включена.
А как запрашивается?
Номер лицензии и ключ ESOFT для WebFilter - по протоколу HTTPS, и только в случае недоступности этого протокола (что сделать очень трудно) - по протоколу HTTP. В остальных случаях номер лицензии и куча сопутствующей информации о клиенте свободно и открыто передается по протоколу HTTP.
А где запрашивается?
У серверов производителя. Их много, каждый отвечает за свой вопрос и. естественно, каждый имеет свое имя в сети. Адреса их могут меняться, да и имена иногда меняются, но суть остается неизменной - они есть в домене kerio.com всегда.
Небольшое отступление. Мы здесь сознательно не будем говорить о лицензиях на продукты Kerio по следующим причинам: это самый больной вопрос для халявщиков и, следовательно, самый закрытый, поэтому мы предположим, что у нас или закончился оплаченный период техподдержки (когда обновления как бы доступны официально - это не наша проблема), или мы не хотим в нашем купленном продукте урезать свои желания под диктовку кериотов, или, наконец, мы применили известный патч, но запутались в его описании напрочь. Аналогии про лицензии на продукт каждый может искать в этом тексте для себя самостоятельно.
Т.е. мы имеем работающий продукт - допустим Kerio Control 7.xx - с неработающими компонентами: WebFilter, Sophos, Snort и McAfee. Вот их мы и активируем малой кровью - за счет того, что кериоты никогда не смогут контролировать - системы разрешения доменных имен DNS. Что такое ДНС и как его настраивать - читаем здесь. Мы же предполагаем, что система ДНС у нас настроена и проблем с ней нет.
ВАЖНО !!! Совершенно без разницы какую операционную систему или какой продукт мы используем - Линух, Вин или Параллели - суть одна и та же: настройки ДНС. Т.е. для реализации нашей задумки мы можем вообще не иметь доступа к продукту Kerio, но должны иметь возможность управлять настройками ДНС вне зависимости от того, где расположена сама эта система.
Какие варианты по построению системы ДНС?
Их всего два: локальный файл HOSTS или сервер ДНС в локальной сети. Встроенный в Kerio Control сервер ДНС таковым по сути не является, это просто повторитель и ретранслятор ДНС-запросов, поэтому никакого отношения к рассматриваемому вопросу он не имеет.
Как устроен файл HOSTS и как управлять ДНС-сервером здесь рассматривать не будем, предположив, что любой начинающий админ азбуку уже знает.
Что имеется в исходной информации?
Домен - kerio.com. Обращаемся к любой системе обслуживания ДНС типа http://www.dnsstuff.com/ или смотрим на состав группы SUKI и в числе прочей информации узнаем, что указанному домену среди других диапазонов адресов делегирована сеть 195.113..184.0/24. Познакомимся с ее составом, запустив сканер с минимальным набором параметров:
Starting Nmap 4.52
( http://insecure.org ) at 2011-11-11 10:16
Interesting ports on mx1.kerio.com (195.113.184.2):
Interesting ports on lumpy.kerio.cz (195.113.184.3):
Interesting ports on register.kerio.com (195.113.184.6):
Interesting ports on
secure.kerio.com (195.113.184.8):
Interesting ports on forum.kerio.com (195.113.184.9):
Interesting ports on kwf.kerio.cz (195.113.184.10):
Interesting ports on fw-c.kerio.cz (195.113.184.20):
Interesting ports on cisco-nat-28.kerio.cz (195.113.184.28):
Interesting ports on cisco-nat-29.kerio.cz
(195.113.184.29):
Interesting ports on cisco-nat-30.kerio.cz (195.113.184.30):
Interesting ports on cisco-nat-31.kerio.cz (195.113.184.31):
Interesting ports on cisco-nat-32.kerio.cz (195.113.184.32):
Interesting ports on cisco-nat-33.kerio.cz (195.113.184.33):
Interesting ports on cisco-nat-34.kerio.cz (195.113.184.34):
Interesting ports on cisco-nat-35.kerio.cz (195.113.184.35):
Interesting ports on cisco-nat-36.kerio.cz (195.113.184.36):
Interesting ports on cisco-nat-37.kerio.cz (195.113.184.37):
Interesting ports on cisco-nat-38.kerio.cz (195.113.184.38):
Interesting ports on cisco-nat-39.kerio.cz (195.113.184.39):
Interesting ports on stoupa.kerio.com (195.113.184.40):
Interesting ports on
nai-update.kerio.com (195.113.184.50):
Interesting ports on charon.kerio.cz (195.113.184.51):
Interesting ports on crash.kerio.com (195.113.184.52):
Interesting ports on subzero.kerio.cz (195.113.184.53):
Interesting ports on ftp.kerio.cz (195.113.184.54):
Interesting ports on zero.kerio.com (195.113.184.55):
Interesting ports on overzero.kerio.cz (195.113.184.56):
Interesting ports on
esoftsgs.kerio.com (195.113.184.57):
Interesting ports on
control-update.kerio.com (195.113.184.59):
Interesting ports on
sophos-update.kerio.com (195.113.184.61):
Interesting ports on dev.kerio.com (195.113.184.68):
Interesting ports on connect-demo.kerio.cz (195.113.184.91):
Interesting ports on qa-testlab.kerio.cz (195.113.184.101):
Interesting ports on qa-release.kerio.cz (195.113.184.102):
Nmap done: 256 IP addresses (256 hosts up) scanned
in 70.691 seconds
Что видим:
- первое и самое смешное: большое количество хостов с именами ciscj-nat. Т.е. кериоты не доверяют свою систему своим результатам свей работы ! :) Ну, да ладно, Гейтс тоже не доверял раньше.
- второе и самое интересное: некоторое количество хостов с очень тематическими именами, сильно похожими на названия компонентов, которые мы желаем активировать. Логично предположить, что именно эти хосты и являются источниками необходимой для работы компонентов серверами. Проверить это предположение очень легко: включаем в дебаг-логе сообщения наших компонентов и смотрим кто и куда не смог достучаться или куда достучался и безрезультатно.
Какой вывод делаем?
Да самый простой: если при обращении по зашитому в компоненте продукта Kerio имени сервера он получит какой-то ответ, то это компонент активируется, а если этот ответ будет правильным по содержанию, то информации будет получена. Остается понять какой ответ будет правильным для каждого компонента.
Эта работа проделана разными людьми, в первую очередь автором известного всем патча - неоценимая работа по важности. Воспользуемся результатами и посмотрим на каждый компонент отдельно.
Антивирус Sophos. Если мы имеем локальное зеркало обновлений и наполняем его с помощью скриптов пакета KUAS, то мы уже знаем правильный ответ - это описание структуры хранения файлов обновлений на сервере. Она может быть совершенно произвольной, главное - ответ сервера (файл ukerav.php в патче или update.php у кериотов) - он должен точно описывать структуру, и все. Подробно читаем здесь. В этом случае продукт Kerio обновится самостоятельно (без применения патча имя скрипта структуры должно быть update.php), в ином случае - используем скрипт из пакета KUAS. Значит, для обновления Sophos мы должны сменить имя сервера обновлений и все. Это можно сделать патчем, а можно задать для сервера sophos-update.kerio.com адрес нашего локального сервера обновлений (сделав привязку к имени).
Антивирус McAfee. С 1 октября 2011 года обновлять этот антивиирус для Kerio бессмысленно не только с сайта nai-update.kerio.com , но и с родного сайта McAfee общеизвестным путем перенаправления HTTP-запросов в HTTP-политиках . Kerio не может использовать новый способ упаковки файла обновлений, который внедрили в McAfee. Поэтому, внимательно читаем и делаем так, как написано здесь, и понимаем, что для обновления McAfee в Kerio нам нужен доступ на уровне файловой системы к хосту Kerio, а не возня с именами.
Система IDS\IDL Snort. Реализация этой системы, принятая в Kerio Control, не особо удачна - управление блокировкой трафика не полное, диагностические сообщения и логи не полные, группировка правил сомнительна по содержанию, поэтому даже в лицензионном продукте настоятельно рекомендуется использовать для обновлений Snort скрипты из пакета KUAS - так вы хотя бы поймете, что происходит с вашим трафиком. Для обновлений Snort также требуется доступ к файловой системе хоста с Kerio Control.
WebFilter. Самый неоднозначный и самый запутанный из всех компонентов в Kerio. Но с ним проще всего в нашем вопросе. Для начала почитаем здесь о том, как вообще эта штука работает, потом посмотрим на дополнительные возможности пакетов KEAP и ELUS и поймем следующую истину: чтобы веб-фильтр активировался и работал, продукт Kerio Control должен быть псевдо-регистриррован (TrialID должен быть не пустым), сервер на запросы должен сообщать информацию в установленном формате - файл getkey.php должен соответствовать установленным требованиям. Т.е. разместив на локальном сервере обновлений файл getkey.php и присвоив серверу esoftsgs.kerio.com аадрес этого локального сервера обновлений, мы заставим WebFilter считать себя работоспособным. Правильность ответов от классификатора ESOFT определятся содержанием файла getkey.php - действующим ключом, что мы здесь не рассматриваем. Про ключи читаем здесь.
Таким образом, обновление для McAfee и Snort (а при желании - и Sophos) можно получить на уровне файловой системы с применением скриптов пакета KUAS, обновление для Sophos и WebFilter (активировать не значит получить классификацию от ESOFT !) можно путем подмены адресов серверов обновлений Kerio на имя собственного локального сервера обновлений.
Что осталось?
Подменить адреса серверов sophos-update.kerio.com и esoftsgs.kerio.com. Что может быть проще, если мы админы...
В ДНС-сервере локальной сети создаем зону прямого просмотра kerio.com (обратную зону можно не создавать). В данной зоне создаем две записи типа А для имен sophos-update и esoftsgs и указываем для них адреса нашего локального сервера обновлений, который совсем не обязательно, также, как и сервер ДНС, должен находиться на хосту с Kerio.
Все, никакой патч нам не потребовался ни для одного компонента, вся сложность описания патча осталась в стороне. Совершенно неважно что за Kerio мы установили и где - на виртуалке, как аплянс или на виндовой машине - суть не меняется.
Если мы используем файл HOSTS, то дописываем в него две строчки:
<LOCAL_SERVER_ADDRESS> sophos-update.kerio.com
<LOCAL_SERVER_ADDRESS> esofsgs.kerio.com
Что может быть проще ?!
Ну в заключение про тех, кто по непонятным соображениям пользует аплянс.
Читаем здесь как стать рутом и создаем необходимые файловые структуры для McAfee и Snort, обеспечиваем к ним доступ по сети с необходимыми правами (удаление), потом, если хоти устанавливаем наш любимый MC и прочие прибамбасы (типа эмулятора RDP для коннекта из-под винды или леопарда). Войдя во вкус - поставим и почтовый сервер Kerio Connect, и прикрутим ClamAV....... Когда выйдет новый аплянс начнем пляски сначала вместо обновления ... :)
Более подробно эти и другие вопросы рассмотрены здесь.
Удачи !
