|
FAQ Kerio Control - MIRROR: локальный сайт для обновления модулей Kerio. |
Зачем это надо ?
Продукты Kerio версии 7 содержат в себе несколько дополнительных (новых) модулей: встроенный антивирус Sophos вместо привычного McAfee, модуль предотвращения вторжений Snort. Кроме того, есть некоторые дополнительные возможности - использование внешних антивирусных плагинов, например. Все это требует регулярных обновлений, а производитель не дает такой возможности :)
Существует единственный путь - обновлять все эти модули и необходимую информацию для них самостоятельно, подкладывая продуктам Kerio обработанные соответствующим образом данные. Проблема состоит не в том, чтобы найти источники для такой информации, а в том, чтобы формат ее представления соответствовал неким стандартам, определяемым или продуктами Kerio, или способом обработки полученных данных. Поскольку абсолютно все модули используют для своего обновления протокол http (https), требуется создать структурированный определенным образом веб-сайт, с которого будет получать обновление подготовленный для этого продукт Kerio.
Что для этого надо ?
Собственно, веб-сервер, любой конфигурации, типа и
размещения - все требования к нему типовые вне зависимости от ОС.
Максимально упростим задачу - используем встроенные возможности
операционной системы Windows, т.е. IIS
любой версии ( здесь рассматривается IIS7).
Будем создавать зеркало для
следующих продуктов: WebFilter, McAfee, Sophos, Snort и
ClamAV.
Несколько пояснений - обновления для антивирусов McAfee и ClamAV расположены по стабильным ссылкам и, в принципе, зеркало для них не так уж и нужно. Однако, есть замкнутые системы, в которых доступ предоставляется не ко всем ресурсам Интернета, вот для таких систем зеркало незаменимо - его можно наполнять с флешки.
Можно было включить в число продуктов в зеркале антивирус Avast! -- это не сделано только потому, что использование этого антивируса предполагает наличие серверной лицензии, а такая программа обновляется самостоятельно. Технически сделать зеркало для Avast! несложно и м.б. вскоре это будет сделано.
Обновления для Snort - бесплатны и всегда доступны, проблема только в том, что эти обновления должны быть обработаны по правилам, которые использует Kerio.
Обновления для Sophos надо искать в Интернете и такие источники существуют, однако нестабильны по формату представления данных, актуализации и целостности.
С чего начнем?
С создания необходимой файловой структуры для хранения данных. Создадим ее на том физическом (или виртуальном) компьютере, на котором будет размещаться наш веб-сервер.
Структура эта проста (опять же для простоты используем приведенное в одной из утилит, которую позже применим, описание):
c:\web_snort\rules
c:\web_sophos\ides
c:\web_sophos\apis\files
c:\web_sophos\vdbs\files
Кроме того, создадим папку для размещения наших скриптов и промежуточных результатов - c:\autoit.
Теперь настроим веб-сервер (предполагается, что его установка не вызывает у читателя затруднений). Используем созданный при установке сайт по умолчанию, который расположится по адресу c:\inetpub\wwwroot. Что меняем в настройках:
1. В привязки сайта добавим три имени (все имена условны, важен их формат) для протокола http - updater, antivirus-updater.MyLocalDomain.ru и в качестве имени - IP-адрес компьютера 172.16.101.1, по которому к нему будут обращаться за обновлениями клиенты с прослушиванием по всем сетевым адресам.
Зачем так: обращение по имени updater требует наличия соответствующей ДНС-записи, что не всегда возможно. Кроме того, 64-битные версии Kerio некорректно обрабатывают ДНС-ответы по коротким именам, поэтому мы будем использовать там, где это возможно, в качестве имени IP-адрес веб-сервера. Длинное доменное имя необходимо использовать в версиях KCONTROL 7.1.1 и KCONNECT 7.1.4 - длина имени должна быть равна 23 символам, включая точки, или больше. Естественно, что имена можно выбрать по собственному вкусу.
Для обновлений продуктам Kerio используется протокол https. Патч может убирать такую привязку при прямом указании протокола, например для WebFilter - http://updater, однако для библиотеки Sophos автор такую возможность не предусмотрел, оставив нам только HTTPS-протокол, поэтому в привязках сайта укажем и его с любым сертификатом, который предложит нам система.
2. Добавляем MIME-типы для сайта. Все добавляемые значения должны иметь тип text\plain.
Добавить надо следующие значения:
McAfee: .log .bof .gem .msc .ini .pdb .so .nrc
Snort: .rules .db
Sophos: .ver .vdb .dat .ide .list .php
ClamAv: .cvd .cld
3. В обработчики событий сайта добавляем сопоставление модуля для файлов .rules аналогично указанному для события
StaticFile - StaticFileModule,DefaultDocumentModule,DirectoryListingModule,
обязательно включив ограничение запроса на файл\каталог. Называем его как хотим.
4. В фильтрации запросов сайта удаляем запись для типа файлов *.rules.
5. Создаем виртуальные каталоги на сайте с привязкой к созданной ранее файловой структуре и разрешаем просмотр содержимого каталогов (проще, но неправильней - всего сайта):
Mcafee -> c:\web_mcafee
Snort -> c:\web_snort
Sophos -> c:\web_sophos
Clamav -> c:\web_clamav
GEOIP -> c:\web_geoiip
Все - сайт для обновления продуктов Kerio создан. Проверяем его доступность по сети путем открытия в браузере необходимых каталогов - http://updater/snort или http://172.16.101.1/sophos или http://antivirus-updater.MyLocalDomain.ru/clamav
Должны открываться пустые каталоги.
Еще раз про имя сайта: для каждого продукта может быть использовано свое имя, выбор зависит от версии продукта, разрядности ОС, настроек ДНС. Имя выбирается при патче конкретного продукта и не зависит от веб-сервера и его настроек - оно должно быть учтено в привязках.
Теперь дело за наполнением сайта. Каждый из продуктов будет обновляться по своей схеме c использованием самостоятельных программных средств и скриптов, автоматизирующих этот процесс, поэтому рассмотрим их по отдельности.
Эта методика положена в основу действующего сервера обновлений - http://geneg.ru .
Сервер http://geneg.ru полностью сконфигурирован для использования в качестве источника обновлений всех компонентов Kerio Control и Kerio Сonnect: Sophos, McAfee (версия Энтерпрайз), Snort, WebFilter с применением пакета KUAS. Может быть использован в пакете UKAIP как локальный сервер для WebFilter. Актуальность обновлений: от 4 до 24 часов в зависимости от типа продукта, без гарантии.
Обновления McAfee for Kerio. Для загрузки доступны уже распакованные (не обманные оригиналы от McAfee) обновления McAfee (подробно см. здесь), которые могут быть использованы для всех версий продуктов Kerio без ограничения функционала. Для перенаправления запросов в Kerio Control использовать этот адрес. Просмотр содержимого каталогов закрыт.
Обновления Snort для Kerio Control. Для загрузки доступны созданные при помощи пакета KUAS файлы правил Snort, готовые для использования в Kerio Control. Для работы необходимо распаковать скачанный архив и заменить все правила папке ../snort/templates/rules/base на файлы из архива и перезапустить службу Kerio Control. Подробности по использованию Snort смотреть здесь.
Обновления Sophos для Kerio. Структура сервера соответствует пакету KSUK.
Действующий ключ для Kerio WebFilter также доступен. Как получить? Угадайте.
