Инструкции по настройке

• Инструкция как получить доступ по SSH к KSMG
• Интеграция LDAP и аутентификация с помощью технологии единого входа
• Интеграция KSMG с KATA

Инструкция как получить доступ по SSH к KSMG

Информация: Приведенная на данной странице информация, является разработкой команды pre-sales и/или AntiAPT Community и НЕ является официальной рекомендацией вендора.

• Версия решения: 3.0
• Тип инструкции: Инструкция как получить доступ по SSH к KSMG

Описание задачи

KSMG администратор может подключиться к любой ноде по протоколу SSH, чтобы работать с программой в Technical Support Mode, используя командную строку. Чтобы это реализовать необходимо сгенерировать SSH ключи, загрузить SSH публичный ключ в программу используя веб-интерфейс. После установки ключа на сервер с главной нодой, он будет распространен и сохранен на другие, связанные с ней, KSMG ноды.

В данной инструкции используется программа PuTTY.

Вы можете использовать любой другой аналог.

---

Создание пары ключей

1. Скачайте PuTTY, зайдите в папку, куда установилась PuTTY, запустите PuTTYgen.

📸 Скриншот 1: Экран "Выбор приложения"

2. Проверьте эти параметры: Type of key to generate – RSA, Number of bits in a generated key – 2048. Нажмите Generate. Двигайте мышкой случайным образом, пока не заполнится шкала key.

📸 Скриншот 2: Экран "Генерация ключа"

3. Укажите passphrase. Введите такое же кодовое слово в Confirm passphrase. Затем нажмите Save private key, и укажите имя и место сохранения.

📸 Скриншот 3: Экран "Сохранение ключа"

4. Скопируйте публичный ключ, он находится в поле Public key for pasting into OpenSSH authorized_keys file.

5. Переместитесь в веб-интерфейс KSMG. Перейдите Параметры → Доступ по SSH → Добавить ключ. Заполните поле "Описание" и вставьте скопированный ключ в поле "Данные ключа". Нажмите "Добавить".

📸 Скриншот 4: Экран "Загрузка ключа"

---

Соединение KSMG используя SSH

1. Запустите PuTTY. Перейдите по вкладкам Connection → SSH → Auth. В поле справа выберете сохраненный файл закрытого ключа.

📸 Скриншот 5: Экран "Применение ключа"

2. Перейдите во вкладку Session. Введите в полях: Host Name (or IP adderss) - IP-адрес KSMG, Port – 22, Connection type – SSH. Нажмите Open.

📸 Скриншот 6: Экран "Подключение к KSMG по SSH"

3. Нажмите Accept.

📸 Скриншот 7: Экран "Подтвердите подключение к KSMG по SSH"

4. Введите Login as – root, Passphrase for key ту, которую указывали при генерации ключа. Вы успешно подключились.

📸 Скриншот 8: Экран "Подтвердите подключение к KSMG по SSH"

---

Интеграция LDAP и аутентификация с помощью технологии единого входа

Настройка аутентификации с помощью доменных учетных записей позволяет пользователям не вводить данные учетной записи Kaspersky Secure Mail Gateway для подключения к веб-интерфейсу программы.

Данная статья описывает процесс настройки интеграции LDAP

---

Подготовка корпоративной инфраструктуры

• Время на всех нодах кластера KSMG и контроллерах домена должно быть синхронизировано c использованием единого NTP-сервера;
• Все ноды DNS-сервера, указанные при установке должны быть доступны;
• На корпоративном DNS-сервере нужны прямая A-запись и обратная PTR-запись для KSMG;
• Для каждого домена и поддомена необходимо формировать отдельный keytab-файл, чтобы иметь возможность видеть необходимый каталог пользователей;
• При интеграции по LDAP отсутсвует возможность настройки порта подключения к контроллеру домена. Настройки подключения получают из корпоративного DNS-сервера по SRV-записи необходимого контроллера домена;
• Создание учётных записей для LDAP и SSO рекомендуется выполнять через графический интерфейс управления контроллером домена;

---

Дополнительные требования к keytab-файлу

• Для проверки подлинности прокси и SSO полное доменное имя, указанное в keytab-файле, всегда должно совпадать с реальным и используемым полным доменным именем. Для проверки подлинности прокси адрес, который используется в настройках прокси в браузере, ДОЛЖЕН совпадать с полным доменным именем в keytab-файле;
• Для единого входа адрес в адресной строке браузера, который используется для доступа к веб-интерфейсу KSMG, ДОЛЖЕН совпадать с полным доменным именем в keytab-файле и ДОЛЖЕН соответствовать реальному и используемому полному доменному имени KSMG и полному доменному имени, настроенному в операционной системе. Но для LDAP полное доменное имя в keytab-файле SPN должно иметь действительные записи в DNS, включая PTR-запись. Кроме того для keytab-файла LDAP вообще не обязательно иметь имя участника службы, но оно должно быть доступно для прокси-сервера и единого входа;
• Для проверки подлинности LDAP невозможно иметь несколько записей SPN в keytab-файле. Но в случае прокси-аутентификации и SSO-аутентификации вы можете создать несколько записей. Для LDAP это делать не нужно;
• У вас не может быть дубликатов имени участника службы. Это значит, что вы не можете создать два keytab-файла с дублирующимся SPN (включая полное доменное имя);
• Пользователь, учётная запись которого использовалась для создания keytab-файла, должен содержать в Distinguished Name только латинские символы, поэтому во всем пути к пользователю в AD не должно быть ни кириллицы, ни других символов;

---

Настройка LDAP

ВАЖНО! Перед выполнением инструкции убедитесь, что имя хоста задано верно и корректно отображается как в web-интерфейсе, так и при доступе через SSH.

1. Создайте пользователя в AD.
   • Активная опция – Password never expires
   • Активная опция – This account supports Kerveros AES 256bit encryption
   
2. Создайте keytab-файл.
   Создание keytab-файла
   

   C:\Windows\system32\ktpass.exe -princ HTTP/<полное доменное имя (FQDN) Управляющего узла>@<realm имя домена Active Directory в верхнем регистре> -mapuser control-user@<realm имя домена Active Directory в верхнем регистре> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out <путь к файлу>\<имя файла>.keytab

3. Загрузите keytab-файл на странице настроек ноды KSMG.
   Синхронизация происходит раз в 30 минут. Статус синхронизации можно посмотреть в разделе Nodes:Cинхронизация узлов кластера KSMG по LDAP происходит независимо, то есть для них можно использовать одну и ту же учётную запись и keytab-файл.
   Если синхронизация по каким-то причинам не происходит, KSMG будет использовать информацию из кэша (кэш удаляется только если удалить LDAP-соединение).

---

Настройка SSO

1. Создайте другого пользователя в AD.
   
   • Активная опция – Password never expires
   • Активная опция – This account supports Kerveros AES 256bit encryption
   
2. Создайте keytab-файл.
   Создание keytab-файла

   C:\Windows\system32\ktpass.exe -princ HTTP/<полное доменное имя (FQDN) Управляющего узла>@<realm имя домена Active Directory в верхнем регистре> -mapuser ksmg-sso@<realm имя домена Active Directory в верхнем регистре> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass <пароль пользователя ksmg-sso - пример cZ8ckcVPysXOOS7m> +dumpsalt -out <путь к файлу>\<имя файла>.keytab

3. Загрузите keytab-файл на странице настроек ноды KSMG.
   Перейти в раздел Settings | Application access | Single Sign-On login

---

Настройка Kerberos-аутентификации для кластера (опционально)

1. Создайте keytab-файл.
   Создание keytab-файла

   C:\Windows\system32\ktpass.exe -princ HTTP/control-01.test.local@TEST.LOCAL -mapuser control-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out C:\keytabs\filename1.keytab

2. Добавьте SPN второго узла в тот же keytab-файла.
   Добавление SPN второго узла в keytab-файл
   Для каждого узла кластера добавьте в keytab-файл запись SPN. Для этого выполните следующую команду:

   C:\Windows\system32\ktpass.exe -princ HTTP/<полное доменное имя (FQDN) узла>@<realm имя домена Active Directory в верхнем регистре> -mapuser secondary1-user@<realm имя домена Active Directory в верхнем регистре> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <путь и имя ранее созданного файла>.keytab -out <путь и новое имя>.keytab

---

Настройка клиентских рабочих станций для использования SSO

1. Проверьте, что узлы KSMG доступны по своим доменным именам.
   • В cmd.exe выполните команду nslookup
   • Далее в интерфейсе команды проверьте доступность узла KSMG по своему доменному имени <Доменное имя сервера KSMG>@<Имя домена>
   
2. Добавьте узлы KSMG в список сайтов Local intranet. Вариант 2, локально через групповые политики.
   Win+r → gpedit.msc
3. Добавьте узлы KSMG в список сайтов Local Intranet.
   Изменение групповой политики → Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Internet Explorer → Панель управления браузером → Вкладка «Безопасность» → Список назначений зоны веб-сайтов
   (Local Computer Policy → Computer Configuration → Administrative Templates → Windows Components → Internet Explorer → Internet Control Panel → Security Page)
4. Примените произведённые изменения в групповых политиках.
   • Запустите cmd.exe с правами администратора
   • В cmd.exe выполните команду gpupdate /force
   
5. Назначьте роль Viewer или Superuser доменному пользователю, указав его учётную запись.
6. Авторизуйтесь на рабочей станции, использую указанную в предыдущем пункте учётную запись и перейдите в web-интерфейс KSMG, введя в строке браузера его доменное имя.
   https://ksmg.sales.lab/
   Вход будет осуществлён без использования логина и пароля

Интеграция KSMG с KATA

Введение

Kaspersky Secure Mail Gateway (KSMG) — защищает корпоративную почту от спама, фишинга, вредоносных вложений и целевых атак.
Kaspersky Anti Targeted Attack Platform (KATA) — обнаруживает и предотвращает целевые атаки, APT-угрозы и сложные инциденты в корпоративной инфраструктуре.

Интеграция этих решений позволяет:

• Передавать письма из KSMG на анализ в KATA.
• Получать вердикт от KATA и автоматически блокировать, помещать в карантин или помечать письма.
• Увеличить уровень защиты почтовой системы от сложных угроз.

---

Возможности интеграции

KSMG может быть настроен для работы с KATA в двух режимах:

1. Подключение к одному серверу KATA — указывается IP/FQDN Central Node.
2. Подключение к нескольким серверам с балансировкой (KATA 5.0+) — автоматическое распределение нагрузки и переключение при отказе.

В этой статье разбираем вариант с одним сервером.

---

Пошаговая настройка интеграции

Шаг 1. Настройка KSMG

1. Войдите в веб-интерфейс KSMG.
2. Перейдите в: Параметры → Внешние службы → Защита KATA
   На скриншоте показан раздел, где настраивается подключение KATA.
3. Нажмите Добавить сервер KATA.
   
   В этом окне задаются IP/FQDN и порт подключения к KATA.
4. Введите:
   • IP-адрес или FQDN Central Node.
   • Порт (по умолчанию 443).
5. Нажмите Далее — появится окно с сертификатом.
   
   
   Проверьте отпечаток SHA256 и подтвердите.
6. Активируйте опции:
   • Отправлять на сервер KATA сообщения без обнаружений — для полной проверки.
   • Отправлять на сервер KATA сообщения с обнаружениями — для дополнительного анализа подозрительных писем.
7. Настройте лимиты:
   • Время ожидания ответа: 600 сек (от 60 до 86400).
   • Размер карантина: 1024 МБ (от 1 МБ).
   • Максимум писем в карантине: 5000 (от 1 до 4 294 967 296).
8. Сохраните изменения.

---

Шаг 2. Авторизация KSMG в KATA

1. Войдите в веб-интерфейс Central Node KATA.
2. Перейдите в раздел Внешние системы.
3. Найдите KSMG и подтвердите запрос на авторизацию.

После подтверждения статус изменится на «Авторизован».

---

Шаг 3. Настройка правил KSMG

1. Перейдите в раздел Правила.
2. Выберите нужное правило и нажмите Изменить.
3. Включите опцию Защита KATA.
   
   Опция включает проверку всех писем по этому правилу в KATA.
4. Настройте действия: Удалить сообщение, Отклонить, Пропустить.
5. Сохраните правило.

---

Проверка работоспособности

1. Отправьте тестовое письмо (например, с EICAR-файлом).
2. Убедитесь, что:
   • Письмо отправилось на проверку в KATA.
   • В KATA появился вердикт.
   • KSMG выполнил заданное действие.

---

Рекомендации

• Включайте проверку всех писем для максимальной защиты.
• Следите за заполнением карантина.
• При высокой нагрузке используйте кластер KATA.
• Периодически проверяйте журналы событий KSMG и KATA.
• Обновляйте версии ПО для получения актуальных алгоритмов анализа.

---