اینترنت

نصب و راه اندازی Kerio Control

itrah_kerioControl

برای نصب کریو فایل دانلود شده در مرحله قبل را ر روی CD یا DVD رایت کنید و Boot سیستم را در حالت Automtic و یا  Boot from CD/DVD قرار داده و Wizard نصب را در حالت پیش فرض دنبال کنید. (نیاز به تغییر گزینه ای نیست.)

1

نکته: در طول مسیر نصب از شما یک IP آدرس خواسته می شود که این IP باید در رنج شبکه داخلی شما باشد تا از طریق آن بتوانید به پنل کریو دسترسی پیدا کنید. همچنین این IP در آینده به عنوان Default Gateway تمامی PC های موجود در شبکه شما استفاده خواهد شد.

برای راه اندازی اولیه کریو، پس از نصب آدرس زیر را در مرورگر خود وارد کنید:

Https://kerio-control-IP-address:4081/admin

حال پس از دنبال کردن Wizard به شکل زیر به پنل کاربری کریو دسترسی خواهید داشت.

2

3

4

5

6

همانطور که مشاهده می کنید پس از طی این مراحل به پنل کاربری کریو کنترل می رسیم و حال می توانیم تنظیمات کریو را انجام دهیم.

تنظیمات اتصالات اینترنت و شبکه داخلی

7

هنگامی که تنظیمات کارت شبکه ها به درستی صورت بگیرد، ارتباطات داخلی و نیز ارتباطات داخل شبکه پشت فایروال با اینترنت شکل خواهند گرفت و همه چیز شروع به کار خواهد کرد.

طبق عکسی که در بالا مشاهده می کنید کریو عموما دارای دو کارت شبکه است،یکی برای ارتباط با LAN داخلی و دیگری برای ارتباط با Internet که عموما به روتر یا مودم وصل خواهد شد.

   نکته: برای استفاده از قابلیت Sync با Active Directory لازم است که کریو با سرور Domain Controller  شما ارتباط داشته باشد. این قابلیت برای استفاده از کاربران AD به جای ساخت کاربران جدید جهت Accounting مورد استفاده قرار می گیرد.

قدم اول در تنظیمات اولیه کریو تعریف کارت شبکه مت Public LAN یا همان Internet است. برای این کار از سمت چپ به منوی Interfaces رفته و کارت شبکه ای را که کریو Detect کرده را انتخاب نموده و آن را Edit می کنیم. پنجره ای مانند زیر باز می شود که می توانیم نام کارت شبکه را به طور دلخواه تغییر دهیم. در قسمت Interface Group گزینه Internet Interface  را انتخاب می کنیم و آن را مطابق سناریو شبکه خود IP دهی می کنیم. دقت داشته باشید که Gateway این کارت شبکه می بایست IP مودم و یا روتر شما باشد.

8

انواع ارتباط با اینترنت

در کریو سه حالت ارتباط با اینترنت را می توان داشت:

۱) یک لینک اینترنت

۲) دو لینک اینترنت با قابلیت Load Balancing

۳) دو لینک اینترنت با قابلیت Failover

که هر کدام را به طور مختصر توضیح خواهم داد.

  • در حالت اول که نیاز به توضیح خاصی ندارد و همان سناریویی است که در این اینجا پیاده سازی شده است.
  • در حالت دوم علاوه بر این لینک اینترنت که در قسمت بالا به کریو معرفی کردیم می بایست لینک دیگری را نیز معرفی نموده و آن را در حالت Load Balance قرار دهیم. به این شکل که هر دو لینک به طور دائم UP باشند و ترافیک ها با توجه به پهنای باند این لینک ها بر روی دو خط به طور همزمان تقسیم شده و عبور داده شود.
  • در حالت سوم نیز به دو لینک اینترنت نیاز داریم. اما در این حالت یکی از لینک ها با توجه به خواست ما در حالت Down قرار می گیرد و تمامی ترافیک از لینک Up عبور داده می شود. اگر لینک اصلی به هر دلیلی  Fail شد، لینک کمکی UP شده و تمامی ترافیک از لینک بکاپ عبور داده می شود.

9

        نکته: باید به ازای لینک دوم اینترنت یک کارت شبکه جدا به کریو تخصیص دهید و آن را همانند کارت شبکه لینک اصلی اینترنت در مرحله قبل  Edit نمایید.

        نکته: Default Gateway بر روی هیچ یک از کارت شبکه های داخلی کریو نباید ست شود.

در این قسمت می توانیم ترافیک های پایه ای برای شروع کار با کریو را انجام دهیم. به داشبورد رفته و در قسمت پایین گزینه Configuration assistant را انتخاب میکنیم و بر روی Define Traffic Policy کلیک می کنیم.

10

11

VPN Server: این سروی را زمانی فعال می کنیم که بخواهیم یک VPN Tunnel برای ارتباط Remote با شبکه داخلی خود از طریق Kerio VPN Client و یا IPsec VPN Client داشته باشیم.

Kerio Control administration: این گزینه دسترسی Remote Administration را به پنل کریو کنترل فعال می کند و به ترافیک های Https بر روی پورت ۴۰۸۱ اجازه ورود به شبکه داخلی را خواهد داد.

Web Services: تمامی ارتباطات Http/s بر روی پورت های ۸۰/۴۴۳ را فعال می کند و برای زمانی مناسب است که شما یک Public Web Server در سازمان خود و پشت فایروال دارید. (مانند Mail Serevr)

Web Server:در سازمان خود یا پشت فایروال دارید . (مانند Mail Serevr)

12

در مرحله بعدی برای ایجاد هر سرویس دیگری بر روی فایروال یا سرورهای درون شبکه داخلی خود که امکان دسترسی به آن ها را از روی اینترنت فراهم کند، روی Add کلیک نمود و در غیر اینصورت با زدن دکمه finish  پنجره را می بندیم.

استفاده از Http برای دسترسی به Interface کریو

همانطور که می دانید Web Interface کریو با استفاده از SSL رمزگذاری شده است و به همین دلیل در ارتباطات خود از Https استفاده می کند. برای عدم استفاده از این قابلیت می توانید به قسمت Advanced Options رفته و در قمت web Interface تیک گزینه Forced SSL Secured Connecton را بردارید.

            نکته: عدم استفاده از این گزینه ریسک های امنیتی در پی دارد.

            نکته: اگر در شبکه یک دامین وجود نداشته باشد بهتر است Hostname پیش فرض کریو را تغییر دهیم. نامی که متشکل از دو کلمه باشد که با نقطه (Dot) از هم جدا شده باشند، مانند Kerio.Cotrol. عدم انجام این کار در شبکه های بدون دامین امکان ایجاد اختلال در روند کار کلاینت ها با کریو را افزایش خواهد داد. برای این تغییر در قسمت Web Interface و Hostname رفته و نام مورد نظر خود را وارد نمایید. لازم به ذکر است در صورت عدم تغییر این نام می توانید از IP کارت شبکه داخلی کریو نیز برای نام گذاری استفاده کنید که بطور پیش فرض نیز همین کار انجام خواهد شد.

13

پشتیبانی از VLAN در Kerio Control

VLAN ها شبکه های مجازی هستند بر روی یک درگاه فیزیکی شبکه و کریو کنترل نیز با پشتیبانی از استاندارد ۸۰۲٫۱Q از این قابلیت بهره می برد.

می توان بالغ بر ۴۰۹۴ VLAN بر روی هر Ethernet Interface تعریف کرد که هر VLAN به عنوان یک Interface جدا کار می کند.

ایجاد VLAN Interfaces

  • به تب Interface رفته و روی کارت شبکه ای که میخواهیم بر روی آن VLAN بسازیم Double Click میکنیم.
  • تب VLAN را در پنجره باز شده انتخاب میکنیم.
  • روی گزینه Add or remove VLAN کلیک می کنیم.
  • تیک گزینه Create VLAN Interface را می زنیم و VLAN ID مد نظر خود را قسمت مربوطه مشخص می کنیم.

15

نکته: شماره VLAN ID ها را با (;) از هم جدا می کنیم. VLAN ID عددی برای نمایش VLAN ها است که بین ۱ تا ۴۰۹۴ می تواند متغیر باشد. کریو کنترل به ازای هر VLAN یک Interface جدا ایجاد می کند که ابتدا در گروه Other Interfaces قرار دارند و می توان آن را به دیگر گروه ها منتقل کرد.

15

   نکته: برای Remove کردن یک VLAN می توان به محل ساخت VLAN رفته و ID مد نظر را از لیست ID ها پاک کرد. البته این را نیز نباید فراموش کرد که با پاک کردن یک VLAN تمامی Traffic Rule های مربوط به آن VLAN نیز از بین خواهند رفت.

راه اندازی Kerio VPN Server

برای این کار می بایست ابتدا ارتباطات VPN  را در قسمت Traffic Rules فعال کنیم.

      در پنل Admin به قسمت Interfaces می رویم.

      بر روی VPN-Interface دابل کلیک می کنیم.

      سپس در قسمت properties گزینه Enable Kerio VPN Server را فعال می کنیم.

      در تب VPN Server یک Certification  معتبر انتخاب می کنیم.

      پورت پیش فرض ۴۰۹۰ است که اگر دلیل خاصی برای تغییر آن ندارید این کار را انجام ندهید.

نکته: در صورتی که این شماره پورت در برنامه یا سرویس دیگری استفاده شود پیغام خطا دریافت می کنید و تا زمانی که پورت ۴۰۹۰ را آزاد نکنید قادر به ادامه کار با VPN Server نخواهید بود.

      حال تنظیمات را ذخیره می کنیم.

      برای انجام یک VPN Route بصورت دستی بخش بعد را مطالعه نمایید.

15

تنظیمات Routing

در کریو به طور پیش فرض برای تمامی Subnet Interfaces روتینگ مربوطه ایجاد می شود اما گاهی نیاز می بینید که روتینگ جداگانه ای برای دسته از کلاینت های خود اعمال کنید که در این صورت:

      به قسمت Interface  بروید.

      بر روی VPN-Server کلیک راست نمایید.

      در تب Kerio VPN گزینه Custom Routes را انتخاب کنید.

      موارد خواسته شده را در بخش Add Routes پر کرده و تغییرات را ذخیره نمایید.

16

راه اندازی Kerio VPN Client

      باید” بر روی سیستم کلاینت Kerio VPN Client نصب باشد.

      پنل مدیریتی کریو به قسمت Users and Groups رفته و با کلیک راست بر روی کلاینت ها گزینه Users Can Connect Using VPN را فعال کنید.

      توجه داشته باشید که Rule  پیش فرض مربوط به VPN Server در Traffic Rules باید فعال باشد.

17

18

Traffic Rules

19

۱) جستجو در میان Rule ها

۲) تست اینکه آیا Rule به درستی کار می کند یا خیر.

۳) رنگ قرمز نشان دهنده ترافیک ورودی است.

۴) ترتیب Rule ها در کریو اهمیت دارد. Rule های بالاتر اولویت بیشتری دارند.

۵) رنگ سبز نشان دهنده Rule های خروجی است.

۶) پیش فرضی که تمامی ترافیک ها را Drop می کند.

۷) فعال یا غیر فعال کردن یک Rule

DNS Rule

به طور معمول پس از راه اندازی اولیه کریو نیاز است که بسته های DNS ای بتوانند از شبکه خارج شوند تا کاربران امکان استفاده از اینترنت را داشته باشند. برای این کار باید در ابتدا Rule مربوط به DNS در قسمت Traffic Rules نوشته شود.

      به قسمت Traffic Rules رفته و روی Add New Rule کلیک کنید.

      در پنجره باز شده نام مورد نظر برای Rule را انتخاب کنید.

20

  • Next را بزنید.
  • در قسمت بعد آدرس IP مربوط به DNS Server شبکه خود را وارد کنید. (در صورتی که در شبکه DNS Server ندارید این قسمت را خالی گذاشته و Next را بزنید.)
  • 21
  • 22
  • Next را بزنید.
  • در این قسمت می توانید DNS های جهانی را وارد کنید. (بهتر است DNS مختص ISP خود را نیز همراه با DNS های جهانی وارد نمایید.)
  • 23

24

  • Next را بزنید.
  • در قسمت بعد از میان سرویس ها سرویس DNS را انتخاب کرده و Finish را بزنید.
  • فراموش نکنید که پس از اتمام کار روی قسمت Translation همان rule دوبار کلیک کرده و تیک NAT را بزنید.
  • 25

اتصال به Active Directory

قدم دوم برای دسترسی کاربران شبکه به اینترنت و مباحث دیگر مانند Accounting جوین کردن کریو با سرور Domain Controller موجود در شبکه شما می باشد.

این قابلیت که یکی از پر رنگ ترین ویژگی های کریو کنترل می باشد به شما امکان Sync شدن با دامین کنترلر شبکه را می دهد، به این صورت که می توانید از کاربران و گروه های تعریف شده در Active Directory در Rule های کریو استفاده کنید بدون اینکه مانند اغلب فایروال ها نیاز به تعریف مجدد کاربران شبکه خود داشته باشید. کریو بدون تاخیر هر تغییر کوچکی در Active directory Users and Groups را متوجه شده و آن را در تنظیمات خود اعمال می کند.

برای اتصال به Domain مراحل زیر را دنبال کنید.

  • به قسمت Domain and Domain users بروید.
  • در تب Directory services بر روی دکمه Join Domain کلیک کرده و اطلاعات دامنه خود را وارد نمایید.
  • 26

اگر همه چیز درست پیش برود با پنجره زیر مواجه خواهید شد.

27

نکته: هر زمان که نیاز باشد می توانید با زدن دکمه Test connection ارتباط بین کریو کنترل و دامین کنترلر را تست کنید.

نکته: هر زمان که لازم باشد می توانید با زدن دکمه Leave Domain از دامین فعلی خارج شده و ارتباط میان کریو کنترل و دامین کنترلر را قطع کنید.

اضافه کردن Secondary Domain Controller

چیزی که بیش از پیش در مورد قابلیت Sync شدن با Active Directory شما را شگفت زده خواهد کرد، امکان اضافه کردن دامین دوم به کریو کنترل می باشد. شما می توانید کاربران و گروه های بیشتری را تحت نظارت این فایروال قرار دهید.

  • در قسمت Domains and User login و تب Directory service گزینه Advance را انتخاب کنید.
  • به تب Additional mapping رفته و گزینه Add را بزنید.
  • مشخصات دامین دوم را وارد کنید.
  • دقت داشته باشید که باید ارتباطات شبکه ای با آن دامین کنترلر برقرار باشد.

تنظیمات Network Address Translation) NAT)

همانطور که می دانید NAT به معنای تبدیل یا اختصاص IP های خصوصی شبکه داخلی  به IP عمومی برای ورود به شبکه جهانی و یا ارسال و دریافت اطلاعات از بستر اینترنت می باشد. به طور مثال، شما با استفاده از NAT خواهید توانست با داشتن تعداد کمی IP Public به تمامی کاربران شبکه LAN امکان ارتباط با شبکه های درون WAN را بدهید. برای استفاده از این امکان در کریو کنترل مراحل زیر را دنبال کنید.

•    به Traffic Rules بروید.

•    بر روی Rule ای که قرار است عمل NAT بر روی آن انجام شود (آن دسته از کاربران و یا IP هایی هستند که قرار است با WAN ارتباط داشته باشند)، بر روی قسمت Translation دابل کلیک نمایید.

 

  •  در پنجره ای که باز می شود شما میتوانید به چند صورت NAT را انجام دهید.

      Source IP NAT Translation: این گزینه برای اتصال کاربران شبکه داخلی به اینترنت استفاده می شود. یعنی ارتباط کاربران گروه مد نظر با فایروال و سپس از فایروال به اینترنت و غیره. در این بخش چند گزینه وحود دارد:

            Default Setting: که استفاده از این گزینه توصیه می شود. در این گزینه به صورت پیش فرض IP های داخلی شبکه به IP خروج از شبکه  (Gateway) اختصاص داده می شود. 

33

سپس شما می توانید برای بازدهی بیشتر از گزینه Perform Load Balancing per host یا Perform load balancing per connection استفاده کنید تا ترافیک بین خطوط خروجی شما (۲ or more public IP addresses) تقسیم شود. تفاوت بین گزینه اول و دوم تنها در افزایش سازگاری (Compatibility) در مورد اول وافزایش بازدهی در مورد دوم خواهد بود. 

Use specific outgoing interface: با انتخاب این گزینه Packet هایی که نیاز به NAT دارند تنها از یک لینک عبور داده می شوند و انتخاب کدام لینک عبوری، با شما خواهد بود. 

نکته: دقت کنید که تیک Allow using of a different if this one becomes unavailable را انتخاب کنید. در غیر اینصورت در صورت قطعی اینترنت بر روی لینک انتخابی شما تمامی اتصالات به اینترنت قطع خواهند شد و کریو کنترل قادر نخواهد بود تا لینک را به Active interface دیگری Switch کند.

Use specific IP address: با انتخاب این گزینه می توانید NAT را برای IP آدرس خاصی در آن Rule اختصاص دهید. به عبارت دیگر در این قسمت باید Source IP مد نظر شما وارد شود.

35

Destination NAT: این گزینه که با نام Port Mapping نیز شناخته شده است، زمانی استفاده می شود که بخواهیم به فرد یا افرادی در خارج از شبکه LAN خود اجازه استفاده از سرویس های خاصی از داخل LAN را بدهیم. نمونه بارز Port mapping استفاده از خدمات وب سرور درون سازمانی برای کاربران خارج از سازمان خواهد بود.

نکته: با توجه به اهمیت بالای این موضوع از لحاظ Security لازم است در این بخش توجهات لازم به کار گرفته شود. یکی از مواردی که می تواند موثر باشد انتخاب سرویس های مشخص و حداقلی در Traffic Rule خواهد بود. برای یک FTP Server تنها سرویس FTP و برای یک Web Server تنها سرویس HTTP و HTTPS را انتخاب نمایید.

36

نمونه ای از Port Mapping در کریو کنترل

در این مثال دو وب سرور با IP آدرس های ۱۹۲٫۱۶۸٫۱٫۱۰۰ و ۱۹۲٫۱۶۸٫۱٫۲۰۰ به دو IP Valid کریو با IP آدرس های  ۱۹۵٫۳۹٫۵۵٫۱۲ و ۱۹۵٫۳۹٫۵۵٫۱۳ اختصاص داده شده است. دقت کنید که تنها سرویس اجازه داده شده HTTP می باشد.

 37

تنظیمات Intrusion prevention

Intrusion detection and prevention  یا IDS/IPS به منزله شناخت هوشمندانه تهدیدات و جلوگیری از نفوذ ان ها به شبکه شما خواهد بود. هرچند این سیستم امنیتی کار پیچیده ای را انجام می دهد اما تنظیمات آن در کریو کنترل براحتی انجام پذیر است.

نکاتی که باید قبل از تنظیم این ویژگی در نظر داشته باشیم:

  • Intrusion prevention بر روی همه اینترفیس هایی که شامل Internet Interfaces باشد اعمال شده و ترافیک های مخرب وارد شده به شبکه را شناسایی و بلاک می کند. باید در نظر داشته باشیم که ارتباطات Local درون LAN و یا بر روی بستر VPN شامل این نظارت و بررسی نمی شوند.
  • استفاده از NAT برای استفاده از این ویژگی لازم است.
  •  Intrusion prevention دارای اولویت بالاتری نسبت به Traffic Rules می باشد و به عبارتی دیگر قبل از Rule های Allow یا Deny بررسی می شود.

برای انجام تنظیمات مربوط به این ویژگی در کریو کنترل مراحل زیر را دنبال کنید:

  • در پنل Administration به قسمت Intrusion prevention بروید.
  • تیک Enable Intrusion prevention را بزنید.
  • حال شما می توانید گزینه سختگیرانه Log and Drop که هم جلوی ورود بسته را گرفته و هم گزارش آن را ثبت می کند، انتخاب کنید. گزینه Log تنها گزارش ورود بسته را ثبت می کند و گزینه Do nothing نیز هیچ کاری نمی کند.

38

در قسمت IP blacklist نیز نمونه هایی از سایت ها و Action مربوط به آنها قرار گرفته است. می توانید Action ها را به Mode دیگری Switch کنید.

39

در بخش Updates نیز می توانید مشخص نمایید که دیتابیس مربوط به IDS/IPS هر چند ساعت یکبار Update های خود را از سرور های کریو دریافت نماید.

40

تنظیمات MAC Filtering

در این قسمت می توانید آدرس های مک دلخواه خود را مشخص کرده و به آنها اجازه و یا عدم اجازه عبور از شبکه را بدهید. در این بخش ابتدا باید تیک فعال شدن Mac Filter را زده و سپس Interface مد نظر خود را جهت ایجاد محدودیت مشخص نمایید.

41

در عکس فوق می توانید تنظیمات مربوط به فعال کردن MAC Filter و انتخاب Interface دلخواه را مشاهده کنید.

42

در قسمت بعد نیز با زدن دکمه Add و وارد کردن آدرس MAC ، می توانید دسترسی دستگاه مورد نظر به شبکه را مسدود کنید. در اینجا من با وارد کردن MAC آدرس دستگاه خود و زدن دکمه Apply باعث قطع ارتباط خود و کنسول مدیریتی ادمین شدم و این یعنی که ویژگی MAC Filter به درستی کار می کند.

43

البته در ورژن جدید کریو کنترل، اعمال تغییراتی که باعث شکستن ارتباط بین ادمین و کنسول مدیریتی می شود امکان پذیر نیست و به همین خاطر تنظیمات Save نمی شوند.

44

نکته: آدرس های MAC را به سه شکل زیر می توانید وارد کنید:

  • a0:de:bf:33:ce:12
  • a0-de-bf-33-ce-12
  • a0debf33ce12