Instalación de Kerio Control 9.3.5 – Primera parte

Instalación de Kerio Control 9.3.5 – Primera parte


Autor: Armando Almeida Gómez


Introducción.

Kerio Control es una solución de gestión unificada de amenazas (UTM por sus siglas en inglés) para PyMEs que incorpora firewall, router de red, sistema de prevención de intrusiones (IPS), antivirus, VPN y filtrado de contenidos y aplicaciones.
En este tutorial cubriremos aspectos básicos de su instalación y configuración; esta es la primera parte de una serie de artículos que les ofreceremos con el objetivo de que sea de ayuda a aquellas personas con lo usan o tienen pensado usarlo en sus organizaciones.

Instalación.

Para la instalación usaremos la imágen ISO de kerio control 9.3.5 (en lo adelante kerio) y tendremos como premisa fundamental el uso de 2 interfaces de red, una de cara a internet, la otra a nuestra red LAN. También tendremos en cuenta que lo enlazaremos con un Directorio Activo construido en Zentyal (podemos enlazarlo igualmente con un Directorio Activo construido sobre Windows Server en cualquiera de sus versiones).
También utilizaremos el servicio de DHCP que ofrece Kerio por su versatilidad y facilidad de uso, además de su integración orgánica con la aplicación.
Una vez preparado el medio de instalación reiniciamos la Pc y boteamos desde el mismo para proceder a instalar nuestro Kerio, a través de los siguientes pasos:
  • Escogemos el idioma español y damos Enter para iniciar la instalación (fig 1)
Fig 1. Pantalla inicial de la instalación
  • Damos F8 para aceptar la licencia de instalación
  • Escribimos 135, según nos indica el instalador y le damos Enter para continuar
  • Nos pide que saquemos el medio de instalación y le demos Enter para reiniciar
  • Una vez que reinicia le damos Enter para entrar en la consola de acceso a fin de configurar nuestras interfaces de red
  • Seleccionamos interfaces de red y le damos Enter nuevamente para configurar nuestras 2 interfaces de red, seleccionamos la interfaz de red superior que es la que nos permitirá administrar Kerio desde nuestra Lan y le ponemos la IP estática 192.168.1.2/24 como se muestra en la fig 2 y le damos F8 para aplicar
Fig 2. Configuración de la interface de red interna
  • De la misma manera configuramos la interface de internet que en nuestro caso estará asignada por DHCP
  • Una vez terminada esta configuración inicial entramos vía web para terminar de configurar el sistema
Configuración final vía web

En cualquier máquina de nuestro segmento de red abrimos el navegador y ponemos la siguiente dirección para proceder a la configuración final de nnuestro Kerio:

https://192.168.1.2:4081/admin

Al darle Enter nos aparece un riesgo potencial de seguridad, le damos a opciones avanzadas y aceptamos el certificado para continuar.
Desmarcamos la opción de enviar las estadísticas de uso al sitio de kerio de forma anónima y le damos next y definimos la contraseña del usuario admin, desmarcamos la opción de enviar alertas y le damos finish, (fig 3)

Fig 3. Pantalla de entrada a la administración


Nuevamente ingresamos la contraseña del usuario admin y empezamos a configurar el sistema desde cero. A partir de ahora podemos entrar desde cualquier lugar de la red a administrar nuestro Kerio.

Configuración interna de Kerio Control.

1. Recomendaciones iniciales.

Antes de comenzar a configurarlo recomendamos desconectar la interface de red wan para poder desmarcar las actualizaciones automáticas del sistema, las actualizaciones de Intrusion prevention y del antivirus. Esto lo hacemos con el objetivo de controlar nosotros los tiempos de actualización de forma manual (fig 4, 5 y 6).



Fig 4, 5 y 6. Desmarque de actualizaciones para realizarlas de forma manual.

2. Configuración de Content filter

En Content filter denegamos también los accesos al sitio de Kerio control y al sitio de actualizaciones de Microsoft ya que normalmente las actualizaciones de microsoft se manejan desde servidor de actualizaciones y así evitamos el intento de actualizaciones de las Pc con windows 10 sobre todo que no tiene la opción de desactivarse ni de parar la telemetría y por tanto evitaremos tráfico de red por este concepto. El grupo de URL Automatic updates se puede refinar para añadirle mas URL asociadas con el tráfico de microsoft (fig 7).

Fig 7. Desactivación de accesos al sitio de Kerio y a las actualizaciones de Microsoft

3. Revisión de la configuración de las interfaces.

A continuación vamos a interfaces para revisar su configuración y hacer las correcciones necesarias. En este momento no vamos a establecer la configuración de la VPN, ya que este punto lo cubriremos en próximos tutoriales.

Si la interface de internet apareciera en interfaces locales la arrastramos con clic izquierdo hasta Internet interfaces y le damos aplicar. En nuestro caso la conexión será por DHCP, si es a traves de IP estática le ponemos los parámetros de la misma y además en nuestro caso no usaremos IPV6 por tanto la desactivamos también (fig 8).

Fig 8. Configuración de la interface Wan

Al configurar la interface Lan, le agregamos el servidor DNS de nuestra red que será el del Zentyal (fig 9).

Fig 9. Configuración de la interface Lan

4. Procedemos a unir nuestro servidor de Kerio al Dominio siguiendo los siguientes pasos:

- Establecemos los parámetros de tiempo para la sincronización con el server NTP del Dominio, este paso es muy importante porque de lo contrario no seríamos capaces de sincronizar con los users y grupos de nuestro AD. Para esto ponemos nuestra zona horaria que es la -5 del este de Estados Unidos y le damos la IP del Dominio, al darle aplicar ya podemos sincronizar nuestro server con nuestro AD (fig 10).

Fig 10. Sincronización de hora con el Dominio

- Pasamos a Domain and user loging y marcamos que requiera siempre que los usuarios hagan loging antes de acceder a las páginas WEB y bajamos el tiempo de deslogueo de los usuarios al mínimo (1 min), esto se hace con el objetivo de que cuando detecte un tiempo de inactividad superior a 1 min, desloguee al usuario del sistema y evite que otra persona pueda aprovechar una sesión abierta (fig 11).

Importante: La opción de Force non-transparent proxy la dejamos desmarcada, ya que la misma solo tiene utilidad en entornos citrix y si la utilizamos en nuestra red no aparecerá registrad la actividad de los usuarios en Active hosts, por lo cual aunque el tráfico quede registrado no van a funcionar las reglas basadas en usuarios.

Fig 11. Opciones de autentificación

- Vamos a Directory services marcamos el mapeo de usuarios del Dominio, ponemos el nombre de nuestro Dominio, el usuario con permisos de administración del Dominio, en conexión ponemos la IP del server de Dominio y le damos Test Connection y si esta bien nos indica que hemos pasado el test, posteriormente le damos a Join Domain para proceder a unirnos al mismo (fig 12).

Fig 12. Opciones para participación en un Dominio

- Después de darle a unirse al Dominio nos van a salir una serie de opciones donde debemos declarar el Dominio nuevamente, el nombre DNS que tendra nuestro Kerio, el usuario con permisos a unir maquinas al Dominio, a continuación la IP de la Pc del Dominio y finalmente nos anuncia si todo va bien que la unión ha sido efectiva, al regresar a la pantalla inicial aparece una bolita verde diciendonos que ya somos miembros del Dominio (fig 13 a 17).





Fig 13 a 17. Proceso de unión al Dominio

5. Usuarios y grupos

Siguiendo el orden lógico de configuración a continuación explicaremos el proceso de creación de usuarios y pertenencia a grupos, así como las distintas formas de asumir esta tarea según nuestras necesidades.

Base de datos locales: Este tipo de bases de datos de usuarios y grupos son útiles si tenemos pocos usuarios que administrar, veremos a continuación las ventajas y desventajas de esta opción (nota: si vamos a usar bases de datos locales entonces no debemos unir nuestro Kerio al Dominio)

Ventajas
  • Si nuestro server de Dominio tiene problemas y usamos DHCP dentro de kerio, seguiremos teniendo internet aún si nuestro server de AD está caido.
  • Elimina los problemas de sincronización NTP tan sensibles en Kerio Control luego de cortes bruscos de electricidad.
  • Al tener los grupos de usuarios en Kerio nos brinda facilidades de uso de cara a la administración de nuestro server
  • Podemos asignar a los usuarios contraseñas diferentes a la que tengan en el Dominio
Desventajas
  • Es necesario crear los usuarios y grupos dentro de Kerio por segunda vez y cada vez que cambiamos la contraseñas de los mismos debemos hacerlo tanto en el AD como en el Kerio.
Base de datos del Dominio de forma nativa: Si escogemos en la pestaña usuarios el Dominio como tal, podemos ver los usuarios que ya existen así como los grupos del Dominio (fig 18).

Fig 18. Usuarios del Dominio

Ventajas
  • Los cambios de contraseña y de pertencia a grupos se realizan en un solo lugar (controlador de Dominio)
Desventajas
  • Dentro de Kerio no podemos usar nuevos grupos ni crear nuevos usuarios
  • No podemos cambiar la pertenencia a grupos
  • No podemos editar las contraseñas de los usuarios
  • Si existe caida del AD no tendremos navegación
Bases de datos local con usuarios importados del Dominio: Esta opción consiste en importar los usuarios del Dominio dentro de su base de datos local con las ventajas y desventajas que mencionamos a continuación (fig 19, 20 y 21).

Ventajas
  • Las contraseñas se cambian en el AD sin necesidad de entrar al Kerio para eso
  • Los grupos se crean en la base de datos local y a ellos se adicionan los usuarios del Dominio por lo que dentro del mismo Kerio se puede pasar un usuario de un grupo a otro lo cual nos da facilidad de uso y flexibilidad
Desventajas
  • Si existe caida del AD no tendremos navegación
  • Al estar integrado el Kerio con el AD si tenemos un usuario que no ha sido importado y no tenemos ninguna regla que le bloquee la navegación en el Content filter el mismo podrá navegar a cualquier lugar teniendo en cuenta que el Content filter funciona por negación, osea lo que no se niegue está permitido


Fig 19, 20 y 21. Proceso de importación de usuarios del Dominio a base de datos local

6. Proxy server

Proxy server: Si la opción de Proxy no transparente no viene activada por defecto la activamos y en esta misma ventana tenemos la opción de configurar un Proxy padre si este fuera nuestro caso (fig 22).

Fig 22. Opciones de configuración de Proxy server

HTTP Cache: En esta sección tenemos todo lo necesario para configurar el cache de navegación en caso de que tengamos un ancho de banda pequeño y queramos acelerar la navegación a través de contenido alojado en nuestro servidor. Siempre debemos recordar no establecer un tamaño de cache extremadamente grande ya que entonces el Kerio emplearía un tiempo bastante grande en localizar nuestra petición en la base de datos de cache y tendríamos un retardo de navegación no deseado.

7. Reglas de tráfico iniciales

Es deseable que en Traffic rules modifiquemos una de las reglas iniciales creadas por defecto al instalar el sistema para dar acceso detrás de NAT solamente a los usuarios que se han autentificado, esto nos daría un mayor control sobre la navegación; para esto duplicamos la regla que dice Internet access (NAT) y eliminamos del origen Trusted local interfaces y guest interfaces agregándole Autenticated users, además marcamos que guarde en los logs las trazas de la navegación (fig 23).

Fig 23. Modificación de la regla de navegación

Por último para comprobar la correcta configuración de la tarjeta Wan, vamos a IP Tools (fig 24) y damos ping por ejemplo a www.google.com comprobando que tenemos respuesta de esa URL

Fig 24. Prueba de conexión a internet

Con esto damos por terminado este tutorial ya que de lo contrario el artículo sería demasiado extenso, en próximos trabajos continuaremos con la configuración de nuestro Kerio para extraer todo un conjunto de funcionalidades y facilidades que nos van a permitir una administración de red exitosa.

Comentarios

  1. Adrian871 de marzo de 2021 a las 9:55 a.m.

    Excelente trabajo, dudo que en la web exista un manual mejor explicado que este , una vez este completo con las dos partes que le faltan estoy seguro que sera dificil encontrar algo mejor para aquellos que van a iniciarse en la administracion de redes en el apartado de cortafuegos.....Excelente!!!

    ResponderBorrar
  2. rances91017 de marzo de 2021 a las 4:09 p.m.

    Muy buen post, gracias por hacer lo que hace, despues le escribo por telegram

    ResponderBorrar

Publicar un comentario

Entradas más populares de este blog

Montaje del indexador WEB H5AI

Imagen
  Montaje del indexador WEB H5AI Autor:  Adrian Muñiz Apaceiro Móvil: 54267372 Email: adivino87@gmail.com Introducción. Que es H5ai : es un indexador de archivos moderno para servidores web HTTP. ... Inicialmente, h5ai era un acrónimo de HTML5 Apache Index, pero ahora también es compatible con otros servidores web. Dicho sistema php requiere PHP 5.5+ y funciona bien con Apache httpd, lighttpd, nginx y Cherokee. Esto nos permitirá publicar un sitio con varias carpetas o directorios y a través del h5ai le vamos a dar una vista mucho más bonita agradable y mucho más funcional. Lo más común que se encuentra en internet son carpetas indexadas o listadas por el propio servidor web es decir las conocidas como Indexo f. Premisas iniciales. Un container con debian 10 Poxmox (probado en la versión 6.2.4) PC con windows 10 para trabajar y admininistrar Putty Conexión a internet Herramienta WinSCP Pasos a seguir Lo primero que vamos a hacer es actualizar el sistema, para eso empleamos el ...
Leer más

OpenMediaVault como servidor de ficheros y backup de proxmox

Imagen
  OpenMediaVault como servidor de archivos para nuestra red y de backup para Proxmox Autor : Armando Almeida Gómez @Armando_kerio  (telegram)   Introducción En el presente tutorial, trataremos la instalación de un servidor de ficheros openmediavaul v5 en nuestra red a fin de servir como espacio de backup para nuestro Proxmox y como servidor de ficheros para los usuarios de nuestra red. OpenMediaVault tiene como características que puede ser instalado en una memoria SD e incluso en una flash de 16Gb, después solo se le añaden la cantidad de discos que seamos capaces de poner en dicha PC para almacenamiento, tiene los servicios SMB/CIFS, SSH, NFS, FTP y RSync y se maneja a través de una interface web. Para el siguiente tutorial usaremos un disco de 20Gb para sistema, un disco de 20Gb como disco principal de salvas y un disco adicional de 40Gb para backup del disco principal de salvas. Siempre trataremos de que el último disco de respaldo sea mayor que el disco principal...
Leer más