Instalación de Kerio Control y configuracion básica. Primera Parte.

Kerio Control es un firewall de gestión unificada de amenazas que cuenta con la prevención de intrusiones, filtrado de contenido, el informe de actividades, gestión de ancho de banda y redes privadas virtuales. En el siguiente tutorial serán cubiertas las configuraciones iniciales de kerio control 9.3 para su despliegue en redes con Directorio Activo.

NOTA: El siguiente Tutorial no es de mi autoría es del usuario Armando Almeida Gómez (@Armando AG)

Por cuestiones de extensión de este tutorial no cubriremos los siguientes aspectos, que seran tratados en otras partes:

– Configuración de VPN

– Configuración de ancho de banda

– Configuración y rotación de logs

– Colocación de reglas de navegación

– Enrutamiento

– Definición de reglas de firewall para Zonas Desmilitarizadas (aparecen varios ejemplos en el manual de la aplicación)

Para aquellos usuarios interesados en profundizar en algunos aspectos que estén a nuestro alcance estamos en nuestro canal de Sysadmin de telegram.

Instalación:

Para la instalación usamos la imagen ISO de kerio control 9.3 que podemos descargar desde internet.

En este tutorial tendremos como premisa la instalación de kerio control 9.3 (en lo adelante kerio) con 2 interfaces de red (una interna y otra externa con salida a internet) que se enlazará con un directorio activo, en este caso construido sobre zentyal (también puede ser enlazado con un directorio activo Windows). También utilizaremos el servicio DHCP brindado por kerio para un manejo fluido y fácil de nuestra red.

  • Iniciamos la instalación escogiendo el idioma español y le damos Enter para continuar
  • Le damos f8 para continuar
  • Escribimos 135 según nos indica el instalador para continuar y le damos Enter
  • Se instala y nos pide reiniciar apretando la tecla de Enter. Una vez que se reinicia presionando la tecla enter se entra a la configuración inicial donde en nuestro caso, tanto la interface interna como externa tendrán direcciones IP estáticas.

  • Con la configuración de red seleccionada presionamos Enter para configurarlas . Vemos que nos aparecen las 2 interfaces de red que tenemos conectadas Ethernet (red interna) y Ethernet 2 (red externa o WAN). Volvemos a presionar Enter para configurar primero la Ethernet y luego la Ethernet 2 .

  • Después de realizadas estas acciones nos queda de la siguiente manera, donde vemos que para continuar con la configuración debemos acceder via web por https.

Configuración final vía WEB:

  1. Utilizamos cualquier navegador para acceder al servidor (chrome, firefox , vivladi, no se recomienda usar internet explorer en caso de acceder desde una máquina con windows). Vemos primeramente un aviso de seguridad, presionamos advanced y luego accept the risk and continue

Desmarcamos la opción de enviar al sitio de kerio información de estadísticas de uso anónimas y presionamos next

  1. Configuramos el usuario de administración (Administrator account), desmarcando la administración remota de kerio cloud service y presionamos finish

Una vez terminado, entramos entonces con el usuario admin y el password que hayamos definido en el paso anterior. A partir de ahora podemos acceder desde cualquier lugar de la red a administrar nuestro servidor.

Configuración interna de Kerio Control:

 1- Las primeras acciones que tenemos que realizar es desactivar las actualizaciones y bloquear el acceso al sitio de kerio para evitar problemas (obviamente si es comprado este paso no es necesario), para lo cual entramos en los siguientes apartados del software:

  •  Advanced Options/software update y lo desactivamos

  •  Antivirus/Antivirus update y lo desactivamos

Word

  •  Content filter/Content rule y denegamos las reglas Kerio sites y update and MS Windows. Con esta configuración evitamos por un lado que entre al sitio de kerio a buscar actualizaciones y que exista tráfico de red de Pc con Windows 10 por ejemplo a buscar actualizaciones de Microsoft sin nuestro consentimiento; esta regla se puede refinar después editando el grupo de URL Automatic Updates.

2- A continuación, empezamos a configurar el resto de las opciones paso a paso

– Opción Interfaces.

NOTA: En nuestro caso el tutorial se realiza para una única línea de salida y no se tendrá en cuenta el desarrollo de una VPN

Damos un click izquierdo y arrastramos la interface 2 hasta internet interfaces y deshabilitamos VPN también, le damos a aplicar para salvar los cambios. Nos quedaría editar la interface de internet para ponerle los DNS, pero lo vamos a dejar para el final, ¡hasta que tengamos configuradas el resto de las opciones!

– A continuación, procedemos a sincronizar el tiempo con el servidor de dominio, este paso es sumamente necesario pues de lo contrario no podremos unirnos al dominio y por ende usar los usuarios registrados en el directorio activo, tanto la zona horaria como la hora del servidor deben coincidir. Para realizar estas acciones vamos a Advanced options/system configuration y hacemos los cambios pertinentes

– Vamos a Domain and user login para cambiar la forma en que se autentificaran los usuarios (en nuestro caso contra directorio activo). En la primera opción de Aunthentication Options forzamos la autentificación de los usuarios cada vez que acceden a sitios WEB y bajamos el tiempo de inactividad para deslogear a los usuarios según nuestra conveniencia (1 minuto en este caso).

Entramos a la opción Directory services y en la extrema derecha le damos a la opción join domain, donde ponemos el nombre del dominio, el nombre con el que se verá nuestro kerio en la red, el nombre de usuario con permiso de administrador en el dominio y el password, le damos a la opción de next y procedemos a unirlo al dominio.

– En la opción Proxy Server podemos entre otras cosas configurar el cache del proxy. Siempre es necesario recordar que el cache no debe ser muy grande ya que al final está constituido por archivos de texto y al ser muy grandes se logra el efecto contrario ya que se ralentizan los accesos a la WEB al acceder a ellos; si la conexión es de buena velocidad no vale la pena activarlo.

– Procedemos ahora a ocuparnos del desciframiento de las conexiones https que son la mayor parte del tráfico WEB hoy día, para lo cual realizaremos 2 acciones encaminadas a lograrlo:

  • Vamos a la opción Content filter/Https filtering y marcamos la opción de desencriptar y filtrar todo el tráfico https.

  • Vamos a Traffic rules y duplicamos la regla de Internet Access (NAT), desmarcamos la inferior y modificamos la superior eliminando todo lo listado en origen y agregando Authenticated users, esta regla unido a lo visto en el punto 1 nos permiten capturar y mostrar correctamente todo el tráfico HTTPS

– Otras acciones en esta misma sección

  • Eliminamos cualquier punto relacionado con cosas que no estamos usando (ejemplo VPN y acceso invitado)

  • En la acción de las reglas activadas damos dobles click y le indicamos hacer log.

  • Volvemos a la opción interfaces y editamos la interface de internet para poner los DNS que vamos a utilizar (en nuestro caso los DNS de Google).

  • Vamos a la herramienta de ping y hacemos un ping continuo a www.google.com para saber si está funcionando correctamente.

  • A continuación, tendríamos que configurar el DHCP, opción que no vamos a desarrollar en este tutorial por ser similar a lo que ya conocemos; solo recomendar que si vamos a usar kerio es mucho mejor usar el DHCP que provee el software por su sencillez y flexibilidad.
  • Si tenemos un DNS local entonces se debería desmarcar la opción de Enable DNS forwarding Service pues entraría en conflicto con el DNS activado.

  • En Users and Groups en Domain cambiamos local database users por nuestro dominio, en este caso prueba.cu y nos aparecen todos los usuarios del mismo, dejamos activos solo aquellos que vayamos a utilizar.

  • Por último, para habilitar el acceso por SSH es necesario ir a la opción de System Health y con el shift presionado dar click encima, vemos como se activa en la parte de abajo de la derecha la opción de enable SSH.

 

Con esto terminamos de cubrir las configuraciones básicas de este maravilloso firewall, en otras partes les mostrare como configurar sus módulos correctamente.

¿De cuánta utilidad te ha parecido este contenido?

¡Haz clic en una estrella para puntuar!

Promedio de puntuación 5 / 5. Recuento de votos: 11

Hasta ahora, ¡no hay votos!. Sé el primero en puntuar este contenido.

Please follow and like us:
Alexander Rivas Alpizar
Sobre Alexander Rivas Alpizar 46 artículos
Administrador de Redes EMPRESTUR Cienfuegos

29 comentarios

  1. Google Chrome 75.0.3770.100 Google Chrome 75.0.3770.100 Windows 10 x64 Edition Windows 10 x64 Edition
    Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36

    Muy buen post, yo comence a usar hace poco el kerio y me parece super sencillo, aunque el unico problema es que cuando lo actualizo a la ultima version deja de reconocer el dominio. Por lo demas pincha de maravilla

    • Firefox 68.0 Firefox 68.0 Windows 10 Windows 10
      Mozilla/5.0 (Windows NT 10.0; rv:68.0) Gecko/20100101 Firefox/68.0

      Hola, hace poco actualicé el kerio al 9.3.0. Quisiera saber como fue que solucionaste el problema de que no reconoce el dominio luego que lo actualizas

      • Vivaldi 2.7.1628.30 Vivaldi 2.7.1628.30 GNU/Linux x64 GNU/Linux x64
        Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.110 Safari/537.36 Vivaldi/2.7.1628.30

        Hola Daylin, el problema de sincronización con el dominio se resuelve si ambos el kerio y el dominio tienen la misma hora y zona horaria, en caso contrario nunca sincronizan. Este es mi correo [email protected], enviame un teléfono de contacto por si tienes otra pregunta en la que te pueda ayudar!. Saludos!

  2. Firefox 67.0 Firefox 67.0 Windows 10 x64 Edition Windows 10 x64 Edition
    Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:67.0) Gecko/20100101 Firefox/67.0

    Muy buena la iniciativa, se agradece. Pregunta, tiene alguna licencia esta version de kerio.

    saludos

    • Firefox 67.0 Firefox 67.0 Windows 10 x64 Edition Windows 10 x64 Edition
      Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:67.0) Gecko/20100101 Firefox/67.0

      No damos soporte a la pirateria de softwares. Pero si lo descargas de webs como la de los iranies la lic esta dentro como bien señala armando.
      alex out

  3. Google Chrome 75.0.3770.101 Google Chrome 75.0.3770.101 Android 6.0.1 Android 6.0.1
    Mozilla/5.0 (Linux; Android 6.0.1; SM-A300FU) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.101 Mobile Safari/537.36

    Respuesta: La licencia esta incluida en la instalacion

  4. Firefox 67.0 Firefox 67.0 Windows 8.1 x64 Edition Windows 8.1 x64 Edition
    Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:67.0) Gecko/20100101 Firefox/67.0

    Llevo un montón usando éste cortafuegos y todos los días descubro o aprendo algo nuevo, éste artículo me mostró muchas cosas. Gracias por su desinterés al compartir sus conocimientos, espero no nos abandone y continue compartiendo sus conocimientos. Gracias nuevamente.

    • Vivaldi 2.7.1628.30 Vivaldi 2.7.1628.30 GNU/Linux x64 GNU/Linux x64
      Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.110 Safari/537.36 Vivaldi/2.7.1628.30

      Estimado Eddy, ahora en septiembre continuare publicando las cosas que he logrado aprender del kerio control con el uso diario, espero que le sea de utilidad!

  5. Firefox 68.0 Firefox 68.0 Windows 10 x64 Edition Windows 10 x64 Edition
    Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:68.0) Gecko/20100101 Firefox/68.0

    Socio, tengo bateo con las vlans compadre…soy nuevo en el kerio y tengo problemas con las vlans…las cree sin problemas pero a la hora de enrutar no me dan comunicacion…no tienen salida para internet…

  6. Firefox 67.0 Firefox 67.0 Windows 10 x64 Edition Windows 10 x64 Edition
    Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:67.0) Gecko/20100101 Firefox/67.0

    Como podría planificar un tarea programa en el Kerio para hacer salvas del los filtros, Web, etc automáticamente o poder compartir una carpeta. Si alguien sabe necesito ayuda o alguna forma.Saludos

    • Vivaldi 2.7.1628.30 Vivaldi 2.7.1628.30 GNU/Linux x64 GNU/Linux x64
      Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.110 Safari/537.36 Vivaldi/2.7.1628.30

      La tarea es mejor planificarla desde afuera (desde otra PC) con algún sincronizador, en próximos artículos voy a tratar la configuración de la rotación de los logs y otras cosas más como la ubicación de los mismos en la instalación de kerio. A partir de septiembre seguiremos poniendo tutoriales sobre el tema.

  7. Google Chrome 72.0.3626.121 Google Chrome 72.0.3626.121 Android 9 Android 9
    Mozilla/5.0 (Linux; Android 9; Mi A2 Lite) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.121 Mobile Safari/537.36

    Me pueden dar algún link donde pueda descargarlo con la licencia incluida??

    Y por favor alguien responda como hacer para conectarlo al dominio por lo menos a mí nunca me ha dejado.

    Gracias

    • Vivaldi 2.7.1628.30 Vivaldi 2.7.1628.30 GNU/Linux x64 GNU/Linux x64
      Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.110 Safari/537.36 Vivaldi/2.7.1628.30

      Luis, para conectarlo al Dominio es requisito esencial que coincida la hora con la del dominio así como la zona horaria, en caso contrario no se integra. Además aprovecho para comentarte que se integra mejor sobre un AD creado en linux, personalmente lo he probado con zentyal con buenos resultados. Saludos!. Mi correo es [email protected], me puedes escribir con un teléfono de contacto para cualquier pregunta!

  8. Firefox 69.0 Firefox 69.0 Ubuntu x64 Ubuntu x64
    Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:69.0) Gecko/20100101 Firefox/69.0

    publica como integraste kerio con zentyal seria muy bueno ,para obtener tus mismos resultados

    • Vivaldi 2.6.1566.44 Vivaldi 2.6.1566.44 GNU/Linux x64 GNU/Linux x64
      Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.102 Safari/537.36 Vivaldi/2.6.1566.44

      Estimado Alexander, para lograr sincronizar con zentyal es necesario que tanto la hora como la zona horaria sean iguales, para lo cual es bueno activar el servicio ntp en zentyal y ponerle al kerio que su servidor ntp va a ser el zentyal, se debe contar tambien con un usuario con permisos administrativos para unir al dominio y debes tener presente que si tienes el firewall activado en zentyal tal como viene por defecto no vas a poder realizar la union con el dominio!

  9. Firefox 69.0 Firefox 69.0 Windows 7 x64 Edition Windows 7 x64 Edition
    Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:69.0) Gecko/20100101 Firefox/69.0

    Realmente me gustaría contactar contigo, soy nuevo en esto del Kerio y realmente tengo muchas dudas que la concretarlas te preguntaré exactamente, me ha servido mucho esta publicación y ávido de qe hallan más

    Salu2
    Luis Alberto

    • Vivaldi 2.6.1566.44 Vivaldi 2.6.1566.44 GNU/Linux x64 GNU/Linux x64
      Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.102 Safari/537.36 Vivaldi/2.6.1566.44

      Estimado Luis Alberto ya tenemos una segunda publicacion y tenemos una tercera en proceso de edición.
      Gracias por su comentario,
      Saludos!

  10. Firefox 69.0 Firefox 69.0 Windows 10 x64 Edition Windows 10 x64 Edition
    Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:69.0) Gecko/20100101 Firefox/69.0

    Llevo años trabajando con el Kerio; mientras estuve conectado directamente a ETECSA, veía correcamente los Hosts Activos, las conexiones y la actividad de los mismos. Ahora que pasé a una VPN, sólo veo las conexiones que se realizan el proxy padre, pero NO logro ver la actividad de los usuarios en el apartado Hosts Activos, aunque sí logro ver la navegación en los logs de web y http.
    Alguna idea de por qué pudiera estar pasando esto?
    Gracias!

    • Vivaldi 2.6.1566.44 Vivaldi 2.6.1566.44 GNU/Linux x64 GNU/Linux x64
      Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.102 Safari/537.36 Vivaldi/2.6.1566.44

      Estimado Carlos, en este tutorial se explica lo que hay que hacer para comenzar a ver la actividad de los usuarios en Active Hosts «Vamos a Traffic rules y duplicamos la regla de Internet Access (NAT), desmarcamos la inferior y modificamos la superior eliminando todo lo listado en origen y agregando Authenticated users, » (esto es en traffic rules (reglas de firewall)
      Espero que esto le ayude. Mi usuario del canal de telegramm es @Armando_kerio

  11. Firefox 74.0 Firefox 74.0 Windows 10 x64 Edition Windows 10 x64 Edition
    Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:74.0) Gecko/20100101 Firefox/74.0

    Saludos tengo una duda, se puede anclar en Kerio la navegación contra una dirección IP específica?
    Me está pasando que un usuario puede navegar desde diferentes PC, y la idea es que ese usuario solamente pueda navegar desde una única dirección IP.

  12. Firefox 74.0 Firefox 74.0 Windows 10 x64 Edition Windows 10 x64 Edition
    Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:74.0) Gecko/20100101 Firefox/74.0

    Otra duda que tengo es si es posible en el filtro de contenido negar la navegación a internet a un grupo de usuarios que solamente pueden navegar por la intranet. De ser posible como sería…?

    • Google Chrome 83.0.4103.119 Google Chrome 83.0.4103.119 GNU/Linux x64 GNU/Linux x64
      Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.119 Safari/537.36

      Hola Gunnersito se puede lograr con 2 reglas en el filtro de contenido:
      1. en la condicion le pone *.cu*, para el grupo de usuarios con navegacion nacional en Cuba, ejemplo Nav-nacional, acción permitir
      2. condición *.*, para el grupo de usuarios con navegacion nacional en Cuba, ejemplo Nav-nacional, accción denegar

      Las pone en ese orden y así resolvera su situación. Gracias por preguntar!

  13. Firefox 77.0 Firefox 77.0 Windows 10 x64 Edition Windows 10 x64 Edition
    Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:77.0) Gecko/20100101 Firefox/77.0

    Saludos, cordiales tengo un servidor firewall (Kerio Control) y me bloquea una pagina en especifico y no tengo restricción de ninguna pagina por los momentos

    • Google Chrome 83.0.4103.119 Google Chrome 83.0.4103.119 GNU/Linux x64 GNU/Linux x64
      Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.119 Safari/537.36

      Saludos Robert, aunque ya le conteste por telegram, posteo aquí la respuesta para que le pueda servir a otros usuarios, luego de comprobar sino tengo ningún tipo de restricción que me permita acceder a una página en específico, toca pensar que se trata de problema de resolución de DNS, la primera comprobación que podemos hacer es a una pc interna de la red poner una ip fija y agregarle el DNS de mi ISP, si resuelve la página en cuestión mientras se resuelve la correcta configuración de su DNS interno si esta haciendo DHCP con kerio control puede repartir a las IP de la red el DNS de su ISP con ayuda del mismo. Saludos!
      PD: Si alguien quiere profundizar sobre esto me pueden buscar en telegram por el usuario @Armando_kerio

  14. Chrome 83.0.4103.88 Chrome 83.0.4103.88 iPhone iOS 13.3 iPhone iOS 13.3
    Mozilla/5.0 (iPhone; CPU iPhone OS 13_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) CriOS/83.0.4103.88 Mobile/15E148 Safari/604.1

    Antes que nada me fue muy útil esta publicación, mi pregunta es simple existe algún kerio a nivel de software y no .iso , explicó que yo uso Windows server por otras tareas las cuales no puedo eliminar y quisiera instalar kerio para controlar el tráfico de la red.

    • Google Chrome 83.0.4103.119 Google Chrome 83.0.4103.119 GNU/Linux x64 GNU/Linux x64
      Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.119 Safari/537.36

      Carlos, la última versión que salio para windows fue la 7.4.2, ya a partir de la 8 salió en appliance ISO

  15. Google Chrome 84.0.4147.125 Google Chrome 84.0.4147.125 Android 8.0.0 Android 8.0.0
    Mozilla/5.0 (Linux; Android 8.0.0; SM-G930F) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.125 Mobile Safari/537.36

    Quiero que mi servidor emby pase a través del kerio…como hacerlo??? Ayudenme

    • Google Chrome 85.0.4183.106 Google Chrome 85.0.4183.106 GNU/Linux x64 GNU/Linux x64
      Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.106 Safari/537.36

      Estimado Eddy, busque en el manual de usuario el ejemplo de reglas para DMZ, que es exactamente lo que usted necesita!

  16. Google Chrome 85.0.4183.121 Google Chrome 85.0.4183.121 Windows 10 x64 Edition Windows 10 x64 Edition
    Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.121 Safari/537.36

    Muy buenas las explicaciones hace unos años que uso Kerio control y me parece un excelente cortafuegos, me podrían decir como hago para los usuarios los sitios .cu no consuman de la cuota asignada en el kerio, le tengo una cuota asignada y me lo hace para todos los sitios, me podrían ayudar en este tema

Dejar una contestacion

Tu dirección de correo electrónico no será publicada.


*