Instalación de Kerio Control y configuracion básica. Primera Parte.

Kerio Control es un firewall de gestión unificada de amenazas que cuenta con la prevención de intrusiones, filtrado de contenido, el informe de actividades, gestión de ancho de banda y redes privadas virtuales. En el siguiente tutorial serán cubiertas las configuraciones iniciales de kerio control 9.3 para su despliegue en redes con Directorio Activo.

NOTA: El siguiente Tutorial no es de mi autoría es del usuario Armando Almeida Gómez (@Armando AG)

Por cuestiones de extensión de este tutorial no cubriremos los siguientes aspectos, que seran tratados en otras partes:

– Configuración de VPN

– Configuración de ancho de banda

– Configuración y rotación de logs

– Colocación de reglas de navegación

– Enrutamiento

– Definición de reglas de firewall para Zonas Desmilitarizadas (aparecen varios ejemplos en el manual de la aplicación)

Para aquellos usuarios interesados en profundizar en algunos aspectos que estén a nuestro alcance estamos en nuestro canal de Sysadmin de telegram.

Instalación:

Para la instalación usamos la imagen ISO de kerio control 9.3 que podemos descargar desde internet.

En este tutorial tendremos como premisa la instalación de kerio control 9.3 (en lo adelante kerio) con 2 interfaces de red (una interna y otra externa con salida a internet) que se enlazará con un directorio activo, en este caso construido sobre zentyal (también puede ser enlazado con un directorio activo Windows). También utilizaremos el servicio DHCP brindado por kerio para un manejo fluido y fácil de nuestra red.

  • Iniciamos la instalación escogiendo el idioma español y le damos Enter para continuar
  • Le damos f8 para continuar
  • Escribimos 135 según nos indica el instalador para continuar y le damos Enter
  • Se instala y nos pide reiniciar apretando la tecla de Enter. Una vez que se reinicia presionando la tecla enter se entra a la configuración inicial donde en nuestro caso, tanto la interface interna como externa tendrán direcciones IP estáticas.

  • Con la configuración de red seleccionada presionamos Enter para configurarlas . Vemos que nos aparecen las 2 interfaces de red que tenemos conectadas Ethernet (red interna) y Ethernet 2 (red externa o WAN). Volvemos a presionar Enter para configurar primero la Ethernet y luego la Ethernet 2 .

  • Después de realizadas estas acciones nos queda de la siguiente manera, donde vemos que para continuar con la configuración debemos acceder via web por https.

Configuración final vía WEB:

  1. Utilizamos cualquier navegador para acceder al servidor (chrome, firefox , vivladi, no se recomienda usar internet explorer en caso de acceder desde una máquina con windows). Vemos primeramente un aviso de seguridad, presionamos advanced y luego accept the risk and continue

Desmarcamos la opción de enviar al sitio de kerio información de estadísticas de uso anónimas y presionamos next

  1. Configuramos el usuario de administración (Administrator account), desmarcando la administración remota de kerio cloud service y presionamos finish

Una vez terminado, entramos entonces con el usuario admin y el password que hayamos definido en el paso anterior. A partir de ahora podemos acceder desde cualquier lugar de la red a administrar nuestro servidor.

Configuración interna de Kerio Control:

 1- Las primeras acciones que tenemos que realizar es desactivar las actualizaciones y bloquear el acceso al sitio de kerio para evitar problemas (obviamente si es comprado este paso no es necesario), para lo cual entramos en los siguientes apartados del software:

  •  Advanced Options/software update y lo desactivamos

  •  Antivirus/Antivirus update y lo desactivamos

Word

  •  Content filter/Content rule y denegamos las reglas Kerio sites y update and MS Windows. Con esta configuración evitamos por un lado que entre al sitio de kerio a buscar actualizaciones y que exista tráfico de red de Pc con Windows 10 por ejemplo a buscar actualizaciones de Microsoft sin nuestro consentimiento; esta regla se puede refinar después editando el grupo de URL Automatic Updates.

2- A continuación, empezamos a configurar el resto de las opciones paso a paso

– Opción Interfaces.

NOTA: En nuestro caso el tutorial se realiza para una única línea de salida y no se tendrá en cuenta el desarrollo de una VPN

Damos un click izquierdo y arrastramos la interface 2 hasta internet interfaces y deshabilitamos VPN también, le damos a aplicar para salvar los cambios. Nos quedaría editar la interface de internet para ponerle los DNS, pero lo vamos a dejar para el final, ¡hasta que tengamos configuradas el resto de las opciones!

– A continuación, procedemos a sincronizar el tiempo con el servidor de dominio, este paso es sumamente necesario pues de lo contrario no podremos unirnos al dominio y por ende usar los usuarios registrados en el directorio activo, tanto la zona horaria como la hora del servidor deben coincidir. Para realizar estas acciones vamos a Advanced options/system configuration y hacemos los cambios pertinentes

– Vamos a Domain and user login para cambiar la forma en que se autentificaran los usuarios (en nuestro caso contra directorio activo). En la primera opción de Aunthentication Options forzamos la autentificación de los usuarios cada vez que acceden a sitios WEB y bajamos el tiempo de inactividad para deslogear a los usuarios según nuestra conveniencia (1 minuto en este caso).

Entramos a la opción Directory services y en la extrema derecha le damos a la opción join domain, donde ponemos el nombre del dominio, el nombre con el que se verá nuestro kerio en la red, el nombre de usuario con permiso de administrador en el dominio y el password, le damos a la opción de next y procedemos a unirlo al dominio.

– En la opción Proxy Server podemos entre otras cosas configurar el cache del proxy. Siempre es necesario recordar que el cache no debe ser muy grande ya que al final está constituido por archivos de texto y al ser muy grandes se logra el efecto contrario ya que se ralentizan los accesos a la WEB al acceder a ellos; si la conexión es de buena velocidad no vale la pena activarlo.

– Procedemos ahora a ocuparnos del desciframiento de las conexiones https que son la mayor parte del tráfico WEB hoy día, para lo cual realizaremos 2 acciones encaminadas a lograrlo:

  • Vamos a la opción Content filter/Https filtering y marcamos la opción de desencriptar y filtrar todo el tráfico https.

  • Vamos a Traffic rules y duplicamos la regla de Internet Access (NAT), desmarcamos la inferior y modificamos la superior eliminando todo lo listado en origen y agregando Authenticated users, esta regla unido a lo visto en el punto 1 nos permiten capturar y mostrar correctamente todo el tráfico HTTPS

– Otras acciones en esta misma sección

  • Eliminamos cualquier punto relacionado con cosas que no estamos usando (ejemplo VPN y acceso invitado)

  • En la acción de las reglas activadas damos dobles click y le indicamos hacer log.

  • Volvemos a la opción interfaces y editamos la interface de internet para poner los DNS que vamos a utilizar (en nuestro caso los DNS de Google).

  • Vamos a la herramienta de ping y hacemos un ping continuo a www.google.com para saber si está funcionando correctamente.

  • A continuación, tendríamos que configurar el DHCP, opción que no vamos a desarrollar en este tutorial por ser similar a lo que ya conocemos; solo recomendar que si vamos a usar kerio es mucho mejor usar el DHCP que provee el software por su sencillez y flexibilidad.
  • Si tenemos un DNS local entonces se debería desmarcar la opción de Enable DNS forwarding Service pues entraría en conflicto con el DNS activado.

  • En Users and Groups en Domain cambiamos local database users por nuestro dominio, en este caso prueba.cu y nos aparecen todos los usuarios del mismo, dejamos activos solo aquellos que vayamos a utilizar.

  • Por último, para habilitar el acceso por SSH es necesario ir a la opción de System Health y con el shift presionado dar click encima, vemos como se activa en la parte de abajo de la derecha la opción de enable SSH.

 

Con esto terminamos de cubrir las configuraciones básicas de este maravilloso firewall, en otras partes les mostrare como configurar sus módulos correctamente.

(Visited 1 times, 1 visits today)
Sobre Alexander Rivas Alpizar 27 Artículos
Administrador de Redes de EMPRESTUR Cienfuegos

5 Comentarios

  1. Muy buen post, yo comence a usar hace poco el kerio y me parece super sencillo, aunque el unico problema es que cuando lo actualizo a la ultima version deja de reconocer el dominio. Por lo demas pincha de maravilla

    • No damos soporte a la pirateria de softwares. Pero si lo descargas de webs como la de los iranies la lic esta dentro como bien señala armando.
      alex out

  2. Llevo un montón usando éste cortafuegos y todos los días descubro o aprendo algo nuevo, éste artículo me mostró muchas cosas. Gracias por su desinterés al compartir sus conocimientos, espero no nos abandone y continue compartiendo sus conocimientos. Gracias nuevamente.

Dejar una contestacion

Tu dirección de correo electrónico no será publicada.


*