Categories: AplicacionesFirewall

Instalación de Kerio Control y configuracion básica. Primera Parte.

PDF

Kerio Control es un firewall de gestión unificada de amenazas que cuenta con la prevención de intrusiones, filtrado de contenido, el informe de actividades, gestión de ancho de banda y redes privadas virtuales. En el siguiente tutorial serán cubiertas las configuraciones iniciales de kerio control 9.3 para su despliegue en redes con Directorio Activo.

NOTA: El siguiente Tutorial no es de mi autoría es del usuario Armando Almeida Gómez (@Armando AG)

Por cuestiones de extensión de este tutorial no cubriremos los siguientes aspectos, que seran tratados en otras partes:

– Configuración de VPN

– Configuración de ancho de banda

– Configuración y rotación de logs

– Colocación de reglas de navegación

– Enrutamiento

– Definición de reglas de firewall para Zonas Desmilitarizadas (aparecen varios ejemplos en el manual de la aplicación)

Para aquellos usuarios interesados en profundizar en algunos aspectos que estén a nuestro alcance estamos en nuestro canal de Sysadmin de telegram.

Instalación:

Para la instalación usamos la imagen ISO de kerio control 9.3 que podemos descargar desde internet.

En este tutorial tendremos como premisa la instalación de kerio control 9.3 (en lo adelante kerio) con 2 interfaces de red (una interna y otra externa con salida a internet) que se enlazará con un directorio activo, en este caso construido sobre zentyal (también puede ser enlazado con un directorio activo Windows). También utilizaremos el servicio DHCP brindado por kerio para un manejo fluido y fácil de nuestra red.

  • Iniciamos la instalación escogiendo el idioma español y le damos Enter para continuar
  • Le damos f8 para continuar
  • Escribimos 135 según nos indica el instalador para continuar y le damos Enter
  • Se instala y nos pide reiniciar apretando la tecla de Enter. Una vez que se reinicia presionando la tecla enter se entra a la configuración inicial donde en nuestro caso, tanto la interface interna como externa tendrán direcciones IP estáticas.

  • Con la configuración de red seleccionada presionamos Enter para configurarlas . Vemos que nos aparecen las 2 interfaces de red que tenemos conectadas Ethernet (red interna) y Ethernet 2 (red externa o WAN). Volvemos a presionar Enter para configurar primero la Ethernet y luego la Ethernet 2 .

  • Después de realizadas estas acciones nos queda de la siguiente manera, donde vemos que para continuar con la configuración debemos acceder via web por https.

Configuración final vía WEB:

  1. Utilizamos cualquier navegador para acceder al servidor (chrome, firefox , vivladi, no se recomienda usar internet explorer en caso de acceder desde una máquina con windows). Vemos primeramente un aviso de seguridad, presionamos advanced y luego accept the risk and continue

Desmarcamos la opción de enviar al sitio de kerio información de estadísticas de uso anónimas y presionamos next

  1. Configuramos el usuario de administración (Administrator account), desmarcando la administración remota de kerio cloud service y presionamos finish

Una vez terminado, entramos entonces con el usuario admin y el password que hayamos definido en el paso anterior. A partir de ahora podemos acceder desde cualquier lugar de la red a administrar nuestro servidor.

Configuración interna de Kerio Control:

 1- Las primeras acciones que tenemos que realizar es desactivar las actualizaciones y bloquear el acceso al sitio de kerio para evitar problemas (obviamente si es comprado este paso no es necesario), para lo cual entramos en los siguientes apartados del software:

  •  Advanced Options/software update y lo desactivamos

  •  Antivirus/Antivirus update y lo desactivamos

Word

  •  Content filter/Content rule y denegamos las reglas Kerio sites y update and MS Windows. Con esta configuración evitamos por un lado que entre al sitio de kerio a buscar actualizaciones y que exista tráfico de red de Pc con Windows 10 por ejemplo a buscar actualizaciones de Microsoft sin nuestro consentimiento; esta regla se puede refinar después editando el grupo de URL Automatic Updates.

2- A continuación, empezamos a configurar el resto de las opciones paso a paso

– Opción Interfaces.

NOTA: En nuestro caso el tutorial se realiza para una única línea de salida y no se tendrá en cuenta el desarrollo de una VPN

Damos un click izquierdo y arrastramos la interface 2 hasta internet interfaces y deshabilitamos VPN también, le damos a aplicar para salvar los cambios. Nos quedaría editar la interface de internet para ponerle los DNS, pero lo vamos a dejar para el final, ¡hasta que tengamos configuradas el resto de las opciones!

– A continuación, procedemos a sincronizar el tiempo con el servidor de dominio, este paso es sumamente necesario pues de lo contrario no podremos unirnos al dominio y por ende usar los usuarios registrados en el directorio activo, tanto la zona horaria como la hora del servidor deben coincidir. Para realizar estas acciones vamos a Advanced options/system configuration y hacemos los cambios pertinentes

– Vamos a Domain and user login para cambiar la forma en que se autentificaran los usuarios (en nuestro caso contra directorio activo). En la primera opción de Aunthentication Options forzamos la autentificación de los usuarios cada vez que acceden a sitios WEB y bajamos el tiempo de inactividad para deslogear a los usuarios según nuestra conveniencia (1 minuto en este caso).

Entramos a la opción Directory services y en la extrema derecha le damos a la opción join domain, donde ponemos el nombre del dominio, el nombre con el que se verá nuestro kerio en la red, el nombre de usuario con permiso de administrador en el dominio y el password, le damos a la opción de next y procedemos a unirlo al dominio.

– En la opción Proxy Server podemos entre otras cosas configurar el cache del proxy. Siempre es necesario recordar que el cache no debe ser muy grande ya que al final está constituido por archivos de texto y al ser muy grandes se logra el efecto contrario ya que se ralentizan los accesos a la WEB al acceder a ellos; si la conexión es de buena velocidad no vale la pena activarlo.

– Procedemos ahora a ocuparnos del desciframiento de las conexiones https que son la mayor parte del tráfico WEB hoy día, para lo cual realizaremos 2 acciones encaminadas a lograrlo:

  • Vamos a la opción Content filter/Https filtering y marcamos la opción de desencriptar y filtrar todo el tráfico https.

  • Vamos a Traffic rules y duplicamos la regla de Internet Access (NAT), desmarcamos la inferior y modificamos la superior eliminando todo lo listado en origen y agregando Authenticated users, esta regla unido a lo visto en el punto 1 nos permiten capturar y mostrar correctamente todo el tráfico HTTPS

– Otras acciones en esta misma sección

  • Eliminamos cualquier punto relacionado con cosas que no estamos usando (ejemplo VPN y acceso invitado)

  • En la acción de las reglas activadas damos dobles click y le indicamos hacer log.

  • Volvemos a la opción interfaces y editamos la interface de internet para poner los DNS que vamos a utilizar (en nuestro caso los DNS de Google).

  • Vamos a la herramienta de ping y hacemos un ping continuo a www.google.com para saber si está funcionando correctamente.

  • A continuación, tendríamos que configurar el DHCP, opción que no vamos a desarrollar en este tutorial por ser similar a lo que ya conocemos; solo recomendar que si vamos a usar kerio es mucho mejor usar el DHCP que provee el software por su sencillez y flexibilidad.
  • Si tenemos un DNS local entonces se debería desmarcar la opción de Enable DNS forwarding Service pues entraría en conflicto con el DNS activado.

  • En Users and Groups en Domain cambiamos local database users por nuestro dominio, en este caso prueba.cu y nos aparecen todos los usuarios del mismo, dejamos activos solo aquellos que vayamos a utilizar.

  • Por último, para habilitar el acceso por SSH es necesario ir a la opción de System Health y con el shift presionado dar click encima, vemos como se activa en la parte de abajo de la derecha la opción de enable SSH.

 

Con esto terminamos de cubrir las configuraciones básicas de este maravilloso firewall, en otras partes les mostrare como configurar sus módulos correctamente.

¿De cuánta utilidad te ha parecido este contenido?

Alexander Rivas Alpizar

Administrador de Redes IDEAR Cienfuegos

View Comments

  • hola, muy buen tutorial, pero tengo un problema, cada vez que por x motivo hay que apagar el servidor, al encenderlo aparece con la hora mal, por lo que hay que actualizarla manuelamente para que pueda enlazar los usuarios con el dominio, le tengo activado la opcion de mantener sincronizado con servidor ntp, y le tengo puesta la ip de mi servidor pfsense que lo tengo tambien usando como servidor ntp pero nada, no funciona.

  • tuve problemas con mi server primario y estoy con el secundario hasta que resuelva, pero el kerios me da error en los usuario en las reglas no la coge porque creo yo que debo cambiar la direccion ip del kerios que estb en el server primario, ahora no lo encuentro

  • Muy buen trabajo de verdad, me gusta utilizar este firewall me mola mucho, en verdad gracias por tu ayuda

  • Muy bueno el trabajo , tengo un problema en Kerio desde hace un par de meses no puedo acceder por ssh, ya he reiniciado , deshabilitado el ssh , le he vuelto habilitar y continua el problema , si alguien le ha sucedido y pudieran ayudarme...

  • Muy buenas las explicaciones hace unos años que uso Kerio control y me parece un excelente cortafuegos, me podrían decir como hago para los usuarios los sitios .cu no consuman de la cuota asignada en el kerio, le tengo una cuota asignada y me lo hace para todos los sitios, me podrían ayudar en este tema

    • Que yo sepa no hay forma de hacerlo juan, si alguien sabe sería muy buena contribución. El kerio es muy buen sistema pero desde que lo compró la compañía GFI lo han mejorado muy poco.
      El conjunto del firewall OpnSense con el plugin de firewall web sensei: https://www.sunnyvalley.io/sensei/
      da muy buenos resultados. No lo he podido explotar completamente pero es una muy buena alternativa de software libre.

    • por un dmz ya que emby usa el puerto 8096 puedes quitar el puerto 8096 y dejarlo en 80 para que el usuario entre desde la url o la app solo con el user y la contraseña

    • Estimado Eddy, busque en el manual de usuario el ejemplo de reglas para DMZ, que es exactamente lo que usted necesita!

  • Antes que nada me fue muy útil esta publicación, mi pregunta es simple existe algún kerio a nivel de software y no .iso , explicó que yo uso Windows server por otras tareas las cuales no puedo eliminar y quisiera instalar kerio para controlar el tráfico de la red.

    • Carlos, la última versión que salio para windows fue la 7.4.2, ya a partir de la 8 salió en appliance ISO

      • Es como te comenta armando, además es una muy mala práctica de seguridad que cualquier otra aplicación que instales en ese servidor windows pueda salir directo a internet. El objetivo del kerio es ser un cortafuegos tanto para tráfico de red como para navegación.

  • Saludos, cordiales tengo un servidor firewall (Kerio Control) y me bloquea una pagina en especifico y no tengo restricción de ninguna pagina por los momentos

    • te diría que lo primero que debes hacer es chequear si estás siendo denegado por una regla de tráfico, por una regla del filtro de contenido o por una categorización que kerio por defecto trae muchas habilitadas y filtradas. Y a veces un sitio está incluido en categorías que ni nos imaginamos. Y revisar los logs, que todo sale normalmente en los logs, incluso cuando es problema de dns. Lo que tienes que asegurarte de que las reglas tienen habilitado que generen logs, de lo contrario si no vas a ver nada.

    • Saludos Robert, aunque ya le conteste por telegram, posteo aquí la respuesta para que le pueda servir a otros usuarios, luego de comprobar sino tengo ningún tipo de restricción que me permita acceder a una página en específico, toca pensar que se trata de problema de resolución de DNS, la primera comprobación que podemos hacer es a una pc interna de la red poner una ip fija y agregarle el DNS de mi ISP, si resuelve la página en cuestión mientras se resuelve la correcta configuración de su DNS interno si esta haciendo DHCP con kerio control puede repartir a las IP de la red el DNS de su ISP con ayuda del mismo. Saludos!
      PD: Si alguien quiere profundizar sobre esto me pueden buscar en telegram por el usuario @Armando_kerio

  • Otra duda que tengo es si es posible en el filtro de contenido negar la navegación a internet a un grupo de usuarios que solamente pueden navegar por la intranet. De ser posible como sería...?

    • Es como te dice armando, fíjense bien todos en que el kerio por defecto en los filtros de contenido trae una regla permisiva al final de todo que permite toooodo el tráfico. Lo primero que todos deben hacer es agregar una regla igual pero que bloquee todo el tráfico para a continuación comenzar a crear reglas de acceso específicas encima de estas.
      Gunnersito, lo principal es que recuerdes que las reglas en los proxy son comprobadas de arriba hacia abajo y que para en el primer match que ocurra, eso puede que hacer que una regla nunca llegue a suceder o que siempre caigas en la denegación genérica de al final que les comenté. Precisamente es por esto que es importante hacerlo por si algo se escapa, que suele suceder.

    • Hola Gunnersito se puede lograr con 2 reglas en el filtro de contenido:
      1. en la condicion le pone *.cu*, para el grupo de usuarios con navegacion nacional en Cuba, ejemplo Nav-nacional, acción permitir
      2. condición *.*, para el grupo de usuarios con navegacion nacional en Cuba, ejemplo Nav-nacional, accción denegar

      Las pone en ese orden y así resolvera su situación. Gracias por preguntar!

  • Saludos tengo una duda, se puede anclar en Kerio la navegación contra una dirección IP específica?
    Me está pasando que un usuario puede navegar desde diferentes PC, y la idea es que ese usuario solamente pueda navegar desde una única dirección IP.

    • Nunca he encontrado cómo hacer eso, ni tampoco que un mismo usuario no pueda estar logueado en dos dispocitivos a la misma vez. Quisás sea que su enfoque es que en el mundo no es un problema eso o algo así, no sé.
      Lo mas cercano sería crear reaglas de tráfico específicas pero me parece que no lo hace porque en el source, los elementos no son comprobados por un operador AND sino por OR, por lo que si pones en el source un user y una ip, con cualquiera de los dos que coincida bastará.

1 2
Leave a Comment
Share
Published by
Alexander Rivas Alpizar
6 años ago

Recent Posts

SquidStat, analizador de logs de squid diferente y 100% cubano

Me complace anunciar la creación de esta útil herramienta (SquidStats), para el análisis y monitoreo…

3 días ago

n8n Transformando la Automatización de Flujos de Trabajo con Inteligencia Artificial

La inteligencia artificial está revolucionando las industrias al automatizar tareas, predecir patrones y permitiendo tomar…

2 semanas ago

Alta disponibilidad de sus base de datos con Percona XtraDB Cluster en Kubernetes

Uno de los grandes retos al que nos podemos enfrentar cuando una aplicación crece, es…

2 años ago

Optimiza el rendimiento de tus base de datos con Percona Monitoring and Management

Percona Monitoring and Management (PMM) es una herramienta de código abierto para la supervisión y…

2 años ago

Home automation (Parte 3) – ESPHome

Qué es lo que deseo hacer en este capítulo? Básicamente un sonoff, quiero encender/apagar las…

2 años ago

Home automation (Parte 2) – Home Assistant

Hace algunos meses estoy escuchando hablar del proyecto Home Assistant (HA). En palabras literales del…

2 años ago