Kerio Control es un firewall de gestión unificada de amenazas que cuenta con la prevención de intrusiones, filtrado de contenido, el informe de actividades, gestión de ancho de banda y redes privadas virtuales. En el siguiente tutorial serán cubiertas las configuraciones iniciales de kerio control 9.3 para su despliegue en redes con Directorio Activo.
NOTA: El siguiente Tutorial no es de mi autoría es del usuario Armando Almeida Gómez (@Armando AG)
Por cuestiones de extensión de este tutorial no cubriremos los siguientes aspectos, que seran tratados en otras partes:
– Configuración de VPN
– Configuración de ancho de banda
– Configuración y rotación de logs
– Colocación de reglas de navegación
– Enrutamiento
– Definición de reglas de firewall para Zonas Desmilitarizadas (aparecen varios ejemplos en el manual de la aplicación)
Para aquellos usuarios interesados en profundizar en algunos aspectos que estén a nuestro alcance estamos en nuestro canal de Sysadmin de telegram.
Para la instalación usamos la imagen ISO de kerio control 9.3 que podemos descargar desde internet.
En este tutorial tendremos como premisa la instalación de kerio control 9.3 (en lo adelante kerio) con 2 interfaces de red (una interna y otra externa con salida a internet) que se enlazará con un directorio activo, en este caso construido sobre zentyal (también puede ser enlazado con un directorio activo Windows). También utilizaremos el servicio DHCP brindado por kerio para un manejo fluido y fácil de nuestra red.
Desmarcamos la opción de enviar al sitio de kerio información de estadísticas de uso anónimas y presionamos next
Una vez terminado, entramos entonces con el usuario admin y el password que hayamos definido en el paso anterior. A partir de ahora podemos acceder desde cualquier lugar de la red a administrar nuestro servidor.
1- Las primeras acciones que tenemos que realizar es desactivar las actualizaciones y bloquear el acceso al sitio de kerio para evitar problemas (obviamente si es comprado este paso no es necesario), para lo cual entramos en los siguientes apartados del software:
2- A continuación, empezamos a configurar el resto de las opciones paso a paso
– Opción Interfaces.
NOTA: En nuestro caso el tutorial se realiza para una única línea de salida y no se tendrá en cuenta el desarrollo de una VPN
Damos un click izquierdo y arrastramos la interface 2 hasta internet interfaces y deshabilitamos VPN también, le damos a aplicar para salvar los cambios. Nos quedaría editar la interface de internet para ponerle los DNS, pero lo vamos a dejar para el final, ¡hasta que tengamos configuradas el resto de las opciones!
– A continuación, procedemos a sincronizar el tiempo con el servidor de dominio, este paso es sumamente necesario pues de lo contrario no podremos unirnos al dominio y por ende usar los usuarios registrados en el directorio activo, tanto la zona horaria como la hora del servidor deben coincidir. Para realizar estas acciones vamos a Advanced options/system configuration y hacemos los cambios pertinentes
– Vamos a Domain and user login para cambiar la forma en que se autentificaran los usuarios (en nuestro caso contra directorio activo). En la primera opción de Aunthentication Options forzamos la autentificación de los usuarios cada vez que acceden a sitios WEB y bajamos el tiempo de inactividad para deslogear a los usuarios según nuestra conveniencia (1 minuto en este caso).
Entramos a la opción Directory services y en la extrema derecha le damos a la opción join domain, donde ponemos el nombre del dominio, el nombre con el que se verá nuestro kerio en la red, el nombre de usuario con permiso de administrador en el dominio y el password, le damos a la opción de next y procedemos a unirlo al dominio.
– En la opción Proxy Server podemos entre otras cosas configurar el cache del proxy. Siempre es necesario recordar que el cache no debe ser muy grande ya que al final está constituido por archivos de texto y al ser muy grandes se logra el efecto contrario ya que se ralentizan los accesos a la WEB al acceder a ellos; si la conexión es de buena velocidad no vale la pena activarlo.
– Procedemos ahora a ocuparnos del desciframiento de las conexiones https que son la mayor parte del tráfico WEB hoy día, para lo cual realizaremos 2 acciones encaminadas a lograrlo:
– Otras acciones en esta misma sección
Con esto terminamos de cubrir las configuraciones básicas de este maravilloso firewall, en otras partes les mostrare como configurar sus módulos correctamente.
Uno de los grandes retos al que nos podemos enfrentar cuando una aplicación crece, es…
Percona Monitoring and Management (PMM) es una herramienta de código abierto para la supervisión y…
Qué es lo que deseo hacer en este capítulo? Básicamente un sonoff, quiero encender/apagar las…
Hace algunos meses estoy escuchando hablar del proyecto Home Assistant (HA). En palabras literales del…
Desde hace varios meses vengo con la idea de automatizar la casa donde vivo. Poco…
El artículo describe el uso para un caso particular de OpenWRT y la creación de…
Ver comentarios
tuve problemas con mi server primario y estoy con el secundario hasta que resuelva, pero el kerios me da error en los usuario en las reglas no la coge porque creo yo que debo cambiar la direccion ip del kerios que estb en el server primario, ahora no lo encuentro
Muy buen trabajo de verdad, me gusta utilizar este firewall me mola mucho, en verdad gracias por tu ayuda
Muy bueno el trabajo , tengo un problema en Kerio desde hace un par de meses no puedo acceder por ssh, ya he reiniciado , deshabilitado el ssh , le he vuelto habilitar y continua el problema , si alguien le ha sucedido y pudieran ayudarme...
Muy buenas las explicaciones hace unos años que uso Kerio control y me parece un excelente cortafuegos, me podrían decir como hago para los usuarios los sitios .cu no consuman de la cuota asignada en el kerio, le tengo una cuota asignada y me lo hace para todos los sitios, me podrían ayudar en este tema
Que yo sepa no hay forma de hacerlo juan, si alguien sabe sería muy buena contribución. El kerio es muy buen sistema pero desde que lo compró la compañía GFI lo han mejorado muy poco.
El conjunto del firewall OpnSense con el plugin de firewall web sensei: https://www.sunnyvalley.io/sensei/
da muy buenos resultados. No lo he podido explotar completamente pero es una muy buena alternativa de software libre.
Quiero que mi servidor emby pase a través del kerio...como hacerlo??? Ayudenme
Estimado Eddy, busque en el manual de usuario el ejemplo de reglas para DMZ, que es exactamente lo que usted necesita!
Antes que nada me fue muy útil esta publicación, mi pregunta es simple existe algún kerio a nivel de software y no .iso , explicó que yo uso Windows server por otras tareas las cuales no puedo eliminar y quisiera instalar kerio para controlar el tráfico de la red.
Carlos, la última versión que salio para windows fue la 7.4.2, ya a partir de la 8 salió en appliance ISO
Es como te comenta armando, además es una muy mala práctica de seguridad que cualquier otra aplicación que instales en ese servidor windows pueda salir directo a internet. El objetivo del kerio es ser un cortafuegos tanto para tráfico de red como para navegación.
Saludos, cordiales tengo un servidor firewall (Kerio Control) y me bloquea una pagina en especifico y no tengo restricción de ninguna pagina por los momentos
te diría que lo primero que debes hacer es chequear si estás siendo denegado por una regla de tráfico, por una regla del filtro de contenido o por una categorización que kerio por defecto trae muchas habilitadas y filtradas. Y a veces un sitio está incluido en categorías que ni nos imaginamos. Y revisar los logs, que todo sale normalmente en los logs, incluso cuando es problema de dns. Lo que tienes que asegurarte de que las reglas tienen habilitado que generen logs, de lo contrario si no vas a ver nada.
Saludos Robert, aunque ya le conteste por telegram, posteo aquí la respuesta para que le pueda servir a otros usuarios, luego de comprobar sino tengo ningún tipo de restricción que me permita acceder a una página en específico, toca pensar que se trata de problema de resolución de DNS, la primera comprobación que podemos hacer es a una pc interna de la red poner una ip fija y agregarle el DNS de mi ISP, si resuelve la página en cuestión mientras se resuelve la correcta configuración de su DNS interno si esta haciendo DHCP con kerio control puede repartir a las IP de la red el DNS de su ISP con ayuda del mismo. Saludos!
PD: Si alguien quiere profundizar sobre esto me pueden buscar en telegram por el usuario @Armando_kerio
Otra duda que tengo es si es posible en el filtro de contenido negar la navegación a internet a un grupo de usuarios que solamente pueden navegar por la intranet. De ser posible como sería...?
Es como te dice armando, fíjense bien todos en que el kerio por defecto en los filtros de contenido trae una regla permisiva al final de todo que permite toooodo el tráfico. Lo primero que todos deben hacer es agregar una regla igual pero que bloquee todo el tráfico para a continuación comenzar a crear reglas de acceso específicas encima de estas.
Gunnersito, lo principal es que recuerdes que las reglas en los proxy son comprobadas de arriba hacia abajo y que para en el primer match que ocurra, eso puede que hacer que una regla nunca llegue a suceder o que siempre caigas en la denegación genérica de al final que les comenté. Precisamente es por esto que es importante hacerlo por si algo se escapa, que suele suceder.
Hola Gunnersito se puede lograr con 2 reglas en el filtro de contenido:
1. en la condicion le pone *.cu*, para el grupo de usuarios con navegacion nacional en Cuba, ejemplo Nav-nacional, acción permitir
2. condición *.*, para el grupo de usuarios con navegacion nacional en Cuba, ejemplo Nav-nacional, accción denegar
Las pone en ese orden y así resolvera su situación. Gracias por preguntar!
Saludos tengo una duda, se puede anclar en Kerio la navegación contra una dirección IP específica?
Me está pasando que un usuario puede navegar desde diferentes PC, y la idea es que ese usuario solamente pueda navegar desde una única dirección IP.
Nunca he encontrado cómo hacer eso, ni tampoco que un mismo usuario no pueda estar logueado en dos dispocitivos a la misma vez. Quisás sea que su enfoque es que en el mundo no es un problema eso o algo así, no sé.
Lo mas cercano sería crear reaglas de tráfico específicas pero me parece que no lo hace porque en el source, los elementos no son comprobados por un operador AND sino por OR, por lo que si pones en el source un user y una ip, con cualquiera de los dos que coincida bastará.
Llevo años trabajando con el Kerio; mientras estuve conectado directamente a ETECSA, veía correcamente los Hosts Activos, las conexiones y la actividad de los mismos. Ahora que pasé a una VPN, sólo veo las conexiones que se realizan el proxy padre, pero NO logro ver la actividad de los usuarios en el apartado Hosts Activos, aunque sí logro ver la navegación en los logs de web y http.
Alguna idea de por qué pudiera estar pasando esto?
Gracias!
Estimado Carlos, en este tutorial se explica lo que hay que hacer para comenzar a ver la actividad de los usuarios en Active Hosts "Vamos a Traffic rules y duplicamos la regla de Internet Access (NAT), desmarcamos la inferior y modificamos la superior eliminando todo lo listado en origen y agregando Authenticated users, " (esto es en traffic rules (reglas de firewall)
Espero que esto le ayude. Mi usuario del canal de telegramm es @Armando_kerio