Instalación de Kerio Control y configuracion básica. Tercera Parte.

En este tutorial damos continuación a los otros dos artículos publicados en nuestro sitio de sysadmin de Cuba sobre kerio control.

Primera Parte

Segunda Parte

En esta ocasión trataremos sobre cuestiones tales como salva y recuperación de los logs de navegación así como el trabajo con las estadísticas que brindan los mismos, las reglas de navegación (proxy), la conexión por vpn y la conexión de los móviles a las redes sociales sin aplicaciones de terceros.

Recuperación y métodos de análisis de las estadísticas de navegación en internet.

Existen dos formas de analizar los logs de navegación en kerio control, una primera se refiere al análisis de las trazas con la herramienta que proporciona el mismo software, la otra consiste en enviarlos a un servidor de logs desde el mismo kerio.

Análisis con la herramienta de kerio control

Si observamos en la figura se muestra en la parte izquierda la última opción con una figura en forma de pie, al hacer click izquierdo en ella se abre otra ventana en el navegador que nos da acceso a las estadísticas y que responde a la dirección https://ipdenuestrokerio:4081/login.

Accedemos con la cuenta admin, que es la que tiene derechos de muestra y análisis de las trazas de navegación, escogemos arriba el período que queremos y nos muestra un resumen de la navegación en ese tiemp.

Podemos escoger entre otras formas de muestra un usuario en específico para ver sus estadísticas o el resumen de su actividad por conexión, lo cual nos sirve también para analizar el tiempo que le dedica a cada activida.

Extracción de los logs del kerio control a fin de almacenarlos en otra ubicación de red

Para poder realizar esta actividad primeramente debemos tener activado el acceso por ssh a nuestro servidor kerio control según se reflejó en el tutorial no.1 en nuestro sitio de sysadmin de Cuba, a continuación, usaremos filezilla para el acceso por ssh, las opciones de su configuración se muestran en la figura a continuación. Estos logs extraídos se pueden analizar con sawmill

Otra forma de extraer los mismos y analizarlos puede ser enviándolos a un servidor de logs que tengamos desplegado en nuestra red.

Al realizar la conexión nos pide que aceptemos el certificado, y accedemos a los mismos que se encuentra en la siguiente ubicación de nuestro servidor /var/winroute/logs , debemos tener en cuenta que el kerio al pasar de un período a otro según la configuración que le hayamos dado en la rotación, que en nuestro caso es de 1 mes (por 2 años), les cambia la extensión a .log.1, .log.2, etc. De esta manera podemos hacer salvas de los mismos al lugar que definamos para su salvaguarda.

Asignación de derechos de análisis a otros usuarios

Por último, el kerio control nos permite asignar derechos de acceso a las trazas de navegación a otros usuarios, lo cual es especialmente útil si tenemos que dar acceso a algún jefe de nuestro centro o especialista de seguridad informática para la realización de análisis de diversos tipos.

Para realizar esto vamos a la Accounting and Monitoring y en la pleca de Access to statistics escogemos el usuario al cual le asignaremos los permisos de acceso a las estadísticas y a cuáles (puede ser a todas las estadísticas o las estadísticas de grupos o usuarios en específico), finalmente damos click izquierdo en aplicar; a partir de este momento el usuario seleccionado puede tener acceso a las estadísticas establecidas en su configuración.

Conexión a nuestra red mediante VPN

Condiciones que deben cumplirse para una conexión VPN exitosa

– En interfaces editamos VPN Server.

– Activamos Ipsec VPN Server (para el acceso entre redes remotas

– Activamos Kerio VPN Server para el acceso de usuarios con permiso de acceso a VPN ya sea desde laptops o móviles

– En certificado damos edit y creamos uno para el acceso VPN

– Vamos a la opción de Kerio VPN y verificamos que tenga asignado el certificado que hemos creado

– Debemos tener activado en Traffic Rules la opción de vpn services de las reglas que se crean por defecto

– Editamos el DCHP y ponemos entre las opciones a distribuir la puerta de enlace que debe ser la propia dirección IP del Kerio, esto es fundamental para el funcionamiento del acceso por VPN a cualquier PC de la red, en caso de no tenerlo configurado solo podremos acceder al kerio control, pero el resto de la red estaría fuera de nuestro alcance

– Editar el usuario que queramos asignarle el acceso por VPN y hacer el permiso efectivo

– Configuración de acceso en los equipos de los usuarios.

Computadora o laptop

Para windows bajamos del sitio de kerio el cliente VPN y lo instalamos, luego de configurado accedemos y navegamos por nuestra red

Vemos cómo reacciona a ping indicando su acceso a nuestra red luego de conectados

  • Para Linux es necesario bajar el cliente en formato .deb para instalarlo y para configurarlo y echarlo a andar usaremos los siguientes comandos

Para móviles IOS y Android

Seguir el siguiente vínculo para realizar las configuraciones en Iphone y Androide https://support.gfi.com/hc/en-us/articles/360011150579-Configuring-VPN-on-iOS-and-Android-Devices

Conexión a internet mediante wifi con IOS y Androide

Como premisa fundamental para la conexión a internet mediante wifi deberíamos tener un servidor radius instalado, ya sea radius de windows o freeradius.

Al conectar los teléfonos a la red wifi el servidor DCHP les asigna una dirección IP, procedemos a reservar esta dirección IP para los mismos y una vez reservada regresamos al móvil y en vez de asignarle la IP por DHCP se la ponemos estática coincidiendo con la dirección ya reservada para poderle cambiar los parámetros de gateway (la misma IP del kerio) y ponerle los DNS de Google 8.8.8.8 y 8.8.4.4, esto es necesario porque en ocasiones a partir de Android 7 las aplicaciones móviles no son capaces de funcionar a pesar de tener correctamente todas las configuraciones.

Como último paso para que funcionen las aplicaciones (facebook, IMO, etc) vamos y editamos los usuarios que tienen permitido conexión por wifi y les ponemos que en la dirección IP asignada por el kerio los asuma logueados, lo que evita tener que poner las configuraciones de dirección IP del proxy y puerto.

Con esto ya nuestras aplicaciones se conectarán sin aplicaciones de terceros como drony.

Reglas de navegación.

Las reglas de navegación de proxy se encuentran en el apartado de Content Filter y debemos tener en cuenta que las mismas se aplican de arriba hacia abajo, además de que al contrario de las reglas de firewall donde la última regla lo prohíbe toda la regla última de proxy lo permite todo, por lo que su funcionamiento se basa fundamentalmente en denegaciones.

A continuación, vamos a ejemplificar el uso de reglas para permitir en nuestra organización solamente facebook mobile y denegar el uso de www.facebook.com, en estas reglas es permitido el uso de wildcard (ejemplo el asterisco *)

Solo nos queda decirles que estas reglas se pueden refinar con muchas opciones tales como usuarios o grupos de usuarios a los que van dirigidas, intervalos de tiempo en las que las mismas van a estar activas, etc.; para esto podemos valernos de los grupos de usuarios, intervalos de tiempo y grupos de url.

Conclusiones.

Hasta aquí nuestra serie de artículos sobre kerio control, esperamos que con la ayuda de los mismos sea más comprensiva la aplicación para aquellas personas que se animen a usarlo para su trabajo diario como administradores de sistema.

¿De cuánta utilidad te ha parecido este contenido?

¡Haz clic en una estrella para puntuar!

Promedio de puntuación 4.7 / 5. Recuento de votos: 14

Hasta ahora, ¡no hay votos!. Sé el primero en puntuar este contenido.

Sobre Alexander Rivas Alpizar 61 artículos
Administrador de Redes EMPRESTUR Cienfuegos

17 comentarios

  1. Firefox 77.0 Firefox 77.0 Windows 7 x64 Edition Windows 7 x64 Edition
    Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:77.0) Gecko/20100101 Firefox/77.0

    Saludos de antemano, buen servicio el del kerio, lo desplegue hace poco, y del el no salgo mas jej ,pero donde trabajo el internet es por cuotas en horas, y el facebook esta permitido, quiero seguir permitiendo facebook en horarios por mas tiempo en el dia pero no los videos de facebook , porque me terminan la cuota muy rapido, el enlace de los videos de face es fbcdn.net, denegué tambien con los ** y nada , igual sigue consumiendo la cuota muy rapido, en los horarios que lo pongo con 5 usuarios viendo videos se termina la cuota de antes de que acabe esa hora, necesito saber si hay otro metodo para bloquear los videos de facebook, gracias por los tutos , muy buenos , Saludos

  2. Firefox 77.0 Firefox 77.0 Windows 10 x64 Edition Windows 10 x64 Edition
    Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:77.0) Gecko/20100101 Firefox/77.0

    Hola, primero que nada, agradecerles por el tutorial, muy bueno, las 3 partes. Tengo una duda, trabajo en una entidad provincial, a la cual se me conectan las entidades municipales por otra interfaz, mi pregunta, como puedo hacer para que desde una entidad municipal tengan acceso a cualquier equipo de mi red provincial? por ejemplo, si quieres acceder desde un municipio a un servidor ftp que esta en mi red interna, como lo hago? Pues hasta ahora solo he logrado que desde los municipios mediante kerio tengan acceso a internet, hasta ahi. No se si me hago entender.

  3. Google Chrome 83.0.4103.119 Google Chrome 83.0.4103.119 GNU/Linux x64 GNU/Linux x64
    Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.119 Safari/537.36

    Amigo los videos dentro de facebook es un tema complicado, voy a investigar y me comunico con usted en cuanto lo resuelva. Saludos!

  4. Google Chrome 83.0.4103.119 Google Chrome 83.0.4103.119 GNU/Linux x64 GNU/Linux x64
    Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.119 Safari/537.36

    Trata de bloquear estas dos cosas a ver si te resulta *fbcdn-video* y *akamaihd*, los asteriscos son los wildcard

  5. Google Chrome 83.0.4103.119 Google Chrome 83.0.4103.119 GNU/Linux x64 GNU/Linux x64
    Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.119 Safari/537.36

    Otra manera pudiera ser con el manejador de ancho de banda, limitando el ancho de banda para la reproduccion de contenidos multimedia!. Busqueme en telegram y le explico con mas amplitud con capturas de pantalla (@armando_AG), saludos!

  6. Google Chrome 80.0.3987.132 Google Chrome 80.0.3987.132 Android 5.0.1 Android 5.0.1
    Mozilla/5.0 (Linux; Android 5.0.1; ALE-L02) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Mobile Safari/537.36

    Muy buenos estos 3 artículos felicitaciones ante todo, me hubiese gustado q hubieran puesto más ejemplos de creación de reglas ya aquí se toca muy por arriba , ejemplo para una entidad q este directo a etecsa o una q este por debajo de un isp…Saludos cordiales

  7. Google Chrome 83.0.4103.119 Google Chrome 83.0.4103.119 GNU/Linux x64 GNU/Linux x64
    Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.119 Safari/537.36

    Hola Raime, necesito precisar varias cosas para poder responderle, le parece bien que tengamos el contacto por telegram y así tener mas opciones para intercambiar sobre el tema, mi usuario es @Armando_kerio. De todas formas le adelanto que al conectarse por VPN a una red gestionada por kerio es importante saber que las maquinas internas de nuestra red para ser alcanzadas necesitan tener como gateway la ip de kerio control!

  8. Google Chrome 83.0.4103.119 Google Chrome 83.0.4103.119 GNU/Linux x64 GNU/Linux x64
    Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.119 Safari/537.36

    Hola Adrian, me puede decir que quiere implementar con las reglas para tratar de ayudarlo a conformarlas. Si quiere buscarme en telegram para más precisiones mi usuario es @Armando_kerio. saludos y gracias por sus felicitaciones!

  9. Firefox 78.0 Firefox 78.0 Windows 7 x64 Edition Windows 7 x64 Edition
    Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:78.0) Gecko/20100101 Firefox/78.0

    Gracias por la respuesta, pero nada hermano, sigue igual, ahora estoy en lo que me sugieres de el ancho de banda, no obstante le estoy poniendo cuotas independientes a los usuarios que mas consumen, en squid eso si funciona a la maravilla, pero se pasa porque bloquea todo lo que es imagen ,fotos , de perfil tambien, ademas que no viro para squid jej. Me seguiré comunicando por telegram con usted. Gracias

  10. Google Chrome 84.0.4147.89 Google Chrome 84.0.4147.89 Windows 10 x64 Edition Windows 10 x64 Edition
    Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.89 Safari/537.36

    Hola Armando, la verdad que los dos post anteriores no les presté mucha atención, falta tiempo y solo di una pasada por arriba. Pero me llamo mucho la atención este por la gestión de la wifi, digamos que bastante sencilla, me gusta. Me gustaría saber su criterio en relación otras alternativas a Kerio Control y por que en particular este y no otro. Y por ultimo una dada, por qué fijar la IP si ya se reservó en el DHCP del sistema. Un saludo y gracias por estos post.

  11. Opera 70.0.3728.71 Opera 70.0.3728.71 GNU/Linux x64 GNU/Linux x64
    Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.89 Safari/537.36 OPR/70.0.3728.71

    Empiezo respondiendote lo de fijar la IP, esta relacionado conque el movil siempre tenga la misma IP para poder poner al usuario como logueado en esta IP y evitar el uso de app como drony, por otro lado muchos moviles a partir de androide 7 aun asi tienen problemas para poder utilizar las aplicaciones de redes sociales, por lo que al ponerles posteriormente la IP fija te da posibilidad de poner directamente los DNS de google y asi unido con lo de asumir el usuario logueado en la IP permite que funcionen correctamente las aplicaciones. En cuanto a porque kerio y no otro te respondere que mas que nada porque llevo mucho tiempo trabajando con kerio y me gusta la gestion unificada de proxy y firewall que hace, actualmente nuestros colegas utilizan mucho PFSense como firewall y squid aparte con muy buenos resultados!

  12. Firefox 75.0 Firefox 75.0 Windows 10 x64 Edition Windows 10 x64 Edition
    Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:75.0) Gecko/20100101 Firefox/75.0

    Me gusta este sitio…

  13. Google Chrome 87.0.4280.88 Google Chrome 87.0.4280.88 Windows 10 x64 Edition Windows 10 x64 Edition
    Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36

    Una solución para bloquear los videos de Facebook que se reproducen automáticamente es usar Squid Proxy con SSL Bump y con la opción urlregex, filtrar todo lo que contenga «video». Ya lo probé y funciona. navegas por todo facebook, pero no se reproducen los videos. La necesidad de usar SSL Bump, se debe a que facebook se accede por HTTPS, y la URI es encriptada, por lo que debes desencriptar para que la regla de Squid matchee.
    SL2 y espero encuentres alguna otra solución, en Kerio

  14. Google Chrome 87.0.4280.88 Google Chrome 87.0.4280.88 Windows 10 x64 Edition Windows 10 x64 Edition
    Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36

    Excelente serie de tutoriales sobre Kerio, Armando. Estaba buscando una 2da solucion de firewalling, ademas de pfsense y creo que me decantare por Kerio. Siempre lo obviaba por ser de pago, pero ante la ausencia de alguna otra buena solucion open source, me quedo con este crackeado por nuestros queridos iraníes de DiGiboy.

  15. Google Chrome 90.0.4430.210 Google Chrome 90.0.4430.210 Android 10 Android 10
    Mozilla/5.0 (Linux; Android 10; 5002B) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.210 Mobile Safari/537.36

    Saludos, instale kerio atrás de un proxy principal para navegación a internet, pero necesito q no use ese proxy principal para poder acceder a determinadas direcciones asociadas a otros servicios en la red. Puedo hacer de alguna manera está configuración? Aclaro q a nivel del navegador no puedo hacerlo ya que si le pongo que no use proxy para determinada dirección no me da acceso ya q tiene que salir por otra subred atras del kerio

  16. Google Chrome 90.0.4430.210 Google Chrome 90.0.4430.210 Android 10 Android 10
    Mozilla/5.0 (Linux; Android 10; 5002B) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.210 Mobile Safari/537.36

    Aclaro más: Uso un proxy principal (proxy.sld.cu) para la salida a internet, pero para acceder a informed y otras páginas de la red de salud tengo q poner en el navegador no usar proxy para *.sld.cu . Ahora al instalar kerio para dar acceso a mis usuarios ya con el rango de ip internas le puse al kerio utilizar proxy principal, pero lo utiliza para todas las direcciones incluyendo las *.sld.cu y por lo tanto no me da acceso a esa URL ya que para acceder a la misma no puede salir por el proxy principal, como creo está excepción?

Dejar una contestacion

Tu dirección de correo electrónico no será publicada.