KNOWLEDGE BASE

Knowledge Base
1Backup
Acronis
Antivirus
Email
Firewall
GFI Software
Mail
Monitoring
N-Able
Sicurezza
TSPlus
Diventa Autore per CoreTech | Scopri di più
× Non sei ancora nostro cliente KerioControl? Diventa Partner CoreTech e visita il nostro configuratore prezzi

Vai al Video

Kerio Control gestione amministrativa - livello base

di Claudio Agnesani

Banner

Kerio Control nasce come soluzione di firewalling, ma in realtà è una soluzione integrata per il controllo del perimetro della rete aziendale ed è un firewall con stateful inspection estramente facile da configurare e amministrare, ed offre la Gestione Unificata delle minacce.

Kerio Control è un sistema IPS/IDS basato sullo standard industriale Snort con aggiornamenti automatici e tempestivi.

Kerio Control è un sofisticato filtro dei contenuti (Kerio Web Filter) e analisi/reportistica avanzata (StaR), funzionalità obbligatorie per tutte le realtà dove l’accesso a Internet è aperto al pubblico, molto utile anche in ambito aziendale per evitare che il tempo dedicato al lavoro si trasformi in una frequentazione incontrollata dei siti di social networking da parte dei dipendenti.

Il prodotto protegge la rete da virus, malware e attività dannose e coniuga le funzionalità di firewall di nuova generazione (Winroute firewall), includendo un network firewall e router, sistema di rilevamento e protezione (IPS), gateway anti-virus, VPN e filtri Web e applicativo. Queste funzionalità complete e la grande flessibilità di implementazione fanno di Kerio Control la scelta ideale per le piccole e medie imprese.

Funzionalità di Kerio Control

Kerio Control è un server VPN con client multipiattaforma (Windows, Mac OSX, Linux) con possibilità illimitata di tunnel tra sedi remote; principalmente svolge tre compiti, ossia firewall, antivirus e content filtering (questi ultimi due sono moduli addizionali).

Kerio Control viene implementato sia a livello hardware (integrato in firewall fisici, ossia Control Hardware Appliance) sia a livello software: nel primo caso la licenza d’uso è integrata per tutte e tre le funzionalità (soluzione hardware) mentre per la soluzione software (Kerio Control da installare su server) è modulare in base ai moduli che possono essere attivati o non attivati.
In altre parole, è possibile una sua installazione software (eventualmente su macchine virtuali) ed una su hardware dedicato; vedremo poi questi concetti, fermo restando che l’installazione software su un server realizza un firewall con in più tutte le funzionalità.
Per ora vediamo le funzionalità del prodotto.

Gestione utenti

Esecuzione di mapping trasparenti degli utenti da Active Directory o dal database interno degli utenti: prima di concedere l’accesso alla rete è possibile forzare l’autenticazione al firewall da parte degli utenti. Le policy di accesso alla rete e al Web vengono applicate in modo personalizzato ai singoli utenti a prescindere dal dispositivo di accesso utilizzato. Gli amministratori e i manager possono monitorare con precisione il comportamento dei singoli utenti sul Web.

Protezione unificata

Funzionalità integrate di antivirus gateway, filtro Web, filtro per reti P2P, sistema di prevenzione delle intrusioni, blocco dei file in base al tipo, filtro per parole chiave e oggetti Web. Le reti e gli utenti vengono protetti da virus, spyware, drive-by downloads e altro malware. Le aziende vengono tutelate da eventuali responsabilità legali contribuendo a ridurre le perdite in termini di produttività.

Server VPN

Più tunnel VPN contemporanei, si site-to-site sia client-to-site. Sono disponibili client VPN multipiattaforma per Windows, Mac e Linux, nonché l’accesso VPN SSL senza client mediante un browser Web. Le installazioni VPN per le configurazioni VPN più avanzate risultano più semplici. Kerio VPN Client, utilizzabile con semplici clic, garantisce l’accesso sicuro ad alta velocità per qualsiasi utente da qualsiasi computer.

Qualità del servizio

Più accessi ad Internet possono essere configurati in load-balance o uno in back-up dell’altro. Il limitatore dell’utilizzo di banda preserva la banda disponibile per le applicazioni critiche. Viene garantita elevata disponibilità del tempo di attività della rete con performance ottimizzate e velocità massima. La qualità della connessione per le applicazioni sensibili alla latenza, quali ad esempio VoIP e i flussi multimediali, viene garantita mediante l’assegnazione di una priorità al traffico della rete.

Kerio Control: caratteristiche

Il prodotto implementa le seguenti funzionalità nelle reti aziendali:

  • protezione integrata IPS/IDS (Intrusione Prevention/Intrusion Detection);
  • collegamento di Personal Computer remoti alla sede aziendale con Kerio VPN Server & Client (Windows, Mac OSX, Linux);
  • Kerio Web Filter per accesso controllato a livello di categoria dei siti visitati;
  • avvisi tramite e-mail in caso di virus o eventi particolari sul firewall;
  • possibilità di impostare quote di utilizzo a livello utente;
  • possibilità di bloccare il traffico dei programmi di sharing (P2P);
  • avanzato sistema di statistiche;
  • Anti-virus integrato per il controllo del traffico al perimetro (opzionale);
  • Load Balancing del server;
  • Fail Over;
  • Controllo SMTP, quindi della posta elettronica in uscita;
  • analisi statistica e reportistica avanzata (StaR);
  • disponibile come software installabile su SO Windows, come versione ottimizzata Linux su software appliance VMware o come immagine ISO;
  • integrazione con Active Directory.

L’immagine seguente propone un riepilogo delle caratteristiche di Kerio Control.

 

Kerio Control: i vantaggi

Utilizzare il prodotto porta una serie di vantaggi, in virtù delle sue caratteristiche; le descriviamo qui di seguito.

  • Implementa le migliori tecnologie di sicurezza grazie ad ispezione approfondita dei pacchetti, routing avanzato, IPS (intrusion Prevention System), IDS (Intrusion Detection System), Antivirus, Filtro Web, Filtro Applicazioni, Ricerca Web sicura e molte altre avanzate tecnologie di protezione.
  • Tutte le funzioni di protezione e gestione che un firewall di rete deve avere sono integrate. Non servono altri strumenti o software per soddisfare tutte le esigenze che un amministratore di rete necessita. Kerio Control è un prodotto completo.
  • È certificato ICSA Labs con l'ambito EIST Award, riconosciuto solo a chi ha sottoposto il proprio prodotto a test per oltre 10 anni consecutivi, mantenendo valida la certificazione con ICSA Labs. Costantemente aggiornato con le ultime tecnologie e funzionalità.
  • Distribuzione Flessibile: disponibile in versione Software, Hardware o come Appliance Virtuale. Unico nel suo genere, si presta a tutti gli ambienti IT, Kerio Control è una soluzione valida per ogni contesto.

Certificazione ICSA LABS

Lo strumento Winroute Firewall è certificato dai prestigiosi ICSA LABS, dal 1989 riconosciuti a livello mondiale come punto di riferimento per la sicurezza informatica. Con questa certificazione Winroute offre ai propri clienti livelli si sicurezza analoghi a quelli offerti da soluzioni hardware molto più costose.

Kerio Control: versione 9.2

Come tutti i prodotti Kerio, Kerio Control è mantenuto e aggiornato costantemente e di norma la Kerio rilascia due major release all’anno; l’ultima di queste è stata la 9.2, che ha introdotto le novità seguenti:

  • aumento delle performance del 15÷20% su hardware a 64bit;
  • Antivirus con motore Bitdefender al posto di Sophos;
  • supporto per gli appliance con WiFi integrato (NG100W e NG300W);
  • large Segment Offload (LSO);
  • blocco delle connessioni in ingresso sulla base di specifiche nazioni;
  • aggiunta di maggiori dettagli IKE e ESP chiper per i VPN Tunnell IPSec.

La versione 9.2.4 introduce inoltre i seguenti bug fix:

Banner

  • aggiornamento di OpenSSL dall 1.0.1u alla 1.0.2j
  • aggiornamento dell’elenco di lingue utilizzante nella definizione dei certificate SSL.

Tipologie di installazione

Kerio Control prevede due tipologie di installazione, che sono Software Appliance e Virtual Appliance.
Software Appliance è un pacchetto software disponibile in formato ISO, basato su una speciale versione di Linux, installabile su PC senza sistema operativo o appliance; per l’esattezza,
Kerio Control si basa su Linux kernel versione 3.2.
I requisiti di sistema per la Software Appliance sono:

  • CPU: 500 MHz;
  • RAM: 1 GB;
  • Hard drive: 8 GB HDD di spazio per sistema operativo, prodotto, log e dati statistici;
  • Interfacce di rete: 2 ethernet (10/100/1.000 Mbit).

Quanto alla Virtual Appliance, è la versione dedicata alle installazioni su host virtuali ed è supportata dai i seguenti hypervisor:

Vmware;

Hyper-V;

Paralles.

Il vantaggio sostanziale dell’installazione su VM è che possiamo installare un numero illimitato di schede di rete virtuali, quindi estendere notevolmente le capacità di interfacciamento e gestione di kerio Control, quindi gestire più punti di routing su una stessa rete, agendo su ciascuna sottosezione.
I requisiti di sistema per la tipologia Virtual Appliance sono:

  • VMware hypervisor;
  • VMware Workstation 7.0 or 8.0;
  • VMware Fusion 3.0 or 4.0;
  • VMware Player 3.0 or 4.0;
  • VMware ESX 4.1 or 5.0;
  • VMware ESXi/vSphere Hypervisor 4.1 , 5.0 , 5.5 , 6.0 o successivi;
  • CPU: 2 GHz;
  • RAM: 1 GB assegnato alla macchina virtuale;
  • Hard drive: 8 GB assegnati all’HDD come spazio per sistema operativo, prodotto, log e dati statistici;
  • Interfacce di Rete: 2 schede fisiche assegnate alla scheda di rete virtuale

I requisiti di sistema per la Virtual Appliance da installare su hypervisor Hyper-V (quindi in ambiente Microsoft) sono sostanzialmente riconducibili al sistema operativo, che deve essere:

  • Windows Server 2012 e 2012 R2;
  • Windows Server 2008 R2;
  • Windows Server 2016.

Per quanto riguarda i requisiti hardware relativi ad Hyper-V sono:

  • CPU da 2 GHz;
  • 1 GB di RAM assegnata alla macchina virtuale;
  • Hard drive: 8 GB assegnati al HDD spazio per sistema operativo, prodotto, log e dati statistici;
  • Interfacce di Rete: 2 schede fisiche assegnate alla scheda di rete virtuale.

Per quanto riguarda le tipologie di installazione Software Appliance e Virtual Appliance, quindi quelle per server e macchine virtuali, il relativo software può essere scaricato in formato ISO oppure in altri formati. Comunque diciamo che in formato ISO lo possiamo masterizzare e utilizzarlo per l'installazione su diverse tipologie di hardware che possono funzionare da firewall: per esempio un appliance che al minimo ha due schede di rete perché il minimo per poter fare routing è avere due schede rete fisiche. È anche possibile utilizzare un vecchio server o un server nuovo, magari performante, come firewall: basta scaricare la ISO e installarla su questa macchina.
Control Hardware Appliance
Passiamo adesso alle soluzioni hardware Kerio, che sostanzialmente sono una serie di dispositivi hardware con il Software Appliance preinstallato; si tratta pertanto di firewall, che grazie a Kerio Control Software Appliance integrano le funzionalità ulteriori supportate dal prodotto.
I modelli standard sono NG100, NG300 e NG500, mentre sono disponibili anche due modelli con WiFi integrato che sono l’NG100W e l’NG300W. Li vedete tutti e cinque nelle immagini seguenti.

Kerio Control NG100W e NG300W

 

Come si vede dalle foto, ciò che distingue i modelli NG100, NG300 e NG500 è nel numero di porte ethernet disponibili.
Una differenza sostanziale tra l’installazione del software su server e questi firewall è che mentre nei primi possiamo scegliere a piacimento il numero di schede di rete da mettere sull’hardware o sulla VM, qui il numero è rigido e definito dal modello di firewall scelto.

Kerio control: le licenze

Quanto al Licensing, ossia la modalitò di concessione della licenza d’uso, va precisato che per i moduli Hardware Appliance la soluzione è comprensiva di antivirus e content kit; la licenza è a numero di utenti.
Notate che per utente non si intende necessariamente utenti veri e propri, perché in realtà si tratta di autenticazioni, quindi acquistando una licenza base da 5 utenti si hanno a disposizione 5 autenticazioni, vale a dire 5 oggetti che si possono connettere, ovvero 5 connessioni che si possono stabilire con il firewall.
Tenete presente che quando parliamo di utenti, in realtà 5 non è il numero corretto, perché una licenza da 5 utenti in realtà permette fino a 25 connessioni, cioè per ogni utente acquistato esistono 5 connessioni che possono essere associate all'utenza.

Le connessioni possono essere associate all’utente nel momento in cui viene autenticato: quando l’utente si autentica, ha 5 connessioni disponibili (PC, tablet o smartphone). Si può anche rimandare l’autenticazione, quindi rimandando l’autenticazione avremo 25 connessioni indipendentemente da chi effettua la connessione.

Kerio Control: prova della Virtual Appliance

Vediamo adesso come funziona la Virtual Appliance, ossia l’installazione di Kerio Control su una macchina virtuale; andiamo dunque sul sito www.kerio.com che è il sito ufficiale della Kerio e troviamo, nella sezione corrispondente, i download per le varie tipologie di server, quindi Software Appliance e Virtual Appliance. Facendo clic su SERVER abbiamo la situazione proposta dall’immagine seguente.

Quello che ci interessa è VMware Virtual Appliance OVF, quindi ci spostiamo nelle istruzioni (Instructions) vi facciamo clic e apriamo la relativa pagina che ci spiega come utilizzare il file (How to use this file) nella quale prendiamo il link visualizzato e lo copiamo (immagine seguente).

L’indirizzo è già sufficiente per fare il deploy su un ambiente, quindi apriamo un client (in questo caso di VMware), scegliamo la macchina virtuale e facciamo il deploy della macchina virtuale che utilizzeremo; nel caso dell’esempio, la macchina virtuale si chiamerà Kerio Control VMware Virtual Appliance 2.
Ma vediamo come fare per crearla: in pratica per effettuare l’installazione si apre il menu File e da qui si impartisce il comando Deploy OVF Template, quindi nella finestra di dialogo che si apre si incolla il link copiato in precedenza dal sito Kerio, come mostrato nell’immagine seguente, cliccando poi su Next. La casella in cui incollare il percorso è Deploy From a file or URL.

Con Next passiamo alla finestra di dialogo in cui specifichiamo in Name il nome della macchina virtuale da installare e poi qual è il Cluster (Host) su cui costruiremo questa macchina (immagine seguente); poi facciamo nuovamente clic su Next e passiamo alla finestra di dialogo successiva.

In questa andiamo a definire, cliccandovi sopra, il cluster su cui vogliamo installare la VM (nel caso dell’esempio è CL4 STELLAR) e poi clicchiamo nuovamente su Next (immagine seguente).

Banner

A questo punto ci troviamo nella finestra di dialogo dove definire lo storage, ossia l’unità di storage (disco fisico) riservata sul server Host alla macchina virtuale che stiamo installando: è quella nell’immagine seguente.

Scelta l’unità facciamo clic su Next e accediamo alla finestra di dialogo dove definire il formato dei dati nell’unità di storage in questione (nel caso specifico utilizziamo Thin Provision)
e facciamo nuovamente clic su Next (immagine seguente).

Così si passa a una nuova finestra in cui definire la rete (accettiamo le impostazioni predefinite), facendo poi Next per arrivare all’ultima finestra di dialogo, che riepiloga le impostazioni effettuate; se sono tutte come atteso, con Finish si avvia l’installazione della macchina virtuale, accompagnata da una finestra di dialogo che mostra l’avanzamento della procedura (immagine seguente). Al completamento verrà notificata l’avvenuta installazione e potremo chiudere manualmente la finestra; volendo è possibile, in questa finestra e durante l’installazione, spuntare la casella Close this dialog when completed in modo da chiudere automaticamente la finestra di dialogo al termine dell’installazione della macchina virtuale.  

Conclusa l’installazione, spostandosi nella struttura ad albero a sinistra della schermata del client possiamo vedere, sotto il cluster CL4, la nostra nuova macchina virtuale e cliccandovi sopra con il pulsante destro del mouse apriamo la relativa schermata di controllo; qui, cliccando sull’hyperlink Edit Virtual Machine Settings che si trova sotto Basic Tasks, possiamo aprire la finestra di dialogo delle proprietà (finestra Properties) della nostra VM (immagine seguente).

In questa possiamo gestire un po’ tutte le funzionalità della nostra macchina virtuale ed in particolare le schede di rete ad essa assegnate, riepilogate nella scheda Hardware, che è quella aperta nell’immagine precedente. Per ciascuna scheda, le proprietà possono essere consultate e impostate facendo clic sul nome, allorché si apre la sezione di destra che consente la modifica; inoltre con i pulsanti Add... e Remove è possibile rispettivamente aggiungere schede di rete a piacimento o rimuovere una di quelle esistenti. La rimozione si effettua cliccando sul nome di una scheda e poi su Remove, allorché il nome della scheda di rete appare barrato, come mostrato nell’immagine seguente.

Ora va specificato che l’OVF di Kerio Control crea schede di rete di tipo Flexible (vedere la sezione Adapter Type della zona di destra della finestra di dialogo mostrata nell’immagine precedente) , che non vanno bene per l’applicazione esemplificata in questo tutorial e quindi vanno rimosse entrambe, arrivando alla situazione proposta nell’immagine che segue.

Poi con Add bisogna aggiungere nuove schede che le sostituiscono, per esempio di tipo E1000, configurandole come richiesto, a partire dalla rete di appartenenza della macchina virtuale (immagine seguente).

Una volta eseguite le impostazioni si confermano con Next e poi con Finish. L’immagine seguente riporta la situazione relativa all’aggiunta di due nuove schede di rete, evidenziata dal nome in grassetto affiancato dalla dicitura Adding.

Una volta completate le impostazioni della macchina virtuale attraverso la finestra Virtual Machine Properties, le si rende effettive con il pulsante OK, allorché la predetta finestra si chiude e si torna alla schermata della macchina virtuale, nella quale facendo clic sul link blu Power on the virtual machine si avvia la VM (vedere l’immagine seguente).

Cliccando con il pulsante destro del mouse sul nome della macchina virtuale e impartendo il comando Open Console del menu contestuale che si apre, accediamo alla console e vediamo avviare la macchina virtuale con il suo sistema operativo Kerio, quindi possiamo configurare il firewall (immagine seguente).

Banner

Vediamo subito la configurazione di rete della nostra macchina virtuale, riferendoci all’immagine seguente, che mostra la schermata iniziale dopo l’avvio del sistema operativo Kerio.

Banner

La schermata riporta un indirizzo IP (https://....) che è quello corrispondente alla connessione e fa riferimento alla porta 4081, collegandosi alla quale è possibile effettuare la configurazione; quindi riportando l’indirizzo in un browser si accederà alla console per la configurazione del firewall, che è come mostrato nell’immagine seguente.

Qui si deve cliccare su Avanti in tutte le finestre che seguono sino ad arrivare a quella del rilevamento della connessione, allorché si completa il collegamento e la macchina virtuale con Firewall Kerio è installata e operativa.
Si arriva così alla finestra di impostazione della connessione, proposta nell’immagine seguente.

Fatta questa si procede con Avanti fino ad arrivare alla fine. Ora è possibile accedere da remoto tramite browser, autenticarsi tramite la pagina di Login Kerio Control ed entrare nella schermata Dashboard dell’applicazione, la quale propone un Wizard chiamato Assistente di configurazione da cui eseguire le principali impostazioni (immagine seguente).

Qui abbiamo la possibilità di configurare routing, regole e criteri di traffico e tutti gli altri parametri che ci interessano; i wizard è proposto per default ma si può aggirare facendo clic sul pulsante Chiudi.
Tra le altre funzionalità del wizard troviamo quella che permette di esportare ed importare la configurazione di una soluzione Kerio Control che permette velocissimamente di poter ripristinare in caso di Crash oppure in caso si debba trasferire in qualche altra macchina la Software Appliance; quindi permette una certa facilità di gestione di salvataggio di backup e restore dei dati di un’installazione.
Una volta completate le configurazioni, con o senza wizard, si accede alla Dashboard, mostrata nell’immagine seguente, che corrisponde al pulsante con l’ingranaggio posto nella barra azzurra a sinistra della schermata.

Notate che comunque il wizard è disponibile in ogni momento e può essere richiamato con questa procedura:

  1. dalla Dashboard, fare clic su Interfaces;
  2. fare clic su More Actions > Configure in Wizard.

Oppure, dalla Dashboard, facendo clic sul pulsante Configuration Assistant.
Durante la configurazione iniziale del firewall attraverso il wizard, le interfacce saranno disposte automaticamente in gruppi, comunque modificabili successivamente.
Le interfacce possono comunque essere configurate direttamente nella sezione Interfaces.
Per spostare un’interfaccia in un altro gruppo basta trascinarla con il mouse all’interno del gruppo desiderato.
Dalla stessa schermata si può impostare l’Antivirus, cliccando sulla voce corrispondente del relativo menu della solita finestra di impostazione.

Banner

Configurare la connettività Internet in Kerio Control

La connettività Internet si imposta dalla schermata accessibile con il solito pulsante a ingranaggio già vista. Per le reti che utilizzano il protocollo IPv4, è possibile utilizzare una o più connessioni Internet, configurabile da Interfaces e selezionando una delle seguenti opzioni:

  • A Single Internet Link: è la connessione più comune delle reti locali a Internet. In questo caso, è disponibile solo una connessione Internet e viene utilizzata in modo permanente. È anche possibile utilizzare collegamenti dial-like che possono essere collegati in modo persistente (in genere sono connessioni PPPoE). Solo una connessione single link è per il protocollo IPv6.
  • Multiple Internet Links - Failover: se il collegamento primario non riesce, Kerio Control passa automaticamente al collegamento secondario. Quando viene ripristinata la connessione sul link principale, Kerio Control ritorna automaticamente ad esso.
  • Multiple Internet Links - Load Balancing: Kerio Control può utilizzare più collegamenti simultaneamente e diffondere i dati trasferiti tra la LAN e Internet tra questi collegamenti. In condizioni e impostazioni standard, questo funziona anche come failover della connessione: se uno dei collegamenti fallisce, i dati trasferiti vengono diffusi attraverso gli altri collegamenti.

Una volta effettuata la scelta, la si rende effettiva facendo clic su Applica (Apply).
È anche possibile aggiungere un'interfaccia per un nuovo tipo di tunnel:

  • PPTP;
  • PPPoE
  • L2TP;
  • VPN.

Configurazione Ethernet Port e interfacce

Per quanto riguarda le porte ethernet, è possibile impostare velocità e modalità duplex, oltre che creare reti virtuali (VLAN) basate su queste interfacce. La relativa configurazione si effettua sempre da Interfaces, cliccando su Manage Ports e, nella finestra di dialogo che si apre (Manage Ports), facendo doppio clic su Port Name. Qui (siamo sempre nella schermata accessibile dal pulsante a ingranaggio) impostiamo velocità e modalità duplex. In molti casi, comunque, i dispositivi interconnessi adattano automaticamente la velocità di comunicazione.
Nella finestra Ethernet interfaces, si possono creare delle virtual network (VLAN).
Fatte le impostazioni del caso, cliccando sul pulsante Save vengono rese effettive.

Più in generale, nella schermata Interfaces abbiamo cinque gruppi, ossia interfacce Internet, Locali/Attendibili, VPN IPSec e Kerio, Host e Altre interfacce (immagine seguente).

Cliccando con il pulsante destro del mouse su una scheda di rete e impartendo il comando Modifica  possiamo accedere alla relativa finestra di dialogo di configurazione, dalla quale possiamo già stabilire delle regole di traffico in input e output (immagine seguente) confermando poi le impostazioni con un clic sul pulsante OK. 

La finestra di dialogo è quella delle proprietà dell’interfaccia di rete (Properties).
Notate che se vogliamo aggiungere una scheda di rete, dobbiamo spostarci sulla schermata Status (vi si accede cliccando sul pulsante della barra verticale azzurra alla sinistra della schermata a forma di barre di altezza crescente), fare clic sul pulsante spegnimento (Shutdown) così da spegnere il nostro firewall e una volta arrestato, torniamo sulla schermata del client di VMware (visto che stiamo lavorando su una macchina virtuale VMware) e andiamo a selezionare la nostra macchina.

Fatto questo, clicchiamo sul nome ed accediamo alla finestra di dialogo Properties della stessa, quindi da qui clicchiamo sul solito pulsante Add.. per aggiungere dell’hardware (immagine seguente) e procediamo come già spiegato in precedenza dalla finestra relativa alle schede di rete.

Al solito, una volta aggiunto l’hardware andiamo a riavviare la macchina virtuale, facciamo la login e riprendiamo a lavorare con Kerio Control.

Impostazione VPN in Kerio Control

Kerio Control integra un server VPN ed è quindi possibile impostarne le caratteristiche cliccando, all’interno della sezione VPN di Interfaces, con il pulsante destro del mouse su Server VPN ed accedendo alla finestra di dialogo mostrata nell’immagine seguente.

Abbiamo la possibilità di scegliere tra due tipi di Server VPN, che sono quello IPSec e quello Kerio nativo; nel primo caso possiamo far comunicare il nostro firewall con qualsiasi altri firewall che operi con il protocollo IPSec, così come possiamo permettere a un tablet o un qualsiasi altro device che utilizza IPSec per la connessione VPN di collegarsi al mio al nostro ambiente aziendale (alla nostra rete aziendale) utilizzando il firewall kerio con il server VPN della Kerio integrato.

Le modalità possono essere attivate entrambe, quindi se utilizziamo il server Kerio abbiamo il suo client nativo, ma possiamo anche definire come nativa una sola delle due soluzioni.

Sempre dal menu contestuale accessibile cliccando con il pulsante destro del mouse su Server VPN possiamo impostare dei tunnel VPN, accedendo alla relativa finestra di dialogoproposta dall’immagine seguente.

Nella finestra definiamo il tipo di server, i sistemi di crittografia che possono essere utilizzati in base al tipo di comunicazione con cui risponde il firewall non Kerio che risponde dall’altra parte
ecc.

La Dashboard di Kerio Control

La Dashboard contiene altre sezioni oltre quelle appena descritte; nella parte di amministrazione abbiamo la sezione degli Host attivi in cui vengono visualizzate quelle che sono le connessioni attive, le connessioni VPN attive, il traffico e le performance della macchina. A tale sezione si accede cliccando, tra i pulsanti della barra verticale azzurra alla sinistra della schermata, su quello con le barre di altezza crescente (tipo quello della forza del segnale nei cellulari). Tutti i pulsanti di accesso alle schermate si trovano su questa barra azzurra (immagine seguente).

In questa sezione (Active Hosts) vi sono diverse voci nel menu di sinistra, ognuna delle quali dà accesso a una schermata riepilogativa; per esempio nell’immagine seguente vedete System Health, che fornisce informazioni sullo stato di salute della macchina, utilizzo delle risorse ecc.

Altra schermata è Traffic Charts, che riporta i dati del traffico gestito e Statistics, con le statistiche del traffico relative all’utente connesso, ovvero non riferite ad un utente ma alla macchina che ha effettuato la connessione (Host) a seconda dell’impostazione fatta.
Sempre dalla barra azzurra possiamo accedere alla schermata dei Log, cui si accede cliccando sul pulsante omonimo che ha la forma di un foglio e riporta un menu con una serie di funzionalità di Alert, configurazione (Config), reportistica, Warning ecc. (immagine seguente).

La sezione Log fornisce informazioni in Real Time che indicano in modo evidente e tempestivo quello che sta succedendo e sono semplici da leggere ed esaustivi. Tramite la voce di menu Debug possiamo impostare il debug di problematiche emerse dai log, quindi personalizzarle i log in modo da poter definire quelli che sono nelle varie funzionalità, connessioni, protocolli, insomma quelli che dobbiamo tenere controllati in un determinato momento per fare debug su un determinato tipo di connessione, su un certo tipo di attacco in rete, su un determinato tipo di attività da monitorare.
La funzione è utile anche quando non ci si riesce a collegare in rete, perché non si riesce a utilizzare un protocollo di invio ecc.
Un esempio di schermata di log è riportato nell’immagine seguente.

Altra interessante funzione della Dashboard è quella che permette di visualizzare i dati di traffico attraverso informazioni e grafici (immagine seguente); una particolarità interessante della Dashboard è la possibilità di personalizzare i grafici di traffico, quindi in base a determinati tipi di regole è possibile anche definire quali sono i parametri del grafico. Ad esempio potremmo aggiungere un grafico di traffico sulla base di diversi parametri: nel caso dell’immagine seguente abbiamo solo due parametri (relativi alle schede di rete) però potremmo anche avere parametri come regole di traffico, regole di bandwidth, management e quindi avere un grafico specifico per ogni determinata regola.

Le regole di traffico in Kerio Control

Passiamo ora a vedere l’impostazione delle regole di traffico, che si esegue dalla schermata delle impostazioni accessibile dal pulsante a ingranaggio e quindi dal comando Regole di traffico (Traffic Rules) visibile nell’immagine seguente.

Questa riporta tutte le regole impostate con colori differenti, ovvero in verde quelle in uscita ed in rosa le altre, ossia quelle in ingresso e contrassegnate con il segno di spunta quelle rese effettive; le regole prive del segno di spunta non sono effettive.
Le regole vengono ordinate per priorità e sono elaborate dall’alto verso il basso e la prima regola che combacia è applicata; l’ordine delle regole è quindi importante e può essere cambiato nella schermata attraverso i pulsantini a freccia che si trovano sul lato destro della finestra o trascinandole con il mouse.

In ogni momento è possibile trovare una regola attraverso la casella Search: ed eseguirne la verifica cliccando sul pulsante Test Rules.

Una regola predefinita che blocca tutto il traffico è sempre presente alla fine della lista (quindi è ultima nella scala delle priorità) e non può essere rimossa; se non ci sono regole che permettono un particolare traffico di rete, tale regola predefinita scarterà i pacchetti di dati in transito, quindi di norma vanno impostate delle regole permissive e comunque almeno una regola permissiva.

Per controllare le connessioni utente ai server WWW o FTP e filtrare i contenuti, bisogna utilizzare il filtro del contenuto disponibile in Kerio Control per questi scopi, piuttosto che le Traffic Rules.

Per creare regole di traffico in Kerio Control, conviene utilizzare la procedura guidata di configurazione accessibile da Regole di traffico, facendo clic su Altre azioni> Configura nella procedura guidata.

L’installazione predefinita di Kerio Control nega la comunicazione per tutti i servizi. Per creare una regola di autorizzazione per un servizio, ad esempio, per consentire a un gruppo di utenti di utilizzare SSH per l'accesso ai server in Internet, bisogna:

  1. andare su Traffic Rules nell’interfaccia di amministrazione (schermata di amministrazione);
  2. fare clic su Add;
  3. nella finestra Add New Rule (Aggiungi nuova regola) che appare, scrivere tipo e nome assegnato alla regola;
  4. selezionare Generic come tipo di regola (immagine seguente).

  5. fare clic su Next e accedere alla finestra successiva (Origin), quindi cliccare sull’origine del traffico che la regola riguarderà (per esempio Users and Groups) come mostrato nell’immagine seguente;



  6. nella finestra di dialogo Select Items, fare doppio clic sul gruppo abilitato all’SSH 



  7. fare clic su Next e nella finestra Add New Rule cliccare su Interfaces;
  8. nella finestra di dialogo Select Items, selezionare Internet Interfaces;
  9. fare clic su Next e, nella finestra cui si accede, fare clic su Services;
  10. in Select Items, fare doppio clic su SSH.

Port mapping in Kerio Control

Per abilitare tutti i servizi per Kerio Connect collocati nella rete locale protetta da Kerio Control bisogna, dalla finestra dell’interfaccia di amministrazione:

  1. cliccare su Traffic Rules e, nella finestra cui si accede, sul pulsante Add;
  2. nella finestra del wizard Add New Rule, scrivere il nome della regola;
  3. selezionare Port mapping nella sezione Origin;
  4. nel campo Host, scrivere il nome host o l’IP address, ovvero il nome del server SMTP che si trova nella vostra local area network;
  5. nel campo Service, cliccare su Select e, nella finestra di dialogo Select Items, spuntare Kerio Connect services group;
  6. fare clic su Finish;
  7. andare sulla finestra Traffic Rules e spostare in cima la regola appena creata.

Kerio Control: il NAT

Con il termine Network Address Translation (NAT) si definisce lo scambio di un pacchetto uscente da un indirizzo IP di rete locale verso Internet attraverso l’IP address dell’interfaccia Internet dell’host Kerio Control. Tale tecnologia viene utilizzata per connettere più reti locali private ad Internet utilizzando un singolo IP address pubblico.
Per configurare la traslazione dell’IP address bisogna:

  1. andare in Traffic Rules e impostare IP address translation per la regola interessata;
  2. fare doppio clic su Translation quando è selezionata la regola desiderata (immagine seguente);
  3. nella finestra di dialogo Traffic Rule - Translation cui si accede, si possono configurare i parametri del caso.

Più esattamente, dalla finestra di dialogo suddetta impostiamo il Source NAT e il Destination NAT selezionando le relative opzioni (immagine seguente).

La sezione Source NAT si utilizza nelle regole di traffico riguardanti il traffico dalla LAN privata a Internet; in altre regole (traffico fra local area network e firewall, tra firewall e Internet ecc.) il NAT non si rende necessario.
Per attivare il Source NAT si deve porre il segno di spunta sulla relativa casella d’opzione e quindi si può iniziare la configurazione del caso, a partire dal sottostante menu a tendina, che riporta le opzioni IP; se si accetta l’impostazione predefinita (l’indirizzo IP per il NAT viene scelto automaticamente da Kerio Control) si può passare alla definizione della modalità di Load balancing. In caso contrario si può impostare manualmente un indirizzo IP specifico, utile, per esempio, se si stabilisce una connessione FTP (immagine seguente).

Passiamo alla sezione dove si può impostare il bilanciamento del carico per l’host o per il carico di connessione tenendo conto quanto segue.

  • Perform load balancing per host fa in modo che il traffico dall’host specificato nella LAN venga instradato attraverso lo stesso collegamento Internet; questo metodo è il predefinito, perché garantisce lo stesso comportamento di un client connesso direttamente a Internet, comunque il load balancing che divide il traffico fra connessioni può non essere la soluzione ottimale.
  • Perform load balancing per connection fa in modo che la connessione Internet sarà selezionata di volta in volta per ciascuna connessione stabilita fra la LAN e Internet, allo scopo di distribuire il carico in maniera ottimale; con questa tecnica si sfruttano in maniera ottimale le prestazioni della connessione Internet. Comunque tale scelta potrebbe introdurre problemi e collisioni con determinati servizi, giacché le connessione individuali sono stabilite fra vari IP address (dipende dall’interfaccia del firewall attraverso la quale vengono trasmessi i pacchetti di dati), cosa che potrebbe venire considerata come un attacco diretto al server di destinazione.

Per quanto riguarda il Destination NAT, è chiaramente alternativo al Source NAT e i selezione spuntando la relativa voce nell’apposita sezione in basso nella finestra di dialogo; nella casella Traduci verso il seguente host IPv4 scriviamo l’indirizzo IP dell’host della rete locale cui vogliamo siano dirette le connessioni in entrata al firewall e se vogliamo possiamo anche specificare la porta di destinazione spuntando Traduci anche la porta e scrivendo nella casella sottostante il numero della porta di ridirezione. Facciamo così un port mapping.

Gestione della larghezza di banda QoS

Come per le regole di traffico, dalla finestra di amministrazione possiamo gestire la larghezza di banda della nostra connessione; allo scopo, dalla solita sezione accessibile dal pulsante a ingranaggio accediamo a Gestione della larghezza di banda e QoS proposta nell’immagine seguente.

In pratica dalla finestra di dialogo possiamo gestire regole di bilanciamento del carico, quindi, per esempio, possiamo creare regola di traffico il traffico entrante o uscente, per ciascuno oggetto; la creazione della regola si esegue, dalla finestra mostrata nell’immagine precedente, spuntando la casella Nuova regola e accedendo alla finestra di dialogo dove decidiamo a quale elemento applichiamo la regola (immagine seguente) semplicemente cliccandovi sopra.

Nel caso dell’esempio proposto, è stata riservata per l’uscita in FTP con utente admin una banda di 2 Megabit in upload e altrettanto in download (immagine seguente).

Se spuntiamo la casella Grafico sulla linea della regola possiamo tracciare un grafico della larghezza di banda; allo scopo, nella finestra di dialogo che si apre definiamo i parametri (velocità ecc.) della connessione, il tipo di linea che stiamo utilizzando e via di seguito, quindi confermando creiamo la nostra regola di traffico specifica per quello che riguarda la comunicazione verso l’esterno. Ricordiamo che per poter sfruttare il bilanciamento di carico è necessario definire la velocità di comunicazione disponibile.
Le regole di traffico possono essere impostate in banda riservata o limitata: la differenza si imposta con la finestra di dialogo mostrata nell’immagine seguente, accessibile cliccando sulla riga della regola e selezionando il criterio della larghezza di banda Download o Upload, a seconda di quale desideriamo impostare.

Più esattamente, se nella finestra si spunta Riservare almeno si stabilisce la banda riservata che dev’essere almeno quella specificata, mentre spuntando Non superare si impone un limite alla banda destinata. La conferma si dà con OK.
Ricordate che creando il grafico, abbiamo la possibilità di visualizzare il consumo di banda con la regola impostata e resa effettiva; il grafico apparirà nella Dashboard.

Impostazione sistema antiintrusione e filtro contenuti

Kerio Control rende possibile gestire in modo efficace qualità di servizio (QoS) e larghezza di banda, allo scopo sia di ottimizzare la banda disponibile, sia di impedire che la connettività Internet aziendale venga limitata da persone che liberamente accedono a servizi di streaming video penalizzando le applicazioni VoIP aziendali o il download di documenti importanti.
È possibile evitare questa situazione scegliendo il tipo di traffico, impostando la velocità massima e minima (anche in percentuale) per download e upload. Per finire applichiamo la regola a una o a tutte le interfacce di rete.

Come di consueto Kerio Control abbina gli strumenti di gestione a quelli di monitoraggio ed ecco quindi la possibilità di visualizzare in tempo reale un grafico di traffico per le regole di gestione di banda attivate, che può aiutare a identificare la necessità di una banda maggiore per specifici protocolli, come ad evidenziare attività inappropriate o non legate all’attività lavorativa.

Kerio Control dispone di un motore IPS integrato i cui parametri possono essere impostati accedendo alla finestra dell’immagine seguente, cui si accede con il solito pulsante a ingranaggio e la voce Anti Intrusione del menu corrispondente.

Qui possiamo impostare tutti i parametri di funzionamento del sistema e verificare lo stato di impostazione.
Nella sezione Livello di gravità si possono impostare le azioni da intraprendere in base al livello di gravità della situazione della connessione che Kerio Control riscontra.
Invece nella sezione IP blacklist si possono definire gli IP da ignorare.
Il motore anti intrusione IPS (Intrusion Detection System) garantisce l’analisi del traffico in tempo reale, riuscendo a individuare potenziali minacce ed intrusioni. Il controllo del traffico avviene a diversi livelli, tramite analisi del protocollo, analisi del contenuto e confronto dei contenuti con un database di regole continuamente aggiornato.
Per la parte antivirus, Kerio integra il motore di scansione di Sophos, che esegue la scansione dell’intero traffico web che passa per l’appliance, e sono ovviamente inclusi tutti gli oggetti allegati alle e-mail.

Quanto alla sezione di filtro dei contenuti, vi si accede dal menu che si apre con il solito pulsante a ingranaggio, cliccando sulla voce Filtro contenuti (immagine seguente).

Dalla schermata cui si accede, Kerio Control permette di creare policy per il controllo del traffico dati  in entrata e in uscita, utilizzando come filtri URL specifici, tipologie di traffico, categorie di contenuti e intervalli di tempo.