Nessun risultato trovato
di Claudio Agnesani
Kerio Control nasce come soluzione di firewalling, ma in realtà è una soluzione integrata per il controllo del perimetro della rete aziendale ed è un firewall con stateful inspection estramente facile da configurare e amministrare, ed offre la Gestione Unificata delle minacce.
Kerio Control è un sistema IPS/IDS basato sullo standard industriale Snort con aggiornamenti automatici e tempestivi.
Kerio Control è un sofisticato filtro dei contenuti (Kerio Web Filter) e analisi/reportistica avanzata (StaR), funzionalità obbligatorie per tutte le realtà dove l’accesso a Internet è aperto al pubblico, molto utile anche in ambito aziendale per evitare che il tempo dedicato al lavoro si trasformi in una frequentazione incontrollata dei siti di social networking da parte dei dipendenti.
Il prodotto protegge la rete da virus, malware e attività dannose e coniuga le funzionalità di firewall di nuova generazione (Winroute firewall), includendo un network firewall e router, sistema di rilevamento e protezione (IPS), gateway anti-virus, VPN e filtri Web e applicativo. Queste funzionalità complete e la grande flessibilità di implementazione fanno di Kerio Control la scelta ideale per le piccole e medie imprese.
Kerio Control è un server VPN con client multipiattaforma (Windows, Mac OSX, Linux) con possibilità illimitata di tunnel tra sedi remote; principalmente svolge tre compiti, ossia firewall, antivirus e content filtering (questi ultimi due sono moduli addizionali).
Kerio Control viene implementato sia a livello hardware (integrato in firewall fisici, ossia Control Hardware Appliance) sia a livello software: nel primo caso la licenza d’uso è integrata per tutte e tre le funzionalità (soluzione hardware) mentre per la soluzione software (Kerio Control da installare su server) è modulare in base ai moduli che possono essere attivati o non attivati.
In altre parole, è possibile una sua installazione software (eventualmente su macchine virtuali) ed una su hardware dedicato; vedremo poi questi concetti, fermo restando che l’installazione software su un server realizza un firewall con in più tutte le funzionalità.
Per ora vediamo le funzionalità del prodotto.
Esecuzione di mapping trasparenti degli utenti da Active Directory o dal database interno degli utenti: prima di concedere l’accesso alla rete è possibile forzare l’autenticazione al firewall da parte degli utenti. Le policy di accesso alla rete e al Web vengono applicate in modo personalizzato ai singoli utenti a prescindere dal dispositivo di accesso utilizzato. Gli amministratori e i manager possono monitorare con precisione il comportamento dei singoli utenti sul Web.
Funzionalità integrate di antivirus gateway, filtro Web, filtro per reti P2P, sistema di prevenzione delle intrusioni, blocco dei file in base al tipo, filtro per parole chiave e oggetti Web. Le reti e gli utenti vengono protetti da virus, spyware, drive-by downloads e altro malware. Le aziende vengono tutelate da eventuali responsabilità legali contribuendo a ridurre le perdite in termini di produttività.
Più tunnel VPN contemporanei, si site-to-site sia client-to-site. Sono disponibili client VPN multipiattaforma per Windows, Mac e Linux, nonché l’accesso VPN SSL senza client mediante un browser Web. Le installazioni VPN per le configurazioni VPN più avanzate risultano più semplici. Kerio VPN Client, utilizzabile con semplici clic, garantisce l’accesso sicuro ad alta velocità per qualsiasi utente da qualsiasi computer.
Più accessi ad Internet possono essere configurati in load-balance o uno in back-up dell’altro. Il limitatore dell’utilizzo di banda preserva la banda disponibile per le applicazioni critiche. Viene garantita elevata disponibilità del tempo di attività della rete con performance ottimizzate e velocità massima. La qualità della connessione per le applicazioni sensibili alla latenza, quali ad esempio VoIP e i flussi multimediali, viene garantita mediante l’assegnazione di una priorità al traffico della rete.
Il prodotto implementa le seguenti funzionalità nelle reti aziendali:
L’immagine seguente propone un riepilogo delle caratteristiche di Kerio Control.
Utilizzare il prodotto porta una serie di vantaggi, in virtù delle sue caratteristiche; le descriviamo qui di seguito.
Lo strumento Winroute Firewall è certificato dai prestigiosi ICSA LABS, dal 1989 riconosciuti a livello mondiale come punto di riferimento per la sicurezza informatica. Con questa certificazione Winroute offre ai propri clienti livelli si sicurezza analoghi a quelli offerti da soluzioni hardware molto più costose.
Come tutti i prodotti Kerio, Kerio Control è mantenuto e aggiornato costantemente e di norma la Kerio rilascia due major release all’anno; l’ultima di queste è stata la 9.2, che ha introdotto le novità seguenti:
La versione 9.2.4 introduce inoltre i seguenti bug fix:
Kerio Control prevede due tipologie di installazione, che sono Software Appliance e Virtual Appliance.
Software Appliance è un pacchetto software disponibile in formato ISO, basato su una speciale versione di Linux, installabile su PC senza sistema operativo o appliance; per l’esattezza,
Kerio Control si basa su Linux kernel versione 3.2.
I requisiti di sistema per la Software Appliance sono:
Quanto alla Virtual Appliance, è la versione dedicata alle installazioni su host virtuali ed è supportata dai i seguenti hypervisor:
Vmware;
Hyper-V;
Paralles.
Il vantaggio sostanziale dell’installazione su VM è che possiamo installare un numero illimitato di schede di rete virtuali, quindi estendere notevolmente le capacità di interfacciamento e gestione di kerio Control, quindi gestire più punti di routing su una stessa rete, agendo su ciascuna sottosezione.
I requisiti di sistema per la tipologia Virtual Appliance sono:
I requisiti di sistema per la Virtual Appliance da installare su hypervisor Hyper-V (quindi in ambiente Microsoft) sono sostanzialmente riconducibili al sistema operativo, che deve essere:
Per quanto riguarda i requisiti hardware relativi ad Hyper-V sono:
Per quanto riguarda le tipologie di installazione Software Appliance e Virtual Appliance, quindi quelle per server e macchine virtuali, il relativo software può essere scaricato in formato ISO oppure in altri formati. Comunque diciamo che in formato ISO lo possiamo masterizzare e utilizzarlo per l'installazione su diverse tipologie di hardware che possono funzionare da firewall: per esempio un appliance che al minimo ha due schede di rete perché il minimo per poter fare routing è avere due schede rete fisiche. È anche possibile utilizzare un vecchio server o un server nuovo, magari performante, come firewall: basta scaricare la ISO e installarla su questa macchina.
Control Hardware Appliance
Passiamo adesso alle soluzioni hardware Kerio, che sostanzialmente sono una serie di dispositivi hardware con il Software Appliance preinstallato; si tratta pertanto di firewall, che grazie a Kerio Control Software Appliance integrano le funzionalità ulteriori supportate dal prodotto.
I modelli standard sono NG100, NG300 e NG500, mentre sono disponibili anche due modelli con WiFi integrato che sono l’NG100W e l’NG300W. Li vedete tutti e cinque nelle immagini seguenti.
Kerio Control NG100W e NG300W
Come si vede dalle foto, ciò che distingue i modelli NG100, NG300 e NG500 è nel numero di porte ethernet disponibili.
Una differenza sostanziale tra l’installazione del software su server e questi firewall è che mentre nei primi possiamo scegliere a piacimento il numero di schede di rete da mettere sull’hardware o sulla VM, qui il numero è rigido e definito dal modello di firewall scelto.
Quanto al Licensing, ossia la modalitò di concessione della licenza d’uso, va precisato che per i moduli Hardware Appliance la soluzione è comprensiva di antivirus e content kit; la licenza è a numero di utenti.
Notate che per utente non si intende necessariamente utenti veri e propri, perché in realtà si tratta di autenticazioni, quindi acquistando una licenza base da 5 utenti si hanno a disposizione 5 autenticazioni, vale a dire 5 oggetti che si possono connettere, ovvero 5 connessioni che si possono stabilire con il firewall.
Tenete presente che quando parliamo di utenti, in realtà 5 non è il numero corretto, perché una licenza da 5 utenti in realtà permette fino a 25 connessioni, cioè per ogni utente acquistato esistono 5 connessioni che possono essere associate all'utenza.
Le connessioni possono essere associate all’utente nel momento in cui viene autenticato: quando l’utente si autentica, ha 5 connessioni disponibili (PC, tablet o smartphone). Si può anche rimandare l’autenticazione, quindi rimandando l’autenticazione avremo 25 connessioni indipendentemente da chi effettua la connessione.
Vediamo adesso come funziona la Virtual Appliance, ossia l’installazione di Kerio Control su una macchina virtuale; andiamo dunque sul sito www.kerio.com che è il sito ufficiale della Kerio e troviamo, nella sezione corrispondente, i download per le varie tipologie di server, quindi Software Appliance e Virtual Appliance. Facendo clic su SERVER abbiamo la situazione proposta dall’immagine seguente.
Quello che ci interessa è VMware Virtual Appliance OVF, quindi ci spostiamo nelle istruzioni (Instructions) vi facciamo clic e apriamo la relativa pagina che ci spiega come utilizzare il file (How to use this file) nella quale prendiamo il link visualizzato e lo copiamo (immagine seguente).
L’indirizzo è già sufficiente per fare il deploy su un ambiente, quindi apriamo un client (in questo caso di VMware), scegliamo la macchina virtuale e facciamo il deploy della macchina virtuale che utilizzeremo; nel caso dell’esempio, la macchina virtuale si chiamerà Kerio Control VMware Virtual Appliance 2.
Ma vediamo come fare per crearla: in pratica per effettuare l’installazione si apre il menu File e da qui si impartisce il comando Deploy OVF Template, quindi nella finestra di dialogo che si apre si incolla il link copiato in precedenza dal sito Kerio, come mostrato nell’immagine seguente, cliccando poi su Next. La casella in cui incollare il percorso è Deploy From a file or URL.
Con Next passiamo alla finestra di dialogo in cui specifichiamo in Name il nome della macchina virtuale da installare e poi qual è il Cluster (Host) su cui costruiremo questa macchina (immagine seguente); poi facciamo nuovamente clic su Next e passiamo alla finestra di dialogo successiva.
In questa andiamo a definire, cliccandovi sopra, il cluster su cui vogliamo installare la VM (nel caso dell’esempio è CL4 STELLAR) e poi clicchiamo nuovamente su Next (immagine seguente).
A questo punto ci troviamo nella finestra di dialogo dove definire lo storage, ossia l’unità di storage (disco fisico) riservata sul server Host alla macchina virtuale che stiamo installando: è quella nell’immagine seguente.
Scelta l’unità facciamo clic su Next e accediamo alla finestra di dialogo dove definire il formato dei dati nell’unità di storage in questione (nel caso specifico utilizziamo Thin Provision)
e facciamo nuovamente clic su Next (immagine seguente).
Così si passa a una nuova finestra in cui definire la rete (accettiamo le impostazioni predefinite), facendo poi Next per arrivare all’ultima finestra di dialogo, che riepiloga le impostazioni effettuate; se sono tutte come atteso, con Finish si avvia l’installazione della macchina virtuale, accompagnata da una finestra di dialogo che mostra l’avanzamento della procedura (immagine seguente). Al completamento verrà notificata l’avvenuta installazione e potremo chiudere manualmente la finestra; volendo è possibile, in questa finestra e durante l’installazione, spuntare la casella Close this dialog when completed in modo da chiudere automaticamente la finestra di dialogo al termine dell’installazione della macchina virtuale.
Conclusa l’installazione, spostandosi nella struttura ad albero a sinistra della schermata del client possiamo vedere, sotto il cluster CL4, la nostra nuova macchina virtuale e cliccandovi sopra con il pulsante destro del mouse apriamo la relativa schermata di controllo; qui, cliccando sull’hyperlink Edit Virtual Machine Settings che si trova sotto Basic Tasks, possiamo aprire la finestra di dialogo delle proprietà (finestra Properties) della nostra VM (immagine seguente).
In questa possiamo gestire un po’ tutte le funzionalità della nostra macchina virtuale ed in particolare le schede di rete ad essa assegnate, riepilogate nella scheda Hardware, che è quella aperta nell’immagine precedente. Per ciascuna scheda, le proprietà possono essere consultate e impostate facendo clic sul nome, allorché si apre la sezione di destra che consente la modifica; inoltre con i pulsanti Add... e Remove è possibile rispettivamente aggiungere schede di rete a piacimento o rimuovere una di quelle esistenti. La rimozione si effettua cliccando sul nome di una scheda e poi su Remove, allorché il nome della scheda di rete appare barrato, come mostrato nell’immagine seguente.
Ora va specificato che l’OVF di Kerio Control crea schede di rete di tipo Flexible (vedere la sezione Adapter Type della zona di destra della finestra di dialogo mostrata nell’immagine precedente) , che non vanno bene per l’applicazione esemplificata in questo tutorial e quindi vanno rimosse entrambe, arrivando alla situazione proposta nell’immagine che segue.
Poi con Add bisogna aggiungere nuove schede che le sostituiscono, per esempio di tipo E1000, configurandole come richiesto, a partire dalla rete di appartenenza della macchina virtuale (immagine seguente).
Una volta eseguite le impostazioni si confermano con Next e poi con Finish. L’immagine seguente riporta la situazione relativa all’aggiunta di due nuove schede di rete, evidenziata dal nome in grassetto affiancato dalla dicitura Adding.
Una volta completate le impostazioni della macchina virtuale attraverso la finestra Virtual Machine Properties, le si rende effettive con il pulsante OK, allorché la predetta finestra si chiude e si torna alla schermata della macchina virtuale, nella quale facendo clic sul link blu Power on the virtual machine si avvia la VM (vedere l’immagine seguente).
Cliccando con il pulsante destro del mouse sul nome della macchina virtuale e impartendo il comando Open Console del menu contestuale che si apre, accediamo alla console e vediamo avviare la macchina virtuale con il suo sistema operativo Kerio, quindi possiamo configurare il firewall (immagine seguente).
Vediamo subito la configurazione di rete della nostra macchina virtuale, riferendoci all’immagine seguente, che mostra la schermata iniziale dopo l’avvio del sistema operativo Kerio.
La schermata riporta un indirizzo IP (https://....) che è quello corrispondente alla connessione e fa riferimento alla porta 4081, collegandosi alla quale è possibile effettuare la configurazione; quindi riportando l’indirizzo in un browser si accederà alla console per la configurazione del firewall, che è come mostrato nell’immagine seguente.
Qui si deve cliccare su Avanti in tutte le finestre che seguono sino ad arrivare a quella del rilevamento della connessione, allorché si completa il collegamento e la macchina virtuale con Firewall Kerio è installata e operativa.
Si arriva così alla finestra di impostazione della connessione, proposta nell’immagine seguente.
Fatta questa si procede con Avanti fino ad arrivare alla fine. Ora è possibile accedere da remoto tramite browser, autenticarsi tramite la pagina di Login Kerio Control ed entrare nella schermata Dashboard dell’applicazione, la quale propone un Wizard chiamato Assistente di configurazione da cui eseguire le principali impostazioni (immagine seguente).
Qui abbiamo la possibilità di configurare routing, regole e criteri di traffico e tutti gli altri parametri che ci interessano; i wizard è proposto per default ma si può aggirare facendo clic sul pulsante Chiudi.
Tra le altre funzionalità del wizard troviamo quella che permette di esportare ed importare la configurazione di una soluzione Kerio Control che permette velocissimamente di poter ripristinare in caso di Crash oppure in caso si debba trasferire in qualche altra macchina la Software Appliance; quindi permette una certa facilità di gestione di salvataggio di backup e restore dei dati di un’installazione.
Una volta completate le configurazioni, con o senza wizard, si accede alla Dashboard, mostrata nell’immagine seguente, che corrisponde al pulsante con l’ingranaggio posto nella barra azzurra a sinistra della schermata.
Notate che comunque il wizard è disponibile in ogni momento e può essere richiamato con questa procedura:
Oppure, dalla Dashboard, facendo clic sul pulsante Configuration Assistant.
Durante la configurazione iniziale del firewall attraverso il wizard, le interfacce saranno disposte automaticamente in gruppi, comunque modificabili successivamente.
Le interfacce possono comunque essere configurate direttamente nella sezione Interfaces.
Per spostare un’interfaccia in un altro gruppo basta trascinarla con il mouse all’interno del gruppo desiderato.
Dalla stessa schermata si può impostare l’Antivirus, cliccando sulla voce corrispondente del relativo menu della solita finestra di impostazione.
La connettività Internet si imposta dalla schermata accessibile con il solito pulsante a ingranaggio già vista. Per le reti che utilizzano il protocollo IPv4, è possibile utilizzare una o più connessioni Internet, configurabile da Interfaces e selezionando una delle seguenti opzioni:
Una volta effettuata la scelta, la si rende effettiva facendo clic su Applica (Apply).
È anche possibile aggiungere un'interfaccia per un nuovo tipo di tunnel:
Per quanto riguarda le porte ethernet, è possibile impostare velocità e modalità duplex, oltre che creare reti virtuali (VLAN) basate su queste interfacce. La relativa configurazione si effettua sempre da Interfaces, cliccando su Manage Ports e, nella finestra di dialogo che si apre (Manage Ports), facendo doppio clic su Port Name. Qui (siamo sempre nella schermata accessibile dal pulsante a ingranaggio) impostiamo velocità e modalità duplex. In molti casi, comunque, i dispositivi interconnessi adattano automaticamente la velocità di comunicazione.
Nella finestra Ethernet interfaces, si possono creare delle virtual network (VLAN).
Fatte le impostazioni del caso, cliccando sul pulsante Save vengono rese effettive.
Più in generale, nella schermata Interfaces abbiamo cinque gruppi, ossia interfacce Internet, Locali/Attendibili, VPN IPSec e Kerio, Host e Altre interfacce (immagine seguente).
Cliccando con il pulsante destro del mouse su una scheda di rete e impartendo il comando Modifica possiamo accedere alla relativa finestra di dialogo di configurazione, dalla quale possiamo già stabilire delle regole di traffico in input e output (immagine seguente) confermando poi le impostazioni con un clic sul pulsante OK.
La finestra di dialogo è quella delle proprietà dell’interfaccia di rete (Properties).
Notate che se vogliamo aggiungere una scheda di rete, dobbiamo spostarci sulla schermata Status (vi si accede cliccando sul pulsante della barra verticale azzurra alla sinistra della schermata a forma di barre di altezza crescente), fare clic sul pulsante spegnimento (Shutdown) così da spegnere il nostro firewall e una volta arrestato, torniamo sulla schermata del client di VMware (visto che stiamo lavorando su una macchina virtuale VMware) e andiamo a selezionare la nostra macchina.
Fatto questo, clicchiamo sul nome ed accediamo alla finestra di dialogo Properties della stessa, quindi da qui clicchiamo sul solito pulsante Add.. per aggiungere dell’hardware (immagine seguente) e procediamo come già spiegato in precedenza dalla finestra relativa alle schede di rete.
Al solito, una volta aggiunto l’hardware andiamo a riavviare la macchina virtuale, facciamo la login e riprendiamo a lavorare con Kerio Control.
Kerio Control integra un server VPN ed è quindi possibile impostarne le caratteristiche cliccando, all’interno della sezione VPN di Interfaces, con il pulsante destro del mouse su Server VPN ed accedendo alla finestra di dialogo mostrata nell’immagine seguente.
Abbiamo la possibilità di scegliere tra due tipi di Server VPN, che sono quello IPSec e quello Kerio nativo; nel primo caso possiamo far comunicare il nostro firewall con qualsiasi altri firewall che operi con il protocollo IPSec, così come possiamo permettere a un tablet o un qualsiasi altro device che utilizza IPSec per la connessione VPN di collegarsi al mio al nostro ambiente aziendale (alla nostra rete aziendale) utilizzando il firewall kerio con il server VPN della Kerio integrato.
Le modalità possono essere attivate entrambe, quindi se utilizziamo il server Kerio abbiamo il suo client nativo, ma possiamo anche definire come nativa una sola delle due soluzioni.
Sempre dal menu contestuale accessibile cliccando con il pulsante destro del mouse su Server VPN possiamo impostare dei tunnel VPN, accedendo alla relativa finestra di dialogoproposta dall’immagine seguente.
Nella finestra definiamo il tipo di server, i sistemi di crittografia che possono essere utilizzati in base al tipo di comunicazione con cui risponde il firewall non Kerio che risponde dall’altra parte
ecc.
La Dashboard contiene altre sezioni oltre quelle appena descritte; nella parte di amministrazione abbiamo la sezione degli Host attivi in cui vengono visualizzate quelle che sono le connessioni attive, le connessioni VPN attive, il traffico e le performance della macchina. A tale sezione si accede cliccando, tra i pulsanti della barra verticale azzurra alla sinistra della schermata, su quello con le barre di altezza crescente (tipo quello della forza del segnale nei cellulari). Tutti i pulsanti di accesso alle schermate si trovano su questa barra azzurra (immagine seguente).
In questa sezione (Active Hosts) vi sono diverse voci nel menu di sinistra, ognuna delle quali dà accesso a una schermata riepilogativa; per esempio nell’immagine seguente vedete System Health, che fornisce informazioni sullo stato di salute della macchina, utilizzo delle risorse ecc.
Altra schermata è Traffic Charts, che riporta i dati del traffico gestito e Statistics, con le statistiche del traffico relative all’utente connesso, ovvero non riferite ad un utente ma alla macchina che ha effettuato la connessione (Host) a seconda dell’impostazione fatta.
Sempre dalla barra azzurra possiamo accedere alla schermata dei Log, cui si accede cliccando sul pulsante omonimo che ha la forma di un foglio e riporta un menu con una serie di funzionalità di Alert, configurazione (Config), reportistica, Warning ecc. (immagine seguente).
La sezione Log fornisce informazioni in Real Time che indicano in modo evidente e tempestivo quello che sta succedendo e sono semplici da leggere ed esaustivi. Tramite la voce di menu Debug possiamo impostare il debug di problematiche emerse dai log, quindi personalizzarle i log in modo da poter definire quelli che sono nelle varie funzionalità, connessioni, protocolli, insomma quelli che dobbiamo tenere controllati in un determinato momento per fare debug su un determinato tipo di connessione, su un certo tipo di attacco in rete, su un determinato tipo di attività da monitorare.
La funzione è utile anche quando non ci si riesce a collegare in rete, perché non si riesce a utilizzare un protocollo di invio ecc.
Un esempio di schermata di log è riportato nell’immagine seguente.
Altra interessante funzione della Dashboard è quella che permette di visualizzare i dati di traffico attraverso informazioni e grafici (immagine seguente); una particolarità interessante della Dashboard è la possibilità di personalizzare i grafici di traffico, quindi in base a determinati tipi di regole è possibile anche definire quali sono i parametri del grafico. Ad esempio potremmo aggiungere un grafico di traffico sulla base di diversi parametri: nel caso dell’immagine seguente abbiamo solo due parametri (relativi alle schede di rete) però potremmo anche avere parametri come regole di traffico, regole di bandwidth, management e quindi avere un grafico specifico per ogni determinata regola.
Passiamo ora a vedere l’impostazione delle regole di traffico, che si esegue dalla schermata delle impostazioni accessibile dal pulsante a ingranaggio e quindi dal comando Regole di traffico (Traffic Rules) visibile nell’immagine seguente.
Questa riporta tutte le regole impostate con colori differenti, ovvero in verde quelle in uscita ed in rosa le altre, ossia quelle in ingresso e contrassegnate con il segno di spunta quelle rese effettive; le regole prive del segno di spunta non sono effettive.
Le regole vengono ordinate per priorità e sono elaborate dall’alto verso il basso e la prima regola che combacia è applicata; l’ordine delle regole è quindi importante e può essere cambiato nella schermata attraverso i pulsantini a freccia che si trovano sul lato destro della finestra o trascinandole con il mouse.
In ogni momento è possibile trovare una regola attraverso la casella Search: ed eseguirne la verifica cliccando sul pulsante Test Rules.
Una regola predefinita che blocca tutto il traffico è sempre presente alla fine della lista (quindi è ultima nella scala delle priorità) e non può essere rimossa; se non ci sono regole che permettono un particolare traffico di rete, tale regola predefinita scarterà i pacchetti di dati in transito, quindi di norma vanno impostate delle regole permissive e comunque almeno una regola permissiva.
Per controllare le connessioni utente ai server WWW o FTP e filtrare i contenuti, bisogna utilizzare il filtro del contenuto disponibile in Kerio Control per questi scopi, piuttosto che le Traffic Rules.
Per creare regole di traffico in Kerio Control, conviene utilizzare la procedura guidata di configurazione accessibile da Regole di traffico, facendo clic su Altre azioni> Configura nella procedura guidata.
L’installazione predefinita di Kerio Control nega la comunicazione per tutti i servizi. Per creare una regola di autorizzazione per un servizio, ad esempio, per consentire a un gruppo di utenti di utilizzare SSH per l'accesso ai server in Internet, bisogna:
Per abilitare tutti i servizi per Kerio Connect collocati nella rete locale protetta da Kerio Control bisogna, dalla finestra dell’interfaccia di amministrazione:
Con il termine Network Address Translation (NAT) si definisce lo scambio di un pacchetto uscente da un indirizzo IP di rete locale verso Internet attraverso l’IP address dell’interfaccia Internet dell’host Kerio Control. Tale tecnologia viene utilizzata per connettere più reti locali private ad Internet utilizzando un singolo IP address pubblico.
Per configurare la traslazione dell’IP address bisogna:
Più esattamente, dalla finestra di dialogo suddetta impostiamo il Source NAT e il Destination NAT selezionando le relative opzioni (immagine seguente).
La sezione Source NAT si utilizza nelle regole di traffico riguardanti il traffico dalla LAN privata a Internet; in altre regole (traffico fra local area network e firewall, tra firewall e Internet ecc.) il NAT non si rende necessario.
Per attivare il Source NAT si deve porre il segno di spunta sulla relativa casella d’opzione e quindi si può iniziare la configurazione del caso, a partire dal sottostante menu a tendina, che riporta le opzioni IP; se si accetta l’impostazione predefinita (l’indirizzo IP per il NAT viene scelto automaticamente da Kerio Control) si può passare alla definizione della modalità di Load balancing. In caso contrario si può impostare manualmente un indirizzo IP specifico, utile, per esempio, se si stabilisce una connessione FTP (immagine seguente).
Passiamo alla sezione dove si può impostare il bilanciamento del carico per l’host o per il carico di connessione tenendo conto quanto segue.
Per quanto riguarda il Destination NAT, è chiaramente alternativo al Source NAT e i selezione spuntando la relativa voce nell’apposita sezione in basso nella finestra di dialogo; nella casella Traduci verso il seguente host IPv4 scriviamo l’indirizzo IP dell’host della rete locale cui vogliamo siano dirette le connessioni in entrata al firewall e se vogliamo possiamo anche specificare la porta di destinazione spuntando Traduci anche la porta e scrivendo nella casella sottostante il numero della porta di ridirezione. Facciamo così un port mapping.
Come per le regole di traffico, dalla finestra di amministrazione possiamo gestire la larghezza di banda della nostra connessione; allo scopo, dalla solita sezione accessibile dal pulsante a ingranaggio accediamo a Gestione della larghezza di banda e QoS proposta nell’immagine seguente.
In pratica dalla finestra di dialogo possiamo gestire regole di bilanciamento del carico, quindi, per esempio, possiamo creare regola di traffico il traffico entrante o uscente, per ciascuno oggetto; la creazione della regola si esegue, dalla finestra mostrata nell’immagine precedente, spuntando la casella Nuova regola e accedendo alla finestra di dialogo dove decidiamo a quale elemento applichiamo la regola (immagine seguente) semplicemente cliccandovi sopra.
Nel caso dell’esempio proposto, è stata riservata per l’uscita in FTP con utente admin una banda di 2 Megabit in upload e altrettanto in download (immagine seguente).
Se spuntiamo la casella Grafico sulla linea della regola possiamo tracciare un grafico della larghezza di banda; allo scopo, nella finestra di dialogo che si apre definiamo i parametri (velocità ecc.) della connessione, il tipo di linea che stiamo utilizzando e via di seguito, quindi confermando creiamo la nostra regola di traffico specifica per quello che riguarda la comunicazione verso l’esterno. Ricordiamo che per poter sfruttare il bilanciamento di carico è necessario definire la velocità di comunicazione disponibile.
Le regole di traffico possono essere impostate in banda riservata o limitata: la differenza si imposta con la finestra di dialogo mostrata nell’immagine seguente, accessibile cliccando sulla riga della regola e selezionando il criterio della larghezza di banda Download o Upload, a seconda di quale desideriamo impostare.
Più esattamente, se nella finestra si spunta Riservare almeno si stabilisce la banda riservata che dev’essere almeno quella specificata, mentre spuntando Non superare si impone un limite alla banda destinata. La conferma si dà con OK.
Ricordate che creando il grafico, abbiamo la possibilità di visualizzare il consumo di banda con la regola impostata e resa effettiva; il grafico apparirà nella Dashboard.
Kerio Control rende possibile gestire in modo efficace qualità di servizio (QoS) e larghezza di banda, allo scopo sia di ottimizzare la banda disponibile, sia di impedire che la connettività Internet aziendale venga limitata da persone che liberamente accedono a servizi di streaming video penalizzando le applicazioni VoIP aziendali o il download di documenti importanti.
È possibile evitare questa situazione scegliendo il tipo di traffico, impostando la velocità massima e minima (anche in percentuale) per download e upload. Per finire applichiamo la regola a una o a tutte le interfacce di rete.
Come di consueto Kerio Control abbina gli strumenti di gestione a quelli di monitoraggio ed ecco quindi la possibilità di visualizzare in tempo reale un grafico di traffico per le regole di gestione di banda attivate, che può aiutare a identificare la necessità di una banda maggiore per specifici protocolli, come ad evidenziare attività inappropriate o non legate all’attività lavorativa.
Kerio Control dispone di un motore IPS integrato i cui parametri possono essere impostati accedendo alla finestra dell’immagine seguente, cui si accede con il solito pulsante a ingranaggio e la voce Anti Intrusione del menu corrispondente.
Qui possiamo impostare tutti i parametri di funzionamento del sistema e verificare lo stato di impostazione.
Nella sezione Livello di gravità si possono impostare le azioni da intraprendere in base al livello di gravità della situazione della connessione che Kerio Control riscontra.
Invece nella sezione IP blacklist si possono definire gli IP da ignorare.
Il motore anti intrusione IPS (Intrusion Detection System) garantisce l’analisi del traffico in tempo reale, riuscendo a individuare potenziali minacce ed intrusioni. Il controllo del traffico avviene a diversi livelli, tramite analisi del protocollo, analisi del contenuto e confronto dei contenuti con un database di regole continuamente aggiornato.
Per la parte antivirus, Kerio integra il motore di scansione di Sophos, che esegue la scansione dell’intero traffico web che passa per l’appliance, e sono ovviamente inclusi tutti gli oggetti allegati alle e-mail.
Quanto alla sezione di filtro dei contenuti, vi si accede dal menu che si apre con il solito pulsante a ingranaggio, cliccando sulla voce Filtro contenuti (immagine seguente).
Dalla schermata cui si accede, Kerio Control permette di creare policy per il controllo del traffico dati in entrata e in uscita, utilizzando come filtri URL specifici, tipologie di traffico, categorie di contenuti e intervalli di tempo.