Kerio Control UTM:

مستحضر باشید که Kerio شرکتی است که در ضمینه تولید نرم افزار فایروال و مدیریت شبکه فعالیت دارد. در واقع تیم نرم افزاری Kerio بر روی Linux Kernel نرم افزار ها را قرار می دهند و Appliance (فایل ISO) برای ما تولید می کنند. از مجموعه Appliance های موجود در سایت شرکت 3 عدد حائز اهمیت است:

Kerio Connect:
کاربرد این محصول در بحث Mail Server است. مثلا، یک سازمانی تحت Hamed.net 👈 Domain شبکه شده اند و کارمندان به جای استفاده از Gmail از ایمیل های سازمانی استفاده کنند. (Hamed@Hamed.net). بنابراین نیاز به Mail Server دارند که Kerio Connect یک نوع از آن است. Microsoft از محصول Exchange Server جهت مدیریت Mail Server استفاده می کند، البته محصول قدرتمند دیگری تحت نام MDaemon وجود دارد که Linux base است و بسیار نرم افزار کاربردی در ضمینه Mail Server می باشد.

Kerio Operator:
کاربرد این محصول در بحث VOIP است. اگر می خواهید در یک سازمانی VOIP راه اندازی کنید، نیاز به سروری جهت مدیریت تماس ها (Call Manager) دارید . مستحضر باشید که Linux از محصولاتی مثل Elastix، Issabel، Asterisk و … جهت Call Manager معرفی می کند، اما Cisco جهت مدیریت تماس ها از محصول (CUCM) استفاده می کند.

Kerio Control:
به خاطر داشته باشید دستگاهی که صرفاً فقط Firewall است، شامل Role هایی است که از ترافیک های وروددی-خروجی شبکه جلوگیری می کند و در لایه Edge شبکه قرار می گیرد.
Kerio Control یک Unified Threat Management (UTM) است. UTM یعنی دستگاهی که صرفاً کار آن Firewall بودن نیست و شامل قدرت هایی مثل:
🔹 سیستم شناسایی و جلوگیری از نفوذ (IDS/IPS)
🔹 راه اندازی VPN Server جهت فروش VPN در بحث فیلترینگ.
🔹 آنتی ویروس حرفه ای که از هک و … جلوگیری می کند.
🔹 قابلیت یکپارچه شدن با (Active Directory)
🔹 کنترل و مدیریت دسترسی کاربران به اینترنت (Internet Accounting)
🔹 عملکرد Router Cisco شامل (DHCP،NAT ، برای Client ها تأمین Gateway کنید و …)

Kerio Control UTM در لایه Edge شبکه قرار دارد. Edge در لغت به معنای لبه است. Edge شبکه آن دستگا هایی است که یک سمت آن به شبکه داخلی متصل و مدیریت آن بر عهده ما است، اما سمت دیگر آن بیرون از شبکه داخلی قرار دارد (اینترنت، بستر WAN تهران، ISP و … ) که مدیریت آن بر عهده ما نیست.


Kerio

Installing Kerio Control:

🔹 در ابتدا با فشردن کلید F8 وارد پروسه نصب Kerio Control شوید.
🔹 در مرحله بعد هارد دیسک مورد نظر جهت نصب سیستم عامل Kerio باید Format شود، بنابراین عدد 135 را تایپ و کلید Enter را بزنید.


Kerio

Network Configuration:
🔹 بعد از نصب Kerio جهت تنظیمات IP وارد بخش Network Configuration شوید.
🔹 در پنجره باز شده کارت شبکه WAN (سمت اینترنت) و کارت شبکه Ethernet (سمت شبکه داخلی) می باشد.
(توصیه می شود آدرس Gateway را بر روی هر 2 عدد کارت شبکه Kerio تنظیم نکنید و ملاک تنظیم Gateway را کارت شبکه Outside (سمت اینترنت) در نظر بگیرید)


Kerio

🔹 بعد از تنظیمات IP، با استفاده از Web Browser می توانید به محیط گرافیکی Kerio دسترسی داشته باشید. برای این کار در مرورگر سیستم Client آدرس و پورت را وارد کنید. (https://10.20.30.3:4081/admin). حال اگر Certificate توسط Web Browser شناخته نشد از گزینه Continue to this website (not recommended) استفاده کنید.

🔹 در تنطیمات ابتدایی Kerio بهتر است تیک گزینه …Allow kerio control to send غیر فعال کنید تا هیچ گونه ارتباطی با بیرون نداشته باشد که باعث خراب شدن Crack شود.


Kerio

🔹 در مرحله بعد یک Username تحت نام Admin مشاهده میکنید که باید برای آن Password تایپ کنید.
🔹 می توانید Email خود را در بخش alerts وارد کنید که اگر در شبکه خطایی رخ داد به واسطه ایمیل تایپ شده به Admin شبکه اطلاع داده شود. (Mail server on SNMP)
🔹 شرکت Kerio سرویسی تحت نام MyKerio Cloud دارد که اجازه می دهد مثلا Device ها را در Cloud مدیریت کنید .. Backup نگهدارید … (گزینه را به دلیل بحث Crack غیر فعال کنید)


Kerio

Dashboard Kerio Control :

🔹 System Health: با توجه به میزان CPU و RAM مصرفی اگر بار پردازشی زیادی بر روی سیستم شما باشد، در این بخش قابل مشاهده است.
🔹 System Time: مستحضر باشید که اگر بخواهید دسترسی Time دهید (مثلا، از ساعت 10 تا 12 فقط وصل شود) حتماً ساعت Kerio را براساس ساعت سیستم تنظیم کنید.
(جهت تنظیم مجدد ساعت ار بخش Advanced options تب System configuration را انتخاب و NTP Server، Time Zone را مشخص کنید)
🔹 System Status: مشکلات نرم افزاری Kerio در این بخش قابل مشاهده است. (مثلا، UPtime میزان فعال بودن Kerio و …)
🔹 License: اطلاعات در مورد Crack نرم افزار Kerio است.(مثلا، نام شرکتی که این نرم افزار را Crack کرده و …)
🔹 VPN Info: اطلاعات در مورد تعداد Client هایی که همزمان از طریق VPN به شما متصل شده اند.


Kerio

Routing Table Kerio Control :

جهت تکمیل نقص جدول مسیر یابی در محیط Kerio یک روش وجود دارد:
Static Route ( مسیر یابی دستی ) 👈 طبق قائده به Router می شناسانیم هر آنچه به او وصل نیست.

🔹 جهت نوشتن Static Route در بخش Routing Table ، گزینه Add را انتخاب کنید.
🔹 در قسمت Network آدرس IP مقصد را تایپ کنید.
🔹 Subnet Mask مقصد را تایپ کنید.
🔹 Interface که قرار است Route از آن خارج شود را مشخص کنید.
🔹 منظور از Gateway ، آدرس Router همسایه است.
🔹 Metric در بحث پروتوکل های مسیریابی اگر به یاد داشته باشید ، پروتوکل مسیریابی Link State می گوید ، آن مسیری به مقصد بهتر است که پهنای باند (Bandwidth ) بالاتری دارد .
اما تعریف دقیق تر پروتوکل مسیریابی Link State این است که ، آن مسیری به مقصد بهتر است که تعداد Metric کمتری داشته باشد . تمام پروتوکل های مسیریابی علی الخصوص از جنس Link State برای محاسبه Metric از فرمول های خاصی استفاده می کنند و همیشه (Bandwidth) را در مخرج کسر قرار می دهند (بنابراین پهنای باند بیشتر یعنی Metric کمتر)


Kerio

DHCP Server Kerio Control :

به صورت پیش فرض DHCP فعال است و اتوماتیک از روی رنج IP که برای آن در نظر می گیرید، یک Pool / Scope می سازد. (DHCP این 100 تا IP دست تو ، هرکسی آمد یکی بهش بده)

🔹 جهت تنظیمات DHCP در بخش DHCP Server ، گزینه Edit را انتخاب کنید.
🔹 تکلیف IP و Subnet Mask را مشخص کنید ، ابتدا و انتهای بازه ای که می خواهید در اختیار کاربران قرار دهید را وارد کنید . (IP سر رنج و ته رنج قبول نیست)
🔹 عبارت Exclusion یعنی IP هایی که در این صفحه نام بردید و قرار نیست به کسی داده شود . (مثلا ، IP روتر)
🔹 Option یک کد دارد که می توانید مثلا ، Gateway کاربران شبکه، DNS ، Domain Name و … تنظیم کنید. این موضوع با کلیک بر روی Add Options قابل روئت خواهد بود.
🔹 خاصیتی در DHCP وجود دارد به نام Reservation که باعث می شود IP به صورت گارانتی شده (ثابت) در اختیار کاربر قرار گیرد . (این موضوع را از روی MAC Address می فهمد)
🔹 مستحضر باشید که، DHCP می تواند IP را به صورت اجاره ای در اختیار کاربر قرار دهد، که اصطلاحا به آن Lease Time گویند. مدت زمان اجاره را ما تعیین می کنیم مثلا، در Kerio پیش فرض 4 روز است ، اما غالباً افراد Lease Time را به صورت استاندارد براساس ساعت تنظیم می کنند.


Kerio

Interfaces Kerio Control:

Interface های موجود در Kerio شامل:
🔹 Internet Interface تحت نام WAN کارت شبکه سمت اینترنت است.
🔹 Trusted/Local Interface تحت نام Ethernet کارت شبکه سمت شبکه داخلی است.
🔹 IPsec and Kerio VPN interface تمامی VPN Server های راه اندازی شده در Kerio در این بخش قرار می گیرند.

در بخش Internet Connectivity می توانید نحوه اتصال Kerio Control به اینترنت را مشخص کنید که شامل:
🔹 Load Balance این امکان را فراهم می کند تا از هر دو لینک اینترنت استفاده و میزان ترافیک شبکه اینترنت را بین دو خط اینترنت تقسیم کنید، اما Failover می گوید که اگر فردا روز مشکل و قطعی در خط اینترنت اصلی (Primary) به وجود آمد، خط پشتیبان (Backup) جایگزین شده و سرویس اینترنت سازمان دچار اختلال نگردد.
🔹 جهت پیاده سازی Failover یا Load Balance نیاز به خط دوم اینترنت و همچنین یک کارت شبکه اضافه روی سرور یا Virtual machine دارید.
🔹 جهت پیاده سازی Single Internet نیاز به یک خط اینترنت و همچنین یک کارت شبکه روی سرور یا Virtual machine دارید.


Kerio

Traffic Rules Kerio Control :

مستحضر باشید که Rule ها از بالا به پایین اولویت اجرایی دارند و Rule با جزئیات بیشتر در بالای لیست Traffic Rules قرار می گیرد.

بخش Traffic Rules شامل یک صحفه چند ستونه:
🔹 Name: در این قسمت نام Rule قرار می گیرد.
🔹 Source: مبداء ترافیک را مشخص کنید. کلمه Any در این لیست به معنای همه می باشد. (Packet از هر نوع مبداء را باید بی خیال شود)
🔹 Destination: مقصد ترافیک را مشخص کنید. (همچنین در این قسمت می توان گروهی از آدرس های IP و یا کاربران را انتخاب کنید)
🔹 Service: شامل پروتکل ها یا Service هایی که جهت اعمال فیلترینگ مورد استفاده قرار می گیرد.
🔹 IP Version: در این قسمت نوع آدرس IPv4\IPv6 را مشخص کنید.
🔹 Action: نوشتن قانون در Traffic Rules با 2 کلمه Allow یا Deny انجام می شود. البته حالت سومی تحت نام Drop وجود دارد.
🔹 Translations: قانون Internet Access (NAT) در لیست می گوید ، افرادی که در شبکه داخلی یا VPN Clients و … به وسیله این Role دسترسی به اینترنت خواهند داشت. بنابراین به این عملیات که Kerio یکبار در خروج IP Private را به IP Public و بار دیگر در ورود IP Public را به IP Private تبدیل می کند NAT گویند.

Enable Source NAT: به صورت پیش فرض این گزینه فعال است. مثلا می توانید یک Address Pool یا بازه IP تشکیل دهید و به Kerio می گوید هر کسی که خواست روی اینترنت برود یک IP به صورت اختصاصی از داخل Pool در اختیار آنها بگذارد یا حتی بر روی یک Interface خاص عملیات NAT را انجام دهد.

Destination NAT: قابلیت Masquerading (PAT) را فعال می کند. قائده در Masquerading (PAT) بدین شرح است که ، فرض کنید در مجموعه ای 100 تا کامپیوتر با IP Private وجود دارد که قرار است آنها را روی اینترنت بفرستید . لذا برای تأمین IP Public ، نیازمند این نیستید که 100 عدد IP Public از ISP مخابرات خریداری کنید . کافی است این 100 نفر را با یک IP Public روی اینترنت بفرستید و فقط Port Number را تغییر دهید .

🔹 Last Used: نشان دهنده آخرین زمانی که از Rule استفاده شده می باشد.
🔹 Valid time: می توانید برای یک کاربر خاص محدودیت زمانی ایجاد کنید. مثلا در بازه زمانی 10 صبح تا 12 ظهر از این Rule استفاده کند.
پیش فرض شامل گزینه های Always ، Upgrade Windows است ، البته می توانید در بخش Time Ranges یک Rule جدید تعیین و برای آن روز، ساعت … مشخص کنید.


Kerio

Users and Groups Kerio Control :

در محیط تنظیمات Users به دلیل اینکه Kerio تحت Domain نیست، ملاک را User هایی Local قرار داده است و در Local User Database یک کاربر Admin به صورت پیش فرض توسط Kerio از قبل ایجاد شده است. البته Kerio Control قدرت اتصال به Active Directory را دارد و این موضوع در پنل مدیریتی Domains and User Login در تب Directory Services قابل مشاهده است. حال جهت ایجاد کاربر جدید از جنس Local در پنل مدیریتی Users ،گزینه Add را انتخاب کنید. پنجره تنظیمات Users شامل تب های:

General:
🔹 در قسمت Username نام مورد نظر را تایپ کنید. (قسمت Full Name و Description اختیاری است)
🔹 تحت Domain یا Workgroup بودن User را در بخش Authentication مشخص کنید.
🔹 Password مورد نظرتان را دو بار تایپ کنید.
🔹 Account is enabled حتما تیک داشته باشد تا کاربر ساخته شده فعال شود.
🔹 در بخش Domain Template اگر می خواهید یک سری تنظیمات اضافی به User اعمال کنید، تیک گزینه (This user has a separate configuration) را فعال کنید.

Group:
🔹 یک سری گروه ها را در لیست برای ما قرار داده است، که بتوانیم مجوز هایی را برای User ها در نظر بگیریم.

Rights:
در تب Rights می توانید سطح دسترسی کاربر را مشخص کنید:
🔹 No Access to Administration: کاربر هیچ گونه دسترسی Admin را نخواهد داشت و این User فقط برای اینترنت است.
🔹 Read only Access to Administration: کاربر به صورت Admin به پنل مدیریتی Kerio Control وارد می شود ،اما قدرت تغییر و پاک کردن را ندارد.
🔹 Full Access to Administration: دسترسی کامل Admin را در اختیار کاربر قرار خواهد داد.(این گزینه برای یک کاربر معمولی پیشنهاد نمی شود)

در بخش Additional Rights می توانید سطح دسترسی اضافه تر برای کاربر مشخص کنید:
🔹 User can unlock Content Filter rules: قانون هایی که در قسمت Content Filter نوشته شده روی این کاربر اعمال نخواهد شد.
🔹 User can connect using VPN: مستحضر باشید جهت VPN زدن باید مجوز برای کاربر صادر کنید. (مثلا، یک User برای Hotspot ساختید که آیا این User قدرت اتصال VPN دارد یا خیر)

Quota:
در تب جیره بندی یا Quota، می توانید جهت بهینه سازی مصرف اینترنت برای هر کاربر به صورت مجزا حجم ترافیک روزانه، هفتگی و یا ماهیانه در نظر گرفت. حال چنانچه Direction را روی All traffic انتخاب نموده و Quota را روی 5 گیگابایت در نظر بگیریم، کاربر می تواند روزانه به 5 گیگابایت اینترنت (آپلود و دانلود) دسترسی داشته باشد.

در بخش Exceeded Quota Action می توانید برای User محدودیت اعمال کنید.
🔹 Block any further traffic: اگر حجم ترافیک کابر از حد مجاز بیشتر شد، کلا اینترنت را قطع کنید.
🔹 Bandwidth Management:گر حجم ترافیک کابر از حد مجاز بیشتر شد، سرعت اینترنت به نصف کاهش یابد. ( اینترنت با سرعت 128Kbps). البته با انتخاب گزینه …Notify user by Email اگر در تب General آدرس Email وارد کرده باشید ، زمانی که Quota از حد مجاز عبور کند به شما اطلاع داده خواهد شد.

Preferences:
تب Preferences در مورد محتویات وب، HTML و تگ ها و … می باشد.
🔹 Preferred Language: قابلیت جالبی در Kerio Control است. مثلا کاربر شما ژاپنی است و زمانی که Quota از حد مجاز عبور کند به زبان ژاپنی به آن اطلاع داده خواهد شد.

Addresses:
در تب Addresses، مثلا User مدیر عامل با این (MAC، Group، IP) اتوماتیک به اینترنت Login کند و نیاز به تایپ Username و Password نباشد. (البته Quota تنظیم شده است)
🔹 VPN Client Address: آدرس IP ثابت جهت VPN زدن مشخص کنید.


Kerio

Intrusion Prevention (IPS) Kerio Control:

Intrusion Pretension یک قابلیت در جهت بالا بردن سطح امنیت شبکه می باشد و دقیقا مثل یک آنتی ویروس عمل می کند. در پنل مدیریتی Dashboard، مشکلات نرم افزاری Kerio در بخش System Status قابل مشاهده است. به دلیل Crack شدن Kerio Control وضعیت (IPS) را Update failed در نظر گرفته است. ( باید از Update Offline استفاده کنید)

Severity Levels:
اگر میزان حساسیت High Severity باشد، در این حالت یک Log ثبت و ترافیک مورد نظر Drop خواهد شد.

IP Blacklists:
در این بخش یک سری IP Blacklist ها که به عنوان تهدید در شبکه هستند را اضافه کنید. (Dshield، Botnet و …)

Updates:
در این بخش به صورت پیش فرض هر 24 ساعت یک بار سمت Database اصلی می رود که اگر آدرسی به عنوان تهدید در Blacklist ها اضافه شده باشد به تمام UTM ها اعلام کند.


Kerio

Security Settings Kerio Control :

قابلیت فیلترینگ بر اساس MAC Address در بخش MAC Filter وجود دارد. جهت استفاده از این قابلیت:
🔹 ابتدا تیک گزینه Enable MAC Filter را فعال کنید.
🔹 در مرحله بعدی باید Interface که قصد داریم MAC Filter روی آن اعمال شود را انتخاب کنید.(Inside)
🔹 گزینه … Prevent listed computers from تمامی آدرس های MAC به غیر از آدرس های مشخص شده در لیست امکان دسترسی به شبکه را خواهند داشت.
🔹 گزینه … Permit only listed computers to تمامی آدرس های MAC که در شبکه فعالیت می کنند را به صورت دستی معرفی کنید. (حتی DHCP هم به آنها داده نشود)

Connection Limits:
در این بخش جهت جلوگیری از حملات و نفوذ در شبکه، تعداد Connection های کاربر که از شبکه داخلی به بیرون متصل شده اند را محدود کنید.


Kerio

Bandwidth Management & QOS Kerio Control:

در بخش مدیریت پهنای باند حد سرعت دسترسی کاربر به اینترنت را مشخص کنید. . قبل از انجام هر گونه تنظیمات، ابتدا در بخش Internet bandwidth با انتخاب گزینه Change باید Bandwidth آپلود و دانلود اینترنت خود را معرفی کنید.

بخش Bandwidth Management شامل یک صحفه چند ستونه:
🔹 Name: در این قسمت نام Rule قرار می گیرد.
🔹 Traffic: در این ستون نوع ترافیک مشخص می گردد.
🔹 Download: در این بخش حد سرعت دانلود را مشخص کنید. شامل گزینه های حداقل (Reserve at least) و حداکثر پهنای باند (Do not exceed) می باشد.
🔹 Upload: در این بخش حد سرعت آپلود را مشخص کنید. شامل گزینه های حداقل (Reserve at least) و حداکثر پهنای باند (Do not exceed) می باشد.
🔹 Interface: قانون ایجاد شده بر روی تمامی Inerface های اینترنت اعمال گردد.
🔹 Valid time: می توانید برای یک کاربر خاص محدودیت زمانی ایجاد کنید. مثلا در بازه زمانی 10 صبح تا 12 ظهر از این Rule استفاده کند.
پیش فرض شامل گزینه های Always ، Upgrade Windows است ، البته می توانید در بخش Time Ranges یک Rule جدید تعیین و برای آن روز، ساعت … مشخص کنید.


Kerio

Content Filter Kerio Control:

مستحضر باشید که Rule ها از بالا به پایین اولویت اجرایی دارند و Rule با جزئیات بیشتر در بالای لیست Content Filter قرار می گیرد.

بخش Content Filter شامل یک صحفه چند ستونه:
🔹 Name: در این قسمت نام Rule قرار می گیرد.
🔹 Detected Content: محتوای مد نظر در ترافیک ها را مشخص می نماید.
🔹 Source:مبداء ترافیک را مشخص کنید. کلمه Any در این لیست به معنای همه می باشد. (Packet از هر نوع مبداء را باید بی خیال شود)
🔹 Action: نوشتن قانون در Content Filter با 2 کلمه Allow یا Deny انجام می شود. البته حالت سومی تحت نام Drop وجود دارد.
🔹 Valid time: می توانید برای یک کاربر خاص محدودیت زمانی ایجاد کنید. مثلا در بازه زمانی 10 صبح تا 12 ظهر از این Rule استفاده کند.
پیش فرض شامل گزینه های Always ، Upgrade Windows است ، البته می توانید در بخش Time Ranges یک Rule جدید تعیین و برای آن روز، ساعت … مشخص کنید.

مثلا فرض کنید قصد دارید سایت varzesh3.com را فیلتر کنید.
🔹 ابتدا با انتخاب گزینه Add نسبت به ایجاد یک Rule جدید اقدام کنید.
🔹 ستون Detected Content را انتخاب و بر روی URL Hostname کلیک کنید.
🔹 سایت www.varzesh3.com را در بخش Site تایپ و جهت کارایی بهتر و محدود شدن تمامی پروتکل ها از گزینه Hostname across all protocols استفاده کنید.
🔹 در مرحله بعد باید در ستون Source مبدا ترافیک را مشخص کنید. (که شامل آدرس IP خاص، گروهی از آدرس های IP و کابران … )


Kerio

Kerio Control Backup and Restore:
شرکت Kerio سرویسی تحت نام MyKerio Cloud دارد که اجازه می دهد مثلا Device ها را در Cloud مدیریت کنید .. Backup نگهدارید …

🔹 جهت بکاپ‌گیری در بخش مدیریتی Remote Services تب Configuration Backup را انتخاب کنید.
🔹 در مرحله بعد سرویس های MyKerio یا FTP را جهت بارگزاری فایل Backup مشخص کنید.


Kerio