Kerio Control
Konfigurace krok za krokem
Kerio Technologies
 2012 Kerio Technologies s.r.o. Všechna práva vyhrazena.
Tento manuál popisuje postup konfigurace lokální sítˇ
e s použitím produktu Kerio Control ve
verzi 7.3. Zmˇ
eny vyhrazeny.
Aktuální verzi produktu naleznete na WWW stránce
http://www.kerio.cz/cz/control/download, další dokumentaci na stránce
http://www.kerio.cz/cz/control/manual.
Obsah
1
Úvod . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2
Konfigurace sítˇ
e v centrále firmy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.1
Volba IP adres pro lokální sít’ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.2
Konfigurace sít’ových rozhraní internetové brány . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.3
Instalace Kerio Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.4
Rozhraní Kerio Control Administration a aktivace produktu . . . . . . . . . . . . . . . 10
2.5
Nastavení pˇ
ripojení a základních komunikaˇ
cních pravidel . . . . . . . . . . . . . . . . . 10
2.6
Nastavení DHCP serveru . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.7
Nastavení modulu DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.8
Certifikáty WWW rozhraní a SSL-VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.9
Mapování uživatelských úˇ
ct˚
u a skupin z Active Directory . . . . . . . . . . . . . . . . . . 13
2.10 Skupiny IP adres a ˇ
casové intervaly . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.11 Nastavení pravidel pro WWW . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.12 Nastavení pravidel pro FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2.13 Nastavení antivirové kontroly . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.14 Systém prevence útok˚
u . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.15 Zpˇ
rístupnˇ
ení lokálních služeb z Internetu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.16 Zabezpeˇ
cený pˇ
rístup vzdálených klient˚
u do lokální sítˇ
e . . . . . . . . . . . . . . . . . . . 18
2.17 Nastavení poˇ
cítaˇ
cu
˚ v lokální síti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2.18 Sledování statistik využívání Internetu a aktivit uživatel˚
u . . . . . . . . . . . . . . . . . 19
3
Konfigurace sítˇ
e v poboˇ
cce firmy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.1
Konfigurace sít’ových rozhraní internetové brány . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.2
Nastavení modulu DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
4
Propojení sítí centrály a poboˇ
cky
4.1
Konfigurace v centrále firmy
4.2
Konfigurace v poboˇ
cce firmy
4.3
Test funkˇ
cnosti VPN tunelu
A
Použitý software open source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
B
Právní doložka . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
.............................................
.............................................
.............................................
..............................................
3
4
22
23
23
24
Kapitola 1
Úvod
Tato pˇ
ríruˇ
cka popisuje konfiguraˇ
cní úkony, které je tˇ
reba provést pˇ
ri nasazení firewallu Kerio
Control v modelové síti. Uvažovaný model zohledˇ
nuje vˇ
etšinu požadavk˚
u, které vznikají pˇ
ri
použití tohoto produktu v reálném prostˇ
redí — pˇ
rístup z lokální sítˇ
e do Internetu, ochrana
sítˇ
e proti pr˚
uniku z Internetu, zpˇ
rístupnˇ
ení vybraných služeb z Internetu, ˇ
rízení pˇ
rístupu
uživatel˚
u ke službám v Internetu, automatická konfigurace poˇ
cítaˇ
cu
˚ v lokální síti, ovˇ
eˇ
rování
uživatel˚
u v doménˇ
e Active Directory, sledování statistik a aktivit uživatel˚
u atd.
Dalším požadavkem je propojení sítí v centrále a v poboˇ
cce firmy zabezpeˇ
ceným šifrovaným
kanálem (tzv. VPN tunel) a zabezpeˇ
cený pˇ
rístup klient˚
u do lokální sítˇ
e pˇ
res Internet s využitím
prostˇ
redk˚
u obsažených v Kerio Control.
Tato pˇ
ríruˇ
cka je koncipována jako návod pro rychlé nastavení. Podrobnˇ
ejší informace
k jednotlivým funkcím Kerio Control a konfiguraˇ
cním úkon˚
um naleznete v manuálu
Kerio Control — Pˇ
ríruˇ
cka administrátora, který je k dispozici na WWW stránce
http://www.kerio.cz/cz/control/manual.
Modelová konfigurace sítˇ
e
Konfiguraci Kerio Control popíšeme na modelovém pˇ
ríkladu sítˇ
e dle obrázku 1.1.
Obrázek 1.1
Modelová konfigurace sítˇ
e
4
Pro firewall (internetovou bránu) je vhodné vyhradit samostatný server. Tento server m˚
uže
být:
• Fyzický nebo virtuální server s operaˇ
cním systémem Windows.
Použijeme Kerio Control v edici pro systém Windows, která se instaluje do
systému jako aplikace. Firewall je možné provozovat spoleˇ
cnˇ
e s dalšími serverovými
aplikacemi — napˇ
r. poštovním a groupwarovým serverem Kerio Connect. Poˇ
cítaˇ
c
s firewallem by však nemˇ
el být využíván jako uživatelská pracovní stanice.
Nasazení na server se systémem Windows je vhodné zejména v menších sítích, kde je
k dispozici pouze jeden server, nebo pokud chceme aplikací Kerio Control nahradit
stávající softwarový firewall ˇ
ci proxy server.
• Fyzický nebo virtuální server bez operaˇ
cního systému.
Je-li k dispozici vyhrazený fyzický nebo virtuální server, na kterém nebudou
provozovány další aplikace, pak doporuˇ
cujeme použít Kerio Control v edici Appliance, což je firewall vˇ
cetnˇ
e hostitelského operaˇ
cního systému. Ve srovnání s edicí
pro systém Windows nabízí tato edice na stejném hardware vyšší výkon a propustnost
sítˇ
e. Rovnˇ
ež jsou vylouˇ
ceny kolize s nekompatibilními aplikacemi nebo systémovými
službami. Na daném systému však již nelze provozovat spoleˇ
cnˇ
e s firewallem další
aplikace.
Pro virtualizaˇ
cní platformy VMware a Parallels jsou k dispozici hotová virtuální
zaˇ
rízení, které staˇ
cí importovat a spustit.
• Hardwarové zaˇ
rízení Kerio Control Box.
Toto zaˇ
rízení sestává z Kerio Control v edici Appliance nainstalované na speciálním
optimalizovaném hardwaru. V malých sítích m˚
uže zároveˇ
n sloužit jako switch pro
pˇ
ripojení lokálních stanic.
Zaˇ
rízení Kerio Control je k dispozici ve dvou variantách, které se liší výkonem
a poˇ
ctem sít’ových port˚
u.
5
Kapitola 2
Konfigurace sítˇ
e v centrále firmy
Tato kapitola obsahuje podrobný postup konfigurace lokální sítˇ
e a nastavení Kerio Control
v centrále firmy. Stejný postup lze použít i pˇ
ri konfiguraci sítˇ
e v poboˇ
cce firmy (s nˇ
ekolika
drobnými odlišnostmi, které jsou popsány v kapitole 3).
Pˇ
redpokládejme, že v lokální síti centrály firmy je vytvoˇ
rena Active Directory doména
firma.cz a všechny poˇ
cítaˇ
ce v síti jsou ˇ
cleny této domény.
2.1 Volba IP adres pro lokální sít’
V našem pˇ
ríkladu budeme uvažovat privátní sítˇ
e pˇ
ripojené k Internetu pˇ
res jednu veˇ
rejnou IP
adresu. Celá lokální sít’ bude „skryta“ za touto IP adresou.
Pro lokální sítˇ
e, které nejsou souˇ
cástí Internetu (tzv. privátní sítˇ
e), jsou vyhrazeny speciální
rozsahy IP adres. Tyto adresy se nesmˇ
ejí vyskytovat nikde v Internetu (internetové smˇ
erovaˇ
ce
jsou zpravidla nastaveny tak, aby všechny pakety s tˇ
emito adresami zahazovaly).
Pro privátní sítˇ
e jsou vyhrazeny tyto rozsahy IP adres:
1.
2.
3.
10.x.x.x, maska subsítˇ
e 255.0.0.0
172.16.x.x, maska subsítˇ
e 255.240.0.0
192.168.x.x, maska subsítˇ
e 255.255.0.0
Upozornˇ
ení:
Použití jiných IP adres (mimo výše uvedené rozsahy) v privátní síti m˚
uže mít za následek
nedostupnost urˇ
citých ˇ
cástí Internetu (tˇ
ech subsítí, které mají shodou okolností stejné IP
adresy)!
Pro lokální sít’ centrály firmy zvolíme privátní IP adresy 192.168.1.x s maskou subsítˇ
e
255.255.255.0 (IP subsít’ 192.168.1.0), pro sít’ poboˇ
cky IP adresy 10.1.1.x s maskou
255.255.255.0 (IP subsít’ 10.1.1.0).
Nastavení IP adres v modelové síti
Poˇ
cítaˇ
cu
˚m v lokální síti pˇ
ridˇ
elíme IP adresy následovnˇ
e:
• Doménový server / FTP server bude mít statickou IP adresu 192.168.1.2 (zejména
z d˚
uvodu mapování komunikace z Internetu se jeho IP adresa nesmí mˇ
enit).
• Sít’ová tiskárna bude mít pevnou IP adresu pˇ
ridˇ
elovanou protokolem DHCP (rezervace
v DHCP serveru). Tiskárna nem˚
uže mít dynamickou IP adresu — kdyby se její adresa
zmˇ
enila, byla by pro klienty nedostupná.
6
2.2 Konfigurace sít’ových rozhraní internetové brány
Poznámka:
V principu nezáleží na tom, zda je IP adresa tiskárny nastavena ruˇ
cnˇ
e nebo je
tiskárnˇ
e pˇ
ridˇ
elována pevná adresa DHCP serverem. Pˇ
ri použití DHCP serveru odpadá
konfigurace samotné tiskárny a její adresa je vidˇ
et v seznamu pˇ
ridˇ
elených adres DHCP
serveru. Naopak pˇ
ri ruˇ
cní konfiguraci adresy bude tiskárna nezávislá na dostupnosti
DHCP serveru.
• Pracovním stanicím v lokální síti budou pˇ
ridˇ
elovány dynamické IP adresy (výraznˇ
e
jednodušší konfigurace).
Obrázek 2.1
Modelová konfigurace sítˇ
e s pˇ
ridˇ
elenými IP adresami
Poznámky:
1.
DNS doména v lokální síti musí být shodná s doménou Active Directory, tj. firma.cz.
2.
V síti poboˇ
cky firmy budou použity IP adresy 10.1.1.x s maskou subsítˇ
e 255.255.255.0.
V této síti není použita doména Active Directory, vytvoˇ
ríme zde pouze lokální DNS doménu
pobocka.firma.cz.
2.2 Konfigurace sít’ových rozhraní internetové brány
Internetová brána je poˇ
cítaˇ
c (server), který spojuje lokální sít’ a Internet. V našem pˇ
ríkladu
se jedná o server se systémem Windows, na který bude nasazen firewall Kerio Control (viz
kapitola 2.3) a zároveˇ
n také Kerio Connect, který bude sloužit jako poštovní a groupwarový
server.
7
Konfigurace sítˇ
e v centrále firmy
Rozhraní pˇ
ripojené k Internetu
Rozhraní pˇ
ripojené k Internetu nastavíme dle informací od poskytovatele internetového
pˇ
ripojení (ISP). Vˇ
etšina poskytovatel˚
u používá automatickou konfiguraci parametr˚
u TCP/IP
protokolem DHCP. V pˇ
rípadˇ
e ruˇ
cní konfigurace jsou pro správnou funkci jsou nezbytnˇ
e nutné
tyto parametry: IP adresa, maska subsítˇ
e, výchozí brána a adresa alespoˇ
n jednoho DNS serveru.
Internetové rozhraní firewallu v centrále firmy by mˇ
elo mít pevnou IP adresu, aby se
k nˇ
emu mohl pˇ
ripojovat server poboˇ
cky firmy a VPN klienti (viz požadavky v kapitole 1).
Pˇ
redpokládejme, že ISP pˇ
ridˇ
elil IP adresu 85.17.210.230. Rovnˇ
ež je vhodné, aby této IP
adrese bylo pˇ
riˇ
razeno DNS jméno (napˇ
r. server.firma.cz) — jinak by všichni VPN klienti
museli zadávat server IP adresou.
Funkˇ
cnost internetového pˇ
ripojení provˇ
eˇ
ríme napˇ
r. pˇ
ríkazem ping nebo otevˇ
rením nˇ
ejaké
WWW stránky v prohlížeˇ
ci.
Rozhraní pˇ
ripojené k lokální síti
Na rozhraní pˇ
ripojeném k lokální síti nastavíme tyto parametry:
• IP adresa — zvolíme IP adresu 192.168.1.1 (viz kapitola 2.1).
• maska subsítˇ
e — 255.255.255.0
• výchozí brána — na tomto rozhraní nesmí být nastavena žádná výchozí brána!
• DNS server — na tomto rozhraní by nemˇ
el být nastaven žádný DNS server.
2.3 Instalace Kerio Control
Instalaci produktu Kerio Control provedeme podle zvoleného typu serveru.
Instalace na systém Windows
Spustíme instalaˇ
cní program Kerio Control. Zvolíme Úplnou instalaci.
Pokud instalaˇ
cní program detekuje službu Sdílení pˇ
ripojení k Internetu (Internet Connection
Sharing), pak striktnˇ
e doporuˇ
cujeme tuto službu zakázat, jinak m˚
uže docházet ke kolizím
a Kerio Control nebude fungovat správnˇ
e. Rovnˇ
ež doporuˇ
cujeme zakázat i další kolizní
systémové služby — Universal Plug and Play Device Host a SSDP Discovery Service.
Dále nastavíme heslo pro administrátorský pˇ
rístup (pro uživatelský úˇ
cet Admin). Pokud
provádíme instalaci vzdálenˇ
e (napˇ
r. prostˇ
rednictvím Vzdálené plochy), zaškrtneme
odpovídající volbu, aby po dokonˇ
cení instalace nedošlo k blokování sít’ové komunikace.
Za normálních okolností není tˇ
reba po dokonˇ
cení instalace poˇ
cítaˇ
c restartovat (restart
m˚
uže být vyžadován, pokud instalaˇ
cní program pˇ
repisuje sdílené soubory, které jsou právˇ
e
8
2.3 Instalace Kerio Control
používány). Po dokonˇ
cení instalace se automaticky spustí Kerio Control Engine, tj. vlastní
výkonné jádro programu (systémová služba), a také Kerio Control Engine Monitor.
Instalace Software Appliance
Kerio Control v edici softwarového zaˇ
rízení je distribuován ve formˇ
e ISO obrazu instalaˇ
cního
CD, ze kterého lze zavést systém a nainstalovat firewall na fyzický nebo virtuální poˇ
cítaˇ
c.
ISO obraz instalaˇ
cního CD m˚
užeme vypálit na fyzické CD a z tohoto CD spustit instalaci
systému na zvoleném cílovém poˇ
cítaˇ
ci (fyzickém nebo virtuálním). V pˇ
rípadˇ
e virtuálního
poˇ
cítaˇ
ce lze ISO obraz také pˇ
rímo pˇ
ripojit jako virtuální CD mechaniku, bez nutnosti
vypalování CD.
Po instalaci bude poˇ
cítaˇ
c restartován a následnˇ
e automaticky spuštˇ
en jednoduchý pr˚
uvodce
pro nastavení základních parametr˚
u firewallu — sít’ových rozhraní, vzdálené správy, hesla
uživatele Admin atd. Všechna ostatní nastavení lze provést vzdálenˇ
e prostˇ
rednictvím
webového rozhraní Kerio Control Administration.
Instalace VMware Virtual Appliance
Podle typu produktu VMware (viz výše) použijeme odpovídající balík virtuálního zaˇ
rízení:
• V pˇ
rípadˇ
e produkt˚
u VMware Server, Workstation, Player a Fusion stáhneme distribuˇ
cní
balík ve formátu VMX (*.zip), rozbalíme jej a otevˇ
reme soubor s pˇ
ríponou .vmx.
• Do VMware ESX/ESXi m˚
užeme pˇ
rímo importovat virtuální zaˇ
rízení ze zadané URL
adresy OVF souboru — napˇ
r.:
http://download.kerio.com/cz/dwn/control/
kerio-control-appliance-1.2.3-4567-linux.ovf
VMware ESX/ESXi si automaticky stáhne daný konfiguraˇ
cní OVF soubor a odpovídající
obraz disku (soubor s pˇ
ríponou .vmdk).
Po prvním startu virtuálního poˇ
cítaˇ
ce bude automaticky spuštˇ
en jednoduchý pr˚
uvodce pro
nastavení základních parametr˚
u firewallu — sít’ových rozhraní, ˇ
casu a ˇ
casové zóny atd. Ostatní
nastavení lze provést vzdálenˇ
e prostˇ
rednictvím webového rozhraní Kerio Control Administration.
Instalace Virtual Appliance for Parallels
Stáhneme distribuˇ
cní balík ve formátu Zip (*.zip), rozbalíme jej a otevˇ
reme v pˇ
ríslušném
produktu Parallels.
Po prvním startu virtuálního poˇ
cítaˇ
ce bude automaticky spuštˇ
en jednoduchý pr˚
uvodce pro
nastavení základních parametr˚
u firewallu — sít’ových rozhraní, ˇ
casu a ˇ
casové zóny atd. Ostatní
9
Konfigurace sítˇ
e v centrále firmy
nastavení lze provést vzdálenˇ
e prostˇ
rednictvím webového rozhraní Kerio Control Administration.
Instalace zaˇ
rízení Kerio Control Box
Zaˇ
rízení Kerio Control Box pˇ
ripojíme k napájení pomocí pˇ
riloženého napájecího adaptéru.
První sít’ový port (ˇ
c. 1) pˇ
ripojíme k Internetu (tzn. propojíme jej se smˇ
erovaˇ
cem, kabelovým
modemem, ADSL modemem apod.) a poslední sít’ový port (ˇ
c. 4 nebo ˇ
c. 8 — v závislosti na
modelu zaˇ
rízení) pˇ
ripojíme k lokální síti, resp. pˇ
rímo poˇ
cítaˇ
ci, ze kterého budeme provádˇ
et
poˇ
cáteˇ
cní konfiguraci.
Zapneme zaˇ
rízení a poˇ
cítaˇ
c, ze kterého jej chceme spravovat, a pˇ
ripojíme se k webovému
rozhraní Kerio Control Administration na výchozí IP adrese zaˇ
rízení (10.10.10.1).
Instalace zaˇ
rízení Kerio Control Box je popsána v samostatném manuálu Kerio Control Box Instalaˇ
cní pˇ
ríruˇ
cka, který je souˇ
cástí balení.
2.4 Rozhraní Kerio Control Administration a aktivace produktu
Ve WWW prohlížeˇ
ci (Internet Explorer, Firefox nebo Safari) otevˇ
reme webové rozhraní Kerio
Control Administration. Toto rozhraní je k dispozici na lokální IP adrese firewallu, tedy v našem
pˇ
ríkladu:
https://192.168.1.1:4081/admin/
Pˇ
ri prvním pˇ
ripojení k tomuto rozhraní se automaticky spustí pr˚
uvodce aktivací produktu.
V tomto pr˚
uvodci m˚
užeme:
• Zaregistrovat produkt se zakoupeným licenˇ
cním ˇ
císlem,
• Importovat soubor s licenˇ
cním klíˇ
cem (license.key — zálohovaný z pˇ
redchozí
instalace),
• Zaregistrovat zkušební verzi (registrace umožˇ
nuje testovat také Kerio Web Filter
a aktualizovat integrovaný antivirus a systém detekce útok˚
u),
• Aktivovat neregistrovanou zkušební verzi.
Po úspˇ
ešné aktivaci budeme vyzváni k zadání hesla uživatele Admin — hlavního správce
firewallu. Tímto jménem a heslem se pak pˇ
rihlásíme do rozhraní Kerio Control Administration.
2.5 Nastavení pˇ
ripojení a základních komunikaˇ
cních pravidel
Pˇ
rihlásíme se do rozhraní Kerio Control Administration (použijeme jméno Admin a heslo
zadané v pr˚
uvodci aktivací produktu). Po prvním pˇ
rihlášení se automaticky zobrazí okno Konfiguraˇ
cního asistenta.
10
2.6 Nastavení DHCP serveru
Pr˚
uvodce pˇ
ripojením
Nejprve spustíme Pr˚
uvodce pˇ
ripojením (první odkaz v oknˇ
e Konfiguraˇ
cního asistenta).
V pr˚
uvodci nastavíme:
• Typ internetového pˇ
ripojení (1. krok pr˚
uvodce) — zvolíme trvalé pˇ
ripojení jednou
internetovou linkou.
• Internetové rozhraní (2. krok pr˚
uvodce) — vybereme adaptér pˇ
ripojený k Internetu.
• Rozhraní pro lokální sít’ (3. krok pr˚
uvodce) — vybereme adaptér pˇ
ripojený k lokální
síti.
Pr˚
uvodce komunikaˇ
cními pravidly
Po nastavení pˇ
ripojení spustíme Pr˚
uvodce komunikaˇ
cními pravidly (druhý odkaz v oknˇ
e Konfiguraˇ
cního asistenta). V pr˚
uvodci nastavíme:
• Pˇ
rístup ke službám Kerio Control — povolíme všechny tˇ
ri služby: Kerio VPN (pro
propojení sítí centrály a poboˇ
cky a pro pˇ
ripojování vzdálených klient˚
u — viz
kapitola 4), Clientless SSL-VPN (vzdálený pˇ
rístup ke sdíleným složkám a soubor˚
um
v síti prostˇ
rednictvím WWW prohlížeˇ
ce) a Kerio Control Administration (vzdálená
správa Kerio Control).
• Mapování dalších služeb — pˇ
ridáme mapování služby SMTP na firewallu.
V tomto kroku pr˚
uvodce m˚
užeme také nastavit mapování FTP serveru v lokální síti.
Pro vˇ
etší názornost však použijeme druhý zp˚
usob — definici vlastního komunikaˇ
cního
pravidla. Podrobnosti viz kapitola 2.15.
Poznámka:
Na firewallu poboˇ
cky nemá smysl povolovat žádné služby (server poboˇ
cky má dynamickou
veˇ
rejnou IP adresu).
2.6 Nastavení DHCP serveru
V rozhraní Kerio Control Administration zvolíme sekci Konfigurace → DHCP server.
Pr˚
uvodce pˇ
ripojením nastavil DHCP server do režimu automatické konfigurace. Proto staˇ
cí
pouze definovat požadované rezervace.
V horní ˇ
cásti okna (Rozsahy adres) klikneme na rozsah adres pro lokální sít’ a v dolní ˇ
cásti okna
(Pˇ
ridˇ
elené adresy a rezervace) pˇ
ridáme rezervaci pro sít’ovou tiskárnu. Rezervovaná IP adresa
nemusí být z výše uvedeného rozsahu, musí ale náležet do zvolené subsítˇ
e (v tomto pˇ
ríkladu
rezervujeme adresu 192.168.1.3). Pro vytvoˇ
rení rezervace je tˇ
reba znát hardwarovou (MAC)
adresu tiskárny.
11
Konfigurace sítˇ
e v centrále firmy
Tip:
Neznáte-li MAC adresu tiskárny, nevytváˇ
rejte rezervaci ruˇ
cnˇ
e. Po aktivaci DHCP serveru
pˇ
ripojte tiskárnu do sítˇ
e. Tiskárnˇ
e bude pˇ
ridˇ
elena IP adresa z definovaného rozsahu (viz
výše). V pˇ
rehledu pˇ
ridˇ
elených IP adres tuto adresu oznaˇ
cte a stisknˇ
ete tlaˇ
cítko Rezervovat.
Zobrazí se dialog pro rezervaci adresy, ve kterém bude již vyplnˇ
ena pˇ
ríslušná MAC adresa.
ˇte pˇ
Zmˇ
en
ridˇ
elenou IP adresu na požadovanou (192.168.1.3), pˇ
rípadnˇ
e popis, a stisknˇ
ete
tlaˇ
cítko OK. Pak tiskárnu restartujte. Po restartu pˇ
ridˇ
elí DHCP server tiskárnˇ
e správnou IP
adresu.
Poznámka:
Pro automatickou konfiguraci sít’ových zaˇ
rízení lze použít i jiný DHCP server v lokální
síti. V parametrech pro pˇ
ríslušný rozsah adres na tomto DHCP serveru nastavíme jako
adresu výchozí brány a DNS serveru IP adresu rozhraní firewallu pˇ
ripojeného k lokální síti
(192.168.1.1).
V tomto pˇ
rípadˇ
e je však nutné DHCP server v Kerio Control vypnout!
2.7 Nastavení modulu DNS
V sekci Konfigurace → DNS ponecháme výchozí nastavení (povolena služba DNS a jednoduchý
pˇ
revod DNS jmen s využitím souboru hosts a tabulky pˇ
ridˇ
elených adres DHCP serveru)
a provedeme upˇ
resˇ
nující nastavení:
• Doplníme jméno lokální DNS domény — firma.cz.
• Zapneme volbu Použít nastavení pro pˇ
redávání DNS dotaz˚
u. Pˇ
ridáme pravidlo pro
pˇ
redávání dotaz˚
u do Active Directory, tj. všech dotaz˚
u na jména zaˇ
cínající znakem _
(podtržítko), na doménový server v lokální síti. Toto je nutné pro správnou komunikaci
poˇ
cítaˇ
cu
˚ v lokální síti s doménovým serverem.
DNS jméno
_*
Tabulka 2.1
Pˇ
redat DNS server˚
um
192.168.1.2
Pravidlo pro pˇ
redávání DNS dotaz˚
u do Active Directory
Dále bude potˇ
reba pˇ
ridat pravidla pro správné pˇ
redávání dotaz˚
u mezi sítˇ
emi centrály
a poboˇ
cky firmy. Toto nastavení bude podrobnˇ
e popsáno v kapitolách 4.1 a 4.2.
2.8 Certifikáty WWW rozhraní a SSL-VPN
WWW rozhraní Kerio Control umožˇ
nuje vzdálenou správu firewallu prostˇ
rednictvím WWW
prohlížeˇ
ce (Kerio Control Administration) a prohlížení statistik využívání Internetu (Kerio
StaR). Dále zajišt’uje zobrazování informací o zákazech pˇ
ri pokusu o pˇ
rístup na zakázané
12
2.9 Mapování uživatelských úˇ
ct˚
u a skupin z Active Directory
WWW stránky (viz kapitola 2.11) a uživatelé jej rovnˇ
ež mohou využít pro nastavení nˇ
ekterých
parametr˚
u svých uživatelských úˇ
ct˚
u. Rozhraní Clientless SSL-VPN slouží pro zabezpeˇ
cený
vzdálený pˇ
rístup ke sdíleným soubor˚
um v lokální síti prostˇ
rednictvím WWW prohlížeˇ
ce.
Pro správnou funkci zabezpeˇ
cených webových služeb je vyžadován SSL certifikát, který
prokazuje totožnost serveru. Certifikáty pro jednotlivá webová rozhraní vytvoˇ
ríme v sekci
Konfigurace → Další volby, záložka WWW rozhraní , resp. SSL-VPN. V upˇ
resˇ
nujících nastaveních
pro každé rozhraní zvolíme Zmˇ
enit SSL certifikát a Vytvoˇ
rit certifikát.
Jméno serveru, na které bude certifikát vystaven, by mˇ
elo být shodné se jménem serveru
vˇ
cetnˇ
e domény — v našem pˇ
ríkladu server.firma.cz. Pro pˇ
rístup k webovým rozhraním
Kerio Control z Internetu musí pro toto jméno existovat záznam také ve veˇ
rejném DNS.
Tip:
Vytvoˇ
rené SSL certifikáty doporuˇ
cujeme nahradit SSL certifikátem vystaveným nˇ
ekterou
veˇ
rejnou certifikaˇ
cní autoritou (pro WWW rozhraní i rozhraní Clientless SSL-VPN lze použít
stejný certifikát — není nutné platit za dva certifikáty).
2.9 Mapování uživatelských úˇ
ct˚
u a skupin z Active Directory
Pro použití uživatelských úˇ
ct˚
u z Active Directory nastavíme mapování pˇ
ríslušné domény
a definujeme šablonu, kterou nastavíme všem uživatel˚
um parametry specifické pro Kerio Control (uživatelská práva, kvóty objemu pˇ
renesených dat atd.).
Mapování domény
Mapování Active Directory domény nastavíme v sekci Uživatelé a skupiny → Uživatelé, záložka
Active Directory. Firewall musí být ˇ
clenem pˇ
ríslušné domény. Pro mapování uživatelských úˇ
ct˚
u
pak staˇ
cí zadat jméno a heslo libovolného uživatele s právy pro ˇ
ctení databáze Active Directory
(toto právo mají všichni doménoví uživatelé).
Definice šablony uživatelských úˇ
ct˚
u
V záložce Uživatelské úˇ
cty vybereme mapovanou Active Directory doménu firma.cz. Pokud je
mapování nastaveno správnˇ
e, budou zde zobrazeny všechny uživatelské úˇ
cty z této domény.
Tlaˇ
cítkem Šablona otevˇ
reme dialog pro definici šablony uživatelských úˇ
ct˚
u. Požadavkem je
umožnit uživatel˚
um vzdálený pˇ
rístup do lokální sítˇ
e prostˇ
rednictvím aplikace Kerio VPN Client
nebo rozhraní Kerio Clientless SSL-VPN. V záložce Práva nastavíme odpovídající uživatelská
práva.
Tip:
Nechceme-li nˇ
ekteré doménové úˇ
cty používat, m˚
užeme je v Kerio Control zakázat
a zakázané úˇ
cty skrýt. Úˇ
cty budou zakázány pouze v rámci Kerio Control, v doménˇ
e
z˚
ustanou aktivní.
13
Konfigurace sítˇ
e v centrále firmy
2.10 Skupiny IP adres a ˇ
casové intervaly
V sekci Konfigurace → Definice → Skupiny IP adres vytvoˇ
ríme skupinu adres Pˇ
rístup k emailu, kterou použijeme pro omezení pˇ
rístupu k elektronické poštˇ
e (viz kapitola 2.15). Tato
skupina bude tvoˇ
rena dvˇ
ema IP adresami poˇ
cítaˇ
cu
˚ 123.23.32.123, 50.60.70.80 a celou
subsítí 195.95.95.128 s maskou 255.255.255.248.
Poznámka:
Pˇ
ri definici první položky musíme zadat jméno (nové) skupiny, pro pˇ
ridání dalších položek již
staˇ
cí vybrat existující skupinu.
ˇ
Obdobným zp˚
usobem vytvoˇ
ríme v sekci Konfigurace → Definice → Casové
intervaly ˇ
casový
interval pro omezení pˇ
rístupu v pracovní dobˇ
e (pondˇ
elí — pátek 8:00 — 16:30 hod., sobota
a nedˇ
ele 8:00 — 12:00 hod.).
V obou pˇ
rípadech m˚
užeme v položce Platnost využít pˇ
reddefinované skupiny dn˚
u v týdnu
(Pracovní dny a Víkend) — nemusíme zaškrtávat jednotlivé dny.
2.11 Nastavení pravidel pro WWW
Požadavky
Pˇ
rístup na WWW stránky má být omezen následujícím zp˚
usobem:
• filtrování reklam na WWW stránkách,
• zákaz pˇ
rístupu na stránky s erotickým obsahem,
• zákaz pˇ
rístupu na stránky s nabídkou pracovních míst, tyto stránky musejí z˚
ustat
pˇ
rístupné ˇ
clen˚
um personálního oddˇ
elení,
• pˇ
ri pˇ
rístupu na WWW bude vyžadováno ovˇ
eˇ
rení uživatele (lze tak lépe sledovat, jaké
stránky kteˇ
rí uživatelé navštˇ
evují).
Filtrování reklam a zákaz pˇ
rístupu na stránky urˇ
citých kategorií
V sekci Konfigurace → Filtrování obsahu → Pravidla, záložka Pravidla pro URL m˚
užeme využít
pˇ
reddefinovaná základní pravidla:
• Pravidla Allow automatic updates for Kerio software (povolit automatické aktualizace
produkt˚
u Kerio Technologies) a Allow automatic updates and MS Windows activation
(povolit automatické aktualizace a aktivaci systému MS Windows) doporuˇ
cujeme
14
2.11 Nastavení pravidel pro WWW
ponechat zapnutá, aby fungovaly automatické aktualizace Kerio Control a aktualizace
a aktivace operaˇ
cního systému serveru.
• Pravidla Allow popular search engines (povolit populární internetové vyhledávaˇ
ce)
a Remove advertisement and banners (blokovat reklamy a bannery) m˚
užeme použít
dle uvážení.
• Pravidlo Deny sites rated in Kerio Web Filter categories (zakázat stránky zaˇ
razené
modulem Kerio Web Filter do vybraných kategorií) m˚
užeme využít k blokování
pˇ
rístupu na stránky s erotickým obsahem všem uživatel˚
um.
V definici pravidla musíme (tlaˇ
cítkem Vybrat hodnocení...) zvolit kategorie modulu
Kerio Web Filter, které chceme blokovat. Pro zakázání pˇ
rístupu na stránky s erotickým
obsahem vybereme všechny kategorie ve skupinˇ
e Pornografie / Nahota.
V záložce Upˇ
resnˇ
ení zadáme text, který se uživateli zobrazí pˇ
ri pokusu o pˇ
rístup na
zakázanou stránku, pˇ
rípadnˇ
e nastavíme pˇ
resmˇ
erování na jinou stránku.
Omezení pˇ
rístupu na stránky s nabídkami zamˇ
estnání
Omezení pˇ
rístupu na WWW stránky s nabídkou pracovních míst realizujeme dvˇ
ema pravidly:
1.
Pˇ
ridáme pravidlo povolující skupinˇ
e uživatel˚
u Personální oddˇ
elení pˇ
rístup na stránky
kategorizované modulem Kerio Web Filter jako Nabídky zamˇ
estnání.
2.
Za toto pravidlo pˇ
ridáme pravidlo zakazující pˇ
rístup na tutéž kategorii stránek všem
uživatel˚
um.
V tomto pravidle je vhodné nevyžadovat ovˇ
eˇ
rení uživatele. Tím zabráníme pˇ
resmˇ
erování
prohlížeˇ
ce uživatele na pˇ
rihlašovací stránku pˇ
red zobrazením informace o zákazu, pokud
není uživatel dosud na firewallu ovˇ
eˇ
ren.
Vyžadování ovˇ
eˇ
rení uživatele pˇ
ri pˇ
rístupu na WWW stránky
Posledním požadavkem omezení pˇ
rístupu na WWW stránky je vyžadovat ovˇ
eˇ
rení uživatele pˇ
ri
pˇ
rístupu na libovolnou stránku. Tuto funkci aktivujeme pˇ
ríslušnou volbou v sekci Uživatelé
a skupiny → Uživatelé, záložka Volby pro ovˇ
eˇ
rování .
Ovˇ
eˇ
rení uživatele probíhá pˇ
resmˇ
erováním na pˇ
rihlašovací stránku WWW rozhraní Kerio Control. WWW rozhraní musí být povoleno a správnˇ
e nastaveny jeho parametry (viz kapitola 2.8).
Po zadání platného uživatelského jména a hesla dojde k pˇ
resmˇ
erování na stránku, kterou
uživatel p˚
uvodnˇ
e požadoval.
15
Konfigurace sítˇ
e v centrále firmy
2.12 Nastavení pravidel pro FTP
Požadavky
Používání FTP bude omezeno následujícím zp˚
usobem:
• zákaz pˇ
renosu hudebních soubor˚
u formátu MP3
• zákaz pˇ
renosu videa (*.AVI) v pracovní dobˇ
e
• zákaz uploadu (ukládání soubor˚
u na FTP servery) — zabránˇ
ení úniku informací z firmy
Omezení FTP s využitím pˇ
reddefinovaných pravidel
Omezení FTP nastavíme v sekci Konfigurace → Filtrování obsahu → Pravidla pro FTP. Pro
všechna požadovaná omezení m˚
užeme využít pˇ
reddefinovaných pravidel:
• Pravidla Forbid *.mpg, *.mp3 and *.mpeg files a Forbid upload máme pˇ
rímo k dispozici.
• Pravidlo Forbid *.avi files upravíme tak, že v záložce Upˇ
resnˇ
ení nastavíme ˇ
casovou
platnost v intervalu Pracovní doba (viz kapitola 2.10).
FTP server v lokální síti
V našem pˇ
ríkladu chceme zpˇ
rístupnit z Internetu FTP server v lokální síti. Pravidlo Forbid
upload zakazuje upload také na tento server, což není žádoucí. Proto musíme pˇ
red pravidlo
Forbid upload pˇ
ridat pravidlo, které povoluje upload na tento FTP server:
• V záložce Obecné nastavíme: „pokud libovolný uživatel pˇ
ristupuje na FTP server
192.168.1.10, pak povolit.“
• V záložce Upˇ
resnˇ
ení upˇ
resníme, že se jedná o typ operace Upload a libovolný soubor
(*).
Poznámky:
1.
Jako IP adresa FTP serveru musí být uvedena adresa poˇ
cítaˇ
ce v lokální síti, na kterém
FTP server skuteˇ
cnˇ
e bˇ
eží. Nelze uvést vnˇ
ejší IP adresu firewallu, z níž je FTP server
mapován (pokud FTP server nebˇ
eží pˇ
rímo na firewallu)! Pˇ
reklad IP adres se provádí pˇ
red
zpracováním pravidel pro filtrování obsahu.
2.
Tímto zp˚
usobem lze také povolit upload na konkrétní FTP server v Internetu, zatímco na
všechny ostatní FTP servery bude zakázán.
16
2.13 Nastavení antivirové kontroly
2.13 Nastavení antivirové kontroly
Chceme-li použít nˇ
ekterý z podporovaných externích antivir˚
u, nejprve jej nainstalujeme.
Antivirový program Sophos je souˇ
cástí Kerio Control a pro jeho ˇ
cinnost je tˇ
reba pouze speciální
licence. Ideální je použít kombinaci integrovaného a externího antiviru (tzv. duální antivirová
kontrola).
V sekci Konfigurace → Filtrování obsahu → Antivirus, záložka Antivirový program, nastavíme
požadované antiviry, pˇ
rípadnˇ
e upˇ
resˇ
nující volby pro vybraný externí antivirus. Kompletní
seznam podporovaných antivir˚
u a podrobné návody pro jejich nastavení naleznete na adrese
http://www.kerio.cz/cz/control/third-party#av.
Kerio Control umožˇ
nuje zvolit protokoly, na které má být antivirová kontrola implicitnˇ
e
aplikována. Záložky Kontrola HTTP a FTP, Kontrola e-mailu a Kontrola SSL-VPN umožˇ
nují
podrobnˇ
ejší nastavení parametr˚
u pro kontrolu jednotlivých protokol˚
u. Výchozí nastavení je
zpravidla vyhovující.
2.14 Systém prevence útok˚
u
V sekci Konfigurace → Zásady komunikace → Prevence útok˚
u povolíme detekci známých
typ˚
u sít’ových útok˚
u pˇ
richázejících z Internetu a známých útoˇ
cník˚
u. Výchozí nastavení je
optimalizované a zpravidla jej není tˇ
reba mˇ
enit. Je však doporuˇ
ceno pravidelnˇ
e kontrolovat
záznam Security a vyhodnocovat pˇ
rípadné falešné poplachy.
Podrobnosti
viz
manuál
Kerio
(http://www.kerio.cz/cz/control/manual).
Control
—
Pˇ
ríruˇ
cka
administrátora
2.15 Zpˇ
rístupnˇ
ení lokálních služeb z Internetu
V sekci Konfigurace → Zásady komunikace → Komunikaˇ
cní pravidla pˇ
ridáme pravidla pro
služby, které mají být pˇ
rístupné z Internetu. Pravidla pro mapování služeb by mˇ
ela být
umístˇ
ena vždy na zaˇ
cátku tabulky komunikaˇ
cních pravidel.
• Zpˇ
rístupnˇ
ení (mapování) lokálního FTP serveru — pˇ
redpokládáme pouze
nezabezpeˇ
cený pˇ
rístup, aby bylo možné komunikaci filtrovat a provádˇ
et antivirovou
kontrolu.
Jméno
Zdroj
Cíl
Služba
Pˇ
rístup k FTP serveru Libovolný Firewall FTP
Tabulka 2.2
Akce
Pˇ
reklad
Povolit Mapování 192.168.1.2
Zpˇ
rístupnˇ
ení lokálního FTP serveru z Internetu
• Pˇ
rístup ke službám poštovního serveru (kromˇ
e SMTP) — povolíme pouze
z požadovaných IP adres v ˇ
casovém intervalu Pracovní doba.
17
Konfigurace sítˇ
e v centrále firmy
Jméno
Zdroj
Pˇ
rístup k e-mailu Skupina adres
Pˇ
rístup k e-mailu
Cíl
Služba
Firewall IMAP
IMAPS
POP3
POP3S
Akce
Povolit
Pˇ
reklad
ˇ
Casová
platnost
Pracovní doba
Tabulka 2.3 Povolení pˇ
rístupu ke službám poštovního serveru na firewallu
Poznámky:
1.
Toto pravidlo povoluje pˇ
rístup ke službám IMAP i POP3 v zabezpeˇ
cené
i nezabezpeˇ
cené verzi — klienti si mohou vybrat, jakou službu budou využívat.
2.
Služba SMTP byla mapována pomocí pr˚
uvodce komunikaˇ
cními pravidly (viz
kapitola 2.5) — pˇ
ríslušné pravidlo v tomto okamžiku již existuje.
3.
Poslat e-mail do lokální domény smí kdokoliv, proto nelze ke službˇ
e SMTP
omezovat pˇ
rístup pouze z urˇ
citých IP adres.
2.16 Zabezpeˇ
cený pˇ
rístup vzdálených klient˚
u do lokální sítˇ
e
Pro zabezpeˇ
cený pˇ
rístup vzdálených klient˚
u do lokální sítˇ
e (dále jen „VPN klienti“) povolíme
VPN server v sekci Konfigurace → Rozhraní (podrobnosti viz kapitola 4.1). Žádná další
nastavení nejsou tˇ
reba. Komunikace VPN klient˚
u je již povolena pravidly vytvoˇ
renými
pr˚
uvodcem — viz kapitola 2.5.
Aplikace Kerio VPN Client
Pro pˇ
ripojení k VPN serveru v Kerio Control musí být na každém vzdáleném poˇ
cítaˇ
ci
nainstalována aplikace Kerio VPN Client. Tato aplikace je k dispozici pro platformy
Windows, Mac OS X a Linux. Instalaˇ
cní soubory lze stáhnout z WWW stránky
http://www.kerio.cz/cz/control/download.
Klienti se budou pˇ
ripojovat k serveru v centrále firmy (tj. na IP adresu 85.17.210.230, resp.
na jméno serveru server.firma.cz) a ovˇ
eˇ
rovat svým doménovým uživatelským jménem
a heslem (viz kapitola 2.9).
Podrobné informace naleznete v manuálu Kerio VPN Client — Pˇ
ríruˇ
cka uživatele
(http://www.kerio.cz/cz/control/manual).
18
2.17 Nastavení poˇ
cítaˇ
cu
˚ v lokální síti
2.17 Nastavení poˇ
cítaˇ
cu
˚ v lokální síti
Na poˇ
cítaˇ
ci, který slouží jako doménový server a FTP server, nastavíme parametry TCP/IP
ruˇ
cnˇ
e (jeho IP adresa se nesmí mˇ
enit):
• IP adresa — zadáme adresu 192.168.1.2 (viz kapitola 2.6),
• Výchozí brána — zadáme IP adresu pˇ
ríslušného rozhraní firewallu, tj. 192.168.1.1,
• DNS server — protože na tomto poˇ
cítaˇ
ci bˇ
eží Microsoft DNS, systém automaticky
nastaví jako primární DNS server lokální zpˇ
etnovazební adresu (loopback —
127.0.0.1).
Na pracovních stanicích nastavíme automatickou konfiguraci IP adresy i DNS serveru pomocí
DHCP (ve vˇ
etšinˇ
e operaˇ
cních systém˚
u výchozí nastavení po instalaci).
2.18 Sledování statistik využívání Internetu a aktivit uživatel˚
u
Kerio Control nabízí webové rozhraní Kerio StaR (statistiky a reportování ), které umožˇ
nuje
zobrazit aktivity uživatel˚
u a statistické informace v podobˇ
e tabulek a graf˚
u.
Mezi sledované aktivity jednotlivých uživatel˚
u patˇ
rí:
•
•
•
•
•
navštívené WWW stránky,
e-mailové zprávy a instant messaging (zasílání rychlých zpráv),
pˇ
renosy velkých soubor˚
u,
multimédia (online pˇ
rehrávání zvuku a videa),
vzdálený pˇ
rístup (terminálový pˇ
rístup a VPN pˇ
ripojení).
Ve formˇ
e tabulek a graf˚
u lze zobrazit tyto statistické informace:
• objem pˇ
renesených dat,
• používané protokoly (služby),
• nejnavštˇ
evovanˇ
ejší webové domény,
• nejnavštˇ
evovanˇ
ejší kategorie WWW stránek.
Statistiky lze zobrazit celkovˇ
e nebo pro jednotlivé uživatele.
Pˇ
rístup a pˇ
rihlášení ke statistikám
Statistiky využívání Internetu mohou obsahovat citlivé informace. Z tohoto d˚
uvodu je pˇ
rístup
ke statistikám ˇ
rízen speciálním právem, které má ve výchozím nastavení pouze uživatel Admin. Proto je nejprve potˇ
reba ve správˇ
e firewallu v sekci Uživatelé a skupiny nastavit vybraným
uživatel˚
um a/nebo skupinám právo prohlížet statistiky.
19
Konfigurace sítˇ
e v centrále firmy
Statistiky jsou dostupné prostˇ
rednictvím WWW rozhraní Kerio Control. Do WWW rozhraní se
lze pˇ
rihlásit na adrese:
https://<firewall>:4081/
v našem pˇ
ríkladu tedy:
https://server.firma.cz:4081/
Uživatel˚
um s právem prohlížet statistiky se po pˇ
rihlášení do WWW rozhraní zobrazí pˇ
rímo
hlavní stránka Kerio StaR s celkovými statistikami. Ostatním uživatel˚
um se zobrazí úvodní
stránka WWW rozhraní.
WWW rozhraní je standardnˇ
e dostupné z lokální sítˇ
e. Pro zpˇ
rístupnˇ
ení tohoto rozhraní
z Internetu je potˇ
reba nastavit odpovídající komunikaˇ
cní pravidlo (viz kapitola 2.15).
Bližší informace o WWW rozhraní Kerio Control a o Kerio StaR naleznete
v manuálu Kerio Control — Pˇ
ríruˇ
cka uživatele, který je k dispozici na WWW stránce
http://www.kerio.cz/cz/control/manual.
20
Kapitola 3
Konfigurace sítˇ
e v poboˇ
cce firmy
Pro rychlou konfiguraci sítˇ
e v poboˇ
cce firmy lze použít analogický postup jako pro sít’ centrály
— viz kapitola 2. Rozdíly jsou pouze v konfiguraci DNS. Pˇ
redpokládejme, že v síti poboˇ
cky
firmy není doménový server ani žádný jiný DNS server. Funkci primárního DNS serveru zde
bude plnit modul DNS v Kerio Control.
3.1 Konfigurace sít’ových rozhraní internetové brány
Na rozhraní firewallu pˇ
ripojeném k lokální síti nastavíme pevnou IP adresu (napˇ
r. 10.1.1.1).
Na tomto rozhraní nesmí být nastavena žádná výchozí brána! Rovnˇ
ež by zde nemˇ
el být
nastaven žádný DNS server.
Rozhraní pˇ
ripojené k Internetu nastavíme dle údaj˚
u od poskytovatele internetového pˇ
ripojení.
3.2 Nastavení modulu DNS
V sekci Konfigurace → DNS ponecháme výchozí nastavení (povoleno pˇ
redávání DNS dotaz˚
u
a jednoduchý pˇ
revod DNS jmen s využitím souboru hosts a tabulky pˇ
ridˇ
elených adres DHCP
serveru) a provedeme upˇ
resˇ
nující nastavení:
• Doplníme jméno lokální DNS domény — pobocka.firma.cz.
• Zapneme volbu Použít nastavení pro pˇ
redávání DNS dotaz˚
u. Toto nastavení bude
podrobnˇ
e popsáno v kapitole 4.2.
• Do souboru hosts je vhodné pˇ
ridat záznam o serveru (pˇ
rípadnˇ
e o dalších poˇ
cítaˇ
cích,
kterým bude nastavena pevná IP adresa):
10.1.1.1 server
21
Kapitola 4
Propojení sítí centrály a poboˇ
cky
V této kapitole naleznete postup propojení sítí v centrále a v poboˇ
cce firmy zabezpeˇ
ceným
šifrovaným kanálem (dále jen „VPN tunel“). Pˇ
ríklad obsahuje pouze základní kroky pro
vytvoˇ
rení VPN tunelu mezi dvˇ
ema sítˇ
emi — bez omezování pˇ
rístupu a dalších specifických
nastavení. Pˇ
ríklad složitˇ
ejší konfigurace VPN naleznete v manuálu Kerio Control — Pˇ
ríruˇ
cka
administrátora.
Postup konfigurace je rozdˇ
elen na dvˇ
eˇ
cásti: nastavení v centrále firmy a nastavení v poboˇ
cce
firmy. Pˇ
redpokládejme, že obˇ
e sítˇ
e jsou již nastaveny podle postupu uvedeného v kapitole 2
a internetové pˇ
ripojení na obou stranách je funkˇ
cní.
Informace k pˇ
ríkladu
Pro pˇ
rehlednost uved’me znovu schéma propojovaných sítí vˇ
cetnˇ
e IP adres.
Obrázek 4.1
Modelová konfigurace sítˇ
e s pˇ
ridˇ
elenými IP adresami
22
4.1 Konfigurace v centrále firmy
V centrále firmy jsou použity IP adresy 192.168.1.x s maskou subsítˇ
e 255.255.255.0 a DNS
doménu firma.cz. Poboˇ
cka používá IP adresy 10.1.1.x s maskou subsítˇ
e 255.255.255.0
a subdoménu pobocka.firma.cz.
4.1 Konfigurace v centrále firmy
1.
V Kerio Control v sekci Konfigurace / Rozhraní vybereme VPN server, otevˇ
reme dialog pro
nastavení jeho parametr˚
u a povolíme jej.
Poznámka:
V položkách VPN subsít’ a Maska je nyní uvedena automaticky vybraná volná subsít’ pro
VPN. Nastavenou subsít’ není tˇ
reba mˇ
enit.
2.
Tlaˇ
cítkem Zmˇ
enit SSL certifikát vytvoˇ
ríme SSL certifikát se jménem pˇ
ríslušného serveru
(napˇ
r. server.firma.cz). Tento certifikát slouží pro ovˇ
eˇ
rení identity VPN serveru.
Poznámka:
Vytvoˇ
rený certifikát doporuˇ
cujeme v budoucnu nahradit certifikátem vystaveným
d˚
uvˇ
eryhodnou veˇ
rejnou certifikaˇ
cní autoritou.
3.
Vytvoˇ
ríme pasivní konec VPN tunelu (server poboˇ
cky má dynamickou IP adresu — na
poboˇ
cce proto musí být aktivní konec tunelu). Jako otisk SSL certifikátu vzdáleného konce
tunelu zadáme otisk certifikátu VPN serveru na poboˇ
cce.
4.
V konfiguraci modulu DNS (viz kapitola 2.7) zapneme volbu Použít nastavení pro pˇ
redávání DNS dotaz˚
u a definujeme pravidla pro doménu pobocka.firma.cz. Jako DNS server
pro pˇ
redávání dotaz˚
u uvedeme IP adresu vnitˇ
rního rozhraní poˇ
cítaˇ
ce s Kerio Control na
protˇ
ejší stranˇ
e tunelu (tj. rozhraní pˇ
ripojeného k lokální síti na protˇ
ejší stranˇ
e).
Doména / sít’
DNS server(y)
pobocka.firma.cz 10.1.1.1
Tabulka 4.1 Centrála — konfigurace pˇ
redávání DNS dotaz˚
u
4.2 Konfigurace v poboˇ
cce firmy
1.
V Kerio Control v sekci Konfigurace / Rozhraní vybereme VPN server, otevˇ
reme dialog pro
nastavení jeho parametr˚
u a povolíme jej.
Poznámka:
V položkách VPN subsít’ a Maska je nyní uvedena automaticky vybraná volná subsít’ pro
VPN. Nastavenou subsít’ není tˇ
reba mˇ
enit.
Tlaˇ
cítkem Zmˇ
enit SSL certifikát vytvoˇ
ríme SSL certifikát se jménem pˇ
ríslušného serveru
(napˇ
r. server.pobocka.firma). Tento certifikát slouží pro ovˇ
eˇ
rení identity VPN serveru.
23
Otisk vytvoˇ
reného SSL certifikátu budeme potˇ
rebovat pˇ
ri definici VPN tunelu na serveru
címe, zkopírujeme do schránky a vložíme do
centrály (viz kapitola 4.1). Proto jej oznaˇ
e-mailové zprávy, souboru apod.
Poznámka:
Vytvoˇ
rený certifikát doporuˇ
cujeme v budoucnu nahradit certifikátem vystaveným
d˚
uvˇ
eryhodnou veˇ
rejnou certifikaˇ
cní autoritou.
2.
Vytvoˇ
ríme aktivní konec VPN tunelu, který se pˇ
ripojuje na server centrály firmy
(server.firma.cz). Otisk SSL certifikátu VPN serveru v centrále m˚
užeme nastavit
jednoduše stisknutím tlaˇ
cítka Detekovat vzdálený certifikát.
3.
V konfiguraci modulu DNS (viz kapitola 2.7) zapneme volbu Použít nastavení pro pˇ
redávání DNS dotaz˚
u a definujeme pravidla pro doménu firma.cz. Jako DNS server pro
pˇ
redávání dotaz˚
u uvedeme IP adresu doménového serveru v centrále firmy (192.168.1.2),
který slouží jako primární DNS server pro doménu firma.cz.
Doména / sít’
firma.cz
DNS server(y)
192.168.1.2
Tabulka 4.2 Poboˇ
cka — konfigurace pˇ
redávání DNS dotaz˚
u
4.3 Test funkˇ
cnosti VPN tunelu
Po dokonˇ
cení konfigurace VPN tunelu doporuˇ
cujeme z každé lokální sítˇ
e vyzkoušet
dostupnost poˇ
cítaˇ
cu
˚ v síti na protˇ
ejší stranˇ
e tunelu.
Jako testovací nástroj lze použít napˇ
r. pˇ
ríkazy operaˇ
cního systému ping nebo tracert.
Doporuˇ
cujeme ovˇ
eˇ
rit dostupnost poˇ
cítaˇ
ce ve vzdálené síti zadaného jednak IP adresou, jednak
DNS jménem.
Nedostaneme-li odezvu pˇ
ri zadání vzdáleného poˇ
cítaˇ
ce IP adresou, je tˇ
reba hledat chybu
v nastavení komunikaˇ
cních pravidel, pˇ
rípadnˇ
e provˇ
eˇ
rit, zda nenastala kolize subsítí (stejná
subsít’ na obou stranách tunelu).
Je-li test pˇ
ri zadání poˇ
cítaˇ
ce IP adresou úspˇ
ešný, ale pˇ
ri zadání poˇ
cítaˇ
ce DNS jménem je
hlášena chyba (Neznámý hostitel), pak je tˇ
reba provˇ
eˇ
rit konfiguraci DNS.
Poznámka:
VPN klienti, kteˇ
rí se pˇ
ripojují k serveru centrály, mají pˇ
rístup do sítˇ
e centrály i poboˇ
cky,
a naopak (pˇ
rístup není nijak omezen). Proto v rámci testování VPN doporuˇ
cujeme vyzkoušet
pˇ
rístup do obou sítí také z pˇ
ripojeného VPN klienta.
24
Pˇ
ríloha A
Použitý software open source
Produkt Kerio Control obsahuje software volnˇ
e šiˇ
ritelný ve formˇ
e zdrojových kód˚
u (open
source). Balíky kompletních zdrojových kód˚
u tˇ
echto komponent jsou k dispozici v Softwarovém archivu na adrese http://download.kerio.com/archive/.
25
Pˇ
ríloha B
Právní doložka
Microsoft , Windows , Windows NT  a Active Directory  jsou registrované ochranné známky
nebo ochranné známky spoleˇ
cnosti Microsoft Corporation.
VMware  je registrovaná ochranná známka spoleˇ
cnosti VMware, Inc.
Ostatní uvedené názvy skuteˇ
cných spoleˇ
cností a produkt˚
u mohou být registrovanými
ochrannými známkami nebo ochrannými známkami jejich vlastník˚
u.
26
Download

Konfigurace krok za krokem