quinta-feira, 1 de abril de 2010

SUPORTE EM KERIO PARA EMPRESAS E TECNICOS

Pluriverso - Inteligência em Tecnologia

Ed.Centro Sul, 2°Andar, SCIA, Qd. 14, Conj. 07, Lt 1, S. Ind.
CEP: 71.250-135, Brasília-DF.
Mapa: http://is.gd/7en6N

Telefone: (55 61) 4141-5555

sexta-feira, 27 de fevereiro de 2009

Tutorial Kerio Winroute Firewall (instalação/configuração)

respondendo a mais uma duvida

Bom dia Amigo,

Vi o seu Blog e vi que vc manja muito do Winroute.
Será que vc não poderia me dar uma ajuda?
Eu sou novo no ramo de informática, mudei de área na empresa, e tenho que correr atrás.
Eu instalei o Kerio Winroute 6 aqui na empresa, e já criei algumas regras, porém queria incrementar mais um pouco.
Tem como por exemplo, bloquear o envio ou recebimento de EMAILS de determinadas extensões? ( .doc, .xls, .exe )
Bloquear Downloads de mp3, jpg e por ai vai.

Na verdade, quero tornar as coisas mais seguras aqui. Os usuários finais ABUSAM muito , quero cortar isso.
Tem usuários por exemplo, que BAIXAM 25Mb por dia, ai não dá né. Ainda mais que nossa conexão aqui é muito RUIM.

Pow, já to escrevendo de mais. O que vc puder me ajudar, eu te agradeço muito.

Valeu !!

--
Márcio B. Cersózimo
Deptº Financeiro / Tecnologia da Informação



resposta:

Kerio Winroute Firewall Tutorial

Changelog: Rev.0.4:29/10/06 9:09PM
Correção de escrita/texto que poderia incorrer à uma compreensão errada. Tks Arquero.

Changelog: Rev.0.3:28/08/06 5:20PM
Atualizado adicionando com conteúdo de Tempo/Faixa de Acesso x Bloqueio de Conteúdo.
Resposta de duvidas do usuário Rapha.

Changelog: Rev.0.2: 21/07/06 3:30PM
Fotos linkadas...
No decorrer das duvidas, posso criar extensões do tutorial, sobre as opções mais avançadas, do firewall.

Changelog: Rev.0.1: 21/07/06 4:37AM
Ainda faltam linkar algumas fotos vai dar 5 da manhã e já estou quebrado.
Toda a sequencia e processo foi testada em tempo real usando Vmware e a ultima versão do firewall disponível atualmente.
Postem o que acharam do tópíco e de itens quais configurações mais devo comentar aqui no topico.
Se o Rash não colocar no bookmark eu desisto hehehe

-----------------------------------------------------------------------------------------------------------------------

Vamos lá como prometido ai vai um intensivo de como instalar e configurar o Kerio Winroute Firewall funcionando na sua rede.

Configuração e conectividade no Gateway/Firewall:

Neste tutorial teremos como base um computador com Windows XP c/ SP2 e 2 placas de rede.

Uma conexão PPPoE, configurada com login e senha no Windows XP.
Uma placa de rede denominada como Internet conectada ào Modem ADSL. (IP Obter Automaticamente)
Uma placa de rede denominada Rede Interna conectada ao meu Hub/Switch de rede. (IP 192.168.1.1 Mascara 255.255.255.0)

Observe:




Vamos à instalação do Kerio Winroute Firewall.

Execute o arquivo de instalação:

Observe:


Para continuar clique em "Next".
Observe:


Aceite o termo de licensa, clicando em "I accept..." e depois em Next".
Observe:


Escolha a pasta de destino à ser instalada, clicando em "Browse", ou simplesmente deixe na padrão e clique em "next".
Observe:

Escolha a opção "typical" é o metodo mais pratico para habilitar as funções do Kerio Winroute Firewall, na sequencia de instalação.
Clique em "Next".
Observe:


Configure uma conta de acesso administrativo ao Kerio Winroute Firewall.
Preencha com uma senha no campo Password e depois confirme o password em Confirm Password.
Dica: Use no minimo 6 digitos na senha para obter maior segurança.
e clique em "Next".
Observe:


Nesta tela podemos habilitar o acesso remoto do Kerio à algum IP interno da sua rede alem do gateway para configurarmos as regras do Kerio Winroute Firewall.
Neste momento deixe desabilitado já que ainda não conhecemos como acessar via console remoto ok?
Clique em "Next"
Observe:



O processo de copia se iniciará, dentro deste processo algumas interfaces de VPN do Kerio saõ adicionadas e algumas mudanças de registro.
Observe:


No meio do processo o Kerio poderá detectar se o Firewall/ICS do seu Windows está habilitado, confirme com "sim" para desabilitar o serviço do Windows e evitar conflitos.
Observe:

Logo após às copia se finalizará, deixe clicado em "Yes,I want..." e clique em Finish, para reiniciar imediatamante seu computador.
Observe:


Após o reboot antes de o sistema operacional carregar uma tela surgirá.
Confirme com "sim" para iniciarmos o console de administração do Kerio Winroute Firewall.
Observe:


A tela à seguir virá, preencha o password e clique em connect, caso queira deixar salvo a senha da console clique em "save as...", deixe o campo como "localhost" e confirme com Ok.
Observe:



Ao conectar o assistente de configurações de regras do Kerio Winroute Firewall aparecerá, vamos usá-lo como base para nossas configurações iniciais.
Clique em "Next"
Observe:


Escolha o metodo de conexão de internet utilizada.
Se o seu IP for fixo ou seu modem/router estiver fazendo a discagem para você deixe clicado em "Ethernet,DSL,cable modem or other".
Se seu ip for dinamico, se seu modem/router estiver configurado como bridge e seu sistema operacional faz a discagem e conexão deixe clicado em "Dial-Up (modem,ISDN, PPPoE)" Este é o metodo que irei utilizar.
Observe:

Como usaremos uma conexão Dial-Up eu escolho minha conexão na combo box.
E deixo clicado para utilizar os dados de login já registrados no windows XP, como mostra na tela abaixo.
Tambem é possível que os dados de login e senha sejam armazenados pelo kerio onde é só clicar no "use the following login data" e digitar seu login e senha nas caixas correspondentes.
Clique em "next".
Observe:


Agora podemos configurar quais as regras de saída pre-programadas no nosso Firewall/Router.
As regras nesta tela funcionam no seguinte modo de funcionamento.

Se você deixar clicado em "Allow access to all services (no limitations)":
O firewall irá ser configurado dando a opção de que todos os usuários da rede poderão acessar das suas maquinas quais quer serviços internet, desde navegação até Games e P2P.
Neste metodo se você quiser restrinjir por exemplo MSN, uma regra de bloqueio deverá ser adicionada posteriormente no firewall.
Recomendo este tipo de configuração em ambientes de utilização mais caseiros...

Se você deixar clicado em "Allow access to the following services only:":
O firewall irá ter a seguinte reação inicial:
Somente os serviços os quais estão clicados como HTTP,HTTPS,FTP,SMTP,DNS,POP3,IMAP e Telnet serão acessados pelos seus usuários na internet.
Neste metodo, conhecido como "Se não liberei está bloqueado" teremos a seguinte consequencia, quaisquer outraos softwares que dependam de outras portas para navegar serão instantaneamente bloqueados até que posteriormente os serviços sejem adicionados posteriormente por você.
Sendo assim de cara MSN,Emule e todas as tranqueiras na rede serão bloqueadas, por isso recomendo este metodo para maior segurança numa rede corporativa.
Irei utilizar no meu tutorial este metodo, e mais pra frente mostrarei como liberar serviços gradativamente.

Escolhido o seu metodo preferido clique em Next.
Observe:


O Kerio Winroute Firewall, vem com opções de VPN embutidas para que as mesmas funcionem precisamos publicar os serviços Kerio VPN server e a função de ClientLess SSL-VPN do Kerio, para posterior acesso via internet.
Somente deixe habilitado saiba e venha utilizar VPN.
Na minha situação deixarei habilitado pois mesmo que não use agora pode ser que usarei depois e não quero perder tempo configurando manualmente...

Observe:



Regras de entrada do Kerio Winroute Firewall, estes serviços serão serviços que no primeiro momento, serão abertos para acesso remoto via internet ao seu Firewall, refletindo nossa escolha anterior do servidor VPN e do SSL-VPN.
Mantenha assim clique em "Next"

Observe:


Deixe habilitado a função de NAT mantendo clicado o "Enable NAT", para que seus micros da rede possam acessar à internet.
Clique em "next".

Observe:


Finalise
Clique em "Finish".

Neste momento, registre o seu Kerio como Trial, ou registre ele e de preferencia reinicie a maquina para que continuamos nosso tutorial.

Após registrar e reiniciar...

Vamos estipular como os micros poderão acessar a rede compartilhada.

Rede compartilhada com endereçamento fixo.
No inicio do tutorial especifiquei que a placa da minha Rede Interna era de IP 192.168.1.1 Mascara 255.255.255.0
Para acesso imediato das estações é preciso que as estações sejam numeradas uma à uma com IP, DNS e Gateway configurados.
Neste exemplo as estações poderiam ser configuradas com ip 192.168.1.2 até 192.168.1.254 com gateway 192.168.1.1 em todas e DNS, da sua provedora.
Algumas regras devem ser lembradas no endereçamento como não repetir o IP utilizado em mais de uma maquina.

Rede compartilhada com endereçamento automatico (DHCP).
Para configuração automatica de Ip´s nas maquinas da sua rede compartilhada Faça o seguinte.
Abra o Administration Console, abra a função Configuration -> DHCP Server.
Clique na caixa DHCP Server enabled.
Na aba Scopes Clique Add -> Scope.

Preencha uma descrição, primeiro endereço, usando nosso exemplo ficariamos:
First Address: 192.168.1.2 Last Address: 192.168.1.254
Network Mask: 255.255.255.0
Lease Time: (Configure quanto tempo as maquinas ficarão com o mesmo IP, no meu exemplo configurei 1 dia.)
Vá até as opções e clique em Default Gateway e digite 192.168.1.1
em Domain name server clique em preencha o dns da sua provedora. se tiver mais de 1 DNS digite separados com ponto e virgula.
Observe:



Clicando em avançado temos acesso à outras opções de DHCP menos comuns, que tambem podem ser propagadas à sua rede pelo Kerio.
Uma vez configurada a tela clique em OK.
e para que entre em funcionamento apliquem clicando em "apply"
Observe:


Adicionando mais serviços à serem acessados pela rede.
Abra o Administration Console, função Configuration -> Traffic Policy.
Vá até a linha NAT e e dê um duplo clique na colina "Services"
Como exemplo vamos liberar o MSN.
Na tela de edição de porta ou serviço clicamos em ADD -> Service, depois no combo, vamos até Windows Messenger.
Confirmamos com OK e depois clicamos em "Apply"
Observe:


Bloqueio de acessos à conteúdo.
Para isso vamos criar uma lista com palavras chave que correspondem às paquinas quais queremos bloquear.
No exemplo vamos cliar uma lista com a palavra orkut e playboy.
Abra o Administration Console, função content Filtering -> HTTP Policy, Aba URL Groups.
Clique em "Add"
Digite um nome do grupo de regras à bloquear.
No nosso caso darei o nome de "Bloquear"
No campo URL: digite *playboy*
Clique em "OK."
Observe:


Faça o mesmo processo clicando em ADD novamente escolhendo o grupo Bloquear e na URL digite *orkut*.
Clique em "Apply".
Vamos a aba URL Rules.
Para bloquear à todos os usuários as URL que tem as regras do item "bloquear" configure como mostrado abaixo.
Observe:


Confirme com OK e depois em Apply.
Observe:


Quando alguem acessar alguma pagina bloqueada ele receberá:
Observe:


E se clicou na caixa Log no passo logo acima, dentro do Administration Console -> Logs -> Filter, pegamos as pessoas que tentaram acessar as tais paginas.


Monitoração Real-Time

Nela é possível acompanharmos em tempo real o que os usuários da nossa rede estão acessando e inclusive acessar o mesmo contenudo deles, para avaliação de conteúdo.
Para isso abra o Administration Console, função Status -> Hosts / Users
Clique no Escolha o host à ser monitorado e clique na Activity Description para que a pagina referente possa ser aberta diretamente no seu browser.
Ps.: Paginas que exigem logins, obviamente não irão abrir automaticamente já que exigirão autenticação à qual o Kerio não importará isso para você.

Observe:

Tempo/Faixa de Acesso x Bloqueio de Conteúdo

Nesta parte explicarei como criar uma faixa de tempo, para controlar a execução de uma regra durante o periodo selecionado.
Antes de tudo crie uma regra URL como explicado acima no item "Bloqueio de acessos à conteúdo"

Com ela criada faremos o seguinte:
Vamos no item "Definitions -> Time Ranges e ao lado direito clicamos em "add" apaixo segue um exemplo de preenchimento para esta faixa de tempo.
Como podem ver quando esta faixa de tempo for aplicada às regras, significará que a regra irá funcionar Diariamente, dás 07 às 19 somente de segunda à sexta feira. Sabados e Domingos a regra não será aplicada.


Depois para ativar essa faixa de tempo vamos em: Content Filtering -> HTTP Policy, edite a regra à ser aplicada a faixa onde no meu cado estou usando a "Regra de Bloqueio" e clique na aba avançada.
Lá na caixa "Valid at time interval" escolha a faixa criada anteriormente, segue abaixo exemplo da tela como referencia.


Solução problema caixa.cmt.gov.br

Olá a todos!
Eu estive um pouco ausente em relação ao conectividade por uns tempos pois estou usando outras tecnologias (apesar de gostar muito do kerio winroute firewall.)
mas em fim, alguns ainda tem me enviando emails dizendo que possuem dificuldade em abrir o conectividade atravéz do endereço, caixa. cmt.gov.br, dediquei meu carnaval para propor uma solução a este problema. e aqui está! geekmaníacos!!!
primeiro - as regras que ensinei abaixo funcional perfeitamente para o software do cse conexao segura, mas está apresentando o "maldito" erro de troca de chaves, no uso atravéz do site, a solução é a seguinte.
após crias as regras especificadas abaixo.
ultilize o endereço para acesso direto ao conectividade, quando digo direto, digo direto mesmo!!
ao acessar ele vai te poupar dos problemas enfrentados.
todos acessam através de cmt.caixa.gov.br, o endereço que solucionará este problema é cmt.caixa.gov.br/cse, isso mesmo, especificaremos a pasta do cse dentro do dominio, resolvendo o conflito como o firewall kerio winroute e muitos antivirus como o avg, e outros programas que começaram a apresentar conflitos com a "maravilha" dos softwares da caixa.
--
ESTA SOLUÇÃO NOS TROUXE OUTRO PROBLEMA COMO ADMINISTRADORES DE REDE,
OS USUÁRIOS FINAIS, QUE SE VOCE TROCAR O PAPEL DE PAREDE NAO CONSEGUEM MAIS USAR O PC,agora uma solução para os idiotas dos usuários finais que sempre dizem.. mas e agora? como eu entro????? como se nao soubessem digitar quatro dígitos no fim do endereço (cmt.caixa.gov.br/cse)
CLIQUE COM O BOTÃO DIREITO DO MOUSE NA ÁREA DE TRABALHO, ESCOLHA NOVO / ATALHO, E DIGITE http://caixa.cmt.gov.br/cse, e clique em avançar, depois nomeie o link na tela seguinte como "Conectividade Social" os "burros" vao entender..
PARA OS ADMINS MAIS AVANÇADOS CRIE O ATALHO EM TODOS OS MICROS ATRAVÉS DE SCRIPT OU NA INICIALIZAÇÃO.
ISSO AEW, AGORA QUE VOCE ESTA FELIZ, DIVULGUE O SITE AO INVEZ DE SAIR COLANDO MEUS POSTS GEEKS POR AÍ, SENAO EU PARO DE AJUDAR A COMUNIDADE HEIN!!
KKK

sexta-feira, 7 de março de 2008

segunda-feira, 11 de fevereiro de 2008

Liberar o Outlook no Firewall

LOG...
Valeu brother.deu certinho.abrigado.qualquer coisa estamos ai


Em 11/02/08, Jonathan Rodrigo <...> escreveu:
E AEW JONAS
VÁ EM SERVICES / POP3 E ADICIONE AS PORTAS 25,110,143 (DEVE TÁ SÓ A 110)
AÍ VC VAI EM TRAFIC POLICY E ADICIONE O SERVIÇO POP3(SE NÃO TIVER) A FIREWALL TRAFIC E NAT.
SE AINDA NAO DER É SÓ ENTRAR EM CONTATO Q TE AJUDO CONFORME MEU TEMPO IR DANDO


2008/2/11, Jonas oliveira <...>:
Olá eu estive vendo um blog seu.resouvi tirar uma duvida.eu uso o kerio winroute .e não consigo baixar emails usando o outloock existe
alguma regra a ser configurada. fico no aguardo.

.



--
Att,
Jonathan Rodrigo da Silva Cardoso

sexta-feira, 25 de janeiro de 2008

Liberando acesso ao conectividade social (caixa CNS)

LA VAI DE PRIMEIRA MAO
acho justo toda a comunidade saber desta regra, (e muitas outras)entao lá vai...

Caixa CNS (CONECTIVIDADE SOCIAL DA CAIXA) Rodando no kerio winroute firewall.
Para você liberar acesso para o conectividade social vá em “Traffic Police” e crie uma regra da seguinte forma:



Nome -> Conectividade Social / Source-> ANY / destination -> IP 200.201.174.0 , Mascara 255.255.255.0 / Service -> ANY / Action -> Permit / Translation -> NAT (default outgoing interface)


COLOQUEM ESTA REGRA NO PRIMEIRO LUGAR DA LISTA.
Fazendo isso, o acesso sera permitido a todas as máquinas.
isso serve para todo tipo de programas similares ao conectividade da caixa dentro do kerio.

EU PROCUREI ESSA SOLUCAO POR MUITOS MESSES NA INTERNET E NUNCA OBTIVE SUCESSO
PORTANTO DECIDI COLOCAR DISPONIVEL AQUI.. NESTE BLOG PRA AJUDAR VOCES!
SO PEÇO UMA UNICA COISA EM TROCA
SE FOREM DIVULGAR ESSE PROCEDIMENTO EM FORUNS E ETC. COLOQUEM APENAS O LINK PARA ESTA POSTAGEM, AFINAL ELA ME RENDERA ALGUNS SENTAVOS NO GOOGLE ADSENSE NEH! RSRSR
ABRAÇO A TODOS, E EM BREVE MAIS NOVIDADES NA MINHA REDE DE BLOGS




Qualquer Dúvida entre em contato (TEREI MUITO PRAZER EM AJUDAR).

www.pluriverso.com.br

Jonathan Rodrigo

(61) 4141-5555








________________________________________





Pluriverso - Inteligência em Tecnologia

Ed.Centro Sul, 2°Andar, SCIA, Qd. 14, Conj. 07, Lt 1, S. Ind.
CEP: 71.250-135, Brasília-DF.
Mapa: http://is.gd/7en6N

Telefone: (55 61) 4141-5555

Kerio Winroute Firewall

Este blog é destinado a todos os usuarios do kerio winroute
que está entre os melhores firewalls do mercado
e é melhor em relacao "Recurso/simplicidade".
--
com todas as funcionalidades do ISA Server e a praticidade de um firewall com interface intuitiva, agradável e simples.
e pra começar detonando...
a proxima postagem é...
--
"kerio winroute x conectividade social da caixa"
testado e aprovado
passo-a-passo

duvidas, segestoes e comentários...