sexta-feira, 27 de fevereiro de 2009

Tutorial Kerio Winroute Firewall (instalação/configuração)

respondendo a mais uma duvida

Bom dia Amigo,

Vi o seu Blog e vi que vc manja muito do Winroute.
Será que vc não poderia me dar uma ajuda?
Eu sou novo no ramo de informática, mudei de área na empresa, e tenho que correr atrás.
Eu instalei o Kerio Winroute 6 aqui na empresa, e já criei algumas regras, porém queria incrementar mais um pouco.
Tem como por exemplo, bloquear o envio ou recebimento de EMAILS de determinadas extensões? ( .doc, .xls, .exe )
Bloquear Downloads de mp3, jpg e por ai vai.

Na verdade, quero tornar as coisas mais seguras aqui. Os usuários finais ABUSAM muito , quero cortar isso.
Tem usuários por exemplo, que BAIXAM 25Mb por dia, ai não dá né. Ainda mais que nossa conexão aqui é muito RUIM.

Pow, já to escrevendo de mais. O que vc puder me ajudar, eu te agradeço muito.

Valeu !!

--
Márcio B. Cersózimo
Deptº Financeiro / Tecnologia da Informação



resposta:

Kerio Winroute Firewall Tutorial

Changelog: Rev.0.4:29/10/06 9:09PM
Correção de escrita/texto que poderia incorrer à uma compreensão errada. Tks Arquero.

Changelog: Rev.0.3:28/08/06 5:20PM
Atualizado adicionando com conteúdo de Tempo/Faixa de Acesso x Bloqueio de Conteúdo.
Resposta de duvidas do usuário Rapha.

Changelog: Rev.0.2: 21/07/06 3:30PM
Fotos linkadas...
No decorrer das duvidas, posso criar extensões do tutorial, sobre as opções mais avançadas, do firewall.

Changelog: Rev.0.1: 21/07/06 4:37AM
Ainda faltam linkar algumas fotos vai dar 5 da manhã e já estou quebrado.
Toda a sequencia e processo foi testada em tempo real usando Vmware e a ultima versão do firewall disponível atualmente.
Postem o que acharam do tópíco e de itens quais configurações mais devo comentar aqui no topico.
Se o Rash não colocar no bookmark eu desisto hehehe

-----------------------------------------------------------------------------------------------------------------------

Vamos lá como prometido ai vai um intensivo de como instalar e configurar o Kerio Winroute Firewall funcionando na sua rede.

Configuração e conectividade no Gateway/Firewall:

Neste tutorial teremos como base um computador com Windows XP c/ SP2 e 2 placas de rede.

Uma conexão PPPoE, configurada com login e senha no Windows XP.
Uma placa de rede denominada como Internet conectada ào Modem ADSL. (IP Obter Automaticamente)
Uma placa de rede denominada Rede Interna conectada ao meu Hub/Switch de rede. (IP 192.168.1.1 Mascara 255.255.255.0)

Observe:




Vamos à instalação do Kerio Winroute Firewall.

Execute o arquivo de instalação:

Observe:


Para continuar clique em "Next".
Observe:


Aceite o termo de licensa, clicando em "I accept..." e depois em Next".
Observe:


Escolha a pasta de destino à ser instalada, clicando em "Browse", ou simplesmente deixe na padrão e clique em "next".
Observe:

Escolha a opção "typical" é o metodo mais pratico para habilitar as funções do Kerio Winroute Firewall, na sequencia de instalação.
Clique em "Next".
Observe:


Configure uma conta de acesso administrativo ao Kerio Winroute Firewall.
Preencha com uma senha no campo Password e depois confirme o password em Confirm Password.
Dica: Use no minimo 6 digitos na senha para obter maior segurança.
e clique em "Next".
Observe:


Nesta tela podemos habilitar o acesso remoto do Kerio à algum IP interno da sua rede alem do gateway para configurarmos as regras do Kerio Winroute Firewall.
Neste momento deixe desabilitado já que ainda não conhecemos como acessar via console remoto ok?
Clique em "Next"
Observe:



O processo de copia se iniciará, dentro deste processo algumas interfaces de VPN do Kerio saõ adicionadas e algumas mudanças de registro.
Observe:


No meio do processo o Kerio poderá detectar se o Firewall/ICS do seu Windows está habilitado, confirme com "sim" para desabilitar o serviço do Windows e evitar conflitos.
Observe:

Logo após às copia se finalizará, deixe clicado em "Yes,I want..." e clique em Finish, para reiniciar imediatamante seu computador.
Observe:


Após o reboot antes de o sistema operacional carregar uma tela surgirá.
Confirme com "sim" para iniciarmos o console de administração do Kerio Winroute Firewall.
Observe:


A tela à seguir virá, preencha o password e clique em connect, caso queira deixar salvo a senha da console clique em "save as...", deixe o campo como "localhost" e confirme com Ok.
Observe:



Ao conectar o assistente de configurações de regras do Kerio Winroute Firewall aparecerá, vamos usá-lo como base para nossas configurações iniciais.
Clique em "Next"
Observe:


Escolha o metodo de conexão de internet utilizada.
Se o seu IP for fixo ou seu modem/router estiver fazendo a discagem para você deixe clicado em "Ethernet,DSL,cable modem or other".
Se seu ip for dinamico, se seu modem/router estiver configurado como bridge e seu sistema operacional faz a discagem e conexão deixe clicado em "Dial-Up (modem,ISDN, PPPoE)" Este é o metodo que irei utilizar.
Observe:

Como usaremos uma conexão Dial-Up eu escolho minha conexão na combo box.
E deixo clicado para utilizar os dados de login já registrados no windows XP, como mostra na tela abaixo.
Tambem é possível que os dados de login e senha sejam armazenados pelo kerio onde é só clicar no "use the following login data" e digitar seu login e senha nas caixas correspondentes.
Clique em "next".
Observe:


Agora podemos configurar quais as regras de saída pre-programadas no nosso Firewall/Router.
As regras nesta tela funcionam no seguinte modo de funcionamento.

Se você deixar clicado em "Allow access to all services (no limitations)":
O firewall irá ser configurado dando a opção de que todos os usuários da rede poderão acessar das suas maquinas quais quer serviços internet, desde navegação até Games e P2P.
Neste metodo se você quiser restrinjir por exemplo MSN, uma regra de bloqueio deverá ser adicionada posteriormente no firewall.
Recomendo este tipo de configuração em ambientes de utilização mais caseiros...

Se você deixar clicado em "Allow access to the following services only:":
O firewall irá ter a seguinte reação inicial:
Somente os serviços os quais estão clicados como HTTP,HTTPS,FTP,SMTP,DNS,POP3,IMAP e Telnet serão acessados pelos seus usuários na internet.
Neste metodo, conhecido como "Se não liberei está bloqueado" teremos a seguinte consequencia, quaisquer outraos softwares que dependam de outras portas para navegar serão instantaneamente bloqueados até que posteriormente os serviços sejem adicionados posteriormente por você.
Sendo assim de cara MSN,Emule e todas as tranqueiras na rede serão bloqueadas, por isso recomendo este metodo para maior segurança numa rede corporativa.
Irei utilizar no meu tutorial este metodo, e mais pra frente mostrarei como liberar serviços gradativamente.

Escolhido o seu metodo preferido clique em Next.
Observe:


O Kerio Winroute Firewall, vem com opções de VPN embutidas para que as mesmas funcionem precisamos publicar os serviços Kerio VPN server e a função de ClientLess SSL-VPN do Kerio, para posterior acesso via internet.
Somente deixe habilitado saiba e venha utilizar VPN.
Na minha situação deixarei habilitado pois mesmo que não use agora pode ser que usarei depois e não quero perder tempo configurando manualmente...

Observe:



Regras de entrada do Kerio Winroute Firewall, estes serviços serão serviços que no primeiro momento, serão abertos para acesso remoto via internet ao seu Firewall, refletindo nossa escolha anterior do servidor VPN e do SSL-VPN.
Mantenha assim clique em "Next"

Observe:


Deixe habilitado a função de NAT mantendo clicado o "Enable NAT", para que seus micros da rede possam acessar à internet.
Clique em "next".

Observe:


Finalise
Clique em "Finish".

Neste momento, registre o seu Kerio como Trial, ou registre ele e de preferencia reinicie a maquina para que continuamos nosso tutorial.

Após registrar e reiniciar...

Vamos estipular como os micros poderão acessar a rede compartilhada.

Rede compartilhada com endereçamento fixo.
No inicio do tutorial especifiquei que a placa da minha Rede Interna era de IP 192.168.1.1 Mascara 255.255.255.0
Para acesso imediato das estações é preciso que as estações sejam numeradas uma à uma com IP, DNS e Gateway configurados.
Neste exemplo as estações poderiam ser configuradas com ip 192.168.1.2 até 192.168.1.254 com gateway 192.168.1.1 em todas e DNS, da sua provedora.
Algumas regras devem ser lembradas no endereçamento como não repetir o IP utilizado em mais de uma maquina.

Rede compartilhada com endereçamento automatico (DHCP).
Para configuração automatica de Ip´s nas maquinas da sua rede compartilhada Faça o seguinte.
Abra o Administration Console, abra a função Configuration -> DHCP Server.
Clique na caixa DHCP Server enabled.
Na aba Scopes Clique Add -> Scope.

Preencha uma descrição, primeiro endereço, usando nosso exemplo ficariamos:
First Address: 192.168.1.2 Last Address: 192.168.1.254
Network Mask: 255.255.255.0
Lease Time: (Configure quanto tempo as maquinas ficarão com o mesmo IP, no meu exemplo configurei 1 dia.)
Vá até as opções e clique em Default Gateway e digite 192.168.1.1
em Domain name server clique em preencha o dns da sua provedora. se tiver mais de 1 DNS digite separados com ponto e virgula.
Observe:



Clicando em avançado temos acesso à outras opções de DHCP menos comuns, que tambem podem ser propagadas à sua rede pelo Kerio.
Uma vez configurada a tela clique em OK.
e para que entre em funcionamento apliquem clicando em "apply"
Observe:


Adicionando mais serviços à serem acessados pela rede.
Abra o Administration Console, função Configuration -> Traffic Policy.
Vá até a linha NAT e e dê um duplo clique na colina "Services"
Como exemplo vamos liberar o MSN.
Na tela de edição de porta ou serviço clicamos em ADD -> Service, depois no combo, vamos até Windows Messenger.
Confirmamos com OK e depois clicamos em "Apply"
Observe:


Bloqueio de acessos à conteúdo.
Para isso vamos criar uma lista com palavras chave que correspondem às paquinas quais queremos bloquear.
No exemplo vamos cliar uma lista com a palavra orkut e playboy.
Abra o Administration Console, função content Filtering -> HTTP Policy, Aba URL Groups.
Clique em "Add"
Digite um nome do grupo de regras à bloquear.
No nosso caso darei o nome de "Bloquear"
No campo URL: digite *playboy*
Clique em "OK."
Observe:


Faça o mesmo processo clicando em ADD novamente escolhendo o grupo Bloquear e na URL digite *orkut*.
Clique em "Apply".
Vamos a aba URL Rules.
Para bloquear à todos os usuários as URL que tem as regras do item "bloquear" configure como mostrado abaixo.
Observe:


Confirme com OK e depois em Apply.
Observe:


Quando alguem acessar alguma pagina bloqueada ele receberá:
Observe:


E se clicou na caixa Log no passo logo acima, dentro do Administration Console -> Logs -> Filter, pegamos as pessoas que tentaram acessar as tais paginas.


Monitoração Real-Time

Nela é possível acompanharmos em tempo real o que os usuários da nossa rede estão acessando e inclusive acessar o mesmo contenudo deles, para avaliação de conteúdo.
Para isso abra o Administration Console, função Status -> Hosts / Users
Clique no Escolha o host à ser monitorado e clique na Activity Description para que a pagina referente possa ser aberta diretamente no seu browser.
Ps.: Paginas que exigem logins, obviamente não irão abrir automaticamente já que exigirão autenticação à qual o Kerio não importará isso para você.

Observe:

Tempo/Faixa de Acesso x Bloqueio de Conteúdo

Nesta parte explicarei como criar uma faixa de tempo, para controlar a execução de uma regra durante o periodo selecionado.
Antes de tudo crie uma regra URL como explicado acima no item "Bloqueio de acessos à conteúdo"

Com ela criada faremos o seguinte:
Vamos no item "Definitions -> Time Ranges e ao lado direito clicamos em "add" apaixo segue um exemplo de preenchimento para esta faixa de tempo.
Como podem ver quando esta faixa de tempo for aplicada às regras, significará que a regra irá funcionar Diariamente, dás 07 às 19 somente de segunda à sexta feira. Sabados e Domingos a regra não será aplicada.


Depois para ativar essa faixa de tempo vamos em: Content Filtering -> HTTP Policy, edite a regra à ser aplicada a faixa onde no meu cado estou usando a "Regra de Bloqueio" e clique na aba avançada.
Lá na caixa "Valid at time interval" escolha a faixa criada anteriormente, segue abaixo exemplo da tela como referencia.


4 comentários:

Louco disse...

Valeu meu camarada !!

Vou testar tudo aqui e depois posto novamente.

Muito boa essa sua explicação, espero que venham muito mais dicas como essa.

T+

Elyfran disse...

simplismente showwwwww

Metan0ia disse...

PRECISO DE UMA AJUDA, gostaria de saber como posso liberar um acsses point para ele ficar liberado pra tudo, eu ja fui la em liberar maquinas, e coloquei o ip do acsses point mas mesmo assim, ainda continua restrito, o que devo fazer ?

Roney Souza disse...

Bom dia senhores.
sou novato com o kerio e preciso meio que urgente criar uma vpn com as minhas filiais aonde eu consiga fazer com que as maquinas das filiais por exemplo sao paulo -goias exerguem as maquinas da matriz podendo acessar o ts como rede local,acessar os arquivos imprimir facilitar no acesso remoto para assistencia.
se alguem puder me ajudar meu e-mail e roneypl@gmail.com