در مجموعه نکات آموزش کریو کنترل | Kerio Control ما به شما نکات و ریزه کاری هایی کار با فایروال کریو کنترل را در قالب معرفی نکات کاربردی از نحوه استفاده از قابلیت های این نرم افزار بصورت گام به گام به شما آموزش می دهیم ، این مجموعه نکات هم بصورت جزوه و هم بصورت آنلاین می تواند در کنار یادگیری دوره های آموزشی کریو کنترل به شما کمک کند که بیشترین بازخورد را از این نرم افزار در شبکه خودتان بگیرید.
Log ها در کریو کنترل اطلاعات ضبط شده از کلیه وقایع و رخداد هایی است که در این برنامه رخ داده است ، این لاگ ها تاریخچه ای از ارتباط میان اینترفیس ها و موتور کریو کنترل هستند . سه نوع لاگ در برنامه کریو کنترل وجود دارد :
1- لاگ هایی که اطلاعاتی درباره لاگین شدن به برنامه کریو ارایه می دهند :
2- لاگ هایی که بر اثر تغییرات دیتابیس برنامه ایجاد می شوند ، اطلاعات می تواند از بهینه سازی یک اینترفیس اجرایی باشد و یا فرم ساده ای از یک زبان SQL که موقع استفاده با دیتابیس ارتباط دارد :
کریو کنترل این امکان را می دهد که بتوانیم با استفاده از خروجی هایی با فرمت HTML لاگ ها را با استفاده از صفحات وب بررسی و مطالعه کنیم . همچنین شما می توانید اطلاعات خروجی را با استفاده از تنظیمات Syslog در برنامه کریو کنترل و با تنظیمات DNS و IP ادرس استخراج کنید :
Syslog ها دارای 2 بخش هستند یکی Facility و دیگری Severity
1- Facility — پیش فرض آن 16 و local use آن صفر تعریف شده است شما می توانید آنها را تغییر بدهید
2- Severity — مقدار ارزشی ثابت برای لاگ های کریو کنترل است ، شما می توانید در فیلد Application تمامی syslog های این بخش را مشاهده کنید :
برای فعال سازی این قابلیت شما log connections را فعال کنید :
همچنین شما می توانید ترافیک های UPnP را با استفاده از Log connections در مسیر (Security Settings → Zero-configuration Networking) فعال کنید . برای فعال سازی لاگ های ipv6 هم از مسیر (Security Settings→ IPv6) اقدام کنید .
نحوه خواندن لاگ ها در برنامه کریو کنترل
[18/Apr/2013 10:22:47] [ID] 613181 [Rule] NAT [Service] HTTP [User] winston [Connection] TCP 192.168.1.140:1193 -> hit.google.com:80 [Duration] 121 sec [Bytes] 1575/1290/2865 [Packets] 5/9/14
در آموزش های بعدی ادامه Log های کریو مانند Dbug log را تشریح می کنم
Using the Debug log : این لاگ Debug (debug information) یک لاگ خاص است که برای مانیتور کردن ضروری از نوعی اطلاعات که برای حل مشکلات استفاده می شود ، حجم بالای اطلاعات می تواند گیج کننده و اغلب به دلیل اینکه تصویری شبیه به هم در طول یک دوره می دهد غیر عملی باشد ، معمولاً شما تنها احتیاج به تصویر اطلاعات و ارتباط میان یک سرویس خاص و عملکرد آن دارید . افزایش اطلاعات می تواند باعث افت قابلیت کریو کنترل شود ، بنابراین بخشی از آن دسته از اطلاعات که ضروریتر و مهم تر هستند در مدت کوتاهی در یک دوره خاص ذخیره و ضبط می شود .
مشاهده لاگ ها تنها برای کاربران با دسترسی مدیریت در کریو کنترل امکان پذیر است ، همچنین فرمت لاگ ها به صورتی است که هنگامی که ترافیکی در شبکه انجام می شود یک طرح و قالب برای ضبط لاگ ها ایجاد می شود این طرح مشخص باعث می شود تا لاگ های ورودی مشابه بر روی هم نوشته و ذخیره شود تا فضای دیسک کمتری را لاگ ها اشغال کنند .
برای عملکرد های پکیت ipv4 و ipv6 که هر کاربری در شبکه به صورت رکوردهایی است که ترافیک ip با جزییات بیشتری لاگ ها ایجاد می شود . برای تنظیمات فرمت پکیت لاگ :
یکی از الگوهای پکیت لاگ ها به صورت زیر است :
%DIRECTION%, %IF%, proto:%PROTO%, len:%PKTLEN%, %SRC% - %DST%, %PAYLOAD%
که فرمت این لاگ % هست و بقیه به صورت یکسری سمبل هستند :
اگر شما بخواهید مسیری مستقیم روی یک اینترفیس داشته باشید که پکیت ها از مبدا به مقصد منتقل می شوند همیشه اندازه پکیت ها به صورت :
%DIRECTION% %IF%, %SRC% >> %DST%, length %PKTLEN%
این نتیجه به صورت زیر نمایش داده میشود :
[08/Sep/2012 11:47:39] PERMIT "Firewall traffic" packet from WAN, 192.168.52.2:53 >> 192.168.52.128:1035, length 96 [08/Sep/2012 11:47:39] PERMIT "Firewall traffic" packet to WAN, 192.168.52.128:1035 >> 192.168.52.2:53, length 63
اگر شما از پروتکل هم استفاده کنید به صورت :
%DIRECTION% %IF% %PROTO% (%SRC% >> %DST%)
و به صورت زیر نمایش داده می شود :
[08/Sep/2012 16:12:33] PERMIT "Firewall traffic" packet to WAN UDP (192.168.52.128:1121 >> 192.168.52.2:53) [08/Sep/2012 16:12:33] PERMIT "Firewall traffic" packet from WAN UDP (192.168.52.2:53 >> 192.168.52.128:1121)
می توان کلیه عملیاتی که بر روی ipv4 و ipv6 صورت می گیرد را کاربر به صورت فایل های expression ایجاد و ذخیره کند ، این فایل ها را packet dump می نامند و می توان با استفاده از برنامه هایی مانند Wireshark بر روی کامپیوتر خودتان ذخیره و آنها را باز کنید . نکته : حجم لاگ های packet dump بسیار بالاست و باعث ایجاد مشکل در شبکه می شود بنابراین بهتر است بر روی اینترفیسی که لاگ ها از روی آن جمع آوری می شود تنها ضروری ترین اعلان ها و اخطار ها ثبت شود
یکی از امکانات اختصاصی در کریو کنترل این است که کلیه عملکرد ها و اطلاعات به صورت کاملا پیشرفته مانیتور می شود ، این اطلاعات می تواند کمک زیادی برای رفع مشکلات کار با کریو کنترل ارایه دهد :
لاگ هایی هستند که اطلاعات ذخیره شده از رخدادهای روی کریو کنترل را ذخیره می کنند ، این اطلاعات بیشتر درباره تنظیمات و لاگ های آن هاست . این لاگ ها نمایش دهنده Dialing هایی نظیر ارتباط Dial-up در یک مقطع زمانی است .
1- لاگ هایی بر اساس یک تنظیم دستی بر روی اینترفیس کریو کنترل توسط کاربر صورت گرفته است :
[31/Jul/2013 11:41:48] Line "Connection" dialing manually from IP 10.10.10.60, user admin. [31/Jul/2013 11:42:04] Line "Connection" connected
لاگ اول بیان کننده یک گزارش رخ داده براساس dialing است که شناسایی شده است . اطلاعات اختصاصی درباره نام line و ip ادرس و نام کاربری داده است .
2- لاگ هایی که به صورت خودکار ایجاد شده اند . این لاگ ها در یک مقطع زمانی شکل می گیرند :
[10/Jul/2013 14:19:22] Line "Kerio PPPoE" dialing due to configured connect time
این لاگ ها اطلاعات تنظیمات اتصالات را به صورت :
[10/Jul/2013 14:34:44] Line "Kerio PPPoE" dialing, required by internet connectivity
3- line های قطع شده ( دستی یا خودکار ) :
15/Mar/2013 15:29:18] Line "Connection" hanging up, manually from IP 10.10.10.60, user Admin. [15/Mar/2013 15:29:20] Line "Connection" disconnected, connection time 00:15:53, 1142391 bytes received, 250404 bytes transmitted
اولین لاگ مربوط به رکوردی است که بر اثر قطع خط بوجود امده است . و شامل اطلاعاتی درباره نام اینترفیس ، نوع کلاینت ، ip ادرس و نام کاربری دارد ، دومین لاگ اتصال موفقیت امیز خط را نشان می دهد ، اطلاعات آن شامل ، نام اینترفیس و زمان اتصال و میزان ورودی و خروجی دیتا بر حسب بایت است .
4- علل قطع شدن لینک و خطا ها ( هنگامی که اتصال Drop شده است )
[15/Mar/2013 15:42:51] Line "Connection" dropped, connection time 00:17:07, 1519 bytes received, 2504 bytes transmitted
5- Dial که روی یک لینک یک پکیت از شبکه محلی عبور داده می شود :
[15/Mar/2013 15:53:42] Packet TCP 192.168.1.3:8580 -> 212.20.100.40:80 initiated dialing of line "Connection" [15/Mar/2013 15:53:53] Line "Connection" successfully connected
این لاگ شامل اطلاعاتی درباره :
Error log همانطور که از اسم آن مشخص است کلیه پیام های خطا در عملکرد کریو کنترل را گزارش می دهند ، مدیر شبکه با استفاده از این لاگ های میتواند مشکلات بوجود امده در برنامه کریو کنترل را حل کند .
فرمی از یک ارور لاگ به صورت :
دسته بندی این لاگ ها به صورت :
یکی دیگر از لاگ های کریو کنترل filter log است ، شامل اطلاعاتی درباره صفحات وب که اجازه / بلاک شده اند ، اینها اطلاعاتی درباره پکیت های HTTP و FTP فیلتر نیز هستند ، هنگامی که یک رول HTTP و FTP فعال می شود ، نام رول ، ip ادرس هاست که درخواست URL ارسال کرده ثبت می شود ، و یا زمانی که رول ترافیک فعال شود ، جزییات و اطلاعات درباره پکیت ها شامل رول نام، ادرس مبدا و مقصد ، پورت و سایز و ... به صورت فرمتی که لاگ پکیت ها تعریف می شود در می آید .
[18/Apr/2013 13:39:45] ALLOW URL ’Sophos update’ 192.168.64.142 standa HTTP GET http://update.kerio.com/antivirus/datfiles/4.x/dat-4258.zip
حالا لاگ های پکیت
[16/Apr/2013 10:51:00] PERMIT ’Local traffic’ packet to LAN, proto:TCP, len:47, ip/port:195.39.55.4:41272 -192.168.1.11:3663, flags: ACK PSH, seq:1099972190 ack:3795090926, win:64036, tcplen:7
در کریو 8.3 به بالا ارایه شد ، اطلاعاتی مبنی بر اینکه چه کسی و چه موقعی با کدام ادرس و دسترسی به کریو کنترل داشته است را ارایه می دهد .
برای مثال زمانی که کاربری به کریو کنترل رجیستر می کند :
[02/Mar/2014 13:36:49] [IPv4] 192.168.40.131 [MAC] 00-10-18-a1-c1-de (Apple) - Host registered [02/Mar/2014 13:37:56] [IPv4] 192.168.40.131 [MAC] 00-10-18-a1-c1-de (Apple) [User] jsmith@company.com - User logged in [02/Mar/2014 16:48:52] [IPv4] 192.168.40.131 [MAC] 00-10-18-a1-c1-de (Apple) - User jsmith@company.com logged out [02/Mar/2014 16:48:52] [IPv4] 192.168.40.131 [MAC] 00-10-18-a1-c1-de (Apple) - Host removed
[02//Mar//2014 13:36:49] : تاریخ و زمان موقعی که عملی انجام شده. [IPv4] 192.168.40.131 : ادرس ip v4 کلاینت را نشان می دهد .[MAC] 00-10-18-a1-c1-de (Apple) : مک ادرس میزبان را نشان می دهد ، ممکن است مک ادرس نشان داده نشود این به تنظیمات کریو کنترل مربوط می شود
از جمله این عوامل می توان فعال بودن پراکسی - ارتباط های vpn - کلاینت در پشت کریو کنترل قرار گرفته باشد را نام برد .jsmith@company.com : نام کاربری که در فایروال احراز هویت شده است .ip address هایی که توسط DHCP ارایه می شوند : [04Mar2014 12:07:28] [IPv4] 10.10.30.81 [MAC] 00-0c-29-1d-cc-bd (Apple) [Hostname] jsmith-cp - IP address leased from DHCP [04//Mar//2014 12:07:28] : تاریخ و زمان عملی که اتفاق افتاده است . [IPv4] 10.10.30.81 : ادرس ipv4 کلاینت [MAC] 00-0c-29-1d-cc-bd (Apple) : مک ادرس میزبان [Hostname] jsmith-cp : نام کامپیوتر میزبان زمانیکه ipv6 ثبت و یا حذف می شود :
ipv6 هنگامی که تغییر بکند ، لاگ آن به صورت زیر میباشد :
[04/Mar/2014 16:05:28] [IPv4] 10.10.30.81 [IPv6] 2001:718:1803:3513:b4c6:82b3:e0f5:309e [MAC] 00-0c-29-1d-cc-bd (Apple) [Hostname] jsmith-cp - IPv6 address 2001:718:1803:3513:b4c6:82b3:e0f5:309e registered [04/Mar/2014 16:23:25] [IPv4] 10.10.30.81 [MAC] 00-0c-29-1d-cc-bd (Apple) [Hostname] jsmith-cp -IPv6 address 2001:718:1803:3513:b4c6:82b3:e0f5:309e removed
این لاگ شامل تمامی اطلاعات Http که به صورت درخواست در کریو کنترل رخ داده اند ، http به صورت یک built-in برای proxy server تعریف شده است ، این لاگ های http به صورت استاندارد در Apache WWW server تعریف شده اند و یا یک Squid proxy server هستند برای کسب اطلاعات بیشتر به لینک های زیر مراجعه کنید :
http://www.squid-cache.org
http://www.apache.org
توجه : کلیه لاگ های وب که اجازه دسترسی دارند در Http log ذخیره می شوند و آن دسته از ادرس های وب که بلاک شده اند در بخش Filter log ذخیره می شوند . log ها اختیاری و تعریف آن ها توسط رول های کریو کنترل قابل تنظیم است .
خواندن Http log در فرمت Apache
jsmith : نام کاربری که در فایروال احراز هویت شده است ( اگر احراز هویت برای کاربر صورت نگیرد یک علامت دَش - جلوی آن قرار می گیرد )
[18Apr2013:15:07:17 +0200] — : تاریخ و زمان یک درخواست HTTP را نشان می دهد . +0200 ارزش میزان زمانی نمایش وب و بر اساس استاندارد UTC است
GET : استفاده از HTTP
http://www.kerio.com : درخواست URL
HTTP/1.1 : نسخه HTTP پروتکل
304 : کد پروتکل HTTP
0 : عدد صفر اندازه دیتا ارسالی بر حسب بایت است
+4 : تعداد درخواست های http که توسط اتصال انتقال پیدا کرده است
1058444114.733 0 192.168.64.64 TCP_MISS/304 0
GET http://www.squid-cache.org - DIRECT206.168.0.9
1058444114.733 : زمان بر حسب ثانیه و میلی ثانیه
0 : عدد صفر نشان دهنده دانلود است ( این میزان همیشه 0 و در کریو کنترل قابل تغییر نیست )
192.168.64.64 : ادرس ip کلاینت است
TCP_MISS : هنگامی که TCP پروتکل بخشی از یک دیتا را پیدا نمی کند .
304 : کد HTTP پروتکل
0 : عدد صفر میزان دیتا بر حسب بایت را نمایش می دهد
GET http://www.squid-cache.org/ : درخواست http
DIRECT : روش دسترسی به سرور WWW
206.168.0.9 : ادرس ip سرور WWW
Security log دسته از اطلاعات درباره پیام های امنیتی در کریو کنترل است .
این لاگ های می تواند در انواع زیر باشد :
- تلاش برای نفوذ به سیستم
اطلاعات جمع آوری شده شامل ip ادرس و همچنین اطلاعات دیتابیس وب که به عنوان مهاجم شناسایی شده برای نمونه :
[02/Mar/2013 08:54:38] IPS: Packet drop, severity: High, Rule ID: 1:2010575 ET TROJAN ASProtect/ASPack Packed Binary proto:TCP, ip/port:95.211.98.71:80(hosted-by.example.com) -> 192.168.48.131:49960(wsmith-pc.company.com,user:wsmith)
هنگامی پکیت ها با هدف شناسایی شدن توسط هکر ها کپچر می شوند برای نمونه :
[17/Jul/2013 11:46:38] Anti-Spoofing: Packet from LAN, proto:TCP, len:48, ip/port:61.173.81.166:1864 -> 195.39.55.10:445, flags: SYN, seq:3819654104 ack:0, win:16384, tcplen:0
لاگ های FTP protocol parser log :
برای نمونه :
نمونه دوم :
لاگ هایی که بر اثر عدم احراز هویت کاربر ایجاد می شود :
شکل این پیام :
همانطور که از اسم این لاگ ها مشخص است ، کلیه اطلاعاتی که اخطاری را گزارش می دهند را ذخیره می کند ، این لاگ می تواند مثلا پیامی از طرف یک ارتباط با سرور از طریق وب باشد ، این پیام ها در کریو کنترل راهکار مناسبی برای حل مشکلات احتمالی ارایه نمی دهند ، اما می توانند اطلاعاتی به مدیران شبکه مبتنی بر اخطار هایی که اغلب بر اثر ورود به سیستم رخ می دهند بدهند . دسته بندی این لاگ ها به صورت :
خواندن Warning log
این اطلاعات در بخش Security Settings → Miscellaneous ایجاد می شوند ، برای نمونه یک لاگ اخطاری به صورت :
[18Jan2013 11:22:44] Connection limit of 500 inbound connections reached
for host 192.168.42.192.
رخ می دهد ، این خطا زمانی رخ می دهد که یک فرد یا مدیر بخواهد به کریو کنترل تحت وب وارد شود . و نمونه دوم :
[02Jan2013 13:45:37] Unable to categorize ’example.com’ by Kerio
Web Filter. DNS response ’FAILURE: Invalid authorization’ to query
’example.com.f836.ko-34554.v3.url.zvelo.com’ is invalid.
زمانی رخ می دهد که امکان رجسیتری شدن به سرور وجود ندارد ، اگر شما بخواهید لایسنس را به صورت دستی وارد کنید :
[02Jan2012 15:54:20] License update failed: Automatic license update
failed.
استفاده از IP tools در کریو کنترل
درباره IP tools
کریو کنترل شامل چندین ابزار برای رفع مشکلات ارتباطی است ، مسیر دسترسی به آن از طریق Status
→ IP Tools خواهد بود :
1- در اینترفیس مورد نظر بر روی Status → IP Tools و تب tools را بزنید
2- حالا فیلد ها و پارامتر مورد نظر را انتخاب کنید
3- Start را بزنید
ابزاری برای اتصال بین 2 هاست ارتباطی است ، توجه داشته باشید گاهی این ابزار ممکن است توسط هاست ها فیلتر شده باشد ، دارای اجزایی نظیر :
برای چک مسیر روتر هایی که در بین دو نقطه قرار دارند ، مثلا هنگامی که شما نتوانستید از پینگ استفاده کنید می توانید از این ابزار استفاده کنید . دارای پارامتر های زیر است :
Target : ip ادرس و نام هاست و هاست مقصد
Protocol : ipv4 – ipv6
Resolve addresses to hostnames : نام هاست و ip ادرسی که توسط عملکرد lookup name نمایش داده می شود
کلیه درخواست هایی که domain name server برای بدست اورد ip ادرس انجام می دهد و ان را از یک نام هاست دریافت می کند ، برای مثال هنگامی که می خواهید باز نشدن یک وب سایت را ایراد یابی کنید از این ابزار استفاده می شود ، دارای پارامتر های زیر است :
ابزاری است که اطلاعاتی درباره منابع اینترنتی نظیر یک اسم دامین و ip ادرس می دهد .
گاهی ممکن است مدیران شبکه در کار با کریو کنترل مجبور شوند عملیات سیستم کریو کنترل را موقتا غیر فعال کنند ( برای مثال برای تعویض قطعات سخت افزاری ) ، کریو کنترل به آسانی می تواند امکانات گرفتن پشتیبان را توسط کاربران لوکال و با توجه به SSL certificates انجام دهد ، شما همچنین می توانید از این فایل پشتیبانی در یک کریو کنترل که به تازگی نصب شده است استفاده کنید ، برای Export و Import نیز شما می توانید از بخش داشبورد عبارت Configuration Assistant و یا هنگامی که وارد کریو کنترل می شوید یک پنجره به صورت پیش فرض باز می شود که می توانید از آن استفاده کنید .
تنظیمات Export با فرمت tgz ( که فایل فشرده gzip ) که با کلیه فایل های کریو کنترل همخوانی دارد کار می کند ، این فایل می تواند شامل تنظیمات بخش هایی مثله SSL certificates - VPN server - web interface باشد ، Export لایسنس کریو کنترل را شامل نمی شود .
import به راحتی صورت می گیرد کافیت مسیر فایل ها را بدهیم فرمت فایل ها به صورت .tgz است ، ممکن است در هنگام عمل import به دلایلی که اغلب به خاطر کارت های شبکه است مشکلاتی رخ دهد بهتر است قبل از این کار یکی از کارت های شبکه را اختصاصا برای عمل import تنظیم کنیم ، این کار از طریق تنظیمات traffic rules و یا interface group settings امکان پذیر است .
کریو کنترل به صورت اختصاصی تنظیمات SMTP server را ندارد ، چنانچه بخواهید پیام هایی نظیر پیام های Alert و گزارشات به ایمیل شما فرستاده شود نیاز دارید از سرویس MyKerio notification service یا از SMTP Relay Server استفاده کنید ، به صورت پیش فرض کلیه اعلان های کریو به حساب کاربری کاربر در کریو می رود ، اما محدودیت هایی این خدمات دارد و نمی توان زیاد روی آن حساب کرد ، اگر شما تعداد زیادی ایمیل را دارید می توانید از امکان SMTP Relay Server استفاده کنید . اگر می خواهید از این امکان استفاده کنید :
MyKerio یک سرویس ابری است که کاربران با دسترسی مدیر می توانند از طریق یک رابط داشبوردی با آن کار کنند ، این سرویس اجازه می دهد تا مدیران بتوانند دسترسی راه دوری به MyKerio داشته باشند برای این کار هم ابتدا Allow remote administration from MyK-erio cloud service را باید انتخاب کرد ، برای اتصال برنامه کریو کنترل هم باید سرویس Open MyKerio and join this appliance after you finish انتخاب شود .
تنظیمات بخش configuration assistant یک دسترسی پایه ای به تنظیمات کریو کنترل است ، با این پیش فرض ، که آن به صورت خودکار به صورت یک اینترفیس اجرایی باز می شود ، اگر این گزینه فعال نیست ، می توانید روی Dashboard با رفتن به Configuration Assistant ان را اجرا کنید :
کریو کنترل این قابلیت را دارد تا بتوانید در پشت آن تنظیماتی برای دسترسی به اینترنت IPV4 داشت ، تمامی تنظیمات DHCP Server و DNS را می توان از طریق wizard طی کرد ، شما می توانید یکی از راه های اتصال را انجام دهید :
1- در اولین صفحه در این ویزارد ، A Single Internet Link را انتخاب کنید
2- روی Next کلیک کنید
3- یک اینترفیس شبکه را انتخاب کنید . (Internet link)
4- یکی از مدهای :
نکته : چنانچه ip address بیشتری می خواهید قرار دهید دقت کنید تنها primary IP address را اینترفیس نمایش می دهد .
PPPoE — : شما username و password سرویس دهنده اینترنت را وارد کنید
5- Next کنید
6- انتخاب اینترفیس اتصالی به شبکه لوکال را انجام دهید
7- Next
8- حالا تنظیمات انجام شده و Finish کنید
نکته : اینترفیس هایی نظیر Internet Interfaces به صورت یک گروه و اینترفیس های لوکالی به صورت Trusted/Local Interfaces گروه بندی شده اند ، گروه Other Interfaces برای آن دسته از اینترفیس های ضروری هستند که به صورت رول های دستی ایجاد می شوند نظیر رول DMZ
چنانچه شما 2 لینک اینترنت دارید ، کریو کنترل می تواند یک تقسیم بندی بین هر دو داشته باشد :
1- در اولین صفحه Two Internet links with load balancing را انتخاب کنید
2- Next
3- انتخاب 2 اینترفیس که اینترنت را انتقال می دهند .
نکته : برای هر لینک یک link weight در نظر گرفته می شود که ارتباط با سرعت هر لینک دارد این مقدار یک توازن را در ارتباط ایجاد می کند که باید با سرعت هر لینک مطابقت داشته باشد
نکته : اگر شما 2 لینک با سرعت های لینک اولی 4 Mbits و دومی هم 8 Mbits داشته باشید . شما weight 4 برای لینک اولی و برای لینک دومی weight 8 را انتخاب باید بکنید ، تمامی سرعت انترنت با هم جمع شده و یک نسبت 1:2 ایجاد می شود .
4- انتخاب مد :
5- Next
6- حالا اینترفیس اتصالی به شبکه لوکال را انتخاب می کنیم
7- Next
8- Finish
کریو کنترل قابلیت تضمین لینک ارتباطی حتی بعد از قطعی آن را دارد شما می توانید در آن یک لینک پشتیبانی را ایجاد کنید ، این ارتباط پشتیبانی می تواند به صورت خودکار اجرا شود ، این عمل به این صورت انجام می شود که هنگامی که شما به یک لینک ارجعیت بالاتری می دهید در زمان قطعی لینک ، فعال خواهد شد .
1- در اول صفحه ویزاردی Two Internet links with failover را انتخاب کنید
2- Next
3- اینترفیس های primary connection و secondary connection انتخاب می شود
4- مد :
5- Next
6- اینترفیس شبکه لوکال را انتخاب کنید ، اگر چند اینترفیس اتصال دارد شما اینترفیسی که به برای مدیریت کریو کنترل هم هست را انتخاب کنید
7- Next
8- Finish
با استفاده از Configuration Assistant می توان تنظیمات traffic rule را انجام داد :
1-در Configuration Assistant روی Define traffic policy کلیک کنید .
2-یکی از انتخاب های زیر را فعال کنید :
3-Next
4-برای ساخت سرویس هایی که فایروال را قادر می سازد تا شبکه محلی بتواند به اینترنت متصل شود از این بخش استفاده می شود :
5-در Inbound policy می توانید یکی از پارامتر های :
6-مرتب کردن رول ها به ترتیبی که قرار است کار کنند ( اولویت اجرا از بالا به پایین است )
7-Finish
کلیه فایل ها را می توانید با فرمت .tgz که شامل فایل های تنظیماتی در کریو کنترل هستند را Export کرد ( در اموزش های قبلی به آن اشاره شده است ) ، همچنین تنظیمات برای Import در کریو کنترل هم در اموزش های قبلی توضیح داده شد .
استفاده از کریو کنترل از یکی از روش های زیر میسر می شود :
رجیستری نسخه رایگان کریو کنترل
در نسخه رایگان شما دسترسی به امکانات زیر را ندارید :
خرید کریو کنترل
انتقال لایسنس ها
هر لایسنس را می توان بین :
نکته : چنانچه از محصولات سخت افزاری مختلفی استفاده می کنید توجه داشته باشید که شما قادر به استفاده از یک لایسنس نیستید ، اما می توانید در دستگاه هایی که سخت افزار مشابه دارند از یک لایسنس برای آنها استفاده کنید
نکته : حذف سیستم قدیمی لایسنس را باطل می کند و روی دستگاه های دیگر کار نمی کند
Import کردن کلید لایسنس
نکته : حتما در بخش License و سپس در Dashboard چک کنید که لایسنس فعال شده باشد
کریو کنترل شامل یک داشبود قابل سفارشی سازی است . هر بخشی شامل یک تیتر به همراه اطلاعاتی درباره گراف ها - اخبار کریو - امارها و ... است . بعد از هر بار وارد شدن به کریو نمایش داده می شود . مسیر دسترسی به آن Configuration → Dashboard است :
کریو کنترل بصورت یک اینترفیس تحت وب به کمک پروتکل های SSL رمز گذاری می شود . برای رفتن به حالت Http ان :
1- administration interface بروید
2- در Advanced Options → Web Interface علامت عبارت Force SSL secured connection را می توانید بردارید ( برداشتن این گزینه یک ریسک امنیتی است )
3- Apply
کریو کنترل یک دامین نیست ، بلکه این دامین برای کنترل ان می باشد ، ممکن است در بعضی از سیستم های قدیمی نظیر ویندوز Xp مشکلاتی به دلیل احراز هویت رخ دهد . چنانچه قصد تغییرات در این بخش را دارید :
1- در administration interface ، بروید به Advanced Options → Web Interface
2- انتخاب کنید ، Use specified hostname و یک نام هاست را برای مثال firewall.mycompany.com وارد کنید
3- Apply
همچنین در کریو کنترل می توان SSl تبادلی بین یک کلاینت و سرور ردوبدل می شود را تغییر داد ، برای این کار شما نیاز به یک SSL certificate ولید و معتبر دارید :
SSL certificate در کریو کنترل یکی از راه کارهای احراز هویت است ، که برای رمزگذاری در ارتباطاتی نظیر VPN - Https و ... مورد استفاده قرار می گیرد ، صدور SSL certificate در کریو توسط منابع محلی آن تامین می شود ، به هنگام نصب برنامه کریو کنترل لحاظ می شود . کریو کنترل از فرمت های SSL certificate زیر پشتیبانی می کند :
ساخت یک Local Authority در کریو کنترل
در هنگام نصب کریو به صورت خودکار Local Authority لحاظ می شود . چنانچه نام هاست و دیگر دیتا ها درست نباشد نیاز هست تا یک certificate جدید برای احراز هویت محلی یا همان Local Authority ایجاد شود :
همچنین برای ایجاد یک Local Authority جدید می توانید در بخش Definitions → SSL Certificates تغییراتی نظیر :
ساخت یک certificate در Local Authority
اگر قصد ساخت certificate جدید را دارید و یا certificate قدیمی کار نمی کند :
کریو کنترل بین شبکه های محلی و اینترنت نیاز به یک gateway دارد ، تا بتواند ترافیک را بین شبکه ها انتقال دهد ، برای هر اینترفیس در کریو کنترل گروه خاصی در نظر گرفته می شد :
اموزش نحوه اضافه کردن یک اینترفیس جدید
تنظیمات اینترفیس ها
Configuring Internet connectivity
برای تنظیمات شبکه هایی که می خواهند با ipv4 کار کنند :
1- از بخش administration interface وارد Interfaces بشوید
2- انتخاب کنید یکی از بخش های :
3-روی Apply کلیک کنید
Adding tunnels
در کریو کنترل می توان پروتکل های تانل نظیر : PPTP — PPPoE — L2TP — VPN را ایجاد کرد
تنظیمات PPPoE بر روی اینترفیس
یکی از پروتکل های متداول در شبکه های یکتا استفاده از مد pppoe است ، شما نیاز دارید تا ابتدا اطلاعات زیر را سرویس دهنده اینترنت خود دریافت کنید :
Username
Password
Configuring PPPoE tunnel
برای تنظیمات در یک شبکه و اتصال آن به اینترنت کاربرد دارد :
نکته : چنانچه شما هیچ اینترفیسی را انتخاب نکنید ، کریو کنترل به صورت خودکار این کار را انجام می دهد
Configuring PPTP tunnel
برای تنظیمات شما به اطلاعات زیر نیاز دارید :
PPTP server hostname
username and password for PPTP server access
Configuring L2TP tunnel
تنظیمات این بخش مانند PPTP می باشد
VPN tunnel
کریو کنترل می تواند Virtual Private Network را پشتیبانی کند ، شما می توانید از این قابلیت در شبکه های LAN و یا در شبکه هایی که VPN Server کار می کند نظیر کلاینت های دستگاه هایی نظیر موبایل و کامپیوتر و .... استفاده کنید . تنظیمات :
نکته : در شبکه های محلی هر بخشی باید ip ثابت داشته باشد قبل از اتصال دو سایت با vpn شما باید مطمین شوید که رنج های ip شبکه ها شبیه هم نباشد به عبارت دیگر عمل روتینگ صورت نگیرد .
Configuring routing
به صورت پیش فرض عمل روتینگ شبکه های محلی با vpn server تنظیم شده است اما در شرایطی که نیاز به روت خاصی هست :
Configuring VPN failover
کریو کنترل می تواند به صورت یک load balancing در بین چندین ارتباط VPN کار کند ، این عمل خودکار صورت می گیرد ، شکل زیر نشان می دهد که چگونه باید ادرس هاست نوشته شود :
یک سناریو از Kerio VPN tunnel
می خواهیم ارتباط دو شرکت را با استفاده از Kerio VPN tunnel برقرار کنیم در این مثال :
می خواهیم بین دو شبکه و VPN client ترافیک را عبور بدهیم :
ما باید ابتدا تنظیمات زیر را انجام بدهید :
1- در headquarters باید در بخش Kerio Control administration تانل vpn را تعریف کنیم در اینجا Active شبکه نهایی به سمت branch office دارای ip address داینامیک است و حال Passive شبکه نهایی که به سمت headquarters server دارای ip ادرس پابلیک است .
2- حالا vpn tunnel را بسازید ( اگر نشد در لاگ های خطا چک کنید که مدرک یا certificate برای سرور راه دور انجام شده است )
3- در traffic rules اجازه دسترسی به عبور ترافیک بین local network و remote network و VPN client باید داده شود
4- تنظیمات محدودیت ترافیکی برای headquarter's server انجام شود ، روی branch office server تنها ترافیک بین شبکه محلی و VPN tunnel باید باشد
5- حالا تست کنید می توانید ارتباط را با پینگ یا tracert چک کنید . اگر پیام Unknown host را مشاهده کردید شما باید DNS ها چک کنید .
Configuring Ethernet ports
در جعبه های کریو کنترل پورت های اترنت گیگابیت وجود دارد . این پورت ها به صورت زیر تقسیم بندی می شوند :
همچنین در اینجا امکان استفاده از VLAN نیز وجود دارد
5. Speed and duplex را تنظیم کنید
6. روی Ethernet interfaces شما می توانید VLAN هم تعریف کنید
7. Save کنید
در اینجا می توان مد های Speed و Dublex برای Ethernet interfaces و برای ساخت VLAN ها روی اینترفیس ها داشته باشید :
کریو کنترل از پروتکل L2tp یا همان (Layer 2 Tunneling Protocol) پشتیبانی می کند . شرکت های ISP از این پروتکل بیشتر برای اتصال کاربرانشان به اینترنت استفاده می کنند . در مباحث بعدی IPsec VPN بیشتر درباره قابلیت های تانلینگ در کریو کنترل بحث خواهیم کرد .
- سرور L2tp و نام هاست
- نام کاربری و پسورد برای دسترسی L2TP server
شما نیاز به اینترنت و همچنین پشتیبانی ISP سرویس دهنده اینترنت از پروتکل L2tp دارید :
نکته : موقعی که در Status وضعیت را UP نشان می دهد یعنی L2TP tunnel فعال است .
چنانچه قصد استفاده از یک ip ادرس پابلیک برای استفاده در L2tp تانل رو دارید :
1- در administration interface بروید به Interfaces
2- تغییر در Internet connectivity به وضعیت Multiple Internet Links - Load Balancing
3- اضافه کردن L2TP tunnel
4- در Interface Group انتخاب کنید Internet Interfaces
5- انتخاب Use for Link Load Balancing در کادر L2TP Interface Properties
6- غیر فعال کردن Use for Link Load Balancing در کادر Ethernet Interface Properties
7- تنظیمات را Save کنید
guest network یکی دیگر از امکانات کریو کنترل برای مهمان هایی است که وارد شبکه شما شده اند ، کریو یک امکان امنیتی برای آن ایجاد می کند :
Assigning guest interfaces
برای ایجاد یک guest network باید وارد بخش Guest Interfaces شد :
1-در administration interface وارد Interfaces شوید
2-یک اینترفیس را برای کاربران مهمان تعریف کنید
3-شما می توانید اینترفیس را دراگ کنید در گروه Guest Interfaces
4-Apply کنید
اینترفیس هایی که در Guest Interfaces تعریف می شوند مانند گروه های Trusted//Local Interfaces - Other Interfaces خواهند بود . اگر DHCP server در فعال باشد به صورت خودکار تمامی Scope می تواند به کاربران اعمال شود . در صورت اعمال تنظیمات به صورت دستی شما باید برای هر کاربر مهمان تنظیمات را دستی اعمال کنید .
هنگامی که کاربر مهمان در شبکه کریو کنترل اتصال برقرار می کند یک صفحه خوش آمد گویی باز می شود ، شما می توانید این صفحه را به دلخواه خودتان طراحی کنید ، اما نمی توانید آن را غیر فعال کنید :
1-در بخش administration interface به Domains and User Login بروید
2-روی تب Guest Interfaces می توانید متن خوش آمد گویی را وارد کنید
3-Apply کنید
می توان در کریو کنترل از امکانات سفارشی سازی پسورد استفاده کرد :
این رول دارای دو دسته هست که در guest interfaces تنظیم می شود . که شامل یک ترافیک خروجی در Internet access (NAT) و تمام اینترفیس ها را شامل می شود . رول Guests traffic اجازه عبور ترافیک را برای همه guest interfaces ایجاد می کند .
VLANs (Virtual LANs) شبکه های مجازی را با استفاده از یک اینترفیس اترنت ایجاد می کنند ( اینترفیس ترانک ) کریو کنترل از Q 802.1 VLANs پشتیبانی می کند . هر Vlan همچون یک اینترفیس عمل می کند .
حذف VLAN interfaces
حذف یک Vlan از trunk interface به صورت :
اگر می خواهید تمامی آنها را پاک کنید در بخش Create VLAN subinterfaces تیک آن را بردارید
یکی از امکانات جدیدی که در Kerio Control 8.5.0 ایجاد شده است ، یک MAC address برای شناسایی یک دستگاه روی یک شبکه کاربرد دارد ، گاهی بعضی از روتر ها و یا سرویس دهندگان اینترنت از مک ادرس خاصی استفاده می کنند ، ممکن است شما نیاز داشته باشید مک ادرس های خاصی را در شبکه برای اینترفیس ها نیاز داشته باشید . کریو کنترل این امکان را می دهد .
تغییر مک آدرس ها
کریو کنترل از (Virtual Private Network) یا VPN پشتیبانی می کند ، کریو کنترل شامل تنظیماتی اختصاصی برای VPN است ، که به Kerio VPN نامیده می شود . این کریو را می توان برای مواردی :
اینها موضوعاتی است که کریو سرور VPN استفاده می کند
Configuring Kerio VPN Server
اولین کاری که باید برای راه اندازی VPN انجام داد تعریف رول های ترافیکی است :
1- در بخش administration interface بروید به Interfaces
2- دوبار کلیک کنید روی VPN Server
3- در VPN Server Properties علامت Enable Kerio VPN Server را بزنید
4- روی تب Kerio VPN یک certificate معتبر را انتخاب کنید
5- حالا port 4090 ( هم برای TCP و هم برای UDP ) که به صورت پیش فرض هست
نکته : بدون داشتن یک دلیل مناسب پورت پیش فرض را تغییر ندهید !!!
6- به صورت دستی یک روت VPN اختصاصی ایجاد می شود
7- Kerio VPN Server به 2 راه می تواند ترافیک را به VPN Client ها توزیع کند :
8- تنظیمات را Save کنید
Configuring routing
به صورت پیش فرض ، روت ها همه به صورت یک subnet لوکال برای VPN Server تعریف شده است . برای ایجاد یک VPN روت اختصاصی باید :
استفاده از Kerio Control DNS server
این سرور DNS در کریو کنترل برای VPN Client استفاده می شود :
نکته : کریو کنترل از DNS سرور اختصاصی برای کلاینت های VPN و همچنین داشتن یک دومین خاص برای شبکه کریو کنترل بهره میبرد
برای اختصاصی کردن DNS سرور که برای VPN کلاینت ها استفاده می شود :
نکته : DNS سرور ها بر روی تمامی Kerio Control VPN Client اعمال می شود
نکته : برای استفاده از WINS در Kerio Control VPN Client می توانید از تب WINS در بخش VPN Server Properties استفاده کنید .
تنظیمات برای کلاینت ها به صورت یک اتصال راه دور در شبکه های محلی به صورت :
به صورت پیش فرض رول ترافیکی فعال است ، تعریف سرویس برای Kerio VPN (TCP/UDP 4090) برای شما مقدور نیست .
Changing MAC addresses of network interfaces
یکی از امکانات جدیدی که در Kerio Control 8.5.0 ایجاد شده است ، یک MAC address برای شناسایی یک دستگاه روی یک شبکه کاربرد دارد ، گاهی بعضی از روتر ها و یا سرویس دهندگان اینترنت از مک ادرس خاصی استفاده می کنند ، ممکن است شما نیاز داشته باشید مک ادرس های خاصی را در شبکه برای اینترفیس ها نیاز داشته باشید . کریو کنترل این امکان را می دهد .
Configuring VLANs
پشتیبانی از Vlan در کریو کنترل : VLANs (Virtual LANs) شبکه های مجازی را با استفاده از یک اینترفیس اترنت ایجاد می کنند ( اینترفیس ترانک ) کریو کنترل از Q 802.1 VLANs پشتیبانی می کند . هر Vlan همچون یک اینترفیس عمل می کند .
Creating VLAN interfaces
تعریف یک VLAN جدید :
حذف VLAN interfaces
حذف یک Vlan از trunk interface به صورت :
اگر می خواهید تمامی آنها را پاک کنید در بخش Create VLAN subinterfaces تیک آن را بردارید
ممکن است نیاز باشد برای دسترسی به سرویس هایی در کریو کنترل توسط کاربرانی که از سرویس هایی نظیر vpn client استفاده می کنند ، نیاز داشته باشید که از ip static استفاده کنید ، برای این منظور :
یک ارتباط چندگانه روتینگ میان شبکه های سازمان هایی که در شکل زیر مشاهده می کنید برقرار است ، شرکت های زیر مجموعه قصد دارند تا با یک ارتباط VPN به دفتر مرکزی متصل شوند :
در یک سناریو سرور (default gateway) با یک ادرس ثابت 85.17.210.230 و دارای DNS به نام gw-newyork.company.com است ، سروری که یکی از زیر مجموعه ها استفاده می کند ادرس 195.39.22.12 و با اسم DNS به gw-london.company.com است ، یکی دیگر از زیر مجموعه ها با استفاده از dynamic IP address که از ISP می گیرد کار می کند ، دفتر مرکزی دارای DNS domain company.com است ، زیر مجموعه ها نیز با subdomains های santaclara.company.com و newyork.company.com هستند .
روش کار
تنظیمات دفتر مرکزی
1-Kerio Control باید روی default gateway دفتر مرکزی نصب شود
2-در کریو کنترل رول های ترافیکی برای سرور Kerio VPN باید تنظیم شود و اجازه دسترسی به آن داده شود ، در اینجا باید رول ارتباطی بین VPN کلاینت ها و شبکه های محلی با هم برقرار شود :
3-تنظیمات DNS را انجام دهید ( نقش DNS برای فوروارد کردن درخواست های دیگر سرور ها است ) ، فعال بودن Use custom forwarding سبب می شود تا نام های filial1.company.com و filial2.company.com در رول تعریف شوند . forwarding DNS server برای ip ادرس هایی که در کریو کنترل در واقع هاست ها از اینترفیس های ورودی برای اتصال با شبکه ها محلی راه دور تانلی استفاده می کنند مفید است :
توجه : روی دیگر کامپیوتر ها یک IP address و primary DNS server تنظیم کنید ، این ادرس ها باید مطابق با Default gateway یا ( 10.1.1.1 10.1.2.1) باشند . هاست هایی که در شبکه های محلی هستند با استفاده از DHCP protocol می توانند ادرس ها را دریافت کنند .
4-فعال کنید VPN server و تنظیمات SSL certificate
5-از آنجایی که دفتر لندن با استفاده از VPN tunnel می خواهد از دسترسی fingerprint با VPN server که در دفتر لندن قرار گرفته و با استفاده از SSL certificate راه دور کار کند لازم است که با استفاده از تب Advanced و رفتن به Use custom routes only و انتخاب آن تنظیمات مسیریابی و ادرس های تانل راه دور را تنظیم کنیم :
6تنظیمات مرحله 5 را برای دفتر ادارای پاریس هم انجام دهید به صورت :
تنظیمات دفتر لندن
1-کریو کنترل باید روی default gateway شبکه های اداری زیر مجموعه نصب شود
2-در Kerio Control تنظیمات رول های ترافیکی را طوری انجام دهید که کلیه ترافیک های Kerio VPN server اجازه عبور داشته باشد .
3-تنظیمات DNS را به این صورت که تمامی درخواست های filial2.company.com و company.com توسط فعال سازی Use custom forwarding انجام شود تنظیم کنید :
برای دیگر کامپیوترها یک IP address و primary DNS server را انجام دهید ، این ادرس ها باید مطابق با ادرس های Default gateway به صورت (172.16.1.1 172.16.2.1) هستند تنظیم شود .
4-فعال سازی VPN server و SSL certificate
5-یک Active برای تمامی دسترسی هایی که VPN tunnel برای دسترسی headquarters server به ادرس (newyork.company.com) را راه انداری کنید ، fingerprint هایی که با VPN server در دفتر مرکزی یا headquarter تنظیم شده می تواند با SSL certificate های راه دور مرتبط شود :
چک کنید که تانل ها فعال شده اند برای این چک می توانید از وضعیت Connected و Adapter info در 2 طرف ارتباط استفاده کنید ، چنانچه ارتباط برقرار نیست ابتدا کلیه رول هایی که برای عبور ترافیک تنظیم کرده اید را چک کنید ، سپس با استفاده از دستورات پینگ :
ping gw-newyork.company.com
6-یک مسیر روت شده با توجه به تصویر زیر برای اداره پاریس تعریف می کنیم ، اگر از fingerprint با VPN server که اداره پاریس با SSL certificate راه دور بخواهد کار کند نیاز است این تنظیمات انجام شود ، روی تب Advanced ، با انتخاب Use custom routes only یک روت برای شبکه محلی پاریس تعریف می کنیم :
تنظیمات برای اداره پاریس
1-کریو کنترل باید برای default gateway این اداره تنظیم کرد
2-ایجاد رولی که اجازه بدهیم ترافیک های سرویس VPN server عبور کنند
3-تنظیمات DNS را به صورت زیر :
4-فعال سازی VPN server و تنظیمات SSL certificate
5-Vpn tunnel را برای دسترسی اخر که با headquarters server اتصال برقرار کند تنظیم کنید ، (newyork.company.com ، تنظیمات روی تب Advanced و با انتخاب Use custom routes only انجام دهید :
برای تست ارتباط از ping gw-newyork.company.com استفاده کنید ، اگر ارتباط برقرار نبود کلیه رول هایی که اجازه عبور ترافیک را دارند را چک کنید .
6-یک Active برای ارتباط تانل نهایی ( Endpoint ) که اداره لندن به ادرس (server-gw-london.company.com) را متصل می کند بسازید . استفاده از fingerprint بر روی VPN server لندن با استفاده از SSL certificate راه دور صورت می گیرد . روی تب Advanced با انتخاب Use custom routes only تنظیمات روت شبکه محلی لندن را تعریف می کنیم :
8: حالا گروهی به نام All VPN Clients را از رول Local Traffic ایجاد کنید (VPN clients اتصالی به اداره های زیر مجموعه ندارند)
تست VPN
تنظیمات برای VPN انجام شد ، حالا تمامی شبکه راه دور و هاست های راه دور با هم ارتباط دارند ، برای تست ارتباط می توانید از ping و tracert استفاده کنید .
نگاهی به ipsec
Kerio Control پشتیبانی از ipsec را انجام می دهد ، IPsec (IP security) یک پروتکل امنیتی اینترنتی است ، Kerio Control در استفاده از ipsec قابلیت های منحصر به فرد خود را دنبال می کند :
در این مقاله قصد داریم تا تنظیمات ipsec برای به صورت IPsec VPN server و برای کلاینت ها را تشریح کنیم ، برای ارتباط امن شما می توانید استفاده کنید از :
تنظیمات IPsec VPN server با یک a preshared key
در preshared key یک پسورد اشتراکی برای تمامی کاربرانی که با IPsec VPN کار می کنند لحاظ می شود :
تنظیمات ipsec به صورت یک SSL certificate
نظیمات کلاینت ها با یک preshared key
شما نوع تنظیمات برای کلاینت ها را برای استفاده از این امکان آماده می کنید :
پشتیبانی دستگاه های همراه
Kerio Control از دستگاه های همراه زیر پشتیبانی می کند :
برای اینکه بتوانیم با استفاده از پروتکل IPSEC به صورت تانل کار کنیم باید از قبل تنظیمات شرایط زیر را اماده سازی کنید :
و اما تنظیمات برای IPsec VPN tunnel :
نکته : IKE نوعی رمزگذاری در بخش VPN Server Properties است که پیشنهاد می شود از آن استفاده شود
شما 2 انتخاب دارید :
SSL certificate که remote endpoint برای کریو کنترل وارد می شوند ، (Definitions → SSL Certificates).احراز هویت در بخش (Definitions → SSL Certificates) برای remote certificate شبکه های مقصد در کریو کنترل وارد می شود ، شما همچنین نیاز دارید که Local ID شبکه مقصد را بدانید که remote certificate برای آن اعمال می شود.حالا بعد از اینکه SSL certificate/Authority را وارد کردید مراحل زیر را باید انجام دهید :
Not in local store — تنها یک احراز هویت یا همان authority را می توان ایمپورت کرد در کریو کنترل ، همچنین کپی کردن remote SSL certificate ID که در فیلد Remote ID , و در جهت برعکس ، وارد کردن Kerio Control authority که برای endpoint و کپی Local ID که در remote endpoint قرار دارد .
7- روی تب Remote Networks شما باید برای کلیه شبکه های مقصد یا راه دور سابنتی برای VPN Client ها تعریف کنید .
8- تنظیمات Save شود
تنظیمات برای local networks
توجه داشته باشید شبکه ها که اینترفیس ها را نمی توانند خودکار تعیین کنند عبارتند از :
و بر عکس شبکه عای محلی را می توان خودکار تعیین کرد :
- VPN subnet ( شبکه با سابنت VPN یکسان باشد )
در کریو کنترل می توان میان چندین شبکه که لینک اینترنتی دارند ، load balancing ایجاد کرد ، می توان برای اینکار از VPN failover استفاده کرد ، در صورتی که لینک اول از کار بیفتد VPN Tunnel از کار نیفتد ، برای تنظیمات failover باید تمامی اطلاعات مقصد (endpoints ) نظیر نام هاست و ip ادرس و ... را با یک semicolons, در داخل VPN tunnel properties مانند شکل زیر وارد کرد :
شما می توانید یک secure tunnel را بین 2 شبکه LAN با یک فایروال ایجاد کنید . در این مبحث به راه اندازی تانل امن بین کریو کنترل و دیگر دستگاه ها می پردازیم :
IPsec در کریو کنترل دارای ارزش و مقادیر خاصی است ، همانطور که در مباحث قبلی گفته شد IPsec در کریو کنترل دارای ویژگی های خاص و ویژه ای است ، هر 2 نقطه انتهای بین تانل ارتباطی خودکار با هم دارند . اگر مشکلی رخ دهد شما باید دستی مقادیر را تنظیم کنید ، در جدول زیر شرحی ازین مقادیر را می توانید مشاهده کنید ،
پشتیبانی از رمز ها ( Supported ciphers )
هر رمزی از سه بخش تشکیل شده است :
کریو کنترل از رمز های زیر پشتیبانی می کند :
سیاست های ترافیک در کریو کنترل به صورت یکسری رول و قانون سفارشی تنظیم می شوند ، به طوری که دارای سلسله مراتبی از بالا به پایین هستند و اعمال این رول ها ابتدا به بالاترین و اولین رول ایجاد شده اعمال می شود . همچنین می توان رول ها را گرفته و آنها دراگ کرد یا روی جهت نما سمت راست انها کلیک و انها را جا به جا کرد ، همچنین یک رول Deny اخرین رول باید باشد ، این رول را نمی توان حذف کرد .
چنانچه هیچ ترافیک رولی را در کریو کنترل ندارید ، یک ویزارد در بخش Traffic Rules و کلیک بر روی More Actions → Configure in Wizard زده تا مراحل اغاز شود . به مثال زیر مراجعه کنید :
در وضعیت پیش فرض ، کریو کنترل تمامی ترافیک ارتباطی را Deny کرده است ، برای اینکه یک ترافیک به صورت allow برای یک user group و با SSH سرویس را در اینترنت ایجاد کنیم :
1-بروید به Traffic Rules در administration interface
2-کلیک Add
3-در پنجره Add New Rule نامی را برای آن در نظر بگیرید ( برای مثال Allow SSH to a Group )
4-همچنین انتخاب رول Generic
5-Next بزنید
6-کلیک روی Users and Groups
7-در Select Items 2 بار کلیک کنید و یک گروه (SSH allowed در اینجا مدنظر است )
8-Next کنید
9-Interfaces را انتخاب کنید
10-در کادر Select Items انتخاب Internet Interfaces
11-Next کنید
12-Services را بزنید
13-در کادر Select Items 2 بار کلیک کنید SSH
rule allow که در اینجا تعریف کردیم اجازه دسترسی SSH به اینترنت را می دهد :
تمامی سرویس های کریو کنترل در شبکه local network شما ایجاد می شوند و در نقش حفاظت از آن هستند ، برای ایجاد port mapping مراحل زیر را انجام دهید :
در رول های ترافیکی source/destination های خاصی را برای کار با user account و user group می توان در بخش traffic policy تعریف کرد ، هر user account توسط ip ادرس های میزبان که برای هر کاربر متصل هست نمایش داده می شود ، این به این معنی است که هر رولی به صورت احراز هویت کاربران در فایروال انجام می شود .
در یک شبکه خصوصی که به صورت NAT با اینترنت در تماس است ، شما می توانید کاربران موردنظرتان را به اینترنت متصل کنید که در Source یک NAT rule را ایجاد می کنید :
توجه : در کریو کنترل می توان برای دسترسی کاربران یک صفحه را به صورت احراز هویت تنظیم کرد که دستی باید کاربر اتصال را برقرار کند ، چنانچه از رول NAT استفاده می کنید این احراز هویت به صورت خودکار اعمال می شود .
1-یک رول allow که دسترسی نامحدودی به HTTP سرویس قبل از رول NAT ایجاد کنید .
2-در قسمت Content Rules یک اجازه دسترسی به کار مدنظر برای هر وب سایت و یک deny برای دیگر کاربران که دسترسی نداشته باشند ایجاد کنید :
3-کاربرانی که هنوز احراز هویت نمی شوند و تلاش می کنند تا یک وب سایت را به صورت خودکار باز کنند ، به صفحه احراز هویت (authentication page ) راهنمایی می شوند ، بعد از موفق بودن احراز هویت NAT رول انجام می شود
معرفی اجمالی IP address translation (NAT) : یک مفهوم برای این مورد به کار می رود که private IP address بتواند در یک شبکه لوکال یک پکیت را به سمت شبکه اینترنت برده و توسط IP address اینترنتی که اینترفیس کریو کنترل روی آن قرار دارد این عمل صورت می گیرد . این تکنولوژی در شبکه های local private و Internet با یک public IP address صورت می گیرد .
Source IP address translation (NAT — Internet connection sharing)
Source address translation که قرار است در رول ترافیک از سمت local private به سمت اینترنت برود . توجه داشته باشید که در این حالت Enable source NAT فعال باشد
توجه : پیشنهاد می شود تنظیمات به صورت Default setting باشد ، به صورت پیش فرض NAT از مبدا که شبکه های لوکال هستند به سمت اینترنت انجام می شود .
Full cone NAT
هنگامی که عمل NAT با یک IP ادرس خاص صورت بگیرد و تمامی IP ادرس های شبکه محلی می توانند با اینترنت ارتباط برقرار کنند این عمل را اصطلاحاَ Full Cone NAT می گویند ، از کارافتادن این گزینه در کریو کنترل را port restricted cone NAT می گویند . هنگامی که پکیت های خروجی از شبکه محلی به سمت اینترنت می روند ، کریو کنترل ip ادرس های مبدا را جایگزین ادرس های public اینترفیسی که داخل فایروال کریو کنترل قرار دارد می کند .
نکته : Full cone NAT ممکن است دارای امنیت باشد ، اما به دلیل اینکه پورت در آن باز می شود ممکن است دسترسی های غیر مجازی از خارج شبکه صورت بگیرد برای همین برای استفاده از سرویس های ویژه و خاص از آن استفاده کنید .
( Destination NAT ( port mapping
Destination address translation که به ( port mapping ) هم معروف هست ، برای اجازه دسترسی به شبکه های محلی که در پشت فایروال هستند کاربرد دارد . برای تنظیمات :
ساختار یک default NAT rule
نگاهی به Multihoming
Multihoming به معنی این است که موقعی که شبکه با یک اینترفیس به اینترنت متصل است بتوان از چندین IP ادرس پابلیک استفاده کرد . به عبارت دیگر چندین سرویس قادر هستند با استفاده از ip های خاصی کار کنند ، فرض کنید یک وب سرور web1 با ip ادرس 192.168.1.100 و یک وب سرور web2 با IP ادرس 192.168.1.200 در یک شبکه محلی داریم ، اینترفیسی که اتصال به اینترنت را دارد با ip پابلیک 195.39.55.12 و 195.39.55.13 کار می کند :
تنظیمات این دو در کریو کنترل مطابق زیر خواهد بود :
ابتدا باید ip ادرس های پابلیک را روی اینترفیس اضافه کنیم .
اضافه کردن IP address ها به یک اینترفیس
تنظیمات traffic rules برای multihoming
Limiting Internet Access : محدودیت به سرویس اینترنت در شبکه های لوکال از هر طریقی امکان پذیر است ، برای مثال با ساخت رول های NAT . برای مثال :
1-اجازه دسترسی تنها برای سرویس ها ، دسترسی در بخش Service و ایجاد ترجمه ادرس ها که در بخش translation مشخص است :
2- محدودیت با مخزن ip ادرس ها ، دسترسی اختصاصی به سرویس های ( دسترسی به سرویس اینترنت در مثال زیر ) ، که اجازه می دهد تنها یک هاست بتواند کار کند ، مبدا گروهی از ip ادرس هایی هستند که در اینترنت کار می کنند ، این گروه در بخش Definitions → IP Address Groups مشخص می شود :
نکته : تنها برای هاستی که با ip ادرس استاتیک هست کارایی دارد
3-محدودیت برای کاربران ، با استفاده از بخش مانیتورینگ فایروال و دسترسی از طریق احراز هویت یک هاست صورت می گیرد ، که ترافیک می تواند به صورت permit یا Deny باشد ، یعنی تنها می توان کاربران را به صورت درخواست احراز هویت برای دسترسی به شبکه محدود کرد ، مدیر شبکه می تواند با مشاهده لاگ ها در فایروال مشاهده کند که کاربران در چه سایت هایی وارد می شوند :
در این بخش به عیب یابی رول های ترافیکی در کریو کنترل می پردازیم ، ممکن است مشکلاتی مثلا در ارتباط کاربران با سرویس های خاص اتفاق بیفتد
ابتدا باید ip ادرسی که دراپ شده را پیدا کرد ، مثلا با ping کردن :
در اینجا شما به 2 طریق می توانید ترافیک رولی که بلاک شده را پیدا کنید :
مشاهده dropped packets
اگر IP address را می دانید روی لاگ Debug بروید :
برای مثال :
[22Dec2015 15:32:40] {pktdrop} packet dropped:
Traffic rule: Example traffic rule (to WAN, proto:ICMP, len:84,
212.212.62.103 -> 69.172.201.208, type:8 code:0 id:12380 seq:1 ttl:64)به صورت زیر :
بررسی traffic rules
یکی از امکانات در اینجا Test Rules است که تمامی رول های استفاده شده را که توسط پکیتی خاص تعریف شده :
1- در administration interface بروید به Traffic Rules
2- کلیک روی Test Rules
3- تایپ کنید source IP address که برای فایروال شما است ( در این مثال 212.212.62.103 )
4- در بخش destination IP ادرس سروری که دسترسی ندارید را تایپ کنید ( در این مثال 69.172.201.208 است )
5- OK را بزنید
6- در لیست traffic rules می توان تنها رولی که دراپ شده را مشاهده کنید :
7- بعد از اینکه رول را درست کردید Restore View را کلیک کنید :
Demilitarized zone یا DMZ یک سیگمنت خاصی در شبکه محلی است که دسترسی برای سرور ها با اینترنت را برقرار می کند ، شبکه محلی دسترسی به این سیگمنت را مستقیما ندارد ، در DMZ اگر سروری دچار حمله شود ، این حمله ممکن است به دیگر سرور ها و کامپیوتر ها در شبکه محلی نیز اسیب برساند .
Configuring DMZ
در این مثال فرض کنید می خواهیم یک وب سرور محلی را در ناحیه DMZ قرار دهیم ، شما باید اینترفیس DMZ را در گروه Other Interfaces قرار دهید . در این DMZ با سابنت 192.168.2.X است ، ادرس ip وب سرور 192.168.2.2 نیز هست . این رول به صورت زیر تعریف می شود :
نکته : برای اینکه چندین سرویس را با چندین IP پابلیک در کریو کنترل تعریف کنید و در ناحیه DMZ کار کنند مطالب فصل های قبلی درباره Multihoming را مطالعه کنید
Configuring policy routing
اگر شبکه LAN را به اینترنت با چندین لینک با لود بالانسینگ متصل کردید ، ممکن است لازم باشد تا ترافیک خاصی را از یک اینترفیس خارج کنید ، برای مثال ، ترافیک Voip در شبکه را از یک اینترفیس پیش فرض خارج کنید و سپس بخواهید مرورگر های وب یا سرور های مدیایی را اجرا کنید ، چنین قابلیتی را policy routing می نامند . در Kerio Control ، می توان policy routing های متفاوت را در ترافیک رول تعریف کرد که با NAT یا همان IP address translation کار کنند .
تنظیمات یک لینک مرجع برای ترافیک ایمیل
فرض کنید یک فایروال توسط 2 لینک با لود بالنسینگ و سرعتی معادل 4 Mbits و 8 Mbits به اینترنت متصل است ، یکی از لینک ها توسط سرویس دهنده به میل سرور متصل شده است ، تمامی ترافیک میل ها (SMTP, IMAP and POP3) ، توسط مسیریاب بین لینک ها تعریف شده است . ترافیک رول ها به صورت زیر هستند :
تنظیماتی که برای NAT در شکل بالا صورت گرفته نشان می دهد که سرویس های ایمیل چگونه تنظیم شده اند ، چنانچه لینک که برای پشتیبانی تعریف شده از کاربیفتد تمامی سرویس ایمیل تا موقعی که اتصال قطع شده غیرفعال می ماند .
در تنظیمات بالا اینترفیس به صورت خودکار کار می کند ، به این معنی که لینک 4 Mbit که برای load balancing کار می کند ، ترافیک ایمیل بالاترین ارجعیت را در لینک ها دارد .
کریو کنترل دارای 2 انتخاب اختصاصی برای ترافیک شبکه های لود بالانسینگ است :
یکی از بهترین راه حل های برای لود بالانسینگ وجود انتخابی بودن برای هر اتصال است . بهر حال ، ممکن است در حین ارتباط یک سرویس دهنده با یک لینک مشکلاتی در ادامه روند کار آن اتفاق بیفتد ، ( مثلا ارتباط یک وب سرویس با دیگر سرویس هایی که با آنها در ارتباط بوده است ) ، همچنین قطع شدن و حملات نیز می تواند منجر به قطع سرور شود .
بخشی از این مشکل را می توان در bridge بودن policy routing دانست ، مشکلاتی نظیر سرویس هایی که فعال هستند مانند HTTP و HTTPS ، که به صورت یک بار تعادلی برای هر کلاینت تعریف شده اند . همه اتصالات که برای یک کلاینت مسیر دهی شده اند تا با اینترنت ارتباط برقرار کند و دیگر سرویس هایی که با استفاده از امکان لودبالانسینگ بالاترین ظرفیت دسترسی به لینک ها را دارند . یکی از نیازسنجی ها برای ضمانت این ارتباطات داشتن 2 NAT برای ترافیک رول است :
کریو کنترل سرویس یکپارچه( Snort ( https://www.snort.org است ، یک پیشگیرانه و سیستم محافظتی (IDS/IPS) تا شبکه محلی را به شبکه های معلوم و مشخص متصل کند . پیشگیری از یک نفوذ به شبکه و روش شناسایی این نفوذ می تواند به ما کمک کند تا با استفاده از رول های فایروال کریو کنترل مدیریت امنی بر روی ترافیک داشته باشیم . یکی از این حملات را می توان مثلا DDOS که حملات تکذیب سرویس است عنوان کرد که ترافیک بالایی را از طریق پورتی به سمت شبکه سرازیر می کنند و منابع سیستمی که کاربران با آن در تماس هستند را مختل می کنند .
تنظیمات Intrusion Prevention در کریو کنترل
1- وارد بخش administration interface و بروید به Intrusion Prevention
2- فعال سازی Enable Intrusion Prevention
3- حالا مد هایی که در اینجا مدنظر دارید را انتخاب کنید ( این مراحل سه مرحله دارد ) :
4- کلیک بر روی On the Kerio website, you can test these settings برای تست سیستم Intrusion Prevention برای هر دو IPv4 و IPv6 ، و همچنین 3 نوع حمله به صورت Fake در هر سه مرحله high, middle, low severity ارسال و روی فایروال ازمایش می شود
5- Apply کنید
تنظیمات برای نادیده گرفتن نفوذ
چنانچه تنظیمات پیشگیری از نفوذ بر روی فایروال اثر معکوسی بدهد و آن دسته از ترافیکی که استاندارد است و به مشکل بلاک شدن بخورد :
1- در بخش administration interface بروید به Security log
2- این لاگ به طور مثال به صورت :
"IPS: Alert, severity: Medium, Rule ID: 1:2009700 ET VOIP Multiple Unauthorized SIP Responses"
3- ID number رول را کپی کنید
4- در administration interface بروید به Intrusion Prevention
5- کلیک Advanced
6- در Advanced Intrusion Prevention Settings کلیک کنید Add
7- کلیک ok و Apply
ترافیک مشروع حالا اجازه عبور دارد
گاهی نفوذ ممکن است توسط ضعف در ابزارهای خاصی صورت بگیرد ، بنابراین سیاست های پیشگیری از نفوذ باید بر روی پروتکل های استاندارد و معلوم پیاده سازی شود . ممکن است بعضی از ابزارها بر روی پورت های استانداری نباشند مثلا برای HTTPS پورت 10000 را اختصاص داده باشید ، بنابراین ابزار پیشگیری از نفوذ را باید برای همین پورت های خاص تنظیم کرد :
حالا یک سرویس non-standard پورت تعریف شد که حفاظت از نفوذ برای آن فعال شده است .
IP blacklist
کریو کنترل می تواند IP ادرس های مشکوک را بلاک کند ، این بخش را اصطلاحاً Blacklist می نامند ، در این فرایند هر گونه IP ادرس مشکوک و تهدید امیزی سریعا توسط سرویس پیشگیری از نفود کریو کنترل فیلتر می شود .
Automatic update
سیستم intrusion detection قابلیت بروزرسانی خودکار توسط IP ادرسی که به صورت قانونی برای آن تعریف می شود دارد . بروزرسانی اغلب به صورت زمانبندی شده صورت می گیرد اما می توانید با کلید های Shift + بروزرسانی را سریعاً انجام دهید .
نگاهی به MAC addresses فیلترینگ
کریو کنترل ادرس های سخت افزاری با همان مک آدرس را فیلتر می کند . می توان با توجه به مک ادرس یک دستگاه خاص و صرف نظر از IP ادرس آن را Allow یا Denay کرد .
تنظیمات فیلتر
5- اضافه کردن مک آدرس از لیست ، به سه شکل ممکن :
6- دوبار کلیک کنید روی ادرس هایی که صحیح هستند
7- Apply کنید
بحث درباره IPv6 بسیار مفصل است ، کریو کنترل امکانات زیادی برای استفاده از IPV6 و پروتکل های آن دارد ، در این مبحث به صورت خلاصه به بعضی از آنها اشاره می کنیم :
کریو کنترل با ویژگی IPv6 prefix delegation کمک می کند تا ISP که شما از آن سرویس دارید بتواند IPv6 prefix را برای اینترفیس کریو کنترل تنظیم کند ، این ویژگی توسط DHCPv6 کلاینت و توسط ISP به صورت خودکار یا همان اصطلاح رایج " obtain " اعمال می شود ، اگر شما IPV6 را از ISP دریافت کرده اید به صورت زیر آن را فعال کنید :
یکی دیگر از روش های فعال سازی IPv6 بر روی اینترفیس های کریو کنترل به صورت زیر است :
فعال بودن IPv6 router advertisements
کریو کنترل از IPv6 router advertisements برای stateless auto-configuration استفاده می کند ( (SLAAC ) ، کریو کنترل تمامی رکورد های تبلیغاتی مسیر ها را با یک روتر پیش فرض جمع آوری می کند :
این کار را به صورت دستی هم می توان انجام داد برای این منظور :
در کنار قابلیت های بالا کریو کنترل می تواند در نقش یک IPv6 router هم اعمال وظیفه کنید و به کلاینت ها IPV6 را اعمال کند
ویژگی Service Discovery در کریو کنترل بعد از نسخه 8.5 معرفی شد ، کریو کنترل فوروارد سرویس Service Discovery را بین شبکه ها پشتیبانی می کند ، اطلاعات بیشتر درباره این سرویس را می توانید از اینجا مشاهده کنید . این سرویس اجازه دسترسی راه دور کاربران با استفاده از VPN و یا دیگر ابزارها را می دهد تا بتوانند به دستگاه هایی نظیر پرینتر ها و ... متصل شوند ، انها در پشت فایروال هستند .
اگر شما از کریو کنترلی با استفاده از تانل های VPN به کریو کنترل دیگر متصل می شوید باید از سرویس Service Discovery forwarding استفاده کنید ، همچنین در کل شبکه شما تمامی سوییچ ها و روتر ها و مودم ها باید از multicast forwarding پشتیبانی کنند .
نکته : Kerio Control از سرویس Service Discovery forwarding تنها برای Kerio VPN استفاده می کند این سرویس در IPsec VPN پشتیبانی نمی شود
تنظیمات Service Discovery forwarding
حالا یک zero-configuration ساخته می شود که دستگاه ها می توانند به اینترفیس انتخابی متصل شوند .
Troubleshooting
اگر مشکلی با کار Service Discovery forwarding دارید ، این مشکل می تواند به دلیل فایروال کلاینت ها باشد ، در ویندوز می توانید inbound و outbound رول ها را برای اجازه عبور ترافیک به پورت های 137 و 138 تنظیم کنید تا دسترسی راه دور امکان پذیر شود ، اگر از Kerio Control VPN Client استفاده می کنید NetBIOS interface به صورت پیش فرض غیر فعال است ، برای فعال سازی :
کریو کنترل از UPnP protocol پشتیبانی می کند ، این پروتکل امکان فعال شدن ابزارها مانند MSN ماکروسافت را به کلاینت ها می دهد ، فایروال یک درخواست را ایجاد می کند و توسط یک پورت تعریف شده به اینترنت رسیده سپس به هاست در شبکه محلی اعمال می شود . ایجاد یک مَپ ضروری است . توجه داشته باشید در صورتی که پورت انتخابی با دیگر پورت ها کالوژن داشته باشد عمل مپ یا هر ترافیک دیگری دسترسی به اینترنت را از دست می دهد و درخواست UPnP port به صورت Denay می شود .
تنظیمات UPnP support
رول بالا عمل UPnP را به صورت گروهی از کلاینت ها در اورده و سپس آن را برای ip ادرس های دیگر به صورت Denay تعریف کرده است ، علت این است که هر چند UPnP می تواند مفید باشد اما گاهی با توجه به بالا بودن تعداد کاربران و همچنین حفظ ارتباط آنها با اینترنت و محافظت از شبکه داخلی لازم است که تمامی جوانب در نظر گرفته شود
این ویژگی در کریو نسخه 9.0 و بعدی ... معرفی شد ، می توان اتصالات در TCP و UDP را محدود کرد تا حملاتی مثله (DoS) را کاهش داد ، این محدودیت ها را می توان :
کریو کنترل به صورت ایجاد گروه اعمال محدودیت ها اعمال و می تواند آنها را غیر فعال کند ، این محدودیت ها هم برای IPv4 و هم برای IPv6 کاربرد دارد . فعال بودن هر کدام از اتصالات محدود دارای یک ارزش به صورت پیش فرض است :
بعد از رسیدن هر اتصال به محدودیت تعیین شده ، کریو کنترل اتصال to/from را برای هاست قطع و لاگ آن در warning log وارد می شود .
Changing default values
توجه : برای بازگشت به وضعیت پیش فرض دکمه Reset را بزنید
Disabling connection limits
کریو کنترل محدودیت ها را غیر فعال می کند
استثنا برای یک گروه IP آدرس از تمامی محدودیت های اتصالات
چنانچه قصد دارید تا برای گروهی از IP ادرس ها محدودیت اتصالی برقرار نباشد :
ایجاد محدودیت ها برای گروه IP ادرس های خاص
کریو کنترل می تواند تعداد اتصال هر هاست فعالی را ( مراجعه کنید به بخش active host در برنامه ) محاسبه کند :
این محدودیت را می توان بر روی IPV4 و IPV6 اعمال کرد و به صورت زیر می باشد :
تغییر در مقدار ارزش
برای غیر فعال کردن این محدودیت
محدودیت برای هاست های خاص
چنانچه سرورهایی که در پشت کریو کنترل دارید و قصد دارید دسته ای از IP ادرس های خاص را استفاده کنید :
کریو کنترل می تواند مدیریت پهنای باند را در ترافیک شبکه اعمال کند تا جلوی ازدحام و همچنین بالارفتن قابلیت سرویس های ضروری را بهبود ببخشد .
چگونگی کار کردن bandwidth management
بر اساس 2 ویژگی خاص کار می کند :
Internet links speed
برای مدیریت صحیح پهنای باند نیاز به یک لینک پرسرعت اینترنت داریم که دارای میانگین 80 درصد پایداری و اتصال باشد ، برای مثال برای سرویسی که 8192//512 Kbit//s این سرویس بتواند 6250 Kbit//s برای دانلود و برای آپلود هم 400 Kbit//s باشد .
تنظیمات bandwidth management
در اینجا می خواهیم برای یک کاربر به نام John Smith سرعتی معادل 50 درصد دانلود برای ساعتی که کار می کند را تنظیم کنیم :
7- Upload را روی همان حالت (No limit)
8- قرار دادن اینترفیس با (All)
9- دوبار کلیک روی Valid Time و انتخاب یک رنج زمانی و می توانید در بخش Definitions → Time Ranges این رنج را بسازید
10- انتخاب Chart ( شما می توانید از بخش Status → Traffic Charts برای ترافیک هایی که مبتنی بر زمان هستند را مشاهده کنید )
11- Apply و رول جدید را Save کنید
نگاهی به Content filter
content filter در کریو کنترل به محتوای وب اشاره دارد ، این مبحث در کریو کنترل بسیار مفصل اشاره به فیلتر محتوایی زیر دارد :
زمانی که از فیلتر روی لایه های مختلف شبکه صحبت می شود خیلی ساده می توان با یک تنظیم رول آن را انجام داد ، اما در اینجا هدف از فیلتر محتوا :
نیازمندی ها
تنظیمات content rules
برای تنظیمات در این بخش سه بخش مهم برای هر رول وجود دارد :
در جدول Content Filter شما می توانید موارد زیر را ببینید :
Kerio Control Web Filter یا application ویژگی غیر فعال شدن را از بخش contenet filter → Applications and Web Categories
Duplicating content rules
اگر شما می خواهید یک رول جدید ایجاد کنید :
1- در administration interface بروید به Content Filter
2- روی Content Rules کلیک Add
3- مانند شکل زیر یک خط جدید را ایجاد کنید :
4- دوبار کلیک کنید Detected content و از جدول نوع فیلترینگ را تعریف کنید
5- دوبار کلیک Source و انتخاب کاربران یا IP آدرس ها
6- دوبار کلیک Action و پر کردن کادر
7- ( اختیاری ) تنظیمات زمان Definitions → Time Ranges
8- Apply
Detecting content
تشخیص محتوا در بخش Content Rule - Detected Content و کلیک :
تنظیمات برای actions
شما می توانید در کادر Content Rule - Action روی هر Action انتخاب کنید :
Allow : هر ترافیکی که می خواهید اجازه عبور به آن بدهید به صورت :
Deny : عدم دسترسی به محتوا تعریف شده در کریو کنترل
توجه : عمل redirect تنها در محتوای HTTP انجام می شود نه در HTTPS
Drop : دسترسی انکار شده و کاربر یک صفحه غیر فعال را میبیند
اگر شما از نرم افزارهایی استفاده می کنید که به صورت خودکار بروزرسانی می شوند می توانید آنها را با استفاده از content filter با ساخت یک New role مدیریت کنید :
1- بروید به Content Filter و فعال کردن رول Allow automatic updates and MS Windows activation
حالا با توجه به شکل پایین رول Automatic Updates برای گروهی از URl ها تعریف کنید :
2- بروید Definitions → URL Groups
3- Add
4- در Add URL انتخاب ، Select existing → Automatic Updates
5- نوشتن URL قصد بروزرسانی دارید ( استفاده از *, ? یا انتخاب Use regular expression و نوشتن URL
فیلتر فیسبوک
چنانچه از لایسنس کریو کنترل استفاده می کنید می توانید علاوه بر فیسبوک دیگر رسانه های اجتماعی را فیلتر گنید . برای این منظور :
1- روی تب Content Rules کلیک کنید Add
2- برای رول جدید نامی را بنویسید
3- روی Detected Content دوبار کلیک کنید
4- در Content Rule - Detected Content کلیک Add → URL and Hostname
5- نوشتن facebook.com در کادر Site
6- گذاشتن علامت چک( Also apply to secured connections ( HTTPS
7- کلیک OK
8- در Content Rule - Detected Content و کلیک Add → URL and Hostname
9- نوشتن www.facebook.com در کادر Site
10 - انتخاب Hostname across all protocols ( کریو کنترل تمامی DNS هایی که به فیسبوک درخواست میدهند را در نظر میگیرد )
11- OK کنید
12- دوبار کلیک روی Action
13- در Content Rule - Action بروید به Deny ( در باکس Action )
14- Save کنید
حالا برای امتحان این رول وارد فیسبوک شوید
اجازه به عبور محتوا با Samepage.io
اگر می خواهید :
می توانید از samepage.io یا هر سرویس ابری دیگری به صورت زیر استفاده کنید :
1- روی تب Content Rules ، کلیک Add
2- در new rule یک اسم را بنویسید
3- روی Detected Content دوبار کلیک کنید
4- در Content Rule - Detected Content کلیک Add → URL and Hostname
5- نوشتن samepage.io داخل کادر Site
6- انتخاب( Also apply to secured connections (HTTPS
7- کلیک OK
8- دوبار کلیک روی Action
9- در Content Rule - Action انتخاب Allow ( در کادر Action )
10 - انتخاب Skip Antivirus scanning
11- Skip Forbidden words filtering
12- انتخاب Do not require authentication
13- Save تنظیمات
قابلیت SafeSearch در کریو کنترل
یکی از قابلیت هایی که در کریو کنترل نسخه 9.1 معرفی شد قابلیت SafeSearch برای موتورهای جستجو بود . این قابلیت کمک می کند تا بتوانیم در کریو کنترل محتوای غیر اخلاقی و نامناسب را بتوان بلاک کرد ، این ویژگی از موتورهای جستجو زیر پشتیبانی می کند :
نحوه کار SafeSearch
این ویژگی بر پایه DNS است ، اگر کامپیوتر کاربری درخواستی را برای IP آدرس www.google.com ارسال کند ، کریو کنترل آن را در DNS request به صورت forcesafesearch.google.com ترجمه می کند ، با این حال SafeSearch نمی تواند از قابلیت Kerio Control non-transparent proxy server استفاده کند . البته توجه داشته باشید با توجه به اینکه هر موتور جستجویی از قابلیت جستوی امن متفاوتی بهره می برد ممکن است در کریو کنترل هر موتور جستجو نتایج مختلفی را بدهد .
فعال سازی SafeSearch
بعد از اینکه شما تنظیمات Kerio Control DNS server را انجام دادید :
حالا در کریو کنترل محتوا غیر اخلاقی و نامناسب نمایش داده نمی شود .
نکته : چنانچه DNS و اسامی سایت ها روی کامپیوتر های کاربران کش شده باشد بهتر ابتدا کش تمامی سیستم ها پاکسازی شود ممکن است در نتایج کار با سرویس SafeSearch مغایرت ایجاد کند .
ایجاد استثنا برای کاربران در Safe Search
می توان کاربرانی که با کار در SafeSearch به مشکل می خورند را استثنا قایل شد و انها را جدا کرد :
1- در administration interface بروید به Content Filter → Safe Web
2- در کادر Select Items و کلیک Add
3- در Select Items کلیک Add
4- در باکس Select Items کاربران را انتخاب کنید :
9- در Content Rule - Action و انتخاب Allow ( در منو Action )
10- انتخاب Skip Antivirus scanning
11- انتخاب Skip Forbidden words filtering
12- انتخاب Do not require authentication
13 - Save تنظیمات
کریو کنترل امکان فیلتر وب سایت ها بر اساس لغات را می دهد ، این فیلتر بر اساس میزان ارزش آن واژه در کل سایت انجام می شود چنانچه از این میزان خارج شود محدودیت که تعریف شده اعمال می شود . این قابلیت به صورت پیش فرض غیر فعال است ، برای فعال سازی ٍ انتخاب Enable Forbidden words filtering در بخش Content Filter → Forbidden Words انجام می شود .
اضافه کردن واژگان برای ممنوع شدن
1- در بخش administration interface ، بروید به Content Filter → Safe Web
2- کلیک بر روی Add
3- در کادر Add Group Item ، می توانید یک گروه را بسازید یا فقط یکی
4- شکل صحیح واژه به هر زبانی ، واژگان مشابه آن عیناً باید نوشته شود
5- نوشتن یک وزن ( weight ) ( در کریو کنترل واژگان عمومی دارای کمترین وزن هستند )
6- OK کنید
7- روی تب Safe Web و کلیک Apply
با سلام ، یکی از مشکلاتی که کاربران هنگام کار با کریو کنترل دارند مشکل احراز هویت با پروتکل های HTTPS است ، برای رفع این مشکل باید رول های HTTPS را به صورت شکل زیر تعریف کرد :
درباره شبکه Peer-to-Peer (P2P) شبکه
شبکه های Peer-to-Peer ، شبکه های جهانی گسترش یافته ای هستند که در آن ها یک ارتباط 2 طرفه میان کلاینت و سرور برقرار است ، در این شبکه ها می توان جحم بالایی اطلاعات را به اشتراک گذاشت . در مجموع این شبکه گسترش یافته و قانون مند قابلیت اتصال کاربران به اینترنت را دارد ، بنابراین ممکن است بخواهید تا عده ای از کاربران محدودیت ترافیکی نسبت به دیگر کاربران داشته باشند .
تنظیمات و اضافه کردن P2P traffic rule
اگر در بخش Content Filter رول Peer-to-Peer traffic نداشتید یکی اضافه کنید :
حالا نتیجه به صورت زیر می باشد :
اطلاعات درباره P2P و ترافیک های بلاک شده را می توانید در Status → Active Hosts مشاهده کنید .
تنظیمات پارامتر ها برای تشخیص شبکه های P2P
شبکه های P2P به صورت خودکار تشخیص داده می شوند ( این عمل با ماژولی به نام P2P Eliminator انجام می شود ) برای تنظیمات این بخش از Content Filter → Advanced Settings استفاده می شود . این شبکه ها در صورتی که ترافیک باید تضمین شود برای استفاده مناسب نیستند :
Application awareness in Kerio Control
در نسخه 9.1 کریو کنترل معرفی شد ، ابزارهای آگاهی دهنده به دو بخش تقسیم می شوند :
Application control ، کمک می کند تا کریو کنترل بتواند 100 ها برنامه ای که در شبکه آن کاربرد دارند را شناسایی کند ، شما می توانید :
Application visibility ، اجازه می دهد تا شما بتوانید نگاهی به ابزارهای کاربردی در Kerio Control Statistics و Active Connections داشته باشید .
Enabling application awareness
این ابزار نمی تواند به صورت ترکیبی با Kerio Control non-transparent proxy server کار کند ، برای فعال سازی :
1- در administration interface ، بروید به Content Filter
2- کلیک بر روی تب Applications and Web Categories ، سپس انتخاب Enable application awareness
3- Apply
Setting content rules
برای مثال Social networks ها را می خواهیم Deny کنیم :
1- در administration interface و بروید به Content Filter
2- کلیک در تب Content Rules و کلیک Add
3- در جدول نامی را برای رول بنویسید
4- دوبار کلیک بر Detected content
5- در Content Rule - Detected Content و کلیک بر Applications and Web Categories
6- در کادر Applications and Web Categories ، انتخاب Social Networking
7- دوبار کلیک OK
8- بخش Source را تغییر ندهید
9- دوبار کلیک در Action
10- در Content Rule - Action و انتخاب Deny
11- نوشتن یک متن deny برای اطلاع دادن به کاربران تحت وب
12- OK
13- تب Content Rules و سپس کلیک Apply
Setting bandwidth rules
در این بخش مثالی برای محدود کردن دسترسی موزیک ( music ) خواهیم داشت :
1- در administration interface و بروید به Bandwidth Management and QoS
2- کلیک در Add
3- در جدول نامی برای رول بنویسید
4- دوبار کلیک بر روی Traffic
5- در باکس Traffic کلیک بر روی Applications and Web Categories
6- در کادر Applications and Web Categories و زیر Entertainment / Culture انتخاب Music
7- OK را دوبار بزنید
8- در ستون Download محدودیت پهنای باند را تعیین کنید
9- Apply
Application visibility in Active Connections
در Active Connections شما می توانید تمامی اپلیکیشن های فعال را مشاهده کنید :
1- در administration interface بروید Status → Active Connections
2- روی هدر ستون راست کلیک کنید
3- در context menu کلیک در Columns
4- انتخاب Info
Debugging application awareness
در آخر هم برای مشاهده Debug :
1- در بخش administration interface بروید به Logs → Debug
2- راست کلیک روی پنجره log
3- در context menu انتخاب Messages
4- در Logging Messages و انتخاب :
5- OK
Kerio Control Web Filter محتوای وب را شامل می شود ، این ویژگی صفحات URL داینامیکی را پوشش می دهد و آن ها را دسته بندی می کند ، این عملکرد در کریو کنترل توسط یک تشخیص Rate و درجه بندی شده صورت می گیرد ، هنگامی که صفحه وبی فراخوانی می شود یک درخواست به کریو کنترل ارسال می شود و سپس Rate آن بررسی می شود حالا اجازه یا عدم دسترسی به آن وب سایت صادر می شود .
نکته : Kerio Control Web Filter نیازمند لایسنس خاصی است که در کریو کنترل پلاگین آن وجود ندارد ، در نسخه رایگان آن فقط 30 روز فعال می شود .
فعال سازی Kerio Control Web Filter
Testing URLs
در بخش administration interface امکان تست URL وجود دارد ، چنانچه می خواهید نتایج با جزییات بیشتری باشد :
Creating a URL whitelist
شما می توانید در کریو کنترل لیستی خاص از URL هایی که مدنظرتان هست قرار دهید :
1- در بخش Content Filter ، بروید به Kerio Control Web Filter
2- Add
3- نوشتن URL و توضیحی درباره آن به صورت :
4- Save
کاربرد Web Filter in URL rules
هنگامی که Kerio Control در حال بررسی یک URL rule هست ، بررسی می کند که با توجه به دسته بندی آن صفحه آیا سرویس وب فیلتر فعال است ، برای این منظور :
نگاهی به HTTP cache
استفاده از Cache باعث می شود تا در هنگام تکرار صفحات وب ترافیک اینترنت کمتر مصرف شود ، و نیازی به دانلود مجدد آن روی فضای دیسک نباشد .
از قابلیت کَش می توان هم به صورت دسترسی های مستقیم و هم به صورت proxy server استفاده کرد ، همچنین می توان در قابلیت Kerio Control reverse proxy از آن استفاده کرد . برای تنظیمات این قابلیت :
تنظیمات TTL
( TTL (Time To Live شما می توانید مقدار پیش فرض آن را تنظیم کنید :
برای حذف کَش ها هم از Clear cache استفاده کنید .
این قابلیت از کریو کنترل 8.4 شروع شد ، کریو کنترل می تواند سرویس HTTPS را فیلتر کند ، این فیلتر شبیه HTTP است . هنگامی که شما یک سایت HTTPS را فراخوانی می کنید یک SSL certificate ایجاد می شود و توسط کریو کنترل که دارای certificate است در ارتباطات HTTPS کار می کند .
توجه : در هنگام فیلتر پروتکل HTTPS دقت کنید non-transparent proxy server فعال نباشد
تنظیمات HTTPS filtering
تنظیمات فیلتر HTTPS های استثنا
Kerio Control اجازه می دهد تا HTTPS های استثنا را نیز فیلتر کنیم .
شما می توانید از استثنا را برای :
استثنا در ترافیک مبدا و مقصد برای web applications
بعضی از web applications نمی توانند از Kerio Control certification authority استفاده کنند ( برای مثال دسترسی به وب سایت بانک ها ، ماکروسافت و دراپباکس ... ) یا استفاده از non-HTTPS service روی port 443 . برای تنظیمات این بخش شما باید IP ادرس و نام دامین یا هاست را بدانید :
استثنا کاربر از HTTPS فیلتر
1- روی تب HTTPS Filtering و کلیک Exclude specified traffic from decryption
2- وارد Traffic from the following users و کلیک Select
3- در کادر Select Items و Add
4- در باکس جدید Select Items و انتخاب domain of users که باید مستثنا شوند
5- انتخاب کاربران و کلیک روی OK
6- کلیک OK
7- روی تب HTTPS Filtering و کلیک Apply
نصب certificates در Kerio Control
هنگامی که تکنولوژی NAT در کریو کنترل به صورت مستقیم و یا به اصطلاح non-transparent کار می کند و تمامی کلاینت ها از این طریق به اینترنت وصل می شوند . در اینجا توجه داشته باشید که پروکسی سرور برای پرتکل هایی نظیر HTTP و HTTPS و FTP کار می کند و پشتیبانی از پروتکل SOCKS را ندارد . همچنین توجه داشته باشید که استفاده از پروکسی سرور در حالت یک non-transparent سبب می شود تا فیلتر ها روی اتصالات HTTPS کار نکنند .
تنظیمات پروکسی سرور
تنظیمات مرورگرها
برای ارتباطاتی که مطابق با non-transparent proxy server هستند شما نیاز دارید که برای مرورگرهای کلاینت ها تنظیمات را انجام دهید .
http://192.168.1.1:3128/pac/proxy.pac
در 192.168.1.1 در واقع IP ادرس کریوکنترل با ادرس پورت 3128 برای پروکسی سرور تعریف شده است .
توجه : تنظیمات به صورت خودکار ممکن است چندین ساعت طول بکشد و مرورگرها باید درخواستی را برای تنظیمات جدید انجام دهند .
Forwarding to parent proxy server
یک parent proxy server برای non-transparent proxy traffic و چک آپدیت ها ، آپدیت Sophos ، آپدیت دانلود ها و اتصال آنلاین کریو کنترل به دیتابیس های آن انجام می شود .
این قابلیت در کریو کنترل 8.3 ایجاد شد ، از جمله دلایل استفاده از reverse proxy این است که شما ممکن است بیش از یک وب سرور در پشت سر کریو کنترل داشته باشید . یک IP ادرس پابلیک که به صورت پیش فرض با پورت (443 HTTP 80 - HTTPS) مورد استفاده قرار می گیرد . کریو کنترل ترافیک را به سرورهای مختلف از روی نام هاست فوروارد می کند .
نکته : توجه داشته باشید که Content Filter rules در حالت reverse proxy در کریوکنترل کار نمی کنند
تنظیمات reverse proxy
ابتدا شما باید رولی را در کریو کنترل برای عبور ترافیک HTTP/HTTPS به صورت Allow تعریف کنید ، حالا تعریف وب سرور خاصی که می خواهیم با reverse proxy کار کند :
اضافه کردن یک رول
1- در administration interface و بروید به Proxy Server → Reverse Proxy
2- کلیک Add
3- در Reverse Proxy Rule نوشتن DNS name وب سرور در بخش Host
4- انتخاب پروتکل سرور ، شما می توانید HTTP, HTTPS یا هر دو را انتخاب کنید ( توجه کنید انتخاب HTTPS نیازمند تایید یک SSL certificate ولید است )
5- در فیلد Server نوشتن IP ادرس سرور
6- ( اختیاری ) انتخاب Perform antivirus scanning برای اینکه آپلود های وب سرور توسط انتی ویروس اسکن شود
7- کلیک OK
8- در صفحه اصلی Apply کنید
تنظیمات یک traffic rule
برای اجازه به اینکه HTTP - HTTPS در فایروال بتواند فعال باشد :
1- در administration interface بروید به Traffic Rules
2- انتخاب رول Web Services
3- Apply کنید .حالا ترافیک HTTP/HTTPS اجازه عبور دارند
ساخت SSL certificate با یک alternative DNS name
اگر شما برای وب سرور خودتان می خواهید از reverse proxy استفاده کنید شما باید یک certificate برای همه وب سرورها را در پشت reverse proxy جایگزین کنید ، برای ساخت SSL certificate با alternative DNS name :
تنظیمات HTTP cache برای reverse proxy
DHCP server در کریو کنترل : کریو کنترل دارای DHCP server است ، این DHCP server برای کلاینت ها بر اساس Scope که تعریف شده IP ادرس ها را برای آنها در نظر می گیرد . می توان بر اساس ادرس سخت افزاری یا MAC کلاینت ها ادرس های IP را برای انها رزرو کرد و به صورت ثابت تنظیم کنیم . این امکان برای تمامی گروه های فایروال Trusted/Local Interfaces, Guest Interfaces و other Interfaces است .
تنظیمات خودکار برای Scope ها
به صورت پیش فرض DHCP server به صورت خودکار کار می کنند .
برای هر سابنت اینترفیسی یک Scope را طبق زیر می توان تنظیم کرد :
تنظیمات دستی Scope ها و رزرو
اگر برای شما مغدور نیست تا تنظیمات IP ها را انجام دهید می توانید به صورت دستی اینکار را انجام دهید . تمامی گروه ها می توانند با DHCP server از این طریق ارتباط برقرار کنند . در این روش توجه داشته باشید که تنها یک Scope برای هر IP subnet می توان در نظر گرفت .
1- در administration interface بروید به DHCP Server
2- کلیک کنید روی Click to configure scopes manually و تغییرات را اعمال کنید
3- کلیک روی Add → Manual
4- در Add Scope و نامی را برای آن تعریف کنید
5- تعریف first - last address برای Scope
6- نوشتن یک سابنت متناسب با رنج کاری IP شبکه
7- در جدول DHCP Options و کلیک Add
8- انتخاب گزینه 003: Default Gateway و نوشتن یک IP address و Save
9- انتخاب 006: DNS server و نوشتن یک IP address
10- ذخیره کلیه پارامتر های DHCP
11- Save تنظیمات
12- انتخاب گزینه Enable DHCP server
تعریف scope برای هر سابنت
کریو کنترل امکان مدیریت هر Scope را برای سابنت های جداگانه دارد . و می توان آن ها اختصاصی کرد :
اجاره و رزرو
در جدول Leases - reservations می توان Scope ها را مشاهده کرد ، استفاده از Remove شما می توانید ادرس های رزرو را کنسل و یا انتخاب کنید
رزرو یک IP آدرس
همانطور که قبلا توضیح داده شد این رزرو می تواند بر اساس MACادرس انجام شود ، رزرو به این روش در هر دو روش دستی و خودکار انجام می شود . چنانچه شما رزرو را به صورت خودکار انجام دهید نمی توانید دوباره به صورت دستی تنظیمات را اعمال کنید :
ساخت DHCP رزرو برای هاست های فعال
شما می توانید رزرو را بدون MAC آدرس تعریف کنید :
رزرو برای اجاره آدرس
شما می توانید این تنظیمات اجاره و رزرو را در بخش Status و به نام Reserved, Leased مشاهده کنید
DNS forwarding service در کریو کنترل
کریو کنترل شامل یک DNS سرور است . پیشنهاد کریو کنترل این است که در هنگام تنظیمات DNS سرور تنظیمات برای DHCP سرور هم صورت بگیرد . مدیریت و تنظیمات DNS سرور راحت و به سرعت انجام می شود .
تنظیمات simple DNS forwarding
host: jsmith-pc and local domain: example.com
6- کلیک Apply
Hosts table
Hosts table شامل یک لیست IP آدرس ها و درخواست های DNS hostnames است ، کریو کنترل از این جدول برای مطابقت قرار دادن نام هاست ها در برابر IP ادرس استفاده می کند برای مثال نام یک سرور محلی را مطابق با IP ادرس آن به صورت محلی درنظر می گیرد ، هر IP ادرس می تواند چندین نام DNS داشته باشد :
192.168.1.10 server;mail
192.168.1.10 server
192.168.1.10 mail
تعریف یک رول
1- تنظیمات simple DNS resolution که در بالا گفته شد را انجام دهید
2- انتخاب Enable custom DNS forwarding و فعال سازی برای اینکه درخواست های DNS را بتوانید با DNS سرورهای دیگر فوروارد کنید کلیک روی Edit
3- در Custom DNS Forwarding و کلیک روی Add
4- در کادر Custom DNS Forwarding و شما می توانید رول هایی به صورت زیر تعریف کنید :
5- استفاده از فیلد Forward the query برای IP ادرس موردنظر و یک یا بیشتر DNS سرور که درخواست ها را فوروارد کند
6- ذخیره تنظیمات
در کریو کنترل اجازه مشاهده و ویرایش جداول مسیریابی در IPv4 - IPv6 را می دهد . این جدول مسیریابی را می توان به صورت مسیر دستی در کریو کنترل هم ساخت . برای مشاهده و یا تعریف به بخش administration interface و بروید به Routing Table در این بخش جداول برای هر دسته از IPv4 و IPv6 به صورت جداگانه می باشد .
نکته : در مسیر یابی هایی همچون لودبالانسینگ این جدول به صورت تنها یک آدرس مسیریاب default route خواهد بود
Route types
static routes IPv4 routing table
routes IPv6 routing table
در Kerio Control 8.6 معرفی شد و تنظیمات آن به صورت :
کریو کنترل می تواند امکان ارسال پیام هایی را که وقایع مهمی هستند را به صورت اخطار ایمیل کند ، این ها شامل :
نکته : شما باید مطمین باشید که اتصال با یک SMTP server برای ارسال اخطار ها دارید
تنظیمات alerts
7- روی OK کلیک کنید
8- موقعی که شما یک اخطار را اضافه می کنید به صورت time interval یک پیام با محتوا آن توسط کریو کنترل ارسال می شود
9- تنظیمات را Save کنید
System alerts
شما می توانید هر یک System alerts ها را در زیر اضافه کنید :
Viewing alerts
برای مشاهده اخطارها می توانید از بخش Status → Alert Messages مراجعه کنید ، اخطارها شامل Date و Alert یا همان نوع رخداد است
Alert log
کلیه اخطارهای سیستم را می توان در بخش Alert log مشاهده کرد . این Alert log تاریخچه مفصلی از کلیه اخطار ها در سیستم کریو کنترل هستند
هماهنطور که در آموزش قسمت 60 گفته شد ، کریو کنترل می تواند پیام های اخطاری را توسط سرویس ایمیل ارسال کند :
اضافه کردن رول برای log message alert
1- در administration interface بروید به Accounting and Monitoring → Alert Settings و کلیک کنید روی Add
2- در کادر Add Alert و کلیک روی Log message
3- در کادر Log Message Alert نوشتن اسمی برای آن اخطار ( این اسم در عنوان ایمیل می آید )
4- از منو Log انتخاب نوع لاگ موردنظر
5- در کادر Condition می توانید یک متن را بنویسید که کریو کنترل برای جستجو استفاده کند
6- انتخاب Use regular expression اگر فیلد Condition را انجام داده باشید
7- انتخاب یک مقطع زمانی یا time interval برای ارسال پیام های اخطاری
8- OK را بزنید
نمونه ای از یک log alerts
یک نمونه رخداد از High IPS را در زیر نشان می دهد :
و نمونه دوم تلاش اتصال یک میزبان مهمان را نشان می دهد :
کریو کنترل یک آمار از کلیه جزییات فعالیت ها ، دیتا های انتقالی ، وب سایت های مشاهده شده را به صورت اختصاصی نمایش می دهد . این اطلاعات کمک می کند که شما درک درست و دقیقی از اطلاعات و عادات شخصی کاربران داشته باشید . شما می توانید انتخاب های زیر را داشته باشید :
تنظیمات برای statistics - reports - quota
1- در administration interface بروید به Accounting and Monitoring → Data Gathering
2- فعال کردن Gather internet usage statistics ( کریو کنترل دفعات سهمیه بندی کاربران را نمی تواند نشان دهد )
3- فعال یا غیر فعال کردن Gather user’s activity records
4- استفاده از پارامتر Delete statistics older than که می تواند مدت بیشتری اطلاعات اماری را نگه دارد .
5- گرداوری اماری از دیتا را می توان به صورت یک کاربر یا گروه با انتخاب گزینه Gather group statistics for these group مشاهده کرد
6- تنظیمات روز و هفته و ماه را در بخش Accounting periods for statistics and quota انتخاب کرد .
استفاده از group statistics
کریو کنترل می تواند مجموعه اطلاعات آماری از استفاده کاربر یا گروه ها را برای اینترنت نشان دهد :
Accounting exceptions
شما می توانید تنظیمات کریو کنترل طوری انجام دهید که بخشی از اطلاعات و آمار را نادیده بگیرد :
تنظیمات دسترسی معتبر و ایمیل گزارشات
می توان توسط اکانت کریو کنترل برای کاربران حق دسترسی برای مشاهده اطلاعات آماری تعریف کرد . در صفحه Kerio Control Statistics لاگین کنید و از مسیر :
Accounting and Monitoring → Access to Statistics را انتخاب کنید ، همچنین می توانید انتخاب هایی نظیر :
نکته : برای فعال سازی سرویس ایمیل برای ارسال اطلاعات آماری در کریو کنترل به بخش Remote Services → SMTP Relay مراجعه کنید
اجازه به کاربران برای مشاهده آمار
اجازه مدیران برای مشاهده آمار کاربران و گروه ها
6- در بخش Regular email reports شما می توانید بر حسب بازده زمانی روز - هفته - ماه گزارشات را ایمیل کنید
7- تنظیمات را ذخیره کنید
نکته : برای انتخاب کاربر و ویرایش اطلاعات و نوشتن ایمیل آن می توانید از بخش Users and groups → Users استفاده کنید
بعضی بخش های کریو کنترل نیازمند تنظیمات درست و دقیق زمانی هستند ( مانند ، user authentication ، logs ... ) در کریو کنترل به صورت دستی و خودکار با استفاده از NTP server می توان این کار را انجام داد :
تنظیمات time zone
تنظیمات برای server name
به صورت پیش فرض نام کریو کنترل به صورت control است ، شما می توانید هم در داخل directory service و هم به صورت وب آن را تغییر دهید :
Advanced Options → Web Interface
کاربرد update checker
هنگامی که کریو کنترل را خریداری می کنید ، شما مجوز آن را دارید تا بروزرسانی های جدید آن را دریافت کنید
بررسی نسخه جدید
کافی است بر روی Check Now کلیک کنید ، اگر می خواهید مراحل خودکار انجام شود :
بروزرسانی خودکار Kerio Control
این امکان در نسخه 9.1 کریو کنترل معرفی شد . کریو کنترل این امکان را دارد که طوری تنظیم شود تا دانلود و آپگرید را برای یک نسخه جدید انجام دهید :
تنظیمات email alerts
کریو کنترل همانطور که در مباحث قبلی عنوان شد می تواند ایمیل هایی را بر اساس کلیه پیام های اخطاری و رخداد های سیستمی ارسال کند ، همچنین می توان برای اگاهی از بروزرسانی و نسخه جدید این تنظیمات را انجام داد برای این منظور وارد Accounting and Monitoring → Alert Settings و انتخاب New version available
آپلود دستی و یک binary image file
می تواند مفید باشد ، شما اگر ایمیج های آپگرید را دارید می توانید آنها را دستی آپلود کنید :
بعد از ری استارت شدن کریو کنترل بروز شده است
بروزرسانی با USB tools
این ویژگی تنها برای کنسول جعبه ای کریو کنترل مقدور است و بر روی ماژول نرم افزاری کار نمی کند ، شما می توانید با این امکان با یک فلش مموری اقدام به بروزرسانی کریو کنترل کنید
عیب یابی ( Troubleshooting )
اگر در بروزرسانی خطایی رخ دهد می توانید آن را در بخش Debug log و راست کلیک بر آن و Messages → Update checker
کریو کنترل به صورت یک built-in و اختصاصی دارای SMTP server نیست ، اگر شما می خواهید کلیه اخطار ها ، و رویداد و آمار و گزارشات را در ایمیل خود مشاهده کنید ، شما باید از MyKerio notification service و یا SMTP Relay Server استفاده کنید . به صورت پیش فرض MyKerio notification service کلیه ایمیل ها از کریو کنترل را ارسال می کند ، اما این قابلیت یک محدودیت 24 ساعته نیز دارد ، اگر شما تعداد بالایی ایمیل دارید باید از سرویس SMTP Relay استفاده کنید :
(Dynamic DNS (DDNS سرویسی است که به صورت خودکار بروزرسانی Ip آدرس در DNS record برای یک هاست خاص ایجاد می کند . دو نوع DDNS داریم :
تنظیمات DDNS
1- ساخت یک اکانت در DDNS سرویس دهنده :
• ChangeIP (http://www.changeip.com/),
• DynDNS (http://www.dyndns.org/),
• No-IP (http://www.no-ip.com/).
2- در administration interface بروید به Remote Services → Dynamic DNS
3- انتخاب گزینه Automatically update dynamic DNS service records with the firewall’s IP address
4- انتخاب یک DDNS provider
5- در کادر Update hostname و نوشتن نام DNS
6- تنظیم نام کاربری و پسورد برای دسترسی اپدیت هایی برای رکورد های داینامیک انجام می شود
نکته : در کریو کنترل نسخه 8.3 ایجاد شد
چنانچه شما از چند لینک اینترنت نظیر load ballancing یا failover استفاده می کنید می توانید یکی از راه های زیر را برای DDNS انتخاب کنید :
8- Apply کنید
در کریو نسخه 9.1 معرفی شد ، کریو کنترل به صورت خودکار می تواند back up و آپلود فایل های تنظیمات را هر روز توسط امکان MyKerio انجام دهد ، هر Backup شامل :
ذخیره تنظیمات MyKerio
قبل از شروع شما باید ارتباط کریو کنترل با MyKerio را داشته باشید :
1- در بخش Kerio Control administration interface وارد Remote Services شوید
2- گزینه Connect to MyKerio انتخاب کنید
3- کلیک کنید روی add this Kerio Control تا لینک https://my.kerio.com/ قبل از آن باید ثبت نام در این قسمت انجام شده باشد
4- بعد از موفقیت در وارد شدن حالا باکس Add a New Appliance را مشاهده می کنید
5- حالا نامی را برای Kerio Control appliance بنویسید مثلا نام شرکت خود را وارد کنید
6- کلیک Add کنید
همچنین می توان تنظیمات MyKerio را در زمان نصب کریوکنترل انجام داد :
1- لینک را در مرورگر بنویسید و بعد از باز شدن باکس Add a New Appliance
2- یک نام جدید را بنویسید
3- Add کنید
حالا با این مقدمه برای وارد کردن تنظیمات MyKerio
بازگرداندن تنظیمات از یک Backup
1- ابتدا در MyKerio ثبت نام و ورود را انجام دهید
2- حالا در تنظیمات برنامه MyKerio به بخش Saving configuration to MyKerio
دانلود و ایمپورت تنظیمات پشتیبان گرفته از MyKerio
برای ایمپورت هم :
حالا کریو کنترل ری استارت و مجددا بارگذاری می شود
کریو کنترل را می تواند به صورت خودکار پشتیبانی گیری و آپلود فایل های تنظیماتی را هر روز با FTP Server دریافت کند :
این فایل های تنظیمات هر روز یکبار آپلود می شود چنانچه قصد گرفتن یک Backup ضروری را دارید روی Backup Now کلیک کنید
نگاهی به User accounts : کاربرها User accounts برای مواردی همچون :
اضافه کردن یک اکانت جدید
شما می توانید یک اکانت محلی و یا یک اکانت توسط directory service ایجاد کنید
شما به یکی از موارد زیر احتیاج خواهید داشت :
حالا برای ایجاد :
برای اضافه کردن اکانت از طریق directory service :
همچنین شما می توانید تنظیماتی از قبیل :
استفاده از سهمیه بندی ( quota )
تنظیمات برای یک سهمیه بندی :
7- علامت Notify user by email when quota is exceeded بزنید
اتصال خودکار با static IP addresses
این امکان باعث می شود کاربرانی که IP ادرس static دارند به صورت خودکار لاگین کنند
حذف user accounts
توجه داشته باشید که کاربران زیر را نمی توانید disable/delete کنید :
غیر فعال کردن کاربران به صورت موقتی
حذف کاربران به صورت دایمی
کریو کنترل کاربر را حذف می کند
Setting access rights
مراحل در access rights
و سپس تنظیماتی برای Additional rights :
نگاهی به automatic login : اگر کاربران برای یک کامپیوتر رزرو شده باشند ( کامپیوترهایی که هیچ کاربر دیگری با آنها کار نمی کند ) آنها می توانند به صورت خودکار به کریو کنترل لاگین کنند . این تنظیمات توسط MAC address یا IP ادرس کامپیوتر ها ( رزرو یا دستی در DHCP ) انجام می شود .
Configuring automatic login on MAC address
این کاربر دیگر نیازی به احراز هویت در کریو کنترل ندارد
تنظیمات automatic login در هاست های فعال
اگر کاربر بر روی کریوکنترل فعال است می توان بدون نیاز به تایپ مک ادرس آن ، مک ادرس را برداشت :
تنظیمات automatic login برای static IP addresses
1- در administration interface بروید به Users
2- انتخاب یک کاربر و کلیک روی Edit
3- در کادر Edit User و بروید به تب Addresses
4- شما حالا چندین انتخاب دارید :
5- Save کنید و OK را بزنید
چرا کریو کنترل نمی تواند مک ادرس را شناسایی کند !
کاربر Kerio Control برای دسترسی به یک هاست که روی Kerio Control VPN Client می تواند با داشتن یک static IP address اینکار را انجام دهد :
توجه داشته باشید که IP ادرس را برای کاربر دیگری استفاده نکنید همچنین این IP ادرس در رنج DHCP شما به صورت داینامیکی نباشد
امکان 2Step verification یک لایه امنیتی اضافه را بر روی اکانت کاربر ایجاد می کند تا هنگامی که یک اپلیکیشن را می خواهد روی گوشی هوشمند خود کار کند تنظیماتی برای شناسایی نیاز هست . کاربر باید کد احرازهویتی که برایش صادر شده را وارد کند ، این روش بر مبنای RFC 6238 کار می کند :
این پروتکل 2-step verification برای اینترفیس هایی که در اینترنت کار می کنند نظیر :
کاربر برای اتصال به اینترنت باید هر بار این کد احرازهویت را وارد کند همچنین اگر عبارت Remember me on this device را انتخاب کند مرورگر می تواند تا 30 روز این اتصال را ذخیره نگه دارد .
تنظیمات 2-step verification بر روی Kerio Control Administration
غیر فعال کردن 2-step verification برای کاربر خاص
directory services زیر در کریو کنترل پشتیبانی می شوند :
چرا این اتصال استفاده می شود ؟
اولین دلیل Easy account administration ( راحتی در مدیریت و اجرای اکانت ها ) هنگامی که بخشی از دیتابیس اکانت های کاربران خارج از محیط کریو کنترل قرار گرفته بنابراین مهم است که بتوان LDAP database را پشتیبانی کند ، استفاده از LDAP ، اکانت کاربران را در یک محیط مدیریت می کند ، بنابراین می توان ارور ها و مشکلات را رد کرد . دومین دلیل Online cooperation یک همکاری آنلاین میان کریو کنترل و directory service ایجاد می شود ، امکان اضافه کردن و حذف کاربر / گروه در LDAP database توسط کریو کنترل میسر می شود ، سومین دلیل استفاده از domain name و password برای لاگین است .
Microsoft Active Directory
کریو کنترل برای اینکه بتواند به کاربران اکتیو دایرکتوری ویندوز دسترسی داشته باشد نیازمند یک DNS فورواردینگ است ، اگر شما چندین دومین داشته باشید کریو کنترل تنها قادر به مپ شدن با primary domain شماست که قبلا توسط کریو کنترل متصل شده است . و اما اتصال :
اتصال به Apple Open Directory
اتصال به other domains
تنظیمات اتصال رمزگذاری ( LDAPS )
شما می توانید اتصال رمزگذاری را بین کریو کنترل و دایرکتوری سرویس داشته باشید . توجه داشته باشید که اکتیو دایرکتوری باید رمزگذاری را پشتیبانی کند :
ایجاد کالیژن در ارتباط بین اکتیو دایرکتوری سرویس با دیتا بیس محلی و تبدیل اکانت ها
اگر یک کاربر در دو دومین و دیتابیس محلی شناسایی شده باشد ، کالیژن رخ می دهد ، اگر کالیژن رخ دهد یک اخطار در تب Users رخ می دهد می توانید روی لینک خطا کلیک کنید و مطابقت اکانت محلی با اکانت اکتیو دایرکتوری سرویس را مشاهده کنید . حالا تبدیل به صورت خودکار به صورت زیر انجام می شود :
کریو کنترل می تواند کاربران را احراز هویت کند ، و افراد می توانند به دستگاه ها اتصال برقرار کنند . این به شما اجازه می دهد تا بتوانید Policy و مانیتورینگ برای شناسایی افراد را در شبکه با دستگاه هایی که اتصال دارند داشته باشید . در کریو کنترل احراز هویت کاربر به صورت :
احراز هویت کاربران موقع دسترسی به وب
قبل اینکه کاربر صفحات وب را فراخوانی کند کریو کنترل می تواند آن را به صورت درخواست احراز هویت برای کاربر نمایش دهد ، هنگامی که کاربری به صورت مستقیم و بدون احراز هویت بخواهد متصل شود درخواست کاربر به سمت فایروال رفته و صفحه لاگین آن باز می شود . برای فعال سازی احراز هویت :
نیاز به احراز هویت هنگامی که چند کاربر از یک کامپیوتر استفاده می کنند
این گزینه برای Citrix یا Terminal Service بسیار کاربردی است موقعی که چندین کاربر از یک کامپیوتر استفاده می کنند و احراز هویت توسط فایروال صورت می گیرد ، و اما پیش نیاز ها :
تنظیمات proxy server
User logout
به صورت پیش فرض در کریو کنترل هر 120 دقیقه کاربر logs out می شود شما می توانید این زمان را غیر فعال کنید :
اگر می خواهید سریعا کاربری را به صورت دستی Logout کنید می توانید از منو Active Hosts انجام دهید
عیب یابی برای user authentication
می توانید برای عیب یابی user authentication از بخش Debug یا Error ارور هایی که وب اینترفیس از روی user authentication ثبت کرده را مرور کنید برای مثال :
نگاهی به RADIUS server : سرویس RADIUS یا (Remote Authentication Dial In User Service) یک پروتکل برای دسترسی کامپیوتر شبکه است . کریو کنترل از یک RADIUS server برای احراز هویت کاربر با دستگاه های Wi-Fi است . این کاربران می توانند برای دسترسی از Wi-Fi با نام کاربری و پسورد کریو کنترل کار کنند .
تنظیمات Kerio Control
احراز هویت کاربران در Microsoft Active Directory
Wi-Fi authentication می تواند بدون هیچ گونه تنظیمات اضافه ای کار کند .
تنظیمات برای Wi-Fi access point
هر دستگاهی برای خود یکسری تنظیمات متفاوت از دیگر برند ها دارد بنابراین باید خودتان این تنظیمات را از قبل مطالعه و بررسی کنید :
تنظیمات برای ویندوز 7 کلاینت
احراز هویت برای ویندوز 7 توسط RADIUS نیاز مند یک root certificate است ، اگر در شبکه Active Directory استفاده شود می توانید آن را ایمپورت کرد ، در غیر اینصورت باید با استفاده از بخش manage Network center برای هر ویندوز 7 کلاینت ها آن را دستی وارد کرد :
1- در Windows 7 کلیک برStart منو
2- بروید به مسیر Control Panel → Network and Internet → Network and Sharing Center → Manage wireless networks
3- کلیک Add و باز شدن کادر Manually connect to a wireless network
4- انتخاب Manually create a network profile
5- در قدم بعدی باید SSID name را در کادر Network name وارد کنید
6- در Security type انتخاب WPA2-Enterprise را بزنید
7- در Encryption type انتخاب AES
8- انتخاب Start this connection automatically
9- انتخاب Connect even if the network is not broadcasting
10- کلیک Next و مشاهده صفحه Successfully added ، همچنین می توانید با استفاده از حذف انتخاب validation of a server certificate کار را انجام دهید :
1- کلیک Change connection settings
2- در تب Security و کلیک Settings و باز کنید Protected EAP Properties
3- تیک Validate server certificate را بردارید
4- در In Authentication Method و انتخاب( Secured password (EAP-MSCHAP v2
5- کلیک Configure و باز شدن EAP-MSCHAP v2 Properties
6- گزینه Automatically use my Windows logon on name and password را از حالت انتخاب بردارید
7- کلیک OK
حالا باید از یک computer authentication استفاده کرد :
5- کلیک OK
حالا ویندوز 7 دارای SSL certificate ولیدی نیست و می توانند کلاینت های این ویندوز از وای فای استفاده کنند .
کریو کنترل می تواند IP آدرس هایی که قصد نفوذ و حمله به شبکه را دارند و در صدد هستند به صورت حدس زدن پسورد این کار را انجام دهند ، بلاک کند ! اگر مهاجم نتواند بعد از 5 دقیقه موفق شود کریو کنترل IP آدرس آن را بلاک می کند :
حالا کاربر بلاک می شود و اجازه لاگین ندارد ، کریو کنترل بعد از 5 دقیقه IP آدرس را از بلاک خارج می کند !
نگاهی به user groups : می توان گروه هایی را در کریو کنترل ایجاد کرد و حساب کاربران را در آن قرار داد به دو صورت زیر :
ساخت user groups
می توان این گروه ها را از داخل دایرکتوری سرویس استخراج کرد که در فصل های قبلی آموزش داده شد ، می تواند به صورت محلی یا Local باشد
ساخت local groups
نگاهی به SSL certificate : شما به SSL certificate نیاز دارید زمانی که می خواهید ارتباطاتی رمزگذاری شده انجام دهید نظیر (VPN, HTTPS ) . این SSL certificate برای احراز هویت در شناسایی با یک سرور کار می کند . برای استفاده عمومی SSL certificate ، کریو کنترل دارای یک احراز هویت محلی است . کریو کنترل در زمان نصب آن را ایجاد می کند ، سرور می تواند از این certificate استفاده کند . بهرحال چنانچه کاربران در ارتباط پیامی مبنی بر جلوگیری از دسترسی به منابع شبکه را مشاهده کنند شما لازم است تا یک certificate جدید را در کریو کنترل ایجاد کنید . کریو کنترل از certificate هایی با فرمت :
ساخت یک Local Authority جدید
Local Authority به صورت خودکار با نصب کریو کنترل ایجاد می شود ، بهرحال یک hostname و دیگر دیتا ها برای اینکه شما بتوانید از آنها استفاده کنید نیاز به یک certificate دارید تا بتوانید از Local Authority در شبکه استفاده کنید . برای ساخت آن :
برای اینکه در Local Authority جدید بتوانید فعال بودن آن را مشاهده کنید به مسیر Definitions → SSL Certificates مراجعه کنید . یک Local Authority قدیمی را می توانید به روش های زیر تغییر دهید :
ساخت یک certificate برای Local Authority
اگر بخواهیم یک certificate جدید را برای جایگزینی با نسخه قدیمی و از کارافتاده بسازیم :
ساخت یک certificate برای اعمال شدن در یک Certification Authority
حالا certificate جایگزین می شود با certificate که شما درخواست آن را صادر کرده اید ، و از آن می توانید برای سرویس هایی نظیر VPN استفاده کنید
ایمپورت certificate
کریو کنترل دارای بخشی به نام intermediate certificate است ، برای اضافه کردن آن ها :
1- در administration interface به بخش Configuration → SSL Certificates بروید
2- حالا ایمپورت کنید certificate ها را با کلیک روی Import → Import Certificate of an Authority
3- تنظیمات را ذخیره کنید
چنانچه شما نیاز به چندین Certificate دارید همین روش را دوباره تکرار کنید !!!
کاربرد IP address groups : شما می توانید در این بخش مواردی از قبیل زیر را اعمال کنید :
Kerio Control از این امکان برای تنظیمات ترافیکی و URL رول ها استفاده می کند .
اضافه کردن یک new IP address group
1- در administration interface و بروید به Definitions → IP Address Groups
2- کلیک Add و کادر Add IP Address باز می شود
3- انتخاب Create new و نوشتن نامی برای IP address group
4- انتخاب :
- Addresses : نوشتن IP address و رنج و شبکه و سابنت و یا prefix ، در بخش Properties می توانید با حرکت کورسر موس اطلاعات را مشاهده کنید .
5- اضافه کردن یک متن برای مرجع قرار دادن
6- کلیک OK
اضافه کردن ایتم های بیشتر در address group
حرکت ایتم ها از یک IP address group به دیگر گروه ها
اگر شما یک آیتم جدید برای یک IP address group اشتباها اعمال کرده باشید می توانید آن را جابه جا کنید تا درست شود :
نگاهی به time ranges در کریو کنترل : کاربرد ان برای اعمال زمان اجرا و ولید ماندن یک آیتم مانند رول ها و پالیسی هایی است که در کریو کنترل اعمال می شود :
تعریف time ranges
کاربرد URL groups : قابلیت URL groups یکی از رول هایی است که مدیر آن را در بخش content rules فعال می کند ، برای مثال می تواند دسترسی به یک گروه از صفحات وب را حدود ساخت و می توان حق دستری به یک گروه را نیز ایجاد کرد ، همچنین ارجعیت در این بخش با صفحات وبی است که از نظر شماره گذاری در سطر قرار بگیرند . به صورت پیش فرض Kerio Control از قبل شامل گروهی است به صورت زیر :
تعریف New URL group
Services in Kerio Control
سرویس ها مجموعه ای از پروتکل ها ارتباطی هستند که با یک پورت برای هر کدام کار می کنند ، مثلا سرویس HTTP ، که یک پروتکل از TCP است و با پورت 80 کار می کند ، شما می توانید برای هر کدام از آنها رول های ترافیکی مجزایی را تعریف کنید .
Using services
در اینجا می خواهیم HTTP سرویس را با پروتکل 8080 تعریف کنیم :
اگر از TCP یا UDP برای پروتکل های ارتباطی استفاده می کنید ، این سرویس با شماره پورت تعریف شده است ، بنابراین استانداردی میان کلاینت-سرور برقرار است و هنگامی که یک سرور برای ارتباط برقرار کردن با پورتی ویژه کار می کند اگر کلاینت نتواند آن را شناسایی کند این نشان می دهد که پورت مبدا در وضعیت استانداردی نیست حتی اگر روی سرور آن پورت با استاندارد شناخته شده تنظیم باشد . بنابراین پورت در مبدا و مقصد :
8- تنظیمات را ذخیره کنید
حالا کریو کنترل ترافیک های HTTP را با پورت 8080 عبور می دهد
ساخت service groups
این ویژگی بعد از نسخه 8.3 کریو کنترل معرفی شد ، که می توان گروهی از پروتکل های ارتباطی را نظیر رول های ترافیکی به صورت گروه ایجاد کنید ، اگر شما برای یک رول نیاز دارید تا سرویس های زیادی را تعریف کنید :
Protocol inspection in Kerio Control : کریو کنترل دارای یک protocol inspectors است که تمامی ترافیک ها روی application protocols را مانیتور می کند ، مثلا HTTP و FTP . می تواند ارتباط با فایروال کریو کنترل را طوری فیلتر کند که انواع پروتکل ها بتوانند طبق تنظیمات انجام شده کار کنند ، برای مثال HTTP protocol inspector مانیتور کلیه ترافیک های بین مرورگرها و وب سرور ها را انجام می دهد .
این پروتکل همچنین می تواند به صورت اختصاصی محتوا و صفحات وب ودانلود ها را بلاک کند مثلا در مبحث محتوا می تواند جلوی تصاویر و pop-up ها را بگیرد . این protocol inspector به صورت پیش فرض فعال است و می توان آن را به صورت اختصاصی و سفارشی تنظیم کرد . برای این منظور باید سرویس مورد نظر را به آن اضافه نمود
اضافه کردن یک پورت غیر استاندارد به protocol inspection
برای مثال فرض کنید می خواهیم یک ارتباط راه دور توسط FTP سرور را با پورت غیر استاندارد 2101 تنظیم کنیم ، برای این منظور :
غیر فعال سازی یک protocol inspector
دو راه برای غیر فعال کردن protocol inspector وجود دارد :
- در بخش Services می توانید آن را غیر فعال کنید
- در بخش Traffic Rules می توانید پروتکل را با توجه به رول غیر فعال کنید
غیر فعال سازی protocol inspectors برای سرویس ها
چنانچه دسترسی به اینترنت مقدور نباشد و شما بخواهید HTTP protocol inspector را متوقف کنید ، می توانید از مراحل زیر این کار را انجام دهید :
هم اکنون سرویس HTTP server دسترسی به اینترنت باید داشته باشد .
غیر فعال سازی protocol inspectors برای رول های ترافیکی
در Traffic Rules می توان protocol inspectors را برای ترافیک رول خاصی غیر فعال کرد فرض کنید می خواهیم HTTP server را غیر فعال کنیم :
کریو کنترل امکان مشاهده تمامی هاست های فعال را مهیا ساخته همچنین می توان کاربرانی که در حال استفاده از منابع کریو کنترل هستند را مشاهده کرد ، این امکان در مسیر Status → Active Hosts قابل مشاهده است . بخش هایی نظیر میزان اطلاعات استفاده شده ، کاربران و سرعت ... را می توان در این بخش بررسی کرد . از ویژگی های این بخش می توان مثلاَ به :
همچنین می توان با راست کلیک موس بر روی Active Hosts به فرایند های context menu دسترسی پیدا کرد ، امکان Configuration → Users در کریو کنترل کمک می کند تا جزییات بیشتری از کاربران را مشاهده کنید ، همچنین کلیک بر روی View in Users و انتخاب Users دسترسی به قرار دادن Quota یا سهمیه بندی را مهیا می کند . یکی دیگر از بخش های مهم در Status → User Statistics است می توانید با این ویژگی امار کاربران فعال را بدست اورید .
همچنین می توان در صورت نیاز کاربران فعال را Logout User کرد .
در کریو کنترل دو نوع VPN طراحی شده که می توان همه کلاینت های متصل به سرور VPN را مانیتور کرد :
برای مشاهده این بخش به Status → VPN clients مراجعه کنید ، این اطلاعات شامل :
نکته : چنانچه کاربری ارتباطش با VPN کریو کنترل قطع شود به صورت خودکار از لیست کاربران آنلاین خارج می شود ، برای قطع ارتباط روی اتصال راست کلیک کنید و گزینه Disconnect را بزنید .
کریو کنترل به صورت کاملا خودکار پیام های اطلاعاتی درباره عملکرد های مختلف را به مدیریت ارسال می کند ، مدیریت کریو کنترل بیشتر قابلیت هایی که برای جمع اوری رخداد ها و ارسال آنها نیز است جمع آوری کرده و ارسال می کند ، یکی از لاگ های مهم در فایروال کریو کنترل Alert است ، این وضعیت را می توانید در Status → Alerts مشاهده کنید . بخش های Status → Alert Messages در بدو ورود کاربران به کریو کنترل فعال می شود این بخش را می توانید در سمت چپ مشاهده کنید . این پیام ها شامل :
کلیه رخداد ها در کریو کنترل توسط بخش های مختلف نظیر سهمیه بندی ها ، ارتصالات VPN، اسکن انتی ویروس و ... توسط این دو عامل مارک گذاری می شوند و سپس در بخش Log ها در Alert log قرار می گیرند .
کریو کنترل قابلیت مانیتورینگ ترافیک مصرفی کاربران و سهمیه بندی آنها را نیز دارد ، این بخش را می توانید در مسیر Status → User Statistics مشاهده کنید . در این بخش می توانید مجموعه ای از :
همچنین می توانید آماری از ترافیک ورودی و خروجی و میزان آن را در مجموع یک دوره زمانی ببینید ، این انتخاب به صورت IN و OUT و برای مثال[MB] Today IN و Month OUT [MB]
Kerio Control Statistics
هنگامی که می خواهید آمار هر کاربر را که در کریو کنترل وجود دارد بدست آورید بر روی آن کاربر راست کلیک و گزینه View in Kerio Control Statistics را انتخاب کنید در فصل های قبلی به صورت مفصل درباره این بخش صحبت شده است .
این سیستم نشان دهنده پارامترهای سلامتی و درست کار کردن ابزارهایی که در کریو کنترل نقش ذخیره سازی و پروسس را دارند انجام می دهد نظیر CPU, RAM
Storage space management
همیشه باید فضای آزادی بر روی دیسک برای اجرای برنامه کریو کنترل داشته باشید :
- لاگ های غیر ضروری را پاک کنید
- سعی کنید فضای مناسبی برای کریو کنترل اختصاص دهید
علت :
از دلایل اتصال نشدن گوشی های آیفون به هات اسپات کریو این است که از لحاظ امنیتی IOS شرکت اپل بر روی شبکه هایی که وای فای دستگاه را به صورت Open تنظیم می کنند حساس است ، در هنگام اتصال با وای فای آیفون پیامی به سمت سرور اپل فرستاده می شود چنانچه این پیام جواب داده نشود دستگاه قادر به اتصال به شبکه نیست و ارتباط هات اسپات برقرار نمی شود
رفع مشکل
- در منوی Setting دستگاه وارد WiFi متصل به شبکه هات اسپات شوید و روی آیکون( ! ) کیک کنید :
- سپس در پایین تنظیمات DHCP در بخش Domain Server نام ادرس هات اسپات کریو کنترل را وارد کنید :
- حالا یک برنامه مرورگر را باز کنید و داخل آدرس بار آن نام دومین هات اسپات را وارد کنید
یکی از امکاناتی که میتوان کاربران کریو کنترل را به طور مستقیم ( Transparent Proxy ) به اینترنت وصل کرد استفاده از اسکریپت های proxy.pac است ، کریو کنترل این اسکریپت را در مدت زمانی می تواند توسط سرویس DHCP Server به کاربران اعمال کند برای ایجاد این اسکریپت فرم ادرسی http://192.168.1.1:3128pacproxy.pac ( پیش فرض کریو کنترل ) را باید توسط سرویسی به نام 252 MSIE proxy autodiscovery که در داخل سرویس های کریو کنترل قرار دارد تنظیم کرد برای این امکان :
1- ابتدا به بخش proxy Server کریو کنترل وارد شوید :
2- سپس وارد تنظیمات DHCP Server کریو کنترل شوید کارت شبکه ای که در اینجا نقش ارسال IP به کلاینت ها را دارد را انتخاب کنید
3- تنظیمات کارت شبکه که نقش DHCP Server را بر عهده دارد باز می شود ، در پایین پنجره روی Add کلیک کنید
4- بر روی پنجره پایین در بخش Option اخرین سرویس ( در نسخه 9.3 نویسنده ) 252:MSIE proxy autodiscovery را انتخا کنید و در بخش Value ادرس http://192.168.1.1:3128/pacproxy.pac را وارد کنید ( ادرس کریو کنترل به عنوان گیت وی )
نکته : این سرویس چندین ساعت طول می کشد تا بر روی مرورگر های کلاینت ها تنظیم شود شما می توانید در بخش زیر آن را دستی وارد کنید
ادرس http://192.168.1.1:3128/pacproxy.pac ( ادرس پیش فرض کریو کنترل نویسنده میباشد ) را در کادر مربوطه وارد کنید
5- حالا مشاهده می کنید که کاربران بدون اینکه اطلاعی داشته باشند از پروکسی سرور می توانند وارد اینترنت شوند ، می توان این ادرس را در بخش گروپ پالیسی تنظیم تا بر روی کاربران شبکه ها نیز اعمال شود
کریو کنترل می تواند از سرویس RADIUS یا همان (Remote Authentication Dial In User Service) که یک پروتکل دسترسی در شبکه هست پشتیبانی کند . کریو کنترل یک سرور RADIUS را برای استفاده از authentication در شبکه های بی سیم دارد که اجازه می دهد تا کاربران با استفاده از نام کاربری و پسورد به وایرلس شما دسترسی پیدا کنند . نکته : چنانچه از کلاینت های ویندوز 7 در شبکه استفاده می کنید این ویندوز قادر به کار کردن با احراز هویت های غیر قابل اعتماد با کریو کنترل در شبکه نیست اما راه حلی را در ادامه برای جبران این مشکل را تشریح می کنم .
تنظیمات کریو کنترل برای استفاده از RADIUS
تنظیمات هر اکسس پوینتی برای اتصال با RADIUS server متفاوت است اما به صورت پیش فرض به بخش RADIUS SERVER باید ip ادرس کریو کنترل را بدهید و پورت پیش فرض آن 1812 است .
تنظیمات پیش فرض در کلاینت های ویندوز 7
چنانچه در نسخه کریو 8 به بالا استفاده می کنید و کریو کنترل را در کنار اکتیو دایرکتوری نصب کرده اید شما باید :
چنانچه اتصال کلاینت های ویندوز 7 با اکسس پوینت برقرار نشد این مشکل با SSL certificate کریو کنترل است که می توانید آن را به صورت دستی تنظیم کنید :
1- وارد منوی Start ویندوز 7 شوید
2- به مسیر Control Panel → Network and Internet → Network and Sharing Center →Manage wireless networks بروید
3- روی Add کلیک کنید سپس Manually connect to a wireless network باز می شود
4- Manually create a network profile را انتخاب کنید
5- حالا Next کنید تا به فیلد Network name برسید و یک نام SSID را تایپ کنید
6- Security type را روی WPA2-Enterprise قرار بدهید
7- Encryption type را روی AES بزارید
8- Start this connection automatically را انتخاب کنید
9- Connect even if the network is not broadcasting را انتخاب کنید
10 - Next کنید
حالا Successfully added نمایان می شود ، حالا شما باید سرور Certificate های Valid را از انتخاب خارج کنید :
1- روی Change connection settings کلیک کنید
2- روی تب Security بر روی Settings کلیک کنید حالا Protected EAP Properties باز می شود
3- Validate server certificate را از حالت انتخاب خارج کنید
4- Authentication Method حالا Secured password (EAP-MSCHAP v2). را انتخاب کنید
5- کلیک Configure و EAP-MSCHAP v2 Properties را باز کنید .
6- Automatically use my Windows logon on name and password را از حالت انتخاب خارج کنید .
7- OK را کلیک کنید
حالا باید احراز هویت کامپیوتر شما باید انجام شود :
1- روی تب Security کلیک کنید روی Advanced settings
2- تب 802.1X settings انتخاب کنید
3- Specify authentication mode انتخاب کنید
4- User authentication را انتخاب کنید
5- ok کنید
ویندوز 7 با SSL certificate های Valid قادر به اتصال به اکسس پوینت شبکه نیست .