در مجموعه نکات آموزش کریو کنترل | Kerio Control ما به شما نکات و ریزه کاری هایی کار با فایروال کریو کنترل را در قالب معرفی نکات کاربردی از نحوه استفاده از قابلیت های این نرم افزار بصورت گام به گام به شما آموزش می دهیم ، این مجموعه نکات هم بصورت جزوه و هم بصورت آنلاین می تواند در کنار یادگیری دوره های آموزشی کریو کنترل به شما کمک کند که بیشترین بازخورد را از این نرم افزار در شبکه خودتان بگیرید.
Log ها یک
Log ها در کریو کنترل اطلاعات ضبط شده از کلیه وقایع و رخداد هایی است که در این برنامه رخ داده است ، این لاگ ها تاریخچه ای از ارتباط میان اینترفیس ها و موتور کریو کنترل هستند . سه نوع لاگ در برنامه کریو کنترل وجود دارد :
1- لاگ هایی که اطلاعاتی درباره لاگین شدن به برنامه کریو ارایه می دهند :
2- لاگ هایی که بر اثر تغییرات دیتابیس برنامه ایجاد می شوند ، اطلاعات می تواند از بهینه سازی یک اینترفیس اجرایی باشد و یا فرم ساده ای از یک زبان SQL که موقع استفاده با دیتابیس ارتباط دارد :
کریو کنترل این امکان را می دهد که بتوانیم با استفاده از خروجی هایی با فرمت HTML لاگ ها را با استفاده از صفحات وب بررسی و مطالعه کنیم . همچنین شما می توانید اطلاعات خروجی را با استفاده از تنظیمات Syslog در برنامه کریو کنترل و با تنظیمات DNS و IP ادرس استخراج کنید :
Syslog ها دارای 2 بخش هستند یکی Facility و دیگری Severity
1- Facility — پیش فرض آن 16 و local use آن صفر تعریف شده است شما می توانید آنها را تغییر بدهید
2- Severity — مقدار ارزشی ثابت برای لاگ های کریو کنترل است ، شما می توانید در فیلد Application تمامی syslog های این بخش را مشاهده کنید :
برای فعال سازی این قابلیت شما log connections را فعال کنید :
همچنین شما می توانید ترافیک های UPnP را با استفاده از Log connections در مسیر (Security Settings → Zero-configuration Networking) فعال کنید . برای فعال سازی لاگ های ipv6 هم از مسیر (Security Settings→ IPv6) اقدام کنید .
نحوه خواندن لاگ ها در برنامه کریو کنترل
[18/Apr/2013 10:22:47] [ID] 613181 [Rule] NAT [Service] HTTP [User] winston [Connection] TCP 192.168.1.140:1193 -> hit.google.com:80 [Duration] 121 sec [Bytes] 1575/1290/2865 [Packets] 5/9/14
- [18//Apr//2013 10:22:47] : زمان و تاریخ ایجاد یک رخداد را نشان می دهد
- [ID] 613181 : همان Kerio Control connection identification number می باشد
- [Rule] NAT : نشان دهنده رولی است که لاگ برای آن ایجاد شده است
- [Service] HTTP : سرویس مربوطه به application layer را نشان می دهد که با پورت مقصد شناسایی میشود ، اگر این لاگ وجود نداشت نشان دهنده این است که لاگ از بین رفته است
- [User] : که در اینجا Winston نام دارد کاربری است که از طریق یک هاست با فایروال در ارتباط است ، ممکن است این لاگ وجود نداشته باشد چرا که کاربری متصل نشده است .
- [Connection] TCP 192.168.1.140:1193 - hit.top.com:80 — پروتکل ، ip ادرس مبدا و مقصد و پورت را نشان می دهد . اگر کش DNS پیدا شود اسم میزبان به جای IP ادرس نمایش داده می شود در غیر این صورت سرعت کریوکنترل کاهش پیدا می کند .
- [Duration] 121 sec — بر حسب ثانیه میزان بازه اتصال را نمایش می دهد .
- [Bytes] 1575//1290//2865 — سه مقدار بر حسب بایت در هنگام ارسال دیتا (transmitted //accepted //total)
- [Packets] 5//9//14 — مقدار و پکیت های ارسالی در یک اتصال با مقادیر (transmitted//accepted//total)
در آموزش های بعدی ادامه Log های کریو مانند Dbug log را تشریح می کنم
Log ها دو
Using the Debug log : این لاگ Debug (debug information) یک لاگ خاص است که برای مانیتور کردن ضروری از نوعی اطلاعات که برای حل مشکلات استفاده می شود ، حجم بالای اطلاعات می تواند گیج کننده و اغلب به دلیل اینکه تصویری شبیه به هم در طول یک دوره می دهد غیر عملی باشد ، معمولاً شما تنها احتیاج به تصویر اطلاعات و ارتباط میان یک سرویس خاص و عملکرد آن دارید . افزایش اطلاعات می تواند باعث افت قابلیت کریو کنترل شود ، بنابراین بخشی از آن دسته از اطلاعات که ضروریتر و مهم تر هستند در مدت کوتاهی در یک دوره خاص ذخیره و ضبط می شود .
- اطلاعات انتخابی مانیتورینگ با Debug log
مشاهده لاگ ها تنها برای کاربران با دسترسی مدیریت در کریو کنترل امکان پذیر است ، همچنین فرمت لاگ ها به صورتی است که هنگامی که ترافیکی در شبکه انجام می شود یک طرح و قالب برای ضبط لاگ ها ایجاد می شود این طرح مشخص باعث می شود تا لاگ های ورودی مشابه بر روی هم نوشته و ذخیره شود تا فضای دیسک کمتری را لاگ ها اشغال کنند .
- Packet Logging
برای عملکرد های پکیت ipv4 و ipv6 که هر کاربری در شبکه به صورت رکوردهایی است که ترافیک ip با جزییات بیشتری لاگ ها ایجاد می شود . برای تنظیمات فرمت پکیت لاگ :
- وارد اینترفیس مورد نظر شوید ، به مسیر Logs → Debug/Filter بروید
- در منوی Context کلیک Format of logged packets کنید
- یک نوع فرمت را انتخاب کنید
- روی ok کلیک کنید
یکی از الگوهای پکیت لاگ ها به صورت زیر است :
%DIRECTION%, %IF%, proto:%PROTO%, len:%PKTLEN%, %SRC% - %DST%, %PAYLOAD%
که فرمت این لاگ % هست و بقیه به صورت یکسری سمبل هستند :
- %DIRECTION% — مسیر یک ترافیک برروی اینترفیس خاص در فایروال (incoming // outgoing)
- %IF% — نام اینترفیس
- %PROTO% — نوع پروتکل (TCP, UDP,....)
- %PKTLEN% — سایز پکیت
- %SRC% — ادرس ip مبدا ( بستگی به پروتکل نیز دارد )
- %DST% - ادرس ip مقصد ( بستگی به پروتکل دارد )
- %SRCMAC% — مک ادرس مبدا
- %DSTMAC%— مک ادرس مقصد
- %PAYLOAD% — سایز دیتا با جزییات خاص ( بستگی به پروتکل دارد )
- %DSCP% — مقداری در هدر ip است
اگر شما بخواهید مسیری مستقیم روی یک اینترفیس داشته باشید که پکیت ها از مبدا به مقصد منتقل می شوند همیشه اندازه پکیت ها به صورت :
%DIRECTION% %IF%, %SRC% >> %DST%, length %PKTLEN%
این نتیجه به صورت زیر نمایش داده میشود :
[08/Sep/2012 11:47:39] PERMIT "Firewall traffic" packet from WAN, 192.168.52.2:53 >> 192.168.52.128:1035, length 96 [08/Sep/2012 11:47:39] PERMIT "Firewall traffic" packet to WAN, 192.168.52.128:1035 >> 192.168.52.2:53, length 63
اگر شما از پروتکل هم استفاده کنید به صورت :
%DIRECTION% %IF% %PROTO% (%SRC% >> %DST%)
و به صورت زیر نمایش داده می شود :
[08/Sep/2012 16:12:33] PERMIT "Firewall traffic" packet to WAN UDP (192.168.52.128:1121 >> 192.168.52.2:53) [08/Sep/2012 16:12:33] PERMIT "Firewall traffic" packet from WAN UDP (192.168.52.2:53 >> 192.168.52.128:1121)
Log ها سه
- Packet Dump To File
می توان کلیه عملیاتی که بر روی ipv4 و ipv6 صورت می گیرد را کاربر به صورت فایل های expression ایجاد و ذخیره کند ، این فایل ها را packet dump می نامند و می توان با استفاده از برنامه هایی مانند Wireshark بر روی کامپیوتر خودتان ذخیره و آنها را باز کنید . نکته : حجم لاگ های packet dump بسیار بالاست و باعث ایجاد مشکل در شبکه می شود بنابراین بهتر است بر روی اینترفیسی که لاگ ها از روی آن جمع آوری می شود تنها ضروری ترین اعلان ها و اخطار ها ثبت شود
- انواع پیام ها در کریو کنترل
یکی از امکانات اختصاصی در کریو کنترل این است که کلیه عملکرد ها و اطلاعات به صورت کاملا پیشرفته مانیتور می شود ، این اطلاعات می تواند کمک زیادی برای رفع مشکلات کار با کریو کنترل ارایه دهد :
- WAN//Dial-Up messages — : اطلاعاتی درباره Dilal line و درخواست های Dialing و قطع خودکار لینک ها است
- Kerio Control services — : فرایند پروتکل های سرویس های کریو کنترل نظیر (DHCP server, DNS module, web interface, UPnP support, IPv6 router)
- Decoded protocols — : لاگ های خاص یک پروتکل مانند HTTP و DNS
- Filtering — : لاگ های اختصاصی اطلاعاتی که بر روی فیلترینگ بر روی ترافیک انتقالی بر روی کریو کنترل اعمال می شود مانند antivirus control
- Accounting — : شامل پیام هایی بر اساس احراز هویت کاربران و مانیتورینگ پروتکل های فعال
- Miscellaneous — : مجموعه ای از دیتا ها نظیر HTTP cache
- Protocol Inspection — : گزارشاتی مختص به پروتکل های کریو کنترل
- Kerio VPN — : جزییاتی درباره اطلاعات ترافیک Kerio VPN — VPN tunnels و رمزگزاری و همچنین اطلاعات روتینگ است
- IPsec — : اطلاعاتی همراه با جزییات درباره ترافیک IPsec این اطلاعات شامل :
- اطلاعات عمومی درباره IPsec tunnel
- Charon output انتخاب برای حل مشکلات ciphers های یکسان در مبدا و مقصد
- اطلاعات L2TPD برای حل مشکلات outputPPPD با تانل های L2TP/PPP
Log ها چهار
- Dial log در کریو کنترل
لاگ هایی هستند که اطلاعات ذخیره شده از رخدادهای روی کریو کنترل را ذخیره می کنند ، این اطلاعات بیشتر درباره تنظیمات و لاگ های آن هاست . این لاگ ها نمایش دهنده Dialing هایی نظیر ارتباط Dial-up در یک مقطع زمانی است .
- نحوه خواندن لاگ های Dial log
1- لاگ هایی بر اساس یک تنظیم دستی بر روی اینترفیس کریو کنترل توسط کاربر صورت گرفته است :
[31/Jul/2013 11:41:48] Line "Connection" dialing manually from IP 10.10.10.60, user admin. [31/Jul/2013 11:42:04] Line "Connection" connected
لاگ اول بیان کننده یک گزارش رخ داده براساس dialing است که شناسایی شده است . اطلاعات اختصاصی درباره نام line و ip ادرس و نام کاربری داده است .
2- لاگ هایی که به صورت خودکار ایجاد شده اند . این لاگ ها در یک مقطع زمانی شکل می گیرند :
[10/Jul/2013 14:19:22] Line "Kerio PPPoE" dialing due to configured connect time
این لاگ ها اطلاعات تنظیمات اتصالات را به صورت :
[10/Jul/2013 14:34:44] Line "Kerio PPPoE" dialing, required by internet connectivity
3- line های قطع شده ( دستی یا خودکار ) :
15/Mar/2013 15:29:18] Line "Connection" hanging up, manually from IP 10.10.10.60, user Admin. [15/Mar/2013 15:29:20] Line "Connection" disconnected, connection time 00:15:53, 1142391 bytes received, 250404 bytes transmitted
اولین لاگ مربوط به رکوردی است که بر اثر قطع خط بوجود امده است . و شامل اطلاعاتی درباره نام اینترفیس ، نوع کلاینت ، ip ادرس و نام کاربری دارد ، دومین لاگ اتصال موفقیت امیز خط را نشان می دهد ، اطلاعات آن شامل ، نام اینترفیس و زمان اتصال و میزان ورودی و خروجی دیتا بر حسب بایت است .
4- علل قطع شدن لینک و خطا ها ( هنگامی که اتصال Drop شده است )
[15/Mar/2013 15:42:51] Line "Connection" dropped, connection time 00:17:07, 1519 bytes received, 2504 bytes transmitted
5- Dial که روی یک لینک یک پکیت از شبکه محلی عبور داده می شود :
[15/Mar/2013 15:53:42] Packet TCP 192.168.1.3:8580 -> 212.20.100.40:80 initiated dialing of line "Connection" [15/Mar/2013 15:53:53] Line "Connection" successfully connected
این لاگ شامل اطلاعاتی درباره :
- نوع پکیت و ip ادرس مبدا و مقصد ، پورت و پروتکل در مبدا و مقصد می باشد
- نامی برای خطی که فعال بوده است
Log ها پنج
- درباره Error log
Error log همانطور که از اسم آن مشخص است کلیه پیام های خطا در عملکرد کریو کنترل را گزارش می دهند ، مدیر شبکه با استفاده از این لاگ های میتواند مشکلات بوجود امده در برنامه کریو کنترل را حل کند .
- خواندن Error log در کریو کنترل
فرمی از یک ارور لاگ به صورت :
دسته بندی این لاگ ها به صورت :
- لاگ هایی که بر اثر مشکل در یکی از منابع سیستمی نظیر مموری به وجود می آیند
- لاگ هایی که بر اثر تمام شدن لایسنس رخ می دهند
- لاگ های داخلی که مربوط به جداول روتینگ و ip ادرس های اینترفیس ها هستند
- لاگ هایی که بر اثر تنظیمات نادرست ایجاد می شوند نظیر تنظیمات اشتباه وب پروکسی و DNS
- لاگ های شبکه
- لاگ هایی که بر اثر شروع و توقف کریو رخ می دهند نظیر low-level ارور یا مشکلاتی در دیتابیس برنامه
- لاگ هایی که مربوط به خطاهای سیستم هستند نظیر حذف و ذخیره یا باز نشدن یک فایل
- لاگ های مربوط به SSL مانند خطا در تایید certificate و کلید های رمز گذاری
- لاگ های مربوط به وب فیلتر در کریو کنترل
- لاگ های مربوط به vpn
- لاگ های مربوط به کش های HTTP مثلا در مواقعی که کش در حال نوشته شدن و یا خوانده شدن است
- لاگ های مربوط به چک سیستم های زیر مجموعه
- لاگ های مربوط به ارتباط Dial-up
- لاگ های مربوط به LDAP مانند عدم پیدا شدن سرور و عدم لاگین شدن
- لاگ های مربوط به بروزرسانی های خودکار برنامه
- لاگ های مربوط به بروزرسانی و رجیستری برنامه
- لاگ های مربوط به DNS های داینامیکی نظیر عدم بروزرسانی رکورد ها
- لاگ های مربوط به ارور های وب اینترفیس
- لاگ های مربوط به ارور های عملکرد در کار اینترفیس
- لاگ های ارور های مربوط به NTP کلاینت و همسان سازی زمان سرور
- لاگ های مربوط به پیشگیری در برابر نفوذ
- نکته : اگر شما موفق نشدید خطا ها را با استفاده از لاگ ها حل کنید حتما تماس با پشتیبانی کریو کنترل را فراموش نکنید
Log ها شش
- Filter log
یکی دیگر از لاگ های کریو کنترل filter log است ، شامل اطلاعاتی درباره صفحات وب که اجازه / بلاک شده اند ، اینها اطلاعاتی درباره پکیت های HTTP و FTP فیلتر نیز هستند ، هنگامی که یک رول HTTP و FTP فعال می شود ، نام رول ، ip ادرس هاست که درخواست URL ارسال کرده ثبت می شود ، و یا زمانی که رول ترافیک فعال شود ، جزییات و اطلاعات درباره پکیت ها شامل رول نام، ادرس مبدا و مقصد ، پورت و سایز و ... به صورت فرمتی که لاگ پکیت ها تعریف می شود در می آید .
- خواندن لاگ های URL
[18/Apr/2013 13:39:45] ALLOW URL ’Sophos update’ 192.168.64.142 standa HTTP GET http://update.kerio.com/antivirus/datfiles/4.x/dat-4258.zip
- [18Apr/2013 13:39:45] : تاریخ و زمان ایجاد لاگ
- ALLOW : یک عملی که اجرا شده است (ALLOW = access allowed, DENY = access denied)
- URL : نوع رول URL or FTP
- ’Sophos update’ : نام رول
- 192.168.64.142 : ip ادرس کلاینت
- jsmith : نام کاربری که در فایروال احراز هویت شده
- HTTP GET : شامل HTTP که در یک درخواست مورد استفاده قرار گرفته است
- Http://// : درخواست های URL
حالا لاگ های پکیت
[16/Apr/2013 10:51:00] PERMIT ’Local traffic’ packet to LAN, proto:TCP, len:47, ip/port:195.39.55.4:41272 -192.168.1.11:3663, flags: ACK PSH, seq:1099972190 ack:3795090926, win:64036, tcplen:7
- [16//Apr//2013 10:51:00] : تاریخ و زمان ایجاد لاگ را نشان می دهد
- PERMIT : عملی که بر روی پکیت اجرا شده شامل (PERMIT, DENY- DROP)
- Local traffic : نام و رول ترافیکی که با پکیت ارسال شده است
- packet to : مسیر پکیت
- LAN : نامی که اینترفیس ترافیک را هدایت می کند
- Proto : پروتکل انتقال نظیر TCP-UDP
- len : سایز پکیت ها در واحد بایت
- ip//port : ادرس ip مبدا - پورت مبدا ، ip ادرس مقصد و پورت مقصد
- flag : شامل TCP flag
- seq : شامل sequence number هر پکیت است فقط برای TCP
- ack : شامل acknowledgement sequence number فقط برای TCP
- win : اندازه دریافت بر حسب بایت ( برای flow کردن دیتا در tcp )
- tcplen : برای پیلود کرد TCP در واقع پکیت ها اندازه ای مشخص بر حسب بایت دارند
Log ها هفت
- Host log
در کریو 8.3 به بالا ارایه شد ، اطلاعاتی مبنی بر اینکه چه کسی و چه موقعی با کدام ادرس و دسترسی به کریو کنترل داشته است را ارایه می دهد .
- خواندن Host log
برای مثال زمانی که کاربری به کریو کنترل رجیستر می کند :
[02/Mar/2014 13:36:49] [IPv4] 192.168.40.131 [MAC] 00-10-18-a1-c1-de (Apple) - Host registered [02/Mar/2014 13:37:56] [IPv4] 192.168.40.131 [MAC] 00-10-18-a1-c1-de (Apple) [User] jsmith@company.com - User logged in [02/Mar/2014 16:48:52] [IPv4] 192.168.40.131 [MAC] 00-10-18-a1-c1-de (Apple) - User jsmith@company.com logged out [02/Mar/2014 16:48:52] [IPv4] 192.168.40.131 [MAC] 00-10-18-a1-c1-de (Apple) - Host removed
[02//Mar//2014 13:36:49] : تاریخ و زمان موقعی که عملی انجام شده. [IPv4] 192.168.40.131 : ادرس ip v4 کلاینت را نشان می دهد .[MAC] 00-10-18-a1-c1-de (Apple) : مک ادرس میزبان را نشان می دهد ، ممکن است مک ادرس نشان داده نشود این به تنظیمات کریو کنترل مربوط می شود
از جمله این عوامل می توان فعال بودن پراکسی - ارتباط های vpn - کلاینت در پشت کریو کنترل قرار گرفته باشد را نام برد .jsmith@company.com : نام کاربری که در فایروال احراز هویت شده است .ip address هایی که توسط DHCP ارایه می شوند : [04Mar2014 12:07:28] [IPv4] 10.10.30.81 [MAC] 00-0c-29-1d-cc-bd (Apple) [Hostname] jsmith-cp - IP address leased from DHCP [04//Mar//2014 12:07:28] : تاریخ و زمان عملی که اتفاق افتاده است . [IPv4] 10.10.30.81 : ادرس ipv4 کلاینت [MAC] 00-0c-29-1d-cc-bd (Apple) : مک ادرس میزبان [Hostname] jsmith-cp : نام کامپیوتر میزبان زمانیکه ipv6 ثبت و یا حذف می شود :
ipv6 هنگامی که تغییر بکند ، لاگ آن به صورت زیر میباشد :
[04/Mar/2014 16:05:28] [IPv4] 10.10.30.81 [IPv6] 2001:718:1803:3513:b4c6:82b3:e0f5:309e [MAC] 00-0c-29-1d-cc-bd (Apple) [Hostname] jsmith-cp - IPv6 address 2001:718:1803:3513:b4c6:82b3:e0f5:309e registered [04/Mar/2014 16:23:25] [IPv4] 10.10.30.81 [MAC] 00-0c-29-1d-cc-bd (Apple) [Hostname] jsmith-cp -IPv6 address 2001:718:1803:3513:b4c6:82b3:e0f5:309e removed
- [04//Mar/2014 16:05:28] : تاریخ و زمان عملی که اتفاق افتاده است
- [IPv4] 10.10.30.81 : ادرس ipv4 میزبان
- [IPv6] 2001:718:1803:3513:b4c6:82b3:e0f5:309e : ادرس ipv6 میزبان
- [MAC] 00-0c-29-1d-cc-bd (Apple) : مک ادرس میزبان
- [Hostname] jsmith-cp : نام کامپیوتر میربان
Log ها هشت
- Http log
این لاگ شامل تمامی اطلاعات Http که به صورت درخواست در کریو کنترل رخ داده اند ، http به صورت یک built-in برای proxy server تعریف شده است ، این لاگ های http به صورت استاندارد در Apache WWW server تعریف شده اند و یا یک Squid proxy server هستند برای کسب اطلاعات بیشتر به لینک های زیر مراجعه کنید :
http://www.squid-cache.org
http://www.apache.org
توجه : کلیه لاگ های وب که اجازه دسترسی دارند در Http log ذخیره می شوند و آن دسته از ادرس های وب که بلاک شده اند در بخش Filter log ذخیره می شوند . log ها اختیاری و تعریف آن ها توسط رول های کریو کنترل قابل تنظیم است .
خواندن Http log در فرمت Apache
- 192.168.64.64 - jsmith
- [18Apr2013:15:07:17 +0200]
- "GET http://www.kerio.com HTTP1.1" 304 0 +4
- 192.168.64.64 : ادرس ip کلاینت
jsmith : نام کاربری که در فایروال احراز هویت شده است ( اگر احراز هویت برای کاربر صورت نگیرد یک علامت دَش - جلوی آن قرار می گیرد )
[18Apr2013:15:07:17 +0200] — : تاریخ و زمان یک درخواست HTTP را نشان می دهد . +0200 ارزش میزان زمانی نمایش وب و بر اساس استاندارد UTC است
GET : استفاده از HTTP
http://www.kerio.com : درخواست URL
HTTP/1.1 : نسخه HTTP پروتکل
304 : کد پروتکل HTTP
0 : عدد صفر اندازه دیتا ارسالی بر حسب بایت است
+4 : تعداد درخواست های http که توسط اتصال انتقال پیدا کرده است
- خواندن http log در فرمت Squid
1058444114.733 0 192.168.64.64 TCP_MISS/304 0
GET http://www.squid-cache.org - DIRECT206.168.0.9
1058444114.733 : زمان بر حسب ثانیه و میلی ثانیه
0 : عدد صفر نشان دهنده دانلود است ( این میزان همیشه 0 و در کریو کنترل قابل تغییر نیست )
192.168.64.64 : ادرس ip کلاینت است
TCP_MISS : هنگامی که TCP پروتکل بخشی از یک دیتا را پیدا نمی کند .
304 : کد HTTP پروتکل
0 : عدد صفر میزان دیتا بر حسب بایت را نمایش می دهد
GET http://www.squid-cache.org/ : درخواست http
DIRECT : روش دسترسی به سرور WWW
206.168.0.9 : ادرس ip سرور WWW
Log ها نه
- Security log
Security log دسته از اطلاعات درباره پیام های امنیتی در کریو کنترل است .
- خواندن Security log
این لاگ های می تواند در انواع زیر باشد :
- تلاش برای نفوذ به سیستم
اطلاعات جمع آوری شده شامل ip ادرس و همچنین اطلاعات دیتابیس وب که به عنوان مهاجم شناسایی شده برای نمونه :
[02/Mar/2013 08:54:38] IPS: Packet drop, severity: High, Rule ID: 1:2010575 ET TROJAN ASProtect/ASPack Packed Binary proto:TCP, ip/port:95.211.98.71:80(hosted-by.example.com) -> 192.168.48.131:49960(wsmith-pc.company.com,user:wsmith)
- IPS: Packet drop : نفوذ برای عملی خاص شناسایی لاگ ان ذخیره و پکیت Drop شده است ( IPS: Alert )
- severity : در واقع سطح شدت نفوذ را نمایش می دهد که در اینجا برچسب High زده شده است
- Rule ID: 1:2010575 : شماره شناسایی نفوذ ( تنظیمات بیشتر در advanced settings )
- ET TROJAN ASProtect/ASPack... : نوع نفوذ و اسم آن
- proto : ترافیک TCP پروتکل
- ip/port:95.211.98.71:80(hosted-by.example.com) : ادرس ip مبدا و پورت و DNS میزبان
- -> 192.168.48.131:49960(wsmith-pc.company.com,user:wsmith) : ip ادرس مقصد و پورت که از آن پکیت وارد شده است به همراه DNS آن
- - لاگ هایی که Anti-spoofing ضبط می شوند :
هنگامی پکیت ها با هدف شناسایی شدن توسط هکر ها کپچر می شوند برای نمونه :
[17/Jul/2013 11:46:38] Anti-Spoofing: Packet from LAN, proto:TCP, len:48, ip/port:61.173.81.166:1864 -> 195.39.55.10:445, flags: SYN, seq:3819654104 ack:0, win:16384, tcplen:0
- packet from : مسیر پکیت ( اینکه از کدام اینترفیس دریافت و به کدام اینترفیس فرستاده شده است )
- LAN : نام اینترفیسی که ترافیک از آن عبور می کند
- proto : پروتکل انتقال دیتا که می تواند TCP یا UDP ... باشد
- len : طول پکیت بر حسب بایت
- ip/port : ادرس ip مبدا و پورت مبدا و ip ادرس مقصد و پورت مقصد
- flags : TCP flags
- seq : sequence number هر پکیت - تنها شامل TCP
- ack : acknowledgement sequence number - تنها شامل TCP
- win : اندازه دیتا دریافتی window بر حسب بایت - شامل تنها tcp
- tcplen : اندازه TCP که انتقال پیدا کرده است و بر حسب بایت است
لاگ های FTP protocol parser log :
برای نمونه :
- [17Jul2013 11:55:14] FTP: Bounce attack attempt:
- client: 1.2.3.4, server: 5.6.7.8,
- command: PORT 10,11,12,13,14,15
- (attack attempt detected — a foreign IP address in the PORT command)
نمونه دوم :
- [17Jul2013 11:56:27] FTP: Malicious server reply:
- client: 1.2.3.4, server: 5.6.7.8,
- response: 227 Entering Passive Mode (10,11,12,13,14,15)
- (suspicious server reply with a foreign IP address)
لاگ هایی که بر اثر عدم احراز هویت کاربر ایجاد می شود :
شکل این پیام :
- Authentication: Service: Client: IP adress: reason
- - Service : سرویس کریو کنترل که کاربر به آن اتصال دارد :
- WebAdmin : اینترفیس اجرایی وب
- WebInterface : اینترفیس کلاینت
- HTTP Proxy : احراز هویت کاربر در پروکسی سرور
- VPN Client : رمزگذاری دیتا در کریو کنترل توسط vpn و ipsec vpn
- Admin : پیام های که از کنسول ارسال می شوند
- IP address : ادرس ip کامپیوتری که کاربر با آن درصدد احراز هویت است
- Reason : دلیل عدم احراز هویت ( اشتباه در وارد کردن پسورد / کاربر با این نام تعریف نشده باشد )
Log ها ده
- Warning log
همانطور که از اسم این لاگ ها مشخص است ، کلیه اطلاعاتی که اخطاری را گزارش می دهند را ذخیره می کند ، این لاگ می تواند مثلا پیامی از طرف یک ارتباط با سرور از طریق وب باشد ، این پیام ها در کریو کنترل راهکار مناسبی برای حل مشکلات احتمالی ارایه نمی دهند ، اما می توانند اطلاعاتی به مدیران شبکه مبتنی بر اخطار هایی که اغلب بر اثر ورود به سیستم رخ می دهند بدهند . دسته بندی این لاگ ها به صورت :
- - System warnings
- - تنظیمات کریو کنترل
- - اخطارهایی که در عملکرد کریو کنترل رخ داده است
- - اخطارهایی که در لایسنس سیستم و نرم افزار رخ می دهد
- - اخطارهایی که در پهنای باند رخ می دهد
- - هنگامی که برنامه ای در هنگام کار دچار مشکل شده است
خواندن Warning log
این اطلاعات در بخش Security Settings → Miscellaneous ایجاد می شوند ، برای نمونه یک لاگ اخطاری به صورت :
[18Jan2013 11:22:44] Connection limit of 500 inbound connections reached
for host 192.168.42.192.
رخ می دهد ، این خطا زمانی رخ می دهد که یک فرد یا مدیر بخواهد به کریو کنترل تحت وب وارد شود . و نمونه دوم :
[02Jan2013 13:45:37] Unable to categorize ’example.com’ by Kerio
Web Filter. DNS response ’FAILURE: Invalid authorization’ to query
’example.com.f836.ko-34554.v3.url.zvelo.com’ is invalid.
زمانی رخ می دهد که امکان رجسیتری شدن به سرور وجود ندارد ، اگر شما بخواهید لایسنس را به صورت دستی وارد کنید :
[02Jan2012 15:54:20] License update failed: Automatic license update
failed.
استفاده از IP tools در کریو کنترل
درباره IP tools
کریو کنترل شامل چندین ابزار برای رفع مشکلات ارتباطی است ، مسیر دسترسی به آن از طریق Status
→ IP Tools خواهد بود :
1- در اینترفیس مورد نظر بر روی Status → IP Tools و تب tools را بزنید
2- حالا فیلد ها و پارامتر مورد نظر را انتخاب کنید
3- Start را بزنید
- Ping
ابزاری برای اتصال بین 2 هاست ارتباطی است ، توجه داشته باشید گاهی این ابزار ممکن است توسط هاست ها فیلتر شده باشد ، دارای اجزایی نظیر :
- Target : ip ادرس یا نام هاست که از راه دور دسترسی دارد
- Protocol : که ipv4 یا ipv6
- Count : شمارش پینگ هایی است که در حال رد و بدل شدن هستند
- Size : به صورت پیش فرض 56 است
- Allow fragmentation : یک مقدار انتخابی برای اجازه دادن به درخواست های پینگ است که پکیت بر اثر عبور از روتر های دیگر کوچکتر شده است .
- Traceroute
برای چک مسیر روتر هایی که در بین دو نقطه قرار دارند ، مثلا هنگامی که شما نتوانستید از پینگ استفاده کنید می توانید از این ابزار استفاده کنید . دارای پارامتر های زیر است :
Target : ip ادرس و نام هاست و هاست مقصد
Protocol : ipv4 – ipv6
Resolve addresses to hostnames : نام هاست و ip ادرسی که توسط عملکرد lookup name نمایش داده می شود
- DNS Lookup
کلیه درخواست هایی که domain name server برای بدست اورد ip ادرس انجام می دهد و ان را از یک نام هاست دریافت می کند ، برای مثال هنگامی که می خواهید باز نشدن یک وب سایت را ایراد یابی کنید از این ابزار استفاده می شود ، دارای پارامتر های زیر است :
- Name : نام هاست یا ip ادرس
- Tool : یک ابزار برای گرفتن خروجی از کویری مثلا nslookup
- Server : DNS سرور خاص
- Type : نوع DNS کویری است مثلا A یا TXT یا SRV
- Whois
ابزاری است که اطلاعاتی درباره منابع اینترنتی نظیر یک اسم دامین و ip ادرس می دهد .
بکاپ و انتقال
- Configuring backup - transfer
گاهی ممکن است مدیران شبکه در کار با کریو کنترل مجبور شوند عملیات سیستم کریو کنترل را موقتا غیر فعال کنند ( برای مثال برای تعویض قطعات سخت افزاری ) ، کریو کنترل به آسانی می تواند امکانات گرفتن پشتیبان را توسط کاربران لوکال و با توجه به SSL certificates انجام دهد ، شما همچنین می توانید از این فایل پشتیبانی در یک کریو کنترل که به تازگی نصب شده است استفاده کنید ، برای Export و Import نیز شما می توانید از بخش داشبورد عبارت Configuration Assistant و یا هنگامی که وارد کریو کنترل می شوید یک پنجره به صورت پیش فرض باز می شود که می توانید از آن استفاده کنید .
- انجام export
تنظیمات Export با فرمت tgz ( که فایل فشرده gzip ) که با کلیه فایل های کریو کنترل همخوانی دارد کار می کند ، این فایل می تواند شامل تنظیمات بخش هایی مثله SSL certificates - VPN server - web interface باشد ، Export لایسنس کریو کنترل را شامل نمی شود .
- تنظیمات import
import به راحتی صورت می گیرد کافیت مسیر فایل ها را بدهیم فرمت فایل ها به صورت .tgz است ، ممکن است در هنگام عمل import به دلایلی که اغلب به خاطر کارت های شبکه است مشکلاتی رخ دهد بهتر است قبل از این کار یکی از کارت های شبکه را اختصاصا برای عمل import تنظیم کنیم ، این کار از طریق تنظیمات traffic rules و یا interface group settings امکان پذیر است .
تنظیمات SMTP
کریو کنترل به صورت اختصاصی تنظیمات SMTP server را ندارد ، چنانچه بخواهید پیام هایی نظیر پیام های Alert و گزارشات به ایمیل شما فرستاده شود نیاز دارید از سرویس MyKerio notification service یا از SMTP Relay Server استفاده کنید ، به صورت پیش فرض کلیه اعلان های کریو به حساب کاربری کاربر در کریو می رود ، اما محدودیت هایی این خدمات دارد و نمی توان زیاد روی آن حساب کرد ، اگر شما تعداد زیادی ایمیل را دارید می توانید از امکان SMTP Relay Server استفاده کنید . اگر می خواهید از این امکان استفاده کنید :
- صفحه pop-up که هنگام ورود به کریو کنترل باز میشود ( موسوم به administration interface ) به مسیر Remote Services → SMTP Relay بروید
- انتخاب SMTP server
- در فیلد Server ، نام DNS یا ip ادرس سرور را وارد کنید
- انتخاب Require SSL-secured connection
- اگر لازم است SMTP server نیاز به احراز هویت داشته باشد ، شما نام کاربری - پسورد SMTP server را بدهید
- ادرس ایمیل خود را در Specify sender email address in the "From:" header قرار دهید
- رو Test کلیک کنید
- در ستون Email Address شما باید ادرس ایمیل خود را وارد کنید تا تست شود و بعد رو Ok کلیک کنید
- Apply
تنظیمات MyKerio Cloud
MyKerio یک سرویس ابری است که کاربران با دسترسی مدیر می توانند از طریق یک رابط داشبوردی با آن کار کنند ، این سرویس اجازه می دهد تا مدیران بتوانند دسترسی راه دوری به MyKerio داشته باشند برای این کار هم ابتدا Allow remote administration from MyK-erio cloud service را باید انتخاب کرد ، برای اتصال برنامه کریو کنترل هم باید سرویس Open MyKerio and join this appliance after you finish انتخاب شود .
- Assistant تنظیمات
تنظیمات بخش configuration assistant یک دسترسی پایه ای به تنظیمات کریو کنترل است ، با این پیش فرض ، که آن به صورت خودکار به صورت یک اینترفیس اجرایی باز می شود ، اگر این گزینه فعال نیست ، می توانید روی Dashboard با رفتن به Configuration Assistant ان را اجرا کنید :
تنظیمات شبکه داخلی و اینترنت
کریو کنترل این قابلیت را دارد تا بتوانید در پشت آن تنظیماتی برای دسترسی به اینترنت IPV4 داشت ، تمامی تنظیمات DHCP Server و DNS را می توان از طریق wizard طی کرد ، شما می توانید یکی از راه های اتصال را انجام دهید :
- Single Internet Link
1- در اولین صفحه در این ویزارد ، A Single Internet Link را انتخاب کنید
2- روی Next کلیک کنید
3- یک اینترفیس شبکه را انتخاب کنید . (Internet link)
4- یکی از مدهای :
- - Automatic — : اینترفیس را مستقیم به gate way ارتباط می دهد ، قبل از ان باید اداپتور شبکه را تنظیم کرده باشید
- - Manual — : شما می توانید تنظیمات default gateway ، DNS servers ، IP address ، subnet mask را دسای انجام دهید
نکته : چنانچه ip address بیشتری می خواهید قرار دهید دقت کنید تنها primary IP address را اینترفیس نمایش می دهد .
PPPoE — : شما username و password سرویس دهنده اینترنت را وارد کنید
5- Next کنید
6- انتخاب اینترفیس اتصالی به شبکه لوکال را انجام دهید
7- Next
8- حالا تنظیمات انجام شده و Finish کنید
نکته : اینترفیس هایی نظیر Internet Interfaces به صورت یک گروه و اینترفیس های لوکالی به صورت Trusted/Local Interfaces گروه بندی شده اند ، گروه Other Interfaces برای آن دسته از اینترفیس های ضروری هستند که به صورت رول های دستی ایجاد می شوند نظیر رول DMZ
- Two Internet links with load balancing
چنانچه شما 2 لینک اینترنت دارید ، کریو کنترل می تواند یک تقسیم بندی بین هر دو داشته باشد :
1- در اولین صفحه Two Internet links with load balancing را انتخاب کنید
2- Next
3- انتخاب 2 اینترفیس که اینترنت را انتقال می دهند .
نکته : برای هر لینک یک link weight در نظر گرفته می شود که ارتباط با سرعت هر لینک دارد این مقدار یک توازن را در ارتباط ایجاد می کند که باید با سرعت هر لینک مطابقت داشته باشد
نکته : اگر شما 2 لینک با سرعت های لینک اولی 4 Mbits و دومی هم 8 Mbits داشته باشید . شما weight 4 برای لینک اولی و برای لینک دومی weight 8 را انتخاب باید بکنید ، تمامی سرعت انترنت با هم جمع شده و یک نسبت 1:2 ایجاد می شود .
4- انتخاب مد :
- - Automatic — : ارتباط مستقیم با اینترفیس default gateway برقرار می کند
- - Manual — تنظیمات default gateway, DNS servers, IP address - subnet mask را خودتان انجام می دهید .
- - PPPoE — از طریق username - password سرویس دهنده اینترنت
5- Next
6- حالا اینترفیس اتصالی به شبکه لوکال را انتخاب می کنیم
7- Next
8- Finish
- Two Internet links with failover
کریو کنترل قابلیت تضمین لینک ارتباطی حتی بعد از قطعی آن را دارد شما می توانید در آن یک لینک پشتیبانی را ایجاد کنید ، این ارتباط پشتیبانی می تواند به صورت خودکار اجرا شود ، این عمل به این صورت انجام می شود که هنگامی که شما به یک لینک ارجعیت بالاتری می دهید در زمان قطعی لینک ، فعال خواهد شد .
1- در اول صفحه ویزاردی Two Internet links with failover را انتخاب کنید
2- Next
3- اینترفیس های primary connection و secondary connection انتخاب می شود
4- مد :
- - Automatic — : ارتباط مستقیم با اینترفیس default gateway برقرار می کند
- - Manual — تنظیمات default gateway, DNS servers, IP address - subnet mask را خودتان انجام می دهید .
- - PPPoE — از طریق username - password سرویس دهنده اینترنت
5- Next
6- اینترفیس شبکه لوکال را انتخاب کنید ، اگر چند اینترفیس اتصال دارد شما اینترفیسی که به برای مدیریت کریو کنترل هم هست را انتخاب کنید
7- Next
8- Finish
- نکته : موقعی که از failover استفاده ی کنید ، 2 اینترفیس تنها فعال هستند ، یکی primary و دیگری یک failover
- نکته : یک default gateway بر روی همه اینترفیس های محلی تنظیم نشود
- نکته : اگر تنظیمات اینترفیس مطابق با تنظیمات شبکه نیست آن را ویرایش کنید ، مثلا اگر فایروال از چند اینترفیس برای شبکه محلی استفاده می کند آنها را به گروه Trusted/Local Interfaces حرکت دهید .
تنظیمات Traffic Rule
- traffic policy در کریو کنترل
با استفاده از Configuration Assistant می توان تنظیمات traffic rule را انجام داد :
1-در Configuration Assistant روی Define traffic policy کلیک کنید .
2-یکی از انتخاب های زیر را فعال کنید :
- VPN services : چنانچه قصد ایجاد Kerio VPN server یا IPsec VPN server را دارید ، می توانید برای سرویس های دسترسی راه دور یا VPN tunnel از این قسمت استفاده کنید
- Kerio Control Administration— برای مدیریت راه دور کریو کنترل می توانید از دسترسی Https با پورت 4081 استفاده کنید
- Web Services — ارتباطات HTTPS که با پورت های 80443 کار می کنند . برای سرویس های عمومی وب نظیر میل سرور و وب سایت های شرکتی در پشت فایروال می توان از این بخش استفاده کرد
3-Next
4-برای ساخت سرویس هایی که فایروال را قادر می سازد تا شبکه محلی بتواند به اینترنت متصل شود از این بخش استفاده می شود :
5-در Inbound policy می توانید یکی از پارامتر های :
- -Service ( یا یک group of services ) : نوع سرویس و پورت یا پروتکل را انتخاب می کنید
- -Runs on — : firewall یا IP address شبکه محلی روی هر سرویسی که فصد اجرا ان را دارید
6-مرتب کردن رول ها به ترتیبی که قرار است کار کنند ( اولویت اجرا از بالا به پایین است )
7-Finish
- Export کردن تنظیمات
کلیه فایل ها را می توانید با فرمت .tgz که شامل فایل های تنظیماتی در کریو کنترل هستند را Export کرد ( در اموزش های قبلی به آن اشاره شده است ) ، همچنین تنظیمات برای Import در کریو کنترل هم در اموزش های قبلی توضیح داده شد .
فعال سازی و لایسنس
- Activate Kerio Control
استفاده از کریو کنترل از یکی از روش های زیر میسر می شود :
- یک شماره رجیستری همراه محصول خریداری دریافت می کنید
- محصول را خریداری می کنید
- یک نسخه 30 روزه دارید
- یک فایل کلید را دریافت می کنید
- رجیستری کریو کنترل را بعدا انجام می دهید
رجیستری نسخه رایگان کریو کنترل
در نسخه رایگان شما دسترسی به امکانات زیر را ندارید :
- وب فیلتر در کریو کنترل
- موتور انتی ویروس بروزرسانی نمی شود
- سیستم هشدار در برابر حملات فعال نیست
- دسترسی به پشتیبانی را ندارید
خرید کریو کنترل
- روی License در پنجره Licensing dialog کلیک کنید
- Next کنید تا برسید به Buy حالا سایت www.kerio.com باز می شود
- در www.kerio.com روی purchase Kerio Control بروید
انتقال لایسنس ها
هر لایسنس را می توان بین :
- Two virtual appliances
- Two software appliances
- A virtual appliance and a software appliance
- Two hardware appliances 2 سخت افزار مشابه
نکته : چنانچه از محصولات سخت افزاری مختلفی استفاده می کنید توجه داشته باشید که شما قادر به استفاده از یک لایسنس نیستید ، اما می توانید در دستگاه هایی که سخت افزار مشابه دارند از یک لایسنس برای آنها استفاده کنید
نکته : حذف سیستم قدیمی لایسنس را باطل می کند و روی دستگاه های دیگر کار نمی کند
Import کردن کلید لایسنس
- ابتدا آن را تهیه کنید
- در بخش administration interface
- در Dashboard و بعد Configuration Assistant کلید کنید
- کلیک کنید در Register product
نکته : حتما در بخش License و سپس در Dashboard چک کنید که لایسنس فعال شده باشد
داشبورد و تنظیمات وب
کریو کنترل شامل یک داشبود قابل سفارشی سازی است . هر بخشی شامل یک تیتر به همراه اطلاعاتی درباره گراف ها - اخبار کریو - امارها و ... است . بعد از هر بار وارد شدن به کریو نمایش داده می شود . مسیر دسترسی به آن Configuration → Dashboard است :
- تنظیمات تحت وب در کریو کنترل
کریو کنترل بصورت یک اینترفیس تحت وب به کمک پروتکل های SSL رمز گذاری می شود . برای رفتن به حالت Http ان :
1- administration interface بروید
2- در Advanced Options → Web Interface علامت عبارت Force SSL secured connection را می توانید بردارید ( برداشتن این گزینه یک ریسک امنیتی است )
3- Apply
کریو کنترل یک دامین نیست ، بلکه این دامین برای کنترل ان می باشد ، ممکن است در بعضی از سیستم های قدیمی نظیر ویندوز Xp مشکلاتی به دلیل احراز هویت رخ دهد . چنانچه قصد تغییرات در این بخش را دارید :
1- در administration interface ، بروید به Advanced Options → Web Interface
2- انتخاب کنید ، Use specified hostname و یک نام هاست را برای مثال firewall.mycompany.com وارد کنید
3- Apply
- تغییر در یک SSL certificate
همچنین در کریو کنترل می توان SSl تبادلی بین یک کلاینت و سرور ردوبدل می شود را تغییر داد ، برای این کار شما نیاز به یک SSL certificate ولید و معتبر دارید :
- بروید به administration interface
- در Advanced Options → Web Interface ، از لیست یک Certificate انتخاب کنید .
- Apply
تنظیمات SSL
SSL certificate در کریو کنترل یکی از راه کارهای احراز هویت است ، که برای رمزگذاری در ارتباطاتی نظیر VPN - Https و ... مورد استفاده قرار می گیرد ، صدور SSL certificate در کریو توسط منابع محلی آن تامین می شود ، به هنگام نصب برنامه کریو کنترل لحاظ می شود . کریو کنترل از فرمت های SSL certificate زیر پشتیبانی می کند :
- Certificate (public key) : که به صورت X.509 Base64 و با فرمت نوشتاری (PEM) است . یک فایل با پسوند .crt است .
- Private key : یک فایل در فرمت RSA است ، حداکثر کلید آن 4KB است ، و عبارت ورود را پشتیبانی می کند .
- Certificate + private key در یک فایل : به صورت فرمت PKCS#12 است ، و با پسوند های .pfx و یا .p12 شناسایی می شود .
ساخت یک Local Authority در کریو کنترل
در هنگام نصب کریو به صورت خودکار Local Authority لحاظ می شود . چنانچه نام هاست و دیگر دیتا ها درست نباشد نیاز هست تا یک certificate جدید برای احراز هویت محلی یا همان Local Authority ایجاد شود :
- در بخش Definitions → SSL Certificates وارد شوید
- کلیک بر روی Add → New Certificate for Local Authority
- در باکس New Certificate for Local Authority نام هاست کریو را وارد کنید .
همچنین برای ایجاد یک Local Authority جدید می توانید در بخش Definitions → SSL Certificates تغییراتی نظیر :
- تغییر از Local Authority به Authority
- تغییر نام Obsolete Local Authority
- یک احراز هویت شناخته شده و امن برای IPsec را فعال کنید
ساخت یک certificate در Local Authority
اگر قصد ساخت certificate جدید را دارید و یا certificate قدیمی کار نمی کند :
- در بخش Definitions → SSL Certificates
- کلیک کنید Add → New Certificate
- روی باکس New Certificate و نام هاست خودتان را وارد کنید .
- تنظیمات را ذخیره کنید
انواع Interface
- نگاهی به اینترفیس ها
کریو کنترل بین شبکه های محلی و اینترنت نیاز به یک gateway دارد ، تا بتواند ترافیک را بین شبکه ها انتقال دهد ، برای هر اینترفیس در کریو کنترل گروه خاصی در نظر گرفته می شد :
- Internet Interfaces — برای اتصالات اینترنت بکار برده می شود
- Trusted // Local Interfaces — اینترفیس اختصاصی محلی با فایروال محافظت می شود
- IPsec and Kerio VPN interfaces — برای شبکه ها مجازی مثلا vpn و ipsec
- Guest Interfaces — برای Lan های مهمان در نظر گرفته می شود
- Other interfaces — اینترفیس هایی که در هیچ گروهی که در بالا به انها اشاره شد جا ندارند ، مثلا dial-link
اموزش نحوه اضافه کردن یک اینترفیس جدید
- Network adapter — برای انتخاب اینترفیس ها از بخش Interfaces می توانید ان را انتخاب کنید ، به ازای هر کارت شبکه می توانید اینترفیس انتخاب کنید ، اگر بر روی برنامه های مجازی ساز نصب کردید شما می توانید کارت های شبکه مجازی را به تعداد دلخواه به کریو کنترل معرفی کنید .
- Port in Kerio Control — در بخش Interfaces شما می توانید به وسیله سوییچ LAN تنظیمات پورت را انجام دهید در فصل های بعدی مطالب بیشتری درباره تنظیمات پورت ها تشریح خواهد شد
- VLAN — مهندسان شبکه می توانند تنظیمات vlan را ایجاد کنند
تنظیمات اینترفیس ها
- در administration interface بروید به Interfaces
- روی More Actions → Configure in Wizard کلیک کنید
- می توانید Configuration Assistant را مطالعه کنید
Configuring Internet connectivity
برای تنظیمات شبکه هایی که می خواهند با ipv4 کار کنند :
1- از بخش administration interface وارد Interfaces بشوید
2- انتخاب کنید یکی از بخش های :
- A Single Internet Link — متداولترین نوع انتخاب در این بخش را شامل میشود ، هنگامی که شما قصد دارید شبکه محلی خود را به یک شبکه اینترنت وصل کنید . شبکه های Dial نظیر PPPoE شامل این بخش می شوند
- Multiple Internet Links - Failover — هنگامی که شبکه اولیه شما قطع شود کریو کنترل این امکان را به شما می دهد که بر روی شبکه ارتباطی دوم خود بتوانید سوییچ کنید ، تا هنگامی که مشکل قطعی لینک اول برطرف شود
- Multiple Internet Links - Load Balancing — بالانس بین 2 شبکه را کریو کنترل می تواند ایجاد کند . در صورت قطعی یکی از شبکه ها ، اطلاعات می تواند بر روی لینک های دیگر انتقال یابد
3-روی Apply کلیک کنید
Adding tunnels
در کریو کنترل می توان پروتکل های تانل نظیر : PPTP — PPPoE — L2TP — VPN را ایجاد کرد
تنظیمات PPPoE بر روی اینترفیس
یکی از پروتکل های متداول در شبکه های یکتا استفاده از مد pppoe است ، شما نیاز دارید تا ابتدا اطلاعات زیر را سرویس دهنده اینترنت خود دریافت کنید :
Username
Password
- در administration interface به بخش Interfaces بروید
- دوبار کلیک کنید در Internet interface
- مد PPPoE را انتخاب کنید
- در PPPoE Interface Properties نام یک اینترفیس جدید را وارد کنید
- حالا username - password را وارد کنید
- تنظیمات را save کنید
Configuring PPPoE tunnel
برای تنظیمات در یک شبکه و اتصال آن به اینترنت کاربرد دارد :
- در administration interface بروید به Interfaces
- کلیک بر روی Add → PPPoE
- در PPPoE Interface Properties نام یک اینترفیس جدید را وارد کنید
- در Interface Group ان را انتخاب کنید
- روی منو Dialing Setting اینترفیس را انتخاب کنید
نکته : چنانچه شما هیچ اینترفیسی را انتخاب نکنید ، کریو کنترل به صورت خودکار این کار را انجام می دهد
Configuring PPTP tunnel
برای تنظیمات شما به اطلاعات زیر نیاز دارید :
PPTP server hostname
username and password for PPTP server access
- در administration interface بهInterfaces بروید
- کلیک Add → PPTP
- در PPTP Interface Properties نام اینترفیس جدید را وارد کنید
- سپس Interface Group اضافه کنید
- روی Dialing Settings شما تنظیمات PPTP server hostname و username و password را وارد می کنید
- تنظیمات زمانی که اتصال می تواند وصل و قطع شود را وارد کنید
- تنظیمات را Save کنید
Configuring L2TP tunnel
تنظیمات این بخش مانند PPTP می باشد
VPN tunnel
کریو کنترل می تواند Virtual Private Network را پشتیبانی کند ، شما می توانید از این قابلیت در شبکه های LAN و یا در شبکه هایی که VPN Server کار می کند نظیر کلاینت های دستگاه هایی نظیر موبایل و کامپیوتر و .... استفاده کنید . تنظیمات :
- در administration interface بروید به Interfaces
- روی Add → VPN Tunnel کلیک کنید
- نام تانل جدید را وارد کنید ( این نام باید یکتا و منحصر به فرد باشد )
- حالا نوع تانل را انتخاب کنید : Active : برای اتصال به یک remote endpoint یا Passive : در شبکه محلی با یک ip ادرس ثابت
- از Type بروید به Kerio VPN
- روی منو Authentication یک احراز هویت مبتنی بر fingerprint از شبکه محلی به سرور vpn انجام می شود ، اگر شبکه راه دور دارید که می خواهید به ان وصل شوید شما در بخش Detect remote certificate را کلیک کنید
- تنظیمات را Save کنید
نکته : در شبکه های محلی هر بخشی باید ip ثابت داشته باشد قبل از اتصال دو سایت با vpn شما باید مطمین شوید که رنج های ip شبکه ها شبیه هم نباشد به عبارت دیگر عمل روتینگ صورت نگیرد .
Configuring routing
به صورت پیش فرض عمل روتینگ شبکه های محلی با vpn server تنظیم شده است اما در شرایطی که نیاز به روت خاصی هست :
- در administration interface بروید به Interfaces
- دوبار کلیک کنید در VPN tunnel
- روی Remote Networks انتخاب کنید Use custom routes اگر Use routes provided automatically by the remote endpoint را انتخاب کنید ممکن است کالوژن رخ دهد
- Add را بزنید
- در Add Route یک شبکه را تعریف کنید
- Save کنید
Configuring VPN failover
کریو کنترل می تواند به صورت یک load balancing در بین چندین ارتباط VPN کار کند ، این عمل خودکار صورت می گیرد ، شکل زیر نشان می دهد که چگونه باید ادرس هاست نوشته شود :
یک سناریو از Kerio VPN tunnel
می خواهیم ارتباط دو شرکت را با استفاده از Kerio VPN tunnel برقرار کنیم در این مثال :
- headquarters office دارای ادرس ip پابلیک 85.17.210.230 با newyork.company.com نام DNS آن است ، این شرکت دارای DHCP سرور برای زیر مجموعه های خود است تا ip خودکار دریافت کنند
- این headquarters دارای دو سابنت LAN1 و LAN2 است company.com نام DNS ان است .
- بر روی Branch office سرویس های WWW – FTP - Microsoft SQL فعال است .
می خواهیم بین دو شبکه و VPN client ترافیک را عبور بدهیم :
- VPN client بتواند به LAN1 اتصال داشته باشد
- کاربران نتوانند به VPN client از هیچ شبکه ای اتصال برقرار کنند
- از branch office کاربران بتوانند تنها از طریق شبکه LAN1 و تنها WWW و FTP و Microsoft SQL services اتصال پیدا کنند
- اتصال بین headquarters office و branch office دارای محدودیت نیست
ما باید ابتدا تنظیمات زیر را انجام بدهید :
1- در headquarters باید در بخش Kerio Control administration تانل vpn را تعریف کنیم در اینجا Active شبکه نهایی به سمت branch office دارای ip address داینامیک است و حال Passive شبکه نهایی که به سمت headquarters server دارای ip ادرس پابلیک است .
2- حالا vpn tunnel را بسازید ( اگر نشد در لاگ های خطا چک کنید که مدرک یا certificate برای سرور راه دور انجام شده است )
3- در traffic rules اجازه دسترسی به عبور ترافیک بین local network و remote network و VPN client باید داده شود
4- تنظیمات محدودیت ترافیکی برای headquarter's server انجام شود ، روی branch office server تنها ترافیک بین شبکه محلی و VPN tunnel باید باشد
5- حالا تست کنید می توانید ارتباط را با پینگ یا tracert چک کنید . اگر پیام Unknown host را مشاهده کردید شما باید DNS ها چک کنید .
تنظیمات Interface ها
Configuring Ethernet ports
در جعبه های کریو کنترل پورت های اترنت گیگابیت وجود دارد . این پورت ها به صورت زیر تقسیم بندی می شوند :
- Standalone interface
- Switch for LAN
- Not assigned — پورت های غیر فعال
همچنین در اینجا امکان استفاده از VLAN نیز وجود دارد
- در بخش administration interface بروید به Interfaces
- روی Manage Ports کلیک کنید
- در بخش Manage Ports شما می توانید اسمی را در Port Name تعریف کنید
- در Configure Port شما می توانید یکی از حالت های دلخواه زیر را تنظیم کنید
- Standalone interface — یک پورت اترنت standalone ایجاد می کند
- Switch for LAN — پورت می تواند یک پورت سوییچ در کریو کنترل باشد .
- Not assigned — غیر فعال است
5. Speed and duplex را تنظیم کنید
6. روی Ethernet interfaces شما می توانید VLAN هم تعریف کنید
7. Save کنید
- Appliance Editions
در اینجا می توان مد های Speed و Dublex برای Ethernet interfaces و برای ساخت VLAN ها روی اینترفیس ها داشته باشید :
- در administration interface بروید به Interfaces
- روی Manage Ports کلیک کنید
- در Manage Ports در Port Name دوبار کلیک کنید
- تنظیمات Speed and duplex را انجام بدید
- روی Ethernet interfaces شما می توانید VLAN ایجاد کنید .
- Save کنید
- نکته : امکان اضافه کردن پورت های فیزیکی در VLAN سوییچ وجود ندارد . چنین عملکردی تنها بر روی نسخه های جعبه بورد کریو کنترل هست
ایجاد L2TP
- Configuring L2TP tunnel
کریو کنترل از پروتکل L2tp یا همان (Layer 2 Tunneling Protocol) پشتیبانی می کند . شرکت های ISP از این پروتکل بیشتر برای اتصال کاربرانشان به اینترنت استفاده می کنند . در مباحث بعدی IPsec VPN بیشتر درباره قابلیت های تانلینگ در کریو کنترل بحث خواهیم کرد .
- پیش نیاز ها برای ایجاد L2tp در کریو کنترل
- سرور L2tp و نام هاست
- نام کاربری و پسورد برای دسترسی L2TP server
- تنظیمات L2TP tunnel
شما نیاز به اینترنت و همچنین پشتیبانی ISP سرویس دهنده اینترنت از پروتکل L2tp دارید :
- در بخش administration interface بروید به Interfaces
- در Add → L2TP انجام دهید
- در کادر L2TP Interface Properties یک نام برای اینترفیس جدید قرار بدید
- آن را در Interface Group قرار دهید
- روی تب Dialing Settings باید L2TP server hostname و همچنین نام کاربری و پسورد قرار دهید
- تنظیمات زمان برای برقراری و قطع ارتباط این پروتکل را تنظیم کنید
- تنظیمات را Save کنید
نکته : موقعی که در Status وضعیت را UP نشان می دهد یعنی L2TP tunnel فعال است .
- تنظیمات L2TP tunnel در کریو کنترل با public IP address
چنانچه قصد استفاده از یک ip ادرس پابلیک برای استفاده در L2tp تانل رو دارید :
1- در administration interface بروید به Interfaces
2- تغییر در Internet connectivity به وضعیت Multiple Internet Links - Load Balancing
3- اضافه کردن L2TP tunnel
4- در Interface Group انتخاب کنید Internet Interfaces
5- انتخاب Use for Link Load Balancing در کادر L2TP Interface Properties
6- غیر فعال کردن Use for Link Load Balancing در کادر Ethernet Interface Properties
7- تنظیمات را Save کنید
تنظیمات Guest Network
- Configuring the guest network
guest network یکی دیگر از امکانات کریو کنترل برای مهمان هایی است که وارد شبکه شما شده اند ، کریو یک امکان امنیتی برای آن ایجاد می کند :
- مهمانان می تواند به شبکه شما متصل شده و کریو کنترل از آنها هیچ گونه نام کاربری و پسوردی تقاضا نکند
- کریو کنترل به صورت پیش فرض دارای یک اکانت “Guest users” هست
- در زمان اتصال یک صفحه خوش امد گویی برای کاربر مهمان باز می شود
- شما می توانید یک پسورد اشتراکی برای کلیه مهمانان در شبکه کریو کنترل داشته باشید .
- مهمانان بعد از اتصال و عبور از صفحه خوش امد گویی 2 ساعت بعد غیر فعال خواهند شد
- نکته : کریو کنترل اتصال امنی را برای کاربران مهمان ایجاد می کند اما امکان وب فیلتر در این حالت غیر فعال می شود *
Assigning guest interfaces
برای ایجاد یک guest network باید وارد بخش Guest Interfaces شد :
1-در administration interface وارد Interfaces شوید
2-یک اینترفیس را برای کاربران مهمان تعریف کنید
3-شما می توانید اینترفیس را دراگ کنید در گروه Guest Interfaces
4-Apply کنید
- Setting DHCP scope
اینترفیس هایی که در Guest Interfaces تعریف می شوند مانند گروه های Trusted//Local Interfaces - Other Interfaces خواهند بود . اگر DHCP server در فعال باشد به صورت خودکار تمامی Scope می تواند به کاربران اعمال شود . در صورت اعمال تنظیمات به صورت دستی شما باید برای هر کاربر مهمان تنظیمات را دستی اعمال کنید .
- سفارشی کردن welcome page
هنگامی که کاربر مهمان در شبکه کریو کنترل اتصال برقرار می کند یک صفحه خوش آمد گویی باز می شود ، شما می توانید این صفحه را به دلخواه خودتان طراحی کنید ، اما نمی توانید آن را غیر فعال کنید :
1-در بخش administration interface به Domains and User Login بروید
2-روی تب Guest Interfaces می توانید متن خوش آمد گویی را وارد کنید
- نکته : فرمت را می توانید Html ایجاد کنید ، شما می توانید یک لوگو را به دلخواه در بخش Advanced Options → Web Inter-face قرار دهید .
3-Apply کنید
- تنظیمات shared password برای کاربران مهمان
می توان در کریو کنترل از امکانات سفارشی سازی پسورد استفاده کرد :
- در Kerio Control administration بروید به Domains and User Login
- روی تب Guest Interfaces و در Require users to enter password را فعال کنید
- در فیلد Password پسورد را password تایپ کنید ( همه مهمان ها باید از همین پسورد استفاده کنند )
- Apply کنید
- Traffic rules برای شبکه مهمان
این رول دارای دو دسته هست که در guest interfaces تنظیم می شود . که شامل یک ترافیک خروجی در Internet access (NAT) و تمام اینترفیس ها را شامل می شود . رول Guests traffic اجازه عبور ترافیک را برای همه guest interfaces ایجاد می کند .
ساخت VLAN
- پشتیبانی از Vlan در کریو کنترل
VLANs (Virtual LANs) شبکه های مجازی را با استفاده از یک اینترفیس اترنت ایجاد می کنند ( اینترفیس ترانک ) کریو کنترل از Q 802.1 VLANs پشتیبانی می کند . هر Vlan همچون یک اینترفیس عمل می کند .
- Creating VLAN interfaces : تعریف یک VLAN جدید
- بروید به Configuration → Interfaces
- دوبار کلیک کنید Ethernet interface
- باز کنید تب VLAN
- کلیک کنید در Add or Remove VLANs...
- چک Create VLAN subinterfaces را بزنید
- نوع VLAN Ids را انتخاب کنید ، این عدد بین 1 تا 4094 است . در کریو کنترل ساخت vlan در بخش Other Interfaces group ایجاد می شود :
- می توان Vlan ها را در other interface groups حرکت داد
- دوبار کلیک کنید روی یک VLAN interface
حذف VLAN interfaces
حذف یک Vlan از trunk interface به صورت :
- در Configuration → Interfaces رفته
- روی Ethernet interface دوبار کلیک کنید
- باز کردن تب VLAN
- کلیک کنید در Add or Remove VLANs...
- در لیست VLAN ID مورد نظر را حذف کنید
اگر می خواهید تمامی آنها را پاک کنید در بخش Create VLAN subinterfaces تیک آن را بردارید
تغییر مک آدرس Interface
یکی از امکانات جدیدی که در Kerio Control 8.5.0 ایجاد شده است ، یک MAC address برای شناسایی یک دستگاه روی یک شبکه کاربرد دارد ، گاهی بعضی از روتر ها و یا سرویس دهندگان اینترنت از مک ادرس خاصی استفاده می کنند ، ممکن است شما نیاز داشته باشید مک ادرس های خاصی را در شبکه برای اینترفیس ها نیاز داشته باشید . کریو کنترل این امکان را می دهد .
تغییر مک آدرس ها
- در administration interface بروید به Interfaces
- دوبار کلیک کنید در interface حالا باکس Interface Properties باز میشود
- کلیک کنید در Advanced حالا Advanced Interface Properties باز می شود
- انتخاب Override MAC address و ادرس را تایپ کنید
- تنظیمات را ذخیره کنید
تنظیمات VPN سرور
کریو کنترل از (Virtual Private Network) یا VPN پشتیبانی می کند ، کریو کنترل شامل تنظیماتی اختصاصی برای VPN است ، که به Kerio VPN نامیده می شود . این کریو را می توان برای مواردی :
- Kerio VPN Server برای اتصال کلاینت ها باشد (desktops, notebooks, mobile devices etc...)
- Kerio VPN tunnel برای ارتباط های LAN ها
اینها موضوعاتی است که کریو سرور VPN استفاده می کند
Configuring Kerio VPN Server
اولین کاری که باید برای راه اندازی VPN انجام داد تعریف رول های ترافیکی است :
1- در بخش administration interface بروید به Interfaces
2- دوبار کلیک کنید روی VPN Server
3- در VPN Server Properties علامت Enable Kerio VPN Server را بزنید
4- روی تب Kerio VPN یک certificate معتبر را انتخاب کنید
5- حالا port 4090 ( هم برای TCP و هم برای UDP ) که به صورت پیش فرض هست
نکته : بدون داشتن یک دلیل مناسب پورت پیش فرض را تغییر ندهید !!!
6- به صورت دستی یک روت VPN اختصاصی ایجاد می شود
7- Kerio VPN Server به 2 راه می تواند ترافیک را به VPN Client ها توزیع کند :
- تنها ترافیک که در انتهای شبکه Kerio Control با فایروال پیش فرض عبور می کند ، این نوع ارتباط را split tunneling می نامند .
- همه ترافیک عبوری از فایروال - با VPN clients access the Internet
- through the VPN همچنین صحت Internet access (NAT) به صورت رول پیش فرضی که برای VPN clients نیز اعمال می شود
8- تنظیمات را Save کنید
Configuring routing
به صورت پیش فرض ، روت ها همه به صورت یک subnet لوکال برای VPN Server تعریف شده است . برای ایجاد یک VPN روت اختصاصی باید :
- در administration interface بروید به Interfaces
- روی VPN Server 2 بار کلیک کنید
- روی تب Kerio VPN ، کلیک روی Custom Routes
- کلیک روی Add
- در کادر Add Route ، یک شبکه را همرا با ماسک و توضیح درباره آن ایجاد کنید
- تنظیمات Save شود
- Configuring DNS
استفاده از Kerio Control DNS server
این سرور DNS در کریو کنترل برای VPN Client استفاده می شود :
- در administration interface بروید به Interfaces
- دوبار کلیک کنید در VPN Server
- روی تب DNS روی Use Kerio Control as DNS server بروید
- انتخاب Automatically select the domain suffix
- OK کنید
نکته : کریو کنترل از DNS سرور اختصاصی برای کلاینت های VPN و همچنین داشتن یک دومین خاص برای شبکه کریو کنترل بهره میبرد
- استفاده از DNS servers های خارجی (external )
برای اختصاصی کردن DNS سرور که برای VPN کلاینت ها استفاده می شود :
- در administration interface بروید به Interfaces
- دوبار کلیک کنید VPN Server
- تب DNS و انتخاب Use specific DNS servers
- در Primary DNS یک نام fully qualified domain name قرار دهید
- این انتخاب اختیاری است که یک Secondary DNS با نام fully qualified domain name برای پشتیبانی از DNS سرور تعریف شود
- اگر تمایل به استفاده از دومینی اختصاصی را دارید می توانید از بخش Use specific domain suffix استفاده کنید
- روی OK کلیک کنید
نکته : DNS سرور ها بر روی تمامی Kerio Control VPN Client اعمال می شود
نکته : برای استفاده از WINS در Kerio Control VPN Client می توانید از تب WINS در بخش VPN Server Properties استفاده کنید .
- Configuring Kerio Control VPN Clients
تنظیمات برای کلاینت ها به صورت یک اتصال راه دور در شبکه های محلی به صورت :
- Kerio VPN Client باید برای کلاینت های راه دور نصب شود
- در Users and Groups → Users ، علامت Users can connect using VPN برای کاربرانتان را بزنید
- ارتباط به VPN Server از اینترنت بین VPN Client ها باید اجازه عبور ترافیک از طریق رول را داشته باشد
به صورت پیش فرض رول ترافیکی فعال است ، تعریف سرویس برای Kerio VPN (TCP/UDP 4090) برای شما مقدور نیست .
- نکته : می توانید با استفاده از ابزار Status → VPN*
- Clients کلاینت های VPN شبکه کریو کنترل را مانیتور کنید .*
Changing MAC addresses of network interfaces
یکی از امکانات جدیدی که در Kerio Control 8.5.0 ایجاد شده است ، یک MAC address برای شناسایی یک دستگاه روی یک شبکه کاربرد دارد ، گاهی بعضی از روتر ها و یا سرویس دهندگان اینترنت از مک ادرس خاصی استفاده می کنند ، ممکن است شما نیاز داشته باشید مک ادرس های خاصی را در شبکه برای اینترفیس ها نیاز داشته باشید . کریو کنترل این امکان را می دهد .
- تغییر مک ادرس ها
- در administration interface بروید به Interfaces
- دوبار کلیک کنید در interface حالا باکس Interface Properties باز میشود
- کلیک کنید در Advanced حالا Advanced Interface Properties باز می شود
- انتخاب Override MAC address و ادرس را تایپ کنید
- تنظیمات را ذخیره کنید
Configuring VLANs
پشتیبانی از Vlan در کریو کنترل : VLANs (Virtual LANs) شبکه های مجازی را با استفاده از یک اینترفیس اترنت ایجاد می کنند ( اینترفیس ترانک ) کریو کنترل از Q 802.1 VLANs پشتیبانی می کند . هر Vlan همچون یک اینترفیس عمل می کند .
Creating VLAN interfaces
تعریف یک VLAN جدید :
- بروید به Configuration → Interfaces
- دوبار کلیک کنید Ethernet interface
- باز کنید تب VLAN
- کلیک کنید در Add or Remove VLANs...
- چک Create VLAN subinterfaces را بزنید
- نوع VLAN Ids را انتخاب کنید ، این عدد بین 1 تا 4094 است . در کریو کنترل ساخت vlan در بخش Other Interfaces group ایجاد می شود :
- می توان Vlan ها را در other interface groups حرکت داد
- دوبار کلیک کنید روی یک VLAN interface
حذف VLAN interfaces
حذف یک Vlan از trunk interface به صورت :
- در Configuration → Interfaces رفته
- روی Ethernet interface دوبار کلیک کنید
- باز کردن تب VLAN
- کلیک کنید در Add or Remove VLANs...
- در لیست VLAN ID مورد نظر را حذف کنید
اگر می خواهید تمامی آنها را پاک کنید در بخش Create VLAN subinterfaces تیک آن را بردارید
Static IP برای VPN Client ها
- تنظیمات IP static برای vpn client های کریو کنترل
ممکن است نیاز باشد برای دسترسی به سرویس هایی در کریو کنترل توسط کاربرانی که از سرویس هایی نظیر vpn client استفاده می کنند ، نیاز داشته باشید که از ip static استفاده کنید ، برای این منظور :
- در administration interface ، بروید به Users and Groups → Users
- روی کاربری که می خواهید از static IP address استفاده کند 2 بار کلیک کنید
- در Edit User به تب Addresses بروید
- عبارت Assign a static IP address to VPN client انتخاب کنید
- static IP address را تایپ کنید
- OK را بزنید
سناریوی پیاده سازی VPN
- سناریوی پیاده سازی VPN با کریو کنترل
یک ارتباط چندگانه روتینگ میان شبکه های سازمان هایی که در شکل زیر مشاهده می کنید برقرار است ، شرکت های زیر مجموعه قصد دارند تا با یک ارتباط VPN به دفتر مرکزی متصل شوند :
در یک سناریو سرور (default gateway) با یک ادرس ثابت 85.17.210.230 و دارای DNS به نام gw-newyork.company.com است ، سروری که یکی از زیر مجموعه ها استفاده می کند ادرس 195.39.22.12 و با اسم DNS به gw-london.company.com است ، یکی دیگر از زیر مجموعه ها با استفاده از dynamic IP address که از ISP می گیرد کار می کند ، دفتر مرکزی دارای DNS domain company.com است ، زیر مجموعه ها نیز با subdomains های santaclara.company.com و newyork.company.com هستند .
روش کار
- کریو کنترل باید روی یک default gateway در شبکه نصب شود .
- تنظیمات اتصال شبکه های محلی با اینترنت انجام شده و تست صورت بگیرد ، هاست هایی که در شبکه های محلی هستند برای استفاده در کریو کنترل باید ip ادرس هاست و همچنین default gateway و دارای primary DNS server باشند .
- در تنظیمات DNS باید رول های DNS forwarding برای دومین ها و دیگر ادارت زیر مجموعه هستند صورت بگیرد .
- در Interfaces دسترسی VPN server را روی Allow قرار دهید
- تعریف VPN tunnel برای شبکه های راه دور ، برای شبکه های نهایی نیاز دارید تا public IP address را برای یک سرور تنظیم کنید . کاربران نهایی و آخر می توانند با استفاده از dynamic IP address با VPN tunnel وصل شوند . با استفاده از Use custom routes only شما باید تنظیمات مسیریابی برای تانل ها را ایجاد کنید .
- اجازه دسترسی تمامی ترافیک به سمت هاست و شبکه های نهایی را انجام داده ، VPN tunnel را در Source و Destination در رول Local traffic اضافه کنید
- تست کنید که ارتباط هاست و شبکه های راه دور برقرار هست ، بهتر ست از ابزارهای پینگ و tracert استفاده کنید . چنانچه ارتباط برقرار نبود ابتدا اجازه دسترسی ترافیک و رول ها را چک کنید همچنین تمامی سابنت ها برای اینگه تصادمی نداشته باشند چک شود ( مثلا چک کنید 2 سر تانل دارای سابنت یکسانی نباشد ) . همچنین اگر ip ادرس ها درست بود و پیام های اروری مانند (Unknown host) مشاهده کردید این مشکل را باید از روی اسم های DNS چک کنید .
تنظیمات دفتر مرکزی
1-Kerio Control باید روی default gateway دفتر مرکزی نصب شود
2-در کریو کنترل رول های ترافیکی برای سرور Kerio VPN باید تنظیم شود و اجازه دسترسی به آن داده شود ، در اینجا باید رول ارتباطی بین VPN کلاینت ها و شبکه های محلی با هم برقرار شود :
3-تنظیمات DNS را انجام دهید ( نقش DNS برای فوروارد کردن درخواست های دیگر سرور ها است ) ، فعال بودن Use custom forwarding سبب می شود تا نام های filial1.company.com و filial2.company.com در رول تعریف شوند . forwarding DNS server برای ip ادرس هایی که در کریو کنترل در واقع هاست ها از اینترفیس های ورودی برای اتصال با شبکه ها محلی راه دور تانلی استفاده می کنند مفید است :
- توجه : DNS سرور را روی اینترفیس های کریو کنترل که هاست ها و شبکه های محلی روی LAN1 و LAN2 اتصال دارند لازم نداریم
توجه : روی دیگر کامپیوتر ها یک IP address و primary DNS server تنظیم کنید ، این ادرس ها باید مطابق با Default gateway یا ( 10.1.1.1 10.1.2.1) باشند . هاست هایی که در شبکه های محلی هستند با استفاده از DHCP protocol می توانند ادرس ها را دریافت کنند .
4-فعال کنید VPN server و تنظیمات SSL certificate
5-از آنجایی که دفتر لندن با استفاده از VPN tunnel می خواهد از دسترسی fingerprint با VPN server که در دفتر لندن قرار گرفته و با استفاده از SSL certificate راه دور کار کند لازم است که با استفاده از تب Advanced و رفتن به Use custom routes only و انتخاب آن تنظیمات مسیریابی و ادرس های تانل راه دور را تنظیم کنیم :
- نکته : در این سناریو نیازی نیست حتما برای اتصال VPN میان دفاتر از مسیریابی های خودکار استفاده شود
6تنظیمات مرحله 5 را برای دفتر ادارای پاریس هم انجام دهید به صورت :
تنظیمات دفتر لندن
1-کریو کنترل باید روی default gateway شبکه های اداری زیر مجموعه نصب شود
2-در Kerio Control تنظیمات رول های ترافیکی را طوری انجام دهید که کلیه ترافیک های Kerio VPN server اجازه عبور داشته باشد .
3-تنظیمات DNS را به این صورت که تمامی درخواست های filial2.company.com و company.com توسط فعال سازی Use custom forwarding انجام شود تنظیم کنید :
برای دیگر کامپیوترها یک IP address و primary DNS server را انجام دهید ، این ادرس ها باید مطابق با ادرس های Default gateway به صورت (172.16.1.1 172.16.2.1) هستند تنظیم شود .
4-فعال سازی VPN server و SSL certificate
5-یک Active برای تمامی دسترسی هایی که VPN tunnel برای دسترسی headquarters server به ادرس (newyork.company.com) را راه انداری کنید ، fingerprint هایی که با VPN server در دفتر مرکزی یا headquarter تنظیم شده می تواند با SSL certificate های راه دور مرتبط شود :
چک کنید که تانل ها فعال شده اند برای این چک می توانید از وضعیت Connected و Adapter info در 2 طرف ارتباط استفاده کنید ، چنانچه ارتباط برقرار نیست ابتدا کلیه رول هایی که برای عبور ترافیک تنظیم کرده اید را چک کنید ، سپس با استفاده از دستورات پینگ :
ping gw-newyork.company.com
6-یک مسیر روت شده با توجه به تصویر زیر برای اداره پاریس تعریف می کنیم ، اگر از fingerprint با VPN server که اداره پاریس با SSL certificate راه دور بخواهد کار کند نیاز است این تنظیمات انجام شود ، روی تب Advanced ، با انتخاب Use custom routes only یک روت برای شبکه محلی پاریس تعریف می کنیم :
تنظیمات برای اداره پاریس
1-کریو کنترل باید برای default gateway این اداره تنظیم کرد
2-ایجاد رولی که اجازه بدهیم ترافیک های سرویس VPN server عبور کنند
3-تنظیمات DNS را به صورت زیر :
- در کریو کنترل DNS فوروارد را تنظیم می کنیم تا درخواست های هاست هایی نظیر company.com - filial1.company.com ، این تنظیمات در اینترفیس های داخلی صورت می گیرد .
- DNS سرور را برای هاست هایی که به کریو به صورت محلی متصل هستند لازم ندارید
- Ip ادرس 192.168.1.1 و primary DNS server را برای هاست های دیگر تنظیم کنید
4-فعال سازی VPN server و تنظیمات SSL certificate
5-Vpn tunnel را برای دسترسی اخر که با headquarters server اتصال برقرار کند تنظیم کنید ، (newyork.company.com ، تنظیمات روی تب Advanced و با انتخاب Use custom routes only انجام دهید :
برای تست ارتباط از ping gw-newyork.company.com استفاده کنید ، اگر ارتباط برقرار نبود کلیه رول هایی که اجازه عبور ترافیک را دارند را چک کنید .
6-یک Active برای ارتباط تانل نهایی ( Endpoint ) که اداره لندن به ادرس (server-gw-london.company.com) را متصل می کند بسازید . استفاده از fingerprint بر روی VPN server لندن با استفاده از SSL certificate راه دور صورت می گیرد . روی تب Advanced با انتخاب Use custom routes only تنظیمات روت شبکه محلی لندن را تعریف می کنیم :
8: حالا گروهی به نام All VPN Clients را از رول Local Traffic ایجاد کنید (VPN clients اتصالی به اداره های زیر مجموعه ندارند)
تست VPN
تنظیمات برای VPN انجام شد ، حالا تمامی شبکه راه دور و هاست های راه دور با هم ارتباط دارند ، برای تست ارتباط می توانید از ping و tracert استفاده کنید .
تنظیمات IPSec VPN
نگاهی به ipsec
Kerio Control پشتیبانی از ipsec را انجام می دهد ، IPsec (IP security) یک پروتکل امنیتی اینترنتی است ، Kerio Control در استفاده از ipsec قابلیت های منحصر به فرد خود را دنبال می کند :
- - IPsec VPN server برای اتصال کلاینت هایی نظیر (desktops, notebooks, mobile devices etc...)
- - IPsec VPN tunnel برای اتصالات LAN ها
در این مقاله قصد داریم تا تنظیمات ipsec برای به صورت IPsec VPN server و برای کلاینت ها را تشریح کنیم ، برای ارتباط امن شما می توانید استفاده کنید از :
- - preshared key (PSK, shared secret)
- - SSL certificate
- - ترکیبی از هر دو دوش بالا به سبک کریو کنترل ( اتصال کلاینت ها تنها با یک روش ممکن است )
تنظیمات IPsec VPN server با یک a preshared key
در preshared key یک پسورد اشتراکی برای تمامی کاربرانی که با IPsec VPN کار می کنند لحاظ می شود :
- در ایتم administration interface به بخش Interfaces بروید
- روی VPN Server دوبار کلیک کنید
- در VPN Server Properties علامت چک Enable IPsec VPN Server را بزنید .
- روی تب IPsec VPN انتخاب عبارت a valid SSL certificate در لیست Certificate بروید
- علامت Use preshared key فعال شود و یک KEY را انتخاب کنید
- Save تنظیمات را بزنید
تنظیمات ipsec به صورت یک SSL certificate
- در administration interface ، بروید Interfaces
- روی VPN Server دوبار کلیک کنید
- در ایتم VPN Server Properties علامت چک Enable IPsec VPN Server را بزنید
- روی تب IPsec VPN انتخاب ایتم a valid SSL certificate و از لیست Certificate را بزنید
- روی منو IPsec VPN علامت چک Use certificate for clients را بزنید .
- Save تنظیمات را بزنید
نظیمات کلاینت ها با یک preshared key
شما نوع تنظیمات برای کلاینت ها را برای استفاده از این امکان آماده می کنید :
- - VPN type: L2TP IPsec PSK
- - Kerio Control hostname - IP address
- - preshared key (PSK, shared secret)
- - username and password for access to firewall
پشتیبانی دستگاه های همراه
Kerio Control از دستگاه های همراه زیر پشتیبانی می کند :
- - Android 4 and higher
- - iOS 6 and higher
PreShared Key Authentication
برای اینکه بتوانیم با استفاده از پروتکل IPSEC به صورت تانل کار کنیم باید از قبل تنظیمات شرایط زیر را اماده سازی کنید :
- باید در دو سر انتهایی شبکه هایی که می خواهیم بهم متصل شوند ترافیک رول برای VPN server را اماده کنید
- شما باید یک لیست برای تمامی روتینگ هایی که در پشت این تانل های نهایی هستند ایجاد کنید
- اگر شما می خواهید یک SSL certificate را برای دسترسی های راه دوری که به SSL certificate منتهی می شوند را اماده کنید یا اینکه می خواهید یک authority + ID در دسترسی راه دور SSL certificate داشته باشید باید در کریو کنترل آنها را ایمپورت کنید .
و اما تنظیمات برای IPsec VPN tunnel :
- در administration interface بروید Interfaces
- اضافه کردن Add → VPN Tunnel
- نامی را برای new tunnel قرار دهید
- تنظیمات active برای تانل را انجام دهید ( hostname را برای remote endpoint تعریف کنید ) یا حالت passive قرار دهید ( یک کریو کنترل باید به صورت active تعریف شود و بقیه passive برای آن خواهند بود
- انتخاب Type: IPsec
- انتخاب Preshared key و نوشتن یک key
- کپی کنید ارزشی برای Local ID که در فیلد کریو کنترل و یک Remote ID برای تمامی endpoint ها ( Local ID اسمی برای hostname در کریو کنترل است و اگر شما این نام را تغییر دهید نام Local ID را هم تغیر خواهد کرد )
- روی تب Remote Networks شما باید تعریف کنید که همه remote network ها شامل سابنت VPN client ها باشد ( IPsec VPN نمی تواند remote network ها را سرچ کند شما باید آنها را دستی تنظیم کنید )
- تنظیمات را Save کنید
نکته : IKE نوعی رمزگذاری در بخش VPN Server Properties است که پیشنهاد می شود از آن استفاده شود
- تنظیمات IPsec VPN tunnel با یک SSL certificate authentication
شما 2 انتخاب دارید :
SSL certificate که remote endpoint برای کریو کنترل وارد می شوند ، (Definitions → SSL Certificates).احراز هویت در بخش (Definitions → SSL Certificates) برای remote certificate شبکه های مقصد در کریو کنترل وارد می شود ، شما همچنین نیاز دارید که Local ID شبکه مقصد را بدانید که remote certificate برای آن اعمال می شود.حالا بعد از اینکه SSL certificate/Authority را وارد کردید مراحل زیر را باید انجام دهید :
- در administration interface بروید به Interfaces
- کلیک کنید در Add → VPN Tunnel
- نامی را برای new tunne قرار دهید
- تنظیمات تانل به صورت Active ( و نوشتن hostname که برای remote endpoint است ) یا حالت Passive . یک endpoint باید برای active تعریف شود که بقیه به صورت passive تعریف شوند ، Active بودن برای مقصد برای انتشار اتصال اصلی به یک passive endpoint است .
- انتخاب Type: IPsec
- انتخاب Remote certificate:
Not in local store — تنها یک احراز هویت یا همان authority را می توان ایمپورت کرد در کریو کنترل ، همچنین کپی کردن remote SSL certificate ID که در فیلد Remote ID , و در جهت برعکس ، وارد کردن Kerio Control authority که برای endpoint و کپی Local ID که در remote endpoint قرار دارد .
- انتخاب remote SSL certificate ( وارد کردن certificate از Kerio Control و وارد کردن آن به remote endpoint )
7- روی تب Remote Networks شما باید برای کلیه شبکه های مقصد یا راه دور سابنتی برای VPN Client ها تعریف کنید .
8- تنظیمات Save شود
تنظیمات برای local networks
- بروید به Interfaces در بخش Kerio Control Administration
- انتخاب IPsec VPN tunnel و کلیک Edit
- در باکس VPN Tunnel Properties انتخاب Use automatically determined local net-works :
- اگر شما می خواهید مسیری ( روتینگ ) را تعریف کنید می توانید از بخش Use custom networks استفاده کنید
- OK کلیک کنید
توجه داشته باشید شبکه ها که اینترفیس ها را نمی توانند خودکار تعیین کنند عبارتند از :
- اینترفیس از Internet Interfaces group باشد
- اینترفیس از یک default route
- هر شبکه با Kerio VPN به صورت داینامیکی پوشش داده نمی شود و اصطلاحا discovere هست
و بر عکس شبکه عای محلی را می توان خودکار تعیین کرد :
- هر اینترفیس اینترنتی که با default route نیست
- شبکه هایی که به صورت Static network هستند
- دیگر شبکه هایی که در مقصد با IPsec tunnel کار می کنند
- به صورت دستی شبکه های مقصد را برای Kerio VPN tunnel تنظیم کنند
- VPN subnet ( شبکه با سابنت VPN یکسان باشد )
تنظیمات Failover در VPN
- تنظیمات VPN failover
در کریو کنترل می توان میان چندین شبکه که لینک اینترنتی دارند ، load balancing ایجاد کرد ، می توان برای اینکار از VPN failover استفاده کرد ، در صورتی که لینک اول از کار بیفتد VPN Tunnel از کار نیفتد ، برای تنظیمات failover باید تمامی اطلاعات مقصد (endpoints ) نظیر نام هاست و ip ادرس و ... را با یک semicolons, در داخل VPN tunnel properties مانند شکل زیر وارد کرد :
- نکته : هنگامی که عملیات برای VPN failover بخواهد صورت بگیرد Kerio Control به صورت چرخشی تمامی تنظیمات در VPN Tunnel Properties که در آن مسیرهای مقصد تنظیم شده است را بررسی می کند *
تنظیمات IPSec VPN Tunnel
- معرفی IPsec tunnel
شما می توانید یک secure tunnel را بین 2 شبکه LAN با یک فایروال ایجاد کنید . در این مبحث به راه اندازی تانل امن بین کریو کنترل و دیگر دستگاه ها می پردازیم :
- ارزش های مختلف در Kerio Control
IPsec در کریو کنترل دارای ارزش و مقادیر خاصی است ، همانطور که در مباحث قبلی گفته شد IPsec در کریو کنترل دارای ویژگی های خاص و ویژه ای است ، هر 2 نقطه انتهای بین تانل ارتباطی خودکار با هم دارند . اگر مشکلی رخ دهد شما باید دستی مقادیر را تنظیم کنید ، در جدول زیر شرحی ازین مقادیر را می توانید مشاهده کنید ،
پشتیبانی از رمز ها ( Supported ciphers )
هر رمزی از سه بخش تشکیل شده است :
- - Encryption Algorithm — aes128
- - Integrity Algorithm — sha1
- - Diffie Hellman Groups — modp2048
کریو کنترل از رمز های زیر پشتیبانی می کند :
نحوه کار Traffic Rule
- traffic rules چگونه کار می کند ؟
سیاست های ترافیک در کریو کنترل به صورت یکسری رول و قانون سفارشی تنظیم می شوند ، به طوری که دارای سلسله مراتبی از بالا به پایین هستند و اعمال این رول ها ابتدا به بالاترین و اولین رول ایجاد شده اعمال می شود . همچنین می توان رول ها را گرفته و آنها دراگ کرد یا روی جهت نما سمت راست انها کلیک و انها را جا به جا کرد ، همچنین یک رول Deny اخرین رول باید باشد ، این رول را نمی توان حذف کرد .
- تنظیم traffic rules
چنانچه هیچ ترافیک رولی را در کریو کنترل ندارید ، یک ویزارد در بخش Traffic Rules و کلیک بر روی More Actions → Configure in Wizard زده تا مراحل اغاز شود . به مثال زیر مراجعه کنید :
- فرم کلی رول
در وضعیت پیش فرض ، کریو کنترل تمامی ترافیک ارتباطی را Deny کرده است ، برای اینکه یک ترافیک به صورت allow برای یک user group و با SSH سرویس را در اینترنت ایجاد کنیم :
1-بروید به Traffic Rules در administration interface
2-کلیک Add
3-در پنجره Add New Rule نامی را برای آن در نظر بگیرید ( برای مثال Allow SSH to a Group )
4-همچنین انتخاب رول Generic
5-Next بزنید
6-کلیک روی Users and Groups
7-در Select Items 2 بار کلیک کنید و یک گروه (SSH allowed در اینجا مدنظر است )
8-Next کنید
9-Interfaces را انتخاب کنید
10-در کادر Select Items انتخاب Internet Interfaces
11-Next کنید
12-Services را بزنید
13-در کادر Select Items 2 بار کلیک کنید SSH
rule allow که در اینجا تعریف کردیم اجازه دسترسی SSH به اینترنت را می دهد :
- Port mapping
تمامی سرویس های کریو کنترل در شبکه local network شما ایجاد می شوند و در نقش حفاظت از آن هستند ، برای ایجاد port mapping مراحل زیر را انجام دهید :
- در administration interface بروید Traffic Rules
- کلیک Add
- در ویزارد Add New Rule نامی را برای رول بنویسید
- انتخاب Port mapping
- در فیلد Host برای hostname و یا IP address که با SMTP server در شبکه لوکال شما هستند را تعریف کنید
- در Select Items چک Kerio Connect services را فعال کنید
- Finish را بزنید
- حرکت بدید این رول را به بالاترین جدول رول های ترافیکی
User و Group در Traffic Rule
- حساب های کاربری و گروه ها در رول های ترافیک
در رول های ترافیکی source/destination های خاصی را برای کار با user account و user group می توان در بخش traffic policy تعریف کرد ، هر user account توسط ip ادرس های میزبان که برای هر کاربر متصل هست نمایش داده می شود ، این به این معنی است که هر رولی به صورت احراز هویت کاربران در فایروال انجام می شود .
- فعال کردن کاربران خاص برای دسترسی به اینترنت
در یک شبکه خصوصی که به صورت NAT با اینترنت در تماس است ، شما می توانید کاربران موردنظرتان را به اینترنت متصل کنید که در Source یک NAT rule را ایجاد می کنید :
توجه : در کریو کنترل می توان برای دسترسی کاربران یک صفحه را به صورت احراز هویت تنظیم کرد که دستی باید کاربر اتصال را برقرار کند ، چنانچه از رول NAT استفاده می کنید این احراز هویت به صورت خودکار اعمال می شود .
- فعال سازی احراز هویت خودکار (authentication )
1-یک رول allow که دسترسی نامحدودی به HTTP سرویس قبل از رول NAT ایجاد کنید .
2-در قسمت Content Rules یک اجازه دسترسی به کار مدنظر برای هر وب سایت و یک deny برای دیگر کاربران که دسترسی نداشته باشند ایجاد کنید :
3-کاربرانی که هنوز احراز هویت نمی شوند و تلاش می کنند تا یک وب سایت را به صورت خودکار باز کنند ، به صفحه احراز هویت (authentication page ) راهنمایی می شوند ، بعد از موفق بودن احراز هویت NAT رول انجام می شود
حفاظت ترافیکی و تنظیمات NAT
- کریو کنترل ( Kerio Control ) شامل پروتکل های محافظتی است که تمامی ترافیک تمامی اپلیکیشن پروتکل ها را مانیتور می کند ، مانند HTTP ، FTP . فیلتر های حفاظتی ارتباط یا رفتار های فایروال را بر اساس پارامتر های پروتکل ها چک می کند :
1- در بخش administration interface ، بروید به Traffic Rules
2- Right-click کنید بر روی جدول سر برگ ( هدر ) و بخش Columns → Inspector را انتخاب کنید
3- در رول مربوطه با دوبار کلیک Inspector و appropriate protocol inspector را انتخاب کنید
4- روی Apply کلیک کنید
- تنظیمات IP address translation
معرفی اجمالی IP address translation (NAT) : یک مفهوم برای این مورد به کار می رود که private IP address بتواند در یک شبکه لوکال یک پکیت را به سمت شبکه اینترنت برده و توسط IP address اینترنتی که اینترفیس کریو کنترل روی آن قرار دارد این عمل صورت می گیرد . این تکنولوژی در شبکه های local private و Internet با یک public IP address صورت می گیرد .
- تنظیمات IP address translation
- در administraton interface بروید به Traffic Rules
- بر روی Translation در بخش رول های انتخابی 2 بار کلیک کنید
- در منوی Traffic Rule - Translation شما حالا می توانید این تنظیمات را انجام دهید :
Source IP address translation (NAT — Internet connection sharing)
Source address translation که قرار است در رول ترافیک از سمت local private به سمت اینترنت برود . توجه داشته باشید که در این حالت Enable source NAT فعال باشد
توجه : پیشنهاد می شود تنظیمات به صورت Default setting باشد ، به صورت پیش فرض NAT از مبدا که شبکه های لوکال هستند به سمت اینترنت انجام می شود .
Full cone NAT
هنگامی که عمل NAT با یک IP ادرس خاص صورت بگیرد و تمامی IP ادرس های شبکه محلی می توانند با اینترنت ارتباط برقرار کنند این عمل را اصطلاحاَ Full Cone NAT می گویند ، از کارافتادن این گزینه در کریو کنترل را port restricted cone NAT می گویند . هنگامی که پکیت های خروجی از شبکه محلی به سمت اینترنت می روند ، کریو کنترل ip ادرس های مبدا را جایگزین ادرس های public اینترفیسی که داخل فایروال کریو کنترل قرار دارد می کند .
نکته : Full cone NAT ممکن است دارای امنیت باشد ، اما به دلیل اینکه پورت در آن باز می شود ممکن است دسترسی های غیر مجازی از خارج شبکه صورت بگیرد برای همین برای استفاده از سرویس های ویژه و خاص از آن استفاده کنید .
( Destination NAT ( port mapping
Destination address translation که به ( port mapping ) هم معروف هست ، برای اجازه دسترسی به شبکه های محلی که در پشت فایروال هستند کاربرد دارد . برای تنظیمات :
- چک Enable destination NAT را بزنید
- در Translate to the following host نام DNS یا ادرس میزبان را وارد کنید
- اگر شما می خواهید یک پورت تغییر دهید می توانید علامت Translate port as well فعال کنید و پورت سرویس مورد نظر را بدهید
ساختار یک default NAT rule
- Source : گروه Trusted/Local Interfaces ( از بخش Interfaces ) را انتخاب کنید . این گروه شامل همه ی اتصالات LAN در مسیر فایروال است .
- Destination : در بخش Internet Interfaces group با انتخاب Any رول اتصال اینترنت را تنظیم کنید
- Service : شما می توانید محدودیت هایی را برای دسترسی سراسری به اینترنت ایجاد کنید . می توان سرویس هایی تنها حق دسترسی به NAT را دارند را در این محل تنظیم کرد
- Actions : بیشتر Allow است
- Translation : Source NAT را به صورت Default settings انتخاب کنید ( ادرس های اولیه به اینترفیس خروجی که با NAT کار می کند هدایت می شود )
نکته : کریو کنترل می تواند به صورت مستقیم شبکه داخلی را به اینترنت وصل کند :
تنظیمات Multihoming
نگاهی به Multihoming
Multihoming به معنی این است که موقعی که شبکه با یک اینترفیس به اینترنت متصل است بتوان از چندین IP ادرس پابلیک استفاده کرد . به عبارت دیگر چندین سرویس قادر هستند با استفاده از ip های خاصی کار کنند ، فرض کنید یک وب سرور web1 با ip ادرس 192.168.1.100 و یک وب سرور web2 با IP ادرس 192.168.1.200 در یک شبکه محلی داریم ، اینترفیسی که اتصال به اینترنت را دارد با ip پابلیک 195.39.55.12 و 195.39.55.13 کار می کند :
- web1 با ادرس ip پابلیک 195.39.55.12 با اینترنت کار می کند
- Web2 با ادرس پابلیک 195.39.55.13 با اینترنت کار می کند
تنظیمات این دو در کریو کنترل مطابق زیر خواهد بود :
ابتدا باید ip ادرس های پابلیک را روی اینترفیس اضافه کنیم .
اضافه کردن IP address ها به یک اینترفیس
- در administration interface بروید به Interfaces
- یک اینترفیس را انتخاب و Edit را بزنید
- این را Define Additional IP Addresses کلیک کنید
- در Additional IP Addresses روی Add کلیک کنید
- IP address و mask را وارد کنید : هر چقدر ip ادرس نیاز دارید می توانید در اینجا وارد کنید
- Save را بزنید
- روی Apply کلیک کنید
تنظیمات traffic rules برای multihoming
- در administration interface بروید به Traffic Rules
- Add کنید
- در Add New Rule یک اسم برای رول قرار دهید ( برای مثال Web1 server mapping ) و Next کنید
- در Source انتخاب Any sources و Next را بزنید
- در Destination انتخاب کنید Addresses ( IP ادرس اینترفیسی که باید در اینترنت کار کند را وارد کنید )
- IP address که در اینترنت تعریف شده در این مثال 195.39.55.12
- Next کلیک کنید
- در Service روی HTTP انتخاب کنید
- Finish را بزنید
- در Web1 server mapping رول ، 2 بار کلیک و Translation را بزنید
- در کادر Traffic Rule – Translation انتخاب Enable destination NAT و نوشتن IP address که برای (web1) را برای فیلدhost Translate to the following وارد کنید
- مراحل 1-8 را برای سرور Web2 انتخاب کنید
محدودیت های دسترسی به اینترنت
- Limiting Internet access with traffic rules
Limiting Internet Access : محدودیت به سرویس اینترنت در شبکه های لوکال از هر طریقی امکان پذیر است ، برای مثال با ساخت رول های NAT . برای مثال :
1-اجازه دسترسی تنها برای سرویس ها ، دسترسی در بخش Service و ایجاد ترجمه ادرس ها که در بخش translation مشخص است :
2- محدودیت با مخزن ip ادرس ها ، دسترسی اختصاصی به سرویس های ( دسترسی به سرویس اینترنت در مثال زیر ) ، که اجازه می دهد تنها یک هاست بتواند کار کند ، مبدا گروهی از ip ادرس هایی هستند که در اینترنت کار می کنند ، این گروه در بخش Definitions → IP Address Groups مشخص می شود :
نکته : تنها برای هاستی که با ip ادرس استاتیک هست کارایی دارد
3-محدودیت برای کاربران ، با استفاده از بخش مانیتورینگ فایروال و دسترسی از طریق احراز هویت یک هاست صورت می گیرد ، که ترافیک می تواند به صورت permit یا Deny باشد ، یعنی تنها می توان کاربران را به صورت درخواست احراز هویت برای دسترسی به شبکه محدود کرد ، مدیر شبکه می تواند با مشاهده لاگ ها در فایروال مشاهده کند که کاربران در چه سایت هایی وارد می شوند :
عیب یابی Traffic Rule ها
- عیب یابی traffic rules
در این بخش به عیب یابی رول های ترافیکی در کریو کنترل می پردازیم ، ممکن است مشکلاتی مثلا در ارتباط کاربران با سرویس های خاص اتفاق بیفتد
- شناسایی IP addresses
ابتدا باید ip ادرسی که دراپ شده را پیدا کرد ، مثلا با ping کردن :
- در administration interface بروید به Status → IP Tools
- روی تب Ping ، اسم سروری که دسترسی ندارد را تایپ کنید مثلا example.com
- Start را بزنید
- بعد چند ثانیه Stop کنید
- اگر اسم سرور دارای یک رکورد DNS باشد شما می توانید IP address که برای سرور در بخش Command output ببینید
در اینجا شما به 2 طریق می توانید ترافیک رولی که بلاک شده را پیدا کنید :
- لاگ های Debug را برای پکیت های دراپ شده را مشاهده کنید
- انتخاب Traffic Rules برای ازمایش رول
مشاهده dropped packets
اگر IP address را می دانید روی لاگ Debug بروید :
- در administration interface بروید به Logs → Debug
- راست کلیک کنید روی Debug
- در context menu کلیک کنید روی Messages
- در Filtering روی Packets dropped for some reason کلیک کنید
- در لاگ Debug ، حالا IP address سروری که دراپ شده را پیدا کنید
برای مثال :
[22Dec2015 15:32:40] {pktdrop} packet dropped:
Traffic rule: Example traffic rule (to WAN, proto:ICMP, len:84,
212.212.62.103 -> 69.172.201.208, type:8 code:0 id:12380 seq:1 ttl:64)
به صورت زیر :
بررسی traffic rules
یکی از امکانات در اینجا Test Rules است که تمامی رول های استفاده شده را که توسط پکیتی خاص تعریف شده :
1- در administration interface بروید به Traffic Rules
2- کلیک روی Test Rules
3- تایپ کنید source IP address که برای فایروال شما است ( در این مثال 212.212.62.103 )
4- در بخش destination IP ادرس سروری که دسترسی ندارید را تایپ کنید ( در این مثال 69.172.201.208 است )
5- OK را بزنید
6- در لیست traffic rules می توان تنها رولی که دراپ شده را مشاهده کنید :
7- بعد از اینکه رول را درست کردید Restore View را کلیک کنید :
تنظیمات DMZ
Demilitarized zone یا DMZ یک سیگمنت خاصی در شبکه محلی است که دسترسی برای سرور ها با اینترنت را برقرار می کند ، شبکه محلی دسترسی به این سیگمنت را مستقیما ندارد ، در DMZ اگر سروری دچار حمله شود ، این حمله ممکن است به دیگر سرور ها و کامپیوتر ها در شبکه محلی نیز اسیب برساند .
Configuring DMZ
در این مثال فرض کنید می خواهیم یک وب سرور محلی را در ناحیه DMZ قرار دهیم ، شما باید اینترفیس DMZ را در گروه Other Interfaces قرار دهید . در این DMZ با سابنت 192.168.2.X است ، ادرس ip وب سرور 192.168.2.2 نیز هست . این رول به صورت زیر تعریف می شود :
- اتصال وب سرور را به اینترنت ایجاد کنید می توان یک mapping HTTP service روی dmz تعریف کرد
- اجازه دسترسی dmz به اینترنت و nat شدن
- اجازه دسترسی LAN که به DMZ وصل را غیرفعال کرد - تا شبکه در برابر حملات حفظ شود - می توان یک رول برای بلاک کردن دیگر ترافیک ها ساخت :
نکته : برای اینکه چندین سرویس را با چندین IP پابلیک در کریو کنترل تعریف کنید و در ناحیه DMZ کار کنند مطالب فصل های قبلی درباره Multihoming را مطالعه کنید
تنظیمات Policy Routing
Configuring policy routing
اگر شبکه LAN را به اینترنت با چندین لینک با لود بالانسینگ متصل کردید ، ممکن است لازم باشد تا ترافیک خاصی را از یک اینترفیس خارج کنید ، برای مثال ، ترافیک Voip در شبکه را از یک اینترفیس پیش فرض خارج کنید و سپس بخواهید مرورگر های وب یا سرور های مدیایی را اجرا کنید ، چنین قابلیتی را policy routing می نامند . در Kerio Control ، می توان policy routing های متفاوت را در ترافیک رول تعریف کرد که با NAT یا همان IP address translation کار کنند .
- نکته : Policy routing traffic rule ها بالاترین مرتبه دسته بندی را در جداول روتینگ خواهند داشت *
تنظیمات یک لینک مرجع برای ترافیک ایمیل
فرض کنید یک فایروال توسط 2 لینک با لود بالنسینگ و سرعتی معادل 4 Mbits و 8 Mbits به اینترنت متصل است ، یکی از لینک ها توسط سرویس دهنده به میل سرور متصل شده است ، تمامی ترافیک میل ها (SMTP, IMAP and POP3) ، توسط مسیریاب بین لینک ها تعریف شده است . ترافیک رول ها به صورت زیر هستند :
- اولین رول با NAT کار می کند و سرویس ایمیل را با سرعت 4 Mbit در اینترنت پشتیبانی می کند
- دیگر مسیریابی به صورت عمومی NAT شده اند تا به صورت خودکار سرویس بدهند
تنظیماتی که برای NAT در شکل بالا صورت گرفته نشان می دهد که سرویس های ایمیل چگونه تنظیم شده اند ، چنانچه لینک که برای پشتیبانی تعریف شده از کاربیفتد تمامی سرویس ایمیل تا موقعی که اتصال قطع شده غیرفعال می ماند .
در تنظیمات بالا اینترفیس به صورت خودکار کار می کند ، به این معنی که لینک 4 Mbit که برای load balancing کار می کند ، ترافیک ایمیل بالاترین ارجعیت را در لینک ها دارد .
- نکته : اگر شما می خواهید این قابلیت لود بالانسینگ را نداشته باشید و بخواهید از یکی از لینک های برای ترافیک دیگر استفاده کنید می توانید این قابلیت در بخش Interfaces و با برداشتن علامت Use for Link Load Balancing غیر فعال کنید .
Load Balancing بهینه شده
کریو کنترل دارای 2 انتخاب اختصاصی برای ترافیک شبکه های لود بالانسینگ است :
- برای هر هاست ( منظور کلاینت ها است )
- برای هر اتصال
یکی از بهترین راه حل های برای لود بالانسینگ وجود انتخابی بودن برای هر اتصال است . بهر حال ، ممکن است در حین ارتباط یک سرویس دهنده با یک لینک مشکلاتی در ادامه روند کار آن اتفاق بیفتد ، ( مثلا ارتباط یک وب سرویس با دیگر سرویس هایی که با آنها در ارتباط بوده است ) ، همچنین قطع شدن و حملات نیز می تواند منجر به قطع سرور شود .
بخشی از این مشکل را می توان در bridge بودن policy routing دانست ، مشکلاتی نظیر سرویس هایی که فعال هستند مانند HTTP و HTTPS ، که به صورت یک بار تعادلی برای هر کلاینت تعریف شده اند . همه اتصالات که برای یک کلاینت مسیر دهی شده اند تا با اینترنت ارتباط برقرار کند و دیگر سرویس هایی که با استفاده از امکان لودبالانسینگ بالاترین ظرفیت دسترسی به لینک ها را دارند . یکی از نیازسنجی ها برای ضمانت این ارتباطات داشتن 2 NAT برای ترافیک رول است :
- در رول اول ، سرویس خاصی که مدنظر دارید به صورت per host را برای رول NAT ایجاد کنید
- برای دومین رول ، سرویس های دیگری که مدنظر دارید به صورت per connection برای NAT رول تعریف کنید
تنظیمات IPS
- پیکربندی سرویس Intrusion Prevention
کریو کنترل سرویس یکپارچه( Snort ( https://www.snort.org است ، یک پیشگیرانه و سیستم محافظتی (IDS/IPS) تا شبکه محلی را به شبکه های معلوم و مشخص متصل کند . پیشگیری از یک نفوذ به شبکه و روش شناسایی این نفوذ می تواند به ما کمک کند تا با استفاده از رول های فایروال کریو کنترل مدیریت امنی بر روی ترافیک داشته باشیم . یکی از این حملات را می توان مثلا DDOS که حملات تکذیب سرویس است عنوان کرد که ترافیک بالایی را از طریق پورتی به سمت شبکه سرازیر می کنند و منابع سیستمی که کاربران با آن در تماس هستند را مختل می کنند .
- نکته : سیستم پیشگیری نفوذ کریو کنترل بر روی تمامی اینترفیس ها کنترل دارد و در گروه Internet interfaces کنترل و بلاک کردن ترافیک های ناشناس در اینترنت را انجام می دهد این سرویس روی شبکه های محلی و VPN کلاینت کارایی ندارد
تنظیمات Intrusion Prevention در کریو کنترل
1- وارد بخش administration interface و بروید به Intrusion Prevention
2- فعال سازی Enable Intrusion Prevention
3- حالا مد هایی که در اینجا مدنظر دارید را انتخاب کنید ( این مراحل سه مرحله دارد ) :
- High severity : در برابر حملات و نفوذ های سطح بالا نظیر تروجان ها کارایی دارد
- Medium severity : فعالیت های مشکوک را زیر نظر می گیرد مثلا ترافیکی از طرف یک پروتکل غیر استاندارد که روی پروتکل استاندرد دیگری در جریان است
- Low severity : حملاتی که تهدید جدی محسوب نمی شوند مانند Port scan ها
4- کلیک بر روی On the Kerio website, you can test these settings برای تست سیستم Intrusion Prevention برای هر دو IPv4 و IPv6 ، و همچنین 3 نوع حمله به صورت Fake در هر سه مرحله high, middle, low severity ارسال و روی فایروال ازمایش می شود
5- Apply کنید
- نکته : می توانید با Security log گزارشی از بلاک شدن و شناسایی نفوذ در فایروال را بررسی کنید
تنظیمات برای نادیده گرفتن نفوذ
چنانچه تنظیمات پیشگیری از نفوذ بر روی فایروال اثر معکوسی بدهد و آن دسته از ترافیکی که استاندارد است و به مشکل بلاک شدن بخورد :
1- در بخش administration interface بروید به Security log
2- این لاگ به طور مثال به صورت :
"IPS: Alert, severity: Medium, Rule ID: 1:2009700 ET VOIP Multiple Unauthorized SIP Responses"
3- ID number رول را کپی کنید
4- در administration interface بروید به Intrusion Prevention
5- کلیک Advanced
6- در Advanced Intrusion Prevention Settings کلیک کنید Add
7- کلیک ok و Apply
ترافیک مشروع حالا اجازه عبور دارد
IPS برای سرویس خاص
گاهی نفوذ ممکن است توسط ضعف در ابزارهای خاصی صورت بگیرد ، بنابراین سیاست های پیشگیری از نفوذ باید بر روی پروتکل های استاندارد و معلوم پیاده سازی شود . ممکن است بعضی از ابزارها بر روی پورت های استانداری نباشند مثلا برای HTTPS پورت 10000 را اختصاص داده باشید ، بنابراین ابزار پیشگیری از نفوذ را باید برای همین پورت های خاص تنظیم کرد :
- در administration interface بروید به Intrusion Prevention
- کلیک Advanced
- در کادر Advanced Intrusion Prevention Settings سرویسی که در نظر دارید برای مثال ما HTTP را تعریف کردیم
- دوبار کلیک و یک پورت مثلا 10000 را اضافه کنید
- کلیک OK و Apply
حالا یک سرویس non-standard پورت تعریف شد که حفاظت از نفوذ برای آن فعال شده است .
IP blacklist
کریو کنترل می تواند IP ادرس های مشکوک را بلاک کند ، این بخش را اصطلاحاً Blacklist می نامند ، در این فرایند هر گونه IP ادرس مشکوک و تهدید امیزی سریعا توسط سرویس پیشگیری از نفود کریو کنترل فیلتر می شود .
Automatic update
سیستم intrusion detection قابلیت بروزرسانی خودکار توسط IP ادرسی که به صورت قانونی برای آن تعریف می شود دارد . بروزرسانی اغلب به صورت زمانبندی شده صورت می گیرد اما می توانید با کلید های Shift + بروزرسانی را سریعاً انجام دهید .
- نکته : بروزرسانی فقط بر روی کریو کنترل قانونی و دارای لایسنس معتبر صورت می گیرد . *
فیلترینگ با MAC Address
نگاهی به MAC addresses فیلترینگ
کریو کنترل ادرس های سخت افزاری با همان مک آدرس را فیلتر می کند . می توان با توجه به مک ادرس یک دستگاه خاص و صرف نظر از IP ادرس آن را Allow یا Denay کرد .
تنظیمات فیلتر
- در administration interface بروید به Security Settings
- روی تب MAC Filter ، انتخاب Enable MAC Filter
- انتخاب اینترفیس شبکه که می خواهید MAC filter را اعمال کنید ( معمولاً LAN است )
- انتخاب یکی از مدهای فیلتر :
- Prevent listed computers from accessing the network : بلاک فیلتر تنها بر روی MAc address هایی اعمال می شود که در لیست هستند ، بنابراین تنها مک ادرس های شناخته شده را می توان فیلتر کرد و ترافیک های جدید با مک ادرس های نامعلوم در آن قابل فیلتر نمی باشند
- Permit only listed computers to access the network : در این بخش علاوه بر مک ادرس هایی که در لیست هستند می توان دیگر ادرس ها را نیز فیلتر کرد ، انتخاب بخش Also permit MAC addresses used in DHCP reservations or automatic user login به صورت اختیاری بوده اگر شما از قابلیت های automatic user login و DHCP reservation by MAC استفاده می کنید . مک ادرس هایی که اجازه دارند تا به صورت اتوماتیک هنگام لاگین کاربر و توسط DHCP رزرو شده باشند در لیست مک ادرس ها مشاهده نمی شوند
5- اضافه کردن مک آدرس از لیست ، به سه شکل ممکن :
- (e.g.: a0:de:bf:33:ce:12)
- (e.g.: a0-de-bf-33-ce-12)
- (a0debf33ce12)
6- دوبار کلیک کنید روی ادرس هایی که صحیح هستند
7- Apply کنید
تنظیمات IPv6
بحث درباره IPv6 بسیار مفصل است ، کریو کنترل امکانات زیادی برای استفاده از IPV6 و پروتکل های آن دارد ، در این مبحث به صورت خلاصه به بعضی از آنها اشاره می کنیم :
- IPv6 prefix delegation
کریو کنترل با ویژگی IPv6 prefix delegation کمک می کند تا ISP که شما از آن سرویس دارید بتواند IPv6 prefix را برای اینترفیس کریو کنترل تنظیم کند ، این ویژگی توسط DHCPv6 کلاینت و توسط ISP به صورت خودکار یا همان اصطلاح رایج " obtain " اعمال می شود ، اگر شما IPV6 را از ISP دریافت کرده اید به صورت زیر آن را فعال کنید :
- در administration interface ، بروید به Interfaces
- 2 بار کلیک کنید و اینترفیسی که قصد دارید با IPv6 کار کند را انتخاب کنید
- در بخش Interface Properties بروید به منو IPv6
- انتخاب گزینه Enable ( باعث می شود تا به صورت خودکار مسیریابی انجام شود )
- تنظیمات را ذخیره کنید
- تنظیمات IPv6 با استفاده از روش های دیگر بر روی اینترفیس های شبکه
یکی دیگر از روش های فعال سازی IPv6 بر روی اینترفیس های کریو کنترل به صورت زیر است :
- در administration interface بروید به Interfaces
- روی یکی از حالت های Trusted/Local Interfaces, Guest Interfaces, or Other Interfaces که در نظر دارید 2 بار کلیک کنید
- به IPv6 تب بروید
- انتخاب Enable
- Apply
فعال بودن IPv6 router advertisements
کریو کنترل از IPv6 router advertisements برای stateless auto-configuration استفاده می کند ( (SLAAC ) ، کریو کنترل تمامی رکورد های تبلیغاتی مسیر ها را با یک روتر پیش فرض جمع آوری می کند :
- در administration interface بروید به IPv6 Router Advertisements
- فعال کنید Enable IPv6 Router Advertisements
- Apply
این کار را به صورت دستی هم می توان انجام داد برای این منظور :
- در administration interface بروید به IPv6 Router Advertisements
- کلیک کنید روی Click to configure manually
- Add
- انتخاب یک اینترفیس در شبکه که می خواهید پیام های روتینگ را ارسال کند
- بر روی Prefix دوبار کلیک کنید و IPv6 prefix ( همان سابنت ) را وارد کنید
- دوبار کلیک کنید بر روی Prefix length و ادرس ipv6 را وارد کنید
- Apply کنید
- Kerio Web Filter
- IPV6 Filtering ( در ادامه به آن می پردازیم )
- مدیریت بر روی ترافیک های خاص و انفرادی تر
- Monitoring IP traffic in Kerio Control statistics
- IP address groups
- Traffic Rules
- Intrusion and prevention system (IPS)
- IP tools
- MAC filter
- تنظیمات FTP و Backup برای اطلاعات بیشتر مراجعه کنید به ( https:////www.samepage.io// )
- Reverse proxy
- مخدودیت در اتصالات کلاینت ها با IPV6
در کنار قابلیت های بالا کریو کنترل می تواند در نقش یک IPv6 router هم اعمال وظیفه کنید و به کلاینت ها IPV6 را اعمال کند
تنظیمات Service Discovery
ویژگی Service Discovery در کریو کنترل بعد از نسخه 8.5 معرفی شد ، کریو کنترل فوروارد سرویس Service Discovery را بین شبکه ها پشتیبانی می کند ، اطلاعات بیشتر درباره این سرویس را می توانید از اینجا مشاهده کنید . این سرویس اجازه دسترسی راه دور کاربران با استفاده از VPN و یا دیگر ابزارها را می دهد تا بتوانند به دستگاه هایی نظیر پرینتر ها و ... متصل شوند ، انها در پشت فایروال هستند .
اگر شما از کریو کنترلی با استفاده از تانل های VPN به کریو کنترل دیگر متصل می شوید باید از سرویس Service Discovery forwarding استفاده کنید ، همچنین در کل شبکه شما تمامی سوییچ ها و روتر ها و مودم ها باید از multicast forwarding پشتیبانی کنند .
- mDNS ، که برای سرویس های Apple Bonjour بکار می رود (Bonjour Gateway)
- NetBIOS Name service ، که برای سرویس های ماکروسافتی کاربرد دارد
- SSDP ، که در دستگاه هایی استفاده می شود که از ابزارهای UPnP پشتیبانی می کند .
نکته : Kerio Control از سرویس Service Discovery forwarding تنها برای Kerio VPN استفاده می کند این سرویس در IPsec VPN پشتیبانی نمی شود
تنظیمات Service Discovery forwarding
- در بخش administration interface بروید به Security Settings → Zero-configuration Networking
- انتخاب Enable Service Discovery forwarding
- انتخاب اینترفیس که می خواهید سرویس Service Discovery forwarding بر روی آن فعال شود
- Apply
حالا یک zero-configuration ساخته می شود که دستگاه ها می توانند به اینترفیس انتخابی متصل شوند .
Troubleshooting
اگر مشکلی با کار Service Discovery forwarding دارید ، این مشکل می تواند به دلیل فایروال کلاینت ها باشد ، در ویندوز می توانید inbound و outbound رول ها را برای اجازه عبور ترافیک به پورت های 137 و 138 تنظیم کنید تا دسترسی راه دور امکان پذیر شود ، اگر از Kerio Control VPN Client استفاده می کنید NetBIOS interface به صورت پیش فرض غیر فعال است ، برای فعال سازی :
- در شبکه متصل خود ، روی Kerio Virtual Network راست کلیک کرده و Properties را بزنید
- انتخاب Internet Protocol Version 4 - (TCP/IPv4)
- Advanced
- روی تب WINS انتخاب Enable NetBIOS over TCP/IP
- Save
تنظیمات UPnP
- نگاهی به Universal Plug-and-Play (UPnP)
کریو کنترل از UPnP protocol پشتیبانی می کند ، این پروتکل امکان فعال شدن ابزارها مانند MSN ماکروسافت را به کلاینت ها می دهد ، فایروال یک درخواست را ایجاد می کند و توسط یک پورت تعریف شده به اینترنت رسیده سپس به هاست در شبکه محلی اعمال می شود . ایجاد یک مَپ ضروری است . توجه داشته باشید در صورتی که پورت انتخابی با دیگر پورت ها کالوژن داشته باشد عمل مپ یا هر ترافیک دیگری دسترسی به اینترنت را از دست می دهد و درخواست UPnP port به صورت Denay می شود .
تنظیمات UPnP support
- در administration interface بروید به Security Settings → Zero-configuration Networking
- کلیک Enable UPnP service
- اگر شما می خواهید همه ترافیک UPnP که از پورت مپ شده عبور می کند را داشته باشید کلیک کنید بر روی Log packets
- برای مشاهده لاگ هایی که مربوط به اتصال ها هستند کلیک کنید بر روی Log connections
- Apply
رول بالا عمل UPnP را به صورت گروهی از کلاینت ها در اورده و سپس آن را برای ip ادرس های دیگر به صورت Denay تعریف کرده است ، علت این است که هر چند UPnP می تواند مفید باشد اما گاهی با توجه به بالا بودن تعداد کاربران و همچنین حفظ ارتباط آنها با اینترنت و محافظت از شبکه داخلی لازم است که تمامی جوانب در نظر گرفته شود
محدودیت در ارتباط
- نگاهی به connection limits
این ویژگی در کریو نسخه 9.0 و بعدی ... معرفی شد ، می توان اتصالات در TCP و UDP را محدود کرد تا حملاتی مثله (DoS) را کاهش داد ، این محدودیت ها را می توان :
- برای مبدا شامل ip ادرس کلاینت ها
- برای مقصد شامل ip ادرس هاست ها
کریو کنترل به صورت ایجاد گروه اعمال محدودیت ها اعمال و می تواند آنها را غیر فعال کند ، این محدودیت ها هم برای IPv4 و هم برای IPv6 کاربرد دارد . فعال بودن هر کدام از اتصالات محدود دارای یک ارزش به صورت پیش فرض است :
- حداکثر محدودیت برای اتصالات همزمان از 1 مبدا ip ادرس : 600
- محدودیت برای هر یک دقیقه اتصال جدید از 1 مبدا ip ادرس : 600
- محدودیت برای حداکثر اتصالات همزمان در داخل فایروال برای هر 1 مقصد ip ادرس : 1200
- محدودیت برای حداکثر اتصالات همزمان در داخل فایروال برای هر 1 مقصد ip ادرس از مبدا یکسان : 100
بعد از رسیدن هر اتصال به محدودیت تعیین شده ، کریو کنترل اتصال to/from را برای هاست قطع و لاگ آن در warning log وارد می شود .
Changing default values
- در administration interface ، بروید به Security Settings → Connection Limits
- تغییر محدودیت مورد نیاز را انجام دهید
- Apply
توجه : برای بازگشت به وضعیت پیش فرض دکمه Reset را بزنید
Disabling connection limits
- در administration interface بروید به Security Settings → Connection Limits
- تمامی باکس ها پاک کنید
- Apply
کریو کنترل محدودیت ها را غیر فعال می کند
استثنا برای یک گروه IP آدرس از تمامی محدودیت های اتصالات
چنانچه قصد دارید تا برای گروهی از IP ادرس ها محدودیت اتصالی برقرار نباشد :
- در administration interface ، بروید به Definitions → IP Address Groups
- یک گروه جدید یا تمامی هاست که می خواهید جدا از محدودیت اتصال باشند اضافه کنید
- بروید به Security Settings → Connection Limits
- انتخاب Use different settings for any connection from/to this IP address
- انتخاب یک گروه IP ادرس جدید که می توانید از لیست بردارید
- Apply
ایجاد محدودیت ها برای گروه IP ادرس های خاص
- در administration interface بروید به Definitions → IP Address Groups
- گروه جدید را اضافه کنید
- بروید به Security Settings → Connection Limits
- انتخاب Use different settings for any connection from/to this IP address
- انتخاب گروه جدید IP آدرس از لیست
- انتخاب Limit maximum concurrent connections from 1 source IP address و تنظیم محدودیت جدید
- Apply
ایجاد محدودیت اتصال
کریو کنترل می تواند تعداد اتصال هر هاست فعالی را ( مراجعه کنید به بخش active host در برنامه ) محاسبه کند :
- Host : منظور تمامی هاست های فعال در کریو کنترل هستند
- Peer : منظور کامپیوتر هایی که با هر هاست فعالی در ارتباط هستند
این محدودیت را می توان بر روی IPV4 و IPV6 اعمال کرد و به صورت زیر می باشد :
- Single peer (to/from): 100 connections
- All peers (to/from): 600 connections
- All peers per minute (to/from): disabled
تغییر در مقدار ارزش
- در بخش administration interface ، بروید به Security Settings → Miscellaneous
- مقداری که مدنظر دارید تغییر دهید
- Apply
برای غیر فعال کردن این محدودیت
- در administration interface بروید به Security Settings → Miscellaneous
- انتخاب Enable connection limit per host را بردارید
- Apply
محدودیت برای هاست های خاص
چنانچه سرورهایی که در پشت کریو کنترل دارید و قصد دارید دسته ای از IP ادرس های خاص را استفاده کنید :
- در administration interface ، بروید به Definitions → IP Address Groups
- اضافه کردن گروه جدید که قصد داریم هاست ها با محدودیت اعمال شده کار کنند
- بروید به Security Settings → Miscellaneous
- انتخاب Apply different limits for و انتخاب IP ادرس های گروه جدید
- تنظیم محدودیت پیش فرض آن single peer to 50
- تنظیم محدودیت برای all peers to 1000
- کلیک Apply
مدیریت پهنای باند
کریو کنترل می تواند مدیریت پهنای باند را در ترافیک شبکه اعمال کند تا جلوی ازدحام و همچنین بالارفتن قابلیت سرویس های ضروری را بهبود ببخشد .
چگونگی کار کردن bandwidth management
بر اساس 2 ویژگی خاص کار می کند :
- محدودیت پهنای باند برای اطلاعات در حال تبادل مثلا برای سرویس های ویدئویی و دیتا های بزرگ
- رزرو پهنای باند برای سرویس های ویژه مثلا سرویس هایی که در سازمان ها و ... اهمیت زیادی دارند نظیر سرویس ایمیل و IP تلفن ، که نیاز هست یک پهنای باند دایمی و همیشگی را داشته باشند .
Internet links speed
برای مدیریت صحیح پهنای باند نیاز به یک لینک پرسرعت اینترنت داریم که دارای میانگین 80 درصد پایداری و اتصال باشد ، برای مثال برای سرویسی که 8192//512 Kbit//s این سرویس بتواند 6250 Kbit//s برای دانلود و برای آپلود هم 400 Kbit//s باشد .
تنظیمات bandwidth management
در اینجا می خواهیم برای یک کاربر به نام John Smith سرعتی معادل 50 درصد دانلود برای ساعتی که کار می کند را تنظیم کنیم :
- در administration interface بروید به Bandwidth Management and QoS
- یک رول جدید را ایجاد و روی Add کلیک کنید
- اسم این رول را مثلا (John Smith)
- دوبار کلیک روی Traffic
- در Traffic ، کلیک Users Groups ، انتخاب گروه یا کاربران و کلیک بر روی Save
- روی Download دوبار کلیک کنید و علامت چک Do not exceed ، تنظیمات برای محدودیت به شکل :
7- Upload را روی همان حالت (No limit)
8- قرار دادن اینترفیس با (All)
9- دوبار کلیک روی Valid Time و انتخاب یک رنج زمانی و می توانید در بخش Definitions → Time Ranges این رنج را بسازید
10- انتخاب Chart ( شما می توانید از بخش Status → Traffic Charts برای ترافیک هایی که مبتنی بر زمان هستند را مشاهده کنید )
11- Apply و رول جدید را Save کنید
فیلترینگ محتوا
نگاهی به Content filter
content filter در کریو کنترل به محتوای وب اشاره دارد ، این مبحث در کریو کنترل بسیار مفصل اشاره به فیلتر محتوایی زیر دارد :
- - Kerio Control Web Filter
- - Applications
زمانی که از فیلتر روی لایه های مختلف شبکه صحبت می شود خیلی ساده می توان با یک تنظیم رول آن را انجام داد ، اما در اینجا هدف از فیلتر محتوا :
- محدودیت در دسترسی محتوای URL
- محدودیت برای کلمات ممنوعه
- سالم سازی محتوا در موتور های جستجو
- دسترسی FTP سرور
- محدودیت روی اسم فایل ها
- حذف شبکه های P2P
نیازمندی ها
- کنترل ترافیکی بر روی پروتکل هایی نظیر HTTP FTP POP3
- اعمال فیلترینگ بر روی ترافیک های رمزگذاری شده (HTTPS protocol)
- ترافیک های امن FTP (FTPS, SFTP) که فیلتر نمی شوند
- Content rule ها بر روی proxy server اعمال نمی شوند
تنظیمات content rules
برای تنظیمات در این بخش سه بخش مهم برای هر رول وجود دارد :
- Detected content که در واقع نوع فیلتر را تعریف می کند
- Source در واقع فرد یا IP ادرسی هست که برای رول تعریف می شود
- Action عملی که برای فیلتر محتوا تعریف می کنیم
در جدول Content Filter شما می توانید موارد زیر را ببینید :
- چک باکس enable/disable بودن رول ها
- یک توضیح کوتاه درباره هر رول
- رول های خاکستری که نشان از غیر فعال شدن می دهند
Kerio Control Web Filter یا application ویژگی غیر فعال شدن را از بخش contenet filter → Applications and Web Categories
- default rule اجازه عبور به همه محتوا می دهد
- رنگ سبز نشان دهنده اجازه رول است
- رنگ قرمز نشان دهنده دراپ بودن و انکار رول است
- یک Order rules هم به صورت عمومی یا ویژه تعیین شده
Duplicating content rules
اگر شما می خواهید یک رول جدید ایجاد کنید :
1- در administration interface بروید به Content Filter
2- روی Content Rules کلیک Add
3- مانند شکل زیر یک خط جدید را ایجاد کنید :
4- دوبار کلیک کنید Detected content و از جدول نوع فیلترینگ را تعریف کنید
5- دوبار کلیک Source و انتخاب کاربران یا IP آدرس ها
6- دوبار کلیک Action و پر کردن کادر
7- ( اختیاری ) تنظیمات زمان Definitions → Time Ranges
8- Apply
Detecting content
تشخیص محتوا در بخش Content Rule - Detected Content و کلیک :
- Application و یا Web Categories
- File Name که به صورت allow/disable
- URL یا Hostname
- URL Group
تنظیمات برای actions
شما می توانید در کادر Content Rule - Action روی هر Action انتخاب کنید :
Allow : هر ترافیکی که می خواهید اجازه عبور به آن بدهید به صورت :
- صرف نظر کردن آنتی ویروس از اسکن کاربران - IP ادرس - نام هاست
- صرف نظر از کلمات ممنوعه برای کاربران - IP ادرس - نام هاست های انتخابی
- عدم نیاز به درخواست احراز هویت برای کاربران - IP ادرس - نام هاست
Deny : عدم دسترسی به محتوا تعریف شده در کریو کنترل
- تغییر یک کاربر به صفحات دیگر
- نوشتن یک متن Deny
- ارسال ایمیل که اولا کاربر باید ایمیل خود را در کریو کنترل تعریف کرده باشد ثانیاً در کریو کنترل احراز هویت شده باشد
توجه : عمل redirect تنها در محتوای HTTP انجام می شود نه در HTTPS
Drop : دسترسی انکار شده و کاربر یک صفحه غیر فعال را میبیند
فیلترینگ URL ها
اگر شما از نرم افزارهایی استفاده می کنید که به صورت خودکار بروزرسانی می شوند می توانید آنها را با استفاده از content filter با ساخت یک New role مدیریت کنید :
1- بروید به Content Filter و فعال کردن رول Allow automatic updates and MS Windows activation
حالا با توجه به شکل پایین رول Automatic Updates برای گروهی از URl ها تعریف کنید :
2- بروید Definitions → URL Groups
3- Add
4- در Add URL انتخاب ، Select existing → Automatic Updates
5- نوشتن URL قصد بروزرسانی دارید ( استفاده از *, ? یا انتخاب Use regular expression و نوشتن URL
فیلتر فیسبوک
چنانچه از لایسنس کریو کنترل استفاده می کنید می توانید علاوه بر فیسبوک دیگر رسانه های اجتماعی را فیلتر گنید . برای این منظور :
1- روی تب Content Rules کلیک کنید Add
2- برای رول جدید نامی را بنویسید
3- روی Detected Content دوبار کلیک کنید
4- در Content Rule - Detected Content کلیک Add → URL and Hostname
5- نوشتن facebook.com در کادر Site
6- گذاشتن علامت چک( Also apply to secured connections ( HTTPS
7- کلیک OK
8- در Content Rule - Detected Content و کلیک Add → URL and Hostname
9- نوشتن www.facebook.com در کادر Site
10 - انتخاب Hostname across all protocols ( کریو کنترل تمامی DNS هایی که به فیسبوک درخواست میدهند را در نظر میگیرد )
11- OK کنید
12- دوبار کلیک روی Action
13- در Content Rule - Action بروید به Deny ( در باکس Action )
14- Save کنید
حالا برای امتحان این رول وارد فیسبوک شوید
اجازه به عبور محتوا با Samepage.io
اگر می خواهید :
- اسکن antivirus را رد کنید
- کلمات ممنوعه را رد کنید
- نیازی به احراز هویت نباشد
می توانید از samepage.io یا هر سرویس ابری دیگری به صورت زیر استفاده کنید :
1- روی تب Content Rules ، کلیک Add
2- در new rule یک اسم را بنویسید
3- روی Detected Content دوبار کلیک کنید
4- در Content Rule - Detected Content کلیک Add → URL and Hostname
5- نوشتن samepage.io داخل کادر Site
6- انتخاب( Also apply to secured connections (HTTPS
7- کلیک OK
8- دوبار کلیک روی Action
9- در Content Rule - Action انتخاب Allow ( در کادر Action )
10 - انتخاب Skip Antivirus scanning
11- Skip Forbidden words filtering
12- انتخاب Do not require authentication
13- Save تنظیمات
قابلیت SafeSearch در کریو کنترل
یکی از قابلیت هایی که در کریو کنترل نسخه 9.1 معرفی شد قابلیت SafeSearch برای موتورهای جستجو بود . این قابلیت کمک می کند تا بتوانیم در کریو کنترل محتوای غیر اخلاقی و نامناسب را بتوان بلاک کرد ، این ویژگی از موتورهای جستجو زیر پشتیبانی می کند :
- Google Search
- YouTube
- Bing
- Yandex
نحوه کار SafeSearch
این ویژگی بر پایه DNS است ، اگر کامپیوتر کاربری درخواستی را برای IP آدرس www.google.com ارسال کند ، کریو کنترل آن را در DNS request به صورت forcesafesearch.google.com ترجمه می کند ، با این حال SafeSearch نمی تواند از قابلیت Kerio Control non-transparent proxy server استفاده کند . البته توجه داشته باشید با توجه به اینکه هر موتور جستجویی از قابلیت جستوی امن متفاوتی بهره می برد ممکن است در کریو کنترل هر موتور جستجو نتایج مختلفی را بدهد .
فعال سازی SafeSearch
بعد از اینکه شما تنظیمات Kerio Control DNS server را انجام دادید :
- در administration interface بروید به Content Filter → Safe Web
- کلیک Enforce SafeSearch
- کلیک Apply
حالا در کریو کنترل محتوا غیر اخلاقی و نامناسب نمایش داده نمی شود .
نکته : چنانچه DNS و اسامی سایت ها روی کامپیوتر های کاربران کش شده باشد بهتر ابتدا کش تمامی سیستم ها پاکسازی شود ممکن است در نتایج کار با سرویس SafeSearch مغایرت ایجاد کند .
ایجاد استثنا برای کاربران در Safe Search
می توان کاربرانی که با کار در SafeSearch به مشکل می خورند را استثنا قایل شد و انها را جدا کرد :
1- در administration interface بروید به Content Filter → Safe Web
2- در کادر Select Items و کلیک Add
3- در Select Items کلیک Add
4- در باکس Select Items کاربران را انتخاب کنید :
9- در Content Rule - Action و انتخاب Allow ( در منو Action )
10- انتخاب Skip Antivirus scanning
11- انتخاب Skip Forbidden words filtering
12- انتخاب Do not require authentication
13 - Save تنظیمات
فیلترینگ محتوای وب
کریو کنترل امکان فیلتر وب سایت ها بر اساس لغات را می دهد ، این فیلتر بر اساس میزان ارزش آن واژه در کل سایت انجام می شود چنانچه از این میزان خارج شود محدودیت که تعریف شده اعمال می شود . این قابلیت به صورت پیش فرض غیر فعال است ، برای فعال سازی ٍ انتخاب Enable Forbidden words filtering در بخش Content Filter → Forbidden Words انجام می شود .
اضافه کردن واژگان برای ممنوع شدن
1- در بخش administration interface ، بروید به Content Filter → Safe Web
2- کلیک بر روی Add
3- در کادر Add Group Item ، می توانید یک گروه را بسازید یا فقط یکی
4- شکل صحیح واژه به هر زبانی ، واژگان مشابه آن عیناً باید نوشته شود
5- نوشتن یک وزن ( weight ) ( در کریو کنترل واژگان عمومی دارای کمترین وزن هستند )
6- OK کنید
7- روی تب Safe Web و کلیک Apply
رفع مشکل احراز هویت با https
با سلام ، یکی از مشکلاتی که کاربران هنگام کار با کریو کنترل دارند مشکل احراز هویت با پروتکل های HTTPS است ، برای رفع این مشکل باید رول های HTTPS را به صورت شکل زیر تعریف کرد :
- رول اول اشاره می کند که Authentication users توسط کریو اجازه عبور داده شود
- رول دوم هم اشاره به این دارد که هر مجوزی انکار شود
محدودیت در P2P Traffic
درباره شبکه Peer-to-Peer (P2P) شبکه
شبکه های Peer-to-Peer ، شبکه های جهانی گسترش یافته ای هستند که در آن ها یک ارتباط 2 طرفه میان کلاینت و سرور برقرار است ، در این شبکه ها می توان جحم بالایی اطلاعات را به اشتراک گذاشت . در مجموع این شبکه گسترش یافته و قانون مند قابلیت اتصال کاربران به اینترنت را دارد ، بنابراین ممکن است بخواهید تا عده ای از کاربران محدودیت ترافیکی نسبت به دیگر کاربران داشته باشند .
تنظیمات و اضافه کردن P2P traffic rule
- در administration interface ، بروید به Content Filter
- انتخاب Peer-to-Peer traffic
- کلیک Apply
اگر در بخش Content Filter رول Peer-to-Peer traffic نداشتید یکی اضافه کنید :
- کلیک Add
- نوشتن یک نام برای رول جدید مثلا Peer-to-Peer traffic
- دوبار کلیک کنید Detected content
- در کادر Content Rule - Detected Content و کلیک کنید روی Add → Applications and Web Categories.
- در کادر Selected items و انتخاب Downloads → Peer-to-Peer
- دوبار کلیک Action
- در کادر Content Rule - Action انتخاب Deny در بخش Action لیست
- ( اختیاری ) انتخاب Send email notification to user for non-HTTP connections
- کلیک Apply
حالا نتیجه به صورت زیر می باشد :
اطلاعات درباره P2P و ترافیک های بلاک شده را می توانید در Status → Active Hosts مشاهده کنید .
- نکته : اگر شما قصد دارید تا از اتصال شبکه های P2P دیگر مطلع شوید ( مثلا مدیر فایروال ) می توانید در بخش Alerts Settings و انتخاب Accounting and Monitoring آن را تنظیم کنید .
تنظیمات پارامتر ها برای تشخیص شبکه های P2P
شبکه های P2P به صورت خودکار تشخیص داده می شوند ( این عمل با ماژولی به نام P2P Eliminator انجام می شود ) برای تنظیمات این بخش از Content Filter → Advanced Settings استفاده می شود . این شبکه ها در صورتی که ترافیک باید تضمین شود برای استفاده مناسب نیستند :
- TCP/UDP port هایی که مشکوک هستند : رنج هایی از پورت هایی که در شبکه P2P استفاده می شوند با استفاده از کاما یا دَش - می توان تعریف کرد
- شماره اتصالات : می توان در شبکه های P2P میزانی از حجم تعداد اتصالات را معین کرد ، این یک ارزش Number of connections تعریفی برای حداکثر شماره اتصال کلاینت ها در شبکه است هنگامی که این میزان از حد خود بگذرد می توان نتیجه گرفت یک ترافیک مشکوک بوجود آمده است
- Safe services : با توجه به این ویژگی می توان در شبکه هایی که تعداد زیادی اتصال به صورت همزمان انجام می شود برای اینکه کاربران دچار مشکل نشوند سرویس های امن و کنترل شده را تعیین کرد .
ابزارهای آگاهی دهنده
Application awareness in Kerio Control
در نسخه 9.1 کریو کنترل معرفی شد ، ابزارهای آگاهی دهنده به دو بخش تقسیم می شوند :
- • Application control
- • Application visibility
Application control ، کمک می کند تا کریو کنترل بتواند 100 ها برنامه ای که در شبکه آن کاربرد دارند را شناسایی کند ، شما می توانید :
- محدودیت پهنای باند و یا رزرو برای ابزارها کاربردی
- اجازه ، بلاک ، انکار ترافیکی که از ابزارهای کاربردی
Application visibility ، اجازه می دهد تا شما بتوانید نگاهی به ابزارهای کاربردی در Kerio Control Statistics و Active Connections داشته باشید .
Enabling application awareness
این ابزار نمی تواند به صورت ترکیبی با Kerio Control non-transparent proxy server کار کند ، برای فعال سازی :
1- در administration interface ، بروید به Content Filter
2- کلیک بر روی تب Applications and Web Categories ، سپس انتخاب Enable application awareness
3- Apply
Setting content rules
برای مثال Social networks ها را می خواهیم Deny کنیم :
1- در administration interface و بروید به Content Filter
2- کلیک در تب Content Rules و کلیک Add
3- در جدول نامی را برای رول بنویسید
4- دوبار کلیک بر Detected content
5- در Content Rule - Detected Content و کلیک بر Applications and Web Categories
6- در کادر Applications and Web Categories ، انتخاب Social Networking
7- دوبار کلیک OK
8- بخش Source را تغییر ندهید
9- دوبار کلیک در Action
10- در Content Rule - Action و انتخاب Deny
11- نوشتن یک متن deny برای اطلاع دادن به کاربران تحت وب
12- OK
13- تب Content Rules و سپس کلیک Apply
Setting bandwidth rules
در این بخش مثالی برای محدود کردن دسترسی موزیک ( music ) خواهیم داشت :
1- در administration interface و بروید به Bandwidth Management and QoS
2- کلیک در Add
3- در جدول نامی برای رول بنویسید
4- دوبار کلیک بر روی Traffic
5- در باکس Traffic کلیک بر روی Applications and Web Categories
6- در کادر Applications and Web Categories و زیر Entertainment / Culture انتخاب Music
7- OK را دوبار بزنید
8- در ستون Download محدودیت پهنای باند را تعیین کنید
9- Apply
Application visibility in Active Connections
در Active Connections شما می توانید تمامی اپلیکیشن های فعال را مشاهده کنید :
1- در administration interface بروید Status → Active Connections
2- روی هدر ستون راست کلیک کنید
3- در context menu کلیک در Columns
4- انتخاب Info
Debugging application awareness
در آخر هم برای مشاهده Debug :
1- در بخش administration interface بروید به Logs → Debug
2- راست کلیک روی پنجره log
3- در context menu انتخاب Messages
4- در Logging Messages و انتخاب :
- Application awareness
- Intrusion Prevention System
- General protocol inspection messages
5- OK
استفاده از Web Filter
Kerio Control Web Filter محتوای وب را شامل می شود ، این ویژگی صفحات URL داینامیکی را پوشش می دهد و آن ها را دسته بندی می کند ، این عملکرد در کریو کنترل توسط یک تشخیص Rate و درجه بندی شده صورت می گیرد ، هنگامی که صفحه وبی فراخوانی می شود یک درخواست به کریو کنترل ارسال می شود و سپس Rate آن بررسی می شود حالا اجازه یا عدم دسترسی به آن وب سایت صادر می شود .
نکته : Kerio Control Web Filter نیازمند لایسنس خاصی است که در کریو کنترل پلاگین آن وجود ندارد ، در نسخه رایگان آن فقط 30 روز فعال می شود .
فعال سازی Kerio Control Web Filter
- در administration interface بروید به Content Filter → Applications and Web Categories
- انتخاب Enable Kerio Control Web Filter
- انتخاب Allow authenticated users to report miscategorized URLs
- Apply
Testing URLs
در بخش administration interface امکان تست URL وجود دارد ، چنانچه می خواهید نتایج با جزییات بیشتری باشد :
- در بخش Content Filter ، بروید به Kerio Control Web Filter
- نوشتن URL مورد نظر و کلیک روی Test URL
- در کادر URL Categorization روی کادر علامت چک را اگر دسته بندی سایت دارد بزنید
Creating a URL whitelist
شما می توانید در کریو کنترل لیستی خاص از URL هایی که مدنظرتان هست قرار دهید :
1- در بخش Content Filter ، بروید به Kerio Control Web Filter
2- Add
3- نوشتن URL و توضیحی درباره آن به صورت :
- server name برای مثال www.kerio.com
- بخشی از یک URL برای مثال www.kerio.com/index.html
- استفاده از wildcard برای URL برای مثال ( .ker?0 .) علامت ستاره ( asterisk ) یعنی هر نامی با هر کاراکتری و علامت ؟ یعنی همین فرم و سیمبل
4- Save
کاربرد Web Filter in URL rules
هنگامی که Kerio Control در حال بررسی یک URL rule هست ، بررسی می کند که با توجه به دسته بندی آن صفحه آیا سرویس وب فیلتر فعال است ، برای این منظور :
- در administration interface بروید به Content Filter
- روی تب Content Rules رول Kerio Control Web Filter categories and applications. را فعال کنید
- دوبار کلیک کنید بر روی Detected content و کلیک Add → Applications and Web Categories
- انتخاب Job Search و انتخاب درجه
- OK
- روی Content Rules و Apply
تنظیمات Http Cache
نگاهی به HTTP cache
استفاده از Cache باعث می شود تا در هنگام تکرار صفحات وب ترافیک اینترنت کمتر مصرف شود ، و نیازی به دانلود مجدد آن روی فضای دیسک نباشد .
- نکته : این امکان روی تجهیزات Kerio Control Box فعال نیست
از قابلیت کَش می توان هم به صورت دسترسی های مستقیم و هم به صورت proxy server استفاده کرد ، همچنین می توان در قابلیت Kerio Control reverse proxy از آن استفاده کرد . برای تنظیمات این قابلیت :
- در administration interface و بروید به Proxy Server → HTTP Cache
- چک Enable cache for direct access to web را بزنید
- اگر شما از proxy server استفاده می کنید چک Enable cache on Kerio Control non-transparent proxy server را بزنید
- اگر از reverse proxy استفاده می کنید چک Enable cache for Kerio Control reverse proxy
- Apply
تنظیمات TTL
( TTL (Time To Live شما می توانید مقدار پیش فرض آن را تنظیم کنید :
- روی تب HTTP Cache تنظیمات HTTP protocol TTL ( پیش فرض 1 day )
- کلیک URL Specific Settings برای سرور ها یا صفحات خاص
- در URL Specific Settings و کلیک Add
- در Add URL و URL مورد نظر را تایپ کنید ( بر حسب ساعت است و عدد 0 یعنی کَش صورت نکیرد )
برای حذف کَش ها هم از Clear cache استفاده کنید .
فیلترینگ ارتباطات https
این قابلیت از کریو کنترل 8.4 شروع شد ، کریو کنترل می تواند سرویس HTTPS را فیلتر کند ، این فیلتر شبیه HTTP است . هنگامی که شما یک سایت HTTPS را فراخوانی می کنید یک SSL certificate ایجاد می شود و توسط کریو کنترل که دارای certificate است در ارتباطات HTTPS کار می کند .
توجه : در هنگام فیلتر پروتکل HTTPS دقت کنید non-transparent proxy server فعال نباشد
تنظیمات HTTPS filtering
- بروید به Content Filter → HTTPS Filtering در administration interface
- انتخاب Decrypt and filter HTTPS traffic
- انتخاب Show Legal Notice to users اگر لازم بود که با کشور خودتان تنظیم کنید
- Apply
تنظیمات فیلتر HTTPS های استثنا
Kerio Control اجازه می دهد تا HTTPS های استثنا را نیز فیلتر کنیم .
- عدم رمزگذاری بر روی ترافیک های مستثنا
- عدم رمزگذاری و مستثنا قایل شدن برای یک سرور یا کاربر خاص
شما می توانید از استثنا را برای :
- web applications
- users
استثنا در ترافیک مبدا و مقصد برای web applications
بعضی از web applications نمی توانند از Kerio Control certification authority استفاده کنند ( برای مثال دسترسی به وب سایت بانک ها ، ماکروسافت و دراپباکس ... ) یا استفاده از non-HTTPS service روی port 443 . برای تنظیمات این بخش شما باید IP ادرس و نام دامین یا هاست را بدانید :
- روی تب HTTPS Filtering و انتخاب Exclude specified traffic from decryption
- کادر Traffic to/from IP addresses which belong to و کلیک روی Edit
- در IP Address Groups و کلیک Add
- در فیلد Add IP Address و کلیک Select existing
- در منو Select existing و انتخاب HTTPS exclusions
- انتخاب Addresses و نوشتن IP ادرس و نام هاست یا نام دامین که مربوط به web applications
- تنظیمات را Save کنید
- روی HTTPS Filtering و کلیک Apply
- نکته : برای حذف و یا تغییر تنظیمات این استثنا می توانید از مسیر Definitions → IP address groups استفاده کنید
استثنا کاربر از HTTPS فیلتر
1- روی تب HTTPS Filtering و کلیک Exclude specified traffic from decryption
2- وارد Traffic from the following users و کلیک Select
3- در کادر Select Items و Add
4- در باکس جدید Select Items و انتخاب domain of users که باید مستثنا شوند
5- انتخاب کاربران و کلیک روی OK
6- کلیک OK
7- روی تب HTTPS Filtering و کلیک Apply
نصب certificates در Kerio Control
- در administration interface , بروید Definitions → SSL Certificates
- کلیک کنید → Import → Import New Certificate button
- وارد کردن Certificate از باکس
- وارد کردن Certificate dialog box ، انتخاب Certificate بدون private key.
- نوشتن URL مربوط web application و اگر Certificate دارید می توانید با انتخاب certificate file این کار را انجام دهید
- کلیک Import
تنظیمات پروکسی سرور
هنگامی که تکنولوژی NAT در کریو کنترل به صورت مستقیم و یا به اصطلاح non-transparent کار می کند و تمامی کلاینت ها از این طریق به اینترنت وصل می شوند . در اینجا توجه داشته باشید که پروکسی سرور برای پرتکل هایی نظیر HTTP و HTTPS و FTP کار می کند و پشتیبانی از پروتکل SOCKS را ندارد . همچنین توجه داشته باشید که استفاده از پروکسی سرور در حالت یک non-transparent سبب می شود تا فیلتر ها روی اتصالات HTTPS کار نکنند .
تنظیمات پروکسی سرور
- در بخش administration interface بروید به Proxy Server
- انتخاب Enable non-transparent proxy server ( به صورت پیش فرض HTTP proxy server در کریوکنترل با پورت 3128 کار می کند )
- فعال بودن یک تانل بر روی TCP پورتی که استاندارد نیست ( برای مثال , اتصالاتی که به صورت دسترسی راه دور کریو کنترل در اینترنت از شبکه محلی شما انجام می شود ) و انتخاب Allow tunnelled connections to all TCP ports ( این ویژگی فقط برای HTTPS کارایی دارد ، شما می توانید همیشه دسترسی HTTP را روی هر پورتی به صورت non-transparent proxy تعریف کنید )
- کلیک Apply
تنظیمات مرورگرها
برای ارتباطاتی که مطابق با non-transparent proxy server هستند شما نیاز دارید که برای مرورگرهای کلاینت ها تنظیمات را انجام دهید .
- تنظیمات مرورگرها به صورت دستی : نوشتن IP ادرس ها و DNS و پورتی که برای پروکسی سرور تعریف شده است ( پیش فرض در کریو کنترل 3128 ) در بخش تنظیمات پروکسی سرور هر مرورگری انجام شود
- در کریو کنترل انتخاب Proxy Server و انتخاب مدی که می تواند پروکسی را خودکار توسط یک اسکریپت به صورت Kerio Control non-transparent proxy server انجام داد و حالا تنظیمات زیر را دنبال کنید :
http://192.168.1.1:3128/pac/proxy.pac
در 192.168.1.1 در واقع IP ادرس کریوکنترل با ادرس پورت 3128 برای پروکسی سرور تعریف شده است .
- در کریو کنترل و Proxy Server و انتخاب مدی که توسط یک اسکریپت تنظیمات خودکار انجام می شود Allow browsers to use configuration script automatically via DHCP server in Kerio Control بر روی تمامی مرورگرها باید تیک Automatically detect settings فعال باشد .
توجه : تنظیمات به صورت خودکار ممکن است چندین ساعت طول بکشد و مرورگرها باید درخواستی را برای تنظیمات جدید انجام دهند .
Forwarding to parent proxy server
یک parent proxy server برای non-transparent proxy traffic و چک آپدیت ها ، آپدیت Sophos ، آپدیت دانلود ها و اتصال آنلاین کریو کنترل به دیتابیس های آن انجام می شود .
- در administration interface و بروید به Proxy Server
- انتخاب Use parent proxy server
- نوشتن IP address و DNS name که مطابق با parent proxy server در فیلد Server
- انتخاب یک port number از جدول
- اگر شما از یک سرویس دهنده سرویس های احراز هویت دارید انتخاب گزینه Parent proxy server requires authentication را انجام دهید
تنظیمات Reverse Proxy
این قابلیت در کریو کنترل 8.3 ایجاد شد ، از جمله دلایل استفاده از reverse proxy این است که شما ممکن است بیش از یک وب سرور در پشت سر کریو کنترل داشته باشید . یک IP ادرس پابلیک که به صورت پیش فرض با پورت (443 HTTP 80 - HTTPS) مورد استفاده قرار می گیرد . کریو کنترل ترافیک را به سرورهای مختلف از روی نام هاست فوروارد می کند .
نکته : توجه داشته باشید که Content Filter rules در حالت reverse proxy در کریوکنترل کار نمی کنند
تنظیمات reverse proxy
ابتدا شما باید رولی را در کریو کنترل برای عبور ترافیک HTTP/HTTPS به صورت Allow تعریف کنید ، حالا تعریف وب سرور خاصی که می خواهیم با reverse proxy کار کند :
- در administration interface بروید به Proxy Server → Reverse Proxy
- انتخاب Enable Reverse Proxy
- کلیک در قسمت Add و ساخت یک رول برای سرور های خودتان
- رول ها به صورت مرتب در پنجره سمت راست قرار دارند
- در In Settings انتخاب SSL که ولید بوده شما به Certificate برای احراز هویت کار با HTTPS protocol نیاز دارید .
- نکته : باید SSL certificate با توجه به نام DNS کریو کنترل و همچنین نام یک هاست باشد
اضافه کردن یک رول
1- در administration interface و بروید به Proxy Server → Reverse Proxy
2- کلیک Add
3- در Reverse Proxy Rule نوشتن DNS name وب سرور در بخش Host
- نکته : علامت * به معنی Allow هست
4- انتخاب پروتکل سرور ، شما می توانید HTTP, HTTPS یا هر دو را انتخاب کنید ( توجه کنید انتخاب HTTPS نیازمند تایید یک SSL certificate ولید است )
5- در فیلد Server نوشتن IP ادرس سرور
6- ( اختیاری ) انتخاب Perform antivirus scanning برای اینکه آپلود های وب سرور توسط انتی ویروس اسکن شود
7- کلیک OK
8- در صفحه اصلی Apply کنید
تنظیمات یک traffic rule
برای اجازه به اینکه HTTP - HTTPS در فایروال بتواند فعال باشد :
1- در administration interface بروید به Traffic Rules
2- انتخاب رول Web Services
3- Apply کنید .حالا ترافیک HTTP/HTTPS اجازه عبور دارند
ساخت SSL certificate با یک alternative DNS name
اگر شما برای وب سرور خودتان می خواهید از reverse proxy استفاده کنید شما باید یک certificate برای همه وب سرورها را در پشت reverse proxy جایگزین کنید ، برای ساخت SSL certificate با alternative DNS name :
- در administration interface بروید به Definitions → SSL Certificates
- کلیک Add → New Certificate یا Add → New Certificate Request
- در New Certificate یا New Certificate Request نامی برای certificate بنویسید
- در کادر Hostname نوشتن hostname که برای وب سرور شما است و در پشت reverse proxy قرار دارد
- در فیلد Alternative hostnames نوشتن دیگر web server hostname
- شما ممکن است بنویسید City, State - Province و انتخاب Country و Validity که برای Certificate
- کلیک روی OK
- در پنجره اصلی Apply کنید
تنظیمات HTTP cache برای reverse proxy
- در administration interface بروید به Proxy Server → HTTP Cache
- کلیک Enable cache for Kerio Control reverse proxy
- کلیک Apply
تنظیمات آنتی ویروس
- در administration interface بروید به Antivirus
- روی تب Antivirus Engine انتخاب گزینه Use the integrated antivirus engine ( موقعی فعال می شود که شما لایسنس انتی ویروس Sophos را دارید یا دوره رایگان آن هنوز قابل استفاده است )
- انتخاب گزینه Check for update every ... hours ( اگر آپدیت نیاز باشد به صورت اتوماتیک دانلود ها را انجام می دهد ) نکته : تمامی جزییات درباره عدم موفق بودن بروزرسانی را می توانید به صورت لاگ در بخش Error log مشاهده کنید
- چک کردن پروتکل های HTTP - FTP - POP3 در بخش Protocols
- اسکن SMTP به صورت پیش فرض غیر فعال است ، شما می توانید برای ترافیک ورودی فعال کنید
- در Settings هم حداکثر اندزه فایل های اسکن برای انتی ویروس در فایروال تنظیم شده است توجه داشته باشید که فایل هایی با حجم بالا می توانند بر روی پردازش و فضای آزاد دیسک تاثیر بگذارند همچنین این بر روی عملکرد فایروال تاثیر می گذارد ترافیک های آن را مختل و کند کند ( اکثر مدیران شبکه ترجیح می دهند این مقدار بیشتر از 4 مگابایت نباشد )
- Apply کنید
تنظیمات DHCP
DHCP server در کریو کنترل : کریو کنترل دارای DHCP server است ، این DHCP server برای کلاینت ها بر اساس Scope که تعریف شده IP ادرس ها را برای آنها در نظر می گیرد . می توان بر اساس ادرس سخت افزاری یا MAC کلاینت ها ادرس های IP را برای انها رزرو کرد و به صورت ثابت تنظیم کنیم . این امکان برای تمامی گروه های فایروال Trusted/Local Interfaces, Guest Interfaces و other Interfaces است .
تنظیمات خودکار برای Scope ها
به صورت پیش فرض DHCP server به صورت خودکار کار می کنند .
- درadministration interface بروید به DHCP Server
- انتخاب Enable DHCP server
- کلیک Apply
برای هر سابنت اینترفیسی یک Scope را طبق زیر می توان تنظیم کرد :
- Range : برای Ip ادرسی که به اینترفیس و مطابق سابنت ماسک مورد نظر تنظیم می شود
- Subnet mask : مطابق با اینترفیس موردنظر
- DNS server : برای IP ادرس که به اینترفیس خاصی تعلق دارد
تنظیمات دستی Scope ها و رزرو
اگر برای شما مغدور نیست تا تنظیمات IP ها را انجام دهید می توانید به صورت دستی اینکار را انجام دهید . تمامی گروه ها می توانند با DHCP server از این طریق ارتباط برقرار کنند . در این روش توجه داشته باشید که تنها یک Scope برای هر IP subnet می توان در نظر گرفت .
1- در administration interface بروید به DHCP Server
2- کلیک کنید روی Click to configure scopes manually و تغییرات را اعمال کنید
3- کلیک روی Add → Manual
- توجه : گزینه Add → Use Interface Template به صورت پیش فرض برای فایروال کریو کنترل تعریف شده است
4- در Add Scope و نامی را برای آن تعریف کنید
5- تعریف first - last address برای Scope
6- نوشتن یک سابنت متناسب با رنج کاری IP شبکه
7- در جدول DHCP Options و کلیک Add
8- انتخاب گزینه 003: Default Gateway و نوشتن یک IP address و Save
9- انتخاب 006: DNS server و نوشتن یک IP address
10- ذخیره کلیه پارامتر های DHCP
11- Save تنظیمات
12- انتخاب گزینه Enable DHCP server
تعریف scope برای هر سابنت
کریو کنترل امکان مدیریت هر Scope را برای سابنت های جداگانه دارد . و می توان آن ها اختصاصی کرد :
- در کادر Edit Scope و کلیک روی Exclusions
- در Exclusions و کلیک روی Add
- اضافه کردن IP ادرس ها From - To
اجاره و رزرو
در جدول Leases - reservations می توان Scope ها را مشاهده کرد ، استفاده از Remove شما می توانید ادرس های رزرو را کنسل و یا انتخاب کنید
رزرو یک IP آدرس
همانطور که قبلا توضیح داده شد این رزرو می تواند بر اساس MACادرس انجام شود ، رزرو به این روش در هر دو روش دستی و خودکار انجام می شود . چنانچه شما رزرو را به صورت خودکار انجام دهید نمی توانید دوباره به صورت دستی تنظیمات را اعمال کنید :
- در administration interface و رفتن به DHCP Server
- در جدول Leases and reservations و کلیک روی Add → Add Reservation
- نوشتن یک نام برای reservation
- انتخاب MAC address و یا نام هاست هر دستگاهی که میخواهید اختصاصی رزرو شود
- نوشتن یک IP address رزرو شده
- کلیک OK
ساخت DHCP رزرو برای هاست های فعال
شما می توانید رزرو را بدون MAC آدرس تعریف کنید :
- در administration interface و رفتن به Status → Active Hosts
- انتخاب یک هاست
- راست کلیک روی کاربر و کلیک روی Make DHCP Reservation by MAC
- OK کنید
رزرو برای اجاره آدرس
- در administration interface و رفتن به DHCP Server
- در Leases and reservations و کلیک روی دستگاهس که ادرس را می خواهید اجاره دهید
- کلیک Add → Reserve lease
- کلیک OK
شما می توانید این تنظیمات اجاره و رزرو را در بخش Status و به نام Reserved, Leased مشاهده کنید
تنظیمات DNS
DNS forwarding service در کریو کنترل
کریو کنترل شامل یک DNS سرور است . پیشنهاد کریو کنترل این است که در هنگام تنظیمات DNS سرور تنظیمات برای DHCP سرور هم صورت بگیرد . مدیریت و تنظیمات DNS سرور راحت و به سرعت انجام می شود .
- نکته : سرویس DNS forwarding service فقط بر روی IPv4 کار می کند و از IPv6 پشتیبانی نمی کند .
تنظیمات simple DNS forwarding
- در administration interface بروید به DNS
- چک Enable the DNS forwarding service را فعال کنید ( در صورت غیر فعال بودن DNS کریو کنترل جایگزین می شود )
- چک Enable DNS cache for faster responses to repeat queries فعال شود
- در هنگام فوروارد شدن یک DNS query ، جدولی از DNS و DHCP و نام هاست ها را می توان در کریو کنترل مشاهده کرد
- در ورودی When resolving name from the hosts table or lease table combine it with DNS domain below نامی برای local DNS domain بنویسید به خاطر 2 دلیل زیر :
- DNS names در جداول Hosts table هستند ، می توانند بدون لوکال دومین درخواست DNS را هاست ها بدهند ( برای مثال jsmith-pc )
- یک هاست درخواست DNS را با فرمت jsmith-pc.example.com ارسال می کند ، اگر DNS module برای شبکه دومین لوکال مثلا example.com باشد این نام به صورت زیر در می آید :
host: jsmith-pc and local domain: example.com
6- کلیک Apply
Hosts table
Hosts table شامل یک لیست IP آدرس ها و درخواست های DNS hostnames است ، کریو کنترل از این جدول برای مطابقت قرار دادن نام هاست ها در برابر IP ادرس استفاده می کند برای مثال نام یک سرور محلی را مطابق با IP ادرس آن به صورت محلی درنظر می گیرد ، هر IP ادرس می تواند چندین نام DNS داشته باشد :
- نوشتن تمامی اطلاعات در یک رکورد و جداسازی نام ها با علامت semicolons
192.168.1.10 server;mail
- ساخت رکورد هایی به صورت :
192.168.1.10 server
192.168.1.10 mail
تعریف یک رول
1- تنظیمات simple DNS resolution که در بالا گفته شد را انجام دهید
2- انتخاب Enable custom DNS forwarding و فعال سازی برای اینکه درخواست های DNS را بتوانید با DNS سرورهای دیگر فوروارد کنید کلیک روی Edit
3- در Custom DNS Forwarding و کلیک روی Add
- ساخت به صورت DNS های عمومی (A queries)
- ساخت ( Reverse queries ( PTR queries
4- در کادر Custom DNS Forwarding و شما می توانید رول هایی به صورت زیر تعریف کنید :
- Match DNS query name — اسم DNS مطابق با نام دومین باشد
- Match IP address from reverse DNS query — به صورت نام DNS دوم که درخواست DNS با IP ادرس به صورت سابنت باشد ( 192.168.1.0/255.255.255.0)
5- استفاده از فیلد Forward the query برای IP ادرس موردنظر و یک یا بیشتر DNS سرور که درخواست ها را فوروارد کند
6- ذخیره تنظیمات
تنظیمات Routing Table
در کریو کنترل اجازه مشاهده و ویرایش جداول مسیریابی در IPv4 - IPv6 را می دهد . این جدول مسیریابی را می توان به صورت مسیر دستی در کریو کنترل هم ساخت . برای مشاهده و یا تعریف به بخش administration interface و بروید به Routing Table در این بخش جداول برای هر دسته از IPv4 و IPv6 به صورت جداگانه می باشد .
نکته : در مسیر یابی هایی همچون لودبالانسینگ این جدول به صورت تنها یک آدرس مسیریاب default route خواهد بود
Route types
- System route : کلیه مسیریابی ها و جداول مسیریابی در اینجا بارگذاری می شود شما نمی توانید آنها را ویرایش و حذف کنید .
- VPN route : در ستون Interfaces می توان مسیرهای فعال را مشاهده کنید زمانی که به صورت تانل هایی فعال هستند . کریو کنترل تمامی مسیریابی تانل IPsec VPN و تمامی مسیرهایی که پشت فایروال کریو کنترل هستند را ثبت می کند .
- Static routes : کریو کنترل Static routes ها را ذخیره می کند و شما می توانید تغییرات و یا حذف روی آنها انجام دهید
static routes IPv4 routing table
- در administration interface و بروید به Routing Table → IPv4 Routing Table
- کلیک Add
- در کادر Name بنویسید نام route
- در کادر Network بنویسید یک IP subnet
- در کادر Mask و بنویسید یک mask که متناسب با subnet باشد
- در منو Interface انتخاب interface
- در کادر Gateway و نوشتن IP address که gateway است ( در صورت نیاز )
- در کادر Metric و نوشتن شماره که معرف ارجعیت مسیریابی است ( route’s priority )
routes IPv6 routing table
در Kerio Control 8.6 معرفی شد و تنظیمات آن به صورت :
- در administration interface و بروید به Routing Table → IPv6 Routing Table
- کلیک روی Add
- در کادر Name و نوشتن route name
- در کادر Prefix و نوشتن IP subnet
- در کادر Prefix length و نوشتن یک prefix
- در منو Interface و انتخاب interface
- در کادر Gateway و نوشتن IP address برای Gateway ( درصورت نیاز )
- در کادر Metric و نوشتن شماره که معرف ارجعیت مسیریابی است ( route’s priority )
تنظیمات هشدارها
کریو کنترل می تواند امکان ارسال پیام هایی را که وقایع مهمی هستند را به صورت اخطار ایمیل کند ، این ها شامل :
- Default alert language
- Recipients
- Alert types
- Timing
نکته : شما باید مطمین باشید که اتصال با یک SMTP server برای ارسال اخطار ها دارید
تنظیمات alerts
- در administration interface و بروید به Advanced Options و اتصال با SMTP server را ایجاد کنید
- بروید به Accounting and Monitoring → Alert Settings
- انتخاب زبان پیش فرض
- کلیک Add
- در کادر Add Alert و انتخاب یک کابر همراه با ادرس ایمیل
- انتخاب یکی از حالت های زیر :
- System alert : انتخاب تعداد زیادی از انواع اخطارهای سیستمی
- Traffic rule alert
- Content rule alert
- Log message alert
7- روی OK کلیک کنید
8- موقعی که شما یک اخطار را اضافه می کنید به صورت time interval یک پیام با محتوا آن توسط کریو کنترل ارسال می شود
9- تنظیمات را Save کنید
System alerts
شما می توانید هر یک System alerts ها را در زیر اضافه کنید :
- A peer-to-peer network client detected : کاربرانی که ارتباط P2P دارند و این اطلاعات شامل IP ادرس و کیفیت سرعت ارتباط آنهاست
- Antivirus check failed
- Configuration backup failed
- Configuration file checksum is incorrect : هنگامی تنظیمات فایل های کریو کنترل دستخوش تغییر شوند اخطار ارسال می شود
- DHCP scope exhausted : هنگامی که این سرویس ادرس IP آزادی ندارد
- Host connection limit reached : هنگامی که اتصال یک هاست محلی بر اثر حملات تروجان ها محدود شده باشد
- Internet connectivity changed
- License quota exhausted : این میزان 90 درصد است که با رسیدن به این مقدار پیام اخطاری ارسال می شود
- Local Certification Authority expiration
- Low free disk space/memory warning
- New version available
- RAS line status changed
- User transfer quota exceeded
- VPN tunnel status changed
- Virus detected
Viewing alerts
برای مشاهده اخطارها می توانید از بخش Status → Alert Messages مراجعه کنید ، اخطارها شامل Date و Alert یا همان نوع رخداد است
Alert log
کلیه اخطارهای سیستم را می توان در بخش Alert log مشاهده کرد . این Alert log تاریخچه مفصلی از کلیه اخطار ها در سیستم کریو کنترل هستند
ارسال پیامهای Log
هماهنطور که در آموزش قسمت 60 گفته شد ، کریو کنترل می تواند پیام های اخطاری را توسط سرویس ایمیل ارسال کند :
اضافه کردن رول برای log message alert
1- در administration interface بروید به Accounting and Monitoring → Alert Settings و کلیک کنید روی Add
2- در کادر Add Alert و کلیک روی Log message
3- در کادر Log Message Alert نوشتن اسمی برای آن اخطار ( این اسم در عنوان ایمیل می آید )
4- از منو Log انتخاب نوع لاگ موردنظر
5- در کادر Condition می توانید یک متن را بنویسید که کریو کنترل برای جستجو استفاده کند
6- انتخاب Use regular expression اگر فیلد Condition را انجام داده باشید
7- انتخاب یک مقطع زمانی یا time interval برای ارسال پیام های اخطاری
8- OK را بزنید
نمونه ای از یک log alerts
یک نمونه رخداد از High IPS را در زیر نشان می دهد :
و نمونه دوم تلاش اتصال یک میزبان مهمان را نشان می دهد :
تنظیمات گزارش و وضعیت
کریو کنترل یک آمار از کلیه جزییات فعالیت ها ، دیتا های انتقالی ، وب سایت های مشاهده شده را به صورت اختصاصی نمایش می دهد . این اطلاعات کمک می کند که شما درک درست و دقیقی از اطلاعات و عادات شخصی کاربران داشته باشید . شما می توانید انتخاب های زیر را داشته باشید :
- برای هر کاربر می توانید امار دسترسی شخصی آنها را در کریو کنترل مشاهده کنید
- مدیران می توانند آمار دسترسی زیردستان خود را داشته باشند
- در کریو کنترل می توانید آمار ارتباطات شبکه داخلی و اینترنت را مشاهده کنید
تنظیمات برای statistics - reports - quota
1- در administration interface بروید به Accounting and Monitoring → Data Gathering
2- فعال کردن Gather internet usage statistics ( کریو کنترل دفعات سهمیه بندی کاربران را نمی تواند نشان دهد )
3- فعال یا غیر فعال کردن Gather user’s activity records
4- استفاده از پارامتر Delete statistics older than که می تواند مدت بیشتری اطلاعات اماری را نگه دارد .
5- گرداوری اماری از دیتا را می توان به صورت یک کاربر یا گروه با انتخاب گزینه Gather group statistics for these group مشاهده کرد
6- تنظیمات روز و هفته و ماه را در بخش Accounting periods for statistics and quota انتخاب کرد .
استفاده از group statistics
کریو کنترل می تواند مجموعه اطلاعات آماری از استفاده کاربر یا گروه ها را برای اینترنت نشان دهد :
- ساختن گروه در Users and Groups → Groups
- روی Accounting and Monitoring → Data Gathering و اضافه کردن گروه ها در Gather group statistics for these groups
- روی تب Accounting and Monitoring → Access to Statistics و اضافه کردن یک دسترسی معتبر برای مشاهده اطلاعات
Accounting exceptions
شما می توانید تنظیمات کریو کنترل طوری انجام دهید که بخشی از اطلاعات و آمار را نادیده بگیرد :
- Account traffic only in the given interval : تعریف یک دوره زمانی خاص برای سهمیه بندی و اطلاعات آماری
- Exclude website statistics for URLs which belong to : تعریف یک URL group ( برای مثال شما ممکن است آمار وب سرور خودتان را بخواهید نادیده بگیرید )
- Exclude traffic to/from IP addresses which belong to
- Exclude the following users from statistics : می توان اطلاعات برای کاربری را نادیده گرفت
تنظیمات دسترسی معتبر و ایمیل گزارشات
می توان توسط اکانت کریو کنترل برای کاربران حق دسترسی برای مشاهده اطلاعات آماری تعریف کرد . در صفحه Kerio Control Statistics لاگین کنید و از مسیر :
Accounting and Monitoring → Access to Statistics را انتخاب کنید ، همچنین می توانید انتخاب هایی نظیر :
- Show user names in this format
- Default email report language
نکته : برای فعال سازی سرویس ایمیل برای ارسال اطلاعات آماری در کریو کنترل به بخش Remote Services → SMTP Relay مراجعه کنید
اجازه به کاربران برای مشاهده آمار
- در administration interface و بروید به Accounting and Monitoring → Access to Statistics
- انتخاب Users can access their own statistics online
- ( اختیاری ) برای ارسال کلیه آمار به کاربران توسط ایمیل می توانید بازده زمانی برحسب روز - هفته - ماه را تعریف کنید
- Apply کنید
اجازه مدیران برای مشاهده آمار کاربران و گروه ها
- در administration interface بروید به Accounting and Monitoring → Access to Statistics
- در Access rights and email reports را انتخاب و Add را کلیک کنید
- در کادر Access Rights and Email Reports و انتخاب مدیر موردنظر
- انتخاب Allow online access to the data defined below
- در بخش Data و انتخاب اینکه مدیر چه بخشی را بتواند مشاهده کند :
- All data
- Users/Groups
6- در بخش Regular email reports شما می توانید بر حسب بازده زمانی روز - هفته - ماه گزارشات را ایمیل کنید
7- تنظیمات را ذخیره کنید
نکته : برای انتخاب کاربر و ویرایش اطلاعات و نوشتن ایمیل آن می توانید از بخش Users and groups → Users استفاده کنید
تنظیمات زمان و نام سرور
بعضی بخش های کریو کنترل نیازمند تنظیمات درست و دقیق زمانی هستند ( مانند ، user authentication ، logs ... ) در کریو کنترل به صورت دستی و خودکار با استفاده از NTP server می توان این کار را انجام داد :
- در administration interface و رفتن به بخش Advanced Options → System Configuration
- انتخاب Keep synchronized with NTP server
- Apply کنید
تنظیمات time zone
- در administration interface و رفتن به Advanced Options → System Configuration
- انتخاب یک منطقه زمانی از لیست Server time zone
- کلیک Apply
تنظیمات برای server name
به صورت پیش فرض نام کریو کنترل به صورت control است ، شما می توانید هم در داخل directory service و هم به صورت وب آن را تغییر دهید :
Advanced Options → Web Interface
به روز رسانی
کاربرد update checker
هنگامی که کریو کنترل را خریداری می کنید ، شما مجوز آن را دارید تا بروزرسانی های جدید آن را دریافت کنید
بررسی نسخه جدید
کافی است بر روی Check Now کلیک کنید ، اگر می خواهید مراحل خودکار انجام شود :
- در administration interface بروید به Advanced Options → Software Update
- انتخاب Periodically check for new versions ( کریو کنترل هر 24 ساعت این بروزرسانی را چک می کند )
- شما همچنین می توانید Check also for beta versions را انتخاب کنید
- کلیک Apply
بروزرسانی خودکار Kerio Control
این امکان در نسخه 9.1 کریو کنترل معرفی شد . کریو کنترل این امکان را دارد که طوری تنظیم شود تا دانلود و آپگرید را برای یک نسخه جدید انجام دهید :
- در administration interface بروید به Advanced Options → Software Update
- انتخاب Periodically check for new versions
- انتخاب Download and upgrade to new versions automatically in given time interval برای اینکه بروزرسانی را خودکار دریافت کند
- شما می توانید با انتخاب Check also for beta versions ( نسخه آزامایشی را دریافت کنید و به دلایل امنیتی کریو کنترل ابتدا آن را نصب کنید )
- کلیک روی Apply
تنظیمات email alerts
کریو کنترل همانطور که در مباحث قبلی عنوان شد می تواند ایمیل هایی را بر اساس کلیه پیام های اخطاری و رخداد های سیستمی ارسال کند ، همچنین می توان برای اگاهی از بروزرسانی و نسخه جدید این تنظیمات را انجام داد برای این منظور وارد Accounting and Monitoring → Alert Settings و انتخاب New version available
آپلود دستی و یک binary image file
- برای downgrade کریو کنترل
- برای سفارشی کردن upgrade
می تواند مفید باشد ، شما اگر ایمیج های آپگرید را دارید می توانید آنها را دستی آپلود کنید :
- بروید به administration interface و انتخاب Advanced Options → Software Update
- کلیک روی Select File
- انتخاب upgrade image file _ (kerio-control-upgrade.img)
- منتظر بمانید تا بارگذاری انجام شود
- کلیک روی Start Upgrade
بعد از ری استارت شدن کریو کنترل بروز شده است
بروزرسانی با USB tools
این ویژگی تنها برای کنسول جعبه ای کریو کنترل مقدور است و بر روی ماژول نرم افزاری کار نمی کند ، شما می توانید با این امکان با یک فلش مموری اقدام به بروزرسانی کریو کنترل کنید
عیب یابی ( Troubleshooting )
اگر در بروزرسانی خطایی رخ دهد می توانید آن را در بخش Debug log و راست کلیک بر آن و Messages → Update checker
تنظیمات SMTP Relay
کریو کنترل به صورت یک built-in و اختصاصی دارای SMTP server نیست ، اگر شما می خواهید کلیه اخطار ها ، و رویداد و آمار و گزارشات را در ایمیل خود مشاهده کنید ، شما باید از MyKerio notification service و یا SMTP Relay Server استفاده کنید . به صورت پیش فرض MyKerio notification service کلیه ایمیل ها از کریو کنترل را ارسال می کند ، اما این قابلیت یک محدودیت 24 ساعته نیز دارد ، اگر شما تعداد بالایی ایمیل دارید باید از سرویس SMTP Relay استفاده کنید :
- در administration interface بروید Remote Services → SMTP Relay
- انتخاب SMTP server
- در فیلد Server ، بنویسید DNS name و یا IP address سرور
- انتخاب Require SSL-secured connection
- اگر SMTP server نیاز به تعیین هویت و نام کاربری و پسورد درخواست کند آن را وارد کنید
- فیلد Specify sender email address in the "From:" header را با یک ایمیل ویژه پر کنید .
- کلیک Test
- در کادر Email Address ادرس ایمیل خود را وارد کنید و اتصال آن را تست کنید
- Apply کنید
تنظیمات Dynamic DNS
(Dynamic DNS (DDNS سرویسی است که به صورت خودکار بروزرسانی Ip آدرس در DNS record برای یک هاست خاص ایجاد می کند . دو نوع DDNS داریم :
- Free : شما می توانید دومین هایی را به صورت (DynDNS, no-ip.com و یا ChangeIP.com برای هاست تعریف کنیم
- paid service : می توانید برای دومین آن را رجیستری کنید این سرویس دارای یک DNS server اختصاصی خواهد بود و به صورت خودکار رکورد ها را به روزرسانی می کند
تنظیمات DDNS
1- ساخت یک اکانت در DDNS سرویس دهنده :
• ChangeIP (http://www.changeip.com/),
• DynDNS (http://www.dyndns.org/),
• No-IP (http://www.no-ip.com/).
2- در administration interface بروید به Remote Services → Dynamic DNS
3- انتخاب گزینه Automatically update dynamic DNS service records with the firewall’s IP address
4- انتخاب یک DDNS provider
5- در کادر Update hostname و نوشتن نام DNS
6- تنظیم نام کاربری و پسورد برای دسترسی اپدیت هایی برای رکورد های داینامیک انجام می شود
نکته : در کریو کنترل نسخه 8.3 ایجاد شد
چنانچه شما از چند لینک اینترنت نظیر load ballancing یا failover استفاده می کنید می توانید یکی از راه های زیر را برای DDNS انتخاب کنید :
- IP address configured on outgoing Internet interface : کریو کنترل همیشه IP address را از طریق اینترفیس اینترنت با DDNS provider دریافت می کند
- Detected public IP address : قبل از ارسال IP address به DDNS provider کریو کنترل مسیردهی IP ادرس به اینترنت را مورد ارزیابی قرار می دهد
- IP address configured on interface : کریو کنترل ارسال می کند IP address که برای اینترفیس DDNS provider انتخاب شده است
- نکته : اگر شما نمی دانید کدام روش بهتر است می توانید از گزینه Detected public IP address استفاده کنید .
8- Apply کنید
ذخیره تنظیمات
در کریو نسخه 9.1 معرفی شد ، کریو کنترل به صورت خودکار می تواند back up و آپلود فایل های تنظیمات را هر روز توسط امکان MyKerio انجام دهد ، هر Backup شامل :
- Configuration files
- SSL certificates
- DHCP leases
ذخیره تنظیمات MyKerio
قبل از شروع شما باید ارتباط کریو کنترل با MyKerio را داشته باشید :
1- در بخش Kerio Control administration interface وارد Remote Services شوید
2- گزینه Connect to MyKerio انتخاب کنید
3- کلیک کنید روی add this Kerio Control تا لینک https://my.kerio.com/ قبل از آن باید ثبت نام در این قسمت انجام شده باشد
4- بعد از موفقیت در وارد شدن حالا باکس Add a New Appliance را مشاهده می کنید
5- حالا نامی را برای Kerio Control appliance بنویسید مثلا نام شرکت خود را وارد کنید
6- کلیک Add کنید
همچنین می توان تنظیمات MyKerio را در زمان نصب کریوکنترل انجام داد :
1- لینک را در مرورگر بنویسید و بعد از باز شدن باکس Add a New Appliance
2- یک نام جدید را بنویسید
3- Add کنید
حالا با این مقدمه برای وارد کردن تنظیمات MyKerio
- در administration interface و بروید به Remote Services → Configuration Backup
- انتخاب Enable automatic daily backup
- در Settings و انتخاب MyKerio
- کلیک Apply
بازگرداندن تنظیمات از یک Backup
1- ابتدا در MyKerio ثبت نام و ورود را انجام دهید
2- حالا در تنظیمات برنامه MyKerio به بخش Saving configuration to MyKerio
دانلود و ایمپورت تنظیمات پشتیبان گرفته از MyKerio
- در MyKerio بروید به BackUp
- پیدا کنید تنظیمات backup که می خواهید دانلود کنید
- کلیک کنید روی علامت دانلود
برای ایمپورت هم :
- در administration interface بروید به Configuration → Remote Services → Configuration Backup
- در Backup کلیک روی Import configuration
- انتخاب configuration file و کلیک Upload Configuration File
- حالا یکی از روش ها را برای ایمپورت انتخاب کنید و Next کنید
- کلیک Finish
حالا کریو کنترل ری استارت و مجددا بارگذاری می شود
تنظیمات FTP سرور
کریو کنترل را می تواند به صورت خودکار پشتیبانی گیری و آپلود فایل های تنظیماتی را هر روز با FTP Server دریافت کند :
- Configuration files
- SSL certificates
- DHCP leases
- در administration interface بروید به Remote Services → Configuration Backup
- انتخاب گزینه Enable automatic daily backup
- در منو Service و انتخاب FTP
- نوشتن username و password برای FTP server تعریف کردید
- در کادر URL و نوشتن محلی برای backups کریو کنترل
- کلیک روی Apply
این فایل های تنظیمات هر روز یکبار آپلود می شود چنانچه قصد گرفتن یک Backup ضروری را دارید روی Backup Now کلیک کنید
مدیریت حساب های کاربری
نگاهی به User accounts : کاربرها User accounts برای مواردی همچون :
- Authenticate users
- گزارش همگانی از دیتا در کریو کنترل
- کنترل دسترسی کاربران به اینترنت از شبکه های داخلی
اضافه کردن یک اکانت جدید
شما می توانید یک اکانت محلی و یا یک اکانت توسط directory service ایجاد کنید
- اضافه کردن local account
شما به یکی از موارد زیر احتیاج خواهید داشت :
- Microsoft Active Directory یا Apple Open Directory
- شما می توانید یک local administration account اضافه کنید
حالا برای ایجاد :
- در کادر Users کلیک Add
- روی تب General کادر نام کاربری و پسورد را پر کنید
- تنظیمات را ذخیره کنید
برای اضافه کردن اکانت از طریق directory service :
- در بخش Users و کلیک Template
- در user template همه کاربران تحت دومین را می توان فراخوانی کرد
- تنظیمات را ذخیره کنید
- کلیک روی Add/Edit یک کاربر
- در Add/Edit user انتخاب This user’s configuration is defined by the domain template
همچنین شما می توانید تنظیماتی از قبیل :
- اضافه کردن کاربران و گروه ها
- تنظیمات سهمیه بندی برای کاربران
- تنظیمات برای کاربرانی که حق مدیریت اینترفیس را دارند
- فیلتر محتوای وب
- تنظیمات ورود خودکار توسط یک static IP address
استفاده از سهمیه بندی ( quota )
- در بخش administration interface بروید به Accounting and Monitoring → Data Gathering
- انتخاب گزینه Gather internet usage statistics
- در administration interface بروید به Users
- انتخاب یک کاربر و کلیک روی Edit
- فعال کردن dailyweeklymonthly برای محدودیت و تنظیم یک سهمیه بندی ( انتخاب Direction شما می توانید میزان Download-Upload و all traffic را هم کنترل کنید
تنظیمات برای یک سهمیه بندی :
- جلوگیری از اتصال مجدد کاربران هنگامی که اتصال را برقرار کرده اند نظیر دانلود کردن از یک FTP
- با انتخاب Don’t block further traffic می توانید از بالارفتن حد محدودیت کاربران جلوگیری کنید
- حذف کلیه شمارنده ها دیتا توسط بخش User Statistics
- Don’t block further traffic محدود کردن سرعت اینترنت برای کاربر ، توجه داشته باشید که ترافیک بسته نیست اما سرعت کاربر کمتر خواهد شد
7- علامت Notify user by email when quota is exceeded بزنید
اتصال خودکار با static IP addresses
- در administration interface بروید به Users
- انتخاب یک کاربر و کلیک Edit
- در Edit User و بروید به تب IP Addresses
- شما انتخاب هایی نظیر :
- برای چند IP ادرس چک Specific host IP addresses فعال کنید
- برای چندین IP آدرس رفتن به مسیر Definitions → IP Address Groups و یک گروه برای IP ادرس ها ایجاد کنید که میخواهند خودکار لاگین کنند . سپس برگردید و از تب IP Addresses روی علامت IP address group کلیک کنید
- تنظیمات را ذخیره کنید
این امکان باعث می شود کاربرانی که IP ادرس static دارند به صورت خودکار لاگین کنند
حذف user accounts
توجه داشته باشید که کاربران زیر را نمی توانید disable/delete کنید :
- کاربرانی که لاگین هستند
- کاربرانی که به صورت خودکار Admin user هستند
غیر فعال کردن کاربران به صورت موقتی
- در administration interface بروید به Users
- دوبار بر روی کاربر مورد نظر کلیک کنید و روی تب General و پاک کنید Account is enabled
- تنظیمات را ذخیره کنید
حذف کاربران به صورت دایمی
- در administration interface و بروید به Users
- انتخاب user و کلیک روی Remove
- در Confirm Action و کلیک Yes
کریو کنترل کاربر را حذف می کند
مجوزهای دسترسی
Setting access rights
- در administration interface و بروید به Users or Groups
- انتخاب یک domain و دوبار کلیک کنید بر روی user - group که قصد دارید ویرایش کنید
- بروید به تب Rights و انتخاب نوع درجه access rights
- سپس Confirm کنید
مراحل در access rights
- no access to administration
- read only access to administration
- full access to administration
و سپس تنظیماتی برای Additional rights :
- User can unlock HTTP content rules : کاربر می تواند به رول هایی که Deny هستند برای وب سایت ها با زدن Unlock دسترسی پیدا کند
- User can control dial-up lines : کاربران می توانند در دسترسی به اینترنت با dial-up اجازه اتصال و قطع اتصال داشته باشند
- User can connect using VPN : کاربر اجازه دارد با استفاده از VPN server یا IPsec VPN server اتصال برقرار کند
تنظیمات ورود خودکار
نگاهی به automatic login : اگر کاربران برای یک کامپیوتر رزرو شده باشند ( کامپیوترهایی که هیچ کاربر دیگری با آنها کار نمی کند ) آنها می توانند به صورت خودکار به کریو کنترل لاگین کنند . این تنظیمات توسط MAC address یا IP ادرس کامپیوتر ها ( رزرو یا دستی در DHCP ) انجام می شود .
Configuring automatic login on MAC address
- در administration interface بروید به Users
- انتخاب یک کاربر و کلیک روی Edit
- در کادر Edit User و بروید به تب Addresses
- انتخاب گزینه Specific MAC addresses
- نوشتن مک ادرس کاربر انتخاب شده
- ذخیره کنید و OK را بزنید
این کاربر دیگر نیازی به احراز هویت در کریو کنترل ندارد
تنظیمات automatic login در هاست های فعال
اگر کاربر بر روی کریوکنترل فعال است می توان بدون نیاز به تایپ مک ادرس آن ، مک ادرس را برداشت :
- در administration interface بروید به Status → Active Hosts
- انتخاب یک کاربر
- راست کلیک کنید روی کاربر انتخاب شده و کلیک کنید روی Login User Automatically by MAC
- کلیک OK
تنظیمات automatic login برای static IP addresses
1- در administration interface بروید به Users
2- انتخاب یک کاربر و کلیک روی Edit
3- در کادر Edit User و بروید به تب Addresses
4- شما حالا چندین انتخاب دارید :
- برای یک IP ادرس خاص عبارت Specific host IP addresses تیک بزنید
- برای بیشتر از یک IP ادرس هم روی Edit کلیک کنید یا یک گروه از IP ادرس را بسازید برای اینکه خودکار لاگین کنند و تیک عبارت IP address group را بزنید
5- Save کنید و OK را بزنید
چرا کریو کنترل نمی تواند مک ادرس را شناسایی کند !
- شما از یک روت یا مسردهی برای کامپیتر هایی که پشت روتر هستند استفاده می کنید
- هاست اتصال با یک شبکه VPN کلاینت دارد
- مرورگرهای روی هاست به صورت non-transparent proxy هستند
Static IP برای VPN Client
کاربر Kerio Control برای دسترسی به یک هاست که روی Kerio Control VPN Client می تواند با داشتن یک static IP address اینکار را انجام دهد :
- در administration interface بروید به Users and Groups → Users
- دوبار کلیک کنید روی کاربری که شما می خواهید داشتن یک static IP address را در آن تنظیم کنید
- در کادر Edit User بروید به تب Addresses
- انتخاب Assign a static IP address to VPN client
- نوشتن static IP address
- OK کلیک کنید
توجه داشته باشید که IP ادرس را برای کاربر دیگری استفاده نکنید همچنین این IP ادرس در رنج DHCP شما به صورت داینامیکی نباشد
احراز هویت دو مرحله ای
امکان 2Step verification یک لایه امنیتی اضافه را بر روی اکانت کاربر ایجاد می کند تا هنگامی که یک اپلیکیشن را می خواهد روی گوشی هوشمند خود کار کند تنظیماتی برای شناسایی نیاز هست . کاربر باید کد احرازهویتی که برایش صادر شده را وارد کند ، این روش بر مبنای RFC 6238 کار می کند :
- Google Authenticator : برای IOS و Android و Windows Phone
- FreeOTP Authenticator : برای iOS و Android
- Authenticator for iOS
- Authenticator for Windows Phone
- WinAuth for Windows OS
این پروتکل 2-step verification برای اینترفیس هایی که در اینترنت کار می کنند نظیر :
- - Kerio Control VPN Client/IPsec VPN client
- - Kerio Control Statistics
- - Kerio Control Administration
کاربر برای اتصال به اینترنت باید هر بار این کد احرازهویت را وارد کند همچنین اگر عبارت Remember me on this device را انتخاب کند مرورگر می تواند تا 30 روز این اتصال را ذخیره نگه دارد .
تنظیمات 2-step verification بر روی Kerio Control Administration
- در administration interface وارد Domains and User Login → Security Options
- انتخاب Require 2-step verification
- انتخاب Allow remote configuration و اجازه به کاربران برای اینکه جفت بشوند با گوشی موبایل به اکانت کریو کنترل
- Apply کنید
غیر فعال کردن 2-step verification برای کاربر خاص
- در Kerio Control Administration بروید به Users and Groups → Users
- راست کلیک روی کاربر مورد نظر
- در منو Context کلیک Reset 2-step verification
تنظیمات اکتیودایرکتوری
directory services زیر در کریو کنترل پشتیبانی می شوند :
- Microsoft Active Directory
- Apple Open Directory
چرا این اتصال استفاده می شود ؟
اولین دلیل Easy account administration ( راحتی در مدیریت و اجرای اکانت ها ) هنگامی که بخشی از دیتابیس اکانت های کاربران خارج از محیط کریو کنترل قرار گرفته بنابراین مهم است که بتوان LDAP database را پشتیبانی کند ، استفاده از LDAP ، اکانت کاربران را در یک محیط مدیریت می کند ، بنابراین می توان ارور ها و مشکلات را رد کرد . دومین دلیل Online cooperation یک همکاری آنلاین میان کریو کنترل و directory service ایجاد می شود ، امکان اضافه کردن و حذف کاربر / گروه در LDAP database توسط کریو کنترل میسر می شود ، سومین دلیل استفاده از domain name و password برای لاگین است .
- نکته : کاربران در اکتیو دایرکتوری ویندوز اگر غیر فعال شوند در کریو کنترل هم غیر فعال می شوند اما درباره Apple Open Directory این موضوع صدق نمی کند آنها با غیر فعال شدن در دایرکتوری شرکت اپل در کریو کنترل فعال می مانند .
Microsoft Active Directory
کریو کنترل برای اینکه بتواند به کاربران اکتیو دایرکتوری ویندوز دسترسی داشته باشد نیازمند یک DNS فورواردینگ است ، اگر شما چندین دومین داشته باشید کریو کنترل تنها قادر به مپ شدن با primary domain شماست که قبلا توسط کریو کنترل متصل شده است . و اما اتصال :
- در administration interface بروید به Domains and User Login → Directory Services
- حالا روی Join Domain کلیک کنید تا مراحل اتصال اکتیو دایرکتوری بررسی شود
- در کادر Join Domain شما باید نام دقیق domain name را انتخاب کنید
- حالا Map user accounts and groups from a directory service را فعال کنید
- نوشتن Domain name
- حالا نوشتن نام کاربری و پسورد کاربری که حق Read برای ماکروسافت اکتیو دایرکتوری را دارد . نام کاربری باید با فرمت user@domain باشد
- کلیک Test Connection
اتصال به Apple Open Directory
- در administration interface بروید به Domains and User Login → Directory Services
- چک Map user accounts and groups from a directory service و انتخاب Apple Open Directory
- نوشتن domain name
- نوشتن نام کاربری و پسورد کاربری که حق Read برای Apple open Directory database را دارد
- In Primary server/Secondary server را IP ادرس یا DNS names که برای Primary و secondary domain servers بنویسید
- کلیک روی Test Connection
اتصال به other domains
- In Domains and User Login → Directory Services کلیک روی Advanced
- کادر In Advanced Settings و بروید Additional Mapping
- کلیک Add
- در کادر Add New Domain انتخاب کنید Microsoft Active Directory یا Apple Open Directory
- نوشتن domain name
- نوشتن نام کاربری و پسورد کاربری که حق Read برای دیتا بیس را دارد فرمت نام کاربری باید به صورت user@domain
- In Primary server/Secondary server و بنویسید IP addresses و DNS names که برای primary - secondary domain servers
- کلیک Test Connection
تنظیمات اتصال رمزگذاری ( LDAPS )
شما می توانید اتصال رمزگذاری را بین کریو کنترل و دایرکتوری سرویس داشته باشید . توجه داشته باشید که اکتیو دایرکتوری باید رمزگذاری را پشتیبانی کند :
- بروید به Domains and User Login → Directory Services
- کلیک Advanced
- چک Use encrypted connection را بزنید
ایجاد کالیژن در ارتباط بین اکتیو دایرکتوری سرویس با دیتا بیس محلی و تبدیل اکانت ها
اگر یک کاربر در دو دومین و دیتابیس محلی شناسایی شده باشد ، کالیژن رخ می دهد ، اگر کالیژن رخ دهد یک اخطار در تب Users رخ می دهد می توانید روی لینک خطا کلیک کنید و مطابقت اکانت محلی با اکانت اکتیو دایرکتوری سرویس را مشاهده کنید . حالا تبدیل به صورت خودکار به صورت زیر انجام می شود :
- تعویض هر حساب کاربری محلی در کریو کنترل ( برای مثال traffic rules, URL rules, FTP rules ) مطابق با اکانت اکتیو دایرکتوری سرویس صورت می گیرد
- ترکیبی از اکانت محلی و دومین اکانت ها درست یا Rights
- حذف اکانت کاربران لوکال دیتابیس
احراز هویت کاربران
کریو کنترل می تواند کاربران را احراز هویت کند ، و افراد می توانند به دستگاه ها اتصال برقرار کنند . این به شما اجازه می دهد تا بتوانید Policy و مانیتورینگ برای شناسایی افراد را در شبکه با دستگاه هایی که اتصال دارند داشته باشید . در کریو کنترل احراز هویت کاربر به صورت :
- توسط وب اینترفیس کریو کنترل انجام می شود
- لاگین خودکار
- RADIUS
- VPN
احراز هویت کاربران موقع دسترسی به وب
قبل اینکه کاربر صفحات وب را فراخوانی کند کریو کنترل می تواند آن را به صورت درخواست احراز هویت برای کاربر نمایش دهد ، هنگامی که کاربری به صورت مستقیم و بدون احراز هویت بخواهد متصل شود درخواست کاربر به سمت فایروال رفته و صفحه لاگین آن باز می شود . برای فعال سازی احراز هویت :
- در administration interface بروید به Domains and User Login → Authentication Options
- انتخاب Always require users to be authenticated when accessing web pages
- ( اختیاری ) اگر کریو کنترل به اکتیو دایرکتوری اتصال دارد می توانید عبارت Enable automatic authentication using NTLM. را فعال کنید تا مرورگر به صورت خودکار عمل احراز هویت را انجام دهد
- کلیک Apply
نیاز به احراز هویت هنگامی که چند کاربر از یک کامپیوتر استفاده می کنند
این گزینه برای Citrix یا Terminal Service بسیار کاربردی است موقعی که چندین کاربر از یک کامپیوتر استفاده می کنند و احراز هویت توسط فایروال صورت می گیرد ، و اما پیش نیاز ها :
- تنظیمات توسط non-transparent proxy server در کریو کنترل
- تنظیمات non-transparent proxy بر روی مرورگر ها روی کامیوتر برای 2 یا بیشتر کاربر تنظیم شده باشد
تنظیمات proxy server
- در administration interface به Domains and User Login → Authentication Options بروید
- انتخاب Force non-transparent proxy server authentication
- انتخاب Apply only to these IP addresses
- اضافه کردن یک IP ادرس جدید روی کامپیوتری که با دو یا بیشتر کاربر اشتراک گذاشته شده است
- کلیک Apply بزنید
User logout
به صورت پیش فرض در کریو کنترل هر 120 دقیقه کاربر logs out می شود شما می توانید این زمان را غیر فعال کنید :
- در administration interface بروید Domains and User Login → Authentication Options
- انتخاب Automatically logout users if they are inactive
- یک زمان دلخواه را قرار دهید
- کلیک Apply کنید
اگر می خواهید سریعا کاربری را به صورت دستی Logout کنید می توانید از منو Active Hosts انجام دهید
عیب یابی برای user authentication
می توانید برای عیب یابی user authentication از بخش Debug یا Error ارور هایی که وب اینترفیس از روی user authentication ثبت کرده را مرور کنید برای مثال :
- - وب کریو کنترل نمی تواند برای نام هاست یا SSL اتصال داشته باشد
- - لاگین شکست خورده و نمی تواند از روش NTLM authentication استفاده کند
تنظیمات RADIUS
نگاهی به RADIUS server : سرویس RADIUS یا (Remote Authentication Dial In User Service) یک پروتکل برای دسترسی کامپیوتر شبکه است . کریو کنترل از یک RADIUS server برای احراز هویت کاربر با دستگاه های Wi-Fi است . این کاربران می توانند برای دسترسی از Wi-Fi با نام کاربری و پسورد کریو کنترل کار کنند .
- نکته : ویندوز 7 نمی تواند certificate نامعتبر را اجازه دهد چنانچه از کلاینت های ویندوز 7 برای RADIUS استفاده میکند بخش Configuring Windows 7 clients را مطالعه کنید.
تنظیمات Kerio Control
- در administration interface بروید به Domains and User Login
- در Wi-Fi Authentication انتخاب Enable WPA2 Enterprise clients authentication in Kerio Control in Wi-Fi Authentication
- انتخاب Server certificate ( اگر شما تنها از یک certificate استفاده کنید کاربر برای دسترسی به دستگاه Wi-Fi به مشکل می خورد )
- نوشتن RADIUS password ( برای وای فای shared secret یا shared key فراموش نشود )
- Apply کنید
- نکته : کریو کنترل از MS-CHAPv2 برای Apple Open Directory پشتیبانی نمی کند و تنها آن را برای Microsoft Active Directory پوشش می دهد
احراز هویت کاربران در Microsoft Active Directory
Wi-Fi authentication می تواند بدون هیچ گونه تنظیمات اضافه ای کار کند .
تنظیمات برای Wi-Fi access point
هر دستگاهی برای خود یکسری تنظیمات متفاوت از دیگر برند ها دارد بنابراین باید خودتان این تنظیمات را از قبل مطالعه و بررسی کنید :
- احراز هویت در RADIUS server می تواند برای IEEE 802.1x یا WPA/WPA2 Enterprise
- RADIUS server : با IP address کریو کنترل می تواند اجرا شود
- Port : به شماره 1812 که برای RADIUS protocol به صورت پیش فرض است
- Shared key و shared secret یا RADIUS password که در بخش تنظیمات Kerio Control توضیح داده شد
تنظیمات برای ویندوز 7 کلاینت
احراز هویت برای ویندوز 7 توسط RADIUS نیاز مند یک root certificate است ، اگر در شبکه Active Directory استفاده شود می توانید آن را ایمپورت کرد ، در غیر اینصورت باید با استفاده از بخش manage Network center برای هر ویندوز 7 کلاینت ها آن را دستی وارد کرد :
1- در Windows 7 کلیک برStart منو
2- بروید به مسیر Control Panel → Network and Internet → Network and Sharing Center → Manage wireless networks
3- کلیک Add و باز شدن کادر Manually connect to a wireless network
4- انتخاب Manually create a network profile
5- در قدم بعدی باید SSID name را در کادر Network name وارد کنید
6- در Security type انتخاب WPA2-Enterprise را بزنید
7- در Encryption type انتخاب AES
8- انتخاب Start this connection automatically
9- انتخاب Connect even if the network is not broadcasting
10- کلیک Next و مشاهده صفحه Successfully added ، همچنین می توانید با استفاده از حذف انتخاب validation of a server certificate کار را انجام دهید :
1- کلیک Change connection settings
2- در تب Security و کلیک Settings و باز کنید Protected EAP Properties
3- تیک Validate server certificate را بردارید
4- در In Authentication Method و انتخاب( Secured password (EAP-MSCHAP v2
5- کلیک Configure و باز شدن EAP-MSCHAP v2 Properties
6- گزینه Automatically use my Windows logon on name and password را از حالت انتخاب بردارید
7- کلیک OK
حالا باید از یک computer authentication استفاده کرد :
- روی تب Security و کلیک Advanced settings
- انتخاب 802.1X settings
- انتخاب Specify authentication mode
- انتخاب User authentication
5- کلیک OK
حالا ویندوز 7 دارای SSL certificate ولیدی نیست و می توانند کلاینت های این ویندوز از وای فای استفاده کنند .
جلوگیری از حملات Brute Force
کریو کنترل می تواند IP آدرس هایی که قصد نفوذ و حمله به شبکه را دارند و در صدد هستند به صورت حدس زدن پسورد این کار را انجام دهند ، بلاک کند ! اگر مهاجم نتواند بعد از 5 دقیقه موفق شود کریو کنترل IP آدرس آن را بلاک می کند :
- بروید به بخش Configuration → Domains and User Login → tab Security Options
- انتخاب گزینه Block IP addresses suspicious of password guessing attacks
- حالا می توانید گروهی را که قابل اطمینان هستند انتخاب کنید
- تنظیمات را ذخیره کنید
حالا کاربر بلاک می شود و اجازه لاگین ندارد ، کریو کنترل بعد از 5 دقیقه IP آدرس را از بلاک خارج می کند !
ساخت User و Group
نگاهی به user groups : می توان گروه هایی را در کریو کنترل ایجاد کرد و حساب کاربران را در آن قرار داد به دو صورت زیر :
- - دسترسی اعمال می شود بر گروهایی که کاربران آن حق دسترسی را دارند
- - کاربرد گروه ها موقعی که رول دسترسی تعریف می شود
ساخت user groups
می توان این گروه ها را از داخل دایرکتوری سرویس استخراج کرد که در فصل های قبلی آموزش داده شد ، می تواند به صورت محلی یا Local باشد
ساخت local groups
- بروید به administration interface
- در بخش Groups و انتخاب Local User Database
- کلیک Add
- روی تب General و داخل آن نام یک گروه را وارد کنید
- روی تب Members کلیک Add
- انتخاب کاربرانی که شما می خواهید در گروه داخل شوند
- تب Rights شما می توانید دسترسی access right برای گروه ایجاد کنید
- تنظیمات را ذخیره کنید
تنظیمات SSL Certificate
نگاهی به SSL certificate : شما به SSL certificate نیاز دارید زمانی که می خواهید ارتباطاتی رمزگذاری شده انجام دهید نظیر (VPN, HTTPS ) . این SSL certificate برای احراز هویت در شناسایی با یک سرور کار می کند . برای استفاده عمومی SSL certificate ، کریو کنترل دارای یک احراز هویت محلی است . کریو کنترل در زمان نصب آن را ایجاد می کند ، سرور می تواند از این certificate استفاده کند . بهرحال چنانچه کاربران در ارتباط پیامی مبنی بر جلوگیری از دسترسی به منابع شبکه را مشاهده کنند شما لازم است تا یک certificate جدید را در کریو کنترل ایجاد کنید . کریو کنترل از certificate هایی با فرمت :
- Certificate (public key) : با X.509 Base64 به صورت یک text format (PEM) کار می کند ، و فرمت آن .CER است
- Private key : دارای فایلی با فرمت RSA format است این کلید حداکثر 4KB است . و از Passphrase پشتیبانی می کند
- Certificate + private key در یک فایل : این فرمت PKCS#12 و دارای پسوند pfx - .p12.
ساخت یک Local Authority جدید
Local Authority به صورت خودکار با نصب کریو کنترل ایجاد می شود ، بهرحال یک hostname و دیگر دیتا ها برای اینکه شما بتوانید از آنها استفاده کنید نیاز به یک certificate دارید تا بتوانید از Local Authority در شبکه استفاده کنید . برای ساخت آن :
- بروید به Definitions → SSL Certificates
- کلیک کنید بر روی Add → New Certificate for Local Authority
- در کادر New Certificate for Local Authority برای کریو کنترل نام هاست را بنویسید
برای اینکه در Local Authority جدید بتوانید فعال بودن آن را مشاهده کنید به مسیر Definitions → SSL Certificates مراجعه کنید . یک Local Authority قدیمی را می توانید به روش های زیر تغییر دهید :
- تغییر در Local Authority به Authority
- تغییر نام Obsolete Local Authority
- فعال بودن یک trusted authority برای IPSEC
ساخت یک certificate برای Local Authority
اگر بخواهیم یک certificate جدید را برای جایگزینی با نسخه قدیمی و از کارافتاده بسازیم :
- باز کردن بخش Definitions → SSL Certificates
- کلیک Add → New Certificate
- در کادر New Certificate بنویسید اسم هاست کریو کنترل ( Hostname ضروری است )
- تنظیمات را ذخیره کنید
ساخت یک certificate برای اعمال شدن در یک Certification Authority
- باز کردن Definitions → SSL Certificates
- کلیک Add → New Certificate Request
- در کادر New Certificate Request و نوشتن نام هاست کریو کنترل
- انتخاب certificate و کلیک More Actions → Export
- ذخیره کردن certificate در ایمیل یا در دیسک برای یک certificate سازمانی نظیر Microsoft Authenticode
- برای اینکه Certificate خود را بتوانید به Certification Authority اعمال کنید از مسیر Definitions → SSL Certificates
- حالا انتخاب کنید یکی از certificate معتبر
- کلیک More Actions → Import
حالا certificate جایگزین می شود با certificate که شما درخواست آن را صادر کرده اید ، و از آن می توانید برای سرویس هایی نظیر VPN استفاده کنید
ایمپورت certificate
کریو کنترل دارای بخشی به نام intermediate certificate است ، برای اضافه کردن آن ها :
1- در administration interface به بخش Configuration → SSL Certificates بروید
2- حالا ایمپورت کنید certificate ها را با کلیک روی Import → Import Certificate of an Authority
3- تنظیمات را ذخیره کنید
چنانچه شما نیاز به چندین Certificate دارید همین روش را دوباره تکرار کنید !!!
تنظیمات IP Address Groups
کاربرد IP address groups : شما می توانید در این بخش مواردی از قبیل زیر را اعمال کنید :
- single IPv4 - IPv6 address
- groups IPv4 - IPv6 addresses
- hostnames
- IP address ranges for IPv4 - IPv6
- IPv4 subnet - mask
- IPv6 prefix
Kerio Control از این امکان برای تنظیمات ترافیکی و URL رول ها استفاده می کند .
اضافه کردن یک new IP address group
1- در administration interface و بروید به Definitions → IP Address Groups
2- کلیک Add و کادر Add IP Address باز می شود
3- انتخاب Create new و نوشتن نامی برای IP address group
4- انتخاب :
- Addresses : نوشتن IP address و رنج و شبکه و سابنت و یا prefix ، در بخش Properties می توانید با حرکت کورسر موس اطلاعات را مشاهده کنید .
- - IP Address Group
- - Firewall
5- اضافه کردن یک متن برای مرجع قرار دادن
6- کلیک OK
اضافه کردن ایتم های بیشتر در address group
- در administration interface بروید ، Definitions → IP Address Groups
- کلیک Add کادر Add IP Address باز می شود
- انتخاب Select existing و IP address group خاصی که می خواهید را از منو انتخاب کنید
- در بخش Properties و تعریف آدرس هایی که برای IP address group و یا Firewall می خواهید در نظر بگیرید
- کلیک OK
- نکته : شما می توانید IP address group های یک گروه را ویرایش کنید اما نمی توانید آنها را حذف کنید ، می توانید آنها را در صورتی که تعدادی IP address group دارید حذف کنید
حرکت ایتم ها از یک IP address group به دیگر گروه ها
اگر شما یک آیتم جدید برای یک IP address group اشتباها اعمال کرده باشید می توانید آن را جابه جا کنید تا درست شود :
- در administration interface بروید به Definitions → IP Address Groups
- راست کلیک روی Item
- در context menu کلیک Edit و Edit IP Address باز می شود
- انتخاب Move to existing و انتخاب گروه مدنظر
- کلیک OK
ساخت محدوده زمان
نگاهی به time ranges در کریو کنترل : کاربرد ان برای اعمال زمان اجرا و ولید ماندن یک آیتم مانند رول ها و پالیسی هایی است که در کریو کنترل اعمال می شود :
تعریف time ranges
- در administration interface و بروید به Definitions → Time Ranges
- کلیک Add
- وارد کردن نامی برای گروه
- می توانید برای این زمان موضوعی را بنویسید
- تنظیمات Time settings برای مشخص کردن روز و ...
- تنظیمات را Save کنید
ساخت URL Groups
کاربرد URL groups : قابلیت URL groups یکی از رول هایی است که مدیر آن را در بخش content rules فعال می کند ، برای مثال می تواند دسترسی به یک گروه از صفحات وب را حدود ساخت و می توان حق دستری به یک گروه را نیز ایجاد کرد ، همچنین ارجعیت در این بخش با صفحات وبی است که از نظر شماره گذاری در سطر قرار بگیرند . به صورت پیش فرض Kerio Control از قبل شامل گروهی است به صورت زیر :
- Adobe Updates : صفحاتی که Adobe بروزرسانی محصولات خود را انجام می دهد
- Ads//banners : گروهی از صفحاتی که هدف تبلیغاتی دارند و بنر ها
- Apple Updates : درخواست هایی که برای بروزرسانی محصولات اپل صادر می شود
- Automatic Updates : درخواست هایی که برای اپدیت خودکار ارسال می شود
- Java Updates
- Microsoft Updates
تعریف New URL group
- در بخش administration interface و رفتن به Definitions → URL Groups
- کلیک Add
- نوشتن نامی برای گروه
- Type انتخاب URL موردنظر که می تواند به صورت نام کامل سرور یا به صورت ساب دامین باشد و توسط * یا ؟ مشخص می کنید
- تنظیمات را ذخیره کنید
سرویس ها
Services in Kerio Control
سرویس ها مجموعه ای از پروتکل ها ارتباطی هستند که با یک پورت برای هر کدام کار می کنند ، مثلا سرویس HTTP ، که یک پروتکل از TCP است و با پورت 80 کار می کند ، شما می توانید برای هر کدام از آنها رول های ترافیکی مجزایی را تعریف کنید .
Using services
در اینجا می خواهیم HTTP سرویس را با پروتکل 8080 تعریف کنیم :
- در administration interface بروید به Definitions → Services
- کلیک Add
- در کادر Add Service بنویسید یک اسم جدید برای سرویس و HTTP 8080
- یک عنوان برای آن بنویسید
- انتخاب یک پروتکل TCP
- انتخاب HTTP پروتکل
- نوشتن 8080 برای Destination port
اگر از TCP یا UDP برای پروتکل های ارتباطی استفاده می کنید ، این سرویس با شماره پورت تعریف شده است ، بنابراین استانداردی میان کلاینت-سرور برقرار است و هنگامی که یک سرور برای ارتباط برقرار کردن با پورتی ویژه کار می کند اگر کلاینت نتواند آن را شناسایی کند این نشان می دهد که پورت مبدا در وضعیت استانداردی نیست حتی اگر روی سرور آن پورت با استاندارد شناخته شده تنظیم باشد . بنابراین پورت در مبدا و مقصد :
- Any : تمامی پورت ها فعال هستند (1-65535)
- Equal to : یک پورت خاص ( مثلا پورت 80 )
- Greater than, Less than : همه پورت ها را می توان با عدد تعریف کرد
- In range : همه پورت ها می توانند به صورت یک رنج تعریف شوند
- List : می توان با کاما پورت ها را جدا کرد (80,8000,8080)
8- تنظیمات را ذخیره کنید
حالا کریو کنترل ترافیک های HTTP را با پورت 8080 عبور می دهد
ساخت service groups
این ویژگی بعد از نسخه 8.3 کریو کنترل معرفی شد ، که می توان گروهی از پروتکل های ارتباطی را نظیر رول های ترافیکی به صورت گروه ایجاد کنید ، اگر شما برای یک رول نیاز دارید تا سرویس های زیادی را تعریف کنید :
- در administration interface بروید به Definitions → Services
- کلیک Add → Add Service Group
- در Add Service Group نامی را برای گروه جدید انتخاب کنید
- کلیک Add
- در کادر Select items انتخاب سرویس موردنظر و کلیک روی OK
- مرحله 5 را برای سرویس های دیگر تکرار کنید
- حالا OK کنید
Protocol Inspection
Protocol inspection in Kerio Control : کریو کنترل دارای یک protocol inspectors است که تمامی ترافیک ها روی application protocols را مانیتور می کند ، مثلا HTTP و FTP . می تواند ارتباط با فایروال کریو کنترل را طوری فیلتر کند که انواع پروتکل ها بتوانند طبق تنظیمات انجام شده کار کنند ، برای مثال HTTP protocol inspector مانیتور کلیه ترافیک های بین مرورگرها و وب سرور ها را انجام می دهد .
این پروتکل همچنین می تواند به صورت اختصاصی محتوا و صفحات وب ودانلود ها را بلاک کند مثلا در مبحث محتوا می تواند جلوی تصاویر و pop-up ها را بگیرد . این protocol inspector به صورت پیش فرض فعال است و می توان آن را به صورت اختصاصی و سفارشی تنظیم کرد . برای این منظور باید سرویس مورد نظر را به آن اضافه نمود
اضافه کردن یک پورت غیر استاندارد به protocol inspection
برای مثال فرض کنید می خواهیم یک ارتباط راه دور توسط FTP سرور را با پورت غیر استاندارد 2101 تنظیم کنیم ، برای این منظور :
- در administration interface بروید به Definitions → Services
- کلیک کنید به Add → Add Service
- در کادر Add Service نامی را برای سرویس تعریف کنید
- در بخش Protocol از لیست TCP را انتخاب کنید
- در بخش Protocol inspector از لیست FTP را انتخاب کنید
- در بخش Destination port انتخاب Equal to و نوشتن شماره پورت برای مثال می خواهیم آن را 2101 قرار دهیم
- OK کلیک کنید
غیر فعال سازی یک protocol inspector
دو راه برای غیر فعال کردن protocol inspector وجود دارد :
- در بخش Services می توانید آن را غیر فعال کنید
- در بخش Traffic Rules می توانید پروتکل را با توجه به رول غیر فعال کنید
- نکته : کریو کنترل غیر فعال سازی protocol inspectors را تنها برای عیب یابی توصیه می کند در صورتی که این پروتکل غیر فعال شود ممکن است در عملکرد سرویس ها و محتوایی غیر مجاز خللی ایجاد شود همچنین سرویس هایی نظیر SIP و FTP از کار می افتند .
غیر فعال سازی protocol inspectors برای سرویس ها
چنانچه دسترسی به اینترنت مقدور نباشد و شما بخواهید HTTP protocol inspector را متوقف کنید ، می توانید از مراحل زیر این کار را انجام دهید :
- در administration interface بروید به Definitions → Services
- دوبار کلیک بر روی HTTP service
- در کادر Edit Service بروید به Protocol inspector و انتخاب None
- تنظیمات را ذخیره کنید
هم اکنون سرویس HTTP server دسترسی به اینترنت باید داشته باشد .
غیر فعال سازی protocol inspectors برای رول های ترافیکی
در Traffic Rules می توان protocol inspectors را برای ترافیک رول خاصی غیر فعال کرد فرض کنید می خواهیم HTTP server را غیر فعال کنیم :
- در administration interface بروید به Traffic Rules
- راست کلیک کنید روی جدول و Columns → Inspector
- در هر Single rule دوبار کلیک کنید و در جدول Inspector انتخابNone کنید
- Apply
مانیتورینگ کاربران فعال
کریو کنترل امکان مشاهده تمامی هاست های فعال را مهیا ساخته همچنین می توان کاربرانی که در حال استفاده از منابع کریو کنترل هستند را مشاهده کرد ، این امکان در مسیر Status → Active Hosts قابل مشاهده است . بخش هایی نظیر میزان اطلاعات استفاده شده ، کاربران و سرعت ... را می توان در این بخش بررسی کرد . از ویژگی های این بخش می توان مثلاَ به :
- سرعت ترافیک هم در ورودی RX و هم در خروجی TX
- مدت زمان و میزان مصرف دیتا کاربرانی که به کریو کنترل اتصال دارند
- مجموع اتصالات هر هاست یا کاربر
- مشاهده ip آدرس هاست و کاربر متصل شده
- مشاهده زمان شروع اتصال کاربران
همچنین می توان با راست کلیک موس بر روی Active Hosts به فرایند های context menu دسترسی پیدا کرد ، امکان Configuration → Users در کریو کنترل کمک می کند تا جزییات بیشتری از کاربران را مشاهده کنید ، همچنین کلیک بر روی View in Users و انتخاب Users دسترسی به قرار دادن Quota یا سهمیه بندی را مهیا می کند . یکی دیگر از بخش های مهم در Status → User Statistics است می توانید با این ویژگی امار کاربران فعال را بدست اورید .
همچنین می توان در صورت نیاز کاربران فعال را Logout User کرد .
- تب General : مجموعه از اطلاعات کاربران متصل به کریو کنترل را نشان می دهد ، همچنین اندازه مصرف کاربران را می توان مشاهده کرد .
- تب Activity : مدت زمان یک کاربر یا هاست فعال را نشان می دهد همچنین اطلاعاتی درباره رخداد ها را می توان در این قسمت مشاهده کرد
- تب Connections : تمامی اتصالات به اینترنت را نشان می دهد و شامل کلیه traffic rule و transfer rate و protocol و outgoing interface و remote host و .... است .
- تب Histogram : اطلاعاتی درباره میزان و ارزش دیتا های ردوبدل شده در کریو کنترل توسط کاربران و یا هاست های فعال را نشان می دهد
مانیتورینگ کاربران VPN
در کریو کنترل دو نوع VPN طراحی شده که می توان همه کلاینت های متصل به سرور VPN را مانیتور کرد :
- Kerio VPN
- IPsec VPN
برای مشاهده این بخش به Status → VPN clients مراجعه کنید ، این اطلاعات شامل :
- اتصالات
- احراز هویت کاربران با نام کاربری و پسورد
- احراز هویت تنظیم شده روی کریو کنترل برای کاربران
- اتصال کاربران با هاست ها
- مشخصه نوع VPN که Kerio VPN - IPsec VPN
- مشخه نسخه Kerio VPN Client
نکته : چنانچه کاربری ارتباطش با VPN کریو کنترل قطع شود به صورت خودکار از لیست کاربران آنلاین خارج می شود ، برای قطع ارتباط روی اتصال راست کلیک کنید و گزینه Disconnect را بزنید .
مانیتورینگ پیامهای هشدار
کریو کنترل به صورت کاملا خودکار پیام های اطلاعاتی درباره عملکرد های مختلف را به مدیریت ارسال می کند ، مدیریت کریو کنترل بیشتر قابلیت هایی که برای جمع اوری رخداد ها و ارسال آنها نیز است جمع آوری کرده و ارسال می کند ، یکی از لاگ های مهم در فایروال کریو کنترل Alert است ، این وضعیت را می توانید در Status → Alerts مشاهده کنید . بخش های Status → Alert Messages در بدو ورود کاربران به کریو کنترل فعال می شود این بخش را می توانید در سمت چپ مشاهده کنید . این پیام ها شامل :
- Date : زمان و تاریخ رخداد
- Alert : نوع رخداد
کلیه رخداد ها در کریو کنترل توسط بخش های مختلف نظیر سهمیه بندی ها ، ارتصالات VPN، اسکن انتی ویروس و ... توسط این دو عامل مارک گذاری می شوند و سپس در بخش Log ها در Alert log قرار می گیرند .
مانیتورینگ وضعیت کاربران
کریو کنترل قابلیت مانیتورینگ ترافیک مصرفی کاربران و سهمیه بندی آنها را نیز دارد ، این بخش را می توانید در مسیر Status → User Statistics مشاهده کنید . در این بخش می توانید مجموعه ای از :
- لیست کاربران در کریو کنترل
- محاسبه لاگ کاربران
- محاسبه لاگ کاربران مهمان
- مجموعه ستون هایی شامل سهمیه مصرف ترافیک کاربران
- مجموعه ستون هایی شامل مصرف ترافیک روزانه و هفتگی و ماهیانه در مجموع
همچنین می توانید آماری از ترافیک ورودی و خروجی و میزان آن را در مجموع یک دوره زمانی ببینید ، این انتخاب به صورت IN و OUT و برای مثال[MB] Today IN و Month OUT [MB]
Kerio Control Statistics
هنگامی که می خواهید آمار هر کاربر را که در کریو کنترل وجود دارد بدست آورید بر روی آن کاربر راست کلیک و گزینه View in Kerio Control Statistics را انتخاب کنید در فصل های قبلی به صورت مفصل درباره این بخش صحبت شده است .
مانیتورینگ سلامتی سیستم
این سیستم نشان دهنده پارامترهای سلامتی و درست کار کردن ابزارهایی که در کریو کنترل نقش ذخیره سازی و پروسس را دارند انجام می دهد نظیر CPU, RAM
- Time Interval : آن مقطع زمانی که CPU و RAM استفاده می شوند را نشان می دهد
- CPU : میزان باری که روی CPU هست و همچنین یک چارت از پیک های مصرف آن را نشان می دهد
- RAM : استفاده از میزان RAM را نشان می دهد
- Storage usage : میزان استفاده از فضای هارددیسک را نشان می دهد می توان این فضا را با حذف لاگ ها و آمار هایی که در برنامه کریو کنترل ذخیره شده اند آزاد سازی کرد
- Reboot : هر گاه سیستم ری استارت یا خاموش شود این نشان دهنده یک وضعیت بحرانی در کریو کنترل است پیشنهاد می شود یک بار سیستم را ری استارت کنید و منابع استفاده شده در کریو کنترل را چک کنید
- Power Off : خاموش کردن دستگاه را انجام می دهد
Storage space management
همیشه باید فضای آزادی بر روی دیسک برای اجرای برنامه کریو کنترل داشته باشید :
- لاگ های غیر ضروری را پاک کنید
- سعی کنید فضای مناسبی برای کریو کنترل اختصاص دهید
رفع مشکل ارتباطی آیفون به کریو
علت :
از دلایل اتصال نشدن گوشی های آیفون به هات اسپات کریو این است که از لحاظ امنیتی IOS شرکت اپل بر روی شبکه هایی که وای فای دستگاه را به صورت Open تنظیم می کنند حساس است ، در هنگام اتصال با وای فای آیفون پیامی به سمت سرور اپل فرستاده می شود چنانچه این پیام جواب داده نشود دستگاه قادر به اتصال به شبکه نیست و ارتباط هات اسپات برقرار نمی شود
رفع مشکل
- در منوی Setting دستگاه وارد WiFi متصل به شبکه هات اسپات شوید و روی آیکون( ! ) کیک کنید :
- سپس در پایین تنظیمات DHCP در بخش Domain Server نام ادرس هات اسپات کریو کنترل را وارد کنید :
- حالا یک برنامه مرورگر را باز کنید و داخل آدرس بار آن نام دومین هات اسپات را وارد کنید
- این مراحل بر روی هات اسپات میکروتیک هم تست و کار کرده است *
اتصال با فایل Proxy.pac
یکی از امکاناتی که میتوان کاربران کریو کنترل را به طور مستقیم ( Transparent Proxy ) به اینترنت وصل کرد استفاده از اسکریپت های proxy.pac است ، کریو کنترل این اسکریپت را در مدت زمانی می تواند توسط سرویس DHCP Server به کاربران اعمال کند برای ایجاد این اسکریپت فرم ادرسی http://192.168.1.1:3128pacproxy.pac ( پیش فرض کریو کنترل ) را باید توسط سرویسی به نام 252 MSIE proxy autodiscovery که در داخل سرویس های کریو کنترل قرار دارد تنظیم کرد برای این امکان :
1- ابتدا به بخش proxy Server کریو کنترل وارد شوید :
- توجه تیک هر دو گزینه Direct Access و Allow Browser... باید فعال باشد
2- سپس وارد تنظیمات DHCP Server کریو کنترل شوید کارت شبکه ای که در اینجا نقش ارسال IP به کلاینت ها را دارد را انتخاب کنید
3- تنظیمات کارت شبکه که نقش DHCP Server را بر عهده دارد باز می شود ، در پایین پنجره روی Add کلیک کنید
4- بر روی پنجره پایین در بخش Option اخرین سرویس ( در نسخه 9.3 نویسنده ) 252:MSIE proxy autodiscovery را انتخا کنید و در بخش Value ادرس http://192.168.1.1:3128/pacproxy.pac را وارد کنید ( ادرس کریو کنترل به عنوان گیت وی )
نکته : این سرویس چندین ساعت طول می کشد تا بر روی مرورگر های کلاینت ها تنظیم شود شما می توانید در بخش زیر آن را دستی وارد کنید
ادرس http://192.168.1.1:3128/pacproxy.pac ( ادرس پیش فرض کریو کنترل نویسنده میباشد ) را در کادر مربوطه وارد کنید
5- حالا مشاهده می کنید که کاربران بدون اینکه اطلاعی داشته باشند از پروکسی سرور می توانند وارد اینترنت شوند ، می توان این ادرس را در بخش گروپ پالیسی تنظیم تا بر روی کاربران شبکه ها نیز اعمال شود
اتصال به RADIUS سرور
کریو کنترل می تواند از سرویس RADIUS یا همان (Remote Authentication Dial In User Service) که یک پروتکل دسترسی در شبکه هست پشتیبانی کند . کریو کنترل یک سرور RADIUS را برای استفاده از authentication در شبکه های بی سیم دارد که اجازه می دهد تا کاربران با استفاده از نام کاربری و پسورد به وایرلس شما دسترسی پیدا کنند . نکته : چنانچه از کلاینت های ویندوز 7 در شبکه استفاده می کنید این ویندوز قادر به کار کردن با احراز هویت های غیر قابل اعتماد با کریو کنترل در شبکه نیست اما راه حلی را در ادامه برای جبران این مشکل را تشریح می کنم .
تنظیمات کریو کنترل برای استفاده از RADIUS
- ابتدا وارد اینترفیس مورد نظر شوید ، و به بخش Domains and User Login بروید
- Wi-Fi Authentication را انتخاب کنید ، و در اینجا ( Wi-Fi Authentication ) Enable WPA2 Enterprise clients authentication in Kerio Control را انتخاب کنید .
- Server certificate را انتخاب کنید در اینجا دقت کنید اگر شما فقط یک certificate را تعیین کنید ممکن است برای چندین کلاینت که می خواهند دسترسی به اکسس پوینت را برقرار کنند مشکل ایجاد شود
- برای RADIUS پسورد را تعیین کنید . این پسورد همانند پسورد اکسس پوینت شما باید باشد که همان “shared key” نامیده می شود
- روی Apply کلیک کنید .
- نکته : کریو کنترل از MS-CHAPv2 در محصولات Apple open directory کار نمی کند تنها با Microsoft Active Directory کار می کند .*
تنظیمات هر اکسس پوینتی برای اتصال با RADIUS server متفاوت است اما به صورت پیش فرض به بخش RADIUS SERVER باید ip ادرس کریو کنترل را بدهید و پورت پیش فرض آن 1812 است .
تنظیمات پیش فرض در کلاینت های ویندوز 7
چنانچه در نسخه کریو 8 به بالا استفاده می کنید و کریو کنترل را در کنار اکتیو دایرکتوری نصب کرده اید شما باید :
- وارد اکتیو دایرکتوری با یک کاربر Administrator شوید و به Group Policy Management Console بروید .
- وارد GPO شده و یا یک GPO جدید بسازید
- این GPO را راست کلیک و Edit را بزنید ( با رفتن به Group Policy Management Editor قادر به مشاهده Object ها خواهید بود )
- به مسیر Computer Configuration → Windows Settings → Security Settings → Public Key Policies → Trusted Root Certification Authorities مراجعه کنید .
- راست کلیک کنید بر روی click Trusted Root Certification Authorities و سپس Import را بزنید .
- ویزارد Certificate Import Wizard را دنبال کنید تا یک certificate قادر به Verify شود . یک کلاینت را به دامین وصل کنید و بعد از ری استارت شدن دستور gpudate //force را در CMD وارد کنید .
- حالا به مسیر 2. Open Internet Explorer → Tools → Internet Options → Content → Certificates → Trusted Root Certification Authorities بروید تا برای شما یک Certificate مشخص شود .
چنانچه اتصال کلاینت های ویندوز 7 با اکسس پوینت برقرار نشد این مشکل با SSL certificate کریو کنترل است که می توانید آن را به صورت دستی تنظیم کنید :
1- وارد منوی Start ویندوز 7 شوید
2- به مسیر Control Panel → Network and Internet → Network and Sharing Center →Manage wireless networks بروید
3- روی Add کلیک کنید سپس Manually connect to a wireless network باز می شود
4- Manually create a network profile را انتخاب کنید
5- حالا Next کنید تا به فیلد Network name برسید و یک نام SSID را تایپ کنید
6- Security type را روی WPA2-Enterprise قرار بدهید
7- Encryption type را روی AES بزارید
8- Start this connection automatically را انتخاب کنید
9- Connect even if the network is not broadcasting را انتخاب کنید
10 - Next کنید
حالا Successfully added نمایان می شود ، حالا شما باید سرور Certificate های Valid را از انتخاب خارج کنید :
1- روی Change connection settings کلیک کنید
2- روی تب Security بر روی Settings کلیک کنید حالا Protected EAP Properties باز می شود
3- Validate server certificate را از حالت انتخاب خارج کنید
4- Authentication Method حالا Secured password (EAP-MSCHAP v2). را انتخاب کنید
5- کلیک Configure و EAP-MSCHAP v2 Properties را باز کنید .
6- Automatically use my Windows logon on name and password را از حالت انتخاب خارج کنید .
7- OK را کلیک کنید
حالا باید احراز هویت کامپیوتر شما باید انجام شود :
1- روی تب Security کلیک کنید روی Advanced settings
2- تب 802.1X settings انتخاب کنید
3- Specify authentication mode انتخاب کنید
4- User authentication را انتخاب کنید
5- ok کنید
ویندوز 7 با SSL certificate های Valid قادر به اتصال به اکسس پوینت شبکه نیست .
باسلام
جسارتا تو شبکم برای احراز هویت کاربرام برا استفاده از اینترنت از کریو استفاده میکنم اما با مشکلی که مواجه هستم بنا به سیاستی که داریم برا کاربرا زمان تعریف کردیم و حجم محدود به اینصورت که کاربری اگر 24 ساعت به شبکه چه از طریق گوشی و چه از طریق سیستم به اینترنت متصل نشود از کابران انلاین حذف میشود و دوباره باید لینکی که در اختیارشون میدیم بازکنن و احراز هویت بشن و میخواستم سوال کنم راهی هست که بتونم برا اندروید و ویندوز نرم افزاری داشته باشم که از طریق اون اجرا کنن و متصل بشن به و احراز هویت بشن و مسیری رو طی نکنن برا باز کردن لینک در مرورگر گوشی و ویندوز؟
ممنون میشم راهنماییم بفرمائید.