Kerio Control Konfigurace krok za krokem
Kerio Technologies
2012 Kerio Technologies s.r.o. Všechna práva vyhrazena. Tento manuál popisuje postup konfigurace lokální sítˇ e s použitím produktu Kerio Control ve verzi 7.3. Zmˇ eny vyhrazeny. Aktuální verzi produktu naleznete na WWW stránce http://www.kerio.cz/cz/control/download, další dokumentaci na stránce http://www.kerio.cz/cz/control/manual.
Obsah
1
Úvod . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2
Konfigurace sítˇ e v centrále firmy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 2.1 Volba IP adres pro lokální sít’ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 2.2 Konfigurace sít’ových rozhraní internetové brány . . . . . . . . . . . . . . . . . . . . . . . . . . 7 2.3 Instalace Kerio Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 2.4 Rozhraní Kerio Control Administration a aktivace produktu . . . . . . . . . . . . . . . 10 2.5 Nastavení pˇ ripojení a základních komunikaˇ cních pravidel . . . . . . . . . . . . . . . . . 10 2.6 Nastavení DHCP serveru . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 2.7 Nastavení modulu DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 2.8 Certifikáty WWW rozhraní a SSL-VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 2.9 Mapování uživatelských úˇ ct˚ u a skupin z Active Directory . . . . . . . . . . . . . . . . . . 13 2.10 Skupiny IP adres a ˇ casové intervaly . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 2.11 Nastavení pravidel pro WWW . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 2.12 Nastavení pravidel pro FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 2.13 Nastavení antivirové kontroly . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 2.14 Systém prevence útok˚ u . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 2.15 Zpˇ rístupnˇ ení lokálních služeb z Internetu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 2.16 Zabezpeˇ cený pˇ rístup vzdálených klient˚ u do lokální sítˇ e . . . . . . . . . . . . . . . . . . . 18 2.17 Nastavení poˇ cítaˇ cu ˚ v lokální síti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 2.18 Sledování statistik využívání Internetu a aktivit uživatel˚ u . . . . . . . . . . . . . . . . . 19
3
Konfigurace sítˇ e v poboˇ cce firmy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 3.1 Konfigurace sít’ových rozhraní internetové brány . . . . . . . . . . . . . . . . . . . . . . . . . 21 3.2 Nastavení modulu DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
4
Propojení sítí centrály a poboˇ cky 4.1 Konfigurace v centrále firmy 4.2 Konfigurace v poboˇ cce firmy 4.3 Test funkˇ cnosti VPN tunelu
A
Použitý software open source . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
B
Právní doložka . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
............................................. ............................................. ............................................. ..............................................
3
4
22 23 23 24
Kapitola 1
Úvod
Tato pˇ ríruˇ cka popisuje konfiguraˇ cní úkony, které je tˇ reba provést pˇ ri nasazení firewallu Kerio Control v modelové síti. Uvažovaný model zohledˇ nuje vˇ etšinu požadavk˚ u, které vznikají pˇ ri použití tohoto produktu v reálném prostˇ redí — pˇ rístup z lokální sítˇ e do Internetu, ochrana sítˇ e proti pr˚ uniku z Internetu, zpˇ rístupnˇ ení vybraných služeb z Internetu, ˇ rízení pˇ rístupu uživatel˚ u ke službám v Internetu, automatická konfigurace poˇ cítaˇ cu ˚ v lokální síti, ovˇ eˇ rování uživatel˚ u v doménˇ e Active Directory, sledování statistik a aktivit uživatel˚ u atd. Dalším požadavkem je propojení sítí v centrále a v poboˇ cce firmy zabezpeˇ ceným šifrovaným kanálem (tzv. VPN tunel) a zabezpeˇ cený pˇ rístup klient˚ u do lokální sítˇ e pˇ res Internet s využitím prostˇ redk˚ u obsažených v Kerio Control. Tato pˇ ríruˇ cka je koncipována jako návod pro rychlé nastavení. Podrobnˇ ejší informace k jednotlivým funkcím Kerio Control a konfiguraˇ cním úkon˚ um naleznete v manuálu Kerio Control — Pˇ ríruˇ cka administrátora, který je k dispozici na WWW stránce http://www.kerio.cz/cz/control/manual. Modelová konfigurace sítˇ e Konfiguraci Kerio Control popíšeme na modelovém pˇ ríkladu sítˇ e dle obrázku 1.1.
Obrázek 1.1
Modelová konfigurace sítˇ e
4
Pro firewall (internetovou bránu) je vhodné vyhradit samostatný server. Tento server m˚ uže být: • Fyzický nebo virtuální server s operaˇ cním systémem Windows. Použijeme Kerio Control v edici pro systém Windows, která se instaluje do systému jako aplikace. Firewall je možné provozovat spoleˇ cnˇ e s dalšími serverovými aplikacemi — napˇ r. poštovním a groupwarovým serverem Kerio Connect. Poˇ cítaˇ c s firewallem by však nemˇ el být využíván jako uživatelská pracovní stanice. Nasazení na server se systémem Windows je vhodné zejména v menších sítích, kde je k dispozici pouze jeden server, nebo pokud chceme aplikací Kerio Control nahradit stávající softwarový firewall ˇ ci proxy server. • Fyzický nebo virtuální server bez operaˇ cního systému. Je-li k dispozici vyhrazený fyzický nebo virtuální server, na kterém nebudou provozovány další aplikace, pak doporuˇ cujeme použít Kerio Control v edici Appliance, což je firewall vˇ cetnˇ e hostitelského operaˇ cního systému. Ve srovnání s edicí pro systém Windows nabízí tato edice na stejném hardware vyšší výkon a propustnost sítˇ e. Rovnˇ ež jsou vylouˇ ceny kolize s nekompatibilními aplikacemi nebo systémovými službami. Na daném systému však již nelze provozovat spoleˇ cnˇ e s firewallem další aplikace. Pro virtualizaˇ cní platformy VMware a Parallels jsou k dispozici hotová virtuální zaˇ rízení, které staˇ cí importovat a spustit. • Hardwarové zaˇ rízení Kerio Control Box. Toto zaˇ rízení sestává z Kerio Control v edici Appliance nainstalované na speciálním optimalizovaném hardwaru. V malých sítích m˚ uže zároveˇ n sloužit jako switch pro pˇ ripojení lokálních stanic. Zaˇ rízení Kerio Control je k dispozici ve dvou variantách, které se liší výkonem a poˇ ctem sít’ových port˚ u.
5
Kapitola 2
Konfigurace sítˇ e v centrále firmy
Tato kapitola obsahuje podrobný postup konfigurace lokální sítˇ e a nastavení Kerio Control v centrále firmy. Stejný postup lze použít i pˇ ri konfiguraci sítˇ e v poboˇ cce firmy (s nˇ ekolika drobnými odlišnostmi, které jsou popsány v kapitole 3). Pˇ redpokládejme, že v lokální síti centrály firmy je vytvoˇ rena Active Directory doména firma.cz a všechny poˇ cítaˇ ce v síti jsou ˇ cleny této domény.
2.1 Volba IP adres pro lokální sít’ V našem pˇ ríkladu budeme uvažovat privátní sítˇ e pˇ ripojené k Internetu pˇ res jednu veˇ rejnou IP adresu. Celá lokální sít’ bude „skryta“ za touto IP adresou. Pro lokální sítˇ e, které nejsou souˇ cástí Internetu (tzv. privátní sítˇ e), jsou vyhrazeny speciální rozsahy IP adres. Tyto adresy se nesmˇ ejí vyskytovat nikde v Internetu (internetové smˇ erovaˇ ce jsou zpravidla nastaveny tak, aby všechny pakety s tˇ emito adresami zahazovaly). Pro privátní sítˇ e jsou vyhrazeny tyto rozsahy IP adres: 1. 2. 3.
10.x.x.x, maska subsítˇ e 255.0.0.0 172.16.x.x, maska subsítˇ e 255.240.0.0 192.168.x.x, maska subsítˇ e 255.255.0.0
Upozornˇ ení: Použití jiných IP adres (mimo výše uvedené rozsahy) v privátní síti m˚ uže mít za následek nedostupnost urˇ citých ˇ cástí Internetu (tˇ ech subsítí, které mají shodou okolností stejné IP adresy)! Pro lokální sít’ centrály firmy zvolíme privátní IP adresy 192.168.1.x s maskou subsítˇ e 255.255.255.0 (IP subsít’ 192.168.1.0), pro sít’ poboˇ cky IP adresy 10.1.1.x s maskou 255.255.255.0 (IP subsít’ 10.1.1.0). Nastavení IP adres v modelové síti Poˇ cítaˇ cu ˚m v lokální síti pˇ ridˇ elíme IP adresy následovnˇ e: • Doménový server / FTP server bude mít statickou IP adresu 192.168.1.2 (zejména z d˚ uvodu mapování komunikace z Internetu se jeho IP adresa nesmí mˇ enit). • Sít’ová tiskárna bude mít pevnou IP adresu pˇ ridˇ elovanou protokolem DHCP (rezervace v DHCP serveru). Tiskárna nem˚ uže mít dynamickou IP adresu — kdyby se její adresa zmˇ enila, byla by pro klienty nedostupná. 6
2.2 Konfigurace sít’ových rozhraní internetové brány
Poznámka: V principu nezáleží na tom, zda je IP adresa tiskárny nastavena ruˇ cnˇ e nebo je tiskárnˇ e pˇ ridˇ elována pevná adresa DHCP serverem. Pˇ ri použití DHCP serveru odpadá konfigurace samotné tiskárny a její adresa je vidˇ et v seznamu pˇ ridˇ elených adres DHCP serveru. Naopak pˇ ri ruˇ cní konfiguraci adresy bude tiskárna nezávislá na dostupnosti DHCP serveru. • Pracovním stanicím v lokální síti budou pˇ ridˇ elovány dynamické IP adresy (výraznˇ e jednodušší konfigurace).
Obrázek 2.1
Modelová konfigurace sítˇ e s pˇ ridˇ elenými IP adresami
Poznámky: 1.
DNS doména v lokální síti musí být shodná s doménou Active Directory, tj. firma.cz.
2.
V síti poboˇ cky firmy budou použity IP adresy 10.1.1.x s maskou subsítˇ e 255.255.255.0. V této síti není použita doména Active Directory, vytvoˇ ríme zde pouze lokální DNS doménu pobocka.firma.cz.
2.2 Konfigurace sít’ových rozhraní internetové brány Internetová brána je poˇ cítaˇ c (server), který spojuje lokální sít’ a Internet. V našem pˇ ríkladu se jedná o server se systémem Windows, na který bude nasazen firewall Kerio Control (viz kapitola 2.3) a zároveˇ n také Kerio Connect, který bude sloužit jako poštovní a groupwarový server. 7
Konfigurace sítˇ e v centrále firmy
Rozhraní pˇ ripojené k Internetu Rozhraní pˇ ripojené k Internetu nastavíme dle informací od poskytovatele internetového pˇ ripojení (ISP). Vˇ etšina poskytovatel˚ u používá automatickou konfiguraci parametr˚ u TCP/IP protokolem DHCP. V pˇ rípadˇ e ruˇ cní konfigurace jsou pro správnou funkci jsou nezbytnˇ e nutné tyto parametry: IP adresa, maska subsítˇ e, výchozí brána a adresa alespoˇ n jednoho DNS serveru. Internetové rozhraní firewallu v centrále firmy by mˇ elo mít pevnou IP adresu, aby se k nˇ emu mohl pˇ ripojovat server poboˇ cky firmy a VPN klienti (viz požadavky v kapitole 1). Pˇ redpokládejme, že ISP pˇ ridˇ elil IP adresu 85.17.210.230. Rovnˇ ež je vhodné, aby této IP adrese bylo pˇ riˇ razeno DNS jméno (napˇ r. server.firma.cz) — jinak by všichni VPN klienti museli zadávat server IP adresou. Funkˇ cnost internetového pˇ ripojení provˇ eˇ ríme napˇ r. pˇ ríkazem ping nebo otevˇ rením nˇ ejaké WWW stránky v prohlížeˇ ci.
Rozhraní pˇ ripojené k lokální síti Na rozhraní pˇ ripojeném k lokální síti nastavíme tyto parametry: • IP adresa — zvolíme IP adresu 192.168.1.1 (viz kapitola 2.1). • maska subsítˇ e — 255.255.255.0 • výchozí brána — na tomto rozhraní nesmí být nastavena žádná výchozí brána! • DNS server — na tomto rozhraní by nemˇ el být nastaven žádný DNS server.
2.3 Instalace Kerio Control Instalaci produktu Kerio Control provedeme podle zvoleného typu serveru.
Instalace na systém Windows Spustíme instalaˇ cní program Kerio Control. Zvolíme Úplnou instalaci. Pokud instalaˇ cní program detekuje službu Sdílení pˇ ripojení k Internetu (Internet Connection Sharing), pak striktnˇ e doporuˇ cujeme tuto službu zakázat, jinak m˚ uže docházet ke kolizím a Kerio Control nebude fungovat správnˇ e. Rovnˇ ež doporuˇ cujeme zakázat i další kolizní systémové služby — Universal Plug and Play Device Host a SSDP Discovery Service. Dále nastavíme heslo pro administrátorský pˇ rístup (pro uživatelský úˇ cet Admin). Pokud provádíme instalaci vzdálenˇ e (napˇ r. prostˇ rednictvím Vzdálené plochy), zaškrtneme odpovídající volbu, aby po dokonˇ cení instalace nedošlo k blokování sít’ové komunikace. Za normálních okolností není tˇ reba po dokonˇ cení instalace poˇ cítaˇ c restartovat (restart m˚ uže být vyžadován, pokud instalaˇ cní program pˇ repisuje sdílené soubory, které jsou právˇ e
8
2.3 Instalace Kerio Control
používány). Po dokonˇ cení instalace se automaticky spustí Kerio Control Engine, tj. vlastní výkonné jádro programu (systémová služba), a také Kerio Control Engine Monitor.
Instalace Software Appliance Kerio Control v edici softwarového zaˇ rízení je distribuován ve formˇ e ISO obrazu instalaˇ cního CD, ze kterého lze zavést systém a nainstalovat firewall na fyzický nebo virtuální poˇ cítaˇ c. ISO obraz instalaˇ cního CD m˚ užeme vypálit na fyzické CD a z tohoto CD spustit instalaci systému na zvoleném cílovém poˇ cítaˇ ci (fyzickém nebo virtuálním). V pˇ rípadˇ e virtuálního poˇ cítaˇ ce lze ISO obraz také pˇ rímo pˇ ripojit jako virtuální CD mechaniku, bez nutnosti vypalování CD. Po instalaci bude poˇ cítaˇ c restartován a následnˇ e automaticky spuštˇ en jednoduchý pr˚ uvodce pro nastavení základních parametr˚ u firewallu — sít’ových rozhraní, vzdálené správy, hesla uživatele Admin atd. Všechna ostatní nastavení lze provést vzdálenˇ e prostˇ rednictvím webového rozhraní Kerio Control Administration.
Instalace VMware Virtual Appliance Podle typu produktu VMware (viz výše) použijeme odpovídající balík virtuálního zaˇ rízení: • V pˇ rípadˇ e produkt˚ u VMware Server, Workstation, Player a Fusion stáhneme distribuˇ cní balík ve formátu VMX (*.zip), rozbalíme jej a otevˇ reme soubor s pˇ ríponou .vmx. • Do VMware ESX/ESXi m˚ užeme pˇ rímo importovat virtuální zaˇ rízení ze zadané URL adresy OVF souboru — napˇ r.: http://download.kerio.com/cz/dwn/control/ kerio-control-appliance-1.2.3-4567-linux.ovf VMware ESX/ESXi si automaticky stáhne daný konfiguraˇ cní OVF soubor a odpovídající obraz disku (soubor s pˇ ríponou .vmdk). Po prvním startu virtuálního poˇ cítaˇ ce bude automaticky spuštˇ en jednoduchý pr˚ uvodce pro nastavení základních parametr˚ u firewallu — sít’ových rozhraní, ˇ casu a ˇ casové zóny atd. Ostatní nastavení lze provést vzdálenˇ e prostˇ rednictvím webového rozhraní Kerio Control Administration.
Instalace Virtual Appliance for Parallels Stáhneme distribuˇ cní balík ve formátu Zip (*.zip), rozbalíme jej a otevˇ reme v pˇ ríslušném produktu Parallels. Po prvním startu virtuálního poˇ cítaˇ ce bude automaticky spuštˇ en jednoduchý pr˚ uvodce pro nastavení základních parametr˚ u firewallu — sít’ových rozhraní, ˇ casu a ˇ casové zóny atd. Ostatní
9
Konfigurace sítˇ e v centrále firmy
nastavení lze provést vzdálenˇ e prostˇ rednictvím webového rozhraní Kerio Control Administration.
Instalace zaˇ rízení Kerio Control Box Zaˇ rízení Kerio Control Box pˇ ripojíme k napájení pomocí pˇ riloženého napájecího adaptéru. První sít’ový port (ˇ c. 1) pˇ ripojíme k Internetu (tzn. propojíme jej se smˇ erovaˇ cem, kabelovým modemem, ADSL modemem apod.) a poslední sít’ový port (ˇ c. 4 nebo ˇ c. 8 — v závislosti na modelu zaˇ rízení) pˇ ripojíme k lokální síti, resp. pˇ rímo poˇ cítaˇ ci, ze kterého budeme provádˇ et poˇ cáteˇ cní konfiguraci. Zapneme zaˇ rízení a poˇ cítaˇ c, ze kterého jej chceme spravovat, a pˇ ripojíme se k webovému rozhraní Kerio Control Administration na výchozí IP adrese zaˇ rízení (10.10.10.1). Instalace zaˇ rízení Kerio Control Box je popsána v samostatném manuálu Kerio Control Box Instalaˇ cní pˇ ríruˇ cka, který je souˇ cástí balení.
2.4 Rozhraní Kerio Control Administration a aktivace produktu Ve WWW prohlížeˇ ci (Internet Explorer, Firefox nebo Safari) otevˇ reme webové rozhraní Kerio Control Administration. Toto rozhraní je k dispozici na lokální IP adrese firewallu, tedy v našem pˇ ríkladu: https://192.168.1.1:4081/admin/ Pˇ ri prvním pˇ ripojení k tomuto rozhraní se automaticky spustí pr˚ uvodce aktivací produktu. V tomto pr˚ uvodci m˚ užeme: • Zaregistrovat produkt se zakoupeným licenˇ cním ˇ císlem, • Importovat soubor s licenˇ cním klíˇ cem (license.key — zálohovaný z pˇ redchozí instalace), • Zaregistrovat zkušební verzi (registrace umožˇ nuje testovat také Kerio Web Filter a aktualizovat integrovaný antivirus a systém detekce útok˚ u), • Aktivovat neregistrovanou zkušební verzi. Po úspˇ ešné aktivaci budeme vyzváni k zadání hesla uživatele Admin — hlavního správce firewallu. Tímto jménem a heslem se pak pˇ rihlásíme do rozhraní Kerio Control Administration.
2.5 Nastavení pˇ ripojení a základních komunikaˇ cních pravidel Pˇ rihlásíme se do rozhraní Kerio Control Administration (použijeme jméno Admin a heslo zadané v pr˚ uvodci aktivací produktu). Po prvním pˇ rihlášení se automaticky zobrazí okno Konfiguraˇ cního asistenta.
10
2.6 Nastavení DHCP serveru
Pr˚ uvodce pˇ ripojením Nejprve spustíme Pr˚ uvodce pˇ ripojením (první odkaz v oknˇ e Konfiguraˇ cního asistenta). V pr˚ uvodci nastavíme: • Typ internetového pˇ ripojení (1. krok pr˚ uvodce) — zvolíme trvalé pˇ ripojení jednou internetovou linkou. • Internetové rozhraní (2. krok pr˚ uvodce) — vybereme adaptér pˇ ripojený k Internetu. • Rozhraní pro lokální sít’ (3. krok pr˚ uvodce) — vybereme adaptér pˇ ripojený k lokální síti.
Pr˚ uvodce komunikaˇ cními pravidly Po nastavení pˇ ripojení spustíme Pr˚ uvodce komunikaˇ cními pravidly (druhý odkaz v oknˇ e Konfiguraˇ cního asistenta). V pr˚ uvodci nastavíme: • Pˇ rístup ke službám Kerio Control — povolíme všechny tˇ ri služby: Kerio VPN (pro propojení sítí centrály a poboˇ cky a pro pˇ ripojování vzdálených klient˚ u — viz kapitola 4), Clientless SSL-VPN (vzdálený pˇ rístup ke sdíleným složkám a soubor˚ um v síti prostˇ rednictvím WWW prohlížeˇ ce) a Kerio Control Administration (vzdálená správa Kerio Control). • Mapování dalších služeb — pˇ ridáme mapování služby SMTP na firewallu. V tomto kroku pr˚ uvodce m˚ užeme také nastavit mapování FTP serveru v lokální síti. Pro vˇ etší názornost však použijeme druhý zp˚ usob — definici vlastního komunikaˇ cního pravidla. Podrobnosti viz kapitola 2.15. Poznámka: Na firewallu poboˇ cky nemá smysl povolovat žádné služby (server poboˇ cky má dynamickou veˇ rejnou IP adresu).
2.6 Nastavení DHCP serveru V rozhraní Kerio Control Administration zvolíme sekci Konfigurace → DHCP server. Pr˚ uvodce pˇ ripojením nastavil DHCP server do režimu automatické konfigurace. Proto staˇ cí pouze definovat požadované rezervace. V horní ˇ cásti okna (Rozsahy adres) klikneme na rozsah adres pro lokální sít’ a v dolní ˇ cásti okna (Pˇ ridˇ elené adresy a rezervace) pˇ ridáme rezervaci pro sít’ovou tiskárnu. Rezervovaná IP adresa nemusí být z výše uvedeného rozsahu, musí ale náležet do zvolené subsítˇ e (v tomto pˇ ríkladu rezervujeme adresu 192.168.1.3). Pro vytvoˇ rení rezervace je tˇ reba znát hardwarovou (MAC) adresu tiskárny.
11
Konfigurace sítˇ e v centrále firmy
Tip: Neznáte-li MAC adresu tiskárny, nevytvᡠrejte rezervaci ruˇ cnˇ e. Po aktivaci DHCP serveru pˇ ripojte tiskárnu do sítˇ e. Tiskárnˇ e bude pˇ ridˇ elena IP adresa z definovaného rozsahu (viz výše). V pˇ rehledu pˇ ridˇ elených IP adres tuto adresu oznaˇ cte a stisknˇ ete tlaˇ cítko Rezervovat. Zobrazí se dialog pro rezervaci adresy, ve kterém bude již vyplnˇ ena pˇ ríslušná MAC adresa. ˇte pˇ Zmˇ en ridˇ elenou IP adresu na požadovanou (192.168.1.3), pˇ rípadnˇ e popis, a stisknˇ ete tlaˇ cítko OK. Pak tiskárnu restartujte. Po restartu pˇ ridˇ elí DHCP server tiskárnˇ e správnou IP adresu. Poznámka: Pro automatickou konfiguraci sít’ových zaˇ rízení lze použít i jiný DHCP server v lokální síti. V parametrech pro pˇ ríslušný rozsah adres na tomto DHCP serveru nastavíme jako adresu výchozí brány a DNS serveru IP adresu rozhraní firewallu pˇ ripojeného k lokální síti (192.168.1.1). V tomto pˇ rípadˇ e je však nutné DHCP server v Kerio Control vypnout!
2.7 Nastavení modulu DNS V sekci Konfigurace → DNS ponecháme výchozí nastavení (povolena služba DNS a jednoduchý pˇ revod DNS jmen s využitím souboru hosts a tabulky pˇ ridˇ elených adres DHCP serveru) a provedeme upˇ resˇ nující nastavení: • Doplníme jméno lokální DNS domény — firma.cz. • Zapneme volbu Použít nastavení pro pˇ redávání DNS dotaz˚ u. Pˇ ridáme pravidlo pro pˇ redávání dotaz˚ u do Active Directory, tj. všech dotaz˚ u na jména zaˇ cínající znakem _ (podtržítko), na doménový server v lokální síti. Toto je nutné pro správnou komunikaci poˇ cítaˇ cu ˚ v lokální síti s doménovým serverem. DNS jméno _*
Tabulka 2.1
Pˇ redat DNS server˚ um 192.168.1.2
Pravidlo pro pˇ redávání DNS dotaz˚ u do Active Directory
Dále bude potˇ reba pˇ ridat pravidla pro správné pˇ redávání dotaz˚ u mezi sítˇ emi centrály a poboˇ cky firmy. Toto nastavení bude podrobnˇ e popsáno v kapitolách 4.1 a 4.2.
2.8 Certifikáty WWW rozhraní a SSL-VPN WWW rozhraní Kerio Control umožˇ nuje vzdálenou správu firewallu prostˇ rednictvím WWW prohlížeˇ ce (Kerio Control Administration) a prohlížení statistik využívání Internetu (Kerio StaR). Dále zajišt’uje zobrazování informací o zákazech pˇ ri pokusu o pˇ rístup na zakázané 12
2.9 Mapování uživatelských úˇ ct˚ u a skupin z Active Directory
WWW stránky (viz kapitola 2.11) a uživatelé jej rovnˇ ež mohou využít pro nastavení nˇ ekterých parametr˚ u svých uživatelských úˇ ct˚ u. Rozhraní Clientless SSL-VPN slouží pro zabezpeˇ cený vzdálený pˇ rístup ke sdíleným soubor˚ um v lokální síti prostˇ rednictvím WWW prohlížeˇ ce. Pro správnou funkci zabezpeˇ cených webových služeb je vyžadován SSL certifikát, který prokazuje totožnost serveru. Certifikáty pro jednotlivá webová rozhraní vytvoˇ ríme v sekci Konfigurace → Další volby, záložka WWW rozhraní , resp. SSL-VPN. V upˇ resˇ nujících nastaveních pro každé rozhraní zvolíme Zmˇ enit SSL certifikát a Vytvoˇ rit certifikát. Jméno serveru, na které bude certifikát vystaven, by mˇ elo být shodné se jménem serveru vˇ cetnˇ e domény — v našem pˇ ríkladu server.firma.cz. Pro pˇ rístup k webovým rozhraním Kerio Control z Internetu musí pro toto jméno existovat záznam také ve veˇ rejném DNS. Tip: Vytvoˇ rené SSL certifikáty doporuˇ cujeme nahradit SSL certifikátem vystaveným nˇ ekterou veˇ rejnou certifikaˇ cní autoritou (pro WWW rozhraní i rozhraní Clientless SSL-VPN lze použít stejný certifikát — není nutné platit za dva certifikáty).
2.9 Mapování uživatelských úˇ ct˚ u a skupin z Active Directory Pro použití uživatelských úˇ ct˚ u z Active Directory nastavíme mapování pˇ ríslušné domény a definujeme šablonu, kterou nastavíme všem uživatel˚ um parametry specifické pro Kerio Control (uživatelská práva, kvóty objemu pˇ renesených dat atd.). Mapování domény Mapování Active Directory domény nastavíme v sekci Uživatelé a skupiny → Uživatelé, záložka Active Directory. Firewall musí být ˇ clenem pˇ ríslušné domény. Pro mapování uživatelských úˇ ct˚ u pak staˇ cí zadat jméno a heslo libovolného uživatele s právy pro ˇ ctení databáze Active Directory (toto právo mají všichni doménoví uživatelé). Definice šablony uživatelských úˇ ct˚ u V záložce Uživatelské úˇ cty vybereme mapovanou Active Directory doménu firma.cz. Pokud je mapování nastaveno správnˇ e, budou zde zobrazeny všechny uživatelské úˇ cty z této domény. Tlaˇ cítkem Šablona otevˇ reme dialog pro definici šablony uživatelských úˇ ct˚ u. Požadavkem je umožnit uživatel˚ um vzdálený pˇ rístup do lokální sítˇ e prostˇ rednictvím aplikace Kerio VPN Client nebo rozhraní Kerio Clientless SSL-VPN. V záložce Práva nastavíme odpovídající uživatelská práva. Tip: Nechceme-li nˇ ekteré doménové úˇ cty používat, m˚ užeme je v Kerio Control zakázat a zakázané úˇ cty skrýt. Úˇ cty budou zakázány pouze v rámci Kerio Control, v doménˇ e z˚ ustanou aktivní.
13
Konfigurace sítˇ e v centrále firmy
2.10 Skupiny IP adres a ˇ casové intervaly V sekci Konfigurace → Definice → Skupiny IP adres vytvoˇ ríme skupinu adres Pˇ rístup k emailu, kterou použijeme pro omezení pˇ rístupu k elektronické poštˇ e (viz kapitola 2.15). Tato skupina bude tvoˇ rena dvˇ ema IP adresami poˇ cítaˇ cu ˚ 123.23.32.123, 50.60.70.80 a celou subsítí 195.95.95.128 s maskou 255.255.255.248. Poznámka: Pˇ ri definici první položky musíme zadat jméno (nové) skupiny, pro pˇ ridání dalších položek již staˇ cí vybrat existující skupinu. ˇ Obdobným zp˚ usobem vytvoˇ ríme v sekci Konfigurace → Definice → Casové intervaly ˇ casový interval pro omezení pˇ rístupu v pracovní dobˇ e (pondˇ elí — pátek 8:00 — 16:30 hod., sobota a nedˇ ele 8:00 — 12:00 hod.). V obou pˇ rípadech m˚ užeme v položce Platnost využít pˇ reddefinované skupiny dn˚ u v týdnu (Pracovní dny a Víkend) — nemusíme zaškrtávat jednotlivé dny.
2.11 Nastavení pravidel pro WWW Požadavky Pˇ rístup na WWW stránky má být omezen následujícím zp˚ usobem: • filtrování reklam na WWW stránkách, • zákaz pˇ rístupu na stránky s erotickým obsahem, • zákaz pˇ rístupu na stránky s nabídkou pracovních míst, tyto stránky musejí z˚ ustat pˇ rístupné ˇ clen˚ um personálního oddˇ elení, • pˇ ri pˇ rístupu na WWW bude vyžadováno ovˇ eˇ rení uživatele (lze tak lépe sledovat, jaké stránky kteˇ rí uživatelé navštˇ evují).
Filtrování reklam a zákaz pˇ rístupu na stránky urˇ citých kategorií V sekci Konfigurace → Filtrování obsahu → Pravidla, záložka Pravidla pro URL m˚ užeme využít pˇ reddefinovaná základní pravidla: • Pravidla Allow automatic updates for Kerio software (povolit automatické aktualizace produkt˚ u Kerio Technologies) a Allow automatic updates and MS Windows activation (povolit automatické aktualizace a aktivaci systému MS Windows) doporuˇ cujeme
14
2.11 Nastavení pravidel pro WWW
ponechat zapnutá, aby fungovaly automatické aktualizace Kerio Control a aktualizace a aktivace operaˇ cního systému serveru. • Pravidla Allow popular search engines (povolit populární internetové vyhledávaˇ ce) a Remove advertisement and banners (blokovat reklamy a bannery) m˚ užeme použít dle uvážení. • Pravidlo Deny sites rated in Kerio Web Filter categories (zakázat stránky zaˇ razené modulem Kerio Web Filter do vybraných kategorií) m˚ užeme využít k blokování pˇ rístupu na stránky s erotickým obsahem všem uživatel˚ um. V definici pravidla musíme (tlaˇ cítkem Vybrat hodnocení...) zvolit kategorie modulu Kerio Web Filter, které chceme blokovat. Pro zakázání pˇ rístupu na stránky s erotickým obsahem vybereme všechny kategorie ve skupinˇ e Pornografie / Nahota. V záložce Upˇ resnˇ ení zadáme text, který se uživateli zobrazí pˇ ri pokusu o pˇ rístup na zakázanou stránku, pˇ rípadnˇ e nastavíme pˇ resmˇ erování na jinou stránku.
Omezení pˇ rístupu na stránky s nabídkami zamˇ estnání Omezení pˇ rístupu na WWW stránky s nabídkou pracovních míst realizujeme dvˇ ema pravidly: 1.
Pˇ ridáme pravidlo povolující skupinˇ e uživatel˚ u Personální oddˇ elení pˇ rístup na stránky kategorizované modulem Kerio Web Filter jako Nabídky zamˇ estnání.
2.
Za toto pravidlo pˇ ridáme pravidlo zakazující pˇ rístup na tutéž kategorii stránek všem uživatel˚ um. V tomto pravidle je vhodné nevyžadovat ovˇ eˇ rení uživatele. Tím zabráníme pˇ resmˇ erování prohlížeˇ ce uživatele na pˇ rihlašovací stránku pˇ red zobrazením informace o zákazu, pokud není uživatel dosud na firewallu ovˇ eˇ ren.
Vyžadování ovˇ eˇ rení uživatele pˇ ri pˇ rístupu na WWW stránky Posledním požadavkem omezení pˇ rístupu na WWW stránky je vyžadovat ovˇ eˇ rení uživatele pˇ ri pˇ rístupu na libovolnou stránku. Tuto funkci aktivujeme pˇ ríslušnou volbou v sekci Uživatelé a skupiny → Uživatelé, záložka Volby pro ovˇ eˇ rování . Ovˇ eˇ rení uživatele probíhá pˇ resmˇ erováním na pˇ rihlašovací stránku WWW rozhraní Kerio Control. WWW rozhraní musí být povoleno a správnˇ e nastaveny jeho parametry (viz kapitola 2.8). Po zadání platného uživatelského jména a hesla dojde k pˇ resmˇ erování na stránku, kterou uživatel p˚ uvodnˇ e požadoval.
15
Konfigurace sítˇ e v centrále firmy
2.12 Nastavení pravidel pro FTP Požadavky Používání FTP bude omezeno následujícím zp˚ usobem: • zákaz pˇ renosu hudebních soubor˚ u formátu MP3 • zákaz pˇ renosu videa (*.AVI) v pracovní dobˇ e • zákaz uploadu (ukládání soubor˚ u na FTP servery) — zabránˇ ení úniku informací z firmy
Omezení FTP s využitím pˇ reddefinovaných pravidel Omezení FTP nastavíme v sekci Konfigurace → Filtrování obsahu → Pravidla pro FTP. Pro všechna požadovaná omezení m˚ užeme využít pˇ reddefinovaných pravidel: • Pravidla Forbid *.mpg, *.mp3 and *.mpeg files a Forbid upload máme pˇ rímo k dispozici. • Pravidlo Forbid *.avi files upravíme tak, že v záložce Upˇ resnˇ ení nastavíme ˇ casovou platnost v intervalu Pracovní doba (viz kapitola 2.10).
FTP server v lokální síti V našem pˇ ríkladu chceme zpˇ rístupnit z Internetu FTP server v lokální síti. Pravidlo Forbid upload zakazuje upload také na tento server, což není žádoucí. Proto musíme pˇ red pravidlo Forbid upload pˇ ridat pravidlo, které povoluje upload na tento FTP server: • V záložce Obecné nastavíme: „pokud libovolný uživatel pˇ ristupuje na FTP server 192.168.1.10, pak povolit.“ • V záložce Upˇ resnˇ ení upˇ resníme, že se jedná o typ operace Upload a libovolný soubor (*). Poznámky: 1.
Jako IP adresa FTP serveru musí být uvedena adresa poˇ cítaˇ ce v lokální síti, na kterém FTP server skuteˇ cnˇ e bˇ eží. Nelze uvést vnˇ ejší IP adresu firewallu, z níž je FTP server mapován (pokud FTP server nebˇ eží pˇ rímo na firewallu)! Pˇ reklad IP adres se provádí pˇ red zpracováním pravidel pro filtrování obsahu.
2.
Tímto zp˚ usobem lze také povolit upload na konkrétní FTP server v Internetu, zatímco na všechny ostatní FTP servery bude zakázán.
16
2.13 Nastavení antivirové kontroly
2.13 Nastavení antivirové kontroly Chceme-li použít nˇ ekterý z podporovaných externích antivir˚ u, nejprve jej nainstalujeme. Antivirový program Sophos je souˇ cástí Kerio Control a pro jeho ˇ cinnost je tˇ reba pouze speciální licence. Ideální je použít kombinaci integrovaného a externího antiviru (tzv. duální antivirová kontrola). V sekci Konfigurace → Filtrování obsahu → Antivirus, záložka Antivirový program, nastavíme požadované antiviry, pˇ rípadnˇ e upˇ resˇ nující volby pro vybraný externí antivirus. Kompletní seznam podporovaných antivir˚ u a podrobné návody pro jejich nastavení naleznete na adrese http://www.kerio.cz/cz/control/third-party#av. Kerio Control umožˇ nuje zvolit protokoly, na které má být antivirová kontrola implicitnˇ e aplikována. Záložky Kontrola HTTP a FTP, Kontrola e-mailu a Kontrola SSL-VPN umožˇ nují podrobnˇ ejší nastavení parametr˚ u pro kontrolu jednotlivých protokol˚ u. Výchozí nastavení je zpravidla vyhovující.
2.14 Systém prevence útok˚ u V sekci Konfigurace → Zásady komunikace → Prevence útok˚ u povolíme detekci známých typ˚ u sít’ových útok˚ u pˇ richázejících z Internetu a známých útoˇ cník˚ u. Výchozí nastavení je optimalizované a zpravidla jej není tˇ reba mˇ enit. Je však doporuˇ ceno pravidelnˇ e kontrolovat záznam Security a vyhodnocovat pˇ rípadné falešné poplachy. Podrobnosti viz manuál Kerio (http://www.kerio.cz/cz/control/manual).
Control
—
Pˇ ríruˇ cka
administrátora
2.15 Zpˇ rístupnˇ ení lokálních služeb z Internetu V sekci Konfigurace → Zásady komunikace → Komunikaˇ cní pravidla pˇ ridáme pravidla pro služby, které mají být pˇ rístupné z Internetu. Pravidla pro mapování služeb by mˇ ela být umístˇ ena vždy na zaˇ cátku tabulky komunikaˇ cních pravidel. • Zpˇ rístupnˇ ení (mapování) lokálního FTP serveru — pˇ redpokládáme pouze nezabezpeˇ cený pˇ rístup, aby bylo možné komunikaci filtrovat a provádˇ et antivirovou kontrolu. Jméno
Zdroj
Cíl
Služba
Pˇ rístup k FTP serveru Libovolný Firewall FTP
Tabulka 2.2
Akce
Pˇ reklad
Povolit Mapování 192.168.1.2
Zpˇ rístupnˇ ení lokálního FTP serveru z Internetu
• Pˇ rístup ke službám poštovního serveru (kromˇ e SMTP) — povolíme pouze z požadovaných IP adres v ˇ casovém intervalu Pracovní doba.
17
Konfigurace sítˇ e v centrále firmy
Jméno
Zdroj
Pˇ rístup k e-mailu Skupina adres Pˇ rístup k e-mailu
Cíl
Služba
Firewall IMAP IMAPS POP3 POP3S
Akce Povolit
Pˇ reklad
ˇ Casová platnost Pracovní doba
Tabulka 2.3 Povolení pˇ rístupu ke službám poštovního serveru na firewallu
Poznámky: 1.
Toto pravidlo povoluje pˇ rístup ke službám IMAP i POP3 v zabezpeˇ cené i nezabezpeˇ cené verzi — klienti si mohou vybrat, jakou službu budou využívat.
2.
Služba SMTP byla mapována pomocí pr˚ uvodce komunikaˇ cními pravidly (viz kapitola 2.5) — pˇ ríslušné pravidlo v tomto okamžiku již existuje.
3.
Poslat e-mail do lokální domény smí kdokoliv, proto nelze ke službˇ e SMTP omezovat pˇ rístup pouze z urˇ citých IP adres.
2.16 Zabezpeˇ cený pˇ rístup vzdálených klient˚ u do lokální sítˇ e Pro zabezpeˇ cený pˇ rístup vzdálených klient˚ u do lokální sítˇ e (dále jen „VPN klienti“) povolíme VPN server v sekci Konfigurace → Rozhraní (podrobnosti viz kapitola 4.1). Žádná další nastavení nejsou tˇ reba. Komunikace VPN klient˚ u je již povolena pravidly vytvoˇ renými pr˚ uvodcem — viz kapitola 2.5.
Aplikace Kerio VPN Client Pro pˇ ripojení k VPN serveru v Kerio Control musí být na každém vzdáleném poˇ cítaˇ ci nainstalována aplikace Kerio VPN Client. Tato aplikace je k dispozici pro platformy Windows, Mac OS X a Linux. Instalaˇ cní soubory lze stáhnout z WWW stránky http://www.kerio.cz/cz/control/download. Klienti se budou pˇ ripojovat k serveru v centrále firmy (tj. na IP adresu 85.17.210.230, resp. na jméno serveru server.firma.cz) a ovˇ eˇ rovat svým doménovým uživatelským jménem a heslem (viz kapitola 2.9). Podrobné informace naleznete v manuálu Kerio VPN Client — Pˇ ríruˇ cka uživatele (http://www.kerio.cz/cz/control/manual).
18
2.17 Nastavení poˇ cítaˇ cu ˚ v lokální síti
2.17 Nastavení poˇ cítaˇ cu ˚ v lokální síti Na poˇ cítaˇ ci, který slouží jako doménový server a FTP server, nastavíme parametry TCP/IP ruˇ cnˇ e (jeho IP adresa se nesmí mˇ enit): • IP adresa — zadáme adresu 192.168.1.2 (viz kapitola 2.6), • Výchozí brána — zadáme IP adresu pˇ ríslušného rozhraní firewallu, tj. 192.168.1.1, • DNS server — protože na tomto poˇ cítaˇ ci bˇ eží Microsoft DNS, systém automaticky nastaví jako primární DNS server lokální zpˇ etnovazební adresu (loopback — 127.0.0.1). Na pracovních stanicích nastavíme automatickou konfiguraci IP adresy i DNS serveru pomocí DHCP (ve vˇ etšinˇ e operaˇ cních systém˚ u výchozí nastavení po instalaci).
2.18 Sledování statistik využívání Internetu a aktivit uživatel˚ u Kerio Control nabízí webové rozhraní Kerio StaR (statistiky a reportování ), které umožˇ nuje zobrazit aktivity uživatel˚ u a statistické informace v podobˇ e tabulek a graf˚ u. Mezi sledované aktivity jednotlivých uživatel˚ u patˇ rí: • • • • •
navštívené WWW stránky, e-mailové zprávy a instant messaging (zasílání rychlých zpráv), pˇ renosy velkých soubor˚ u, multimédia (online pˇ rehrávání zvuku a videa), vzdálený pˇ rístup (terminálový pˇ rístup a VPN pˇ ripojení).
Ve formˇ e tabulek a graf˚ u lze zobrazit tyto statistické informace: • objem pˇ renesených dat, • používané protokoly (služby), • nejnavštˇ evovanˇ ejší webové domény, • nejnavštˇ evovanˇ ejší kategorie WWW stránek. Statistiky lze zobrazit celkovˇ e nebo pro jednotlivé uživatele.
Pˇ rístup a pˇ rihlášení ke statistikám Statistiky využívání Internetu mohou obsahovat citlivé informace. Z tohoto d˚ uvodu je pˇ rístup ke statistikám ˇ rízen speciálním právem, které má ve výchozím nastavení pouze uživatel Admin. Proto je nejprve potˇ reba ve správˇ e firewallu v sekci Uživatelé a skupiny nastavit vybraným uživatel˚ um a/nebo skupinám právo prohlížet statistiky. 19
Konfigurace sítˇ e v centrále firmy
Statistiky jsou dostupné prostˇ rednictvím WWW rozhraní Kerio Control. Do WWW rozhraní se lze pˇ rihlásit na adrese: https://
:4081/ v našem pˇ ríkladu tedy: https://server.firma.cz:4081/ Uživatel˚ um s právem prohlížet statistiky se po pˇ rihlášení do WWW rozhraní zobrazí pˇ rímo hlavní stránka Kerio StaR s celkovými statistikami. Ostatním uživatel˚ um se zobrazí úvodní stránka WWW rozhraní. WWW rozhraní je standardnˇ e dostupné z lokální sítˇ e. Pro zpˇ rístupnˇ ení tohoto rozhraní z Internetu je potˇ reba nastavit odpovídající komunikaˇ cní pravidlo (viz kapitola 2.15). Bližší informace o WWW rozhraní Kerio Control a o Kerio StaR naleznete v manuálu Kerio Control — Pˇ ríruˇ cka uživatele, který je k dispozici na WWW stránce http://www.kerio.cz/cz/control/manual.
20
Kapitola 3
Konfigurace sítˇ e v poboˇ cce firmy
Pro rychlou konfiguraci sítˇ e v poboˇ cce firmy lze použít analogický postup jako pro sít’ centrály — viz kapitola 2. Rozdíly jsou pouze v konfiguraci DNS. Pˇ redpokládejme, že v síti poboˇ cky firmy není doménový server ani žádný jiný DNS server. Funkci primárního DNS serveru zde bude plnit modul DNS v Kerio Control.
3.1 Konfigurace sít’ových rozhraní internetové brány Na rozhraní firewallu pˇ ripojeném k lokální síti nastavíme pevnou IP adresu (napˇ r. 10.1.1.1). Na tomto rozhraní nesmí být nastavena žádná výchozí brána! Rovnˇ ež by zde nemˇ el být nastaven žádný DNS server. Rozhraní pˇ ripojené k Internetu nastavíme dle údaj˚ u od poskytovatele internetového pˇ ripojení.
3.2 Nastavení modulu DNS V sekci Konfigurace → DNS ponecháme výchozí nastavení (povoleno pˇ redávání DNS dotaz˚ u a jednoduchý pˇ revod DNS jmen s využitím souboru hosts a tabulky pˇ ridˇ elených adres DHCP serveru) a provedeme upˇ resˇ nující nastavení: • Doplníme jméno lokální DNS domény — pobocka.firma.cz. • Zapneme volbu Použít nastavení pro pˇ redávání DNS dotaz˚ u. Toto nastavení bude podrobnˇ e popsáno v kapitole 4.2. • Do souboru hosts je vhodné pˇ ridat záznam o serveru (pˇ rípadnˇ e o dalších poˇ cítaˇ cích, kterým bude nastavena pevná IP adresa): 10.1.1.1 server
21
Kapitola 4
Propojení sítí centrály a poboˇ cky
V této kapitole naleznete postup propojení sítí v centrále a v poboˇ cce firmy zabezpeˇ ceným šifrovaným kanálem (dále jen „VPN tunel“). Pˇ ríklad obsahuje pouze základní kroky pro vytvoˇ rení VPN tunelu mezi dvˇ ema sítˇ emi — bez omezování pˇ rístupu a dalších specifických nastavení. Pˇ ríklad složitˇ ejší konfigurace VPN naleznete v manuálu Kerio Control — Pˇ ríruˇ cka administrátora. Postup konfigurace je rozdˇ elen na dvˇ eˇ cásti: nastavení v centrále firmy a nastavení v poboˇ cce firmy. Pˇ redpokládejme, že obˇ e sítˇ e jsou již nastaveny podle postupu uvedeného v kapitole 2 a internetové pˇ ripojení na obou stranách je funkˇ cní. Informace k pˇ ríkladu Pro pˇ rehlednost uved’me znovu schéma propojovaných sítí vˇ cetnˇ e IP adres.
Obrázek 4.1
Modelová konfigurace sítˇ e s pˇ ridˇ elenými IP adresami
22
4.1 Konfigurace v centrále firmy
V centrále firmy jsou použity IP adresy 192.168.1.x s maskou subsítˇ e 255.255.255.0 a DNS doménu firma.cz. Poboˇ cka používá IP adresy 10.1.1.x s maskou subsítˇ e 255.255.255.0 a subdoménu pobocka.firma.cz.
4.1 Konfigurace v centrále firmy 1.
V Kerio Control v sekci Konfigurace / Rozhraní vybereme VPN server, otevˇ reme dialog pro nastavení jeho parametr˚ u a povolíme jej. Poznámka: V položkách VPN subsít’ a Maska je nyní uvedena automaticky vybraná volná subsít’ pro VPN. Nastavenou subsít’ není tˇ reba mˇ enit.
2.
Tlaˇ cítkem Zmˇ enit SSL certifikát vytvoˇ ríme SSL certifikát se jménem pˇ ríslušného serveru (napˇ r. server.firma.cz). Tento certifikát slouží pro ovˇ eˇ rení identity VPN serveru. Poznámka: Vytvoˇ rený certifikát doporuˇ cujeme v budoucnu nahradit certifikátem vystaveným d˚ uvˇ eryhodnou veˇ rejnou certifikaˇ cní autoritou.
3.
Vytvoˇ ríme pasivní konec VPN tunelu (server poboˇ cky má dynamickou IP adresu — na poboˇ cce proto musí být aktivní konec tunelu). Jako otisk SSL certifikátu vzdáleného konce tunelu zadáme otisk certifikátu VPN serveru na poboˇ cce.
4.
V konfiguraci modulu DNS (viz kapitola 2.7) zapneme volbu Použít nastavení pro pˇ redávání DNS dotaz˚ u a definujeme pravidla pro doménu pobocka.firma.cz. Jako DNS server pro pˇ redávání dotaz˚ u uvedeme IP adresu vnitˇ rního rozhraní poˇ cítaˇ ce s Kerio Control na protˇ ejší stranˇ e tunelu (tj. rozhraní pˇ ripojeného k lokální síti na protˇ ejší stranˇ e). Doména / sít’
DNS server(y)
pobocka.firma.cz 10.1.1.1
Tabulka 4.1 Centrála — konfigurace pˇ redávání DNS dotaz˚ u
4.2 Konfigurace v poboˇ cce firmy 1.
V Kerio Control v sekci Konfigurace / Rozhraní vybereme VPN server, otevˇ reme dialog pro nastavení jeho parametr˚ u a povolíme jej. Poznámka: V položkách VPN subsít’ a Maska je nyní uvedena automaticky vybraná volná subsít’ pro VPN. Nastavenou subsít’ není tˇ reba mˇ enit. Tlaˇ cítkem Zmˇ enit SSL certifikát vytvoˇ ríme SSL certifikát se jménem pˇ ríslušného serveru (napˇ r. server.pobocka.firma). Tento certifikát slouží pro ovˇ eˇ rení identity VPN serveru. 23
Otisk vytvoˇ reného SSL certifikátu budeme potˇ rebovat pˇ ri definici VPN tunelu na serveru címe, zkopírujeme do schránky a vložíme do centrály (viz kapitola 4.1). Proto jej oznaˇ e-mailové zprávy, souboru apod. Poznámka: Vytvoˇ rený certifikát doporuˇ cujeme v budoucnu nahradit certifikátem vystaveným d˚ uvˇ eryhodnou veˇ rejnou certifikaˇ cní autoritou. 2.
Vytvoˇ ríme aktivní konec VPN tunelu, který se pˇ ripojuje na server centrály firmy (server.firma.cz). Otisk SSL certifikátu VPN serveru v centrále m˚ užeme nastavit jednoduše stisknutím tlaˇ cítka Detekovat vzdálený certifikát.
3.
V konfiguraci modulu DNS (viz kapitola 2.7) zapneme volbu Použít nastavení pro pˇ redávání DNS dotaz˚ u a definujeme pravidla pro doménu firma.cz. Jako DNS server pro pˇ redávání dotaz˚ u uvedeme IP adresu doménového serveru v centrále firmy (192.168.1.2), který slouží jako primární DNS server pro doménu firma.cz. Doména / sít’ firma.cz
DNS server(y) 192.168.1.2
Tabulka 4.2 Poboˇ cka — konfigurace pˇ redávání DNS dotaz˚ u
4.3 Test funkˇ cnosti VPN tunelu Po dokonˇ cení konfigurace VPN tunelu doporuˇ cujeme z každé lokální sítˇ e vyzkoušet dostupnost poˇ cítaˇ cu ˚ v síti na protˇ ejší stranˇ e tunelu. Jako testovací nástroj lze použít napˇ r. pˇ ríkazy operaˇ cního systému ping nebo tracert. Doporuˇ cujeme ovˇ eˇ rit dostupnost poˇ cítaˇ ce ve vzdálené síti zadaného jednak IP adresou, jednak DNS jménem. Nedostaneme-li odezvu pˇ ri zadání vzdáleného poˇ cítaˇ ce IP adresou, je tˇ reba hledat chybu v nastavení komunikaˇ cních pravidel, pˇ rípadnˇ e provˇ eˇ rit, zda nenastala kolize subsítí (stejná subsít’ na obou stranách tunelu). Je-li test pˇ ri zadání poˇ cítaˇ ce IP adresou úspˇ ešný, ale pˇ ri zadání poˇ cítaˇ ce DNS jménem je hlášena chyba (Neznámý hostitel), pak je tˇ reba provˇ eˇ rit konfiguraci DNS. Poznámka: VPN klienti, kteˇ rí se pˇ ripojují k serveru centrály, mají pˇ rístup do sítˇ e centrály i poboˇ cky, a naopak (pˇ rístup není nijak omezen). Proto v rámci testování VPN doporuˇ cujeme vyzkoušet pˇ rístup do obou sítí také z pˇ ripojeného VPN klienta.
24
Pˇ ríloha A
Použitý software open source
Produkt Kerio Control obsahuje software volnˇ e šiˇ ritelný ve formˇ e zdrojových kód˚ u (open source). Balíky kompletních zdrojových kód˚ u tˇ echto komponent jsou k dispozici v Softwarovém archivu na adrese http://download.kerio.com/archive/.
25
Pˇ ríloha B
Právní doložka
Microsoft , Windows , Windows NT a Active Directory jsou registrované ochranné známky nebo ochranné známky spoleˇ cnosti Microsoft Corporation. VMware je registrovaná ochranná známka spoleˇ cnosti VMware, Inc. Ostatní uvedené názvy skuteˇ cných spoleˇ cností a produkt˚ u mohou být registrovanými ochrannými známkami nebo ochrannými známkami jejich vlastník˚ u.
26