Konfigurace krok za krokem
Kerio Technologies
Kerio Technologies. Všechna práva vyhrazena. Datum vydání: 15. srpna 2007 Tento manuál popisuje postup konfigurace lokální sítˇ e s použitím produktu Kerio WinRoute Firewall ve verzi 6.4.0. Zmˇ eny vyhrazeny. Aktuální verzi produktu a manuálu naleznete na WWW stránkách http://www.kerio.com/kwfdwn.
Obsah
1
Úvod . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
2
Konfigurace sítˇ e v centrále firmy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 2.1 Volba IP adres pro lokální sít’ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 2.2 Konfigurace sít’ových rozhraní internetové brány . . . . . . . . . . . . . . . . . . . . 7 2.3 Instalace WinRoute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 2.4 Základní nastavení komunikaˇ cních pravidel . . . . . . . . . . . . . . . . . . . . . . . . . 10 2.5 Nastavení DHCP serveru . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 2.6 Konfigurace DNS a nastavení DNS Forwarderu . . . . . . . . . . . . . . . . . . . . . . 16 2.7 Nastavení WWW rozhraní a SSL-VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 2.8 Mapování uživatelských úˇ ct˚ u a skupin z Active Directory . . . . . . . . . . . . 20 2.9 Skupiny IP adres a ˇ casové intervaly . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 2.10 Nastavení pravidel pro WWW . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 2.11 Nastavení pravidel pro FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 2.12 Nastavení antivirové kontroly . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 2.13 Zpˇ rístupnˇ ení lokálních služeb z Internetu . . . . . . . . . . . . . . . . . . . . . . . . . . 39 2.14 Zabezpeˇ cený pˇ rístup vzdálených klient˚ u do lokální sítˇ e . . . . . . . . . . . . . 40 2.15 Nastavení poˇ cítaˇ cu ˚ v lokální síti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
3
Konfigurace sítˇ e v poboˇ cce firmy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.1 Konfigurace sít’ových rozhraní internetové brány . . . . . . . . . . . . . . . . . . . 3.2 Nastavení DNS Forwarderu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.3 Nastavení DHCP serveru . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
43 43 44 45
4
Propojení sítí centrály a poboˇ cky 4.1 Konfigurace v centrále firmy 4.2 Konfigurace v poboˇ cce firmy 4.3 Test funkˇ cnosti VPN tunelu
47 48 51 54
....................................... ....................................... ....................................... ........................................
3
Kapitola 1
Úvod
Tato pˇ ríruˇ cka podrobnˇ e popisuje konfiguraˇ cní úkony, které je tˇ reba provést pˇ ri nasazení aplikace Kerio WinRoute Firewall (dále jen WinRoute) v modelové síti. Uvažovaný model zohledˇ nuje vˇ etšinu požadavk˚ u, které vznikají pˇ ri nasazení WinRoute v reálném prostˇ redí — pˇ rístup z lokální sítˇ e do Internetu, ochrana sítˇ e proti pr˚ uniku z Internetu, zpˇ rístupnˇ ení vybraných služeb z Internetu, ˇ rízení pˇ rístupu uživatel˚ u ke službám v Internetu, automatická konfigurace poˇ cítaˇ cu ˚ v lokální síti, ovˇ eˇ rování uživatel˚ u v Active Directory doménˇ e atd. Dalším požadavkem je propojení sítí v centrále a v poboˇ cce firmy zabezpeˇ ceným šifrovaným kanálem (tzv. VPN tunel) a zabezpeˇ cený pˇ rístup klient˚ u do lokální sítˇ e pˇ res Internet s využitím prostˇ redk˚ u obsažených ve WinRoute. Konfiguraci WinRoute popíšeme na modelovém pˇ ríkladu sítˇ e dle obrázku 1.1.
Obrázek 1.1
Modelová konfigurace sítˇ e
4
5
Kapitola 2
Konfigurace sítˇ e v centrále firmy
Tato kapitola obsahuje podrobný postup konfigurace lokální sítˇ e a nastavení WinRoute v centrále firmy. Stejný postup lze použít i pˇ ri konfiguraci sítˇ e v poboˇ cce firmy (pouze je tˇ reba zvolit jinou IP subsít’). Poznámka: V tomto dokumentu nezmiˇ nujeme konfiguraci Active Directory, pˇ ridávání poˇ cítaˇ cu ˚ do domény a další úkony, které pˇ rímo nesouvisejí s WinRoute. Jejich popis je nad rámec tohoto struˇ cného manuálu. Pˇ redpokládejme, že v lokální síti centrály firmy je vytvoˇ rena Active Directory doména firma.cz a všechny poˇ cítaˇ ce v síti jsou ˇ cleny této domény.
2.1 Volba IP adres pro lokální sít’ Pˇ ri výbˇ eru IP adres pro lokální sít’ máme následující možnosti: • Použít veˇ rejné IP adresy. Poskytovatel internetového pˇ ripojení pˇ ridˇ elí požadovaný poˇ cet (rozsah) IP adres a nastaví odpovídající smˇ erování. • Použít privátní IP adresy a pˇ reklad adres (NAT). Poskytovatel internetového pˇ ripojení pˇ ridˇ elí (zpravidla) pouze jednu veˇ rejnou IP adresu. Celá lokální sít’ pak bude „skryta“ za touto IP adresou. Privátní adresy jsou speciální rozsahy IP adres vyhrazené pro lokální sítˇ e, které nejsou souˇ cástí Internetu (tzv. privátní sítˇ e). Tyto adresy se nesmˇ ejí vyskytovat nikde v Internetu (internetové smˇ erovaˇ ce jsou zpravidla nastaveny tak, aby všechny pakety s tˇ emito adresami zahazovaly). Pro privátní sítˇ e jsou vyhrazeny tyto rozsahy IP adres: 1.
10.x.x.x, maska subsítˇ e 255.0.0.0
2.
172.16.x.x, maska subsítˇ e 255.240.0.0
3.
192.168.x.x, maska subsítˇ e 255.255.0.0
Upozornˇ ení: Použití jiných IP adres (mimo výše uvedené rozsahy) v privátní síti m˚ uže mít za následek nedostupnost urˇ citých ˇ cástí Internetu (tˇ ech subsítí, které mají shodou okolností stejné IP adresy)!
6
2.2 Konfigurace sít’ových rozhraní internetové brány
V našem pˇ ríkladu budeme uvažovat privátní sítˇ e pˇ ripojené do Internetu pˇ res jednu veˇ rejnou IP adresu. Pro lokální sít’ centrály firmy zvolíme privátní IP adresy 192.168.1.x s maskou subsítˇ e 255.255.255.0 (IP subsít’ 192.168.1.0), pro sít’ poboˇ cky IP adresy 10.1.1.x s maskou 255.255.255.0 (IP subsít’ 10.1.1.0).
2.2 Konfigurace sít’ových rozhraní internetové brány Internetová brána je poˇ cítaˇ c (server), který spojuje lokální sít’ a Internet. Na tento poˇ cítaˇ c bude nasazen WinRoute (viz kapitola 2.3).
Rozhraní pˇ ripojené do Internetu Na rozhraní pˇ ripojeném do Internetu nastavíme parametry TCP/IP dle informací od poskytovatele internetového pˇ ripojení (ISP). Pro správnou funkci jsou nezbytnˇ e nutné tyto parametry: IP adresa, maska subsítˇ e, výchozí brána a adresa alespoˇ n jednoho DNS serveru. Internetové rozhraní brány v centrále firmy musí mít pevnou IP adresu, aby se k nˇ emu mohl pˇ ripojovat server poboˇ cky firmy a VPN klienti (viz požadavky v kapitole 1). Pˇ redpokládejme, že ISP pˇ ridˇ elil IP adresu 63.55.21.12. Rovnˇ ež je vhodné, aby této IP adrese bylo pˇ riˇ razeno DNS jméno (napˇ r. kwf.firma.cz) — jinak by všichni VPN klienti museli zadávat server IP adresou. Funkˇ cnost internetového pˇ ripojení provˇ eˇ ríme napˇ r. pˇ ríkazem ping nebo otevˇ rením nˇ ejaké WWW stránky v prohlížeˇ ci.
Rozhraní pˇ ripojené do lokální sítˇ e Na rozhraní pˇ ripojeném do lokální sítˇ e nastavíme tyto parametry: • IP adresa — zvolíme IP adresu 192.168.1.1 (viz kapitola 2.1) • maska subsítˇ e — 255.255.255.0 • výchozí brána — na tomto rozhraní nesmí být nastavena žádná výchozí brána! • DNS server — pro správnou funkci ovˇ eˇ rování v Active Directory musí být jako primární DNS server nastaven pˇ ríslušný doménový server. Do položky Upˇ rednostˇ novaný DNS server zadáme IP adresu 192.168.1.2.
7
Kapitola 2 Konfigurace sítˇ e v centrále firmy
Obrázek 2.1
Nastavení TCP/IP na rozhraní pˇ ripojeném do lokální sítˇ e
2.3 Instalace WinRoute Na poˇ cítaˇ ci, který je zapojen jako internetová brána (viz kapitola 2.1), spustíme instalaˇ cní program WinRoute. Zvolíme typickou instalaci (Typical). Pokud instalaˇ cní program detekuje službu Windows Firewall / Sdílení pˇ ripojení k In1 ternetu (Windows Firewall / Internet Connection Sharing) , zobrazí dotaz, zda má být tato služba zakázána. Striktnˇ e doporuˇ cujeme tuto službu zakázat, jinak m˚ uže docházet k nízkoúrovˇ novým kolizím a WinRoute nebude fungovat správnˇ e. Rovnˇ ež doporuˇ cujeme zakázat i další kolizní systémové služby — Universal Plug and Play Device Host a SSDP Discovery Service.
1
V operaˇ cním systému Windows XP Service Pack 1 a starších verzích má integrovaný firewall název Brána Firewall pˇ ripojení k Internetu (Internet Connection Firewall).
8
2.3 Instalace WinRoute
Obrázek 2.2
Detekce kolizních systémových služeb
V závˇ eru instalace se zobrazí pr˚ uvodce poˇ cáteˇ cní konfigurací WinRoute, ve kterém nastavíme uživatelské jméno a heslo pro administrátorský pˇ rístup (viz obrázek 2.3). Po dokonˇ cení instalace je tˇ reba poˇ cítaˇ c restartovat. Poznámky: 1.
WinRoute pˇ ri každém svém startu automaticky detekuje, zda je spuštˇ ena systémová služba Windows Firewall / Sdílení pˇ ripojení k Internetu (Windows Firewall / Internet Connection Sharing), a pokud ano, automaticky ji zastaví. Tím je vylouˇ cena kolize 1 se systémovými komponentami Windows Firewall a Sdílení pˇ ripojení k Internetu.
2.
V operaˇ cním systému Windows XP Service Pack 2 se WinRoute také automaticky registruje v Centru zabezpeˇ cení (Security Center). To znamená, že Centrum zabezpeˇ cení bude vždy správnˇ e indikovat stav firewallu a nebude zobrazováno varování, že systém není chránˇ en.
9
Kapitola 2 Konfigurace sítˇ e v centrále firmy
Obrázek 2.3
Pr˚ uvodce poˇ cáteˇ cní konfigurací — nastavení administrátorského hesla
2.4 Základní nastavení komunikaˇ cních pravidel Spustíme program Kerio Administration Console a pˇ rihlásíme se (použijeme jméno a heslo zadané pˇ ri instalaci). Po prvním pˇ rihlášení se automaticky spustí Pr˚ uvodce komunikaˇ cními pravidly. V pr˚ uvodci nastavíme: • Typ internetového pˇ ripojení (Krok 2) — zvolíme typ rozhraní, kterým je firewall pˇ ripojen k Internetu.
Obrázek 2.4
Pr˚ uvodce komunikaˇ cními pravidly — výbˇ er typu internetového pˇ ripojení
• Rozhraní pˇ ripojené do Internetu (Krok 3) — vybereme adaptér pˇ ripojený do Internetu.
10
2.4 Základní nastavení komunikaˇ cních pravidel
Obrázek 2.5
Pr˚ uvodce komunikaˇ cními pravidly — výbˇ er internetového rozhraní
• Pravidla pro odchozí komunikaci (Krok 4) — povolíme pˇ rístup z lokální sítˇ e ke všem službám v Internetu.
Obrázek 2.6
Pr˚ uvodce komunikaˇ cními pravidly — pravidla pro odchozí komunikaci
• Pravidla pro Kerio VPN (Krok 5) — zapneme volbu Vytvoˇ rit pravidla pro Kerio VPN . Tím budou vytvoˇ rena komunikaˇ cní pravidla nutná pro propojení sítí centrály a poboˇ cky a pro pˇ ripojování vzdálených klient˚ u (podrobnosti viz kapitola 4). Abychom umožnili vzdálený pˇ rístupa ke sdíleným složkám a soubor˚ um v síti prostˇ rednictvím WWW prohlížeˇ ce, zapneme také volbu Vytvoˇ rit pravidla pro Kerio Clientless SSL-VPN.
11
Kapitola 2 Konfigurace sítˇ e v centrále firmy
Obrázek 2.7
Pr˚ uvodce komunikaˇ cními pravidly — pravidla pro Kerio VPN
• Pravidla pro pˇ ríchozí komunikaci (Krok 6) — nastavíme mapování SMTP serveru na firewallu.
Obrázek 2.8
Obrázek 2.9
Pr˚ uvodce komunikaˇ cními pravidly — mapování SMTP serveru
Pr˚ uvodce komunikaˇ cními pravidly — pravidla pro pˇ ríchozí komunikaci
12
2.5 Nastavení DHCP serveru
Poznámka: V tomto kroku pr˚ uvodce m˚ užeme také nastavit mapování FTP serveru v lokální síti. Pro vˇ etší názornost však použijeme druhý zp˚ usob — definici vlastního komunikaˇ cního pravidla. Podrobnosti viz kapitola 2.13. • Sdílení internetového pˇ ripojení (Krok 7) — v lokální síti budou použity privátní IP adresy, proto aktivujeme pˇ reklad adres (NAT).
Obrázek 2.10
Pr˚ uvodce komunikaˇ cními pravidly — sdílení internetového pˇ ripojení (NAT)
Poznámka: Na serveru poboˇ cky nemá smysl vytvᡠret pravidla pro Kerio VPN a pro pˇ ríchozí komunikaci (server má dynamickou veˇ rejnou IP adresu a žádní klienti se k nˇ emu nemohou pˇ ripojovat).
2.5 Nastavení DHCP serveru Informace k pˇ ríkladu Poˇ cítaˇ cu ˚m v lokální síti budou pˇ ridˇ eleny IP adresy následovnˇ e: • Doménový server / FTP server bude mít statickou IP adresu 192.168.1.2 (zejména z d˚ uvodu mapování komunikace z Internetu se jeho IP adresa nesmí mˇ enit). • Sít’ová tiskárna bude mít pevnou IP adresu pˇ ridˇ elovanou protokolem DHCP (rezervace v DHCP serveru). Tiskárna nem˚ uže mít dynamickou IP adresu — kdyby se její adresa zmˇ enila, byla by pro klienty nedostupná. Poznámka: V principu nezáleží na tom, zda je IP adresa tiskárny nastavena ruˇ cnˇ e nebo je jí pˇ ridˇ elována pevná adresa DHCP serverem. Pˇ ri použití DHCP serveru odpadá konfigurace samotné tiskárny a její adresa je vidˇ et v seznamu pˇ ridˇ elených adres DHCP serveru. Naopak pˇ ri ruˇ cní konfiguraci adresy bude tiskárna nezávislá na dostupnosti DHCP serveru. • Pracovním stanicím v lokální síti budou pˇ ridˇ elovány dynamické IP adresy (výraznˇ e jednodušší konfigurace).
13
Kapitola 2 Konfigurace sítˇ e v centrále firmy
Obrázek 2.11
e s pˇ ridˇ elenými IP adresami Modelová konfigurace sítˇ
Poznámky: 1.
DNS doména v lokální síti musí být shodná s doménou Active Directory, tj. firma.cz.
2.
V síti poboˇ cky firmy budou použity IP adresy 10.1.1.x s maskou subsítˇ e 255.255.255.0 a DNS doména pobocka.firma.cz.
Konfigurace DHCP serveru V programu Kerio Administration Console zvolíme sekci Konfigurace → DHCP server. Nejprve v záložce Rozsahy adres vytvoˇ ríme rozsah adres dynamicky pˇ ridˇ elovaných pracovním stanicím (volba Pˇ ridat → Rozsah adres...). Pˇ ri definici rozsahu je tˇ reba specifikovat tyto parametry: • První adresa — zvolíme 192.168.1.10 (IP adresy 192.168.1.1 - 192.168.1.9 z˚ ustanou vyhrazeny pro servery a tiskárny), • Poslední adresa — 192.168.1.254 (nejvyšší možná pro zvolenou subsít’), • Maska subsítˇ e — 255.255.255.0, • Výchozí brána — IP adresa rozhraní firewallu pˇ ripojeného do lokální sítˇ e (192.168.1.1).
14
2.5 Nastavení DHCP serveru
Poznámka: Výchozí brána urˇ cuje, kudy budou smˇ erovány pakety z lokální sítˇ e do Internetu. P˚ ujdou-li pˇ res WinRoute, bude možné filtrovat komunikaci, vyžadovat ovˇ eˇ rování uživatel˚ u atd. • DNS server — IP adresa doménového serveru, tj. 192.168.1.2 (viz kapitola 2.2).
Obrázek 2.12
DHCP server — definice rozsahu IP adres pro pracovní stanice
Dále volbou Pˇ ridat → Rezervaci... vytvoˇ ríme rezervaci pro sít’ovou tiskárnu. Rezervovaná IP adresa nemusí být z výše uvedeného rozsahu, musí ale náležet do zvolené subsítˇ e (v tomto pˇ ríkladu rezervujeme adresu 192.168.1.3). Pro vytvoˇ rení rezervace je tˇ reba znát hardwarovou (MAC) adresu tiskárny. TIP: Neznáte-li MAC adresu tiskárny, nevytvᡠrejte rezervaci ruˇ cnˇ e. Po aktivaci DHCP serveru pˇ ripojte tiskárnu do sítˇ e. Tiskárnˇ e bude pˇ ridˇ elena IP adresa z definovaného rozsahu (viz výše). V záložce Pˇ ridˇ elené IP adresy tuto adresu oznaˇ cte a stisknˇ ete tlaˇ cítko Rezervovat... — zobrazí se dialog pro rezervaci adresy, ve kterém bude již vyplnˇ ena pˇ ríslušná MAC adresa. Doplˇ nte požadovanou IP adresu, pˇ rípadnˇ e popis a stisknˇ ete tlaˇ cítko OK. Pak tiskárnu restartujte. Po restartu DHCP server tiskárnˇ e pˇ ridˇ elí správnou IP adresu.
15
Kapitola 2 Konfigurace sítˇ e v centrále firmy
Obrázek 2.13
DHCP server — rezervace IP adresy pro tiskárnu
Poznámky: 1.
DHCP server doporuˇ cujeme aktivovat až po definici všech požadovaných rozsah˚ u a rezervací. Výjimkou je pouze pˇ rípad, kdy potˇ rebujeme zjistit MAC adresu klienta (viz výše).
2.
Pro automatickou konfiguraci sít’ových zaˇ rízení lze použít i jiný DHCP server v lokální síti. V parametrech pro pˇ ríslušný rozsah adres na tomto DHCP serveru nastavíme jako adresu výchozí brány a DNS serveru IP adresu rozhraní firewallu (tj. poˇ cítaˇ ce s WinRoute) pˇ ripojeného do lokální sítˇ e.
2.6 Konfigurace DNS a nastavení DNS Forwarderu Nastavení DNS na doménovém serveru Pro správnou funkci Active Directory je nutné, aby byl jako primární DNS server použit doménový server. V konfiguraci DNS na tomto serveru nastavíme pˇ redávání DNS dotaz˚ u pro všechny ostatní domény DNS Forwarderu ve WinRoute, tj. na IP adresu 192.168.1.1. Tím zajistíme jednak správné pˇ redávání dotaz˚ u do domény poboˇ cky firmy (viz kapitoly 4.1 a 4.2) a zároveˇ n rychlejší vyˇ rizování dotaz˚ u pˇ redávaných DNS server˚ um v Internetu. Do DNS dále pˇ ridáme statický záznam pro jméno poˇ cítaˇ ce s WinRoute (napˇ r. kwf.firma.cz). Toto jméno budou používat klienti pˇ ri pˇ rístupu na WWW rozhraní WinRoute.
16
2.6 Konfigurace DNS a nastavení DNS Forwarderu
Obrázek 2.14
Obrázek 2.15
Microsoft DNS server — nastavení pˇ redávání DNS dotaz˚ u
Pˇ ridání DNS záznamu pro jméno poˇ cítaˇ ce s WinRoute
17
Kapitola 2 Konfigurace sítˇ e v centrále firmy
Nastavení modulu DNS Forwarder V sekci Konfigurace → DNS Forwarder nastavíme DNS servery, kterým budou DNS dotazy pˇ redávány. Doporuˇ cujeme použít volbu Pˇ redávat dotazy tˇ emto DNS server˚ um a uvést IP adresy jednoho nebo více DNS server˚ u v Internetu (z d˚ uvodu snadnˇ ejšího odstraˇ nování pˇ rípadných problém˚ u). Nejvhodnˇ ejší je použít DNS servery poskytovatele internetového pˇ ripojení (jsou nejsnáze dosažitelné). Jejich IP adresy dodá pˇ ríslušný poskytovatel.
Obrázek 2.16
Konfigurace modulu DNS Forwarder
Nastavení ostatních parametr˚ u DNS Forwarderu: • Volbu Používat cache... doporuˇ cujeme ponechat zapnutou (odezvy na opakované DNS dotazy budou výraznˇ e rychlejší). • Zapneme volbu Použít nastavení pro pˇ redávání DNS dotaz˚ u. Specifická nastavení budou potˇ reba pro správné pˇ redávání dotaz˚ u mezi sítˇ emi centrály a poboˇ cky firmy. Nastavení pˇ redávání DNS dotaz˚ u bude podrobnˇ e popsáno v kapitolách 4.1 a 4.2.
18
2.7 Nastavení WWW rozhraní a SSL-VPN
• Volby souboru ’hosts’ a tabulce adres pˇ ridˇ elených DHCP serverem ponecháme vypnuté, protože DNS Forwarder neslouží jako DNS server pro lokální doménu (tuto funkci plní DNS server na doménovém serveru).
2.7 Nastavení WWW rozhraní a SSL-VPN V sekci Konfigurace → Další volby → WWW rozhraní / SSL-VPN povolíme rozhraní Clientless SSL-VPN a WWW rozhraní WinRoute. Rozhraní Clientless SSL-VPN slouží pro zabezpeˇ cený vzdálený pˇ rístup ke sdíleným soubor˚ um v lokální síti prostˇ rednictvím WWW prohlížeˇ ce. WWW rozhraní WinRoute je nutné pro zobrazování informací o zákazech pˇ ri pokusu o pˇ rístup na zakázané WWW stránky (viz kapitola 2.10), zároveˇ n jej uživatelé mohou využít pro nastavení nˇ ekterých parametr˚ u uživatelského úˇ ctu nebo pro pˇ rístup ke statistikám.
Obrázek 2.17
Nastavení parametr˚ u Clientless SSL-VPN a WWW rozhraní
V sekci Kerio SSL-VPN povolíme server rozhraní Clientless SSL-VPN . Volbou Upˇ resnˇ ení → Zmˇ enit SSL certifikát → Vytvoˇ rit SSL certifikát vytvoˇ ríme nový certifikát (podepsaný sám sebou) na jméno serveru kwf.firma.cz. V sekci Uživatelské WWW rozhraní povolíme WWW rozhraní a stejným zp˚ usobem vytvoˇ ríme certifikát.
19
Kapitola 2 Konfigurace sítˇ e v centrále firmy
Obrázek 2.18
Vytvoˇ rení SSL certifikátu pro Clientless SSL-VPN a WWW rozhraní
TIP: Vytvoˇ rené certifikáty (které jsou podepsané samy sebou) m˚ užeme pozdˇ eji nahradit plnohodnotnými certifikáty vystavenými nˇ ekterou veˇ rejnou certifikaˇ cní autoritou.
2.8 Mapování uživatelských úˇ ct˚ u a skupin z Active Directory Pro použití uživatelských úˇ ct˚ u z Active Directory nastavíme mapování pˇ ríslušné domény a definujeme šablonu, kterou nastavíme všem uživatel˚ um parametry specifické pro WinRoute (uživatelská práva, kvóty objemu pˇ renesených dat atd.).
Mapování domény V lokální síti je vytvoˇ rena Active Directory doména. Ve WinRoute proto nemusíme definovat lokální uživatelské úˇ cty, staˇ cí mapovat pˇ ríslušnou doménu. Mapování Active Directory domény nastavíme v sekci Uživatelé a skupiny → Uživatelé, záložka Active Directory. Mapování Active Directory Do položky Jméno domény Active Directory zadáme DNS jméno domény — firma.cz. Položka Popis slouží pouze pro snazší orientaci v Administration Console. Pˇ rístup do domény WinRoute potˇ rebuje znát uživatelské jméno a heslo pro pˇ rístup do databáze Active Directory. K tomuto úˇ celu staˇ cí pˇ rístup pro ˇ ctení, tzn. m˚ užeme použít libovolný uživatelský úˇ cet z pˇ ríslušné domény. Poznámka: Upˇ resˇ nující parametry (tlaˇ cítko Upˇ resnˇ ení ) není tˇ reba nastavovat.
20
2.8 Mapování uživatelských úˇ ct˚ u a skupin z Active Directory
Obrázek 2.19
Nastavení mapování Active Directory domény
NT ovˇ eˇ rování Ovˇ eˇ rování v doménˇ e Windows NT je vhodné povolit — pro automatické ovˇ eˇ rování uživatel˚ u z WWW prohlížeˇ cu ˚ a pro zachování kompatibility se staršími verzemi Windows. Do položky Jméno NT domény zadáme jméno odpovídající domény Windows NT , tj. FIRMA.
Definice šablony uživatelských úˇ ct˚ u V záložce Uživatelské úˇ cty vybereme mapovanou Active Directory doménu firma.cz. Tlaˇ cítkem Šablona otevˇ reme dialog pro definici šablony uživatelských úˇ ct˚ u. Požadavkem je umožnit uživatel˚ um vzdálený pˇ rístup do lokální sítˇ e prostˇ rednictvím aplikace Kerio VPN Client nebo rozhraní Clientless SSL-VPN (viz kapitola 1). V záložce Práva nastavíme odpovídající uživatelská práva.
21
Kapitola 2 Konfigurace sítˇ e v centrále firmy
Obrázek 2.20
Obrázek 2.21
Zobrazení uživatelských úˇ ct˚ u v mapované doménˇ e
Šablona uživatelských úˇ ct˚ u — práva pro Kerio VPN a Clientless SSL-VPN
22
2.9 Skupiny IP adres a ˇ casové intervaly
2.9 Skupiny IP adres a ˇ casové intervaly V sekci Definice → Skupiny IP adres vytvoˇ ríme skupinu adres, kterou použijeme pro omezení pˇ rístupu k elektronické poštˇ e (viz kapitola 2.13). Tato skupina bude tvoˇ rena dvˇ ema IP adresami 123.23.32.123, 50.60.70.80 a celou subsítí 195.95.95.128 s maskou 255.255.255.248.
Obrázek 2.22
Skupina IP adres — pˇ ridání poˇ cítaˇ ce
Obrázek 2.23
Skupina IP adres — pˇ ridání subsítˇ e
23
Kapitola 2 Konfigurace sítˇ e v centrále firmy
Poznámka: Jméno musí být ve všech pˇ rípadech shodné, aby byly všechny položky zaˇ razeny do jedné skupiny.
24
2.9 Skupiny IP adres a ˇ casové intervaly
Obrázek 2.24
Výsledná skupina IP adres
ˇ V sekci Definice → Casové intervaly vytvoˇ ríme skupinu pro omezení pˇ rístupu v pracovní dobˇ e (pondˇ elí — pátek 8:00 — 16:30 hod., sobota a nedˇ ele 8:00 — 12:00 hod.).
Obrázek 2.25
Definice pracovní doby ve dnech pondˇ elí — pátek
25
Kapitola 2 Konfigurace sítˇ e v centrále firmy
Obrázek 2.26
Definice pracovní doby o víkendu (sobota a nedˇ ele)
Poznámky: 1.
V obou pˇ rípadech m˚ užeme v položce Platnost využít pˇ reddefinované skupiny dn˚ u v týdnu (Pracovní dny a Víkend) — nemusíme zaškrtávat jednotlivé dny.
2.
Položka Jméno musí být v obou pˇ rípadech stejná, aby došlo k vytvoˇ rení jednoho ˇ casového intervalu.
Obrázek 2.27 Výsledný ˇ casový interval Pracovní doba
26
2.10 Nastavení pravidel pro WWW
2.10 Nastavení pravidel pro WWW Požadavky Pˇ rístup na WWW stránky má být omezen následujícím zp˚ usobem: • filtrování reklam na WWW stránkách • zákaz pˇ rístupu na stránky s erotickým obsahem • zákaz pˇ rístupu na stránky z nabídkou pracovních míst, tyto stránky musejí z˚ ustat pˇ rístupné ˇ clen˚ um personálního oddˇ elení • pˇ ri pˇ rístupu na WWW bude vyžadováno ovˇ eˇ rení uživatele (lze tak lépe sledovat, jaké stránky kteˇ rí uživatelé navštˇ evují)
Pˇ reddefinovaná pravidla V sekci Konfigurace → Filtrování obsahu → Pravidla, záložka Pravidla pro URL, jsou pˇ reddefinována základní pravidla:
Obrázek 2.28
Pˇ reddefinovaná pravidla pro filtrování WWW stránek
Allow automatic updates Pravidlo pro povolení automatických aktualizací WinRoute, resp. antiviru McAfee se server˚ u firmy Kerio Technologies. Toto pravidlo lze využít, pokud budou definována omezující pravidla, která by tyto aktualizace zablokovala. Remove advertisment and banners Filtrování reklam a reklamních pruh˚ u. Na základˇ e tohoto pravidla jsou zahazovány všechny objekty, jejichž URL patˇ rí do (rovnˇ ež pˇ reddefinované) skupiny URL Ads/banners. Toto pravidlo staˇ cí pouze aktivovat (zaškrtnout).
27
Kapitola 2 Konfigurace sítˇ e v centrále firmy
Poznámka: V urˇ citých pˇ rípadech m˚ uže dojít k zahození stránky, která není reklamou. Pak je tˇ reba ze skupiny Ads/banners vyˇ radit položku, která zp˚ usobuje problémy, nebo pˇ ridat pˇ red toto pravidlo výjimku pro konkrétní stránky (doporuˇ cujeme druhou z uvedených možností). Allow MS Windows automatic updates Pravidlo pro povolení automatických aktualizací operaˇ cního systému Windows se server˚ u firmy Microsoft. Toto pravidlo lze využít, pokud budeme definovat omezující pravidla, která by tyto aktualizace zablokovala. Deny sites rated in ISS OrangeWeb Filter categories Zákaz pˇ rístupu na WWW stránky, které modul ISS OrangeWeb Filter klasifikuje do nˇ ekteré z vybraných kategorií. V definici pravidla musíme (po stisku tlaˇ cítka Vybrat hodnocení...) zvolit kategorie, které chceme blokovat. Pro zakázání pˇ rístupu na stránky s erotickým obsahem zaškrtneme kategorie v sekci Pornografie / Nahota.
28
2.10 Nastavení pravidel pro WWW
Obrázek 2.29
Výbˇ er kategorií WWW stránek pro modul ISS OrangeWeb Filter
Poznámky: 1.
2.
3. 4.
Základní licence WinRoute systém ISS OrangeWeb Filter neobsahuje (je tˇ reba zakoupit speciální licenci). Ve zkušební verzi WinRoute je tento systém k dispozici. Systém ISS OrangeWeb Filter ve WinRoute musí komunikovat s databázovými servery v Internetu. Komunikaˇ cní pravidla proto musejí povolit pˇ rístup z firewallu ke službˇ e COFS (6000/TCP). Poznámka: Pravidla vytvoˇ rená pr˚ uvodcem komunikaˇ cními pravidly povolují všechnu komunikaci z firewallu do Internetu — v tomto pˇ rípadˇ e není tˇ reba definovat další pravidlo. Pravidel pro URL využívajících ISS OrangeWeb Filter m˚ uže být definováno více. V každém pravidle m˚ uže být nastaveno více kategorií. V pravidlech využívajících ISS OrangeWeb Filter je vhodné povolit „odemknutí“. Za urˇ citých okolností m˚ uže dojít k nesprávné klasifikaci stránky a tím k zamezení pˇ rístupu k užiteˇ cným informacím. Všechny požadavky na odemknutí pravidel se zaznamenávají do záznamu Filter — zde m˚ užeme zkontrolovat, zda byl požadavek uživatele oprávnˇ ený ˇ ci nikoliv.
29
Kapitola 2 Konfigurace sítˇ e v centrále firmy
V definici pravidla pro URL lze v záložce Upˇ resnˇ ení zadat text, který se uživateli zobrazí pˇ ri pokusu o pˇ rístup na zakázanou stránku, pˇ rípadnˇ e pˇ resmˇ erovat uživatele na jinou stránku.
Definice vlastních pravidel pro URL Za pravidlo vyžadující ovˇ eˇ rení všech uživatel˚ u m˚ užeme pˇ ridávat pravidla vztahující se na konkrétní uživatele nebo skupiny uživatel˚ u. Pˇ ridáme pravidlo povolující pˇ rístup na stránky s nabídkou pracovních míst skupinˇ e uživatel˚ u Personální oddˇ elení .
Obrázek 2.30
rístupu na kategorii stránek skupinˇ e uživatel˚ u Pravidlo pro URL — povolení pˇ
30
2.10 Nastavení pravidel pro WWW
Za toto pravidlo pˇ ridáme pravidlo zakazující pˇ rístup na stránky s nabídkou pracovních míst všem uživatel˚ um.
Obrázek 2.31
Pravidlo pro URL — zákaz pˇ rístupu na kategorii stránek všem (ostatním) uživatel˚ um
Poznámky: 1.
V pravidle zakazujícím pˇ rístup všem uživatel˚ um je vhodné zapnout volbu nevyžadovat ovˇ eˇ rení . V opaˇ cném pˇ rípadˇ e, pokud uživatel pˇ ristupující na zakázanou stránku není dosud pˇ rihlášen, dojde nejprve k pˇ resmˇ erování na pˇ rihlašovací stránku a po úspˇ ešném pˇ rihlášení bude zobrazena stránka se zákazem (pˇ rípadnˇ e prázdná stránka — dle nastavení v záložce Upˇ resnˇ ení ).
2.
V obou pravidlech je vybrána jediná kategorie Zamˇ estnání .
31
Kapitola 2 Konfigurace sítˇ e v centrále firmy
Obrázek 2.32
Pravidlo pro URL — výbˇ er kategorií WWW stránek
Vyžadování ovˇ eˇ rení uživatele pˇ ri pˇ rístupu na WWW stránky Posledním požadavkem omezení pˇ rístupu na WWW stránky je vyžadovat ovˇ eˇ rení uživatele pˇ ri pˇ rístupu na libovolnou stránku. Tuto funkci aktivujeme v sekci Uživatelé a skupiny → Uživatelé, záložka Volby pro ovˇ eˇ rování , volbou Pˇ ri pˇ rístupu na WWW stránky vždy vyžadovat ovˇ eˇ rení uživatele.
32
2.10 Nastavení pravidel pro WWW
Obrázek 2.33
Vyžadování ovˇ eˇ rení uživatele pˇ ri pˇ rístupu na WWW stránky
Nastavení HTTP cache Cache slouží ke zrychlení pˇ rístupu na opakovanˇ e navštˇ evované WWW stránky a snížení zatížení internetového pˇ ripojení (v pˇ rípadˇ e mˇ eˇ rené linky se také sníží objem pˇ renesených dat), proto ji doporuˇ cujeme použít. V sekci Konfigurace → Filtrování obsahu → Pravidla pro HTTP, záložka Cache zapneme volby Povolit cache pro transparentní proxy a Povolit cache pro proxy server (nezáleží na tom, zda jsou využity oba typy pˇ rístupu nebo pouze nˇ ekterý z nich). V položce Velikost cache nastavíme velikost cache dle potˇ reby a s ohledem na velikost dostupného místa na disku. Výchozí hodnota je 1 GB (1024 MB), maximum je 2 GB (2048 MB).
33
Kapitola 2 Konfigurace sítˇ e v centrále firmy
Obrázek 2.34
Konfigurace HTTP cache
2.11 Nastavení pravidel pro FTP Požadavky Používání FTP bude omezeno následujícím zp˚ usobem: • zákaz pˇ renosu hudebních soubor˚ u formátu MP3 • zákaz pˇ renosu videa (*.avi) v pracovní dobˇ e • zákaz uploadu (ukládání soubor˚ u na FTP servery) — zabránˇ ení úniku informací z firmy
Pˇ reddefinovaná pravidla pro FTP Omezení FTP nastavíme v sekci Konfigurace → Filtrování obsahu → Pravidla pro FTP. Pro všechna požadovaná omezení m˚ užeme využít pˇ reddefinovaných pravidel.
34
2.11 Nastavení pravidel pro FTP
Obrázek 2.35
Pˇ reddefinovaná pravidla pro FTP
Forbid resume due antivirus scanning Zákaz pokraˇ cování v pˇ renosu souboru po pˇ rerušení (napˇ r. z d˚ uvodu sít’ové chyby). Je-li provádˇ ena antivirová kontrola soubor˚ u pˇ renášených protokolem FTP, doporuˇ cujeme toto pravidlo zapnout (soubory pˇ renášené „po ˇ cástech“ antivirus nem˚ uže spolehlivˇ e zkontrolovat). Forbid upload Zákaz ukládání dat na FTP server — staˇ cí pouze zapnout. Forbid *.mpg, *.mp3 and *.mpeg files Zákaz pˇ renosu zvukových soubor˚ u uvedených formát˚ u. Toto pravidlo staˇ cí pouze zapnout. Forbid *.avi files Zákaz pˇ renosu videa. Zapneme toto pravidlo, tlaˇ cítkem Zmˇ enit jej otevˇ reme a v záložce Upˇ resnˇ ení nastavíme ˇ casový interval Pracovní doba. Upozornˇ ení: Pravidla pro FTP se vztahují na všechnu komunikaci protokolem FTP, která je obsluhována inspekˇ cním modulem FTP. V našem pˇ ríkladu chceme zpˇ rístupnit z Internetu FTP server v lokální síti. Pravidlo Forbid upload zakazuje upload také na tento server, což není žádoucí. Proto musíme pˇ red pravidlo Forbid upload pˇ ridat pravidlo, které povoluje upload na tento FTP server.
35
Kapitola 2 Konfigurace sítˇ e v centrále firmy
Obrázek 2.36
Pravidlo Forbid *.avi files — nastavení ˇ casové platnosti
36
2.11 Nastavení pravidel pro FTP
Obrázek 2.37
Pravidlo pro FTP — povolení pˇ rístupu na firemní FTP server
37
Kapitola 2 Konfigurace sítˇ e v centrále firmy
Obrázek 2.38
Pravidlo pro FTP — povolení uploadu libovolného souboru
Poznámky: 1.
Jako IP adresa FTP serveru musí být uvedena adresa poˇ cítaˇ ce v lokální síti, na kterém FTP server skuteˇ cnˇ e bˇ eží. Nelze uvést vnˇ ejší IP adresu firewallu, z níž je FTP server mapován (pokud FTP server nebˇ eží pˇ rímo na firewallu)! Pˇ reklad IP adres se provádí pˇ red zpracováním pravidel pro filtrování obsahu.
2.
Obdobným zp˚ usobem lze povolit i upload na konkrétní FTP server v Internetu, zatímco na všechny ostatní FTP servery bude zakázán.
2.12 Nastavení antivirové kontroly Chceme-li použít nˇ ekterý z podporovaných externích antivir˚ u, nainstalujeme jej. Antivirus McAfee je souˇ cástí WinRoute a pro jeho ˇ cinnost je tˇ reba pouze speciální licence. V sekci Konfigurace → Filtrování obsahu → Antivirus, záložka Antivirový program, nastavíme požadovaný antivirus a vybereme protokoly, na které má být antivirová kontrola aplikována. Záložky Kontrola HTTP a FTP a Kontrola e-mailu umožˇ nují podrobnˇ ejší nastavení parametr˚ u pro kontrolu jednotlivých protokol˚ u. Výchozí nastavení je zpravidla vyhovující.
38
2.13 Zpˇ rístupnˇ ení lokálních služeb z Internetu
Obrázek 2.39
Nastavení antivirové kontroly
2.13 Zpˇ rístupnˇ ení lokálních služeb z Internetu V sekci Konfigurace → Komunikaˇ cní pravidla pˇ ridáme pravidla pro služby, které mají být pˇ rístupné z Internetu. Pravidla pro mapování služeb by mˇ ela být umístˇ ena vždy na zaˇ cátku tabulky komunikaˇ cních pravidel. • zpˇ rístupnˇ ení (mapování) lokálního FTP serveru
Obrázek 2.40
Zpˇ rístupnˇ ení lokálního FTP serveru z Internetu
• pˇ rístup ke službám poštovního serveru (kromˇ e SMTP) — povolíme pouze z požadovaných IP adres.
Obrázek 2.41
Povolení pˇ rístupu ke službám poštovního serveru na firewallu
39
Kapitola 2 Konfigurace sítˇ e v centrále firmy
Poznámky: 1.
Toto pravidlo povoluje pˇ rístup ke službám IMAP i POP3 v zabezpeˇ cené i nezabezpeˇ cené verzi — klienti si mohou vybrat, jakou službu budou využívat.
2.
Služba SMTP byla mapována pomocí pr˚ uvodce komunikaˇ cními pravidly (viz kapitola 2.4) — pˇ ríslušné pravidlo v tomto okamžiku již existuje.
3.
Poslat e-mail do lokální domény smí kdokoliv, proto nelze ke službˇ e SMTP omezovat pˇ rístup pouze z urˇ citých IP adres.
2.14 Zabezpeˇ cený pˇ rístup vzdálených klient˚ u do lokální sítˇ e Pro zabezpeˇ cený pˇ rístup vzdálených klient˚ u do lokální sítˇ e (dále jen „VPN klienti“) povolíme VPN server v sekci Konfigurace → Rozhraní , záložka Rozhraní (podrobnosti viz reba. Komunikace VPN klient˚ u je již povokapitola 4.1). Žádná další nastavení nejsou tˇ lena pravidly vytvoˇ renými pr˚ uvodcem — viz kapitola 2.4. Poznámky: 1.
Pro pˇ ripojení k VPN serveru ve WinRoute musí být na každém vzdáleném klientovi nainstalována aplikace Kerio VPN Client. Klienti se budou pˇ ripojovat k serveru v centrále firmy (tj. na IP adresu 63.55.21.12, resp. na jméno serveru kwf.firma.cz) a ovˇ eˇ rovat uživatelským jménem a heslem svého úˇ ctu ve WinRoute (viz kapitola 2.8). Podrobné informace naleznete v manuálu Kerio VPN Client — Pˇ ríruˇ cka uživatele (http://www.kerio.cz/kwf-manual).
2.
VPN klienti se budou pˇ ripojovat pouze na server v centrále firmy. Na serveru poboˇ cky není tˇ reba žádná nastavení pro VPN klienty provádˇ et.
2.15 Nastavení poˇ cítaˇ cu ˚ v lokální síti Na poˇ cítaˇ ci, který slouží jako doménový server a FTP server, nastavíme parametry TCP/IP ruˇ cnˇ e (jeho IP adresa se nesmí mˇ enit): • IP adresa — zadáme adresu 192.168.1.2 (viz kapitola 2.5), • výchozí brána — zadáme IP adresu pˇ ríslušného rozhraní firewallu, tj. 192.168.1.1, • DNS server — protože na tomto poˇ cítaˇ ci bˇ eží Microsoft DNS, systém automaticky nastaví jako primární DNS server lokální zpˇ etnovazební adresu (loopback — 127.0.0.1).
40
2.15 Nastavení poˇ cítaˇ cu ˚ v lokální síti
Obrázek 2.42
Konfigurace TCP/IP na souborovém/FTP serveru
Na pracovních stanicích nastavíme automatickou konfiguraci pomocí DHCP (ve vˇ etšinˇ e operaˇ cních systém˚ u výchozí nastavení po instalaci).
41
Kapitola 2 Konfigurace sítˇ e v centrále firmy
Obrázek 2.43
Konfigurace TCP/IP na pracovních stanicích
42
Kapitola 3
Konfigurace sítˇ e v poboˇ cce firmy
Pro rychlou konfiguraci sítˇ e v poboˇ cce firmy lze použít analogický postup jako pro sít’ centrály — viz kapitola 2. Jediný rozdíl je v konfiguraci DNS. Pˇ redpokládejme, že v síti poboˇ cky firmy není doménový server ani žádný jiný DNS server. Funkci primárního DNS serveru zde bude plnit DNS Forwarder ve WinRoute.
3.1 Konfigurace sít’ových rozhraní internetové brány Na rozhraní firewallu pˇ ripojeném do lokální sítˇ e nastavíme pevnou IP adresu (napˇ r. 10.1.1.1). Stejnou IP adresu zadáme jako primární DNS server (aby DNS dotazy z lokálního poˇ cítaˇ ce byly rovnˇ ež pˇ redávány DNS Forwarderu — d˚ uležité zejména v pˇ rípadˇ e vytᡠceného pˇ ripojení). Na tomto rozhraní nesmí být nastavena žádná výchozí brána!
Obrázek 3.1
Poboˇ cka — konfigurace lokálního rozhraní firewallu
43
Kapitola 3 Konfigurace sítˇ e v poboˇ cce firmy
Rozhraní pˇ ripojené do Internetu nastavíme dle údaj˚ u od poskytovatele internetového pˇ ripojení.
3.2 Nastavení DNS Forwarderu V konfiguraci modulu DNS Forwarder zapneme jednoduchý pˇ revod DNS jmen. Do položky Pˇ ri prohledávání souboru ’hosts’... uvedeme lokální doménu poboˇ cky firmy, tj. pobocka.firma.cz.
Obrázek 3.2
Poboˇ cka — konfigurace modulu DNS Forwarder
Do souboru hosts je vhodné pˇ ridat záznam o serveru (pˇ rípadnˇ e o dalších poˇ cítaˇ cích, kterým bude nastavena pevná IP adresa).
44
3.3 Nastavení DHCP serveru
Obrázek 3.3
Poboˇ cka — pˇ ridání záznamu o serveru do souboru ’hosts’
3.3 Nastavení DHCP serveru V konfiguraci DHCP serveru nastavíme rozsah IP adres pro poˇ cítaˇ ce v lokální síti poboˇ cky. Jako adresu DNS serveru zadáme IP adresu lokálního rozhraní firewallu (10.1.1.1).
Obrázek 3.4
Poboˇ cka — nastavení rozsahu adres pˇ ridˇ elovaných DCHP serverem
45
Kapitola 3 Konfigurace sítˇ e v poboˇ cce firmy
46
Kapitola 4
Propojení sítí centrály a poboˇ cky
V této kapitole naleznete postup propojení sítí v centrále a v poboˇ cce firmy zabezpeˇ ceným šifrovaným kanálem (dále jen „VPN tunel“). Pˇ ríklad obsahuje pouze základní kroky pro vytvoˇ rení VPN tunelu mezi dvˇ ema sítˇ emi — bez omezování pˇ rístupu a dalších specifických nastavení. Pˇ ríklad složitˇ ejší konfigurace VPN naleznete v manuálu Kerio WinRoute Firewall — Pˇ ríruˇ cka administrátora. Postup konfigurace je rozdˇ elen na dvˇ eˇ cásti: nastavení v centrále firmy a nastavení v poboˇ cce firmy. Pˇ redpokládejme, že obˇ e sítˇ e jsou již nastaveny podle postupu uvedeného v kapitole 2 a internetové pˇ ripojení na obou stranách je funkˇ cní. Informace k pˇ ríkladu Pro pˇ rehlednost uved’me znovu schéma propojovaných sítí vˇ cetnˇ e IP adres.
Obrázek 4.1
Modelová konfigurace sítˇ e s pˇ ridˇ elenými IP adresami
47
Kapitola 4 Propojení sítí centrály a poboˇ cky
V centrále firmy jsou použity IP adresy 192.168.1.x s maskou subsítˇ e 255.255.255.0 a DNS doménu firma.cz. Poboˇ cka používá IP adresy 10.1.1.x s maskou subsítˇ e 255.255.255.0 a subdoménu pobocka.firma.cz.
4.1 Konfigurace v centrále firmy 1.
Ve WinRoute v sekci Konfigurace / Rozhraní , záložka Rozhraní vybereme VPN server. Dvojitým kliknutím (pˇ rípadnˇ e tlaˇ cítkem Zmˇ enit) otevˇ reme dialog pro nastavení parametr˚ u VPN serveru. V záložce Obecné zapneme volbu Povolit VPN server. Poznámka: V položkách VPN subsít’ a Maska je nyní uvedena automaticky vybraná volná subsít’ pro VPN. Nastavenou subsít’ není tˇ reba mˇ enit.
Obrázek 4.2
Centrála — konfigurace VPN serveru
Stiskneme tlaˇ cítko Zmˇ enit SSL certifikát. Pomocí tlaˇ cítka Vytvoˇ rit certifikát vytvoˇ ríme SSL certifikát VPN serveru (slouží pro ovˇ eˇ rení identity serveru). Poznámka: Vytvoˇ rený certifikát doporuˇ cujeme v budoucnu nahradit plnohodnotným certifikátem vystaveným d˚ uvˇ eryhodnou veˇ rejnou certifikaˇ cní autoritou. 2.
Vytvoˇ ríme pasivní konec VPN tunelu (server poboˇ cky má dynamickou IP adresu). Jako otisk vzdáleného SSL certifikátu zadáme otisk certifikátu VPN serveru na poboˇ cce.
48
4.1 Konfigurace v centrále firmy
Obrázek 4.3
Centrála — vytvoˇ rení SSL certifikátu VPN serveru
49
Kapitola 4 Propojení sítí centrály a poboˇ cky
Obrázek 4.4
3.
Centrála — pasivní konec VPN tunelu do poboˇ cky
VPN tunel doplníme do komunikaˇ cního pravidla Lokální komunikace (vytvoˇ reného Pr˚ uvodcem komunikaˇ cními pravidly — viz kapitola 2.4).
Obrázek 4.5
Centrála — pˇ ridání VPN tunelu do komunikaˇ cních pravidel
50
4.2 Konfigurace v poboˇ cce firmy
Poznámka: Pravidla Komunikace firewallu a Služba Kerio VPN jsou na obrázku 4.5 uvedena pro ilustraci — obˇ e tato pravidla jsou nutná pro navázání VPN tunelu. 4.
V konfiguraci DNS Forwarderu (viz kapitola 2.6) zapneme volbu Použít nastavení pro pˇ redávání DNS dotaz˚ u a definujeme pravidla pro doménu pobocka.firma.cz. Jako DNS server pro pˇ redávání dotaz˚ u uvedeme IP adresu vnitˇ rního rozhraní poˇ cítaˇ ce s WinRoute na protˇ ejší stranˇ e tunelu (tj. rozhraní pˇ ripojeného do lokální sítˇ e na protˇ ejší stranˇ e).
Obrázek 4.6
Centrála — konfigurace pˇ redávání DNS dotaz˚ u
4.2 Konfigurace v poboˇ cce firmy 1.
Ve WinRoute v sekci Konfigurace / Rozhraní , záložka Rozhraní vybereme VPN server. Dvojitým kliknutím (pˇ rípadnˇ e tlaˇ cítkem Zmˇ enit) otevˇ reme dialog pro nastavení parametr˚ u VPN serveru. V záložce Obecné zapneme volbu Povolit VPN server. Poznámka: V položkách VPN subsít’ a Maska je nyní uvedena automaticky vybraná volná subsít’ pro VPN. Nastavenou subsít’ není tˇ reba mˇ enit. Stiskneme tlaˇ cítko Upˇ resnˇ ení a v dialogu pro nastavení upˇ resˇ nujících parametr˚ u tlaˇ cítko Zmˇ enit SSL certifikát. Pomocí tlaˇ cítka Vytvoˇ rit certifikát vytvoˇ ríme SSL certifikát VPN serveru (slouží pro ovˇ eˇ rení identity serveru). Poznamenáme si otisk vytvoˇ reného certifikátu — bude potˇ reba pˇ ri definici VPN tunelu v centrále firmy. Poznámka: Vytvoˇ rený certifikát doporuˇ cujeme v budoucnu nahradit plnohodnotným certifikátem vystaveným d˚ uvˇ eryhodnou veˇ rejnou certifikaˇ cní autoritou.
51
Kapitola 4 Propojení sítí centrály a poboˇ cky
Obrázek 4.7
Obrázek 4.8
2.
Poboˇ cka — konfigurace VPN serveru
Poboˇ cka — vytvoˇ rení SSL certifikátu VPN serveru
Vytvoˇ ríme aktivní konec VPN tunelu (server poboˇ cky má dynamickou IP adresu). Otisk certifikátu VPN serveru v centrále firmy m˚ užeme nastavit jednoduše stisknutím tlaˇ cítka Detekovat vzdálený certifikát.
52
4.2 Konfigurace v poboˇ cce firmy
Obrázek 4.9
3.
Poboˇ cka — aktivní konec VPN tunelu do centrály
VPN tunel doplníme do komunikaˇ cního pravidla Lokální komunikace (vytvoˇ reného Pr˚ uvodcem komunikaˇ cními pravidly — viz kapitola 2.4).
Obrázek 4.10
Poboˇ cka — pˇ ridání VPN tunelu do komunikaˇ cních pravidel
53
Poznámka: Pravidlo Komunikace firewallu je na obrázku 4.10 uvedeno pro ilustraci — toto pravidlo je nutné pro navázání VPN tunelu. 4.
V konfiguraci DNS Forwarderu (viz kapitola 2.6) zapneme volbu Použít nastavení pro pˇ redávání DNS dotaz˚ u a definujeme pravidla pro doménu firma.cz. Jako DNS server pro pˇ redávání dotaz˚ u uvedeme IP adresu doménového serveru v centrále firmy (192.168.1.2), který slouží jako primární DNS server pro doménu firma.cz.
Obrázek 4.11
Poboˇ cka — konfigurace pˇ redávání DNS dotaz˚ u
4.3 Test funkˇ cnosti VPN tunelu Po dokonˇ cení konfigurace VPN tunelu doporuˇ cujeme z každé lokální sítˇ e vyzkoušet dostupnost poˇ cítaˇ cu ˚ v síti na protˇ ejší stranˇ e tunelu. Jako testovací nástroj lze použít napˇ r. pˇ ríkazy operaˇ cního systému ping nebo tracert. Doporuˇ cujeme ovˇ eˇ rit dostupnost poˇ cítaˇ ce ve vzdálené síti zadaného jednak IP adresou, jednak DNS jménem. Nedostaneme-li odezvu pˇ ri zadání vzdáleného poˇ cítaˇ ce IP adresou, je tˇ reba hledat chybu v nastavení komunikaˇ cních pravidel, pˇ rípadnˇ e provˇ eˇ rit, zda nenastala kolize subsítí (stejná subsít’ na obou stranách tunelu). Je-li test pˇ ri zadání poˇ cítaˇ ce IP adresou úspˇ ešný, ale pˇ ri zadání poˇ cítaˇ ce DNS jménem je hlášena chyba (Neznámý hostitel), pak je tˇ reba provˇ eˇ rit konfiguraci DNS. Poznámka: VPN klienti, kteˇ rí se pˇ ripojují k serveru centrály, mají pˇ rístup do sítˇ e centrály i poboˇ cky (pˇ rístup není nijak omezen). Proto v rámci testování VPN doporuˇ cujeme vyzkoušet pˇ rístup do obou sítí také z pˇ ripojeného VPN klienta.
54