Kerio Control VMware Virtual Appliance Pˇ ríruˇ cka pro rychlou instalaci 2011 Kerio Technologies s.r.o. Všechna práva vyhrazena. Tento dokument popisuje instalaci a základní nastavení produktu Kerio Control VMware Virtual Appliance ve verzi 7.1.2. Zmˇ eny vyhrazeny. Podrobné informace o produktu Kerio Control naleznete v manuálu Kerio Control — Pˇ ríruˇ cka administrátora a v související dokumentaci. Všechny dokumenty k tomuto produktu jsou k dispozici volnˇ e ke stažení na WWW stránce http://www.kerio.cz/cz/firewall/manual/.
1 Kerio Control VMware Virtual Appliance Kerio Control VMware Virtual Appliance je UTM zaˇ rízení, distribuované ve formˇ e virtuálního zaˇ rízení pro VMware. Nabízí komplexní sadu funkcí pro zabezpeˇ cení lokální sítˇ e, ˇ rízení pˇ rístupu uživatel˚ u do Internetu a monitorování jejich aktivit. Obsahuje rovnˇ ež nástroje pro zabezpeˇ cené propojení poboˇ cek firmy a pˇ ripojování vzdálených klient˚ u do lokální sítˇ e pˇ res Internet (VPN). Pro jednoduchost bude v následujícím textu oznaˇ cován výrazem firewall.
Kerio Control VMware Virtual Appliance
2 Systémové požadavky a licence Systémové požadavky Kerio Control VMware Virtual Appliance lze použít v tˇ echto produktech VMware: • • • • • •
Workstation 6.5, 7.0 Server 2.0 Fusion 2.0, 3.0 Player 2.5, 3.0 ESX 3.5, 4.0 ESXi 3.5, 4.0
Požadavky na hardware virtuálního poˇ cítaˇ ce: • CPU 2 GHz, • 1 GB operaˇ cní pamˇ eti RAM, • 8 GB diskového prostoru pro operaˇ cní systém, vlastní produkt, záznamy a databázi Kerio StaR, • Alespoˇ n jedno sít’ové rozhraní.
1
Pro plné využití všech funkcí produktu jsou potˇ reba tyto externí služby: • DNS server (pro pˇ redávání DNS dotaz˚ u), • SMTP server (pro zasílání informativních zpráv a výstrah). Lze využít jak servery v lokální síti, tak v Internetu. Volitelnˇ e lze nastavit také spolupráci se serverem Active Directory. Pro pˇ rístup k webovým službám produktu Kerio Control (Kerio Control Administration, Kerio StaR, Kerio SSL-VPN ) je možné použít tyto WWW prohlížeˇ ce: • Internet Explorer 7 — 9, • Firefox 3.5 — 4, • Safari 4 a 5. Program Kerio Administration Console (pro plnou vzdálenou správu) je možné nainstalovat na operaˇ cní systém Windows 2000 a novˇ ejší. Licence Kerio Control VMware Virtual Appliance lze používat bezplatnˇ e po dobu 30 dn˚ u od instalace 1 jako zkušební verzi . Pro další používání produktu je potˇ reba zakoupit odpovídající licenci. Poté staˇ cí zaregistrovat zkušební verzi s platným licenˇ cním klíˇ cem. Tím se ze zkušební verze automaticky stává plná verze. Licence je urˇ cena: • Licencí základního produktu, • Licencí pro modul pro kategorizaci obsahu WWW stránek Kerio Web Filter (volitelná komponenta), • Licencí pro integrovaný antivirový modul Sophos (volitelná komponenta). Bližší informace o variantách licencí, cenách a možnostech zakoupení licence naleznete na WWW stránkách http://www.kerio.cz/cz/firewall.
3 Instalace a základní konfigurace firewallu Kerio Control VMware Virtual Appliance (dále jen „firewall“) je distribuován ve dvou typech balík˚ u: • V pˇ renositelném formátu OVF (Open Virtualization Format) — pro VMware ESX/ESXi, • V proprietárním formátu VMX pro „hostované“ produkty VMware — VMware Server, Workstation, Fusion a Player. 1
V neregistrované zkušební verzi není k dispozici modul Kerio Web Filter a neprovádí se aktualizace integrovaného antiviru a pravidel systému prevence útok˚ u. Pro testování tˇ echto funkcí je potˇ reba zkušební verzi bezplatnˇ e ríruˇ cce administrátora. zaregistrovat. Bližší informace naleznete v Pˇ
2
Po nastavení všech uvedených parametr˚ u se spustí služba (daemon) Control Engine. Na konzoli firewallu bude po celou dobu jeho bˇ ehu zobrazena informace o možnostech vzdálené správy a zmˇ eny nˇ ekterých základních parametr˚ u (viz kapitola 5).
Import virtuálního zaˇ rízení do produktu VMware Podle typu produktu VMware (viz výše) použijeme odpovídající instalaˇ cní balík: • V pˇ rípadˇ e produkt˚ u VMware Server, Workstation a Fusion stáhneme distribuˇ cní balík ve formátu VMX (*.zip), rozbalíme jej a otevˇ reme v pˇ ríslušném produktu VMware. • Do VMware ESX/ESXi m˚ užeme pˇ rímo importovat virtuální zaˇ rízení ze zadané URL adresy OVF souboru — napˇ r.: http://download.kerio.com/cz/dwn/control/ kerio-control-appliance-7.1.0-1234-linux.ovf VMware ESX/ESXi si automaticky stáhne daný konfiguraˇ cní OVF soubor a odpovídající obraz disku (soubor s pˇ ríponou .vmdk). V pˇ rípadˇ e importu virtuálního zaˇ rízení ve formátu OVF je potˇ reba mít na pamˇ eti následující specifické vlastnosti: • V importovaném virtuálním zaˇ rízení je vypnuta synchronizace ˇ casu mezi hostitelským poˇ cítaˇ cem a virtuálním zaˇ rízením. Produkt Kerio Control však disponuje vlastním mechanismem pro synchronizaci ˇ casu s ˇ casovými servery v Internetu, a proto není nutné synchronizaci s hostitelským poˇ cítaˇ cem explicitnˇ e povolovat. • Akce pro vypnutí, resp. restart virtuálního poˇ cítaˇ ce budou po importu nastaveny na výchozí hodnoty, což m˚ uže být „tvrdé“ vypnutí a „tvrdý“ reset. To však m˚ uže zp˚ usobit ztrátu dat ve virtuálním zaˇ rízení. Kerio Control VMware Virtual Appliance podporuje tzv. Soft Power Operations, které umožˇ nují regulérnˇ e vypnout nebo restartovat hostovaný operaˇ cní systém. Proto je doporuˇ ceno jako akce pro vypnutí a restart nastavit vypnutí, resp. restart hostovaného operaˇ cního systému.
Instalace Po prvním spuštˇ ení virtuálního zaˇ rízení je potˇ reba provést instalaci a základní nastavení produktu Kerio Control. Toto probíhá v nˇ ekolika jednoduchých krocích: 1.
Zvolíme jazyk instalace. Tento jazyk bude použit nejen pro instalaci, ale také pro konzoli firewallu po celou dobu jeho bˇ ehu.
2.
Ze sít’ových rozhraní firewallu vybereme rozhraní pˇ ripojené do lokální (d˚ uvˇ eryhodné) sítˇ e, ze které budeme firewall vzdálenˇ e spravovat. Toto nastavení lze pozdˇ eji zmˇ enit (napˇ r. pokud jsme pˇ ri instalaci vybrali nesprávné rozhraní).
3.
Vybranému lokálnímu rozhraní nastavíme IP adresu a masku subsítˇ e. Tyto parametry je doporuˇ ceno nastavit ruˇ cnˇ e (tzn. nevyužívat automatickou konfiguraci prostˇ rednictvím DHCP). 3
4.
Nastavíme ˇ casovou zónu a zkontrolujeme, pˇ rípadnˇ e upravíme nastavení data a ˇ casu virtuálního poˇ cítaˇ ce. Tato nastavení jsou nezbytná pro správnou ˇ cinnost firewallu.
5.
Na poˇ cítaˇ ci pˇ ripojeném k lokální síti otevˇ reme ve WWW prohlížeˇ ci administraˇ cní rozhraní Kerio Control (viz níže) a pomocí pr˚ uvodce aktivujeme produkt (chceme-li jej pouze testovat, pˇ reskoˇ címe registraci a aktivujeme tˇ ricetidenní zkušební verzi).
6.
Pˇ rihlásíme se ke správˇ e Kerio Control a nakonfigurujeme jej.
4 Správa firewallu Ke konfiguraci firewallu a sledování jeho stavu slouží webové rozhraní Kerio Control Administration. Webové administraˇ cní rozhraní je k dispozici na adrese: https://
:4081/admin tedy napˇ r.: https://10.10.10.1:4081/admin Pro pˇ rihlášení zadáme uživatelské jméno Admin a heslo zvolené pˇ ri aktivaci produktu. Poznámka: IP adresou firewallu je myšlena IP adresa jeho lokálního rozhraní (vybraného pˇ ri res Internet je nutné explicitnˇ e poˇ cáteˇ cní konfiguraci — viz sekce 3). Vzdálenou správu pˇ povolit komunikaˇ cními pravidly firewallu.
5 Konzole firewallu Na konzoli virtuálního poˇ cítaˇ ce, kde je nainstalován Kerio Control VMware Virtual Appliance, je po celou dobu jeho bˇ ehu zobrazena informace o možnostech vzdálené správy firewallu. Po zadání administrátorského hesla (viz výše) tato konzole umožˇ nuje zmˇ enit nˇ ekterá základní nastavení firewallu, obnovit výchozí nastavení po instalaci a vypnout nebo restartovat poˇ cítaˇ c. Konzole firewallu umožˇ nuje: • Zmˇ enit nastavení sít’ových rozhraní (napˇ r. pˇ ri zmˇ enˇ e konfigurace sítˇ e nebo pˇ ri volbˇ e nesprávného rozhraní pro lokální sít’ pˇ ri instalaci firewallu). • Zmˇ enit komunikaˇ cní pravidla firewallu tak, aby neblokovala vzdálenou správu (v pˇ rípadˇ e, že se nelze pˇ ripojit ke správˇ e). • Vypnout nebo restartovat firewall. • Obnovit tovární nastavení. Tato volba uvede firewall do stavu jako po prvním spuštˇ ení ve VMware. Všechny konfiguraˇ cní parametry a ostatní data budou smazány a znovu se spustí pr˚ uvodce poˇ cáteˇ cní konfigurací (viz sekce 3). Obnovení továrního nastavení je vhodné použít v pˇ rípadˇ e, kdy firewall nepracuje správnˇ e a jeho konfiguraci již nedokážeme jednoduše opravit.
4
Pˇ ríloha A
Právní doložka
VMware je registrovaná ochranná známka spoleˇ cnosti VMware Inc. Microsoft , Windows , Windows NT , Windows Vista, Internet Explorer , ActiveX a Active Directory jsou registrované ochranné známky nebo ochranné známky spoleˇ cnosti Microsoft Corporation. Linux je registrovaná ochranná známka, jejímž držitelem je Linus Torvalds. Ostatní uvedené názvy skuteˇ cných spoleˇ cností a produkt˚ u mohou být registrovanými ochrannými známkami nebo ochrannými známkami jejich vlastník˚ u.
5