Organiser le contrôle dans réseau local notre organisation a choisi Kerio Control Software Appliance 9.2.4. Auparavant, ce programme s'appelait Kerio WinRoute Firewall. Nous ne considérerons pas le pour et le contre, et pourquoi Kerio a été choisi aussi, nous allons droit au but. La version 7 du programme et les versions ultérieures s'installent sur du métal nu sans aucun système opérateur. À cet égard, un PC séparé (pas une machine virtuelle) a été préparé avec les paramètres suivants :

Processeur AMD 3200+ ;

disque dur 500 Go ; (nécessite beaucoup moins)

- Carte réseau - 2 pièces.

Nous assemblons un PC, insérons 2 cartes réseau.

Pour installer un système de type Linux, vous devez créer support de démarrage- un lecteur flash ou un disque. Dans notre cas, le lecteur flash a été créé à l'aide du programme UNetbootin.

Téléchargez l'appliance logicielle Kerio Control. (vous pouvez acheter une licence ou télécharger une image avec un activateur intégré)

Le volume de l'image Kerio ne dépasse pas 300 Mo, la taille du lecteur flash est appropriée.

Nous insérons le lecteur flash dans le port USB du PC ou de l'ordinateur portable.

Formater en FAT32 sous Windows.

Lancez UNetbootin et sélectionnez les paramètres suivants.

Distribution - ne touchez pas.

Image - Norme ISO, spécifiez le chemin d'accès à l'image Kerio téléchargée.

Type de - périphérique USB, sélectionnez le lecteur flash souhaité. D'ACCORD.

Après un certain temps de création, le lecteur flash amorçable est prêt. Nous appuyons sur la sortie.

Nous insérons le lecteur flash amorçable dans le PC préparé, l'allumons et le Menu de démarrage sélectionnez le démarrage à partir du disque dur USB. Dans le démarrage qui a commencé, sélectionnez linux.

L'installation de Kerio Control Software Appliance 9.2.4 va commencer. Choisissez une langue.

Nous lisons le contrat de licence.

Acceptez-le en appuyant sur F8.

Nous entrons le code 135. Le programme avertit que le disque dur sera formaté.

Nous attendons l'installation.

Le système va redémarrer.

Nous attendons à nouveau.

Enfin attendu. Le message à l'écran indique que vous devez vous rendre à l'adresse écrite dans le navigateur de n'importe quel PC connecté au même réseau avec Kerio.

Nous ne le ferons pas encore, mais allez à la configuration du réseau dans Kerio lui-même.

Configuration de l'interface réseau Ethernet. Marquer d'un espace - Attribuer une adresse IP statique.

Et nous l'attribuons.

Adresse IP : 192.168.1.250

Masque de sous-réseau : 255.255.255.0

Si, avant d'installer le logiciel, deux câbles réseau nécessaires pour les réseaux externe et interne étaient connectés aux cartes réseau, vous pouvez oublier cet ordinateur. Je l'ai mis dans un coin et j'ai même pris le moniteur.

Maintenant, dans le navigateur de l'ordinateur portable dans lequel le lecteur flash amorçable a été créé, je vais à :

https://192.168.1.250:4081/admin. Le navigateur peut signaler qu'il y a un problème avec le certificat de sécurité de ce site. Cliquez ci-dessous - Continuez à ouvrir ce site Web et accédez à l'assistant d'activation.

Bien entendu, nous ne transmettons pas de statistiques anonymes, décochez la case.

Entrer nouveau mot de passe administrateur.

C'est tout. Bonjour Kério.

A noter qu'il a été décidé de changer l'adresse IP sélectionnée 192.168.1.250 pour la carte réseau du réseau interne par l'adresse 192.168.1.1 afin de ne pas reconfigurer beaucoup d'équipements. Le réseau existait pendant longtemps sans contrôle et Kerio devait y être ajouté par la méthode d'intégration. Après avoir changé l'adresse IP, pour accéder à l'interface, vous devez entrer https://192.168.1.1:4081/admin. Ci-dessous l'image schéma structurel Connexions.

Initialement, toutes les fonctions de routage et DNS étaient exécutées par un modem avec une adresse IP de 192.168.1.1. Lors de l'installation de Kerio, l'adresse 192.168.0.1 a été attribuée au modem et il accède à la carte réseau externe Kerio avec l'adresse 192.168.0.250. adresses sur le même sous-réseau. La carte réseau interne a reçu l'adresse qu'avait le modem. Tous les équipements du réseau avec des adresses IP statiques et une passerelle enregistrée (et c'est presque tout notre réseau) ont vu la nouvelle passerelle comme ancienne et n'ont même pas suspecté la substitution :)

Au premier démarrage de Kerio, l'assistant propose de configurer les interfaces. Vous pouvez configurer pas via l'assistant. Considérons plus en détail tout ce qui est décrit ci-dessus.

Dans l'onglet Interfaces, sélectionnez Interfaces Internet.

Nous proposons un nom comme Réseau externe ou Internet, par défaut, il est écrit WAN. Nous entrons manuellement les données d'adresse IP, le masque, la passerelle et le DNS, le tout dans le même sous-réseau avec le modem. D'ACCORD.

Ensuite, sélectionnez la connexion suivante dans l'élément Interfaces de confiance / locales - notre réseau interne. Ces éléments, selon la version de Kerio, peuvent être appelés différemment. Nous trouvons un nom et entrons les données comme dans l'image ci-dessous. Les réseaux externe et interne ne peuvent pas être sur le même sous-réseau. Cela ne doit pas être oublié. DNS de Kerio. Nous n'écrivons pas la passerelle. D'ACCORD.

Appuyez sur le bouton Appliquer dans la partie inférieure droite de l'écran, les paramètres sont activés. Vérifions votre connexion Internet. Internet fonctionne.

Vous pouvez passer à la création de règles de circulation, filtrer le contenu, voir qui télécharge des torrents et surcharge le réseau, limiter la vitesse ou bloquer. Bref, Kereo fonctionne parfaitement et il dispose de nombreux réglages. Ici chacun met en place ce dont il a besoin.

Considérez un autre point important - c'est l'ouverture des ports. Avant d'installer Kereo, les ports étaient redirigés vers le serveur dans le modem. De plus, au départ, les ports nécessaires étaient ouverts dans le serveur lui-même. Sans ces ports spéciaux. le logiciel serveur ne peut pas fonctionner normalement. Pensez à ouvrir le port 4443.

Modem HUAWEI HG532e, allez dedans, pour cela, entrez 192.168.0.1 dans la barre d'adresse du navigateur. Allez dans les onglets Advanced->NAT-> Port Mapping et entrez les données comme dans l'image ci-dessous.

L'interface est notre connexion (en mode route, soit dit en passant).

Protocole - TCP/UDP.

Hôte distant - rien.

Port de départ externe / port de fin - 4443 (port externe).

Hôte interne - 192.168.0.250 (adresse d'une carte réseau Kereo externe).

Port interne - 4443 (port interne).

Nom de mappage - n'importe quel nom convivial.

Le principe de fonctionnement est tel qu'une requête provenant d'Internet vers une adresse IP statique externe vers le port 4443 sera redirigée vers une carte réseau Kerio externe. Vous devez maintenant vous assurer que la demande de la carte réseau externe est redirigée vers la carte réseau interne. carte réseau et ensuite à notre serveur sur le port 4443. Cela se fait en créant deux règles. La première règle permet l'accès depuis l'extérieur, la seconde règle permet l'accès depuis l'intérieur.

Nous créons ces deux règles dans l'onglet Traffic Rules. Différence entre source et destination. Le service est notre port 4443. voir l'image ci-dessus.

Dans la section Diffusion, effectuez les réglages comme dans l'image ci-dessous. Cochez la case - Adresse de destination NAT et écrivez-y l'adresse IP du serveur de destination et le port souhaité. D'ACCORD.

Cliquez sur appliquer. Nous vérifions si le port est ouvert dans le service en ligne. Le port est ouvert.

Nous vérifions les services de serveur pour lesquels tout cela a été fait - ils ont gagné. N'importe quel port peut être ouvert de la même manière.

D'autres paramètres de Kerio Control Software Appliance peuvent être écrits dans d'autres articles.

(connexion optique)

Kerio Control appartient à cette catégorie Logiciel , dans lequel large éventail fonctionnalité associée à une facilité de mise en œuvre et d'exploitation. Aujourd'hui, nous analyserons comment ce programme peut être utilisé pour organiser le travail de groupe d'employés sur Internet, ainsi que pour protéger de manière fiable le réseau local contre les menaces externes.

appartient à la catégorie des produits dans lesquels une large gamme de fonctionnalités est combinée avec une facilité de mise en œuvre et d'utilisation. Aujourd'hui, nous analyserons comment ce programme peut être utilisé pour organiser le travail de groupe d'employés sur Internet, ainsi que pour protéger de manière fiable le réseau local contre les menaces externes.

L'introduction du produit commence par son installation sur un ordinateur jouant le rôle de passerelle Internet. Cette procédure n'est pas différente de l'installation de tout autre logiciel, et nous ne nous y attarderons donc pas. Nous remarquons seulement qu'au cours de celle-ci certains service windows qui empêchent le programme de s'exécuter. Une fois l'installation terminée, vous pouvez procéder à la configuration du système. Cela peut se faire aussi bien en local, directement sur la passerelle Internet, qu'à distance, depuis n'importe quel ordinateur connecté à réseau d'entreprise.

Tout d'abord, nous parcourons menu standard "Commencer"console de gestion. Avec son aide, le produit en question est configuré. Pour plus de commodité, vous pouvez créer une connexion qui vous permettra de vous connecter rapidement à l'avenir. Pour cela, double-cliquez sur l'élément" Nouvelle connexion", précisez dans la fenêtre qui ouvre le produit (Kerio Control), l'hôte sur lequel il est installé, et le nom d'utilisateur, puis cliquez sur le " Enregistrer sous" et entrez un nom de connexion. Ensuite, vous pouvez établir une connexion avec. Pour cela, double-cliquez sur la connexion créée et entrez votre mot de passe.

Configuration de base de Kerio Control

En principe, tous les paramètres de fonctionnement peuvent être réglés manuellement. Cependant, pour la mise en œuvre initiale, il est beaucoup plus pratique d'utiliser un assistant spécial qui démarre automatiquement. Dans un premier temps, il est proposé de se familiariser avec les informations de base concernant le système. Il y a aussi un rappel ici que l'ordinateur exécutant Kerio Control doit être connecté à un réseau local et avoir une connexion Internet fonctionnelle.

La deuxième étape est le choix du type de connexion Internet. Au total, quatre options sont disponibles ici, parmi lesquelles vous devez choisir celle qui convient le mieux à un réseau local particulier.

• Accès permanent - la passerelle Internet dispose d'une connexion permanente à Internet.
• Dial-upon-demand - établira automatiquement une connexion Internet selon les besoins (s'il existe une interface RAS).
• Se reconnecter en cas d'échec - lorsque la connexion à Internet est déconnectée, elle passe automatiquement à un autre canal (nécessite deux connexions Internet).
• Équilibrage de la charge des canaux - utilisera plusieurs canaux de communication en même temps, répartissant la charge entre eux (nécessite deux connexions Internet ou plus).

La troisième étape consiste à spécifier la ou les interfaces réseau connectées à Internet. Le programme lui-même détecte et affiche toutes les interfaces disponibles sous la forme d'une liste. Ainsi, l'administrateur ne peut choisir que l'option appropriée. Il convient de noter que dans les deux premiers types de connexions, vous devez installer une seule interface et dans la troisième - deux. Le réglage de la quatrième option est quelque peu différent des autres. Il offre la possibilité d'ajouter n'importe quel nombre d'interfaces réseau, pour chacune desquelles vous devez définir la charge maximale possible.

La quatrième étape consiste à sélectionner les services réseau qui seront disponibles pour les utilisateurs. En principe, on peut choisir l'option " Sans frontières". Cependant, dans la plupart des cas, cela ne sera pas tout à fait raisonnable. Mieux vaut cocher les services dont vous avez vraiment besoin : HTTP et HTTPS pour naviguer sur les sites, POP3, SMTP et IMAP pour travailler avec la messagerie, etc.

L'étape suivante consiste à configurer des règles pour les connexions VPN. Pour cela, seules deux cases à cocher sont utilisées. Le premier définit les clients que les utilisateurs utiliseront pour se connecter au serveur. Si "natif", c'est-à-dire publié par Kerio, la case à cocher doit être activée. Sinon, par exemple, lors de l'utilisation de Outils Windows, vous devez l'éteindre. La deuxième case à cocher détermine la possibilité d'utiliser la fonction Kerio Clientless SSL VPN (gestion des fichiers, dossiers, téléchargement et chargement via un navigateur Web).

La sixième étape consiste à créer des règles pour les services qui s'exécutent sur le réseau local mais doivent également être accessibles depuis Internet. Si vous avez activé la technologie Kerio VPN Server ou Kerio Clientless SSL VPN à l'étape précédente, tout ce qui leur est nécessaire sera configuré automatiquement. Si vous devez vous assurer de la disponibilité d'autres services (entreprise serveur de courrier, serveurs FTP, etc.), puis pour chacun d'eux cliquez sur le " Ajouter", sélectionnez le nom du service (les ports standard du service sélectionné seront ouverts) et, si nécessaire, spécifiez l'adresse IP.

Enfin, le dernier écran de l'assistant de configuration est un avertissement avant de lancer le processus de génération de règles. Il suffit de le lire et de cliquer sur le " Compléter". Naturellement, à l'avenir, toutes les règles et tous les paramètres créés pourront être modifiés. De plus, vous pouvez soit redémarrer l'assistant décrit, soit modifier les paramètres manuellement.

En principe, après l'achèvement de l'assistant est déjà en état de marche. Cependant, il est logique d'ajuster légèrement certains paramètres. En particulier, vous pouvez définir des limites de bande passante. Surtout, il "se bouche" lors du transfert de fichiers volumineux et volumineux. Ainsi, il est possible de limiter la vitesse de chargement et/ou de déchargement de tels objets. Pour ce faire, dans la rubrique Configuration"besoin d'ouvrir la partition" Limitation de la bande passante", activez le filtrage et saisissez la bande passante disponible pour les fichiers volumineux. Si nécessaire, vous pouvez assouplir la restriction. Pour cela, cliquez sur le " En outre" et spécifiez dans la fenêtre qui s'ouvre les services, les adresses et les intervalles de temps pour les filtres. De plus, vous pouvez immédiatement définir la taille des fichiers considérés comme volumineux.

Utilisateurs et groupes

Après la configuration initiale du système, vous pouvez commencer à y ajouter des utilisateurs. Cependant, il est plus pratique de les répartir d'abord en groupes. Dans ce cas, ils seront plus faciles à gérer à l'avenir. Pour créer un nouveau groupe, allez dans " Utilisateurs et groupes->Groupes"et cliquez sur le bouton" Ajouter". Cela ouvrira un assistant spécial composé de trois étapes. Dans la première, vous devez entrer le nom et la description du groupe. Dans la seconde, vous pouvez immédiatement y ajouter des utilisateurs, si, bien sûr, ils ont déjà été Lors de la troisième étape, vous devez définir les droits du groupe : accès à l'administration du système, possibilité de désactiver diverses règles, autorisation d'utiliser le VPN, consulter les statistiques, etc.

Après avoir créé des groupes, vous pouvez procéder à l'ajout d'utilisateurs. Pour ce faire, le moyen le plus simple consiste à déployer un domaine sur le réseau de l'entreprise. Dans ce cas, rendez-vous simplement dans la rubrique " Utilisateurs et groupes->Utilisateurs", onglet ouvert Active Directory, cochez la case " Utiliser une base de données d'utilisateurs de domaine" et entrez le login et le mot de passe d'un compte qui a le droit d'accéder à cette base de données. Dans ce cas, il utilisera des comptes de domaine, ce qui, bien sûr, est très pratique.

Sinon, vous devrez entrer les utilisateurs manuellement. Pour cela, le premier onglet de la section considérée est fourni. La création d'un compte comprend trois étapes. Sur le premier, vous devez définir le login, le nom, la description, l'adresse E-mail, ainsi que des paramètres d'authentification : login et mot de passe ou données d'Active Directory. Dans la deuxième étape, vous pouvez ajouter l'utilisateur à un ou plusieurs groupes. À la troisième étape, il existe une option pour enregistrer automatiquement un compte pour accéder au pare-feu et à certaines adresses IP.

Mise en place d'un système de sécurité

Mise en œuvre de nombreuses opportunités pour assurer la sécurité du réseau de l'entreprise. En principe, nous avons déjà commencé à nous protéger des menaces externes lorsque nous avons mis en place le pare-feu. De plus, le produit en question dispose d'un système de prévention des intrusions. Il est activé par défaut et réglé sur performances optimales. Vous ne pouvez donc pas y toucher.

La prochaine étape est l'antivirus. Il convient de noter ici qu'il n'est pas disponible dans toutes les versions du programme. Pour utiliser la protection anti-malware, celle-ci doit être achetée avec un antivirus intégré, ou un module antivirus externe doit être installé sur la passerelle Internet. Autoriser protection antivirus vous devez ouvrir la section Configuration->Filtrage de contenu->Antivirus". Dans celui-ci, vous devez activer le module utilisé et cocher les protocoles à vérifier à l'aide de cases à cocher (il est recommandé de tout activer). Si vous utilisez l'antivirus intégré, vous devez activer la mise à jour des bases de données antivirus et définissez l'intervalle d'exécution de cette procédure.

Ensuite, vous devez configurer le système de filtrage du trafic HTTP. Vous pouvez le faire dans le " Configuration->Filtrage de contenu->Politique HTTP". L'option de filtrage la plus simple est le blocage inconditionnel des sites qui contiennent des mots de la liste "noire". Pour l'activer, allez dans l'onglet " Mots interdits" et remplissez la liste des expressions. Cependant, il existe également un système de filtrage plus souple et plus fiable. Il repose sur des règles qui décrivent les conditions de blocage de l'accès des utilisateurs à certains sites.

Pour créer une nouvelle règle, allez dans le " Règles d'URL", faites un clic droit sur le champ et sélectionnez dans menu contextuel paragraphe " Ajouter". La fenêtre d'ajout d'une règle se compose de trois onglets. Le premier définit les conditions dans lesquelles elle fonctionnera. Tout d'abord, vous devez choisir à qui s'applique la règle : tous les utilisateurs ou uniquement des comptes spécifiques. Après cela, vous devez définir le critère de correspondance de l'URL du site demandé. Pour cela, il est possible d'utiliser une chaîne qui est incluse dans l'adresse, un groupe d'adresses ou la notation d'un projet Web dans le système Kerio Web Filter (en fait, la catégorie le site appartient).

Sur le deuxième onglet, vous pouvez spécifier l'intervalle pendant lequel la règle sera valide (toujours par défaut), ainsi que le groupe d'adresses IP auquel elle s'applique (par défaut, toutes). Pour ce faire, il vous suffit de sélectionner les éléments appropriés dans les listes déroulantes de valeurs prédéfinies. Si les intervalles de temps et les groupes d'adresses IP n'ont pas encore été définis, les boutons "Modifier" vous permettent d'ouvrir l'éditeur souhaité et de les ajouter. Également sur cet onglet, vous pouvez définir l'action du programme en cas de blocage du site. Cela peut être l'émission d'une page avec un texte de refus donné, l'affichage page vide ou rediriger l'utilisateur vers une adresse spécifiée (par exemple, vers un site Web d'entreprise).

Dans le cas où le réseau de l'entreprise utilise Technologie sans fil, il est logique d'activer le filtre par adresse MAC. Cela réduira considérablement le risque de connexion non autorisée. divers appareils. Pour accomplir cette tâche, ouvrez la section " Configuration->Politique de trafic->Paramètres de sécurité". Dans celui-ci, activez la case à cocher " Filtre d'adresse MAC activé", puis sélectionnez l'interface réseau sur laquelle il sera distribué, basculez la liste des adresses MAC sur " Autoriser uniquement les ordinateurs répertoriés à accéder au réseau"et remplissez-le en saisissant les données appareils sans fil appartenant à la société.

Résumé

Ainsi, comme on le voit, malgré le large Fonctionnalité, organiser le travail de groupe des utilisateurs du réseau d'entreprise sur Internet avec son aide est assez simple. Il est clair que nous n'avons considéré que la configuration de base de ce produit.

A annoncé la sortie d'une version mise à jour de son produit phare - pare-feu Kério Control. La nouvelle version 9.1 a reçu un certain nombre d'améliorations et de nouvelles fonctionnalités. La principale caractéristique de cette version était probablement la fonction de mises à jour automatiques du pare-feu. Cela vous permet d'automatiser le processus de déploiement nouvelle version sur l'infrastructure réseau existante. En outre, les ingénieurs de la société ont amélioré leur solution de sécurité réseau de bout en bout pour les PME avec de nouvelles fonctionnalités, notamment le contrôle des applications et le filtrage de contenu sécurisé. Notez que la version principale de Kerio Control 9.0 a eu lieu à la fin de l'année dernière. La neuvième version du pare-feu apporte des définitions partagées à MyKerio, une protection contre les attaques par déni de service, une authentification à deux facteurs pour le service MyKerio, et bien plus encore. Mais avant tout.

Si nous parlons du panneau de contrôle de la nouvelle version, nous pouvons voir plusieurs améliorations liées aux icônes et à l'emplacement des tuiles. Comme toujours, l'administrateur peut changer leur emplacement et choisir le meilleur, de son point de vue, le type d'interface.

Notez que lors de l'installation initiale du système sur un ordinateur ou machine virtuelle par défaut, l'utilisateur est invité à ajouter un nouveau contrôle Kerio au service MyKerio pour un contrôle à distance ultérieur.

Par la suite, l'administrateur peut activer le service MyKerio sur le pare-feu à partir d'un menu séparé "Services à distance".

Rappelons que le service MyKerio est apparu dans les produits Kerio il n'y a pas si longtemps, mais il est déjà clair que cette fonctionnalité est très pratique pour travailler avec plusieurs pare-feu et produits Kerio. Il est à noter qu'en plus d'ajouter un pare-feu depuis le panneau d'administration, il est possible de connecter Kerio Control en utilisant son numéro de série et son numéro de licence. Le service prend en charge l'authentification à deux facteurs avec des applications populaires telles que Google Authenticator et FreeOTP Authenticator pour améliorer la sécurité de l'interface Web centralisée basée sur le cloud, permettant aux administrateurs informatiques de configurer un code à six chiffres basé sur le temps comme forme supplémentaire d'authentification. . Les propriétaires d'entreprise peuvent être sûrs que sécurité Internet seront conservés même dans le cas improbable où les mots de passe tomberaient entre de mauvaises mains.

Le service MyKerio vous permet de gérer à distance les pare-feu Kerio Control et, surtout, de transférer certains paramètres de l'un à l'autre. Cela donne aux administrateurs la possibilité de migrer des groupes d'URL, des plages d'adresses IP et des plages horaires. Toutes ces fonctionnalités du service de gestion sont appelées "Définitions partagées" et, très probablement, leur liste sera élargie dans les prochaines versions de Kerio Control. Pour résoudre rapidement les problèmes et informer les administrateurs, l'écran principal affiche des notifications importantes sur le fonctionnement du pare-feu connecté.

Quant à la version mise à jour de Kerio Control 9.1, la possibilité de créer automatiquement des copies de sauvegarde des paramètres Kerio a été ajoutée. Si les sauvegardes de paramètres antérieures pouvaient être téléchargées sur le service Samepage.io ou sur FTP, cette fonctionnalité n'est désormais disponible que pour FTP et le service MyKerio. Le stockage centralisé des paramètres permet de simplifier considérablement le déploiement de Kerio Control sur un PC et machines virtuelles après d'éventuels échecs ou lors de l'installation d'un pare-feu à partir de zéro.

La nouvelle version de Kerio Control 9.1 propose également l'application MyKerio pour iPhone et Montre Apple, qui fournit une surveillance et des notifications en temps réel pour tous les appareils connectés. Les changements de statut sont immédiatement notifiés, ce qui vous permet de résoudre rapidement tout problème.

L'une des caractéristiques les plus importantes de cette version de Kerio Control était probablement la possibilité de mettre à jour automatiquement le pare-feu. Lorsque l'appliance Kerio Control est connectée au réseau, elle installe automatiquement et immédiatement une version mise à jour du programme de contrôle et commence à protéger le réseau, les utilisateurs et les actifs.

En plus de la mise à jour automatique elle-même, les administrateurs ont la possibilité de modifier les intervalles de mise à jour. Par exemple, par défaut, les mises à jour ne viendront que le week-end.

Si vous le souhaitez, vous pouvez configurer n'importe quel intervalle de temps, qui pourra ensuite être synchronisé avec d'autres produits Kerio via le service MyKerio. Cette technologie basée sur le cloud qui automatise ce processus est particulièrement pertinente lorsque vous travaillez avec plusieurs appareils avec des produits Kerio installés.

conclusion

Comme toujours, Kerio s'efforce de simplifier au maximum le travail des administrateurs système tout en offrant la meilleure protection grâce à son pare-feu Kerio Control. La version mise à jour a certainement apporté l'une des fonctionnalités les plus attendues sur mise à jour automatique ce système, il ne fait donc aucun doute qu'il sera demandé par les utilisateurs finaux. Espérons que la sortie de l'application sur télécommande MyKerio pour les appareils sur Basé sur Android ne vous fera pas attendre, car à l'ère d'Internet, cette opportunité sera toujours utile. La dernière version de Kerio Control, comme toujours, peut être téléchargée sur le site officiel de la société.

Le chemin d'accès à l'archive est illustré dans les images suivantes :

Supposons que vous migrez de dernière version KWF 6.7.1, votre cible est une version de travail de Kerio Control Appliance 8.3 (la version actuelle de l'application pour avril 2014)

La principale "complexité" de la transition dans ce cas est la nécessité d'effectuer non pas une mise à niveau directe de KWF 6.7.1 vers Kerio Control 8.3, mais une transition progressive vers certaines versions "majeures". Ce besoin est dû à l'inclusion dans les fichiers de configuration de ces versions « majeures » de certaines fonctionnalités qui nécessitent un post-traitement après l'installation de l'application.
Pour migrer de KWF 6.7.1 vers Kerio Control 8.3, vous devrez effectuer les étapes de mise à niveau suivantes :

1. Mise à niveau vers Kerio Control 7.0.0
2. Mise à niveau vers Kerio Control 7.1.0
3. Mise à jour vers Kerio Control 7.4.2 ( Version finale Pour les fenêtres)

Vous pouvez télécharger les distributions nécessaires à partir de nos archives de versions.
Le processus même de mise à jour d'une version à l'autre est l'installation habituelle d'une nouvelle version "au-dessus" de l'ancienne. Le programme d'installation quittera automatiquement entretien du système Kerio Control (Kerio Winroute Firewall), déterminera le répertoire d'installation version actuelle Kerio Control (Kerio Win-route Firewall) et remplacera les fichiers d'application qui doivent être mis à jour ; les fichiers journaux d'application et les fichiers de configuration utilisateur sont conservés tels quels. Les fichiers de configuration seront enregistrés dans un répertoire spécial "UpgradeBackups" situé à la racine du répertoire %programmfiles%\Kerio\.

Clip vidéo du processus de mise à jour régulière :

Aller à dernière version de windows Kerio Control 7.4.2 sera la dernière étape de mise à niveau au sein de cette plate-forme. Les prochaines étapes de la transition sont la préparation de la plateforme Appliance, le transfert de la configuration, la base de données des logs et des statistiques utilisateurs.

Transition vers la plate-forme Appliance.

Dans cette section, nous examinerons les options de déploiement pour diverses distributions d'appliances de Kerio Control.

Installation de l'appliance logicielle

Cette version du package d'installation peut être déployée des manières suivantes :

• Une image ISO peut être écrite sur un support CD ou DVD physique, qui doit ensuite être utilisé pour installer Kerio Control sur un hôte physique ou virtuel.
• Dans le cas de l'utilisation de PC virtuels, l'image ISO peut être montée en tant que CD/DVD-ROM virtuel pour effectuer l'installation à partir de celui-ci, sans qu'il soit nécessaire de la graver sur un support physique.
• L'image ISO peut être écrite sur une clé USB et installée à partir de celle-ci. Pour des instructions détaillées, veuillez vous référer à l'article correspondant (kb.kerio.com/928) dans notre base de connaissances.

Installation de l'appliance virtuelle VMware

Pour installer Kerio Control VMware Virtual Appliance sur divers outils de virtualisation de VMware, utilisez la version appropriée de la distribution Kerio Control VMware Virtual Appliance :

Pour VMware Server, Workstation, Player, Fusion, utilisez le fichier VMX zip (*.zip) :

Installation d'un module virtuel dans VMware player

• Pour l'hyperviseur VMware ESX/ESXi/vSphere, utilisez le lien OVF spécial pour importer le module virtuel, qui ressemble à ceci :

http://download.kerio.com/en/dwn/control/kerio-control-appliance-1.2.3-4567-linux.ovf

VMware ESX/ESXi téléchargera automatiquement le fichier de configuration OVF et son fichier virtuel correspondant. disque dur(.vmdk)
Lors de l'utilisation du format OVF, les aspects suivants doivent être pris en compte :

• Dans l'unité virtuelle Kerio Control, la synchronisation de l'heure avec le serveur de virtualisation est désactivée. Cependant, Kerio Control dispose d'outils intégrés pour synchroniser l'heure avec les sources de réseau public de l'heure Internet. Ainsi, l'utilisation de la synchronisation entre la machine virtuelle et le serveur de virtualisation est facultative.
• Les tâches « arrêt » et « redémarrage » de la machine virtuelle seront définies sur les valeurs « par défaut ». La possibilité de définir ces valeurs sur l'arrêt "forcé" et le redémarrage "forcé" est conservée, cependant, ces options d'arrêt et de redémarrage peuvent entraîner une perte de données dans le module virtuel Kerio Control. Le module virtuel Kerio Control prend en charge le soi-disant. Soft Shutdown et Soft Reboot vous permettent d'arrêter ou de redémarrer correctement le système d'exploitation invité. Il est donc recommandé d'utiliser les valeurs par défaut.

Installation d'une appliance virtuelle (ovf) dans VMware vSphere

Installation de l'appliance virtuelle pour Hyper-V

• Téléchargez le kit de distribution archivé (*.zip), décompressez-le dans le dossier souhaité.
• Créez une nouvelle machine virtuelle, sélectionnez l'option "Utiliser une machine virtuelle existante" Disque dur”, en spécifiant comme image disque le fichier décompressé de l'archive téléchargée

Installation d'une appliance virtuelle dans MS Hyper-V

Le prochain point important dans la préparation de la transition vers la plate-forme Appliance est la configuration correcte des interfaces réseau sur la plate-forme Appliance choisie.

Configuration des interfaces réseau dans l'appliance logicielle

Dans l'interface pseudo-graphique de Kerio Control Software Appliance, vous pouvez configurer l'adresse IP/les adresses multiples en mode statique ou dynamique, créer des interfaces VLAN et configurer l'interface en mode PPPoE.

Noter: La configuration initiale Les interfaces réseau dans la distribution Kerio Control Software Appliance elle-même sont identiques pour tous les assemblages de Kerio Control Appliance, il n'y a de différences que lors de la configuration des interfaces réseau virtuelles dans divers environnements de virtualisation où Kerio Control peut être utilisé.

Provisionnement d'interfaces réseau virtuelles dans Hyper-V

Pour effectuer correctement et minimalement paramètres nécessaires commutateur virtuel Hyper-V, vous devrez effectuer les étapes suivantes :

Mappage des interfaces réseau physiques et virtuelles

Vérification de la présence du service de pont virtuel sur les interfaces réseau physiques du serveur

Pour une option installation rapide interfaces réseau de l'appliance virtuelle Kerio Control Hyper-V, regardez le clip vidéo suivant :

Provisionnement d'interfaces réseau virtuelles dans VMware vSphere

Approximativement la même chaîne d'actions est dans le cas de la préparation d'interfaces réseau virtuelles dans vSphere.

Création de plusieurs commutateurs virtuels, le nombre dépend de vos besoins en communications réseau virtuel.

Création d'un commutateur virtuel dans VMware vSphere

Création d'un commutateur virtuel dans VMware vSphere

Ajout d'interfaces réseau physiques appropriées aux commutateurs virtuels afin que le réseau local physique de l'entreprise puisse interagir avec eux

Mappage des commutateurs virtuels créés sur les interfaces réseau virtuelles de Kerio Control VMware Virtual Appliance

Une fois l'assemblage de l'appliance déployé et les interfaces réseau configurées, vous pouvez procéder au transfert de la configuration principale de l'utilisateur depuis votre Versions Windows Kério Control.
Le processus de transfert de configuration lui-même se compose de deux étapes :

Enregistrement de la configuration actuelle à l'aide de l'assistant de configuration

Lors de l'enregistrement de la configuration, il est recommandé de mémoriser, ou plutôt d'écrire, les adresses MAC de vos interfaces réseau actuelles et leur correspondance avec les adresses IP utilisées. Cela sera nécessaire lors de la restauration de la configuration sur un nouveau installer Kerio Appareil de contrôle.

Le processus d'enregistrement de la configuration est illustré dans les images ci-dessous :

Après cette étape, vous avez enregistré une archive contenant tous les fichiers de configuration utilisateur de la version actuelle de Kerio Control.

L'étape suivante consiste à restaurer la configuration précédemment enregistrée sur l'Appliance. Lors de la restauration de la configuration, l'assistant de configuration proposera de faire correspondre la configuration des anciennes interfaces réseau avec les nouvelles utilisées sur le serveur Kerio Control Appliance.

Noter: C'est exactement le moment où vous avez besoin d'informations sur les adresses MAC et IP de l'ancien serveur, que vous avez écrites ou mémorisées lorsque vous avez enregistré la configuration sur l'ancien.

Le processus de restauration de la configuration est illustré dans les images ci-dessous :

Pour enregistrer la configuration, le serveur Kerio Control Appliance redémarrera automatiquement, après quoi il pourra être utilisé.

Et ici le plaisir commence ! Ce que vous lirez ci-dessous n'est décrit dans aucune documentation officielle, ni même non officielle, c'est-à-dire ici seront placés quelques "hacks en direct" acceptables, dont l'utilisation vous aidera à mener à bien un processus aussi important, la transition vers la plate-forme Kerio Control Appliance.

Et comme d'habitude, avant de passer à une description directe avec vous, le "disclaimer" habituel :

IMPORTANT: La procédure décrite ci-dessous n'est pas une possibilité documentée, par conséquent, afin d'éviter des conséquences indésirables, avant de commencer la migration des données, créez une sauvegarde complète de celles-ci en copiant les données dans un stockage sécurisé.

Et donc nous transgressons ! Commençons par enregistrer la base de données de protocole actuelle de l'application. Pour ce faire, vous devez enregistrer les fichiers de protocole, qui se trouvent dans le chemin spécifié.

%programfiles%\kerio\winroute firewall\logs\*

Pour une meilleure sécurité de ces données, il est recommandé de les sauvegarder sur un stockage sécurisé disponible avant d'effectuer la migration.

Ensuite, nous sauvegardons la base de données actuelle des statistiques des utilisateurs. Toutes ces informations sont concentrées dans le fichier de base de données firebird, situé dans le dossier

%programfiles%\kerio\winroute firewall\star\data\

À partir de là, tout ce dont nous avons besoin est le fichier star.fdb. Pour la meilleure sécurité de ces données, il est recommandé de sauvegarder sur un stockage sécurisé disponible avant d'effectuer la migration.

Après avoir trouvé et enregistré toutes les informations nécessaires, nous devons les transférer sur un nouveau serveur exécutant Kerio Control Appliance, pour cela, la première chose à faire pour télécharger les données précédemment enregistrées sur Kerio Control Appliance est d'activer le Serveur SSH pour effectuer un accès SFTP. Pour cela, dans l'interface web d'administration de Kerio Control, allez dans le menu État -> État du système, appuyez et maintenez la touche "Shift" et cliquez sur le " Actions". Dans la liste déroulante, sélectionnez " Activer SSH”, confirmez vos actions en acceptant la question dans la fenêtre qui apparaît.

Après cela, vous devez vous assurer que dans les règles de trafic Kerio Control, vous avez autorisé l'accès à l'hôte Kerio Control Appliance en Protocole SSH de l'endroit que vous voulez.

Après avoir activé SSH et autorisé l'accès approprié, vous devez vous connecter au serveur Kerio Control Appliance afin d'y télécharger les données de journal nécessaires et la base de données de statistiques utilisateur. Pour ce faire, nous allons utiliser l'application WinSCP, qui permet d'établir des connexions en utilisant le protocole SFTP.
Pour vous connecter au serveur Kerio Control Appliance, vous devez spécifier le nom d'utilisateur et le mot de passe d'accès, spécifier le nom "root" (sans guillemets) comme nom d'utilisateur ; comme mot de passe, spécifiez le mot de passe du Kerio Control intégré Compte"Administrateur".

Paramètres de connexion sFTP au serveur Kerio Control

Après avoir établi une connexion, vous devez placer vos données dans certains dossiers du serveur. Les fichiers journaux doivent être copiés dans le dossier /var/winroute/logs, et le fichier de statistiques utilisateur dans le dossier /var/winroute/star/data, tandis que les anciens fichiers doivent être supprimés ou renommés.

Noter: Il est préférable de renommer les anciens fichiers pour les sauvegarder sauvegarde données actuelles. Dans le cas des fichiers journaux d'application, seuls les anciens fichiers *.log doivent être renommés

Une fois la copie terminée, vous devez redémarrer le service Kerio Control. Pour ce faire, vous devez obtenir un accès direct au serveur Kerio Control Appliance. Dans le cas du Software Appliance, l'accès se fait via le moniteur et le clavier du serveur lui-même sur lequel le Kerio Control Software Appliance est installé. Dans le cas du module virtuel Kerio Control, l'accès se fait via la console de l'environnement de virtualisation correspondant. À tous autres égards, les actions seront les mêmes.

Passer de la console pseudo-graphique à l'interface ligne de commande, appuyez sur la combinaison de touches "Alt-F2". Dans l'invite de saisie d'un nom d'utilisateur, spécifiez le nom "root" (sans les guillemets), appuyez sur "entrée", dans le champ mot de passe, saisissez le mot de passe du compte "Admin" intégré à Kerio Control.

Noter: il faut tenir compte du fait que dans le système d'exploitation de la famille Linux, la saisie d'un mot de passe ne s'affiche pas même avec des icônes astérisques, et si vous faites une erreur, il ne sera pas possible de la corriger - vous devrez saisir à nouveau le mot de passe .

À l'invite de commande, entrez ce qui suit :

/etc/boxinit.d/60winroute redémarrage

Cette commande redémarrera le démon (service) Kerio Control, après quoi Kerio Control « connectera » les données de protocole d'application et les statistiques utilisateur précédemment copiées.

Après avoir démarré le démon Kerio Control, vous devez vérifier l'intégrité des données transférées, pour cela, vous pouvez utiliser l'interface Web de statistiques utilisateur et / ou l'interface Web d'administration de l'application Kerio Control.

Si tout est en ordre avec toutes les données, alors nous pouvons envisager la transition vers nouvelle plateforme Kerio Control Appliance est terminé et il ne reste plus qu'à effectuer la procédure habituelle de mise à jour de Kerio Control vers la version actuelle. Si avec une partie des données "tout n'est pas en ordre", alors il y a deux options :
1) assurez-vous que les données extraites du serveur Kerio Control (KWF) d'origine étaient initialement en ordre ;)
2) si tout va bien avec les données initiales, il est nécessaire de répéter la procédure de transfert de la partie des données avec laquelle il y avait des problèmes.
3) si les solutions des paragraphes. 1 et 2 n'ont pas aidé, alors laissez un commentaire ici, essayons de comprendre ensemble :)

Maintenant que toutes les données importantes sont en place, vous pouvez "extraire" la version de Kerio Control Appliance vers la version actuelle. Le processus de mise à jour régulière peut se dérouler de deux manières, en mode automatique et en mode manuel.

Mode de mise à jour automatique de la version.

Kerio Control peut effectuer contrôle automatique disponibilité des nouvelles versions sur le site de mise à jour de Kerio.

1. Options additionelles », vers l'onglet « vérification des mises à jour»
2. Activez l'option " Vérifier périodiquement les nouvelles versions". Kerio Control vérifiera les nouvelles versions toutes les 24 heures. Dès que la présence d'une nouvelle version est constatée, sur l'onglet " vérification des mises à jour” affichera un lien pour télécharger la mise à jour. Pour rechercher une mise à jour immédiatement, cliquez sur le " Vérifie maintenant»
3. Si vous souhaitez télécharger les versions mises à jour dès qu'elles sont découvertes, activez l'option " Télécharger automatiquement les nouvelles versions". Dès que la nouvelle version sera téléchargée, vous recevrez une notification dans l'interface d'administration Web.
4. Après avoir téléchargé la mise à jour, cliquez sur le " Mettez à jour maintenant»
5. Confirmez votre intention de mettre à jour et d'effectuer le redémarrage automatique ultérieur de Kerio Control
6. Attendez que l'installation de la nouvelle version soit terminée et redémarrez Kerio Control.
7. Mise à jour terminée.

Mode manuel mises à jour des versions.

Ce mode de mise à jour peut être utile dans les circonstances suivantes :

• Revenir à la version précédente Contrôle Kerio
• Mise à niveau vers une version intermédiaire ou obsolète (par exemple, une version bêta fermée).
• Mise à niveau de la passerelle lorsqu'il existe des restrictions maximales pour que l'UIT accède aux ressources Internet.

Pour mettre à niveau manuellement, vous devez télécharger une image spéciale (Upgrade Image) à partir de la page de téléchargement de Kerio Control (http://www.kerio.ru/support/kerio-control).

Après le téléchargement, suivez ces étapes :

• Dans l'interface web d'administration, allez dans l'élément de menu " Options additionelles», vers l'onglet « vérification des mises à jour»
• Cliquez sur le bouton " Choix»
• Spécifiez l'emplacement du fichier image de mise à niveau (kerio-control-upgrade.img)
• Cliquez sur le bouton " Télécharger le fichier de mise à jour de la version»
• Après le téléchargement, cliquez sur le bouton Démarrer la mise à niveau de la version»
• Attendez la mise à jour de la version et redémarrez Kerio Control
• Mise à jour terminée.

Voilà, vous disposez d'une passerelle Internet à part entière basée sur Kerio Control Appliance ! Félicitations pour avoir terminé la transition vers UTM Kerio Control !

Seuls les utilisateurs enregistrés peuvent participer à l'enquête.