Kerio Winroute Firewall Tutorial by [Racer-X]

[[Racer-X]]

Changelog: Rev.0.4:29/10/06 9:09PM
Correção de escrita/texto que poderia incorrer à uma compreensão errada. Tks Arquero.

Changelog: Rev.0.3:28/08/06 5:20PM
Atualizado adicionando com conteúdo de Tempo/Faixa de Acesso x Bloqueio de Conteúdo.
Resposta de duvidas do usuário Rapha.

Changelog: Rev.0.2: 21/07/06 3:30PM
Fotos linkadas...
No decorrer das duvidas, posso criar extensões do tutorial, sobre as opções mais avançadas, do firewall.

Changelog: Rev.0.1: 21/07/06 4:37AM
Ainda faltam linkar algumas fotos vai dar 5 da manhã e já estou quebrado.
Toda a sequencia e processo foi testada em tempo real usando Vmware e a ultima versão do firewall disponível atualmente.
Postem o que acharam do tópíco e de itens quais configurações mais devo comentar aqui no topico.
Se o Rash não colocar no bookmark eu desisto hehehe

-----------------------------------------------------------------------------------------------------------------------

Vamos lá como prometido ai vai um intensivo de como instalar e configurar o Kerio Winroute Firewall funcionando na sua rede.

Configuração e conectividade no Gateway/Firewall:

Neste tutorial teremos como base um computador com Windows XP c/ SP2 e 2 placas de rede.

Uma conexão PPPoE, configurada com login e senha no Windows XP.
Uma placa de rede denominada como Internet conectada ào Modem ADSL. (IP Obter Automaticamente)
Uma placa de rede denominada Rede Interna conectada ao meu Hub/Switch de rede. (IP 192.168.1.1 Mascara 255.255.255.0)

Observe:




Vamos à instalação do Kerio Winroute Firewall.

Execute o arquivo de instalação:

Observe:


Para continuar clique em "Next".
Observe:


Aceite o termo de licensa, clicando em "I accept..." e depois em Next".
Observe:


Escolha a pasta de destino à ser instalada, clicando em "Browse", ou simplesmente deixe na padrão e clique em "next".
Observe:

[[Racer-X]]

Escolha a opção "typical" é o metodo mais pratico para habilitar as funções do Kerio Winroute Firewall, na sequencia de instalação.
Clique em "Next".
Observe:


Configure uma conta de acesso administrativo ao Kerio Winroute Firewall.
Preencha com uma senha no campo Password e depois confirme o password em Confirm Password.
Dica: Use no minimo 6 digitos na senha para obter maior segurança.
e clique em "Next".
Observe:


Nesta tela podemos habilitar o acesso remoto do Kerio à algum IP interno da sua rede alem do gateway para configurarmos as regras do Kerio Winroute Firewall.
Neste momento deixe desabilitado já que ainda não conhecemos como acessar via console remoto ok?
Clique em "Next"
Observe:



O processo de copia se iniciará, dentro deste processo algumas interfaces de VPN do Kerio saõ adicionadas e algumas mudanças de registro.
Observe:


No meio do processo o Kerio poderá detectar se o Firewall/ICS do seu Windows está habilitado, confirme com "sim" para desabilitar o serviço do Windows e evitar conflitos.
Observe:

[[Racer-X]]

Logo após às copia se finalizará, deixe clicado em "Yes,I want..." e clique em Finish, para reiniciar imediatamante seu computador.
Observe:


Após o reboot antes de o sistema operacional carregar uma tela surgirá.
Confirme com "sim" para iniciarmos o console de administração do Kerio Winroute Firewall.
Observe:


A tela à seguir virá, preencha o password e clique em connect, caso queira deixar salvo a senha da console clique em "save as...", deixe o campo como "localhost" e confirme com Ok.
Observe:



Ao conectar o assistente de configurações de regras do Kerio Winroute Firewall aparecerá, vamos usá-lo como base para nossas configurações iniciais.
Clique em "Next"
Observe:


Escolha o metodo de conexão de internet utilizada.
Se o seu IP for fixo ou seu modem/router estiver fazendo a discagem para você deixe clicado em "Ethernet,DSL,cable modem or other".
Se seu ip for dinamico, se seu modem/router estiver configurado como bridge e seu sistema operacional faz a discagem e conexão deixe clicado em "Dial-Up (modem,ISDN, PPPoE)" Este é o metodo que irei utilizar.
Observe:

[[Racer-X]]

Como usaremos uma conexão Dial-Up eu escolho minha conexão na combo box.
E deixo clicado para utilizar os dados de login já registrados no windows XP, como mostra na tela abaixo.
Tambem é possível que os dados de login e senha sejam armazenados pelo kerio onde é só clicar no "use the following login data" e digitar seu login e senha nas caixas correspondentes.
Clique em "next".
Observe:


Agora podemos configurar quais as regras de saída pre-programadas no nosso Firewall/Router.
As regras nesta tela funcionam no seguinte modo de funcionamento.

Se você deixar clicado em "Allow access to all services (no limitations)":
O firewall irá ser configurado dando a opção de que todos os usuários da rede poderão acessar das suas maquinas quais quer serviços internet, desde navegação até Games e P2P.
Neste metodo se você quiser restrinjir por exemplo MSN, uma regra de bloqueio deverá ser adicionada posteriormente no firewall.
Recomendo este tipo de configuração em ambientes de utilização mais caseiros...

Se você deixar clicado em "Allow access to the following services only:":
O firewall irá ter a seguinte reação inicial:
Somente os serviços os quais estão clicados como HTTP,HTTPS,FTP,SMTP,DNS,POP3,IMAP e Telnet serão acessados pelos seus usuários na internet.
Neste metodo, conhecido como "Se não liberei está bloqueado" teremos a seguinte consequencia, quaisquer outraos softwares que dependam de outras portas para navegar serão instantaneamente bloqueados até que posteriormente os serviços sejem adicionados posteriormente por você.
Sendo assim de cara MSN,Emule e todas as tranqueiras na rede serão bloqueadas, por isso recomendo este metodo para maior segurança numa rede corporativa.
Irei utilizar no meu tutorial este metodo, e mais pra frente mostrarei como liberar serviços gradativamente.

Escolhido o seu metodo preferido clique em Next.
Observe:


O Kerio Winroute Firewall, vem com opções de VPN embutidas para que as mesmas funcionem precisamos publicar os serviços Kerio VPN server e a função de ClientLess SSL-VPN do Kerio, para posterior acesso via internet.
Somente deixe habilitado saiba e venha utilizar VPN.
Na minha situação deixarei habilitado pois mesmo que não use agora pode ser que usarei depois e não quero perder tempo configurando manualmente...

Observe:



Regras de entrada do Kerio Winroute Firewall, estes serviços serão serviços que no primeiro momento, serão abertos para acesso remoto via internet ao seu Firewall, refletindo nossa escolha anterior do servidor VPN e do SSL-VPN.
Mantenha assim clique em "Next"

Observe:


Deixe habilitado a função de NAT mantendo clicado o "Enable NAT", para que seus micros da rede possam acessar à internet.
Clique em "next".

Observe:


Finalise
Clique em "Finish".

[[Racer-X]]

Neste momento, registre o seu Kerio como Trial, ou registre ele e de preferencia reinicie a maquina para que continuamos nosso tutorial.

Após registrar e reiniciar...

Vamos estipular como os micros poderão acessar a rede compartilhada.

Rede compartilhada com endereçamento fixo.
No inicio do tutorial especifiquei que a placa da minha Rede Interna era de IP 192.168.1.1 Mascara 255.255.255.0
Para acesso imediato das estações é preciso que as estações sejam numeradas uma à uma com IP, DNS e Gateway configurados.
Neste exemplo as estações poderiam ser configuradas com ip 192.168.1.2 até 192.168.1.254 com gateway 192.168.1.1 em todas e DNS, da sua provedora.
Algumas regras devem ser lembradas no endereçamento como não repetir o IP utilizado em mais de uma maquina.

Rede compartilhada com endereçamento automatico (DHCP).
Para configuração automatica de Ip´s nas maquinas da sua rede compartilhada Faça o seguinte.
Abra o Administration Console, abra a função Configuration -> DHCP Server.
Clique na caixa DHCP Server enabled.
Na aba Scopes Clique Add -> Scope.

Preencha uma descrição, primeiro endereço, usando nosso exemplo ficariamos:
First Address: 192.168.1.2 Last Address: 192.168.1.254
Network Mask: 255.255.255.0
Lease Time: (Configure quanto tempo as maquinas ficarão com o mesmo IP, no meu exemplo configurei 1 dia.)
Vá até as opções e clique em Default Gateway e digite 192.168.1.1
em Domain name server clique em preencha o dns da sua provedora. se tiver mais de 1 DNS digite separados com ponto e virgula.
Observe:



Clicando em avançado temos acesso à outras opções de DHCP menos comuns, que tambem podem ser propagadas à sua rede pelo Kerio.
Uma vez configurada a tela clique em OK.
e para que entre em funcionamento apliquem clicando em "apply"
Observe:


Adicionando mais serviços à serem acessados pela rede.
Abra o Administration Console, função Configuration -> Traffic Policy.
Vá até a linha NAT e e dê um duplo clique na colina "Services"
Como exemplo vamos liberar o MSN.
Na tela de edição de porta ou serviço clicamos em ADD -> Service, depois no combo, vamos até Windows Messenger.
Confirmamos com OK e depois clicamos em "Apply"
Observe:


Bloqueio de acessos à conteúdo.
Para isso vamos criar uma lista com palavras chave que correspondem às paquinas quais queremos bloquear.
No exemplo vamos cliar uma lista com a palavra orkut e playboy.
Abra o Administration Console, função content Filtering -> HTTP Policy, Aba URL Groups.
Clique em "Add"
Digite um nome do grupo de regras à bloquear.
No nosso caso darei o nome de "Bloquear"
No campo URL: digite *playboy*
Clique em "OK."
Observe:


Faça o mesmo processo clicando em ADD novamente escolhendo o grupo Bloquear e na URL digite *orkut*.
Clique em "Apply".

[[Racer-X]]

Vamos a aba URL Rules.
Para bloquear à todos os usuários as URL que tem as regras do item "bloquear" configure como mostrado abaixo.
Observe:


Confirme com OK e depois em Apply.
Observe:


Quando alguem acessar alguma pagina bloqueada ele receberá:
Observe:


E se clicou na caixa Log no passo logo acima, dentro do Administration Console -> Logs -> Filter, pegamos as pessoas que tentaram acessar as tais paginas.


Monitoração Real-Time

Nela é possível acompanharmos em tempo real o que os usuários da nossa rede estão acessando e inclusive acessar o mesmo contenudo deles, para avaliação de conteúdo.
Para isso abra o Administration Console, função Status -> Hosts / Users
Clique no Escolha o host à ser monitorado e clique na Activity Description para que a pagina referente possa ser aberta diretamente no seu browser.
Ps.: Paginas que exigem logins, obviamente não irão abrir automaticamente já que exigirão autenticação à qual o Kerio não importará isso para você.

Observe:


[ ]´s

[[Racer-X]]

Tempo/Faixa de Acesso x Bloqueio de Conteúdo

Nesta parte explicarei como criar uma faixa de tempo, para controlar a execução de uma regra durante o periodo selecionado.
Antes de tudo crie uma regra URL como explicado acima no item "Bloqueio de acessos à conteúdo"

Com ela criada faremos o seguinte:
Vamos no item "Definitions -> Time Ranges e ao lado direito clicamos em "add" apaixo segue um exemplo de preenchimento para esta faixa de tempo.
Como podem ver quando esta faixa de tempo for aplicada às regras, significará que a regra irá funcionar Diariamente, dás 07 às 19 somente de segunda à sexta feira. Sabados e Domingos a regra não será aplicada.


Depois para ativar essa faixa de tempo vamos em: Content Filtering -> HTTP Policy, edite a regra à ser aplicada a faixa onde no meu cado estou usando a "Regra de Bloqueio" e clique na aba avançada.
Lá na caixa "Valid at time interval" escolha a faixa criada anteriormente, segue abaixo exemplo da tela como referencia.

[CommanderBR]

Ae Racer Blz kra,

Ow muito legal da sua parte ter gasto seu tempo fazendo este ótimo tutorial.

Segui ele e consigui setar minha LAN aqui =), tava faltando algumas configs de DCHP que não tinha colocado e não prestei atenção no manual =P

Só to com uma duvidazinha...

Lá quando vc adiciona um ''Scope'' de Ipspro DCHP, em Domain Name Server, vc disse pra colocar o DNS do Provedor...

Meu IP e DNs e blabla eu pego tudo pelo DCHP, se mudar, eu vo ter que alterar tb no firewall neh ??

Muito Obrigado cara e continue assim, o mundo precisa de mais pessoa como vc =)

Rash esse vale a pena colocar nos Bookmarks =)

[stdio]

muito bom

ta adicionado aos favoritos

[]s

[Rapha]

Racer-X

Parabens pelo topico!!!

Preciso tirar algumas duvidas.

Na parte de servicos tem como configurar para que sejam liberados para alguns usuarios?

Tem como configurar por horarios os servicos e os acessos a tais paginas?
Ex: De X h ate X horas bloquear tais servicos e de x h ate x horas liberar os servicos.

Agradeco desde ja!

[Asy]

Merecia vários verdinhos!

[Rash]

Brusa, qualquer um pode dar reputação para ele. Clica na balança.

[ReX]

Brusa, qualquer um pode dar reputação para ele. Clica na balança.

Aqui nem aparece

[[Racer-X]]

Rapha: Na parte de servicos tem como configurar para que sejam liberados para alguns usuarios?
R: É possível configurar nas propriedades do usuário que ele dê "override" à algum tipo de regra, ou seja mesmo que você tenha alguma regra geral no firewall como os bloqueios de url é só habilitar o override que as ações ficam anuladas para aquele usuário.

Rapha: Tem como configurar por horarios os servicos e os acessos a tais paginas?
Ex: De X h ate X horas bloquear tais servicos e de x h ate x horas liberar os servicos.
R: Referente aos serviços eu não achei uma forma de configurar faixa, mas para acesso as paginas veja a resto do tutorial que eu atualizei

Para dar reputação cliquem no link :
http://forum.hardmob.com.br/reputation.php?p=4180774

[ ]´s

[«¤¢øñÐø®¤»]

Racer querido!!!!!!!! Vc acaba de solucionar todos os meus problemas

Vou testar aki na rede assim que trocarmos para Speedy... te AMU

[[Racer-X]]

Racer querido!!!!!!!! Vc acaba de solucionar todos os meus problemas

Vou testar aki na rede assim que trocarmos para Speedy... te AMU

Estamos ae...
Qquer duvida dá um toque no MSN, q dou um help sempre que possível

[ ]´s

[tpjunior]

Cara..
eu instalei o Kerio Winroute Firewall na empresa onde trabalho..
só que estou com problemas.. sempre ao conectar ele não consigo navegar nem no servidor nem nas outras máquinas da rede..
oq pode ser?

[arquero]

Brusa, qualquer um pode dar reputação para ele. Clica na balança.

Quando ao tópico: sem comentários, simplesmente excelente!

Só um adendo, Racer... Pra deixar o teu tutorial mais "profissa", corrija lá no 1º post aonde fala sobre "cpu"... CPU não é computador todo, mas somente o processador (nesse caso, claro)

[[Racer-X]]

Quando ao tópico: sem comentários, simplesmente excelente!

Só um adendo, Racer... Pra deixar o teu tutorial mais "profissa", corrija lá no 1º post aonde fala sobre "cpu"... CPU não é computador todo, mas somente o processador (nesse caso, claro)

Positivo Arquero , corrigido no tutorial. Obrigado pelo alerta e pelo elogio, pelo menos post sobre firewall deu uma sossegada

Para quem utiliza o Kerio e sentir alguma divergência das informações do tutorial com versões mais recentes do software alertem que eu faço um update.

Ps.: Me desculpem as pessoas que entraram em contato comigo nestas ultimas semanas e que infeliesmente não pude dar o tratamento necessário à todos, mas estamos ai passem mp´s e afins que eu dou um help sempre que possível.

[ ]´s

[Guga2004]

Muito bom o topico!!!!!

[angelobr]

Esse firewall funciona no XP64?

[«¤¢øñÐø®¤»]

"Vá até as opções e clique em Default Gateway e digite 192.168.1.1
em Domain name server clique em preencha o dns da sua provedora. se tiver mais de 1 DNS digite separados com ponto e virgula."

Se eu não souber o DNS a net compartilhada não vai funcionar??

[CiB | Sid]

bacana!

[arquero]

"Vá até as opções e clique em Default Gateway e digite 192.168.1.1
em Domain name server clique em preencha o dns da sua provedora. se tiver mais de 1 DNS digite separados com ponto e virgula."

Se eu não souber o DNS a net compartilhada não vai funcionar??

Acredito que colocando o mesmo IP (Gateway) irá funcionar, pois ele se encarregará de adquirir o DNS do provedor.

[[Racer-X]]

"Vá até as opções e clique em Default Gateway e digite 192.168.1.1
em Domain name server clique em preencha o dns da sua provedora. se tiver mais de 1 DNS digite separados com ponto e vírgula."

Se eu não souber o DNS a net compartilhada não vai funcionar??

Condor neste trecho do Tutorial é o local onde você está criando o "escopo" que será publicado pelo server DHCP do Kerio. Neste local sim você precisa saber qual o DNS da sua provedora para que ele propague para as maquinas client. Se tiver dificuldades em descobrir qual seu dns diga pra gente talvez o povo pode ajudar.
Como alternativa e teste, faça o procedimento que Arqueiro disse coloque o ip do gateway, pois quando houver requisição de dns acredito que o kerio faz o forward do pedido para o default da conecção.

[ ]´s