Tanıtım
Kerio Control izinsiz giriş algılama (intrusion prevention), içerik filtreleme, aktivite raporlama, bant genişliği yönetimi ve sanal özel ağ erişimini içeren bir birleşik tehdit yönetimi (UTM) güvenlik duvarıdır. Bu rehber Kerio Control'ün sıradan bir senaryoda kurulumunu içeren genel adımları sağlar.
Bu örnekte:
- Kerio Control iki internet bağlantısı arasında yük dengesini sağlar.
- WAN 1 beş statik IP adresine sahiptir ve güvenlik duvarı (firewall) arkasından sunucular için servisler host eder.
- WAN 2 dinamik bir IP adresine sahiptir ve web taraması ve Internet erişimini idare eder.
- Güvenlik duvarı arkasında dört ayrı ağ vardır (LAN, Phones, DMZ, Guest).
- Kerio Control içindeki DHCP sunucusu otomatik olarak tüm ağlara IP yapılandırması atar.
- Kullanıcılar yerel bir alan (domain) denetleyicisi üzerinden doğrulama gerçekleştirir (authenticate).
- Kullanıcılar web erişimi için RADIUS üzerinden doğrulama gerçekleştirir.
- Kerio Control peer-to-peer ağına engel olur.
- Kerio Control uzak bir lokasyon ile VPN tünelinin devamlılığını sağlar.
- Kullanıcılar VPN kullanarak bilgisayarlar ve mobil cihazlardan uzak bağlantı kurar.
- Kerio Control VoIP trafiği için 1 Mbps rezerve eder.
- Kerio Control misafir erişimini maksimum 1 Mbps ile sınırlar.
- Şirket genel müdürü tüm kullanıcı aktivitesinin sunulduğu haftalık raporu alır.
- Kerio Control yapılandırmasını her gün otomatik olarak Samepage.io'ya kaydeder.
Bir kurulum tipi seçmek
Kerio Control yazılım, sanal araç ya da donanım cihazı olarak mevcuttur (Donanım sürümleri Kuzey Amerika, Avustralya ve AB'de mevcuttur). Ürün özellikleri ve fonksiyonelliği tüm versiyonlar arasında neredeyse aynıdır.
Yazılım Aracı (Software Appliance)
Yazılım Aracı (Software Appliance)
- İndirilebilir ISO dosyası olarak
- Kurulum medyasına imaj olarak eklenmiş halde (USB sürücü, CD gibi)
- Standart donanım üzerine kurulmuş olarak
- Microsoft Hyper-V için Virtual Hard Disk (VHD) olarak mevcuttur
- VMware ESX/ESXi için Open Virtualization Format (OVF) olarak mevcuttur
- Pre-built VMware virtual guest (VMX) olarak mevcuttur
- 3x Gb portu
- 1.3 GHz Dual Core Intel Bay Trail, 4 GB RAM, 32 GB SSD
- 4x Gb portu
- 2.4 GHz quad core Intel Atom, 4 GB RAM, 32 GB SSD
- 6x Gb portu
- 3.6 GHz quad core Intel Core i5, 4 GB RAM, 32 GB SSD
Kerio Control'ün kurulumu ve yükseltilmesi
Kerio Control imaj dosyasını Kerio websitesinden indirebilirsiniz. Kerio Control kurulumu hakkında bilgilendirme için, Kerio Control Kurulumu bölümüne bakın. Eğer sanal araç ya da yazılım aracı sürümlerini kuruyorsanız, donanımınızın sistem gereksinimlerini karşıladığından emin olun.
Kurulumun ardından, yazılım otomatik olarak güncellemeleri kontrol eder. Web yönetimi bir güncelleme hazır olduğunda size bu durumu bildirir. Detaylar için Kerio Control'ü Yükseltme bölümüne bakın.
Kurulumun ardından, yazılım otomatik olarak güncellemeleri kontrol eder. Web yönetimi bir güncelleme hazır olduğunda size bu durumu bildirir. Detaylar için Kerio Control'ü Yükseltme bölümüne bakın.
Kerio Control'e erişim
Kurulumun ardından, Kerio Control otomatik olarak Internet ve yerel arayüzlerinizi algılar. Ağ arayüzlerinin başarılı algılanması için, Kerio Control'ü kurulumdan önce uygun ağ ekipmanına bağlayın (modem, switch, access point vb.).
Yönetim paneline, bir web tarayıcısından güvenlik duvarının IP adresini girerek erişebilirsiniz. Yönetim bilgisayarınızın güvenlik duvarıyla aynı IP subnet'inde olması gerektiğini unutmayın.
Sanal ve Yazılım Aracı sürümleri yöneticinin işletim sisteminden doğrudan erişilebildiği ayrı bir yönetim arayüzünü içermektedir. Bu dialog kutusu (dialog box) sadece gerekli özellikleri içerir ve esas olarak web yönetimine erişemediğiniz zamanlarda kullanışlıdır. Bu arayüzle yapabilecekleriniz:
Yönetim paneline, bir web tarayıcısından güvenlik duvarının IP adresini girerek erişebilirsiniz. Yönetim bilgisayarınızın güvenlik duvarıyla aynı IP subnet'inde olması gerektiğini unutmayın.
Sanal ve Yazılım Aracı sürümleri yöneticinin işletim sisteminden doğrudan erişilebildiği ayrı bir yönetim arayüzünü içermektedir. Bu dialog kutusu (dialog box) sadece gerekli özellikleri içerir ve esas olarak web yönetimine erişemediğiniz zamanlarda kullanışlıdır. Bu arayüzle yapabilecekleriniz:
- Güvenilmeyen ağlardan uzak yönetime izin vermek (Remote Administration)
- Fabrika ayarlarına geri döndürme (Factory Reset)
- Kapatma/Yeniden başlatma (Shutdown/Restart)
- TCP/IP parametrelerinin yapılandırılması (Network Configuration)
Kerio Control'ü etkinleştirme
Yönetici web yönetim arayüzüne ilk kez giriş yaptığında, Etkinleştirme Sihirbazı (Activation Wizard) açılır. Sihirbaz temel sistem parametrelerini atar:
- Varsayılan dili seçmek
- İnternet bağlanılabilirliğini doğrulamak
- Yerel tarih ve zamanı atamak
- Lisansı etkinleştirmek
- Yönetim için şifre atamak
- Uyarı ve bildirimleri atamak
- MyKerio'dan yönetimi aktifleştirmek
Ağ arayüzlerinin (Network Interfaces) ve bağlanılabilirliğin tanımlanması
Kerio Control'daki ağ arayüzleri yerel ağlar ve İnternet arasında yönlendirmeyi (routing) sağlar. Herhangi bir güvenlik duvarı (firewall) yapılandırması öncesi ağ parametrelerini yapılandırmanız ve İnternet bağlanabilirliğinizi tanımlamanız gerekmektedir. Yönetici ağ arayüzlerini ve İnternet bağlanabilirliğini Configuration → Interfaces altında yönetebilir. Yapılabilecekler:
Örnek senaryoda, Kerio Control iki İnternet bağlantısı arasındaki yükü dengeler ve dört yerel ağa yönlendirme (routing) yapar.
- Arayüzleri gruplar halinde düzenlemek
- İnternet bağlantı yükü dengeleme (Internet link load balancing) yapılandırması
- VLAN arayüzleri eklemek
- VPN tünelleri oluşturmak
- Ağ arayüzlerine TCP/IP parametreleri atamak
- L2TP, PPPoE, ya da Dial-up bağlantılar için arayüzler eklemek
Örnek senaryoda, Kerio Control iki İnternet bağlantısı arasındaki yükü dengeler ve dört yerel ağa yönlendirme (routing) yapar.
- Yönetici her ağ arayüzünü tanımlar.
- Yönetici her ağ arayüzüne ağ parametreleri tanımlar.
- Yönetici WAN 1'e ilave IP adresleri atar (Interface properties altında Define additional IP addresses seçilerek atanır).
- Yönetici WAN 1 ve WAN 2 arayüzlerini Internet Interfaces grubuna taşır.
- Yönetici DMZ arayüzünü Other Interfaces grubuna taşır.
- Yönetici Guest arayüzünü Guest Interfaces grubuna taşır. Detaylar için Misafir Ağını Yapılandırma bölümüne bakın.
- Yönetici LAN ve Phones arayüzlerini Trusted/Local Interfaces grubuna taşır.
- Yönetici İnternet bağlanılabilirliği (Internet connectivity) olarak Multiple Internet Links – Load Balancing seçeneğini seçer.
- Yönetici her İnternet arayüzü için eşit bağlantı ağırlığını (weight) 1 olarak tanımlar.
Yerel ağlara parametrelerin atanması
Kerio Control Dynamic Host Configuration Protocol (DHCP) sunucusu gibi davranarak ağ yönetimini basitleştirebilir. DHCP bağlı cihazlara otomatik olarak ağ parametreleri atar. Yönetici DHCP sunucusunu Configuration → DHCP Server altında yönetebilir. Detaylar için DHCP modülünün kullanımı bölümüne bakın.
Örnek senaryoda, Kerio Control'daki DHCP sunucusu tüm ağlara otomatik olarak IP yapılandırması atar.
Örnek senaryoda, Kerio Control'daki DHCP sunucusu tüm ağlara otomatik olarak IP yapılandırması atar.
- Yönetici Kerio Control DHCP sunucusunu aktif hale getirir.
- Yönetici güvenlik duvarının otomatik olarak kapsam oluşturmasına izin verir (generate scopes automatically).
- Cihazlar ağa bağlanır ve ağ parametrelerini otomatik olarak alır.
- Yönetici kalıcı IP adresine ihtiyaç duyan cihazlar için rezervasyonlar oluşturur.
Bir rehber servisine bağlanma
Kerio Control Apple Open Directory ya da Microsoft Active Directory'deki kullanıcıları doğrulayarak (authenticate) kullanıcı yönetimini basitleştirebilir. Yönetici rehber servislerini (directory service) Configuration → Domains and User Login altında yönetebilir. Detaylar için Kerio Control'ün rehber servislerine bağlanması bölümüne bakın.
Örnek senaryoda, Kullanıcılar yerel bir alan (domain) denetleyicisi üzerinden doğrulama gerçekleştirir.
Örnek senaryoda, Kullanıcılar yerel bir alan (domain) denetleyicisi üzerinden doğrulama gerçekleştirir.
- Yönetici Kerio Control'ü yerel alana (local domain) bağlar.
- Yönetici Kerio Connect'i kullanıcıları rehber sunucusundan (directory server) ataması için yapılandırır.
Güvenlik ve erişim kurallarının uygulanması
Kerio Control güvenliği İzinsiz Giriş Önleme (Intrusion Prevention), trafik kuralları (Traffic Rules) ve Sophos Antivirüs üzerinden uygular. Bu özellikler otomatik olarak yapılandırılır, ve güvenlik duvarının sadece geçerli ağ iletişimine izin vermesini sağlar.
İlave güvenlik için, yönetici trafik kurallarını ve içerik kurallarını (content rules) yapılandırabilir. İçerik kuralları ağ üzerindeki kullanıcılar için izin verilen ya da engellenen web aktivitelerini içerir. Örnek olarak:
Örnek senaryoda, kullanıcılar web erişimi için RADIUS kullanarak doğrulama yapar ve Kerio Control peer-to-peer bağlantıları engeller.
İlave güvenlik için, yönetici trafik kurallarını ve içerik kurallarını (content rules) yapılandırabilir. İçerik kuralları ağ üzerindeki kullanıcılar için izin verilen ya da engellenen web aktivitelerini içerir. Örnek olarak:
- Belirli dosya tiplerinin transferi
- Medya akışı (streaming)
- Uzaktan erişim
- Sosyal medya siteleri
- Online alışveriş siteleri
Örnek senaryoda, kullanıcılar web erişimi için RADIUS kullanarak doğrulama yapar ve Kerio Control peer-to-peer bağlantıları engeller.
- Yönetici Domains and User Login → Authentication Options altında kullanıcıların her zaman doğrulanması gerektiğini (Always require users to be authenticated) ve WPA2 enterprise clients authentication'u aktive eder. Detaylar için Kerio Control'de RADIUS sunucusunun kullanılması bölümüne bakın.
- İçerik Filtresinde (Content Filter), yönetici Peer-to-Peer traffic varsayılan kuralını aktive eder.
Trafik Kuralları (Traffic Rules) izin verilen ya da engellenen ağ iletişimi tiplerini tanımlar. Varsayılan olarak güvenlik duvarı tüm çıkış (outgoing) tipi trafiğe izin veren bir temel kural oluşturur. Trafik kurallarına örnek olarak:
- Belirli bir ağ servisi tipine izin vermek ya da engellemek (SMTP gibi)
- Gelen bağlantılar için port açmak (Port mapping). Detaylar için Trafik kurallarını yapılandırma bölümüne bakın.
- Bir arayüz üzerinden belirli çıkış (outbound) trafiğinin zorlanması. Detaylar için Kurallı yönlendirmenin (policy routing) yapılandırılması bölümüne bakın.
Uzaktan erişimin aktifleştirilmesi
Uzak bağlantı kullanıcılarının ya da tüm ağların yerel ağ içindeki servislere erişimini sağlamak için Virtual Private Networking (VPN) kullanabilirsiniz. Kerio Control mobil cihaz erişimi için IPsec'i ve üçüncü parti VPN gateway'leri için tunneling'e imkan verir. Ayrıca masaüstü işletim sistemlerinden uzak bağlantı ve diğer Kerio Control güvenlik duvarlarına tünelleme için tescilli Kerio VPN uygulamasını kullanabilirsiniz. VPN için ayarları Interfaces dialog kutusunun altındaki VPN sunucu arayüzü(server interface) bölümünden yönetebilirsiniz.
Detaylar için Kerio VPN tünelinin yapılandırılması, IPsec VPN'in yapılandırılması ve Kerio Control'de SSL sertifikalarının yapılandırılması bölümlerine bakın.
Örnek senaryoda, Kerio Control uzak bir lokasyon ile VPN tünelinin devamlılığını sağlar, ve kullanıcılar VPN kullanarak bilgisayarlar ve mobil cihazlardan uzak bağlantı kurar.
Detaylar için Kerio VPN tünelinin yapılandırılması, IPsec VPN'in yapılandırılması ve Kerio Control'de SSL sertifikalarının yapılandırılması bölümlerine bakın.
Örnek senaryoda, Kerio Control uzak bir lokasyon ile VPN tünelinin devamlılığını sağlar, ve kullanıcılar VPN kullanarak bilgisayarlar ve mobil cihazlardan uzak bağlantı kurar.
- Yönetici VPN Services adlı varsayılan trafik kuralını aktif hale getirir.
- Yönetici tüm kullanıcıların VPN kullanarak bağlanmasına izin vermek için kullanıcı taslağını modifiye eder.
- Yönetici imzalı bir SSL sertifikası kurar ve bu sertifikayı VPN sunucusuna atar.
- Yönetici şube lokasyona bir Kerio VPN tüneli oluşturur.
- Yönetici IPsec VPN sunucusuna önceden paylaşılmış bir anahtar (preshared key) atar.
- Kullanıcılar mobil cihazlarına IPsec/L2TP hesaplarını ekler.
- Kullanıcılar Kerio VPN istemcisini masaüstü ya da dizüstü bilgisayarlarına kurup yapılandırırlar.
Bant genişliğinin yönetimi
Kerio Control ağ aktivitesini takip etmenize ve İnternet mevcudiyetini optimize etmenize yardımcı olacak çok sayıda özellik içermektedir.
Status → Active Hosts ağdaki tüm hostların gerçek zamanlı aktivitelerini gösterir. Hangi cihazların en çok bant genişliğini tükettiğini, ağın ne zaman en aktif olduğunu, ve hangi tip aktivitelerin gerçekleştiğini görebilirsiniz. Detaylar için Aktif hostların takip edilmesi bölümüne bakın.
Status → Traffic Charts ağ arayüzleri, trafik kuralları, ya da bant genişliği kuralları gibi çeşitli bilgilerin toplam hacmini gösterir. Bu bilgiler ağınızdaki verinin nasıl kullanıldığını tanımlamanıza yardımcı olur.
Configuration → Interfaces → Internet Connectivity çok sayıda İnternet bağlantısı arasında ağ trafiğinin dağıtımını sağlamanıza izin verir. Trafik kurallarını kullanarak çıkış (outgoing) bağlantılarının yönlendirilmesini daha fazla ayarlayabilirsiniz. Detaylar için Kurallı yönlendirmeyi (policy routing) yapılandırma bölümüne bakın.
Configuration → Bandwidth Management and QoS çeşitli koşullara bağlı olarak trafiğe öncelik atamanızı mümkün kılar. Bant genişliği yönetimini yapılandırma bölümüne bakın.
Örnek senaryoda, Kerio Control VoIP trafiği için 1 Mbps rezerve eder ve misafir erişimini maksimum 1 Mbps ile sınırlar.
Status → Active Hosts ağdaki tüm hostların gerçek zamanlı aktivitelerini gösterir. Hangi cihazların en çok bant genişliğini tükettiğini, ağın ne zaman en aktif olduğunu, ve hangi tip aktivitelerin gerçekleştiğini görebilirsiniz. Detaylar için Aktif hostların takip edilmesi bölümüne bakın.
Status → Traffic Charts ağ arayüzleri, trafik kuralları, ya da bant genişliği kuralları gibi çeşitli bilgilerin toplam hacmini gösterir. Bu bilgiler ağınızdaki verinin nasıl kullanıldığını tanımlamanıza yardımcı olur.
Configuration → Interfaces → Internet Connectivity çok sayıda İnternet bağlantısı arasında ağ trafiğinin dağıtımını sağlamanıza izin verir. Trafik kurallarını kullanarak çıkış (outgoing) bağlantılarının yönlendirilmesini daha fazla ayarlayabilirsiniz. Detaylar için Kurallı yönlendirmeyi (policy routing) yapılandırma bölümüne bakın.
Configuration → Bandwidth Management and QoS çeşitli koşullara bağlı olarak trafiğe öncelik atamanızı mümkün kılar. Bant genişliği yönetimini yapılandırma bölümüne bakın.
Örnek senaryoda, Kerio Control VoIP trafiği için 1 Mbps rezerve eder ve misafir erişimini maksimum 1 Mbps ile sınırlar.
- Yönetici her İnternet bağlantısı için İnternet bant genişliğini tanımlar.
- Yönetici SIP VoIP adlı varsayılan kuralı aktive eder ve değerini 1 Mbps olarak atar.
- Yönetici misafir arayüzlerini (guest interface) 1 Mbps'ye limitleyen yeni bir kural ekler.
Raporların oluşturulması ve incelenmesi
Kerio Control, Kerio Control Statistics adlı bir raporlama özelliği içerir. Kerio Control Statistics doğrulanmış kullanıcıların aktivitelerini güvenlik duvarındaki bir yerel veritabanına kaydeder. Ayrıcalıklı kullanıcılar istatistik bilgilerine isteğe bağlı olarak özel bir web arayüzünden ya da e-posta ile erişebilir. Detaylar için İstatistik ve raporların yapılandırılması bölümüne bakın.
Örnek senaryoda, şirket genel müdürü tüm kullanıcı aktivitesinin sunulduğu haftalık raporu alır.
Örnek senaryoda, şirket genel müdürü tüm kullanıcı aktivitesinin sunulduğu haftalık raporu alır.
- Yönetici şirketin genel müdürünün kullanıcı hesabı için bir e-posta adresi belirler.
- Yönetici güvenlik duvarını İnternet kullanım istatistiklerini toplayacak şekilde yapılandırır.
- Yönetici şirketin genel müdürüne düzenli yollanacak e-posta raporlarını yapılandırır.
Otomatik yedeklemenin yapılandırılması
Kerio Conrtrol yapılandırmasını donanım arızası ya da diğer felaketlerin oluştuğu bir durumda başka bir sisteme yeniden yüklemek için yedekleyebilirsiniz. Yapılandırmayı Configuration Assistant kullanarak manuel bir şekilde ya da otomatik bir şekilde Samepage.io'ya yedekleyebilirsiniz. Örnek senaryoda, Kerio Control yapılandırmasını her gün otomatik olarak Samepage.io'ya kaydeder. Detaylar için Samepage'e yapılandırmanın kaydedilmesi bölümüne bakın.