Kerio Control è una soluzione integrata per il controllo perimetrale della rete, inquadrabile nella categoria degli UTM (Unified Threat Management). Si tratta quindi di un sistema che prevede la gestione delle minacce in maniera unificata, permettendo l’uso di una sola interfaccia per la configurazione dei diversi aspetti riguardanti la sicurezza in rete.

Kerio Control, giunto alla versione 8.6.2 nel momento in cui scriviamo, è contemporaneamente un firewall di tipo stateful inspection, un sistema IPS/IDS, un gateway di bilanciamento del traffico, un DHCP server, DNS forwarder, un sistema di filtraggio dei contenuti Web ed un server VPN per il collegamento sicuro degli utenti remoti (e delle sedi remote) alla rete aziendale. L’elenco delle funzioni supportate è lungo, chi volesse verificarlo può farriferimento alla pagina del sito ufficiale http://www.kerio.com/products/kerio-control/features

Installazione

Kerio Control è disponibile sotto tre forme di distribuzione: Hardware Appliance, Software Appliance e Virtual Appliance. La Virtual Appliance è la versione che meglio si presta per analisi e test, poiché è resa disponibile come Virtual Hard Disk (VHD) per Microsoft Hyper-V, come pacchetto Open Virtualization Format (OVF) per VMware ESX/ESXi oppure macchina virtuale VMware precostruita (VMX).

Virtual Appliance per VMware

È possibile scaricare l’immagine desiderata dal sito web di Kerio, all’indirizzo http://www.kerio.com/support/kerio-control. Prendendo come esempio l’ambiente virtuale di VMware, una volta eseguito l’upload dei due file .VMX e .VMDK nel datastore di un host ESXi, è sufficiente registrare la macchina nell’inventario dell’host e avviarla. È poi necessario seguire le poche istruzioni indicate a video per completare una configurazione di base ed avere l’appliance pronta all’uso. Nelle fasi iniziali del setup è  importante indicare correttamente l’interfaccia connessa a Internet e quella che invece è collegata alla rete locale, che sarà utilizzata per la gestione dell’appliance. La console di amministrazione è disponibile via web alla pagina https://indirizzoip:4081/admin

dashboard

Pagina inziale dell’interfaccia di gestione

MyKerio: La gestione su Cloud per MSP

Con la versione 8.6 è stato introdotto l’uso del servizio Cloud MyKerio per la gestione centralizzata, che consente di impostare la propria appliance da qualsiasi punto di accesso a Internet. Il collegamento tra l’appliance Kerio Control e la console centralizzata su cloud può essere portato a termine durante il setup iniziale, abilitando la voce “Consentire amministrazione da remoto dal servizio in Cloud di MyKerio”:

mykerio

Se il servizio non è stato attivato durante il setup, sarà possibile attivarlo in qualsiasi momento successivo, accedendo alla console di gestione e spuntando la casella di controllo “Collega a MyKerio” nel menu Servizi Remoti:

mykerio

Per accedere al servizio di gestione cloud MyKerio, è necessario autenticarsi sul sito https://my.kerio.com/login.

mykerio

Regole del traffico e filtro contenuti

La sezione delle regole firewall permette di proteggere i propri dispositivi in rete, grazie all’impiego di funzioni come il deep packet inspection e il routing avanzato, che supportano sia IPv4 sia IPv6. La console di gestione prevede semplici azioni per la creazione e la modifica delle regole: le azioni sono agevolate da funzioni pratiche come l’uso del tasto destro del mouse sugli oggetti, che permette di accedere a menu contestuali, e il doppio clic sui singoli campi per modifiche dinamiche. La sezione di filtraggio dei contenuti permette di creare policy per il controllo dei traffici in entrata e in uscita, utilizzando come filtri URL specifici, tipologie di traffico, categorie di contenuti e intervalli di tempo.

regole traffico

Impostazione delle regole di traffico

filtro contenuti

Impostazioni di filtraggio dei contenuti

I filtri consentono, in maniera selettiva, di bloccare, permettere o loggare gli accessi a ben 141 diverse categorie di contenuti. Il controllo del tipo di traffico permette ad esempio di limitare lo streaming video, bloccare il P2P e impedire la visita di siti contenenti malware o che rappresentino dei punti di arrivo per il phishing.

IPS e antivirus

Le funzioni di protezione base tramite regole firewall sono accompagnate da un sistema anti intrusione IPS (Intrusion Detection System), basato sulla piattaforma Snort. Il servizio garantisce l'analisi del traffico in tempo reale, riuscendo ad individuare potenziali minacce ed intrusioni. Il controllo del traffico avviene a diversi livelli, tramite analisi del protocollo, analisi del contenuto e confronto dei contenuti con un database di regole continuamente aggiornato. Per la parte antivirus, Kerio integra il motore di scansione di Sophos, nota realtà nel panorama IT, focalizzata sulla fornitura di sicurezza ad organizzazioni e imprese. Il servizio antivirus esegue la scansione dell’intero traffico web che passa per l’appliance, e sono ovviamente inclusi tutti gli oggetti allegati alle e-mail.

Multiple Internet Link, Gestione larghezza di banda e QoS

La funzione Multiple Internet Link permette, in pochi passaggi, di gestire il traffico fra diversi accessi Internet, ad esempio una linea in fibra e un servizio ADSL. Gli accessi possono essere configurati in load-balance, con la possibilità di assegnare dei valori di peso per ogni linea, oppure in failover, dove una linea funge da back-up dell’altra. Kerio Control esegue un monitoraggio costante su disponibilità e affidabilità dei collegamenti: appena un accesso a Internet non è più disponibile, il traffico è reindirizzato verso le altre linee attive. E' anche possibile utilizzare in maniera indipendente ogni singola linea internet in base alle proprie esigenze, quindi si può ad esempio decidere di utilizzare una specifica linea internet per una specifica regola di ingresso o uscita. 

internet link

Impostazione del bilanciamento fra più accessi Internet

I meccanismi di QoS consentono un controllo granulare sulla larghezza di banda massima utilizzabile per ogni tipo di traffico: in tal modo si possono assegnare una banda massima, oppure garantire una certa priorità impostando una banda minima garantita. Il limitatore integrato riesce quindi a preservare la banda disponibile per le applicazioni più importanti. In particolare, per quelle applicazioni sensibili alla latenza come il VoIP o i flussi multimediali, sarà possibile garantire diversi livelli di priorità rispetto al traffico di rete generale.

qos

Impostazioni del QoS

VPN e accessi remoti IPsec/L2TP

Kerio Control integra un server VPN in grado di realizzare collegamenti site-to-site e client-to-site. La configurazione dei collegamenti richiede interventi minimali; per gli utenti remoti, è fornito un client VPN disponibile per Windows, Mac e Linux. In ogni caso, a garanzia della compatibilità con software e prodotti di terze parti, è previsto il supporto allo standard IPsec/L2TP. Degna di nota la funzionalità Two-Factor Authentication, ossia l’autenticazione a due passaggi che aggiunge un secondo livello di sicurezza per gli accessi remoti: il meccanismo prevede che un utente in collegamento remoto inserisca, oltre alle sue credenziali, anche uno speciale codice a tempo, generato da un’applicazione installata sul proprio computer o dispositivo mobile. Le applicazioni di generazione del codice compatibili con Kerio Control sono quelle che rispettano l’RFC 6238, e fra queste rientrano Google Authenticator, FreeOTP Authenticator e Authenticator per Windows Phone.

Gestione utenti: Autenticazione locale o tramite Active Directory

Kerio Control prevede l'autenticazione degli utenti da un dominio Active Directory o Apple Open Directory. In alternativa è disponibile un database interno degli utenti. Tra le funzioni di sicurezza più restrittive, vi è quella di concedere l’accesso alla rete solo previa autenticazione al firewall da parte degli utenti. Altra peculiarità: le policy di accesso alla rete e al Web possono essere applicate in modo personalizzato ai singoli utenti, a prescindere dal dispositivo di accesso utilizzato.

kerio control AD

Impostazioni autenticazione centralizzata servizi directory

 

Stato e Logs

Spesso nella scelta di un firewall ci si dimentica di verificare la facilità di consultazione dei log e la possibilità di verificare lo stato delle connessioni in tempo reale. Al lato pratico questi sono elementi molto importanti che nel Kerio Control sono gestiti molto bene.

kerio control log1

Sezione dedicata alla consultazione dei log

 

La sezione dedicata ai log è completa e organizzata. E' possibile consultare 12 log differenti e particolare attenzione può essere rivolta al log Debug dal quale si possono tracciare specificatamente altri 73 tipi di messaggi, divisi per protocolli, moduli o servizi.

kerio control connection

Sezione del monitoraggio di stato 

Kerio ha prestato molta attenzione anche alla sezione dedicata alla consultazione dello stato in tempo reale di diversi elementi, tra cui Host attivi, Connessioni attive, Clients VPN, stato del sistema (cpu, ram e disco) e messaggi di avviso. Dalla sezione Stato del sistema è possibile effettuare un riavvio o spegnimento del firewall, liberare spazio su disco o effettuare l'aggiornamento automatico alle versioni successive. Nel menu Strumenti IP trovano posto utility sempre necessarie quali: Ping, Traceroute, DNS Lookup e Whois.

Statistiche

Molto dettagliata, ma non per questo complicata, la sezione dedicata a report e statistiche. Con questo strumento gli amministratori sono in grado di verificare i dettagli delle attività intraprese su Internet da ogni singolo utente, e monitorarne il comportamento: siti visitati, orario delle visite, termini di ricerca utilizzati e motori di ricerca abitualmente impiegati. Tutte queste informazioni, incrociate fra loro, permettono di affinare al meglio le regole di rete e le politiche di QoS. Altro aspetto rilevante, la possibilità di eseguire automaticamente i report in momenti prestabiliti, con l’invio del risultato via mail.

 

Quanto ai vantaggi sul suo impiego, certamente molte delle funzioni che abbiamo elencato e descritto sono previste anche in altri prodotti della fascia UTM. Tuttavia, l’aspetto che rende particolare Kerio Control rispetto alla concorrenza, oltre che essere il punto di forza dichiarato, è l’estrema facilità d’uso. Kerio Control è la soluzione ideale per chi desidera un prodotto completo e di facile.

 

Nuovo Kerio Control Box NG100

Novità interessante arrivata proprio prima dell'articolo sono le nuove appliance di Kerio. Control sino ad oggi è sempre stato venduto con licenze basate sul numero di utenti: la nuova Kerio Control Box NG100 ha introdotto il licensing ad utenti illimitati. Costa € 544 (Iva esclusa, prezzo di listino) e include le funzionalità Sophos Antivirus  e Web Filter. Di seguito foto e caratteristiche tecniche.

Kerio Control BOX NG100 frontKerio Control BOX NG100 3 porte 

Kerio Control Box NG100

• Utenti illimitati
• Integra Antivirus e Web Filtering
• 3 porte ethernet Gigabit Indipendenti (LAN e WAN)
• Garanzia 1 anno estendibile a 3 anni

Performance
• Firewall 215 Mbit/s
• IPS 98 Mbit/s
• Antivirus (32 kB files) 36 Mbit/s
• UTM (32 kB files) 30 Mbit/s


• Versione desktop Fanless, silenzioso ed affidabile
• Processore dual-core Intel Bay Trail E3825 1.33 GHz
• Ram 4GB sodimm DDR3-1600
• Hard Disk 32GB MLC miniMSATA 3Gb/s
• Dimensioni molto contenute: 124,26 mm x 19,4 mm x 119,66 mm
• Pesa solo 0,5kg

L'autore

Alessio Carta

Responsabile sistemi presso un System Integrator con sede in Sardegna, si occupa di informatica e telecomunicazioni da oltre 10 anni. La sua formazione comprende una laurea in ingegneria, una specializazione IFTS in progettazione di reti telematiche, certificazioni Cisco CCNA, Cisco CCNA Security, MCP sui sistemi Windows Server e VCP su VMware vSphere (5.1, 5.5, 6.0). È istruttore presso una VMware IT Academy con sede a Cagliari.

banner5

fb icon evo twitter icon evo

Parola del giorno

L'acronimo SoC  (System on a Chip) nasce per descrivere quei circuiti integrati che, all'interno di un singolo chip fisico, contengono un...

>

YAML è un formato utilizzato per serializzare (ovvero salvare oggetti su supporti di memoria ad accesso seriale) dati, in modo...

>

Il termine Edge Computing descrive, all'interno di infrastrutture cloud-based, l'insieme di dispositivi e di tecnologie che permettono l'elaborazione dei dati ai...

>

L'acronimo FPGA  (Field Programmable Gate Array), descrive quei dispositivi hardware formati da un circuito integrato e con funzionalità programmabili tramite...

>

Il termine Agentless (computing) descrive operazioni dove non è necessaria la presenza e l'esecuzione di un servizio software (demone o...

>
Leggi anche le altre...

Download del giorno

Fiddler

Fiddler è un server proxy che può girare in locale per consentire il debug delle applicazioni e il...

>

Adapter Watch

Adapter Watch è uno strumento che permette di visualizzare un riepilogo completo e dettagliato delle informazioni riguardanti una determinata...

>

DNS DataView

DNS Lookup  è un tool a interfaccia grafica per effettuare il lookup DNS dal proprio PC, sfruttando i...

>

SolarWinds Traceroute NG

SolarWinds Traceroute NG è un tool a linea di comando per effettuare traceroute avanzati in ambiente Windows...

>

Network Inventory Advisor

Network Inventory Advisor  è uno strumento che permette di scansionare la rete e acquisire informazioni riguardanti tutti i...

>
Tutti i Download del giorno...

Archivio numeri

  • GURU advisor: numero 21 - maggio 2019

    GURU advisor: numero 21 - maggio 2019

  • GURU advisor: numero 20 - dicembre 2018

    GURU advisor: numero 20 - dicembre 2018

  • GURU advisor: numero 19 - luglio 2018

    GURU advisor: numero 19 - luglio 2018

  • GURU advisor: numero 18 - aprile 2018

    GURU advisor: numero 18 - aprile 2018

  • GURU advisor: numero 17 - gennaio 2018

    GURU advisor: numero 17 - gennaio 2018

  • GURU advisor: numero 16 - ottobre 2017

    GURU advisor: numero 16 - ottobre 2017

  • GURU advisor: numero 15 - luglio 2017

    GURU advisor: numero 15 - luglio 2017

  • GURU advisor: numero 14 - maggio 2017

    GURU advisor: numero 14 - maggio 2017

  • 1
  • 2
  • 3
  • Teslacrypt: rilasciata la chiave

    Gli sviluppatori del temuto ransomware TeslaCrypt hanno deciso di terminare il progetto di diffusione e sviluppo e consegnare al pubblico la chiave universale per decifrare i file. Read More
  • Proxmox 4.1 sfida vSphere

    Proxmox VE (da qui in avanti semplicemente Proxmox) è basato sul sistema operativo Debian e porta con sé vantaggi e svantaggi di questa nota distribuzione Linux: un sistema operativo stabile, sicuro, diffuso e ben collaudato. Read More
  • Malware: risvolti legali

    tutti i virus e in particolare i più recenti Ransomware, che rubano i vostri dati e vi chiedono un riscatto, violano la legge. Vediamo insieme come comportarsi, per capire anche se e quando bisogna sporgere denuncia. Read More
  • 1