Получен сертификат на Kerio Control

Автоматический режим обновления версии.

Kerio Control может выполнять автоматическую проверку наличия новых версий на сайте обновления компании Kerio.

1. В веб-интерфейсе администрирования перейдите в пункт меню «Дополнительные опции», во вкладку «Проверка обновлений»
2. Включите опцию «Периодически проверять наличие новых версий». Kerio Control будет проверять наличие новых версий каждые 24 часа. Как только будет установлено наличие новой версии, на вкладке «Проверка обновлений» будет отображена ссылка для загрузки обновления. Для того чтобы проверить наличие обновления незамедлительно, щёлкните по кнопке «Проверить сейчас»
3. Если Вы хотите загружать обновлённые версии сразу же после их обнаружения, включите опцию «Загружать новые версии автоматически». Как только новая версия будет загружена, Вы получите соответствующее уведомление в веб-интерфейсе администрирования.
4. После загрузки обновления нажмите кнопку «Обновить сейчас»
5. Подтвердите Ваше намерение произвести обновление и выполнить последующую автоматическую перезагрузку Kerio Control
6. Дождитесь завершения установки новой версии и перезагрузки Kerio Control.
7. Обновление завершено.

И он сказал, «поехали!!»

Итак, предлагаю начать по порядку. Для начала хотелось бы рассмотреть несколько наиболее распространённых заблуждений, останавливающих администраторов UTM Kerio Control от подобной миграции:

1. Сложность перехода.
2. Невозможность сохранить конфигурацию, журналы приложения, данные пользовательской статистики при переходе на Appliance-сборку.
3. Обязательное знание Open Source.
4. Невозможность выполнения более одной роли на одном физическом сервере.
5. Сложность резервирования Linux-решений.
6. «Работает — не трогай» («Если есть вероятность того, что какая-нибудь неприятность может случиться, то она обязательно произойдёт» («закон Мерфи»).

В опровержение этих «мифов», предлагаю кратко рассмотреть реальную картину происходящего в процессе миграции с Windows-версии на Appliance-версию Kerio Control:

• Переход с выполнением дополнительных шагов обновления версии в случаях, когда это нужно, занимает не более двух часов «грязного» времени.
• Конфигурация, данные журналов и базы пользовательской статистики переносятся полностью. Это будет рассмотрено отдельно в рамках данного Руководства.
• Знания и опыт работы с OpenSource в целом и с ОС семейства Linux в частности, не нужны. Установка приложения и конфигурация базовых параметров (IP-адреса, время и язык интерфейса системы) происходит через графический пользовательский интерфейс на русском языке. Все остальные действия по администрированию Вашего UTM-шлюза Kerio Control осуществляются через привычный русифицированный веб-интерфейс администрирования. Осуществлять доступ в консоль Linux нет необходимости, хотя это и возможно и чуть позже мы подробно рассмотрим, когда это может потребоваться.
• С использованием «виртуального модуля» Kerio Control вы можете в рамках одного сервера виртуализации исполнять столько ИТ-ролей, сколько Вам потребуется. Виртуализация в целом позволяет лучше использовать ресурсы серверного оборудования и расширить границы в планировании ИТ-инфраструктуры.
• Ещё одно преимущество перехода — это упрощённый метод резервирования конфигурации «программного модуля» Kerio Control с использованием автоматического резервирования конфигурации в облако компании Kerio – Samepage.io, либо на любой удобный для вас FTP-сервер.
• Требование обновления версии может исходить не только от ИТ-отдела, но также являться следствием требований бизнеса по расширению возможностей UTM-решения. Не стоит забывать, что «всё достигнутое по обеспечению безопасности полётов является результатом преодоления «закона Мерфи».

Теперь предлагаю познакомиться с тем, что же собой представляют программный (Software Appliance) и виртуальный (Virtual Appliance) модули Kerio Control.

Kerio Control Software Appliance

Особенности Kerio Control Software Appliance

Основные преимущества платформы

Kerio Control Virtual Appliance

Kerio Control Гипервизоры от

Software Appliance VMware и Microsoft

Поддерживаемые средства виртуализации:

Основные преимущества платформы

После того, как мы познакомились с возможными вариантами дистрибутивов, самое время обратиться к пользователям «бородатых» версий Kerio Winroute. Ниже приведена информация по обновлению старых Windows версий KWF до версии Kerio Control 7.4 (финальная версия приложения для платформы Windows) а так же несколько нюансов, которые необходимо учитывать при выполнении процедуры обновления версии приложения Kerio Control/KWF в целом.

Обновление с версии ниже 6.X.Xна версию 7.X.Xдолжно осуществляться поэтапно в соответствии со следующей схемой:

1. Пошаговый переход с KWF 6.5.x на KControl 7.4.x (Windows)

Прямой переход на 7.4.X возможен только с версии 7.1.X и более поздних версий.

1. Переход с версии 7.0.X на версию 8.X.X (Appliance)

При выполнении обновления важно учесть следующие моменты:

Это всё, что касается вводной части.

Теперь же, для ознакомления непосредственно с очерёдностью действия администратора по обновлению используемой версии KControl/KWF.

Ниже перечислим шаги, которые, кому-то все, кому-то лишь часть, предстоит выполнить администраторам,

Использование let’s encrypt с kerio connect

mkdir -p /var/www/mail
chown www-data:www-data /var/www/mail
apt-get install nginx ssl-cert

server {
listen 80;
server_name nash_site; # заменить на адрес своего сайта
server_name_in_redirect off;
rewrite ^ https://$server_name$request_uri? permanent;
}

server {
listen 443 ssl;
server_name nash_site; # заменить на адрес своего сайта

ssl_certificate /etc/ssl/certs/ssl-cert-snakeoil.pem; 
ssl_certificate_key /etc/ssl/private/ssl-cert-snakeoil.key;

location /.well-known {
alias /var/www/mail/.well-known;
}

location / {
proxy_pass https://localhost:8443;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Remote-Port $remote_port;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_redirect off;
chunked_transfer_encoding on;
proxy_connect_timeout 6000;
proxy_send_timeout 6000;
proxy_read_timeout 6000;
send_timeout 6000;
}
}

ln -s /etc/nginx/sites-available/kerio-connect.conf /etc/nginx/sites-enabled/kerio-connect.conf

nginx -t

systemctl restart nginx.service

wget https://dl.eff.org/certbot-auto
chmod a x certbot-auto

./certbot-auto

./certbot-auto certonly --webroot -w /var/www/mail -d nash_site

ssl_certificate /etc/ssl/certs/ssl-cert-snakeoil.pem;
ssl_certificate_key /etc/ssl/private/ssl-cert-snakeoil.key;

ssl_certificate /etc/letsencrypt/live/nash_site/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/nash_site/privkey.pem;

systemctl restart nginx.service

ln -s /etc/letsencrypt/live/nash_site/fullchain.pem /opt/kerio/mailserver/sslcert/mail.crt
ln -s /etc/letsencrypt/live/nash_site/privkey.pem /opt/kerio/mailserver/sslcert/mail.key

./certbot-auto renew

cp certbot-auto /usr/local/bin/

#!/bin/sh
systemctl restart nginx.service
systemctl restart kerio-connect.service

chmod 500 /root/certbot-post-hook.sh
chown root:root /root/certbot-post-hook.sh

shell=/bin/sh
path=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
0 3 * * * root perl -e 'sleep int(rand(3600))' && certbot-auto -q renew --post-hook "/root/certbot-post-hook.sh"

Настройка сетевых интерфейсов в software appliance

В псевдографическом интерфейсе Kerio Control Software Appliance доступны возможности настройки IP адреса/множества адресов в статическом или динамическом режиме, создание VLAN интерфейсов и возможность настройки интерфейса в режиме PPPoE.

Примечание: Первоначальная настройка сетевых интерфейсов в самом дистрибутиве Kerio Control Software Appliance идентична для всех сборок Kerio Control Appliance, отличия есть только при настройке виртуальных сетевых интерфейсов в различных средах виртуализации, где может применяться Kerio Control.

Немного вступительных слов.

Пятнадцать лет назад компания из четырёх энтузиастов в маленьком Чешском городке разработала и выпустила первую версию революционного решения, которое положило начало компании Kerio Technologies. WinRoute Pro был продвинутым программным маршрутизатором и NAT-файерволом, работающим на операционной системе Windows, используемой на стандартных пользовательских ПК, именно сочетание этих особенностей привело к огромной популярности продукта среди ИТ-специалистов.

Давайте перенесёмся вперёд в 2009 год. Прошедшее десятилетие было ознаменовано повышенным вниманием к безопасности, в связи с этим версия Kerio Winroute Firewall 6.7.1. пользовалась особым успехом. В рамках данной версии была выпущена первая версия программного модуля (Software Appliance).

Этот модуль был собран на основе проприетарной Linux-подобной ОС с использованием фирменного веб-интерфейса администрирования для выполнения функций управления системой. Одновременно с программным модулем был подготовлен виртуальный модуль (Virtual Appliance) для среды виртуализации от VMware.

Однако оба Appliance-модуля были менее функциональны, чем основная Windows-версия приложения. Спустя год произошло значимое изменение названия продукта, он стал называться Kerio Control. Это стало следствием включения в функционал продукта системы предотвращения вторжений (IPS) и превращения его в полноценное Unified Threat Management (UTM) решение.

С ростом популярности продукта среди пользователей, целью развития Kerio Control стало повышение производительности и расширение возможностей по организации и поддержанию безопасности. В версии Kerio Control 7.4 это отразилось в виде добавления поддержки виртуальных локальных сетей (VLAN).

Именно факт выхода весомой функции VLAN ознаменовал завершение «эры» Kerio Control для Windows. Версия Kerio Control 7.4 стала последней «Windows-версией» Kerio Control. Поддержка данной версии (как пользовательская, так и поддержка кода приложения) осуществляется компанией Kerio до конца 2021 года.

Переход на платформу appliance.

В данном разделе мы рассмотрим варианты разворачивания различных Appliance-дистрибутивов Kerio Control.

Подготовка виртуальных сетевых интерфейсов в hyper-v

Для выполнения корректной и минимально необходимой настройки виртуального коммутатора Hyper-V вам потребуется выполнить следующие шаги:

Сопоставление физических и виртуальных сетевых интерфейсов

Для ознакомления с вариантом быстрой настройки сетевых интерфейсов Kerio Control Hyper-V virtual Appliance просмотрите следующий видео ролик:

Подготовка виртуальных сетевых интерфейсов в vmware vsphere

Примерно такая же цепочка действий и в случае с подготовкой виртуальных сетевых интерфейсов в vSphere.

Создание нескольких виртуальных коммутаторов, количество зависит от ваших потребностей в виртуальных сетевых коммуникациях.

Получен сертификат на kerio control

Ручной режим обновления версии.

Данный режим обновления может быть полезен при следующих обстоятельствах:

Сохранение текущей конфигурации с использованием помощника конфигурирования

При выполнении сохранения конфигурации рекомендуется запомнить, а лучше выписать, MAC-адреса Ваших текущих сетевых интерфейсов и их соответствие используемым IP-адресам. Это понадобится при восстановлении конфигурации на новой установке Kerio Control Appliance.

Процесс сохранения конфигурации показан на приведённых ниже изображениях:

После этого шага вы сохранили архив, включающий в себя все файлы пользовательской конфигурации текущей версии Kerio Control.

Следующим шагом, является восстановление ранее сохранённой конфигурации на Appliance. При восстановлении конфигурации помощник конфигурирования предложит сопоставить конфигурацию старых сетевых интерфейсов с новыми, использующимися на сервере Kerio Control Appliance.

Примечание: Это именно тот момент, когда Вам понадобится информация о MAC и IP-адресах со старого сервера, которую Вы выписали или запомнили при сохранении конфигурации на старом.

Процесс восстановления конфигурации показан на приведённых ниже изображениях:

Для сохранения конфигурации сервер Kerio Control Appliance выполнит автоматическую перезагрузку, после чего его можно будет использовать.

Однако процесс миграции ещё рано считать завершённым, т.к. нам необходимо перенести данные протоколов приложения и базы данных пользовательской статистики с вашего старого сервера.

И вот тут начинается самое интересное! То, что вы будете читать ниже, не описано ни в одной официальной, да и в неофициальной документации, т.е. тут будет помещено несколько приемлемых «лайв хаков», использование которых поможет вам в выполнении столь важного процесса, перехода на Appliance платформу Kerio Control.

И как обычно, прежде, чем мы перейдём с вами к непосредственному описанию, привычный «дисклэймер»:

ВАЖНО: Описанная ниже процедура не является документированной возможностью, поэтому во избежание нежелательных последствий, прежде, чем Вы начнёте выполнять перенос данных, создайте их полную резервную копию путём копирования данных на защищённое хранилище.

И так преступим! Для начала сохраним текущую базу протоколов приложения. Для этого надо сохранить файлы протоколов, которые располагаются по указанному пути

%programfiles%keriowinroute firewalllogs*

Для лучшей сохранности этих данных перед выполнением переноса рекомендуется выполнить их резервную копию на доступное безопасное хранилище.

Затем, сохраняем текущую базу данных пользовательской статистики. Вся эта информация сосредоточена в файле базы данных firebird, располагающегося в папке

%programfiles%keriowinroute firewallstardata

Оттуда нам нужен лишь файл star.fdb. Для лучшей сохранности этих данных перед выполнением переноса рекомендуется выполнить резервную копию на доступное безопасное хранилище.

После того, как мы обнаружили и сохранили всю необходимую информацию, нам необходимо её перенести на новый сервер, работающий под управлением Kerio Control Appliance, для этого первое, что вам потребуется сделать для загрузки сохранённых ранее данных на Kerio Control Appliance, это включить SSH сервер для выполнения SFTP доступа.

Для этого в веб-интерфейсе администрирования Kerio Control перейдите в меню Состояние -> Состояние системы, нажмите и держите клавишу “Shift” и щёлкните по кнопке «Действия». В раскрывшемся списке выберите пункт «Включить SSH», подтвердите ваши действия, согласившись с вопросом в появившемся окне.

После этого необходимо удостовериться, что в правилах трафика Kerio Control Вы разрешили доступ к хосту Kerio Control Appliance по протоколу SSH из нужного Вам местоположения.

Установка software appliance

Данный вариант установочного пакета может быть развёрнут следующими способами:

Установка virtual appliance для hyper-v

Установка виртуального модуля в MS Hyper-V

Следующим важным моментом подготовки к переходу на Appliance платформу, является корректная настройка сетевых интерфейсов на выбранной Appliance платформе.

Установка vmware virtual appliance

Для установки Kerio Control VMware Virtual Appliance на различные средства виртуализации от компании VMware, используйте соответствующий вариант дистрибутива Kerio Control VMware Virtual Appliance:

Для VMware Server, Workstation, Player, Fusion используйте заархивированный(*.zip) VMX файл:

Установка виртуального модуля в VMware player