ARCHIV

IPCop - firewall v praxi

Linuxový firewall včetně IDS, monitoringu a správy přes webové rozhraní. Snadná instalace a konfigurace.

18.3.2004 17:00 | o.k. | Články autora | přečteno 23847×

IPCop je jedním z mnoha Open Source projektů, šířených pod GNU GPL licencí, který se snaží nabídnout v kostce router, firewall, IDS a další užitečné nástroje včetně pohodlné administrace řešené přes Internetový prohlížeč. Je šířen v podobě minidistribuce o velikosti něco kolem 23MB a je tedy možné jej pohodlně přenášet na malém CD velikosti vizitky (business card). IPCop vychází z projektu Smoothwall, který v současné době částečně opouští klidné vody Open Source a vrhá se do divokých vod komerčního světa. Domovské stránky projektu IPCop naleznete na adrese www.ipcop.org. ISO obraz poslední stabilní verze 1.3.0 je možné stáhnout zde, zároveň zde naleznete i opravy a nové vývojové verze (blíží se vydání nové verze 1.4.0, která přinese opravdu velkou spoustu vylepšení - nedávno vyšla verze 1.4.0b2).

Instalace

Instalace je vcelku jednoduchá a pro ostříleného Linuxového uživatele celkem nudná. Po úvodní bootovací obrazovce (viz obr.), která upozorňuje, že dalším pokračováním v procesu instalace zaručeně přijdete o data na pevném disku, dojde k samotnému a to zcela automatickému rozdělení vašeho disku a k instalaci. Samotnou instalací a poinstalační konfigurací se zde zabývat nebudu, protože je opravdu triviální a nepředpokládám, že by instalaci prováděl úplný začátečník. Každopádně pokud někdo chce vidět jak instalační proces a následný proces konfigurace probíhá, tak jej odkáži na skvěle zpracovanou dokumentaci, která se nachází na domovské stránce projektu IPCop a to konkrétně zde. Pokud celou dokumetaci nechcete procházet, tak konkrétně zde naleznete onen zmiňovaný popis instalace a konfigurace a na následující stránce naleznete tento popis i pro případ, kdy budete instalovat přímo z webového serveru či ftp (tuto možnost instalace IPCop také nabízí).

Firewall můžete provozovat v několika variantách. Jednotlivé varianty jsou na výběr v konfiguraci a vy musíte zvolit, kterou z variant budete používat. Je zde možnost volby pouze dvou síťových zařízení s tím, že RED zařízení (tedy zařízení zprostředkovávající připojení k Internetu) může být buď klasická síťová karta nebo modem (normální, ISDN či ADSL) či nějaké to wireless zařízení. Dále je zde možnost volby tří síťových zařízení, které nám umožní zařadit ještě klasickou DMZ (demilitarizovanou zónu).

Nastavení firewallu

Musím přiznat, že mě celkem překvapila připravenost firewallu. Až na některé drobnosti, které je potřeba doupravit ručně je firewall prakticky ihned schopen plnit svoji úlohu. Celkem zajímavou a určitě užitečnou vlastností je zvuková signalizace pomocí PC speakeru, která ohlásí plné naběhnutí systému. Můžete tak v klidu spustit firewall bez monitoru a počkat si jenom na tuto signalizaci a budete mít určitou jistotu, že firewall naběhnul a dá se pracovat. Zase na druhou stranu je pravda, že toto člověk využije opravdu jen vyjímečně, protože řekněme si na rovinu, jak často se firewall restartuje nebo vypíná, že?

Start systému a náběh jednotlivých služeb probíhá v celkem správně logicky uspořádaném pořadí. Síťová rozhraní se inicializují v pořadí GREEN (LAN), ORANGE (DMZ) a logicky na posledním místě rozhraní RED (Internet) (nebo BLUE v případě použití wireless připojení k Internetu).

Defaultně po spuštění běží v systému tyto služby: webový server apache (s podporou SSL) a DNS (dnsmasq).

Apache zprostředkovává díky CGI skriptům (jsou napsané v Perlu) rozhraní přístupné přes Internetový prohlížeč (tedy i z Windows) pro snadnou údržbu a monitorování firewallu + případně pro manuální spouštění/vypínaní sítě při připojování přes modem. Je to vhodné tedy i pro případ, kdy dochází díky neschopnosti poskytovatele připojení k častým výpadkům sítě. Díky webovému rozhraní tak může i nezkušený uživatel spustit náhradní modemové připojení.

Dnsmasq pracuje jako DNS pro lokální síť a zároveň jako cache Internetových adres (A a PTR záznamy), čímž částečně urychluje dotazování a převod jmen na IP adresy.

Webové rozhraní pro konfiguraci a monitoring firewallu je přístupné pomocí Internetového prohlížeče a to konkrétně na adresách

http://ip_adresa_firewallu:81
https://ip_adresa_firewallu:445

Výše uvedené obrázky jsou podle mě dostatečnou demonstrací toho, jak vypadá webové rozhraní IPCopu a také toho, že toto rozhraní lze samozřejmě přepnout do mnoha jazykových verzí včetně češtiny jak je patrné ze třetího obrázku.

Webovému rozhraní IPCopu bych se zde také nerad nějak podrobněji věnoval, protože je naprosto intuitivní a dá se v něm naklikat opravdu spousta věcí.

Další služby, které IPCop nabízí

Další službou, kterou IPCop nabízí je DHCP server, díky němuž můžeme zajistit dynamické přidělování IP adres klientům v lokální síti a to nezávisle na tom, zda OS klientských počítačů je Linux či Windows. Výhodou tohoto řešení je možnost provázání IP adres s MAC adresami síťových karet, čímž zajistíme, že daným klientům budou přidělovány stále stejné IP adresy. Tímto také můžeme zabránit v připojení neznámým klientům (notebooky, ...) do naší lokální sítě, ale na druhou stranu můžeme vytvořit pool s určitým rozsahem IP adres právě pro účely dočasných připojení takovýchto klientů. Společně s DHCP serverem obsahuje IPCop i DHCP klienta (dhcpcd) což umožní firewallu získat IP adresu od ISP.

Squid - webový proxy server, zaručuje podrobné monitorování návštěvnosti Internetu a částečně odlehčení síťového provozu díky možnosti cachování webových stránek či stahovaných souborů. Jistě najde uplatnění zejména ve firmách s pomalejším připojením do Internetu, ale také díky možnosti monitorovat jednotlivé klienty (zaměstnance), díky čemuž je možné zjistit, zda je Internet využíván pro firemní potřeby nebo zda jej zaměstnanci ve velké míře zneužívají pro osobní potřeby, čímž klesá jejich pracovní morálka a v konečném důsledku i celkový zisk firmy. Při použití transparentní proxy je možné specifikovat i stránky, či celé domény na které nebude přístup povolen. Je zde i možnost využít již vygenerované seznamy nevhodných domén a případně si je doplnit o vlastní údaje.

SSH - umožňuje vzdálené šifrované připojení k firewallu, což je vhodné zejména pro jeho správu.

VPN (Virtual Private Network) - možnost propojení interní sítě přes Internet s další sítí a tím vytvoření jedné logické sítě.

NTP (Network Time Protocol) - IPCop umožňuje práci s tímto protokolem sloužícím pro synchronizaci času a to buď pouze jako klient, který bude provádět synchronizaci svého času nebo i jako server, který může být následně použit klienty v lokální síti, kteří potom mohou firewall využít pro synchronizaci svého času.

IDS (Intrusion Detection System) - tento systém je možné aktivovat jak pro vnější (RED) Internetové rozhraní, tak i pro vnitřní (GREEN) rozhraní do lokální sítě a slouží k monitoringu a logování útoků. IPCop využívá pro IDS program snort.

Nemohu samozřejmě opomenout samotný firewall a jeho některé specifické vlastnosti jako je třeba možnost forwardování packetů což umožní přístup z vnější sítě (Internetu) na počítač v lokální síti (s neveřejnou adresou). Nebo nově možnost škrcení síťového provozu (traffic shaping).

Tipy

Protože IPCop poskytuje opravdu mnoho možností, pokusím se zde bodově shrnout některé další věci, které lze díky IPCopu realizovat.

• možnost ručního nastavení pravidel firewallu, čímž lze například blokovat některé další věci (třeba většinu broadcast trafficu) a zpřehlednit tak logy
• testovat konektivitu sítě a v případě výpadku automaticky přejít na záložní modemové připojení
• možnost využití logování na vzdálený počítač
• povolení konektivity na Internet jen v daných hodinách
• možnost blokování přístupu uživatelům z lokální sítě na některé nepovolené služby (AOL, Telnet)
• snadná aktualizace s využitím webového rozhraní a stejně tak snadné zálohování důležitých dat firewallu

Závěr

Díky své komplexnosti a spoustě variant a možností nastavení lze IPCop směle použít jak pro ochranu malých sítí (domácnosti, malé firmy), tak i pro ochranu rozsáhlých a složitých sítí. IPCop se navenek (směrem do Internetu) chová opravdu jako správný "mrtvý brouk" a zuby si na něm vyláme většina nástrojů pro scanování portů a jim podobných. I v případě defaultního nastavení dopadly penetrační testy vesměs pozitivně a až na pár malých nedostatků, které lze snadno ručně odstranit, tyto testy neprokázaly přítomnost nějaké větší bezpečnostní díry. To ovšem ale ještě neznamená, že nemůže dojít ke kompromitaci firewallu a k případnému průniku do vnitřní sítě. Jedině pečlivá práce správce takovéhoto firewallu (čtení logů, sledování bezpečnostních konferencí a správný přístup k bezpečnosti obecně) zajistí dostatečnou bezpečnost.

Komerční sdělení: Nabízíme nainstalovaný firewall na námi dodaném a otestovaném hardwaru (Pentium 133MHz, 64MB RAM, 500MB HDD) - možnost výběru mezi desktop provedením nebo provedením minitower - včetně IDS (Intrusion Detection System) a monitoringu. Snadná konfigurace přes rozhraní webového prohlížeče. Provádíme nastavení dle konkrétních vlastností a chování sítě včetně provedení závěrečných penetračních testů. Cena včetně hardwaru: 2990Kč s DPH Nabízíme možnost trvalé správy firewallu (outsourcing). Více naleznete v Linux CD shopu nebo na výstavě LinuxExpo (stánek D22 - obr.). Distribuci IPCop můžete zakoupit (ve verzi 1.3.0 včetně oprav a ve verzi 1.4.0b2) v Linux CD shopu za 30Kč.

Verze pro tisk