LINUXSOFT.cz Přeskoč levou lištu

ARCHIV



   

> IPCop - firewall v praxi

Linuxový firewall včetně IDS, monitoringu a správy přes webové rozhraní. Snadná instalace a konfigurace.

18.3.2004 17:00 | o.k. | Články autora | přečteno 23666×

IPCop logo IPCop je jedním z mnoha Open Source projektů, šířených pod GNU GPL licencí, který se snaží nabídnout v kostce router, firewall, IDS a další užitečné nástroje včetně pohodlné administrace řešené přes Internetový prohlížeč. Je šířen v podobě minidistribuce o velikosti něco kolem 23MB a je tedy možné jej pohodlně přenášet na malém CD velikosti vizitky (business card). IPCop vychází z projektu Smoothwall, který v současné době částečně opouští klidné vody Open Source a vrhá se do divokých vod komerčního světa. Domovské stránky projektu IPCop naleznete na adrese www.ipcop.org. ISO obraz poslední stabilní verze 1.3.0 je možné stáhnout zde, zároveň zde naleznete i opravy a nové vývojové verze (blíží se vydání nové verze 1.4.0, která přinese opravdu velkou spoustu vylepšení - nedávno vyšla verze 1.4.0b2).

Instalace

Instalace je vcelku jednoduchá a pro ostříleného Linuxového uživatele celkem nudná. Po úvodní bootovací obrazovce (viz obr.), která upozorňuje, že dalším pokračováním v procesu instalace zaručeně přijdete o data na pevném disku, dojde k samotnému a to zcela automatickému rozdělení vašeho disku a k instalaci. Samotnou instalací a poinstalační konfigurací se zde zabývat nebudu, protože je opravdu triviální a nepředpokládám, že by instalaci prováděl úplný začátečník. Každopádně pokud někdo chce vidět jak instalační proces a následný proces konfigurace probíhá, tak jej odkáži na skvěle zpracovanou dokumentaci, která se nachází na domovské stránce projektu IPCop a to konkrétně zde. Pokud celou dokumetaci nechcete procházet, tak konkrétně zde naleznete onen zmiňovaný popis instalace a konfigurace a na následující stránce naleznete tento popis i pro případ, kdy budete instalovat přímo z webového serveru či ftp (tuto možnost instalace IPCop také nabízí).

Firewall můžete provozovat v několika variantách. Jednotlivé varianty jsou na výběr v konfiguraci a vy musíte zvolit, kterou z variant budete používat. Je zde možnost volby pouze dvou síťových zařízení s tím, že RED zařízení (tedy zařízení zprostředkovávající připojení k Internetu) může být buď klasická síťová karta nebo modem (normální, ISDN či ADSL) či nějaké to wireless zařízení. Dále je zde možnost volby tří síťových zařízení, které nám umožní zařadit ještě klasickou DMZ (demilitarizovanou zónu).

Nastavení firewallu

Musím přiznat, že mě celkem překvapila připravenost firewallu. Až na některé drobnosti, které je potřeba doupravit ručně je firewall prakticky ihned schopen plnit svoji úlohu. Celkem zajímavou a určitě užitečnou vlastností je zvuková signalizace pomocí PC speakeru, která ohlásí plné naběhnutí systému. Můžete tak v klidu spustit firewall bez monitoru a počkat si jenom na tuto signalizaci a budete mít určitou jistotu, že firewall naběhnul a dá se pracovat. Zase na druhou stranu je pravda, že toto člověk využije opravdu jen vyjímečně, protože řekněme si na rovinu, jak často se firewall restartuje nebo vypíná, že?

Start systému a náběh jednotlivých služeb probíhá v celkem správně logicky uspořádaném pořadí. Síťová rozhraní se inicializují v pořadí GREEN (LAN), ORANGE (DMZ) a logicky na posledním místě rozhraní RED (Internet) (nebo BLUE v případě použití wireless připojení k Internetu).

ilustrativni nakres firewallu a site

Defaultně po spuštění běží v systému tyto služby: webový server apache (s podporou SSL) a DNS (dnsmasq).

Apache zprostředkovává díky CGI skriptům (jsou napsané v Perlu) rozhraní přístupné přes Internetový prohlížeč (tedy i z Windows) pro snadnou údržbu a monitorování firewallu + případně pro manuální spouštění/vypínaní sítě při připojování přes modem. Je to vhodné tedy i pro případ, kdy dochází díky neschopnosti poskytovatele připojení k častým výpadkům sítě. Díky webovému rozhraní tak může i nezkušený uživatel spustit náhradní modemové připojení.

Dnsmasq pracuje jako DNS pro lokální síť a zároveň jako cache Internetových adres (A a PTR záznamy), čímž částečně urychluje dotazování a převod jmen na IP adresy.

Webové rozhraní pro konfiguraci a monitoring firewallu je přístupné pomocí Internetového prohlížeče a to konkrétně na adresách

http://ip_adresa_firewallu:81
https://ip_adresa_firewallu:445

Výše uvedené obrázky jsou podle mě dostatečnou demonstrací toho, jak vypadá webové rozhraní IPCopu a také toho, že toto rozhraní lze samozřejmě přepnout do mnoha jazykových verzí včetně češtiny jak je patrné ze třetího obrázku.

Webovému rozhraní IPCopu bych se zde také nerad nějak podrobněji věnoval, protože je naprosto intuitivní a dá se v něm naklikat opravdu spousta věcí.

Další služby, které IPCop nabízí

Další službou, kterou IPCop nabízí je DHCP server, díky němuž můžeme zajistit dynamické přidělování IP adres klientům v lokální síti a to nezávisle na tom, zda OS klientských počítačů je Linux či Windows. Výhodou tohoto řešení je možnost provázání IP adres s MAC adresami síťových karet, čímž zajistíme, že daným klientům budou přidělovány stále stejné IP adresy. Tímto také můžeme zabránit v připojení neznámým klientům (notebooky, ...) do naší lokální sítě, ale na druhou stranu můžeme vytvořit pool s určitým rozsahem IP adres právě pro účely dočasných připojení takovýchto klientů. Společně s DHCP serverem obsahuje IPCop i DHCP klienta (dhcpcd) což umožní firewallu získat IP adresu od ISP.

Squid - webový proxy server, zaručuje podrobné monitorování návštěvnosti Internetu a částečně odlehčení síťového provozu díky možnosti cachování webových stránek či stahovaných souborů. Jistě najde uplatnění zejména ve firmách s pomalejším připojením do Internetu, ale také díky možnosti monitorovat jednotlivé klienty (zaměstnance), díky čemuž je možné zjistit, zda je Internet využíván pro firemní potřeby nebo zda jej zaměstnanci ve velké míře zneužívají pro osobní potřeby, čímž klesá jejich pracovní morálka a v konečném důsledku i celkový zisk firmy. Při použití transparentní proxy je možné specifikovat i stránky, či celé domény na které nebude přístup povolen. Je zde i možnost využít již vygenerované seznamy nevhodných domén a případně si je doplnit o vlastní údaje.

SSH - umožňuje vzdálené šifrované připojení k firewallu, což je vhodné zejména pro jeho správu.

VPN (Virtual Private Network) - možnost propojení interní sítě přes Internet s další sítí a tím vytvoření jedné logické sítě.

NTP (Network Time Protocol) - IPCop umožňuje práci s tímto protokolem sloužícím pro synchronizaci času a to buď pouze jako klient, který bude provádět synchronizaci svého času nebo i jako server, který může být následně použit klienty v lokální síti, kteří potom mohou firewall využít pro synchronizaci svého času.

IDS (Intrusion Detection System) - tento systém je možné aktivovat jak pro vnější (RED) Internetové rozhraní, tak i pro vnitřní (GREEN) rozhraní do lokální sítě a slouží k monitoringu a logování útoků. IPCop využívá pro IDS program snort.

Nemohu samozřejmě opomenout samotný firewall a jeho některé specifické vlastnosti jako je třeba možnost forwardování packetů což umožní přístup z vnější sítě (Internetu) na počítač v lokální síti (s neveřejnou adresou). Nebo nově možnost škrcení síťového provozu (traffic shaping).

Tipy

Protože IPCop poskytuje opravdu mnoho možností, pokusím se zde bodově shrnout některé další věci, které lze díky IPCopu realizovat.

  • možnost ručního nastavení pravidel firewallu, čímž lze například blokovat některé další věci (třeba většinu broadcast trafficu) a zpřehlednit tak logy
  • testovat konektivitu sítě a v případě výpadku automaticky přejít na záložní modemové připojení
  • možnost využití logování na vzdálený počítač
  • povolení konektivity na Internet jen v daných hodinách
  • možnost blokování přístupu uživatelům z lokální sítě na některé nepovolené služby (AOL, Telnet)
  • snadná aktualizace s využitím webového rozhraní a stejně tak snadné zálohování důležitých dat firewallu

Závěr

Díky své komplexnosti a spoustě variant a možností nastavení lze IPCop směle použít jak pro ochranu malých sítí (domácnosti, malé firmy), tak i pro ochranu rozsáhlých a složitých sítí. IPCop se navenek (směrem do Internetu) chová opravdu jako správný "mrtvý brouk" a zuby si na něm vyláme většina nástrojů pro scanování portů a jim podobných. I v případě defaultního nastavení dopadly penetrační testy vesměs pozitivně a až na pár malých nedostatků, které lze snadno ručně odstranit, tyto testy neprokázaly přítomnost nějaké větší bezpečnostní díry. To ovšem ale ještě neznamená, že nemůže dojít ke kompromitaci firewallu a k případnému průniku do vnitřní sítě. Jedině pečlivá práce správce takovéhoto firewallu (čtení logů, sledování bezpečnostních konferencí a správný přístup k bezpečnosti obecně) zajistí dostatečnou bezpečnost.

Komerční sdělení:
Nabízíme nainstalovaný firewall na námi dodaném a otestovaném hardwaru (Pentium 133MHz, 64MB RAM, 500MB HDD) - možnost výběru mezi desktop provedením nebo provedením minitower - včetně IDS (Intrusion Detection System) a monitoringu. Snadná konfigurace přes rozhraní webového prohlížeče. Provádíme nastavení dle konkrétních vlastností a chování sítě včetně provedení závěrečných penetračních testů.

Cena včetně hardwaru: 2990Kč s DPH

Nabízíme možnost trvalé správy firewallu (outsourcing).

Více naleznete v Linux CD shopu nebo na výstavě LinuxExpo (stánek D22 - obr.).

Distribuci IPCop můžete zakoupit (ve verzi 1.3.0 včetně oprav a ve verzi 1.4.0b2) v Linux CD shopu za 30Kč.

Verze pro tisk

pridej.cz

 

DISKUZE

Nejsou žádné diskuzní příspěvky u dané položky.



Příspívat do diskuze mohou pouze registrovaní uživatelé.
> Vyhledávání software
> Vyhledávání článků

28.11.2018 23:56 /František Kučera
Prosincový sraz spolku OpenAlt se koná ve středu 5.12.2018 od 16:00 na adrese Zikova 1903/4, Praha 6. Tentokrát navštívíme organizaci CESNET. Na programu jsou dvě přednášky: Distribuované úložiště Ceph (Michal Strnad) a Plně šifrovaný disk na moderním systému (Ondřej Caletka). Následně se přesuneme do některé z nedalekých restaurací, kde budeme pokračovat v diskusi.
Komentářů: 1

12.11.2018 21:28 /Redakce Linuxsoft.cz
22. listopadu 2018 se koná v Praze na Karlově náměstí již pátý ročník konference s tématem Datová centra pro business, která nabídne odpovědi na aktuální a často řešené otázky: Jaké jsou aktuální trendy v oblasti datových center a jak je optimálně využít pro vlastní prospěch? Jak si zajistit odpovídající služby datových center? Podle jakých kritérií vybírat dodavatele služeb? Jak volit vhodné součásti infrastruktury při budování či rozšiřování vlastního datového centra? Jak efektivně datové centrum spravovat? Jak co nejlépe eliminovat možná rizika? apod. Příznivci LinuxSoftu mohou při registraci uplatnit kód LIN350, který jim přinese zvýhodněné vstupné s 50% slevou.
Přidat komentář

6.11.2018 2:04 /František Kučera
Říjnový pražský sraz spolku OpenAlt se koná v listopadu – již tento čtvrtek – 8. 11. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma umění a technologie, IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář

4.10.2018 21:30 /Ondřej Čečák
LinuxDays 2018 již tento víkend, registrace je otevřená.
Přidat komentář

18.9.2018 23:30 /František Kučera
Zářijový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 20. 9. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář

9.9.2018 14:15 /Redakce Linuxsoft.cz
20.9.2018 proběhne v pražském Kongresovém centru Vavruška konference Mobilní řešení pro business. Návštěvníci si vyslechnou mimo jiné přednášky na témata: Nejdůležitější aktuální trendy v oblasti mobilních technologií, správa a zabezpečení mobilních zařízení ve firmách, jak mobilně přistupovat k informačnímu systému firmy, kdy se vyplatí používat odolná mobilní zařízení nebo jak zabezpečit mobilní komunikaci.
Přidat komentář

12.8.2018 16:58 /František Kučera
Srpnový pražský sraz spolku OpenAlt se koná ve čtvrtek – 16. 8. 2018 od 19:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát jsou tématem srazu databáze prezentaci svého projektu si pro nás připravil Standa Dzik. Dále bude prostor, abychom probrali nápady na využití IoT a sítě The Things Network, případně další témata.
Přidat komentář

16.7.2018 1:05 /František Kučera
Červencový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 19. 7. 2018 od 18:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát bude přednáška na téma: automatizační nástroj Ansible, kterou si připravil Martin Vicián.
Přidat komentář

   Více ...   Přidat zprávičku

> Poslední diskuze

31.7.2023 14:13 / Linda Graham
iPhone Services

30.11.2022 9:32 / Kyle McDermott
Hosting download unavailable

13.12.2018 10:57 / Jan Mareš
Re: zavináč

2.12.2018 23:56 / František Kučera
Sraz

5.10.2018 17:12 / Jakub Kuljovsky
Re: Jaký kurz a software by jste doporučili pro začínajcího kodéra?

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2024) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze