LINUXSOFT.cz Přeskoč levou lištu
Uživatel: Heslo:  
   CZUKPL

> IPCop - firewall v praxi

Linuxový firewall včetně IDS, monitoringu a správy přes webové rozhraní. Snadná instalace a konfigurace.

18.3.2004 17:00 | o.k. | Články autora | přečteno 20680×

IPCop logo IPCop je jedním z mnoha Open Source projektů, šířených pod GNU GPL licencí, který se snaží nabídnout v kostce router, firewall, IDS a další užitečné nástroje včetně pohodlné administrace řešené přes Internetový prohlížeč. Je šířen v podobě minidistribuce o velikosti něco kolem 23MB a je tedy možné jej pohodlně přenášet na malém CD velikosti vizitky (business card). IPCop vychází z projektu Smoothwall, který v současné době částečně opouští klidné vody Open Source a vrhá se do divokých vod komerčního světa. Domovské stránky projektu IPCop naleznete na adrese www.ipcop.org. ISO obraz poslední stabilní verze 1.3.0 je možné stáhnout zde, zároveň zde naleznete i opravy a nové vývojové verze (blíží se vydání nové verze 1.4.0, která přinese opravdu velkou spoustu vylepšení - nedávno vyšla verze 1.4.0b2).

Instalace

Instalace je vcelku jednoduchá a pro ostříleného Linuxového uživatele celkem nudná. Po úvodní bootovací obrazovce (viz obr.), která upozorňuje, že dalším pokračováním v procesu instalace zaručeně přijdete o data na pevném disku, dojde k samotnému a to zcela automatickému rozdělení vašeho disku a k instalaci. Samotnou instalací a poinstalační konfigurací se zde zabývat nebudu, protože je opravdu triviální a nepředpokládám, že by instalaci prováděl úplný začátečník. Každopádně pokud někdo chce vidět jak instalační proces a následný proces konfigurace probíhá, tak jej odkáži na skvěle zpracovanou dokumentaci, která se nachází na domovské stránce projektu IPCop a to konkrétně zde. Pokud celou dokumetaci nechcete procházet, tak konkrétně zde naleznete onen zmiňovaný popis instalace a konfigurace a na následující stránce naleznete tento popis i pro případ, kdy budete instalovat přímo z webového serveru či ftp (tuto možnost instalace IPCop také nabízí).

Firewall můžete provozovat v několika variantách. Jednotlivé varianty jsou na výběr v konfiguraci a vy musíte zvolit, kterou z variant budete používat. Je zde možnost volby pouze dvou síťových zařízení s tím, že RED zařízení (tedy zařízení zprostředkovávající připojení k Internetu) může být buď klasická síťová karta nebo modem (normální, ISDN či ADSL) či nějaké to wireless zařízení. Dále je zde možnost volby tří síťových zařízení, které nám umožní zařadit ještě klasickou DMZ (demilitarizovanou zónu).

Nastavení firewallu

Musím přiznat, že mě celkem překvapila připravenost firewallu. Až na některé drobnosti, které je potřeba doupravit ručně je firewall prakticky ihned schopen plnit svoji úlohu. Celkem zajímavou a určitě užitečnou vlastností je zvuková signalizace pomocí PC speakeru, která ohlásí plné naběhnutí systému. Můžete tak v klidu spustit firewall bez monitoru a počkat si jenom na tuto signalizaci a budete mít určitou jistotu, že firewall naběhnul a dá se pracovat. Zase na druhou stranu je pravda, že toto člověk využije opravdu jen vyjímečně, protože řekněme si na rovinu, jak často se firewall restartuje nebo vypíná, že?

Start systému a náběh jednotlivých služeb probíhá v celkem správně logicky uspořádaném pořadí. Síťová rozhraní se inicializují v pořadí GREEN (LAN), ORANGE (DMZ) a logicky na posledním místě rozhraní RED (Internet) (nebo BLUE v případě použití wireless připojení k Internetu).

ilustrativni nakres firewallu a site

Defaultně po spuštění běží v systému tyto služby: webový server apache (s podporou SSL) a DNS (dnsmasq).

Apache zprostředkovává díky CGI skriptům (jsou napsané v Perlu) rozhraní přístupné přes Internetový prohlížeč (tedy i z Windows) pro snadnou údržbu a monitorování firewallu + případně pro manuální spouštění/vypínaní sítě při připojování přes modem. Je to vhodné tedy i pro případ, kdy dochází díky neschopnosti poskytovatele připojení k častým výpadkům sítě. Díky webovému rozhraní tak může i nezkušený uživatel spustit náhradní modemové připojení.

Dnsmasq pracuje jako DNS pro lokální síť a zároveň jako cache Internetových adres (A a PTR záznamy), čímž částečně urychluje dotazování a převod jmen na IP adresy.

Webové rozhraní pro konfiguraci a monitoring firewallu je přístupné pomocí Internetového prohlížeče a to konkrétně na adresách

http://ip_adresa_firewallu:81
https://ip_adresa_firewallu:445

Výše uvedené obrázky jsou podle mě dostatečnou demonstrací toho, jak vypadá webové rozhraní IPCopu a také toho, že toto rozhraní lze samozřejmě přepnout do mnoha jazykových verzí včetně češtiny jak je patrné ze třetího obrázku.

Webovému rozhraní IPCopu bych se zde také nerad nějak podrobněji věnoval, protože je naprosto intuitivní a dá se v něm naklikat opravdu spousta věcí.

Další služby, které IPCop nabízí

Další službou, kterou IPCop nabízí je DHCP server, díky němuž můžeme zajistit dynamické přidělování IP adres klientům v lokální síti a to nezávisle na tom, zda OS klientských počítačů je Linux či Windows. Výhodou tohoto řešení je možnost provázání IP adres s MAC adresami síťových karet, čímž zajistíme, že daným klientům budou přidělovány stále stejné IP adresy. Tímto také můžeme zabránit v připojení neznámým klientům (notebooky, ...) do naší lokální sítě, ale na druhou stranu můžeme vytvořit pool s určitým rozsahem IP adres právě pro účely dočasných připojení takovýchto klientů. Společně s DHCP serverem obsahuje IPCop i DHCP klienta (dhcpcd) což umožní firewallu získat IP adresu od ISP.

Squid - webový proxy server, zaručuje podrobné monitorování návštěvnosti Internetu a částečně odlehčení síťového provozu díky možnosti cachování webových stránek či stahovaných souborů. Jistě najde uplatnění zejména ve firmách s pomalejším připojením do Internetu, ale také díky možnosti monitorovat jednotlivé klienty (zaměstnance), díky čemuž je možné zjistit, zda je Internet využíván pro firemní potřeby nebo zda jej zaměstnanci ve velké míře zneužívají pro osobní potřeby, čímž klesá jejich pracovní morálka a v konečném důsledku i celkový zisk firmy. Při použití transparentní proxy je možné specifikovat i stránky, či celé domény na které nebude přístup povolen. Je zde i možnost využít již vygenerované seznamy nevhodných domén a případně si je doplnit o vlastní údaje.

SSH - umožňuje vzdálené šifrované připojení k firewallu, což je vhodné zejména pro jeho správu.

VPN (Virtual Private Network) - možnost propojení interní sítě přes Internet s další sítí a tím vytvoření jedné logické sítě.

NTP (Network Time Protocol) - IPCop umožňuje práci s tímto protokolem sloužícím pro synchronizaci času a to buď pouze jako klient, který bude provádět synchronizaci svého času nebo i jako server, který může být následně použit klienty v lokální síti, kteří potom mohou firewall využít pro synchronizaci svého času.

IDS (Intrusion Detection System) - tento systém je možné aktivovat jak pro vnější (RED) Internetové rozhraní, tak i pro vnitřní (GREEN) rozhraní do lokální sítě a slouží k monitoringu a logování útoků. IPCop využívá pro IDS program snort.

Nemohu samozřejmě opomenout samotný firewall a jeho některé specifické vlastnosti jako je třeba možnost forwardování packetů což umožní přístup z vnější sítě (Internetu) na počítač v lokální síti (s neveřejnou adresou). Nebo nově možnost škrcení síťového provozu (traffic shaping).

Tipy

Protože IPCop poskytuje opravdu mnoho možností, pokusím se zde bodově shrnout některé další věci, které lze díky IPCopu realizovat.

  • možnost ručního nastavení pravidel firewallu, čímž lze například blokovat některé další věci (třeba většinu broadcast trafficu) a zpřehlednit tak logy
  • testovat konektivitu sítě a v případě výpadku automaticky přejít na záložní modemové připojení
  • možnost využití logování na vzdálený počítač
  • povolení konektivity na Internet jen v daných hodinách
  • možnost blokování přístupu uživatelům z lokální sítě na některé nepovolené služby (AOL, Telnet)
  • snadná aktualizace s využitím webového rozhraní a stejně tak snadné zálohování důležitých dat firewallu

Závěr

Díky své komplexnosti a spoustě variant a možností nastavení lze IPCop směle použít jak pro ochranu malých sítí (domácnosti, malé firmy), tak i pro ochranu rozsáhlých a složitých sítí. IPCop se navenek (směrem do Internetu) chová opravdu jako správný "mrtvý brouk" a zuby si na něm vyláme většina nástrojů pro scanování portů a jim podobných. I v případě defaultního nastavení dopadly penetrační testy vesměs pozitivně a až na pár malých nedostatků, které lze snadno ručně odstranit, tyto testy neprokázaly přítomnost nějaké větší bezpečnostní díry. To ovšem ale ještě neznamená, že nemůže dojít ke kompromitaci firewallu a k případnému průniku do vnitřní sítě. Jedině pečlivá práce správce takovéhoto firewallu (čtení logů, sledování bezpečnostních konferencí a správný přístup k bezpečnosti obecně) zajistí dostatečnou bezpečnost.

Komerční sdělení:
Nabízíme nainstalovaný firewall na námi dodaném a otestovaném hardwaru (Pentium 133MHz, 64MB RAM, 500MB HDD) - možnost výběru mezi desktop provedením nebo provedením minitower - včetně IDS (Intrusion Detection System) a monitoringu. Snadná konfigurace přes rozhraní webového prohlížeče. Provádíme nastavení dle konkrétních vlastností a chování sítě včetně provedení závěrečných penetračních testů.

Cena včetně hardwaru: 2990Kč s DPH

Nabízíme možnost trvalé správy firewallu (outsourcing).

Více naleznete v Linux CD shopu nebo na výstavě LinuxExpo (stánek D22 - obr.).

Distribuci IPCop můžete zakoupit (ve verzi 1.3.0 včetně oprav a ve verzi 1.4.0b2) v Linux CD shopu za 30Kč.

Verze pro tisk

pridej.cz

 

DISKUZE

Nejsou žádné diskuzní příspěvky u dané položky.



Příspívat do diskuze mohou pouze registrovaní uživatelé.
> Vyhledávání software
> Vyhledávání článků

13.9.2017 8:00 /František Kučera

Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Zajímá tě DIY, CNC, SDR nebo morseovka? Přijď na sraz spolku OpenAlt – tentokrát netradičně v pondělí: 18. září od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5).


Přidat komentář

3.9.2017 20:45 /Redakce Linuxsoft.cz
PR: Dne 21. září 2017 proběhne v Praze konference "Mobilní řešení pro business". Hlavní tématy konference budou: nejnovější trendy v oblasti mobilních řešení pro firmy, efektivní využití mobilních zařízení, bezpečnostní rizika a řešení pro jejich omezení, správa mobilních zařízení ve firmách a další.
Přidat komentář

15.5.2017 23:50 /František Kučera
Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Zajímá tě DIY, CNC, SDR nebo morseovka? Přijď na sraz spolku OpenAlt, který se bude konat ve čtvrtek 18. května od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5).
Přidat komentář

12.5.2017 16:42 /Honza Javorek
PyCon CZ, česká konference o programovacím jazyce Python, se po dvou úspěšných ročnících v Brně bude letos konat v Praze, a to 8. až 10. června. Na konferenci letos zavítá např. i Armin Ronacher, známý především jako autor frameworku Flask, šablon Jinja2/Twig, a dalších projektů. Těšit se můžete na přednášky o datové analytice, tvorbě webu, testování, tvorbě API, učení a mentorování programování, přednášky o rozvoji komunity, o použití Pythonu ve vědě nebo k ovládání nejrůznějších zařízení (MicroPython). Na vlastní prsty si můžete na workshopech vyzkoušet postavit Pythonem ovládaného robota, naučit se učit šestileté děti programovat, efektivně testovat nebo si v Pythonu pohrát s kartografickým materiálem. Kupujte lístky, dokud jsou.
Přidat komentář

2.5.2017 9:20 /Eva Rázgová
Putovní konference československé Drupal komunity "DrupalCamp Československo" se tentokrát koná 27. 5.2017 na VUT FIT v Brně. Můžete načerpat a vyměnit si zkušenosti z oblasti Drupalu 7 a 8, UX, SEO, managementu týmového vývoje, využití Dockeru pro Drupal a dalších. Vítáni jsou nováčci i experti. Akci pořádají Slovenská Drupal Asociácia a česká Asociace pro Drupal. Registrace na webu .
Přidat komentář

1.5.2017 20:31 /Pavel `Goldenfish' Kysilka
PR: 25.5.2017 proběhne v Praze konference na téma Firemní informační systémy. Hlavními tématy jsou: Informační systémy s vlastní inteligencí, efektivní práce s dokumenty, mobilní přístup k datům nebo využívání cloudu.
Přidat komentář

15.4.2017 15:20 /František Kučera
Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Zajímá tě IoT a radiokomunikace? Přijď na sraz spolku OpenAlt, který se bude konat ve středu 19. dubna od 18:30 v Šenkovně (Sokolská 60, Praha 2).
Přidat komentář

5.3.2017 19:12 /Redakce Linuxsoft.cz
PR: 23. března proběhne v Praze konferenci na téma Cloud computing v praxi. Hlavními tématy jsou: Nejžhavější trendy v oblasti cloudu a cloudových řešení, Moderní cloudové služby, Infrastruktura současných cloudů, Efektivní využití cloudu, Nástrahy cloudových řešení a jak se jim vyhnout.
Přidat komentář

   Více ...   Přidat zprávičku

> Poslední diskuze

18.9.2017 14:37 / Rojas
high security vault

15.9.2017 7:33 / Wilson
new zealand childcare jobs

31.8.2017 12:11 / Jaromir Obr
Re: ukůládání dat ze souboru

30.7.2017 11:12 / Jaromir Obr
Národní znaky

27.7.2017 12:24 / Jaromir Obr
Cteni/zapis

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2017) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze