LINUXSOFT.cz Přeskoč levou lištu
Uživatel: Heslo:  
   CZUKPL

> IPCop - firewall v praxi

Linuxový firewall včetně IDS, monitoringu a správy přes webové rozhraní. Snadná instalace a konfigurace.

18.3.2004 17:00 | o.k. | Články autora | přečteno 21078×

IPCop logo IPCop je jedním z mnoha Open Source projektů, šířených pod GNU GPL licencí, který se snaží nabídnout v kostce router, firewall, IDS a další užitečné nástroje včetně pohodlné administrace řešené přes Internetový prohlížeč. Je šířen v podobě minidistribuce o velikosti něco kolem 23MB a je tedy možné jej pohodlně přenášet na malém CD velikosti vizitky (business card). IPCop vychází z projektu Smoothwall, který v současné době částečně opouští klidné vody Open Source a vrhá se do divokých vod komerčního světa. Domovské stránky projektu IPCop naleznete na adrese www.ipcop.org. ISO obraz poslední stabilní verze 1.3.0 je možné stáhnout zde, zároveň zde naleznete i opravy a nové vývojové verze (blíží se vydání nové verze 1.4.0, která přinese opravdu velkou spoustu vylepšení - nedávno vyšla verze 1.4.0b2).

Instalace

Instalace je vcelku jednoduchá a pro ostříleného Linuxového uživatele celkem nudná. Po úvodní bootovací obrazovce (viz obr.), která upozorňuje, že dalším pokračováním v procesu instalace zaručeně přijdete o data na pevném disku, dojde k samotnému a to zcela automatickému rozdělení vašeho disku a k instalaci. Samotnou instalací a poinstalační konfigurací se zde zabývat nebudu, protože je opravdu triviální a nepředpokládám, že by instalaci prováděl úplný začátečník. Každopádně pokud někdo chce vidět jak instalační proces a následný proces konfigurace probíhá, tak jej odkáži na skvěle zpracovanou dokumentaci, která se nachází na domovské stránce projektu IPCop a to konkrétně zde. Pokud celou dokumetaci nechcete procházet, tak konkrétně zde naleznete onen zmiňovaný popis instalace a konfigurace a na následující stránce naleznete tento popis i pro případ, kdy budete instalovat přímo z webového serveru či ftp (tuto možnost instalace IPCop také nabízí).

Firewall můžete provozovat v několika variantách. Jednotlivé varianty jsou na výběr v konfiguraci a vy musíte zvolit, kterou z variant budete používat. Je zde možnost volby pouze dvou síťových zařízení s tím, že RED zařízení (tedy zařízení zprostředkovávající připojení k Internetu) může být buď klasická síťová karta nebo modem (normální, ISDN či ADSL) či nějaké to wireless zařízení. Dále je zde možnost volby tří síťových zařízení, které nám umožní zařadit ještě klasickou DMZ (demilitarizovanou zónu).

Nastavení firewallu

Musím přiznat, že mě celkem překvapila připravenost firewallu. Až na některé drobnosti, které je potřeba doupravit ručně je firewall prakticky ihned schopen plnit svoji úlohu. Celkem zajímavou a určitě užitečnou vlastností je zvuková signalizace pomocí PC speakeru, která ohlásí plné naběhnutí systému. Můžete tak v klidu spustit firewall bez monitoru a počkat si jenom na tuto signalizaci a budete mít určitou jistotu, že firewall naběhnul a dá se pracovat. Zase na druhou stranu je pravda, že toto člověk využije opravdu jen vyjímečně, protože řekněme si na rovinu, jak často se firewall restartuje nebo vypíná, že?

Start systému a náběh jednotlivých služeb probíhá v celkem správně logicky uspořádaném pořadí. Síťová rozhraní se inicializují v pořadí GREEN (LAN), ORANGE (DMZ) a logicky na posledním místě rozhraní RED (Internet) (nebo BLUE v případě použití wireless připojení k Internetu).

ilustrativni nakres firewallu a site

Defaultně po spuštění běží v systému tyto služby: webový server apache (s podporou SSL) a DNS (dnsmasq).

Apache zprostředkovává díky CGI skriptům (jsou napsané v Perlu) rozhraní přístupné přes Internetový prohlížeč (tedy i z Windows) pro snadnou údržbu a monitorování firewallu + případně pro manuální spouštění/vypínaní sítě při připojování přes modem. Je to vhodné tedy i pro případ, kdy dochází díky neschopnosti poskytovatele připojení k častým výpadkům sítě. Díky webovému rozhraní tak může i nezkušený uživatel spustit náhradní modemové připojení.

Dnsmasq pracuje jako DNS pro lokální síť a zároveň jako cache Internetových adres (A a PTR záznamy), čímž částečně urychluje dotazování a převod jmen na IP adresy.

Webové rozhraní pro konfiguraci a monitoring firewallu je přístupné pomocí Internetového prohlížeče a to konkrétně na adresách

http://ip_adresa_firewallu:81
https://ip_adresa_firewallu:445

Výše uvedené obrázky jsou podle mě dostatečnou demonstrací toho, jak vypadá webové rozhraní IPCopu a také toho, že toto rozhraní lze samozřejmě přepnout do mnoha jazykových verzí včetně češtiny jak je patrné ze třetího obrázku.

Webovému rozhraní IPCopu bych se zde také nerad nějak podrobněji věnoval, protože je naprosto intuitivní a dá se v něm naklikat opravdu spousta věcí.

Další služby, které IPCop nabízí

Další službou, kterou IPCop nabízí je DHCP server, díky němuž můžeme zajistit dynamické přidělování IP adres klientům v lokální síti a to nezávisle na tom, zda OS klientských počítačů je Linux či Windows. Výhodou tohoto řešení je možnost provázání IP adres s MAC adresami síťových karet, čímž zajistíme, že daným klientům budou přidělovány stále stejné IP adresy. Tímto také můžeme zabránit v připojení neznámým klientům (notebooky, ...) do naší lokální sítě, ale na druhou stranu můžeme vytvořit pool s určitým rozsahem IP adres právě pro účely dočasných připojení takovýchto klientů. Společně s DHCP serverem obsahuje IPCop i DHCP klienta (dhcpcd) což umožní firewallu získat IP adresu od ISP.

Squid - webový proxy server, zaručuje podrobné monitorování návštěvnosti Internetu a částečně odlehčení síťového provozu díky možnosti cachování webových stránek či stahovaných souborů. Jistě najde uplatnění zejména ve firmách s pomalejším připojením do Internetu, ale také díky možnosti monitorovat jednotlivé klienty (zaměstnance), díky čemuž je možné zjistit, zda je Internet využíván pro firemní potřeby nebo zda jej zaměstnanci ve velké míře zneužívají pro osobní potřeby, čímž klesá jejich pracovní morálka a v konečném důsledku i celkový zisk firmy. Při použití transparentní proxy je možné specifikovat i stránky, či celé domény na které nebude přístup povolen. Je zde i možnost využít již vygenerované seznamy nevhodných domén a případně si je doplnit o vlastní údaje.

SSH - umožňuje vzdálené šifrované připojení k firewallu, což je vhodné zejména pro jeho správu.

VPN (Virtual Private Network) - možnost propojení interní sítě přes Internet s další sítí a tím vytvoření jedné logické sítě.

NTP (Network Time Protocol) - IPCop umožňuje práci s tímto protokolem sloužícím pro synchronizaci času a to buď pouze jako klient, který bude provádět synchronizaci svého času nebo i jako server, který může být následně použit klienty v lokální síti, kteří potom mohou firewall využít pro synchronizaci svého času.

IDS (Intrusion Detection System) - tento systém je možné aktivovat jak pro vnější (RED) Internetové rozhraní, tak i pro vnitřní (GREEN) rozhraní do lokální sítě a slouží k monitoringu a logování útoků. IPCop využívá pro IDS program snort.

Nemohu samozřejmě opomenout samotný firewall a jeho některé specifické vlastnosti jako je třeba možnost forwardování packetů což umožní přístup z vnější sítě (Internetu) na počítač v lokální síti (s neveřejnou adresou). Nebo nově možnost škrcení síťového provozu (traffic shaping).

Tipy

Protože IPCop poskytuje opravdu mnoho možností, pokusím se zde bodově shrnout některé další věci, které lze díky IPCopu realizovat.

  • možnost ručního nastavení pravidel firewallu, čímž lze například blokovat některé další věci (třeba většinu broadcast trafficu) a zpřehlednit tak logy
  • testovat konektivitu sítě a v případě výpadku automaticky přejít na záložní modemové připojení
  • možnost využití logování na vzdálený počítač
  • povolení konektivity na Internet jen v daných hodinách
  • možnost blokování přístupu uživatelům z lokální sítě na některé nepovolené služby (AOL, Telnet)
  • snadná aktualizace s využitím webového rozhraní a stejně tak snadné zálohování důležitých dat firewallu

Závěr

Díky své komplexnosti a spoustě variant a možností nastavení lze IPCop směle použít jak pro ochranu malých sítí (domácnosti, malé firmy), tak i pro ochranu rozsáhlých a složitých sítí. IPCop se navenek (směrem do Internetu) chová opravdu jako správný "mrtvý brouk" a zuby si na něm vyláme většina nástrojů pro scanování portů a jim podobných. I v případě defaultního nastavení dopadly penetrační testy vesměs pozitivně a až na pár malých nedostatků, které lze snadno ručně odstranit, tyto testy neprokázaly přítomnost nějaké větší bezpečnostní díry. To ovšem ale ještě neznamená, že nemůže dojít ke kompromitaci firewallu a k případnému průniku do vnitřní sítě. Jedině pečlivá práce správce takovéhoto firewallu (čtení logů, sledování bezpečnostních konferencí a správný přístup k bezpečnosti obecně) zajistí dostatečnou bezpečnost.

Komerční sdělení:
Nabízíme nainstalovaný firewall na námi dodaném a otestovaném hardwaru (Pentium 133MHz, 64MB RAM, 500MB HDD) - možnost výběru mezi desktop provedením nebo provedením minitower - včetně IDS (Intrusion Detection System) a monitoringu. Snadná konfigurace přes rozhraní webového prohlížeče. Provádíme nastavení dle konkrétních vlastností a chování sítě včetně provedení závěrečných penetračních testů.

Cena včetně hardwaru: 2990Kč s DPH

Nabízíme možnost trvalé správy firewallu (outsourcing).

Více naleznete v Linux CD shopu nebo na výstavě LinuxExpo (stánek D22 - obr.).

Distribuci IPCop můžete zakoupit (ve verzi 1.3.0 včetně oprav a ve verzi 1.4.0b2) v Linux CD shopu za 30Kč.

Verze pro tisk

pridej.cz

 

DISKUZE

Nejsou žádné diskuzní příspěvky u dané položky.



Příspívat do diskuze mohou pouze registrovaní uživatelé.
> Vyhledávání software
> Vyhledávání článků

16.7.2018 1:05 /František Kučera
Červencový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 19. 7. 2018 od 18:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát bude přednáška na téma: automatizační nástroj Ansible, kterou si připravil Martin Vicián.
Přidat komentář

18.6.2018 0:43 /František Kučera
Červnový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 21. 6. 2018 od 18:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát na téma: F-Droid, aneb svobodný software do vašeho mobilu. Kromě toho budou k vidění i vývojové desky HiFive1 se svobodným/otevřeným čipem RISC-V.
Přidat komentář

23.5.2018 20:55 /Ondřej Čečák
Od pátku 25.5. proběhne na Fakultě informačních technologií ČVUT v Praze openSUSE Conference. Můžete se těšit na spostu zajímavých přednášek, workshopů a také na Release Party nového openSUSE leap 15.0. V na stejném místě proběhne v sobotu 26.5. i seminář o bezpečnosti CryptoFest.
Přidat komentář

20.5.2018 17:45 /Redakce Linuxsoft.cz
Ve čtvrtek 31. května 2018 připravuje webový magazín BusinessIT ve spolupráci s Best Online Média s.r.o. pátý ročník odborné konference Firemní informační systémy 2018. Akce proběhne v kongresovém centru Vavruška (palác Charitas), Karlovo náměstí 5, Praha 2 (u metra Karlovo náměstí) od 9:00 hod. dopoledne do cca 15 hod. odpoledne. Konference je zaměřena na efektivní využití firemních informačních systémů a na to, jak plně využít jejich potenciál. Podrobnější informace na webových stránkách konfrence.
Přidat komentář

14.5.2018 7:28 /František Kučera
Květnový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 17. 5. 2018 od 18:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát na téma: Audio – zvuk v GNU/Linuxu.
Přidat komentář

7.5.2018 16:20 /František Kučera
Na stránkách spolku OpenAlt vyšla fotoreportáž Pražské srazy 2017 dokumentující srazy za uplynulý rok. Květnový pražský sraz na téma audio se bude konat 17. 5. 2018 (místo a čas ještě upřesníme).
Přidat komentář

17.4.2018 0:46 /František Kučera
Dubnový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 19. 4. 2018 od 18:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tématem tohoto srazu bude OpenStreetMap (OSM) aneb svobodné mapy.
Přidat komentář

16.3.2018 22:01 /František Kučera
Kulatý OpenAlt sraz v Praze oslavíme klasicky: u limonády a piva! Přijďte si posedět, dát si dobré jídlo a vybrat z mnoha piv do restaurace Kulový blesk, který najdete v centru Prahy nedaleko metra I. P. Pavlova na adrese Sokolská 13, Praha 2. Sraz se koná ve čtvrtek 22. března a začínáme v 18:00. Heslo: OpenAlt. Vezměte s sebou svoje hračky! Uvítáme, když si s sebou na sraz vezmete svoje oblíbené hračky. Jestli máte nějaký drobný projekt postavený na Arduinu, nějakou zajímavou elektronickou součástku, či třeba i pěkný úlovek z crowdfundingové akce, neváhejte. Oslníte ostatní a o zábavu bude postaráno.
Přidat komentář

   Více ...   Přidat zprávičku

> Poslední diskuze

20.2.2018 18:48 / Ivan Majer
portal

20.2.2018 15:57 / Jan Havel
Jak využíváte služby cloudu v podnikání?

16.1.2018 1:08 / Ivan Pittner
verejna ip od o2 ubuntu

15.1.2018 17:26 / Mira Harvalik
Re: Jak udělat HTML/Javascript swiping gallery do mobilu?

30.12.2017 20:16 / Michal Knoll
odmocnina

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2018) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze