pro zabezpečení sítě vytvořte m0n0wall

M0n0wall je open source firewall a bezdrátový směrovač vyvinutý Manuelem Kasperem, postavený na odizolovaném operačním systému FreeBSD. M0n0wall nabízí mnoho stejných funkcí, které se nacházejí v komerčních firewallech, jako jsou Check Point Firewall-1 a Cisco Pix, včetně stavového filtrování paketů. S ním můžete vytvořit zabezpečenou virtuální privátní síť (VPN) mezi dvěma weby, nebo můžete použít m0n0wall jako bránu VPN, takže můžete přistupovat k síti LAN secure z Internetu. Můžete použít RADIUS pro ověřování klienta s cílem zvýšit bezpečnost ještě vyšší.

M0n0wall má pěkné webové rozhraní pro konfiguraci nastavení brány firewall. Většinu konfigurace lze provést přes webové rozhraní a všechny hodnoty jsou uloženy v jediném souboru XML. Konfiguraci lze uložit na disketu, pevný disk nebo externí paměťovou kartu. To usnadňuje nasazení několika firewallů s podobným hardwarovým nastavením.

firewall je stabilní a vypadá jako komerční firewall; jediným rozdílem je nedostatek komerční cenovky. Použil jsem firewall m0n0 na mnoha různých konfiguracích PC déle než rok bez problémů. Stejně jako u všech open source software, můžete si stáhnout kompletní, non-zmrzačený verzi m0n0wall pro vyhodnocení a testování.

instalace m0n0wall

Chcete-li vyzkoušet m0n0wall, stáhněte si obrazový soubor. Můžete si vybrat mezi obrázky pro normální počítač nebo pro speciální vestavěné hardwarové zařízení. Každý přístup má své výhody a nevýhody. Staré náhradní počítače (100MHz 486 s 64MB RAM nebo lepší bude dělat) jsou všude; nicméně, oni dělají hodně hluku a používat hodně energie. Vestavěné systémy dělají malý nebo žádný hluk a používají minimální výkon, ale pravděpodobně nemáte v suterénu náhradní systém Soekris, takže byste museli koupit zařízení, které začíná na přibližně 200 USD. U hardwarových konfigurací, jako je Soekris, můžete provést aktualizaci firmwaru na m0n0wall, kdykoli jsou k dispozici aktualizace z projektu m0n0.

Testoval jsem m0n0wall na starém 450MHz Compaq ProLiant s 128MB RAM. Stáhl jsem správný obrázek a vypálil ho na zaváděcí CD-ROM. TIP: Nezapomeňte použít možnost obrazu v softwaru vypalovačky CD; pouhé kopírování souboru nevytvoří zaváděcí obrázek. Vložte CD do budoucího firewallu; odpojte všechny síťové kabely a zapněte napájení.

pokud je vše v pořádku, měli byste vidět následující obrazovku :

*** Toto je m0n0wall, verze 1. 2b3
postaveno na Sun Dec 5 11: 22: 47 cet 2004 pro generic-pc-cdrom
Copyright (C) 2002-2004 Manuel Kasper. Všechna práva vyhrazena.
navštivte http://m0n0.ch/wall aktualizace.

LAN IP adresa: 192.168.1.1

konfigurace portu:

LAN – > SIS0
WAN -> SIS1

nastavení konzoly m0n0wall
**********************
1) rozhraní: přiřaďte síťové porty
2) nastavte IP adresu LAN
3) resetujte heslo webGUI
4) obnovte výchozí tovární nastavení
5) Restartujte systém
6) Ping host

nejprve vyberte možnost 1 pro přiřazení rozhraní LAN a WAN a částečně důvěryhodného DMZ, pokud se rozhodnete mít.

pokud musíte změnit IP adresu LAN na něco jiného než výchozí IP (192.168.1.1), zvolte možnost 2. Zde můžete také přiřadit server DHCP, pokud chcete v síti LAN používat DHCP.

další čtyři možnosti jsou pro řešení problémů; v tomto okamžiku byste je neměli potřebovat.

přístup k webovému GUI

nyní připojte křížený kabel k rozhraní LAN vašeho firewallu a použijte jiný počítač v síti s prohlížečem, abyste provedli zbytek konfigurace. Nasměrujte prohlížeč na http://192.168.1.1 (nebo na IP adresu, kterou jste nastavili pomocí volby 2 v konzole). Použijte uživatelské jméno admin a heslo m0n0.

na obrazovce Obecné nastavení můžete — a měli byste-změnit výchozí uživatelské jméno/heslo. Můžete také změnit název hostitele brány firewall a určit, zda chcete použít DNS. Můžete také určit, že chcete použít Network Time Protocol (NTP) k synchronizaci systémového času se serverem NTP, abyste se ujistili, že časy protokolu systému jsou přesné.

můžete nastavit mnoho různých konfigurací pro vaše WAN rozhraní, včetně PPPoE, PPTP, BigPond kabel, a další.

dalším krokem je konfigurace některých pravidel brány firewall. Začněte několika jednoduchými pravidly ,například “ vše od LAN po WAN je povoleno.“V m0n0 * znamená „any“, takže níže uvedené pravidlo umožňuje cokoli z vaší sítě LAN na Internet.

Proto zdroj Port cíl Port popis
* LAN net * * * výchozí LAN – > libovolný

je velmi snadné změnit pravidla. Pokud chcete povolit pouze HTTP provoz na internetu z LAN, změňte výše uvedené pravidlo na následující:

Proto zdroj Port cíl Port popis
TCP LAN net

80 HTTP

* * pouze HTTP z LAN – > libovolné

můžete nastavit překlad síťových adres (NAT) a povolit tvarování provozu. Na kartě služba můžete aktivovat server DHCP, ale pokud tak učiníte, ujistěte se, že ve vaší síti LAN nejsou aktivní žádné jiné servery DHCP.

po zadání aktuálního nastavení jej uložte. Poté můžete firewall připojit k síti WAN. Pokud jste vše udělali správně, uživatelé LAN by nyní měli mít možnost procházet Internet.

pokročilejší funkce

pokud chcete získat přístup k síti LAN z Internetu, můžete nastavit tunel PPTP z externího klienta pro bezpečný přístup k síti LAN nebo použít server RADIUS pro ověření externích klientů. Nastavení PPTP velmi závisí na operačním systému vašeho klientského počítače a na tom, jaké šifrování můžete použít. Vaše skutečná nastavení musí být zadána v nabídce VPN.

můžete také nastavit připojení VPN mezi weby, pokud můžete nakonfigurovat druhou stranu tunelu VPN. Podařilo se mi vytvořit připojení VPN k zařízení Check Point Firewall-1 s minimem práce.

navzdory svým dobrým bodům má m0n0wall některé nevýhody ve srovnání s komerčními produkty. Nejdůležitější je, že není k dispozici podpora 24×7. Existuje velmi aktivní seznam adres s mnoha užitečnými lidmi a IRC kanál, ale pokud váš kritický firewall m0n0 zemře uprostřed noci, jste sami.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.