Erstellen Sie für die Netzwerksicherheit eine m0n0wall

M0n0wall ist eine Open-Source-Firewall und ein WLAN-Router, die von Manuel Kasper entwickelt wurden und auf einem abgespeckten FreeBSD-Betriebssystem basieren. M0n0wall bietet viele der gleichen Funktionen wie kommerzielle Firewalls wie Check Point Firewall-1 und Cisco Pix, einschließlich Stateful Packet Filtering. Damit können Sie ein sicheres virtuelles privates Netzwerk (VPN) zwischen zwei Standorten erstellen oder m0n0wall als VPN-Gateway verwenden, um sicher über das Internet auf Ihr LAN zuzugreifen. Sie können RADIUS für die Clientauthentifizierung verwenden, um die Sicherheit noch weiter zu erhöhen.

M0n0wall verfügt über eine schöne Weboberfläche zum Konfigurieren der Firewall-Einstellungen. Der größte Teil der Konfiguration kann über die Weboberfläche erfolgen und alle Werte werden in einer einzigen XML-Datei gespeichert. Die Konfiguration kann auf einer Diskette, Festplatte oder externen Speicherkarte gespeichert werden. Dies macht es einfach, mehrere Firewalls mit einem ähnlichen Hardware-Setup bereitzustellen.

Die Firewall ist stabil und sieht aus wie eine kommerzielle Firewall; Der einzige Unterschied ist das Fehlen eines kommerziellen Preisschildes. Ich habe die m0n0 Firewall auf vielen verschiedenen PC-Konfigurationen für mehr als ein Jahr ohne Probleme verwendet. Wie bei jeder Open-Source-Software können Sie eine vollständige, nicht verkrüppelte Version von m0n0wall zur Evaluierung und zum Testen herunterladen.

m0n0wall installieren

Um m0n0wall auszuprobieren, laden Sie eine Image-Datei herunter. Sie können zwischen Bildern für einen normalen PC oder für ein spezielles eingebettetes Hardwaregerät wählen. Jeder Ansatz hat Vor- und Nachteile. Alte Ersatzcomputer (ein 100MHz 486 mit 64MB RAM oder besser reicht aus) sind überall; Sie machen jedoch viel Lärm und verbrauchen viel Strom. Embedded-Systeme machen wenig oder gar keinen Lärm und verbrauchen nur minimale Leistung, aber Sie haben wahrscheinlich kein Ersatz Soekris System in Ihrem Keller, so würden Sie die Ausrüstung kaufen müssen, die bei etwa $ 200 beginnt. Bei hardwarebasierten Konfigurationen wie Soekris können Sie ein Firmware-Update auf m0n0wall durchführen, wenn Updates aus dem m0n0-Projekt verfügbar sind.

Ich habe m0n0wall auf einem alten 450MHz Compaq ProLiant mit 128MB RAM getestet. Ich habe das richtige Image heruntergeladen und auf eine bootfähige CD-ROM gebrannt. Hinweis: Denken Sie daran, die Image-Option in Ihrer CD-Brenner-Software zu verwenden; nur das Kopieren der Datei erzeugt kein bootfähiges Image. Legen Sie die CD in Ihre zukünftige Firewall; Ziehen Sie alle Netzwerkkabel ab und schalten Sie die Stromversorgung ein.

Wenn alles korrekt ist, sollten Sie den folgenden Bildschirm sehen :

*** Dies ist m0n0wall, Version 1.2b3
erstellt am Sun Dec 5 11:22:47 CET 2004 für generic-pc-cdrom
Copyright (C) 2002-2004 von Manuel Kasper. Alle Rechte vorbehalten.
Besuchen Sie http://m0n0.ch/wall für Updates.

LAN IP adresse: 192.168.1.1

Port konfiguration:

LAN -> sis0
WAN -> sis1

Einrichtung der m0n0wall-Konsole
**********************
1) Schnittstellen: Netzwerkports zuweisen
2) LAN-IP-Adresse einrichten
3) WebGUI-Passwort zurücksetzen
4) Auf Werkseinstellungen zurücksetzen
5) System neu starten
6) Ping-Host

Wählen Sie zuerst Option 1, um die LAN- und WAN-Schnittstellen zuzuweisen, und eine Semi-trusted DMZ, falls Sie eine haben möchten.

Wenn Sie die LAN-IP-Adresse in eine andere als die Standard-IP-Adresse (192.168.1.1) ändern müssen, wählen Sie Option 2. Hier können Sie auch einen DHCP-Server zuweisen, wenn Sie DHCP in Ihrem LAN verwenden möchten.

Die nächsten vier Optionen dienen zur Fehlerbehebung; Sie sollten sie an dieser Stelle nicht benötigen.

Zugriff auf die Web-GUI

Schließen Sie nun ein Crossover-Kabel an die LAN-Schnittstelle Ihrer Firewall an und verwenden Sie einen anderen Computer im Netzwerk mit einem Browser, um den Rest der Konfiguration durchzuführen. Zeigen Sie den Browser auf http://192.168.1.1 (oder die IP-Adresse, die Sie mit Option 2 in der Konsole festgelegt haben). Verwenden Sie den Benutzernamen admin und das Passwort m0n0.

Im allgemeinen Setup-Bildschirm können und sollten Sie den Standardbenutzernamen / das Standardkennwort ändern. Sie können auch den Hostnamen der Firewall ändern und angeben, ob DNS verwendet werden soll. Sie können auch angeben, dass Sie das Network Time Protocol (NTP) verwenden möchten, um die Systemzeit mit einem NTP-Server zu synchronisieren, um sicherzustellen, dass die Systemprotokollzeiten korrekt sind.

Sie können viele verschiedene Konfigurationen für Ihre WAN-Schnittstelle festlegen, einschließlich PPPoE, PPTP, BigPond-Kabel und andere.

Der nächste Schritt besteht darin, einige Firewall-Regeln zu konfigurieren. Beginnen Sie mit ein paar einfachen Regeln wie „Alles vom LAN bis zum WAN ist erlaubt.“ In m0n0 bedeutet das * „any“, daher erlaubt die folgende Regel alles von Ihrem LAN bis zum Internet.

Proto Quelle Port Ziel Port Beschreibung
* LAN-Netz * * * Standard LAN -> beliebig

Es ist sehr einfach, Regeln zu ändern. Wenn Sie nur HTTP-Datenverkehr vom LAN zum Internet zulassen möchten, ändern Sie die obige Regel in die folgende:

Proto Quelle Port Ziel Port Beschreibung
TCP LAN-Netz

80 HTTP

* * Nur HTTP von LAN -> beliebig

Sie können Network Address Translation (NAT) einrichten und Traffic-Shaping aktivieren. Wenn Sie dies jedoch tun, stellen Sie sicher, dass in Ihrem LAN keine anderen DHCP-Server aktiv sind.

Nachdem Sie Ihr aktuelles Setup eingegeben haben, speichern Sie es. Anschließend können Sie die Firewall mit dem WAN verbinden. Wenn Sie alles richtig gemacht haben, sollten Ihre LAN-Benutzer jetzt im Internet surfen können.

Erweiterte Funktionen

Wenn Sie über das Internet auf Ihr LAN zugreifen möchten, können Sie einen PPTP-Tunnel von einem externen Client aus einrichten, um sicher auf Ihr LAN zuzugreifen, oder einen RADIUS-Server zur Authentifizierung der externen Clients verwenden. Das PPTP-Setup hängt sehr stark vom Betriebssystem Ihres Client-Computers ab und davon, welche Verschlüsselung Sie verwenden können. Ihre tatsächlichen Einstellungen müssen im VPN-Menü eingegeben werden.

Sie können auch eine Site-to-Site-VPN-Verbindung einrichten, solange Sie die andere Seite des VPN-Tunnels konfigurieren können. Ich habe es geschafft, mit minimalem Aufwand eine VPN-Verbindung zu einem Check Point Firewall-1-Computer herzustellen.

Trotz seiner guten Punkte hat m0n0wall einige Nachteile im Vergleich zu kommerziellen Produkten. Leider gibt es keinen 24×7 Support. Es gibt eine sehr aktive Mailingliste mit vielen hilfreichen Leuten und einen IRC-Kanal, aber Sie sind auf sich allein gestellt, wenn Ihre geschäftskritische m0n0-Firewall mitten in der Nacht stirbt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.