Ipcop

From EIK wiki

Autor

Sven Mäeks
AK31
smaeks@itcollege.ee

Sissejuhatus

Milleks tulemüüri üldse vaja on?

Tulemüür on filter, mis keelab, käsib, poob ja laseb pakette – väikesed pätsikesi, mille kujul internetis baite liigutatakse. Kui väljast tulev pakett ei vasta nõuetele, siis kuulub ta kustutamisele. Ning kui mõni väärt programm hakkab järsku ilma nähtava põhjuseta internetti tükkima, siis paneb tulemüür käe vahele: “Kus sa trügid?!”. Varem elutsesid tulemüürid peamiselt eraldi seadmetes - spetsiaalsetes tulemüürimasinates. Nüüd, kus internet ussitab juba üle igasuguse piiri, on tulemüür igas turvalises arvutis olemas. Enamik moodsaid operatsioonisüsteeme sisaldab oma koosseisus tulemüüri komponenti juba vaikimisi, sealhulgas Windows XP SP2, Mac OS X ja minu teada ka kõik Linuxi distributsioonid.Kuid pelgalt Windowsi vaikimisi tulemüüriga leppimine on kergema vastupanu teed minek. Nimelt on Windowsi tulemüür tsipa nõder. Seda näiteks põhjusel, et Windowsi tulemüür ei blokeeri väljuvaid ühendusi. Igaüks, kel piisavalt arvutialaseid teadmisi, võib korraldada vahva katse: kui kiiresti nakatub ilma aktiivse tulemüürita Windowsi masin esimesse viirusesse? Need, kes on proovinud, on tihti saanud tulemuseks umbes 10 sekundit. Seega ei ole tulemüür mitte mingi arvutinohkarite mänguasi, vaid miski, ilma milleta internetti minek on tänapäeval virtuaalne enesetapp.[28]

Mis asi on IPCop ja mida sellega teha saab

IPCop on Linuxi põhine tulemüür. See on mõeldud kodukasutajatele ja SOHO (Small office/home office [29]) kasutajatele. IPCopi webi põhine GUI [30] kasutajaliides on väga kasutajasõbralik ja teeb kasutamise lihtsaks. IPCop on põhimõtteliselt omaette OP süsteem, millega saab muuta x86 masina tulemüüri seadmeks. Kuna süsteemi parameetrite mudimine käib läbi graafilise kasutajaliidese, siis ei ole kasutajatel vaja eelteadmisi Linuxist.

Igasugust infot IPCopi kohta võib leida siit [31]ja siit [32]

Mida IPCop sisaldab

Järgnevalt on toodud mõned omadused, mis IPCop sisaldab:

  • Network Address Translation (NAT)[33]
  • DHCP server [34]
  • VPN server [35]
  • Selget Web proxyt[36]
  • Secure Shell (SSH)[37] ligipääsu
  • Port forwarding [38]
  • DMZ [39] seadistame
  • Täpsed, hästi organiseeritud logid
  • Intrusion Detection System (IDS)[40]
  • Liikluse statistika ja graafika

Nõuded riistvarale

Minimaalsed nõuded oleks siis sellised:

  • 300-MHz CPU
  • 256 MB of RAM
  • 5-GB kõvaketas
  • Kaks võrgukaarti

Võrgu jagamine neljaks

IPCop-iga saad jagada oma võrgu erinevateks sektsioonideks:

  • roheline -usaldusväärne sisevõrk
  • oranz - DMZ
  • punane - internet
  • sinine - WIFI
IPCopi võrgu topolooga.
Originaal: [[1]].

Paigaldamine

Enamust Linuxi programme saab installida väga lihtsalt, näiteks nii:

apt-get install ipcop

IPCop-iga aga nii lihtsalt ei saa.

Allalaadimine

IPCopi saab alla laadida siit www.ipcop.org [41]. Seejärel tuleks teha ISO plaaditõmmis, et siis selle pealt saaks oma tulevast tulemüüri masinat käima tõmmata.

Paigaldamine

Kui kõik ettevalmistused on läinud plaanipäraselt, siis näeme ekraanil järgmist pilti.

Tere.
Welcome: [[2]].

Vajutame Enter, et alustada installimist. Esimese asjana saame valida keele.

Keele valik.
Keel: [[3]].

Kuna me buudime ISO CD pealt, peame valima CDROM-i installi allikaks.

Kust installida.
: [[4]].

Järgmisena küsitakse üle, kas see on ikka õige kettamasiiv, kuhu IPCop hakkab oma partitsioone kirjutama.

[[5]].

Kui partitsioneerimine on lõppenud, küsitakse, kas soovid taastada IPCop süsteemi konfiguratsiooni (eelmisest paigaldamisest). Eeldame, et paigaldame IPCop-i esmakordselt, ja valime Skip.

[[6]].

Edasi on aeg alustada esialgse võrgu konfigureerimisega. Teil palutakse konfigureerida rohelise (sisevõrgustiku) liides. Kliki Probe.

[[7]].

Seejärel palutakse teil sisestada staatiline IP-aadress rohelise sektsiooni tarbeks.

[[8]].

Nüüd kõik vajalikud komponendid IPCop-il installitud, eemaldame CDROM-i, klõpsame nuppu OK.

[[9]].

Valime klaviatuuri (Eesti on ET) ja sobiva ajavööndi.

[[10]].

Paneme masinale nime. Soovitatav oleks vaikimisi -ipcop- ära muuta, et raskendada võimalike rünnete teostamist.

[[11]].

Järgmine on siis ISDN [42] konfiguratsioon hüpikmenüü. Seda on vaja ainult siis, kui sul on sisemine ISDN-kaart. Selles menüüs valime: Keela ISDN.

[[12]].

Nüüd oleme jõudnud võrgu seadistamise menüü juurde.

[[13]].

Siin siis võrgu seadistamine menüü jätk, valime GREEN + RED, et luua standard tulemüür, kus üks võrgukaart läheb sisevõrgule (roheline) ja teine adapter ühendub interneti (punane).

[[14]].

Seekord tuleb valida draiverid ja kaardi ülesanded.

[[15]].

Nüüd tuleks seadistada punase liidese konfiguratsiooni.

[[16]].

Kuna meil on staatiline IP-aadress, valime DNS ja gateway seaded.

[[17]].

Järgmisena siis DHCP Server Configuration dialoogiboks. IPCop võib olla DHCP server sisevõrgu jaoks. Kui soovime kasutada IPCopi kui DHCP serverit, siis vajutame lihtsalt tühikuklahvi ja valime Enabled, siis sisestame aadresside vahemiku, mida soovime kasutada ja täidame muud DHCP seaded.

[[18]].

Pärast DHCP serveri konfiguratsiooni, tuleb sisestada parool kolmele kasutajale: root, setup ja admin. Ruudul on juurdepääs konsoolile, setupil paigaldaminse menüüdele ja admini kontolt saab kasutada Web kasutajaliidest.

[[19]].

Kui paroolid on paigas, saame teate, et seadistamine on valmis. Klõpsa OK reboot IPCop server.

[[20]].

Pärast IPCop tulemüüri taaskäivitumist, kuuleme ainulaadset kolme piiksu, mis ütlevad, et meie IPCop on nüüd elus. Avame käsurea ja proovime sisevõrgust IPCop-i pingida. Kui pingib, siis kõik korras ja võime avada veebibrauseri ning ühenduda IPCop-iga Web-i põhise kasutajaliidesega. Võime ühendada HTTP või HTTPS ja sisestada IP-aadressi või hostinime, aga me pead lisama konkreetse pordi numbri (81 HTTP ja 445 HTTPS). Näiteks nii:

Kui oleme edukalt kõik etapid läbinud, siis näeme ekraanil sellist pilti.

[[21]].

Ja sedasi ongi meil 15 minuti jooksul valmis tulemüür, IPCop.

Seadistamine

Alustamiseks klikime Informationi linki vasakul menüüribal.Kui oleme sisestanud adminni kasutajanime ja parooli, näeme ekraanil IPCop-i osade staatuseid. Näeme, mis teenused töötavad ja mis ei tööta. Näiteks sellised teenused nagu IDS, DHCP, Web proxy, VPN ja SSH saame vajadusel välja lülitada. Ülejäänud peaksid alati olema sisse lülitatud.

[[22]].

Selline näeb välja võrgu liikluse graafik.

[[23]].

Web proxy seadistamine käib siis sellise ekraani peal.

[[24]].

Serice ekraanil, saame seadistada ka mitmeid teisi olulisi teenuseid. Nii näeb välja DHCP serveri parameetrite seadistamine.

[[25]].

Logi failid

Logi failid asuvad sellises kohas nagu:

/var/log/logwatch

Graafilist liidest kasutades vajutame Logs lingile, sealt avaneb järgmine vaade, kust saate valida millist logi soovite vaadata

  • Kernel
  • SSH
  • IPsec
  • DHCP server

Kui vajutame Web proxy linki, siis näeme nimekirja failidest mida IPCop-i proxy server on puhverdanud. Üks hea omadus on, et saame valida source IP järgi mis on puhverdatud ainult antud süsteemi poolt. See on kasulik ründe analüüsiks või mõne töötaja interneti kasutuse jälgimiseks.

Järgmiseks, klikime Firewall linki ja me näeme nimekirja pakettidest mida meie IPCop-i tulemüür on blokkinud.

Uuendamine

Õnneks on IPCop-i üsna lihtne uuendada. Klõpsame System linki vasakul menüüribal ja näemegi ekraanil uuendusi. Seal loetletakse üles kõik olemasolevad värskendused teie IPCop-i versioonile ja selgitatakse, mida nad teevad, ja näidatakse, kas need on installitud või mitte.

[[26]].

Kui peale uuenduste installimist on nõutav süsteemi taaskäivitamine, siis klikime reboot.

[[27]].

Lisad

IPCopile on võimalik lisada erinevaid mitteametlikke lisavidinaid, millega on võimalik lisada mõningast funktsionaalsust. [43]

Mõned näited:

  • Copfilter - viiruste tõrje e-mailidest
  • Banish - Lihtsalt blokeerib ligipääsu IP, CIDR, Domeeni ja MAC Aadressi põhiselt.
  • BlockOutTraffic (BOT)- blokeerib kogu liikluse mis muidu IPCopis lubatud

IPCop missioon

  • Luua stabiilne Linuxi tulemüüri distributsioon.
  • Pakkuda turvalist Linuxi tulemüüri distributsiooni.
  • Pakkuda vabavaralist Linuxi tulemüüri distributsiooni.
  • Pakkuda väga mitmeti seadistatavat Linuxi tulemüüri distributsiooni.
  • Pakkuda kergesti konfigureeritavat Linuxi tulemüüri distributsiooni.
  • Pakkuda usaldusväärset toetust IPCop Linux kasutajaskonnaga.
  • Pakkuda mõnusat keskkonda kus avalikult arutada ja paluda abi.
  • Pakkuda stabiilset, turvalist ja lihtsalt rakendatavat uuendamiste ja vigade paikamist IPCopile.
  • Luua ja säilitada pikaajalised suhteid meie kasutajatega.
  • Püüda kohandada IPCop-i, et rahuldada Interneti vajadusi ka tulevikus.
  • Arendada Linuxi alaseid teadmisi kõigis, nii projekti liikmete kui ka kasutajate hulgas.

Alternatiivid

Seitse erinevat tulemüüri distributsiooni võrdlused - Firewall, Endian, Gibraltar, ClarkConnect, IPCop, pfSense, SmoothWall, m0n0wall. Viis neist on Linuxil baseeruvad ja kaks FreeBSD-l.[44]

Kokkuvõte

Kokkuvõtteks võib öelda, et IPCop on päris hea valik väiksema ettevõtte või kodukontori tulemüüriks. Tal on selge webipõhine kasutajaliides mille pealt on lihtne rakenduste parameetreid määrata. Ka uuenduste tegemine on väga lihtsaks tehtud. Ja mis ei ole ka vähetähtis tegur on see, et IPCop on tasuta.

Allikad

  1. Wikipedia
  2. Arvutikaitse
  3. www.ipcop.org
  4. IPCop WMwarele
  5. Võrgu struktuur